7 I 16 ISSN 1614-2888 sterreich 14,50

Neues in Gruppenrichtlinien bei Lizenzrisiken bei Luxemburg 14,50

SharePoint 2016 Upgrades migrieren Cloud-Nutzung 12,60 Schweiz CHF 20,50

Cloud-Management:

Auswahl, Sicherheit,
Automatisierung
Die passende Cloud finden
und gekonnt administrieren

Penetration Testing
Cloud-Dienste
auf Schwachstellen
abklopfen

Open-Source-Werkzeuge
Scalr, CloudForms
und Cloudian einsetzen

Im Test
VMware vRealize Automation 7

www.it-administrator.de
Willkommen zum Hardware RAID

Buffalo. Windows Storage Server.

Unschlagbare Zuverlssigkeit.
Die TeraStation WSH verfgt ber einen eigens von Buffalo entwickelten
Hardware-RAID-Controller, der eine herausragende Leistung selbst unter hoher
Auslastung garantiert. Das Betriebssystem luft von einer separaten SSD,
wodurch das HDD-Array komplett fr die Datenspeicherung genutzt werden D MAD
AN
kann und die Leistung und Zuverlssigkeit zustzlich gesteigert werden.
EI
GNED

N JAP

6-Bay-NAS mit 12 oder 24 TB Kapazitt

SI

AN
Quad Core Prozessor mit 4 GB RAM DE
Microsoft Storage Server 2012 R2 Standard Edition
(Unbegrenzte Nutzerzahl)
Buffalo proprietrer Hardware-RAID-Controller
fr Stabilitt und Geschwindigkeit
Jetzt mit RAID 6

www.buffalo-technology.com
E D I TO R IAL Nur der Wandel hat Bestand

Liebe Leser,

zurck vom AWS Summit in Berlin zog die Redaktion in der letzten Ausgabe
das Fazit, dass mit den aktuell verfgbaren Cloud-Diensten Firmen ihre IT in
die Cloud migrieren knnen und dabei unter Umstnden Geld sparen, denn sie
bezahlen nur die Rechendienste, die sie wirklich bentigen. Darber
hinaus vereinfacht sich das Management der Services drastisch,
denn im klassischen Sinn gibt es hierbei nichts mehr zu ver-
walten, weder virtuelle Maschinen noch Server-Racks. Fr
IT-Administratoren gibt es in dieser Welt kaum noch Bedarf.
Vom ersten Teil trumen Amazon, Azure, Rackspace und
wie sie alle heien vermutlich ununterbrochen, der zweite
Teil drfte IT-Verantwortlichen eher Alptrume bescheren.

Doch zum Glck manifestiert sich die Realitt des IT-Betriebs

selten nach den Wnschen der Hersteller. Zwar greift ein Groteil der IT-Or-
ganisationen mittlerweile auch auf Cloud-Dienste zur Bewltigung der Un-
ternehmensanforderungen zurck, doch nur wenige verzichten dabei komplett
auf eine eigene Infrastruktur. Die Realitt heit Hybrid Cloud: Eigene, vir-
tualisierte Serverinstanzen stellen im Zusammenspiel mit externen Angeboten
die bentigten Dienste bereit. Was so einfach klingt, ist in der Realitt oft so
komplex, dass dafr ein eigener Begriff hermusste: "Cloud-Management"
der Schwerpunkt dieser Ausgabe. Das Management und die Integration meh-
rerer Clouds in einer Infrastruktur wirft Fragen auf nach Softwareportabilitt
und der Auswirkung von Netzwerklatenzen, um nur zwei von zahlreichen
Beispielen zu nennen. Auch die Aufgabe, am Ende alles unter der Haube eines
fhrenden Managementsystems zu haben, ist nicht ohne. Doch diesen He-
rausforderungen muss sich die IT stellen, sonst gehen die durch die Cloud er-
mglichten Effizienzgewinne sehr schnell verloren.

So wird aber auch offensichtlich, dass es sehr wohl noch Bedarf an Adminis-
tratoren gibt. Nur wird auf deren Visitenkarte zuknftig "Cloud-Aggregator"
oder "Abteilungsleiter Automationsmanagement" stehen. Die Cloud ndert
die Prozesse des IT-Betriebs vom Einkauf ber die Sicherheit bis hin zum
Support. Wandel ist in der IT die Norm ist, nicht die Ausnahme. Und Admi-
nistrator ist ein Job, der eine extrem hohe Lernbereitschaft voraussetzt. In
welche Bereiche sich IT-Verantwortliche zuknftig einarbeiten mssen, zeigt
unser Beitrag "IT 4.0" ab Seite 100. Technisch bieten sich mit Azure (Seite 84)
und VMwares vRealize Automation (im Test ab Seite 16) ungeahnte Automa-
tisierungsmglichkeiten an. Oder Sie bauen sich einen kostenlosen, AWS-
kompatiblen Objektspeicher. Wie, zeigt unser Workshop ab Seite 68. Viel Spa
in der Cloud wnscht

John Pardey
Chefredakteur

www.it-administrator.de Juli 2016 3

Inhalt 07/2015
Im Test:
GridVision
22 Die Next-Generation-
Plattform GridVision fr
IT-Automation und -Management
arbeitet Cloud-basiert und ben-
tigt somit keine Hardwareressour-
cen im Unternehmen. Und gleichzei-
tig wirbt sie mit einem breiten Einsatz-
bereich gleichermaen fr virtualisierte,
On-Premise und Cloud-basierte Kompo-
nenten. IT-Administrator wollte wissen, wie
sich das Management aus der Wolke und
fr die Wolke anfhlt.
Clouds mit Azure
Automation verwalten
84 Microsoft Azure
wird stetig erwei-
tert und erlaubt zunehmend,
auch anspruchsvolle admi-
nistrative Aufgaben abzu-
wickeln. Azure Automation
deckt dabei die Automatisie-
rung von Routinearbeiten ab.
Dahinter verbirgt sich ein
Werkzeug, das dem Adminis-
trator den Arbeitsalltag auch
ohne PowerShell-Kenntnisse
vereinfacht.
Microsoft
Operations
Management
Suite
90 Mit der Microsoft Operations Management
Suite bietet Microsoft eine berwachungs-
lsung an, mit der sich lokale Netzwerke, aber
auch Cloud-Lsungen und Hybrid-Clouds effizient
berwachen und steuern lassen. Im Zentrum steht
eine schnelle und einfache Einrichtung, inklusive
einer hohen Flexibilitt und Skalierbarkeit.
4 Juli 2016
Cloud-Management
AKTUELL
06 News
10 IT-Administrator vor Ort:
EMC World 2016, 2. bis 5. Mai, Las Vegas
12 IT-Administrator Training:
Hyper-V unter Windows Server 2016
13 IT-Administrator Training:
Exchange Server 2016 administrieren
14 IT-Administrator Intensiv-Seminar:
Best Practices Windows 10
15 IT-Administrator Training:
vSphere 6 optimal betreiben
TESTS
16 VMware vRealize Automation 7
VMware bietet mit der vRealize-Suite eine Plattform zum Aufbau einer unterneh-
mensinternen Cloud-Umgebung. Herzstck der Suite ist vRealize Automation samt
Self-Service-Katalog.
22 GridVision
Die IT-Management-Plattform GridVision fr IT-Automation und -Management
arbeitet Cloud-basiert und bentigt keine Hardwareressourcen im Unternehmen.
28 O&O BlueCon 12 Admin Edition
Eine unabhngige Rettungsumgebung wie O&O BlueCon 12 kann helfen,
Systemfehler zu suchen oder an Daten zu retten, was noch zu retten ist.
PRAXIS
34 Neues in SharePoint 2016
Interessante Neuerungen sind in SharePoint 2016 eingeflossen, etwa im Bereich der
Serverrollen. Und auch die Anbindung an Microsofts Cloud-Dienste wird enger.
38 Problembehebung fr DNS,
Active Directory und Gruppenrichtlinien
Bei der Aktualisierung von DCs etwa kann es zu Problemen mit der Namensaufl-
sung, der AD-Replikation und Gruppenrichtlinien kommen. Wie sich diese beheben
lassen, zeigt dieser Beitrag.
www.it-administrator.de
 802.11ac
44 Windows 10 und Office 2016 einfhren (4)
Nachdem Windows 10 und Office 2016 ihren Rollout im Unternehmen erfahren
haben, adressiert der vierte Teil unserer Workshopreihe die Verwaltung und gezielte #WLAN
POWER
Steuerung der Systeme.

50 Windows Defender Advanced Threat Protection

Dank des neuen Cloud-Dienstes Windows Defender ATP sollen Unternehmen
Informationen zu gezielten Angriffen auf ihr Netzwerk erhalten.

54 Open-Source-Tipp
Wer Container einsetzt, muss sich auch mit der Frage beschftigen, welcher
Identity-Store auf dem Host wie auch den Containern zum Einsatz kommt.

56 Security-Tipp
Besonders im Visier von Social-Engineering-Angriffen stehen hhere Angestellte
ULTRASCHNELLE POWER
mit Zugang zu sensiblen Informationen.

58 Tipps, Tricks & Tools

SCHWERPUNKT
62 Cloud Penetration Testing Die leistungsstarken 802.11ac Access Points
Sptestens wenn Cloud-Dienste produktiv genutzt werden, stellt sich die Frage, bintec W2003ac und W2003ac-ext unterstt-
wie sicher diese gegen Attacken von innen und auen sind. Das lsst sich per
Penetra-tion Testing herausfinden.
zen dank der 2x2 MIMO - Technik alle modernen
68 Aufbau einer AWS-Cloud
.11ac Endgerte wie Smartphones und Tablets
mit Cloudian HyperStore ohne Leistungseinbuen und ultraschnellen
Mit Cloudian HyperStore lsst sich eine skalierbare Objektspeicher-Plattform einrich- Verbindungen mit 867 Mbit/s Geschwindigkeit.
ten, mit der Daten zwischen ffentlichen und privaten Clouds bewegt werden knnen.
Die Access Points lassen sich ganz einfach in
74 CloudForms & ManageIQ bestehende Netze migrieren. Keine neuen WLAN
ManageIQ verspricht die effiziente Verwaltung virtueller Umgebungen. Als Teil von
CloudForms vermarktet Red Hat ManageIQ auch kommerziell. Ein berblick ber Controller oder PoE Switche sind notwendig.
die Mglichkeiten der Software.

79 Cloud-Management mit Scalr

Scalr bietet ein webbasiertes Management-Tool fr Amazon- und Google-Clouds,
das zustzlich auch Azure und OpenStack verwalten kann. Wir haben uns Scalr ge-
nauer angesehen.

84 Cloud mit Azure Automation steuern

Microsoft Azure wird stetig erweitert und ermglicht zunehmend auch anspruchs-
volle administrative Aufgaben. Azure Automation deckt dabei die Automatisierung
von Routinearbeiten ab.

90 Microsoft Operations Management Suite

Mit der Operations Management Suite bietet Microsoft eine berwachungslsung
an, mit der sich lokale Netzwerke sowie Cloud-Lsungen und Hybrid-Clouds effi-
zient berwachen und steuern lassen.

94 Auswahl und Integration von Cloud-Diensten

Cloud-Provider bieten oft alle drei Cloud-Layer IaaS, PaaS und SaaS, wodurch sich
komplexe IT-Strukturen vereinfachen lassen. Es gibt aber noch weitere Kriterien bei
der Anbieterwahl zu beachten.

98 Softwarelizenzierung in der Cloud

Unternehmen gehen immer schneller zu Public, Private oder Hybrid Cloud ber.
Doch gerade was die Softwarelizenzierung in der Cloud angeht, liegen die Tcken
X Perfekt zur Migration Ihrer WLAN - Netze auf .11ac
meist im Detail.
X Volle .11ac Power fr SmartPhones und Tablets
100 Neue Aufgaben der IT durch Virtualisierung
und Cloud Computing X Stromsparend - Standard PoE reicht fr volle Leistung
Der Ersatz von Hardware-Funktionen durch Software sorgt dafr, dass interne Pro-
zesse in den Unternehmen umstrukturiert und Anforderungen an das IT-Personal X Kostenloser WLAN Controller integriert
neu definiert werden mssen.
X Alternativ managebar ber die Cloud
RUBRIKEN
03 Editorial
04 Inhalt
103 Buchbesprechung bintec elmeg
Teldat Group Company
104 Fachartikel online
105 Das letzte Wort bintec elmeg GmbH
Sdwestpark 94
106 Vorschau, Impressum, Inserentenverzeichnis D-90449 Nrnberg
Telefon: +49-911-96 73-0
www.bintec-elmeg.com
www.it-administrator.de
Aktuell News

Unsichtbare Abzocke
Kaspersky Lab hat eine neue und verbesserte Version der
fr Angriffe auf Bankautomaten spezialisierten Malware
"Skimmer" entdeckt. Dahinter steht mutmalich eine rus-
sischsprachige Gruppe, die mithilfe der Manipulation von
Bankautomaten Geld der Nutzer stiehlt. Skimmer tauchte
erstmalig im Jahr 2009 auf. Sieben Jahre spter haben sich
sowohl die Gauner als auch das Schadprogramm weiterent-
wickelt und stellen eine weltweite Bedrohung fr Banken
und ihre Kunden dar. Die Skimmer-Gruppe startet ihre
Operationen, indem sie sich Zugang zu einem Geldautoma-
tensystem verschafft. Die Infizierung erfolgt entweder phy-
sisch oder ber das interne Netzwerk der Bank.
Ist das Programm "Backdoor.Win32.Skimer" auf einem
System installiert, infiziert es das Herzstck des Bankauto-
maten: das fr die Interaktionen der Maschine mit der
Bankinfrastruktur, der Bargeldabwicklung und den Kredit-
karten zustndige ausfhrende Programm. Anschlieend
haben die Kriminellen die komplette Kontrolle ber den in-
fizierten Geldautomaten. Aber sie gehen vorsichtig und ge-
konnt vor. Anstatt einfach ein so genanntes Skimming-Ge-
rt zu installieren also ein betrgerisches Imitat ber das
eigentliche Lesegert zu setzen , um Kartendaten abzu-
schpfen, verwandeln sie den kompletten Automaten in ein
Skimming-Gert. Denn ist ein Geldautomat mit der Mal-
ware infiziert, sind die Kriminellen in der Lage, sowohl die
im Automat befindlichen Geldmittel abzuheben als auch die
Kartendaten abzufangen, die am Geldautomaten genutzt
werden inklusive der Kontonummer und des PIN-Codes
der Bankkunden. Ein so infizierter Automat ist kaum zu er-
kennen. Im Gegensatz zu bisher bekannten Skimming-Ge-
rten, bei denen der aufmerksame Nutzer das Kartenlesege-
rtimitat oftmals erkennen kann, gibt es hier keine
physischen Anzeichen einer Gefhrdung. (dr)
Kaspersky-Lab-Blogeintrag: https://de.securelist.com/blog/
71489/atm-infector/

SUSE Storage 3 untersttzt CephFS

SUSE hat im Juni Version 3 seines auf Ceph basierenden Storage-
Produkts vorgestellt. SUSE Enterprise Storage 3 beruht auf der
neuesten Version 10.2.0 "Jewel" des verteilten Dateisystems Ceph.
Damit bietet SUSE Enterprise Storage auch Support fr CephFS,
das mit der neuen Ceph-Version als stabil erklrt wurde. In SUSE
Enterprise Storage gilt CephFS, das eine Posix-Dateisystem-
Schnittstelle fr den Speicher darstellt, aber noch als Technology
Preview. Als stabil gilt dagegen die RADOS-Komponente, die ein
Block-Device-Interface fr Ceph bietet.
SUSE Enterprise Storage untersttzt iSCSI in Multipath-
Konfigurationen und ermglicht somit Block-Storage
auf smtlichen Betriebssystemen und Umgebungen ein-
schlielich Linux, Unix und Windows. Zudem bietet das
Produkt Data-at-Rest-Verschlsselung zur Erhhung der
Sicherheit. Auer als Software-Lsung bietet SUSE das
Storage-Produkt in Zusammenarbeit mit Thomas-Krenn
auch als Appliance an. (of)
SUSE Enterprise Storage: https://www.suse.com/products/suse-enterprise-storage

3D-Druck in Serie
HP prsentiert ein serienreifes 3D-Druckersystem. Der HP-Jet-Fu-
sion-3D-Drucker soll Design, Prototypentwicklung und Fertigung
revolutionieren und schafft es laut Hersteller, qualitativ hochwertige
physische Teile bis zu zehnmal schneller zu liefern als die derzeit
verfgbaren 3D-Druckersysteme und das fr die Hlfte der Kos-
ten. Indem Funktionsteile auf der Ebene einzelner Voxel gedruckt
werden (ein Voxel ist das 3D-quivalent des zweidimensionalen
Pixels beim herkmmlichen Druck), biete HP seinen Kunden neue
Mglichkeiten zur Anpassung der Eigenschaften der Teile und zur
kundenindividuellen Massenproduktion. 340 Millionen Voxel pro
Sekunde soll das Druckersystem verarbeiten knnen.
Der Drucker HP Jet Fusion 3D in der Variante 3200 eigne sich
besonders fr die Prototypentwicklung. Der Jet Fusion 3D 4200
wurde fr die Prototypentwicklung und fr Fertigungslufe mit
kurzer Durchlaufzeit konzipiert. Er zeichne sich durch eine hohe
Produktivitt aus, um tagesaktuelle Anfragen zu niedrigen Stck-
kosten zu bewltigen. Letzteres Modell soll gegen Ende des Jahres
2016 ausgeliefert werden, der Jet Fusion 3D 3200 folgt 2017. Die-
ser ist dann ab 120.000 Euro erhltlich. Die komplette End-to-
End-Lsung gibt es ab 145.000 Euro. (dr) 3D-Druck in Serie versprechen
HP: www.hp.com die neuen Jet-Fusion-3D-Drucker von HP.

6 Juli 2016 www.it-administrator.de


Robuste
Vernetzung
LANCOM Systems erweitert sein
VPN-Router-Portfolio um ein
neues Modell fr den Einsatz im
industriellen Umfeld: Der LAN-
COM IAP-4G ist ein Mobilfunk-
router mit integriertem Multi-
mode LTE-Modem fr Daten-
raten von bis zu 100 MBit/s. Das
Gert verfgt ber ein staubdich- Eine robuste VPN-Vernetzung im
tes Metallgehuse (IP-50-Schutz- industriellen Umfeld verspricht
klasse) und untersttzt einen er- der LANCOM IAP-4G.
weiterten Einsatz- Temperatur-
bereich (-20 bis +50 C). Der IAP-4G eigne sich beispielsweise zur
mobilen Datenanbindung, fr Logistik-Anwendungen und zur
Anbindung von Automaten, Maschinen und berwachungsein-
richtungen ohne kabelgebundene Internet-Anbindung. Die inte-
grierte VPN-Funktion ermgliche die sichere Vernetzung ver-
schiedener Standorte und die Einbindung externer Dienstleister.
Das Gert verfgt ber ein integriertes Multimode-LTE-Modem
und ist abwrtskompatibel zu UMTS, EDGE und GPRS (3G und
2G). Die Stromversorgung erfolgt wahlweise ber ein Steckernetzteil
oder PoE (IEEE 802.3af). Fnf IPsec-VPN-Kanle inklusive Hard-
warebeschleunigung sind serienmig in den Router integriert (op-
tional 25). Die IPsec-VPN-Verbindungen knnen dabei ber alle Mo-
bilfunknetze aufgebaut werden. Der IAP-4G stellt ferner bis zu 16
sicher isolierte und getrennt voneinander routende IP-Kontexte zur
Verfgung. Dies ermgliche es, alle IP-Anwendungen ber verschie-
dene Netze und dennoch ber einen zentralen Router zu fhren und
die verschiedenen Kommunikationskanle sicher voneinander abzu-
grenzen. Die integrierte Firewall bietet Sicherheitsfunktionen wie
Stateful Packet Inspection, Intrusion Detection und DoS-Schutz. Der
LANCOM IAP-4G ist ab sofort fr 849 Euro erhltlich. (dr)
LANCOM Systems: www.lancom-systems.de
Roundcube Webmail 1.2.0
untersttzt PGP
Seit Ende Mai ist Version 1.2.0 von Roundcube Webmail verfgbar.
Mit dem aktuellen Release ist der Webmailer kompatibel mit der
aktuellen PHP-Version 7. Auerdem bietet Roundcube einige neue
Features, etwa Drag-and-Drop fr Attachments und eine Such-
funktion, die sich auf ein Datumsintervall einschrnken lsst.
Roundcube 1.2.0 untersttzt PGP-Verschlsselung von E-Mails,
entweder clientseitig mit der Browser-Extension Mailvelope oder
auf dem Server mit dem Enigma-Plugin und GnuPG. Auerdem
trifft Roundcube in der neuen Version einige Manahmen zum
Schutz gegen Brute-Force-Angriffe. Mit der Verffentlichung des
aktuellen Release erhalten die alten Roundcube-Versionen 1.0 und
1.1 knftig nur noch wichtige Sicherheits-Updates. (of)
Roundcube: https://roundcube.net
Link-Codes eingeben auf www.it-administrator.de
News Aktuell
CyberArk hat seine Privileged-Account-Security-Lsung im
Hinblick auf die Sicherung von Industrial Control Systems
erweitert. Industriebetriebe sollen damit die Ausbreitung
von Malware verhindern, die mit privilegierten Accounts
verbundenen Risiken identifizieren und die Sicherheit bei
Remote-Zugriffen auf unternehmensinterne Produktionssys-
teme verbessern knnen. Neu im CyberArk-Portfolio ist die
fr den Einsatz im Umfeld von ICS-Umgebungen konzipierte
Lsung Viewfinity als Bestandteil der CyberArk-Suite
"Privileged Account Security". (dr)
Link-Code: G7A11
Symantec bernimmt fr rund 4,65 Milliarden US-Dollar
den Security-Anbieter Blue Coat. Durch die bernahme
mchte Symantec sowohl groen Unternehmen als auch
Konsumenten einen besseren Schutz vor Insider-Gefahren
sowie technisch versierten Cyberkriminellen bieten. Auch
die Cloud-Nutzung durch Firmen mchte Symantec sicherer
machen. Der bisherige Chef von Blue Coat soll bei Syman-
tec neuer CEO werden. Im dritten Quartal dieses Jahres soll
die bernahme von Blue Coat durch Symantec abgeschlos-
sen sein. (dr)
Link-Code: G7A12
Unter dem Namen "Protect&Charge" hat IT-Budget eine
Serie von Schutzschrnken entwickelt, in denen Smartpho-
nes und Tablets ber Nacht sicher verwahrt und gleichzeitig
geladen werden knnen. Als typische Einsatzgebiete nennt
der Anbieter Logistikzentren, Gastronomie, Fachgeschfte
und Ladenketten. Mit der Aufladestation lassen sich je nach
Schrank acht oder mehr Smartphones und Tablets auf Fach-
bden aufbewahren und laden. Der Boden ist mit rutsch-
hemmendem Schaumstoff bezogen, um die Oberflche der
Gerte nicht zu beschdigen. (dr)
Link-Code: G7A13
Siemon stellt eine neue Produktlinie an Power Distribution
Units vor. Die PowerMax-PDUs sind zunchst als Basic- und
Metered-PDUs erhltlich. Sie sollen eine einfache und zu-
verlssige Stromverteilung zum rackmontierten IT-Equip-
ment ermglichen. Die Basic- und Metered-PDUs von Sie-
mon werden fr Anwendungen mit Einphasen- und
Dreiphasenstrom zur Stromversorgung von Gerten im Re-
chenzentrum angeboten. Sie besitzen einen Stromeingang
und sind in unterschiedlichen Stromstrken und Spannun-
gen sowie mit NEMA- oder IEC-Stecker erhltlich. (dr)
Link-Code: G7A14
Juli 2016 7
Aktuell News
Citrix bietet Raspberry-
basierte Thin Clients an
Citrix hat einen neuen Thin Client vorgestellt, der auf dem
Raspberry Pi basiert. Der Citrix HDX Ready Pi soll weniger
als 90 US-Dollar kosten und neben dem Betriebssystem ei-
nen optimierten Citrix Receiver enthalten. Ende letzten Jah-
res hatte Citrix demonstriert, wie sich mit dem Raspberry
Pi ein Remotedesktop aufbauen lsst. Dazu verwendet Ci-
trix das auf Linux basierende Betriebssystem ThinLinX, das
die Hardwarebeschleunigung des Raspberry-SoC (System
on a chip) bei der Anzeige des Desktops untersttzt.
Ransomware auf der Spur
Vectra Networks erweitert seine X-Series-Plattform um die
Erkennung von Ransomware. Die Plattform dient der Echt-
zeit-Erkennung gerade stattfindender Cyberangriffe im
Netzwerk samt Gefahreneinschtzung fr den Administra-
tor. Damit setzt die Umgebung in der Post-Breach-Phase an.
Ransomware breitet sich derweil in vielen Unternehmens-
netzwerken aus, wobei die Angriffe nicht mehr nur auf ein-
zelne Endgerte abzielen. Oft werden auch Netzlaufwerke
mitverschlsselt und damit der eigentliche Schaden fr Un-
ternehmen angerichtet. Die erweiterte Vectra-Lsung soll
daher eine Verschlsselung von im Netzwerk befindlichen
In Verbindung
D-Links Wireless-AC-Produktfamilie bekommt Zuwachs:
Mit dem DIR-859 steht ein neuer AC1750-Dualband-GBit-
Router mit erweiterten Sicherheitsfunktionen fr schnelle
Datenbertragungen sowohl kabelgebunden als auch per
WLAN zur Verfgung. Der DWR-953 ist ein AC750-4G-
LTE-Multi-WAN-Router fr ausfallsichere Internetverbin-
dungen mit gleichzeitiger Untersttzung von mobilem 4G
LTE/3G-Internet und Festnetz-Breitbandinternet. Der
AC1750-Dualband-GBit-Router DIR-859 bietet neben dem
Wireless-AC-Standard vier GBit-Ethernet-Ports. Das inte-
grierte Dualband-WLAN ermglicht Datenbertragungsra-
ten von bis zu 1750 MBit/s (1300 MBit/s auf dem 5 GHz-Fre-
quenzband und 450 MBit/s auf 2,4 GHz). Die Einrichtung
und Verwaltung erfolgt entweder browserbasiert mittels Ein-
richtungsassistent oder ber die kostenlose QRS App (Quick
Router Setup) fr iOS und Android.
Der AC750-4G-LTE-Multi-WAN-Router DWR-953 ist
ein Dualband-WLAN-Router mit SIM-Kartenslot und Wi-
reless-AC fr mehrere Einsatzmglichkeiten: Zum einen
kann er ber ein normales DSL- oder Kabelmodem genutzt
werden. Der GBit-WAN-Port liefert hierfr die Schnittstelle
fr die Breitbandinternetnutzung per Kabel. Zum anderen
fungiert der DWR-953 als 4G LTE-Hotspot. Das mobile 4G
LTE/3G-Internet mit Datenraten von bis zu 150 MBit/s
8 Juli 2016
Im Zusammenspiel mit Citrix XenDesktop und Xen-
Apps soll sich der HDX Ready Pi als vollwertiger Ersatz
fr klassische PC-Arbeitspltze verwenden lassen, meint
Citrix. Die Gerte enthalten neben einem Raspberry Pi ei-
nen Flash-basierten Massenspeicher und eine Stromver-
sorgung. Die Daten der Benutzer speichert der HDX Rea-
dy Pi jedoch nicht lokal, sondern auf einem zentralen
Server. Die Management-Software soll die Integration in
die Remotedesktop-Infrastruktur vereinfachen und bei-
spielsweise automatisch den passenden Citrix-StoreFront-
Server auswhlen. (of )
Citrix HDI Ready Pi: http://citrixreadyprogram.com/hdx-pi/
Daten innerhalb weniger Sekunden erkennen, indem sie fr
diese Angriffe typische Verhaltensmuster in Echtzeit identi-
fiziere. Der dafr verantwortliche Rechner liee sich dann
unverzglich vom Netzwerk trennen. Zwar verhindert das
nicht die Verschlsselung lokaler Daten auf den Clients, sehr
wohl jedoch die Ausbreitung der Ransomware auf Netzlauf-
werke. Dabei erfasse das System neben den Verschlsse-
lungsvorgngen auch Command and Control (C&C)-Kom-
munikation und Netzwerk-Reconnaissance-Techniken, die
Ransomware ebenfalls mit an Bord haben kann. (dr)
Vectra Networks: www.vectranetworks.com/dach
Der DI-859 lsst sich per Webinterface oder App einrichten.
kann ber WLAN oder Ethernet-Ports mit anderen Gerten
geteilt werden. Eine automatische Failover-Funktion sorgt
dafr, dass bei einer Unterbrechung der WAN-Verbindung
sofort das 4G LTE/3G-Netz einspringt. Nicht zuletzt kn-
nen beide Verbindungen auch fr hhere bertragungsge-
schwindigkeiten kombiniert werden. Verfgbar ist der DIR-
859 ab sofort fr rund 95 Euro. Der DWR-953 erscheint
voraussichtlich im Juli 2016 und kostet etwa 159 Euro. (dr)
D-Link: www.dlink.com
www.it-administrator.de
 News Aktuell

Ein drittes Bit

Mit der zuverlssigen Speicherung und Erhaltung von drei
Datenbits pro Zelle haben Wissenschaftler von IBM Research
in Rschlikon bei Zrich einen Meilenstein in der Entwick-
lung von Phasenwechselspeichern (Phase Change Memory
oder kurz PCM) erreicht. Die so genannten Phasenwechsel-
materialien weisen eigentlich nur zwei stabile Zustnde auf -
eine amorphe und eine kristalline Phase mit tiefer bezie-
hungsweise hoher elektrischer Leitfhigkeit. Um nun eine "1"
oder eine "0" - also ein Bit - in einer PCM-Zelle zu speichern,
wird ein hoher oder mittlerer elektrischer Strom an das Mate-
rial angelegt. Durch entsprechende Programmierung kann die
"0" in die amorphe Phase und die "1" in die kristalline Phase
geschrieben werden oder umgekehrt. Das Auslesen des Bits
erfolgt dann durch die Detektion des Widerstandes mittels
Anlegen eines schwachen Stromflusses. Dieses Verfahren liegt
auch den wiederbeschreibbaren Blu-Ray-Disks zu Grunde.
Um nun mehrere Bits pro Zelle speichern zu knnen, ha-
ben die IBM-Forscher mehrere neuartige Technologien ent- Forscher von IBM Research haben auf einem experimentellen Multi-
wickelt: Verschiedene Verfahren zur Messung des Zellzu- Bit-PCM-Chip drei Bits pro Speichereinheit abgelegt.
standes, die gegen den so genannten Drift (die schleichende
Vernderung der Stabilitt der elektrischen Leitfhigkeit der durch die Systemarchitektur (interleaving architecture) zu-
Zelle) immun sind, sowie neue Drift-tolerante Kodierungs- gegriffen wird. Die Speichereinheit ist 2 1000 m 800
und Detektionsverfahren. Die Forscher verwendeten dabei m gro. Die PCM-Zellen basieren auf einer dotierten Chal-
einen experimentellen Multi-Bit-PCM-Chip, der mit einer kogenid-Legierung und wurden auf einem Prototyp-Chip in
integrierten Standard-Leiterplatte verbunden war. Der Chip 90nm-CMOS-Baseline-Technologie integriert, der als Cha-
besteht aus einer Anordnung von 2 2 Millionen Zellen, die rakterisierungsplattform dient. (dr)
in vier Bereiche unterteilt sind und auf die nacheinander IBM Research: www.zurich.ibm.com

Komfortabler Zugriff bei der Fernwartung oder im Rahmen der Online-Zusam-

Ab sofort steht die neue Linux-Version 2.3.1 der Remote- menarbeit in Teams und Arbeitsgruppen zum Einsatz. Priva-
Desktop-Software AnyDesk zum Download bereit. Um Li- te Anwender drfen AnyDesk kostenlos nutzen (AnyDesk
nux-Usern eine bessere Benutzerfreundlichkeit zu bieten, Free). Fr Selbstndige, Unternehmen und andere gewerbli-
wurde die Oberflche berarbeitet und eleganter gestaltet. che Nutzer stehen die Lizenzen AnyDesk Lite und AnyDesk
Das Look & Feel liege jetzt auf dem Niveau der Windows- Professional zu Preisen ab 60 beziehungsweise 180 Euro jhr-
Version und Anwender profitierten von zustzlichem Be- lich im Flex-Abo zur Verfgung. (dr)
dienkomfort, einschlielich der Tonbertragung. In diesem AnyDesk: www.anydesk.de
Zuge wurden auch die Funktionen zwischen den un-
terschiedlichen Software-Versionen angeglichen. Be-
seitigt haben will der Anbieter darber hinaus ein Pro-
blem, das auftreten konnte, wenn AnyDesk durch das
grafische Installationsprogramm von KDE installiert
wurde. Einige Abhngigkeiten mussten bisher manuell
nachinstalliert werden, wodurch es zu Schwierigkeiten
mit dem Start des X-Servers kommen konnte.
Zu den weiteren Verbesserungen zhle die Integra-
tion eines neuen Tastatur-Protokolls. Dadurch wrde
das Arbeiten fr Nutzer verbessert, die keine deutsche
Tastatur verwenden. Mit AnyDesk knnen Anwender
sehr einfach per Fernzugriff Computer ber das Inter-
net steuern und beispielsweise von berall aus auf den
eigenen Rechner zu Hause oder im Bro zugreifen. Im AnyDesk 2.3.1 kommt mit berarbeiteter Benutzeroberflche daher und
professionellen Segment kommt AnyDesk im Support wurde von einigen Fehlern befreit.

www.it-administrator.de Juli 2016 9

Aktuell EMC World 2016
EMC World 2016, 2. bis 5. Mai, Las Vegas
Aus zwei mach eins
von Ariane Rdiger
Mit dem Motto "Modernize"
verabschiedete sich EMC auf
der weltweiten Konferenz
EMC World 2016 von Kunden
und Partnern. Der Zusammen-
schluss mit Dell befindet sich
demnach voll im Zeitplan.
Trotzdem gab es viele Neuig-
keiten, auch fr Admins in
mittelstndischen Firmen.
owohl fr Dell als auch fr EMC
S stnden die Kunden jetzt und in
Zukunft an erster Stelle, betonte das Ma-
nagement von Dell/EMC immer wieder,
zuvorderst der designierte CEO des dem-
nchst fusionierten Unternehmens, Mi-
chael Dell. Whrend sich EMC-CEO Joe
Tucci mit den Worten: "Das ist wohl das
letzte Mal, dass ich hier stehe" von den
rund 10.000 Besuchern der EMC World
2016 in Las Vegas verabschiedete und
dann Michael Dell auf die Bhne bat, gab
dieser erste Ausblicke in eine Zukunft,
in der sich das fusionierte Unternehmen,
so Dell, als grter Lieferant fr die IT-
Infrastrukturplattformen im Unterneh-
mensumfeld behaupten werde.
Die fusionierte Firma wird Dell Tech-
nologies heien. Darunter befinden sich
diverse Marken: Unter dem Label Dell
gibt es weiterhin die Client-Systeme wie
Laptops, PCs et cetera, an deren Ge-
schftsmodell und Fhrungsstruktur
sich auch in Zukunft nicht viel ndern
wird. Die Enterprise-Produkte werden
unter der Bezeichnung Dell EMC zu-
sammengefasst und vom derzeitigen
Chief Executive Officer of EMC Infor-
mation Infrastructure, David Goulden,
geleitet. Zu Gouldens Reich gehren ne-
ben Servern und klassischen EMC-Spei-
cherprodukten unter dem Label Dell
EMC auch Marken wie RSA, Secure-
10 Juli 2016
works oder Virtustream, die erhalten
bleiben. Direkt unter dem Dell-Techno-
logy-Dach und damit unter Michael Dell
befinden sich Tochterfirmen wie Pivotal
oder VMware.
360-Grad-Sicht auf
EMC-Speicherprodukte
Trotz des bevorstehenden Zusammen-
schlusses, den rund 200 Mitarbeiter aus
beiden Unternehmen in 16 Arbeitsteams
vorbereiten, stellte EMC eine ganze Reihe
neuer Produkte und Lsungen vor. Fr
IT-Administratoren besonders interessant
sind naturgem solche, die ihnen die
Arbeit erleichtern. Wichtigste Neuerung
diesbezglich ist MyService360, ein Ser-
vice mit Dashboard und Analysetools,
der die gesamte EMC-Infrastruktur im
Unternehmen nahezu in Echtzeit ber-
wacht, ihr Verhalten analysiert und vi-
sualisiert. Er arbeitet mit EMCs eigenem
Datalake ber die bidirektionale Re-
mote-Verbindng ESRS v3 (EMC Secure
Remote Services Virtual Edition) zusam-
men. Kunden, die EMCs Online-Support
beziehen, knnen MyService360 kosten-
los nutzen.
Ebenfalls arbeitserleichternd knnte der
Virtualisierungscontroller ViPR in Ver-
Quelle: EMC
sion 3.0 wirken, in den Ergebnisse des
CoprHD-Projekts integriert wurden:
Dank eines Software Development Kits
lassen sich nun insgesamt rund 50 Spei-
chersysteme aller mglichen Hersteller in
Umgebungen unter ViPR 3.0 einbinden,
was die Provisionierung beschleunigt. Ver-
sion 3 ist als Beta bereits zum Download
verfgbar, die kommerzielle Variante gibt
es noch im zweiten Quartal.
Wer anspruchsvolle Applikationen nicht
mehr lokal betreiben oder zumindest die
Archivierung auslagern mchte, erhlt von
EMC nun Cloud-Serviceangebote. Sie ba-
sieren auf Technologie des Cloud-Dienst-
leisters Virtustream, den EMC im vergan-
genen Jahr fr 1,2 Milliarden Dollar
aufgekauft hat. EMC/Virtustream bietet
nun erstens einen Enterprise-Cloud-Ser-
vice fr hochverfgbare Anwendungen an.
Laut Virtustream-CEO Rodney Rogers
kann der Serviceanbieter dank der von
Virtustream entwickelten Technologien
beim Enterprise-Service in den Service-
Level-Agreements sogar applikationsbe-
zogene Latenzen garantieren.
Zweites Cloud-Serviceangebot ist Vir-
tustream Storage Cloud, ein hochska-
lierbarer Objektspeicher als externer Ar-
www.it-administrator.de

chivierungsservice fr Daten auf EMC-
Speichersystemen. Das verfgbare Spei-
chervolumen des Dienstes liegt derzeit
bei mehr als zwei Exabyte. Virtustream
hlt acht Speicherlokationen in den Ver-
einigten Staaten und Europa vor. "Wir
bauen gerade Deutschland und Frank-
reich auf ", sagt Rogers. Seit dem 10. Mai
sind beide Dienste verfgbar.
Flash-only-Angebote
fr den Mittelstand
Im Rahmen seiner All-Flash-Strategie
prsentiert EMC die neue Produktserie
Unity. Das All-Flash-System mit Ein-
stiegspreisen unter 18.000 US-Dollar eig-
net sich fr Mittelstndler und Abtei-
lungen. Die 2 HE hohe Box bietet unter
anderem ein transaktionsfhiges File-
system und integrierte Verschlsselung.
Unity speichert derzeit 80 TByte, sobald
dichtere SSD-Platten erhltlich sind auch
mehr, skaliert derzeit bis zu 3 PByte und
Zwei DSSD-D5-Einheiten lassen sich nun logisch verbinden, um noch mehr Speicher zu erhalten.
www.it-administrator.de
schafft 300 kOPS. Eine hybride Version
kostet ab 10.000 Dollar. Weiter gibt es
Unity als reine Softwarevariante und in-
tegriert in VxBlock.
Die Unity-Produkte sind in das War-
tungsprogramm "xpext More" mit lebens-
lang garantierten Wartungspreisen und
dreijhriger Geld-Zurck-Garantie ein-
gebunden. Im nchsten Jahr soll die All-
Flash-Strategie mit der All-Flash-Variante
von Isilon, Nitro, abgerundet werden. Von
der Direct-Attach-Lsung DSSD D5 mit
144 TByte Kapazitt, die EMC krzlich
vorgestellt hat, lassen sich nun zwei Ein-
heiten logisch zu einer verbinden.
Die Konvergenzplattform VxRack erhlt
mit Neutrino eine neue Knoten-Variante
mit einem von EMC verwalteten und
gepflegten kompletten OpenStack. Die
Neutrino-Knoten sind fr Cloud-native-
Umgebungen gedacht und bilden die
E M C Wo r l d 2 0 1 6 Aktuell
Hardwarebasis der ebenfalls in Las Vegas
vorgestellten Entwicklungsplattform
Native Hybrid Cloud (NHC) fr Cloud-
Apps. NHC liefert alle Werkzeuge, Pro-
zesse und Analysetools, um schnellstmg-
lich Cloud-Native-Apps zu entwickeln.
Pivotal Cloud Foundry ist integriert.
Dazu passen zwei Apps, die aus EMCs
2014 gestartetem Open-Source-Projekt
{code} hervorgegangen sind: Erstens der
unternehmens- und systembergreifende
Scheduler Polly (Polymorphic Volume
Scheduling) fr Container-Umgebungen
beispielsweise unter Docker, Mesos oder
Kubernetes. Er soll nach einem Angebots-
Nachfrage-Algorithmus den einzelnen
untergeordneten Schedulern in hetero-
genen Container-Umgebungen den be-
ntigten Speicher anbieten.
Die zweite App ist Rex-Ray inVersion 0.4,
eine Applikation, die Containern system-
bergreifend persistenten Storage zuweist.
Sie wurde um neue Treiber, Sicherheits-
mechanismen und Client/Server-Modelle
erweitert. Beide zusammen knnten Con-
tainerumgebungen in Zukunft erlauben,
auch anspruchsvolle klassische Anwen-
dungen, die persistenten Speicher brau-
chen, zu beherbergen.
Um den Datenwust besser zu bewltigen,
zeigte der Bereich Backup ein neues
Produkt zum Copy Data Management
(CDM), das nicht nur alle vorhandenen
Kopien auf Primr- und Backupmedien
findet, sondern nach den jeweiligen Si-
cherheits- und Redundanzvorgaben ge-
nau die richtige Menge Kopien an den
richtigen Orten aufhebt.
Fazit
Die letzte EMC World zeigte den Teil-
nehmern den Weg in die Zukunft des
fusionierten Unternehmens. Dabei hatte
EMC durchaus noch einige Produkt-
berraschungen zu bieten, die auch fr
mittelstndische Firmen interessant
sind. Dazu gehrt die All-Flash-Platt-
form Unity, die auf 2 HE 80 TByte voll-
verschlsselt auf SSDs abspeichert. Wie
sich Dell/EMC als Unternehmen fortan
entwickeln wird und welche Produkt-
strategie mittelfristig folgt, muss die Zu-
kunft zeigen. (dr)
Juli 2016 11
Aktuell I T- A d m i n i s t r a t o r Tr a i n i n g

Que
IT-Administrator Training

lle: t
alas
how Hyper-V 2016
12
3RF

Hyper-V in Windows Server 2016 bringt neue Snapshots und

erhhte Sicherheit in der Cloud. Diese Themen und die fr die
Virtualisierung relevanten Storage-Neuerungen in Windows
Server 2016 bereitet unser neues Training auf.

Einen weiteren Schwerpunkt setzt das

as Trai-
D ning un-
ter der fachlichen
Leitung von Nils
Kaczenski widmet
sich zunchst den Hyper-V-Neuerungen
in Windows Server 2016. Beispielsweise
zeigt sich beim Verschieben von VMs von
einem Hyper-V-Host mit Windows Server
2012 R2 auf einen Windows-2016-Host,
dass diese zunchst unverndert bleiben.
Das ist neu, denn bislang fand bei einem
solchen Vorgang immer eine implizite Kon-
version statt. Die neue Hyper-V-Version
fhrt solche Anpassungen nur noch durch,
wenn der Administrator das ausdrcklich
anfordert. Unser Training zeigt, welche
Vorteile diese "Rolling Upgrades" gerade
in Cluster-Umgebungen bringen.
Fachliche Leitung / Dozent
Nils Kaczenski ist seit
Mitte der Neunziger-
jahre als Consultant fr
Windows-Netzwerke
ttig. Fr sein Engage-
ment in Online-Com-
munities hat Microsoft
ihn seit 2003 regelm-
ig als Most Valuable
Professional (MVP) fr
Directory Services und
Hyper-V ausgezeichnet. Aktuell leitet er das
Microsoft-Consulting bei der michael wessel
Informationstechnologie GmbH. Seine
Schwerpunkte sind die strategischen The-
men Verfgbarkeit, Virtualisierung und IT-Si-
cherheit. Neben seiner beruflichen Ttigkeit
ist er als Fachautor fr Windows-Themen
bekannt und ist gefragter Sprecher auf Kon-
ferenzen und Community-Veranstaltungen.
Training bei der Hardware fr virtuelle
Maschinen. So zeigen wir, was zu beach-
ten ist, wenn einer VM im laufenden Be-
trieb virtuelle Netzwerkkarten oder Ar-
beitsspeicher hinzugefgt oder entfernt
werden. Schlielich spielt auch der Nach-
folger der Snapshots die "Production
Checkpoints" eine wichtige Rolle im
Training. Wie aus der beliebten Snap-
shot-Technik des Hypervisors ein voll-
wertiges Werkzeug fr die Datensiche-
rung wird, zeigt Kaczenski im Detail.
Inhaltlich abgerundet wird der Tag, indem
wir die Teilnehmer zunchst durch die
neuen Cloud-Sicherheitsfunktionen wie
"Host Resource Protection", "Shielded
VMs" und "Host Guardian Service" leiten,
um uns dann der erhhten Verlsslichkeit
bei der Storage-Anbindung zuzuwenden.
Hier verleiht etwa die "Storage Resiliency"
einem Cluster mehr Stabilitt. Und die be-
reits lnger angekndigte Funktion "Sto-
rage Replica" ermglicht, dass ein Win-
dows-Server seine Daten synchron oder
asynchron auf einen anderen Server repli-
ziert. Das ermglicht so genannte "Stret-
ched Cluster", die ber mehrere entfernte
Rechenzentren verteilt sind. Zuletzt hat
Microsoft dies um "Storage Spaces Direct"
erweitert, wobei nicht dedizierte Storage-
Server die Datenhaltung bernehmen,
sondern die Hyper-V-Hosts selbst.
Alle Details der Agenda sowie Veranstal-
tungsorte und -termine finden Sie im
Kasten auf dieser Seite. Folgen Sie dem
Link im Kasten auf dieser Seite, finden
Sie dort alle Informationen rund um das
Training sowie eine komfortable Anmel-
demglichkeit. Wir freuen uns darauf, Sie
in Herbst auf einem unserer Trainings
begren zu drfen.
Hyper-V unter
Windows Server 2016
Die Inhalte des Trainings
Hyper-V in Windows Server 2016
- Neues Konfigurationsformat
- Rolling Upgrades im Cluster
- Shielded Virtual Machines
- Container-Integration
- Storage Spaces Direct
Virtuelle Maschinen in Hyper-V 2016
- Discrete Device Assignment
- Verlssliche Snapshots mit Production
Checkpoints
- CPUs, Netzwerkkarten und RAM anpassen
Sicherheit fr Hosts und VMs
- Host-Ressourcen schtzen
- Cluster-Ausflle vermeiden
- Shielded Virtual Machines
Storage aus der Box
- Storage Spaces Direct
- Konzepte mit zentralem Speicher
- Hyperconverged-Systeme selbst einrichten
Termin & Ort
19. September: Hamburg
ExperTeach Training Center Hamburg,
Esplanade 6, 20354 Hamburg
28. September: Dortmund
TOP Tagungszentrum Dortmund,
Emil-Figge-Strasse 43, 44227 Dortmund
6. Oktober: Dietzenbach
ExperTeach Training Center Frankfurt,
Waldstrae 94, 63128 Dietzenbach
Teilnahmegebhren
Die Teilnahmegebhr fr das Training beluft
sich fr IT-Administrator Abonnenten auf
215,90 Euro inklusive 19% Mehrwertsteuer.
Fr Nicht-Abonnenten wird eine Gebhr von
274,90 Euro (inklusive 19% MwSt.) fllig.
Die Teilnahmegebhr umfasst das Training in-
klusive Dokumentation und das Mittagessen
sowie Kaffeepausen am Trainingstag.
Das Anmeldeformular und ausfhrliche
Inhalte zu allen Trainings finden Sie unter
www.it-administrator.de/trainings

12 Juli 2016 www.it-administrator.de


IT-Administrator Training
Exchange 2016
administrieren
Exchange 2016 vereinfacht die Verwaltung der
E-Mail- und Kommunikationsinfrastruktur etwa durch
weniger Server-Rollen und eine leichter zu verwaltende
Hochverfgbarkeit. Zu diesen und allen weiteren Neuerungen
sowie der Migration von lteren Versionen bietet unser neues
Training eine kompakte, praxisnahe Einfhrung.
nser Dozent Jrgen Halauer stellt
U im ersten Teil des Trainings die re-
levanten Neuerungen in Exchange 2016
vor. So wird etwa mit Exchange 2016 der
Client Access-Server abgeschafft, seine
Funktion bernehmen zuknftig die
Postfachserver. Alle Funktionen, die
Clientzugriffserver beherrschen, wandern
also zu den Postfachservern. Microsoft
will dadurch die Anzahl der notwendigen
Exchange-Server und somit Hardware-
Kosten, Lizenzen und Verwaltungsauf-
wand reduzieren. Wie sich dies in der
Praxis darstellt, zeigt unser Training auch
insofern, als dass die Teilnehmer Hinwei-
Fachliche Leitung / Dozent
Jrgen Halauer studier-
te Maschinenbau-Pro-
duktionstechnik und
Maschinenbau-Informa-
tik. Zuerst arbeitete er
sieben Jahre als Soft-
ware-Entwickler und
Systems Engineer bei ei-
nem Werkzeugmaschi-
nenhersteller. Anschlie-
end war er neun Jahre
als Technical Consultant
bei Compaq/HP beschftigt. Seit circa sieben
Jahren untersttzt er Kunden der infoWAN
GmbH beim Design ihrer IT-Lsungen basie-
rend auf Microsoft-Produkten. Sein aktueller
Schwerpunkt liegt auf Microsoft Exchange
Server und Compliance-Themen. Er ist Mit-
verfasser des Buchs "Designing Storage for
Microsoft Exchange 2007 SP1" und Referent
bei internationalen Fachkonferenzen.
www.it-administrator.de
I T- A d m i n i s t r a t o r Tr a i n i n g
se fr ein geeignetes Hardwaresizing an
die Hand bekommen.
Die Hochverfgbarkeit wird weiter ber
Datenbankverfgbarkeitsgruppen abge-
wickelt. Allerdings lassen sich diese in
der neuen Version besser einrichten, wie
unser Training zeigt. Microsoft verspricht
auerdem eine bessere Leistung fr
Hochverfgbarkeitsgruppen und besseren
Failover, falls eine Datenbank ausfllt.
Auch untersuchen wir im Training den
Einsatz der Virtualisierung in Exchange-
Infrastrukturen und Microsofts Best-
Practise-Empfehlung, auch als "Microsoft
Preferred Architecture" bekannt.
Nachdem die Teilnehmer mit den Neue-
rungen und Anforderungen vertraut sind,
kmmert sich der zweite Teil des Trainings
um die Migration. Hier betrachten wir zu-
nchst die Voraussetzung fr eine erfolg-
reiche Migration und untersuchen dann
die notwendigen Migrationsschritte unter
Bercksichtigung der bestehenden Ex-
change-Version. Im Detail wenden wir uns
dann der Mailbox- und der Modern Public
Folder-Migration zu.
Alle Details der Agenda sowie Veranstal-
tungsorte und -termine finden Sie im
Kasten auf dieser Seite. Folgen Sie dem
Link im Kasten auf dieser Seite, finden
Sie dort alle Informationen rund um das
Training sowie eine komfortable Anmel-
demglichkeit. Wir freuen uns darauf, Sie
in Herbst auf einem unserer Trainings
begren zu drfen.
Aktuell
Exchange 2016 administrieren
Die Inhalte des Trainings
Architektur von Exchange Server 2016
- Rollenkonzept im Exchange-Server
- Hochverfgbarkeit
- Microsoft Preferred Architecture
- Einsatz von Virtualisierung
- Hardwaresizing der Systeme
Upgrade auf Exchange Server 2016
- Voraussetzung fr die Migration
- berblick der Migrationsschritte
- Mailbox-Migration
- Migration zu Modern Public Folder
Termin & Ort
12. September: Mnchen
ExperTeach Training Center Mnchen,
Wredestr. 11, 80335 Mnchen
22. September: Hamburg
ExperTeach Training Center Hamburg,
Esplanade 6, 20354 Hamburg
29. September: Berlin
PC College,
Stresemannstrae 87, 10963 Berlin
Teilnahmegebhren
Die Teilnahmegebhr fr das Training beluft
sich fr IT-Administrator Abonnenten auf
215,90 Euro inklusive 19% Mehrwertsteuer.
Fr Nicht-Abonnenten wird eine Gebhr von
274,90 Euro (inklusive 19% MwSt.) fllig.
Die Teilnahmegebhr umfasst das Training in-
klusive Dokumentation und das Mittagessen
sowie Kaffeepausen am Trainingstag.
Das Anmeldeformular und ausfhrliche
Inhalte zu allen Trainings finden Sie unter
www.it-administrator.de/trainings
Juli 2016 13
Aktuell I T- A d m i n i s t r a t o r I n t e n s i v - S e m i n a r

Best Practices Windows 10

Die Inhalte des Intensiv-Seminars

Windows-10-Installation
- Installation mit MDT, ACT, USMT
- Windows ICD und Bereitstellungspakete
- Umgang mit Windows Update for Business
Quelle: scanrail 123RF

Security
- Windows Hello & Passport for Business
- EFS und BitLocker/BitLocker To Go
- Secure und Measured Boot
- Device Guard und Credential Guard
- Zugewiesener Zugriff
- Windows 10 mit MDM verwalten
Windows 10 im Unternehmen
- Gruppenrichtlinien
- Azure AD Join
- Workplace Join
- Unternehmens-PC einrichten
IT-Administrator Intensiv-Seminar
Windows 10 im Netzwerk
- Netzwerkumgebung

Best Practices - Netzwerkdiagnose

- Windows Remote Management
Druckerinstallation und -verwaltung

Windows 10
- Installation von lokalen Druckern und
Netzwerkdruckern
- Druckertreiber aktualisieren
Benutzerprofile verwalten
Beim Umstieg auf Windows 10 treffen Administratoren und - Lokale und wandernde Benutzerprofile
- Primre und sekundre Computer
Anwender auf Altbekanntes, wie nicht zuletzt die Rckkehr
- Vorstellung UE-V
des beliebten Startmen demonstriert. Dennoch hat Microsoft
Sicherung und Wiederherstellung
das Betriebssystem unter der Haube modernisiert, sinnvolle - Dateiversionsverwaltung
Ergnzungen vorgenommen und so eine groe Bereitschaft in - PC-Reset/Refresh
IT-Organisationen erzeugt, auf den neuen Client umzusteigen. - Hilfsmittel zum Starten defekter PCs
Wie Administratoren Altes und Neues in Windows 10 bestmglich Termin & Ort
8. und 9. November 2016: Bensheim
nutzen und verwalten, zeigt unser zweitgiges Intensiv-Seminar.
in-time IT Training Center GbR, Darmstdter
Strae 63, D-64625 Bensheim
en Anfang von Windows 10 im Kurs beides vermittelt hat, erfahren die 30. und 31. Januar 2017: Bensheim
D Unternehmen wie auch in den Teilnehmer, wie sich der Client ber in-time IT Training Center GbR, Darmstdter
zwei Tagen des "Best Practices Windows Gruppenrichtlinien steuern lsst und wie Strae 63, D-64625 Bensheim
10"-Intensiv-Seminars bildet die Instal- so Schritt fr Schritt ein Unternehmens- Das Intensiv-Seminar findet an den beiden
lation. Neben den verschiedenen Vertei- PC entsteht. Dessen Steuerung widmen Tagen jeweils von 9 bis 17 Uhr statt.
lungsmethoden erfahren die Teilnehmer sich dann die Themenblcke zur Dru- Teilnahmegebhren
hier auch, wie sich die Neugestaltung der ckerverwaltung, den Benutzerprofilen Die Teilnahmegebhr fr das Intensiv-Semi-
Client-Updates auf den Betrieb auswirkt. und der Sicherung. nar beluft sich fr IT-Administrator Abon-
Anschlieend wenden wir uns der Client- nenten auf 1.106,70 Euro inklusive 19%
Security zu und erfahren, wie Adminis- Alle Details der Agenda sowie Veranstal- Mehrwertsteuer. Fr Nicht-Abonnenten wird
tratoren Windows 10 auch unter Zu- tungsorte und -termine finden Sie im eine Gebhr von 1.273,30 Euro (inklusive
hilfenahme neuer Technologien wie Hello Kasten auf dieser Seite. Folgen Sie dem 19% MwSt.) fllig. Die Teilnahmegebhr um-
und Passport nachhaltig absichern. Link im Kasten auf dieser Seite, finden fasst das Training inklusive Dokumentation
und das Mittagessen sowie Kaffeepausen am
Sie dort alle Informationen rund um das
Trainingstag.
Zentrale Aufgaben im Windows-10-Be- Training sowie eine komfortable Anmel-
Das Anmeldeformular und ausfhrliche
trieb sind natrlich darber hinaus die demglichkeit. Wir freuen uns darauf,
Inhalte zu allen Trainings finden Sie unter
Einbindung im Netzwerk und der Acti- Sie auf einem unserer Intensiv-Seminare
www.it-administrator.de/trainings
ve-Directory-Domne. Nachdem der begren zu drfen.

14 Juli 2016 www.it-administrator.de

IT-Administrator Training

vSphere 6
optimal betreiben
Mit ber 650 neuen Features ist vSphere 6 eine Herausforderung

Quelle: sylverarts 123RF

fr den Admin. Zumal die Neuerungen um Updates ergnzt
werden, die manche Features wie etwa vSAN erst jetzt reif fr
die Produktion machen. Unser neues Training fhrt durch die
Verwaltung der neuen Features und Updates. Sind diese praxis-
gerecht umgesetzt, wenden wir uns der Performanceoptimie-
rung der aktuellen vSphere-Version zu.

er erste Block des neuen Trainings
D widmet sich den fr die Praxis in-
teressantesten Neuerungen in der Admi-
nistration von vSphere. So zeigt unser
Trainer Jan Groe etwa, wie die Inhalts-
bibliothek Content Library ermg-
licht, Inhalte von einer zentralen Stelle
aus zu speichern und verwalten. So sind
Administratoren in der Lage, Inhalte lo-
gisch in mehreren Bibliotheken zu orga-
nisieren und den Storage jeder einzelnen
Bibliothek individuell zu konfigurieren
und zu verwalten.
Darber hinaus wenden wir uns dem Up-
date Manager im Web-Client zu und rich-
ten ber den Platform Service Controller
Single Sign-on und andere Security-Funk-
tionen ein. Der erste Inhaltsblock wird
Fachliche Leitung / Dozent
Jan Groe hat mehr
als 12 Jahre Erfahrung
bei der Planung und
Umsetzung von Infra-
struktur- und Virtuali-
sierungsprojekten. Er
hat dabei den Aufbau
von vielen groen Vir-
tualisierungsstrukturen
verantwortlich geleitet.
Jan Groe arbeitet als
Senior Consultant bei
der Login Consultants Germany GmbH und
beschftigt sich schwerpunktmig mit den
Themen VMware vSphere und End User
Computing.
dann abgerundet mit der Administration
der Verfgbarkeitsfunktionen vMotion
und Fault Tolerance.
Im zweiten Teil des Tages werfen wir
dann einen Blick auf neue Technologien
im vSphere-kosystem. So hat beispiels-
weise vSAN nunmehr einen technolo-
gischen Reifegrad erreicht, der es taug-
lich fr den Produktivbetrieb macht.
VVOLS virtualisieren SAN- und NAS-
Gerte und teilen diese durch die Abs-
trahierung physischer Ressourcen in lo-
gische Kapazittspools ein. Und als letzte
neue Technologie rckt die Netzwerk-
virtualisierung mit NSX in unser Blick-
feld. Hier steht neben der Abstrahierung
der Netzwerkgerte in Software die Mi-
krosegmentierung fr ein hheres Se-
curity-Niveau im Fokus.
Den Abschluss des Trainings bildet dann
ein Block, indem die Teilnehmer erfahren,
welche Performanceindikatoren sie stets
im Blick haben sollten und wie sich daraus
geeignete Optimierungsmanahmen ab-
leiten lassen.
Alle Details der Agenda sowie Veran-
staltungsorte und -termine finden Sie
im Kasten auf dieser Seite. Der Link im
Kasten fhrt Sie zu erweiterten Infor-
mationen rund um das Training sowie
zu einer komfortablen Anmeldemg-
lichkeit. Wir freuen uns darauf, Sie in
Herbst auf einem unserer Trainings be-
gren zu drfen.
vSphere 6 optimal betreiben
Die Inhalte des Trainings
vSphere 6.0 (U1) im Praxisbetrieb
- Content Library einrichten und verwenden
- Update Manager via WebClient (U1)
- Platform Service Controller
- vMotion einsetzen
- Fault Tolerance
Neue Techniken in der Praxis
- vSAN
- VVOLs
- NSX
Performance-Check und -Optimierung
- Die wichtigsten Performanceindikatoren
- Optimierung von vSphere
Dozent: Jan Groe, Login Consultants GmbH
Termin & Ort
6. September: Hamburg
ExperTeach Training Center Hamburg,
Esplanade 6, 20354 Hamburg
13. September: Mnchen
ExperTeach Training Center Mnchen,
Wredestr. 11, 80335 Mnchen
Teilnahmegebhren
Die Teilnahmegebhr fr das Training beluft
sich fr IT-Administrator Abonnenten auf
215,90 Euro inklusive 19% Mehrwertsteuer.
Fr Nicht-Abonnenten wird eine Gebhr von
274,90 Euro (inklusive 19% MwSt.) fllig.
Die Teilnahmegebhr umfasst das Training in-
klusive Dokumentation und das Mittagessen
sowie Kaffeepausen am Trainingstag.
Das Anmeldeformular und ausfhrliche
Inhalte zu allen Trainings finden Sie unter
www.it-administrator.de/trainings

www.it-administrator.de Juli 2016 15

VMware vRealize Automation 7
Motor fr die Cloud
von Dr. Guido Sldner, Constantin Sldner und Jens Sldner
VMware bietet mit der vRealize-Suite eine
Plattform zum Aufbau einer unternehmensin-
ternen Cloud-Umgebung. Herzstck der
Suite ist vRealize Automation, eine
Cloud-Management-Plattform, die
nunmehr in Version 7 vorliegt. Sie
verspricht schnelle Provisionierung
ber den Self-Service-Katalog, die
automatische Bereitstellung auch
komplexer Dienste sowie eine her-
stellerbergreifende Verwaltung
von Cloud-Ressourcen.
as Haupteinsatzgebiet von vRealize
D Automation ist die automatisierte
und standardisierte Bereitstellung von In-
frastruktur-Ressourcen von einzelnen vir-
tuellen Maschinen bis hin zu komplexen
Umgebungen fr Entwickler und Anwen-
der. In vielen Unternehmen ist dies noch
ein manueller Prozess, bei dem das Pro-
visionieren derartiger Ressourcen meh-
rere Tage oder sogar Wochen dauern
kann. Benutzer von vRealize Automation
knnen dagegen gewnschte Umgebun-
gen in einem webbasierten Self-Service-
Katalog bestellen und warten, bis vRealize
Automation diese mittels Automatisie-
rungstechniken komplett bereitstellt in
der Regel sind derartige Entwicklungs-
umgebungen innerhalb weniger Minuten
fr den Besteller vollautomatisch erzeugt.
Mit seiner Automatisierungslsung kon-
zentriert sich VMware hauptschlich auf
das Erzeugen von Infrastruktur-Kom-
ponenten also einzelne oder ganze Ver-
bnde von virtuellen Maschinen samt
dazugehrigen Netzwerken und Fire-
walls, aber auch Komponenten wie vir-
tualisierte Loadbalancer und Router. Da-
rber hinaus ist es aber auch mglich,
16 Juli 2016
nahezu beliebige Services wie zum Bei-
spiel das Zurcksetzen von Passwrtern
oder das Erzeugen neuer Benutzer im
Active Directory im mitgelieferten Self-
Service-Katalog zu verffentlichen. Dies
gelingt mit Hilfe von vRealize Orchestra-
tor eine von VMware fr vSphere-Kun-
den kostenfrei bereitgestellte Orchestrie-
rungsengine. Diese Engine spielt fr die
vRealize-Produkte eine wichtige Vermitt-
lerrolle und kann inzwischen auf eine
breite Untersttzung in der VMware-
Community zhlen; zudem sind fr sie
viele zustzliche Plug-ins verfgbar.
Ein weiteres Einsatzfeld fr vRealize Au-
tomation ist die Untersttzung von kom-
plexen DevOps-Umgebungen. Dabei geht
es nicht mehr nur um das Erzeugen von
einzelnen Infrastruktur-Komponenten,
vielmehr spielt das Bereitstellen von fer-
tigen Applikationen und deren Verwal-
tung ber den gesamten Lebenszyklus
vom Erzeugen und Update einer Ap-
plikation bis zum Lschen eine Rolle.
Neben der automatisierten Erstellung von
Ressourcen steht aber auch die Gover-
nance bei vielen Unternehmen im Fokus.
Quelle: Dmitriy Shpilko 123RF
So erlaubt das Produkt, den kompletten
Lebenszyklus von bereitgestellten Res-
sourcen ber Richtlinien und Prozesse
zu steuern. Dies beinhaltet unter anderem
mehrstufige Genehmigungsprozesse oder
genaue Richtlinien ber die Bereitstel-
lungsdauer von Ressourcen.
VMware vRealize Automation 7
Produkt
Software zur Verwaltung und Provisionierung
von Cloud-Infrastrukturen.
Hersteller
VMware
www.vmware.com
Preis
In der Advanced-Lizenz zur Verwaltung von 25
VMs ist vRealize Automation ab etwa 6.500
Euro zu haben. Die Enterprise-Lizenz beginnt
bei 11.250 Euro.
Systemvoraussetzungen
vRealize Automation stellt teilweise sehr hohe
Hardwareanforderungen und die einzelnen
Komponenten unterliegen differenzierten An-
forderungen, die sich dem Datenblatt entneh-
men lassen.
Technische Daten
www.it-administrator.de/downloads/
datenbltter
www.it-administrator.de

Bild 1: Der neue Installationsassistent nimmt dem Admin viel Konfigurationsarbeit ab.
Installation deutlich vereinfacht
Aufgrund der Komplexitt und der His-
torie des Produktes war die Installation
von vRealize Automation in vorherigen
Versionen immer ein anspruchsvolles Un-
terfangen. VMware ist seit drei Jahren da-
bei, das ursprnglich Windows-basieren-
de Produkt schrittweise auf Linux zu
portieren. Whrend das Deployment der
mitgelieferten Linux-Appliances problem-
los vonstattengeht, war bei der Vorgn-
gerversion viel manuelle Konfigurations-
arbeit fr die verbliebenen Windows-
Komponenten angesagt. VMware hat sich
dieses Kritikpunkts in der neuen Version
angenommen und einen umfangreichen
webbasierten Installationswizard bereit-
gestellt, der eine verteilte Installation fr
verschiedene Deployment-Szenarien
(kleine, mittlere oder groe Umgebungen)
durchfhren kann.
Fr Systemadministratoren vereinfacht
sich somit die Installation grundlegend
im Groen und Ganzen mssen Admi-
nistratoren nur noch Vorarbeiten wie das
Bereitstellen eines Microsoft SQL Servers
und die grundlegende Konfiguration von
Windows-Maschinen durchfhren, was
eine groe Erleichterung im Vergleich zu
Vorgngerversionen darstellt. Selbst gr-
ere Umgebungen lassen sich somit in-
nerhalb kurzer Zeit aufsetzen.
Architektur und Betrieb
Aufgrund der Historie des Produktes ver-
teilen sich die einzelnen vRealize-Kom-
ponenten sowohl auf die Windows-In-
stanzen als auch auf die Linux-Appliances.
Mit Version 6 ist VMware dazu berge-
gangen, Features, die in der Vorversion
auf Windows aufsetzen, Zug um Zug auf
Linux zu portieren. Ein minimales De-
www.it-administrator.de
ployment das fr kleine, Test- oder Trai-
ningsumgebungen gengt bentigt so-
mit mindestens eine Linux-Appliance und
einen Windows-Knoten samt Microsoft
SQL Server.
Bei mittleren und greren Umgebungen
mit Hochverfgbarkeitsanforderungen
steigert sich die Anzahl der Knoten in der
vRealize-Automation-Umgebung deutlich.
Bild 2 illustriert dabei das logische Design
fr ein Enterprise-Deployment: Neben ei-
nem Cluster aus Linux-Appliances samt
Loadbalancer sind zwei weitere Windows-
Cluster zu verwalten. Dies ist zum einen
ein Model Manager-Cluster, der fr die
Speicherung der IaaS-Daten und Deploy-
ment-Workflows verantwortlich ist, und
zum Zweiten ein Manager Service, der die
Kommunikation mit externen Systemen
wie vSphere, Hyper-V oder auch Public
Cloud-Umgebungen wie AWS bernimmt.
Die Kommunikation mit den zugrunde-
liegenden Hypervisoren und Cloud-Pro-
vidern findet mittels "DEM Worker" und
Agenten statt.
Trotz der Komplexitt des Produktes ge-
lingt die Betriebsverwaltung der vRealize
Automation-Umgebung mit erstaunlich
wenig Aufwand vor allem auch, weil es
VMware erlaubt, die Installation zentral
zu steuern und zu warten.
Umfassende Bereitstellung
mit dem Self-Service-Katalog
Der wichtigste Baustein des vRealize-Au-
tomation-Portals ist der Self-Service-Ka-
talog. Dieser stellt die zentrale Schnittstelle
zwischen Cloud-Konsumenten und Ser-
vice-Providern dar und lsst sich am ein-
fachsten als Online-Shop fr IT-Services
beschreiben. Die Anforderungen an einen
vRealize Automation Te s t s
Service-Katalog lassen sich einfach zusam-
menfassen: Zum einen sollte ein Katalog
einfach zu bedienen sein als auch eine
wohldefinierte Auswahl an zu bestellenden
Diensten bereitstellen knnen. Zum an-
deren sollte der Katalog in der Lage sein,
zu bestellende Dienste mglichst granular
zu verffentlichen. Im Fall von virtuellen
Maschinen bedeutet dies beispielsweise,
dass Konsumenten vor der Bestellung un-
ter anderem Anpassungen an CPU, Spei-
cher, Storage vornehmen knnen.
Natrlich ist es auch von Vorteil, wenn
Administratoren die Mglichkeit haben,
sowohl vorhandene Formulare anzupassen
als auch neue zu erstellen. Da der Katalog
von unterschiedlichen Benutzergruppen
bedient wird, ist auch die einfache und
zentrale Administration von Benutzerbe-
rechtigungen unabdingbar. Ein derart an-
passbarer Service-Katalog war schon im-
mer die Strke von vRealize Automation.
Im Zusammenspiel mit vRealize Orches-
trator erweitern sich die Bereitstellungs-
mglichkeiten sogar auf beliebige IT-Ser-
vices, sofern diese mit dem Orchestrator
automatisiert werden knnen ein groes
Plus gegenber der Konkurrenz.
Ein weiteres wichtiges Feature insbeson-
dere fr groe Unternehmen und Cloud-
Provider stellt die Mandantenfhigkeit
dar. Dabei ist es wichtig, fr jeden Man-
danten eine dedizierte Organisationsein-
heit samt getrenntem Verzeichnisdienst,
eigenen Berechtigungen und Services so-
wie isolierten Hardware-Ressourcen zum
Deployment virtueller Maschinen bereit-
zustellen. Auch hier kann vRealize Auto-
mation gut punkten. Ein kleiner Wermuts-
tropfen bleibt jedoch: So kann vRealize
Automation keine mandantenspezifischen
Datastore-Bibliotheken abbilden, zum Bei-
spiel zum Speichern von ISO-Images.
Cloud-Ressourcen
aller Art leicht verwalten
Das Hauptaufgabengebiet jeder Cloud-Ma-
nagement-Plattform ist es, die zugrunde-
liegenden Cloud-Ressourcen an die Cloud-
Plattform zu binden und es Konsumenten
zu ermglichen, dort Services zu provisio-
nieren. All dies ermglicht vRealize Auto-
mation. Dabei ist es nicht nur mglich,
VMware-Ressourcen wie vCenter-Cluster
Juli 2016 17
 Te s t s vRealize Automation
anzubinden, sondern auch eine Reihe von
anderen Anbietern. So knnen Adminis-
tratoren sehr einfach Microsoft Hyper-V,
Microsoft SCCM, KVM, Citrix, vCloud
Director, vCloud Air oder Amazon Web
Services (AWS) integrieren. Nicht umsonst
positioniert VMware vRealize Automation
als Multi-Cloud-Management-Plattform.
Nichtsdestotrotz gilt es natrlich festzuhal-
ten, dass das Tool vor allem in VMware-
Umgebungen seine volle Strke ausspielen
kann, auch weil eine gute Integration zu
anderen VMware-Produkten wie NSX (zur
Netzwerkvirtualisierung und Security-Au-
tomatisierung), vRealize Operations (zur
berwachung und Kapazittsplanung)
oder auch vRealize Log Insight (Log-Aus-
wertung) existiert.
Um Cloud-Ressourcen zu verwalten und
den Benutzern des Self-Service-Portals zu-
gnglich zu machen, implementiert vRea-
lize Automation eine Art logisches Schich-
tenmodell zur Abstraktion. Die unterste
Schicht stellen die anzubindenden Hyper-
visoren oder Cloud-Provider dar. Damit
vRealize Automation auf diese zugreifen
kann, mssen Administratoren Endpoints
konfigurieren. Die daraufhin gefundenen
Ressourcen bilden dann die Fabric ab.
Cloud-Administratoren knnen dann Fa-
bric-Ressourcen nach gewissen Kriterien
gruppieren. Beispielsweise wre es mglich,
alle Ressourcen in einem Standort zu einer
Fabric-Gruppe zusammenzufassen. Aber
auch viele andere Kriterien sind mglich.
Fabric-Gruppen knnen zur Isolation von
Hardware-Ressourcen, zur Bildung von
Service Tiers, aus lizenzrechtlichen Grn-
den (beispielsweise beim Erzeugen einer
Fabric-Gruppe fr Microsoft SQL Server)
oder aufgrund von anderen Kriterien er-
zeugt werden.
Mandanten (Tenants) werden wiederum
in Business-Gruppen unterteilt. Diese
stellen in der Regel Organisationseinhei-
ten wie eine Abteilung oder aber auch ein
Kundenprojekt dar, das eine dedizierte
Benutzerverwaltung und Ressourcenzu-
weisung bentigt. Damit Business Groups
die Mglichkeit erhalten, die zugrunde-
liegenden Ressourcen zur Bereitstellung
von Infrastrukturdiensten zu nutzen, ste-
hen Reservierungen zur Verfgung. Dabei
stellt eine Reservierung eine 1-zu-1-Zu-
18 Juli 2016
Bild 2: ber den Service-Katalog knnen Anwender in Minutenschnelle Ressourcen anfordern.
ordnung zwischen einer zugrundeliegen-
den Ressource und einer Business-Grup-
pe dar. Wichtig sind Reservierungen auch
deshalb, weil Administratoren damit steu-
ern, wieviel Betriebsmittel vRealize Au-
tomation den einzelnen Business-Grup-
pen zur Verfgung stellen soll. Als Be-
triebsmittel gelten Rechenressourcen, Ar-
beitsspeicher, Storage oder verfgbare
Netzwerke. Falls die in der Reservierung
konfigurierten Betriebsmittel fr eine
Business-Gruppe erschpft sind, ist kein
weiteres Provisionieren durch die ent-
sprechende Reservierung mehr mglich.
Insgesamt kann das von vRealize Auto-
mation implementierte Schichtenmodell
berzeugen. Es stellt eine Abstraktion zu-
grundeliegender Virtualisierungs- bezie-
hungsweise Cloud-Plattformen dar und
ermglicht somit die von VMware be-
worbene breite Untersttzung von unter-
schiedlichsten Hypervisoren und Cloud-
Anbietern. Gleichzeitig ist der Ansatz
derart flexibel, dass damit umfangreiche
Kundenanforderungen und Erweiterun-
gen einfach umsetzbar sind.
Einfache Bereitstellung
auch komplexer Dienste
Bevor sich der Service-Katalog befllen
lsst, mssen Administratoren zuerst die
zu verffentlichenden Dienste in vRealize
Automation definieren. Das zentrale Ele-
ment zur Verffentlichung ist in vRealize
Automation der "Blueprint", der alle As-
pekte eines Dienstes abhandelt. Im Falle
von virtuellen Maschinen umfasst dies die
eigentlichen Hardware-Ressourcen (CPU,
Arbeitsspeicher, Festplattenspeicher), aber
auch die Deployment-Vorgehensweise. So
kann vRealize Automation eine Maschine
beispielsweise mittels (Linked-) Cloning
erzeugen, untersttzt aber gleichzeitig auch
Techniken wie das Booten von ISO-
Images, Linux Kickstart, System Center
Configuration Manager (SCCM) oder
Windows Imaging Format (WIM).
Besonderes Augenmerk hat VMware in
der jngsten Version auf das Erzeugen von
Rechnerverbnden und Applikationen ge-
legt. Hier sticht besonders der neue Blue-
print Designer hervor, der das Erzeugen
komplexer Entwurfsvorlagen fr Applika-
tionsumgebungen mittels Drag-and-Drop-
Techniken erlaubt. Durch die Integration
mit VMware NSX ist es auch mglich, Ap-
plikationen mitsamt dynamisch erzeugtem
Netzwerk-Stack und verschiedenen Netz-
werk-Tiers zu provisionieren.
Neben dem intuitiv nutzbaren Blueprint
Designer ist es VMware in der jngsten
Version daran gelegen, nicht nur virtuelle
Maschinen zu deployen, sondern in die-
sen auch Software zu installieren bezie-
hungsweise konfigurieren zu knnen.
Dies gelingt mit den neuen Software-
Komponenten, eine Art von wiederver-
wendbaren Modulen zur Ausfhrung von
CMD-, PowerShell-, Bash-Skripten in vir-
tuellen Maschinen, die im Blueprint De-
signer mittels Drag-and-Drop einfach auf
virtuelle Maschinen angewendet werden
knnen. Damit Cloud-Betreiber nicht alle
Software-Komponenten neu implemen-
tieren mssen, stellt VMware auf seinem
Solution-Exchange-Marketplace bereits
eine Reihe fertiger Komponenten (zum
Beispiel fr Microsoft SQL Server, Mi-
crosoft SharePoint, JBoss-Applikations-
server oder auch MySQL) zur Verfgung.
Wem das nicht gengt, der kann natrlich
auch auf einfache Art und Weise ein Kon-
figurations-Management-Tool wie Chef
www.it-administrator.de

oder Puppet in den Provisionierungspro-
zess einbinden.
Neu ist auch die Mglichkeit, Blueprints
als "Infastructure as Code" (IaC) zu spei-
chern. So knnen Administratoren jeden
Blueprint mittels eines Kommandozei-
len-Tools als YAML-Datei exportieren
oder importieren. Dies ist besonders in-
teressant, da es dieser Ansatz erlaubt, ver-
schiedene Versionen eines Blueprints in
einem Softwareverwaltungstool wie Git-
hub abzulegen, in eine andere Installation
einzuspielen oder wieder zu einem lteren
Blueprint-Stand zurckzukehren.
Zustzliche Features
selbst erstellen
Obwohl vRealize Automation bereits viele
Features out of the box bereithlt, ist es
doch in den meisten Unternehmen not-
wendig, zustzliche Features zu imple-
mentieren oder zumindest das Produkt
so anzupassen, dass unternehmensinterne
Richtlinien umgesetzt werden knnen.
Die Liste denkbarer Anpassungen ist lang.
Einfache Anpassungen betreffen oft nur
Formulare im Service-Katalog, bei denen
es notwendig ist, zustzliche Felder hin-
zuzufgen oder vorhandene Eingabefelder
mit Einschrnkungen zu versehen. Oft ist
es notwendig, den Lebenszyklus einer vir-
tuellen Maschine anzupassen. So kann es
sein, dass vor dem eigentlichen Bereitstel-
len der Maschine eine Integration in ein
unternehmensweites IP-Adressmanage-
ment-Tool erforderlich ist, um eine gltige
IP-Adresse, Hostnamen oder das zu be-
Bild 3: ber Blueprints lassen sich alle Aspekte auch komplexer Installationen abbilden. Hier am
Beispiel einer Applikation bestehend aus drei Knoten einem Loadbalancer, einem Applikations-
server und einem Datenbank-Knoten.
www.it-administrator.de
nutzende Netzwerk zu bestimmen. Nach-
dem die Bereitstellung abgeschlossen ist,
ist es in vielen Unternehmen blich, einen
Eintrag in eine Configuration Manage-
ment Database (CMDB) vorzunehmen.
Auch kann eine Archivierung der Daten
vor dem Lschen einer Maschine notwen-
dig sein. Fr derartige Anpassungen am
Lebenszyklus eines Services dient der
vRealize Orchestrator.
Auch fr bereits provisionierte Ressourcen
knnen Erweiterungen notwendig sein.
So ist es denkbar, dass Benutzer sich im
User Interface einen weiteren Knopf wn-
schen, der ein vollautomatisiertes Backup
durchfhrt oder bei Bedarf einen Viren-
scanner nachinstalliert. Solche Operatio-
nen bezeichnet VMware als Tag-2-Ope-
rationen, weil deren Ausfhrung zeitlich
nicht mit der ursprnglichen Bereitstel-
lung der Ressource zusammenfllt.
Generell propagiert VMware den Einsatz
des hauseigenen Orchestrators, um Work-
flows in einem VMware-zentrischen ko-
system zu implementieren. Der Service-
Katalog von vRealize Automation ist
zudem genau darauf ausgelegt, um in Or-
chestrator entwickelte Workflows zu ver-
ffentlichen. Solche Workflows mssen
Unternehmen nicht von Grund auf selber
entwickeln, vielmehr hat sich um Orches-
trator mittlerweile ein mchtiges kosys-
tem gebildet. So bieten viele Hersteller fer-
tige Plug-ins fr Orchestrator an, dessen
Workflows wiederum im Self-Service-Ka-
talog verffentlicht werden knnen. Als
Beispiel seien an dieser Stelle nur die Plug-
vRealize Automation Te s t s
ins verschiedener Storage-Hersteller ge-
nannt, die beispielsweise das automatisierte
Erstellen und Einbinden von zustzlichen
LUNs erlauben. Da solche Services nahezu
jegliche Funktionalitt umfassen knnen,
bezeichnet VMware diese auch in Abgren-
zung zu Infrastruktur-Diensten als "Any-
thing-as-a-Service" (XaaS).
Whrend es in Vorgngerversionen bereits
mglich war, derartige Anpassungen vor-
zunehmen, hat VMware in der jngsten
Version daran gearbeitet, die Entwicklung
mglichst einfach zu gestalten. Dies betrifft
eine weitere Vereinfachung der API, aber
auch die zentrale Verwaltung und Ver-
knpfung von Ereignissen mit Workflows.
Dabei herausgekommen ist der sogenannte
Event-Broker, der es an zentraler Stelle er-
mglicht, Orchestrator Workflows anzu-
triggern. Neben den Lebenszyklus-Ereig-
nissen einer virtuellen Maschine (wie zum
Beispiel Anforderung oder Bereitstellung
einer virtuellen Maschine) umfasst dies
auch Genehmigungsworkflows, Konfigu-
rationsnderungen, Tag-2-Operationen
wie das Einschalten oder Ausschalten von
Maschinen oder Event-Logging. Darber
hinaus ist an dieser Stelle noch erwhnens-
wert, dass das Produkt mit einer gut do-
kumentierten REST-Schnittstelle und einer
eigenen CLI aufwartet.
Inklusive Kostenbersicht
Neben der technischen Bereitstellung von
virtuellen Maschinen und Services ist es
in greren Umgebung von zentraler Be-
deutung, einen berblick ber die Finan-
zen zu erhalten. Dies ist von besonderem
Interesse, da IT-Abteilungen immer
angehalten sind, Kostentransparenz zu
gewhrleisten und somit Ausgaben recht-
fertigen zu knnen. Um bei der Berech-
nung der Gesamtkosten der Cloud zu hel-
fen und diese Kosten auf bereitzustellende
Services umzulegen, bndelt VMware das
Costing-Produkt "vRealize Business" in
der Standard-Edition zusammen mit
vRealize Automation.
In der Standard-Edition kann vRealize
Business einfach als Appliance ausgerollt
und an vRealize Automation angebunden
werden. Nachdem die Konfiguration ab-
geschlossen ist, knnen Administratoren
dann auf relativ einfache Art und Weise
Juli 2016 19
 Te s t s vRealize Automation
Bild 4: ber den vRealize Orchestrator lassen sich Workflows aufsetzen, die bei Bedarf auch Plug-ins
von Drittherstellern bercksichtigen.
eine Bepreisung im Katalog vornehmen.
Benutzer des Cloud-Management-Portals
erhalten somit Kostentransparenz ber
ihre bereitgestellten Ressourcen und kn-
nen jederzeit feststellen, wie hoch die fr
sie entstehenden Kosten ausfallen.
Zusammenspiel mit
anderen VMware-Produkten
Der Aufbau einer unternehmenseigenen
Cloud-Infrastruktur ist ein umfangreiches
Unterfangen. Obwohl vRealize Automa-
tion bereits ein groes Feature-Set imple-
mentiert, ist ein Zusammenspiel mit an-
deren Produkten unabdingbar, um alle
Kundenanforderungen zu erfllen. Auch
bei der aktuellen Version ist VMware be-
sonders daran gelegen, die Koppelung an
andere hauseigene Produkte derart zu er-
leichtern, dass der Integrationsaufwand
berschaubar bleibt.
Besonders gut ist die Integration von
VMware NSX gelungen und ermglicht
auf einfache und schnelle Weise, Netz-
werkkomponenten dynamisch bereitzu-
stellen. Dies umfasst sowohl die Erzeugung
von ganzen Netzwerken als auch das
automatisierte Deployment von Loadba-
lancern sowie die Definition von Firewall-
Regeln zur Steuerung der Netzwerkkom-
munikation. Was jedoch in der aktuellen
Version leider immer noch fehlt, ist ein
Mechanismus hnlich wie Amazon Auto-
scaling, um Anwendungen mittels eines
Loadbalancers durch Hinzufgen von wei-
teren Knoten horizontal zu skalieren hier
verweist VMware auf knftige Versionen.
20 Juli 2016
Auch fr das Thema Monitoring und Ka-
pazittsplanung hat VMware eine Lsung.
vRealize Operations kann sowohl die
vRealize-Automation-Infrastruktur als
auch die von Konsumenten erzeugten
Workloads berwachen. Die eingebaute
Reporting-Engine von vRealize Opera-
tions erlaubt darber hinaus die schnelle
Erzeugung von Berichten ber die Per-
formance und den Auslastungsstand der
Cloud-Umgebung.
Neben dem Monitoring bietet VMware
mit LogInsight auch ein dediziertes Tool
zur Log-berwachung an. Auch hier ge-
lingt eine Integration in vRealize Auto-
mation spielend. So knnen sowohl die
vRealize-Automation-Infrastruktur als
auch bereitgestellte virtuelle Maschinen
schnell in die zentrale Logberwachung
mit aufgenommen werden.
Insgesamt gibt die Integration mit ande-
ren VMware-Produkten ein rundes Bild
ab und es zeigt sich, dass VMware sehr
daran gelegen ist, die einzelnen Produkte
gut aufeinander abzustimmen. Dies ist
insbesondere zu Vergleichsprodukten ein
groes Plus, bei denen die Integration be-
dingt durch fehlende Schnittstellen oder
unterschiedliche Versionsstnde groes
Kopfzerbrechen bereiten kann.
Fazit
Bereits mit frheren Versionen hatte VM-
ware mit vRealize Automation eine im
Markt fhrende Cloud-Management-
Plattform im Portfolio, die mit der aktu-
ellen Version 7 nochmals stark verbessert
worden ist. Die Vorzge der Lsung lie-
gen vor allem im groen Feature-Set, so-
dass sich bei vielen Unternehmen mg-
liche Erweiterungen und Anpassungen
durchaus im Rahmen halten. Falls eigene
Entwicklungen dennoch unabdingbar
sein sollten, kann vRealize Automation
mit berzeugenden Erweiterungsmg-
lichkeiten und Tools wie vRealize Orches-
trator aufwarten.
Die Architektur des Produktes ist auf-
grund der Windows-Historie leider kom-
plex, VMware hat es aber geschafft mit
guter Tooluntersttzung den Betriebsauf-
wand in Grenzen zu halten. berzeugend
ist auch die Integration in andere VMwa-
re-Produkte sei es denn NSX, vRealize
Operations oder auch LogInsight. Mitt-
lerweile hat sich zudem am Markt ein
richtiges kosystem fr VMwares Cloud-
Lsung gebildet. Wie bei der Einfhrung
jeder Cloud-Management-Plattform soll-
ten Sie jedoch nicht den Konzeptionie-
rungsaufwand vergessen, der notwendig
ist, um das Produkt in einer greren
Umgebung zu implementieren. (jp)
So urteilt IT-Administrator
Bereitstellung 7
Self-Service-Katalog 9
Konfigurationsmglichkeiten 8
Erweiterbarkeit 10
Interne Kostenverrechnung 8
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal fr Unternehmen, die bereits
Erfahrung mit Automatisierung haben und
eine Unternehmens-Cloud-Plattform bereit-
stellen wollen.
bedingt fr Unternehmen, die bisher nicht
auf VMware-Virtualisierung setzen. vRealize
Automation hat zwar breite Untersttzung
fr Fremdsysteme, aber die Integration in
VMware-Produkte steht im Vordergrund.
nicht fr Infrastrukturen, in denen wenig
neue Services bereitgestellt werden mssen.
www.it-administrator.de
 ANZEIGE

High-End Thin Client

mit 4K-Untersttzung
und Vierkern-Prozessor
Mit dem t730 hat HP den weltweit ersten Thin Client mit nativer Un-
tersttzung von Ultra-High-Definition-Displays auf den Markt gebracht.
Dank des AMD-Quad-Prozessors ist der t730 der leistungsstrkste
Thin Client im Portfolio von HP. Auch anspruchsvollste Workstation-
Anwendungen lassen sich somit problemlos ausfhren. Der HP t730
eignet sich deshalb insbesondere fr Anwendungen im CAD-Bereich
sowie fr Videobearbeitung und Unified Communications wie Skype
for Business. Hochauflsende Videokonferenzen in 4K-Auflsung
werden einfach mhelos bewltigt.

Nativ untersttzt der HP t730 bis zu vier Monitore bei einer 4K-Auf-
lsung. Mit einer optional verfgbaren AMD-FirePro-Grafikkarte knnen
sogar bis zu sechs Monitore gleichzeitig genutzt werden. Anwender
profitieren bei einer Auflsung von 3840 x 2160 Bildpunkten von
einer atemberaubenden Bildschrfe und hoher Bildgenauigkeit.

Fr ein besonders hohes Ma an Rechenleistung sorgen Prozes-
soren der AMD-R-Serie mit bis zu 3,6 GHz getakteten Vierkern-
APUs und Turbo-Core-Technologie. Damit verfgt der HP t730
ber gengend Leistung, um nahtlos in VDI-Umgebungen integriert
zu werden sowie lokale Anwendungen auszufhren. An Arbeits-
speicher stehen bis zu 16 GB DDR3L-1600 SDRAM zur Verfgung.
Bei dem internen Speicher kann zwischen 8, 16, 32 und 128 GB
MLC-Flash-Speicher oder 16 beziehungsweise 32 GB UMLC-
Flash-Speicher gewhlt werden.
Durch die nahtlose Integration des HP t730 in Cloud-Infrastrukturen
wird eine Arbeitsplatz-Unabhngigkeit ermglicht. Untersttzt wird
dieser Prozess durch die Cloud-Steuerung HP Easy Shell. Mit dieser
Software werden Cloud-basierte Arbeitspltze (VDI) und Kiosk-
Systeme besonders effizient und sicher betrieben. Fr eine optimale
Zusammenarbeit knnen von jedem Thin Client aus auf die zentral
in der Cloud gespeicherten Daten zugegriffen werden. Somit ms-
sen keine kritischen Informationen direkt auf dem HP t730 hin-
terlegt werden.

Auch hinsichtlich der Schnittstellen bietet der HP t730 eine Vielzahl Der HP Thin Client t730 ist ab einem Preis von 660 Euro UVP zzgl.
an Mglichkeiten. So befinden sich auf der Vorderseite zweimal Mehrwertsteuer bei Ihrem Fachhndler erhltlich.
USB 3.0, zweimal USB 2.0 sowie je ein Kopfhrer- und
Kopfhrer/Mikrofon-Anschluss. Auf der Rckseite sind zudem viermal Weitere Informationen zum HP Thin Client t730 finden Sie unter
USB 2.0, viermal DisplayPort 1.2, zweimal PS/2, zwei serielle und www.hp.com/de/t730
ein paralleler Anschluss sowie ein Audioeingang und ein Audio-
ausgang untergebracht. Zustzlich zum ultraschnellen RJ-45-Giga-
bit-Port kann der t730 ber weitere LAN-Anschlsse in beliebige
WLAN- und Lichtwellenleiter-Infrastrukturen integriert werden.

Bei den Betriebssystemen haben Kunden die Wahl zwischen Zero-,

Linux- und Windows-basierten Varianten. Neben den eigenen Smart-
Zero- und ThinPro-Betriebssystemen bietet HP zudem von
Microsoft das 64Bit WES7 sowie das neue Windows 10 IoT an.
GridVision

Bewlkte Aussicht
frs Management
von Jrgen Heyer

Die Next-Generation-Plattform GridVision fr IT-Automation und

-Management arbeitet vllig cloud-basiert und bentigt somit keinerlei
Hardwareressourcen im Unternehmen. Gleichzeitig wirbt sie mit einem
breiten Einsatzbereich gleichermaen fr virtualisierte, On-Premise und
Cloud-basierte Komponenten. Der IT-Administrator wollte genauer wis-
sen, wie sich das Management aus der Wolke und fr die Wolke anfhlt.

Quelle: 4max 123RF

ank unterschiedlicher potenzieller
D Betriebsszenarien adressiert die
IT-Automations- und -Management-
Plattform GridVision sowohl Managed
Service Provider (MSP) als auch kleine
und mittelgroe Unternehmen auf direk-
tem Wege. So kann beispielsweise ein IT-
Systemhaus ber GridVision fr seine
Kunden, die kein eigenes Systemma-
nagement betreiben, eine Betreuung der
Server und Arbeitspltze als Dienstleis-
tung anbieten. Genauso kann ein Unter-
nehmen GridVision mit seinen Adminis-
tratoren komplett in Eigenregie nutzen.
Aus Sicht eines MSP ist die Lsung inso-
fern attraktiv, da er via Internet von einer
zentralen Stelle aus viele Kundenumge-
bungen beaufsichtigen kann, ohne eine
grere eigene Infrastruktur aufbauen zu
mssen. Genau dieser Umstand ist ebenso
fr kleine und mittelgroe Unternehmen
interessant, wenn sie fr eine Steuerung
und berwachung nicht in eigene Hard-
ware investieren sowie den Betriebsauf-
wand gering halten wollen. Dass die L-
sung dank der Cloud-Basis sehr flexibel
skaliert, ist ein weiteres Argument fr alle
Seiten und niemand muss fr die Nut-
zung in Vorleistung gehen.
Ein weiterer Vorteil gerade fr kleine Un-
ternehmen ist die Mglichkeit zum kos-
tenlosen Einstieg ber die so genannte
Community Edition, die sich allerdings
kaum ausbauen lsst. Bei einem produk-
tiven Einsatz fhrt letztendlich kein Weg
um die Professional Edition herum, die
anhand der verwalteten Gerte und Be-
nutzer abgerechnet wird. Auch erlaubt
nur diese Version die Nutzung optionaler
Add-on Packs. Passend zum Schwerpunkt
dieser Ausgabe des IT-Administrator steht
auch ein Add-on Pack mit im Fokus des
Tests, nmlich "Virtual&Cloud". Diese
Ergnzung erlaubt das Management von
Amazon S3, Office 365 sowie Hyper-V-
Umgebungen. Aus diesem Grund gehen
wir sowohl auf die Grundfunktionen von
GridVision als auch auf die genannte Er-
gnzung ein.
bersichtlicher Schnelleinstieg
Der Einstieg ist denkbar einfach, indem
der Interessent mit einem Benutzer so-
wie einem Passwort einen Zugang zum
GridVision-Administrationsportal anlegt
und einen Plan (Community oder Pro-
fessional) auswhlt. Whrend beim
Community-Plan anschlieend weitere
persnliche Daten abgefragt werden,
muss der Interessent beim Professional-
Plan die Anzahl der zu verwaltenden
Gerte und Benutzer (jeweils Minimum
100) angeben. Die jhrlichen Kosten lie-
gen letztendlich bei mindestens 900 US-

22 Juli 2016 www.it-administrator.de


Dollar. Weiterhin kann er zustzliche
Add-on Packs zu je 50 US-Dollar aus-
whlen, wobei aktuell zwei angeboten
werden. Das Extensibility Pack umfasst
Erweiterungen zu SSH, Telnet und der
PowerShell, das Virtual&Cloud Pack ent-
hlt Funktionen zu Amazon S3, Office
365 und Hyper-V.
Ist der Zugang angelegt, kann die weitere
Konfiguration mit der ersten Anmeldung
im Portal beginnen. Ein so genanntes Ex-
press Setup ermglicht einen schnellen
Einstieg, um in fnf Schritten die wich-
tigsten Einstellungen vorzugeben. Dies
beginnt bei der Frage nach der regel -
migen Inventur zu einer bestimmten
Uhrzeit, die tglich, wchentlich oder
monatlich erfolgen kann. Das Setup un-
terscheidet zwischen den Systemdetails,
dem Active Directory und Exchange.
Als Nchstes stehen diverse Wartungs-
arbeiten zur Auswahl, die der Adminis-
trator ausfhren kann. Hierbei geht es
um Aufrumarbeiten wie das Defrag-
mentieren des Laufwerks C sowie das
Lschen der temporren Dateien und
des Papierkorbs. Weiterhin stehen Op-
tionen zur Auswahl, um die Systemsi-
cherheit zu verbessern beziehungsweise
wiederherzustellen, wie das Deaktivieren
des Gastzugangs oder das Aktivieren der
UAC sowie der Windows Firewall. Auch
kann ein regelmiger Suchlauf mit dem
Defender aktiviert werden.
GridVision
Produkt
SaaS-Angebot zum Systemmanagement und
zur Automation von IT-Umgebungen unter
Windows inklusive Hyper-V-Virtualisierung.
Hersteller
GridVision
www.grid-vision.com
Preis
Ab 900 US-Dollar pro Jahr.
Systemvoraussetzungen
.NET-Framework 4.0 oder neuer auf den
Clients fr die Agenteninstallation. Akti-
viertes Javascript fr die Anmeldung am
GridVision-Portal.
Technische Daten
www.it-administrator.de/downloads/
datenblaetter
www.it-administrator.de
Bild 1: Die Einstiegsseite ist fest vorgegeben und kann durch den Administrator nicht
individuell angepasst werden.
Im dritten Schritt lassen sich einige Leis-
tungsmonitore (Workstation, Server, SQL,
Exchange) aktivieren und anschlieend
diverse Ereignismonitore fr Sicherheits-
empfehlungen der unterschiedlichen
Windows-Betriebssysteme sowie DNS,
Exchange, IIS und Active Directory.
Abschlieend hat der Administrator die
Mglichkeit, einige Self-Service-Aktivi-
tten fr die Endanwender freizugeben,
die diese nutzen knnen. Auch hier geht
es um Aufrumarbeiten, das Aufrufen der
Windows Updates oder eine Erneuerung
der DHCP-Parameter. Allerdings stehen
diese Aktionen den Endanwendern mo-
mentan noch nicht zur Verfgung, jedoch
soll dies ab dem vierten Quartal 2016 so
weit sein.
Insgesamt empfanden wir dieses Express
Setup als recht bersichtlich, auch wenn
darber hinaus noch einige Schritte not-
wendig sind, ohne die sich das Produkt
nicht sinnvoll nutzen lsst.
Agenten-intensives Grundkonzept
Der wichtigste Schritt nach dem Express
Setup ist sicherlich das Herunterladen des
Agenten fr die zu steuernden Systeme.
Im Gegensatz zu diversen anderen Cloud-
dienstleistungen, die wir in der Vergan-
genheit betrachtet haben und die einen
Agenten nur fr ein oder zumindest we-
nige Systeme erfordern, die dann als Gate-
way oder Proxy im Netz agieren, um die
Gridvision Te s t s
brigen Clients abzufragen, verlangt Grid-
Vision einen Agenten auf jedem zu ber-
wachenden System. Jeder Client kommu-
niziert also direkt mit GridVision und
kann von dort abgefragt werden. Unter
Sicherheitsaspekten sehen wir diese Art
der Kommunikation nicht als unkritisch
an. Alle Systeme mssen aus dem Internet
erreichbar sein und es gibt keine Kanali-
sierung der Kommunikation. Da ber
GridVision umfassende nderungen an
den Clients durchgefhrt werden knnen,
knnte ein Eindringling die volle Kon-
trolle bernehmen und einen immensen
Schaden anrichten.
Es gibt zwar Unternehmenskonstellatio-
nen mit sehr verteilten Strukturen und
berwiegender Arbeit aus dem Home Of-
fice, in denen es keine technische Zentrale
gibt und Agenten auf jedem System er-
forderlich sind, aber das ist beileibe nicht
die Regel und GridVision lsst hier keine
Wahl. Was die Einsatzbandbreite von
GridVision anbetrifft, ist zu beachten,
dass es nur einen Windows-Agenten gibt,
der Einsatz also auf diese Betriebssystem-
familie beschrnkt ist. Das macht eine
Verwendung in heterogenen Umgebun-
gen uninteressant.
Laut Handbuch reicht es, den nur 2,4
MByte groen Agenten einmal ber das
Portal herunterzuladen, um ihn dann von
einer Freigabe aus zu installieren. Im Test
wunderten wir uns allerdings, dass er an-
Juli 2016 23
 Te s t s Gridvision
schlieend auf den Zielsystemen nicht zu
sehen war, sondern nur, wenn wir den
Agenten von lokaler Quelle installierten.
Auf Nachfrage teilte uns GridVision mit,
dass eine Installation aufgrund des Um-
gangs mit dem Zertifikat nur funktioniert,
wenn die Datei lokal vorliegt.
Fr den Test installierten wir in unserer
Laborumgebung den Agenten auf meh-
reren Clients, sowohl auf physischen Ma-
schinen als auch auf virtuellen Systemen
in einer Hyper-V- sowie einer vSphere-
Umgebung. Bei der Installation sind keine
Angaben zu machen, denn in dem ber
das Portal zum Download bereitgestellten
MSI-Paket ist die Kundenzuordnung be-
reits hinterlegt, so dass die Systeme kurz
nach der Installation im GridVision-Por-
tal zu sehen sind.
VMware bleibt drauen
Zum Testzeitpunkt warb GridVision bei
dem von uns genutzten Virtual&Cloud-
Paket mit der zustzlichen Untersttzung
von Amazon S3, Office 365, Hyper-V-
und VMware-Umgebungen, jedoch
suchten wir vergeblich nach VMware-
spezifischen Regeln. Hier brachte eine
Nachfrage beim Hersteller dahingehend
Klarheit, dass die VMware-Unterstt-
zung mittlerweile weggefallen ist und
die Angaben noch aktualisiert werden
mssen. Auch wenn damit in einer
VMware-Umgebung die Windows-VMs
selbst gemanagt werden knnen, so feh-
len doch die Zusammenhnge der Vir-
tualisierungsplattform, so dass sich der
Einsatzbereich auf reine Microsoft-Um-
gebungen mit oder ohne Hyper-V-Vir-
tualisierung beschrnkt.
Fr den Benutzer auf der Clientseite ist
der Agent brigens so gut wie nicht sicht-
bar. Er ist durch den Anwender nicht be-
dienbar und erscheint auch nicht in der
Taskleiste. Es ist also fr den Benutzer
nicht mglich, beispielsweise anstehende
Neustarts nach dem Patchen zu verschie-
ben, weil er gerade mit dem System ar-
beitet. Die auf der Webseite aufgelisteten
Self-Service-Funktionen sind wie erwhnt
auch noch nicht verfgbar. Der Agent ist
nur in der Liste der installierten Program-
me aufgefhrt und tritt als laufender Ser-
vice in Erscheinung.
24 Juli 2016
bersichtliche Web-GUI
Wie fr MSPs notwendig, ist das GridVi-
sion-Portal mandantenfhig. Dazu legt
sich der MSP selbst in der obersten Ebene
als Organisation an und erstellt dann eine
Unterebene mit seinen Kunden. Weitere
Unterebenen lassen sich allerdings nicht
anlegen, um beispielsweise einen gre-
ren Kunden nochmals zu unterteilen. Die
Ebenen sind entsprechend vllig getrennt
und haben komplett eigene Objekte.
Beim Herunterladen der Agenten ist zu
beachten, dass GridVision fr jede Ebene
und somit jeden Kunden einen eigenen,
individuell angepassten Agenten bereit-
stellt. Das Portal schlgt beim Download
der Datei zum Speichern einen Namen
nach dem Muster Organisation-instal-
ler.msi vor, was eine einfache Zuordnung
erlaubt. Durch die integrierte Individua-
lisierung bestimmt der Agent ohne wei-
tere Eingabe, in welcher Organisation be-
ziehungsweise Ebene ein Client erscheint.
Insgesamt prsentiert sich GridVision mit
diesem Konzept als problemlos skalierbar
mit gleichzeitig einfacher Umsetzung.
Das GridVision-Portal prsentiert sich
als bersichtliche Web-GUI mit sieben
Rubriken in der Kopfzeile. Beim Start ff-
net sich das Dashboard (Bild 1) mit einer
festen Fensteranordnung, bestehend aus
einer Gertehistorie mit Statistiken, einer
bersicht der Umgebung mit den wich-
tigsten Kennzahlen, einer Auflistung der
letzten Ereignisse und Alarme sowie der
zuletzt ausgefhrten Policies und schlie-
lich einer Kuchengrafik ber die Betriebs-
systemverteilung ber die Clients. Nach-
dem es nur einen Agenten fr Windows
gibt, knnen mit GridVision auch nur
Windows-Systeme betreut werden.
Um besondere Vorflle in einer Umge-
bung schnell erkennen zu knnen, gibt
es die drei Rubriken Events, Alerts und
Tickets. Die ersten beiden Rubriken wer-
den mit den entstehenden Ereignissen
und Alarmen gefllt. Die Erstellung von
Tickets dient dazu, Ereignisse, Alarme
oder auch Meldungen von Anwendern
an eine Benutzergruppe zur Bearbeitung
weiterzugeben. Entsprechend ist ein Ti-
cket mit einem Ereignis oder Alarm ver-
knpft. Zu einem Ticket lassen sich im-
mer wieder Notizen hinzufgen, um so
die Entwicklung beziehungsweise den Be-
arbeitungsstand abzubilden.
Sehr umfangreich fllt die Rubrik "Ap-
plications" aus, in der alle mglichen
Einstellungen und Profildefinitionen zu-
sammengefasst sind. Sie enthlt diverse
Unterpunkte zum Management, zur
Compliance, zum AD- und Mailbox-Ma-
nagement, zum Monitoring von Ereig-
nissen, Logs sowie der Leistungsmessung.
Weiterhin ist hier im Portal eine Backup-
funktion fr Ordner und Dateien enthal-
ten, allerdings zum Testzeitpunkt noch
im Betastadium. Zwei weitere Punkte, auf
die wir weiter unten noch genauer ein-
gehen, sind die Runbook Automation so-
wie das Reporting.
Die vorletzte Rubrik nennt sich Configu-
ration. Hier kann der Administrator das
bereits erwhnte Express Setup aufrufen,
den Agenten fr die Clients herunterladen
und Benutzer sowie Gruppen samt der
Zugriffsrechte in GridVision verwalten.
Die letzte Rubrik schlielich ermglicht
einen direkten Zugang zum GridVision-
Forum, in dem die Anwender ihre Erfah-
rungen austauschen knnen.
Regeln als
Steuerungsinstrument
Das zentrale Steuerungsinstrument der
Clients besteht bei GridVision aus einem
Regelwerk, das zum Einstieg 126 vorbe-
reitete Regeln mitbringt. Der besseren
bersicht halber lassen sich die Regeln
nach verknpfbaren Kategorien filtern.
Alle Aktionen auf Clientseite basieren
letzten Endes auf diesen Regeln. Sie lassen
sich mit einem Scheduler verbinden,
wenn sie beispielsweise als Wartungsjobs
oder Complianceprfungen regelmig
laufen sollen. Der Scheduler ermglicht
eine sehr individuelle Zeitsteuerung in
Form einmaliger oder wiederholter Auf-
trge in Abstnden von wenigen Minuten
bis hin zur monatlichen Ausfhrung.
Dann lsst sich ein Auftrag einer Client-
gruppe oder auch bestimmten Gerten
zuweisen, wobei sich zustzlich Anmel-
deparameter vorgeben lassen. Im Rahmen
des Express Setups werden einige Regeln
fr eine Leistungs- sowie Ereignisber-
wachung gleich mit sinnvollen Intervallen
www.it-administrator.de
 NEU

MFP8 IE

Ein Stecker.
MFP8 Drei Typen.
Alle Freiheiten.

MFP8-4x90

Ob in gerader Ausfhrung (MFP8), gewinkelter Ausfhrung

(MFP8-4x90) oder mit innovativer Kabelverschraubung
DataVoice
MFP8
(MFP8 IE): Jeder MFP8 kann ohne Spezialwerkzeug schnell auf
alle gngigen Kabeltypen bis 10 mm vor Ort montiert werden
und eignet sich fr Netzwerke bis 10 Gigabit Ethernet.
Dies spart Zeit und Kosten bei Installation, Reparatur und
Wartung und erffnet Installateuren vllig neue Freiheiten
Feldkonfektionierbare
in der strukturierten Gebudeverkabelung. RJ45-Steckverbinder in Cat.6A
Cat.6A 10 GBE 500 voll
PoE+
MHz geschirmt

www.telegaertner.com
Weitere Infos, Videos und technische Daten Telegrtner Lerchenstr. 35 Telefon: +49 (0) 71 57 / 1 25-0
finden Sie unter: www.telegaertner.com/mfp8 Karl Grtner GmbH D-71144 Steinenbronn E-Mail: info@telegaertner.com
 Te s t s Gridvision
Bild 2: ber die Pivotfunktion lassen sich bei GridVision komplexe Auswertungen erzeugen.
aktiviert. Diese tauchen dann im Grid-
Vision-Portal auch unter eigenen Men-
punkten auf, gehren aber letztendlich
zu den vorbereiteten Regeln.
Zu beachten ist, dass es neben dem be-
schriebenen Regelwerk, im englischspra-
chigen Portal als Policies bezeichnet, auch
noch 21 vorbereitete Rules gibt. Der Ad-
ministrator kann weitere hinzufgen.
Hierbei handelt es sich letztlich um die
Gruppierung der administrierten Clients
nach diversen Kriterien (etwa alle Hyper-
V-Server, DNS-Server, Windows-Server).
Diese Gruppierungen finden sich bei der
erwhnten Schedulerprogrammierung
als Clientgruppen wieder.
Wie beschrieben lassen sich die mitgelie-
ferten Policies nicht ndern, der Admi-
nistrator kann jedoch weitere hinzufgen.
Um dies einfacher zu gestalten, kann er
eine bestehende Regel duplizieren, neu
benennen und dann an seine Bedrfnisse
anpassen. Das erspart ihm die komplette
Neuerstellung, wenn er eine bestehende
Policy nur geringfgig ndern will.
Was das eingangs erwhnte Add-on Pack
"Virtual&Cloud" anbetrifft, so ndert
sich die Funktionalitt von GridVision
nicht wesentlich und wir mussten dies-
bezglich sogar extra nachfragen, weil
wir die Unterschiede nicht auf Anhieb
erkennen konnten. So enthlt das mit-
gelieferte Regelwerk bereits Funktionen
rund um die Nutzung von Amazon S3,
Office 365 sowie die Virtualisierung mit
26 Juli 2016
Hyper-V, die sich auch ohne Add-on
Pack nutzen lassen. Es ist jedoch ohne
diese Ergnzung nicht mglich, zustz- Recht gut vorbereitet ist das Berichts-
lich eigene Regeln zu definieren, die ent-
sprechende Funktionen enthalten. So-
wohl die Zeitplanung der Policies als
auch die nderung oder Erstellung ei-
gener Regeln laufen bei GridVision unter
dem Begriff Runbook Automation.
Eigene Ablufe einfach
per Klick definieren
Um tiefer in die Runbook Automation
einzusteigen und eine Policy zu ndern,
reicht das GridVision Portal nicht mehr
aus. Vielmehr ist dies in den so genannten
Policy Builder ausgelagert. Wird auf ei-
nem Arbeitsplatz zum ersten Mal eine
Regel zum Editieren ausgewhlt, ldt das
Programm die Installationssourcen fr
den Policy Designer herunter und instal-
liert sie. Eine leere Policy enthlt nur eine
Startschaltflche, auf der rechten Seite des
Designers sind alle nutzbaren Funktionen
nach Kategorien gegliedert aufgelistet.
Sehr hilfreich ist eine aktive Suchfunktion,
die bei der Eingabe bereits ab dem ersten
Zeichen die in Frage kommenden Funk-
tionen filtert. Auch kann der Adminis-
trator den Umfang der angezeigten Ka-
tegorien filtern.
Um eine Regel zu erstellen, muss der Ad-
ministrator die gewnschte Funktion in
das groe Policy-Fenster ziehen. Ist sie
dort an der richtigen Stelle positioniert,
werden die Parameterfelder angezeigt, die
natrlich sehr von der Funktion abhn-
gen. Schrittweise ergnzt er so Funktion
um Funktion. Um eine Regel zu testen,
kann der Administrator sie im Designer
starten, schrittweise ablaufen lassen und
debuggen. In einem Ausgabefenster am
unteren Rand des Designers sieht er dann
die Ergebnisse.
Verstndlicherweise erfordert die Ver-
wendung des Policy Designers eine ge-
hrige Portion an Einarbeitung und Er-
fahrung. Gut ist, dass sich vorhandene
Regeln duplizieren lassen, um sie an-
schlieend zu verndern. Das spart Ar-
beit, wenn weitgehend hnliche Funktio-
nen bentigt werden, auerdem kann der
Administrator nachsehen, wie das eine
oder andere gelst ist und so die Lern-
kurve steigern.
wesen mit ber 40 Berichten, die ber-
sichtlich gruppiert sind. Innerhalb der
Berichte, die aus Listen bestehen, teil-
weise um eine Kuchengrafik ergnzt,
hat der Administrator zustzliche Fil-
termglichkeiten im Kopf nach Datum
oder einer ausgewhlten Client-Gruppe.
Fr den Export stehen sieben Ausgabe-
formate (XML, CSV, PDF, MHTML,
Excel, TIFF, Word) zur Verfgung. Das
Hinzufgen eigener Berichte ist nicht
vorgesehen, jedoch ist das Berichtswe-
sen nicht allein auf diese Reports be-
schrnkt. Darber hinaus gibt es eine
Analysemglichkeit mit Hilfe von Pi-
vottabellen (Bild 2). Den Inhalt dieser
Tabellen kann der Administrator aus ei-
ner Vielzahl verfgbarer Felder zusam-
menklicken. Im Handbuch sind einige
Beispiele aufgefhrt, von denen wir im
Test eines nachvollzogen haben. Dabei
zeigt sich, dass hierfr schon einige
bung und vor allem eine genaue
Kenntnis der verfgbaren Felder not-
wendig ist, um individuelle Abfragen zu
bauen. Diese lassen sich fr eine sptere
Verwendung speichern, darber hinaus
ist ein Export des Resultats in die oben
genannten Ausgabeformate mglich.
Ein dritter Bereich mit der Bezeichnung
"Audits" beschftigt sich mit der Aus-
wertung der aufgezeichneten Logs, um
beispielsweise nderungen im Laufe der
Zeit gut erkennen zu knnen. Insgesamt
www.it-administrator.de

haben uns die Auswertungsmglichkei-
ten in GridVision berzeugt, auch wenn
sich die vorbereiteten Berichte nicht er-
weitern lassen.
Management und
Compliance im Fokus
GridVision bernimmt eine Vielzahl an
Managementfunktionen und fhrt zu-
dem Complianceberprfungen durch.
Meldet sich ein Clientagent zum ersten
Mal bei GridVision, wird eine umfassen-
de Inventur durchgefhrt (Ausstattung
und installierte Software, anstehende
Updates, aktivierte Features und Rollen,
Status der Dienste, Benutzer, Gruppen
und sonstige AD-Informationen). Grid-
Vision ermglicht das Management der
lokalen Benutzer und der installierten
Dienste. Dem Administrator stehen in
der Regel zwei Sichtweisen zur Verf-
gung, zum einen aus der Sicht des Clients
(welche Software ist auf einem Client in-
stalliert, welche Benutzer und Gruppen
gibt es auf einen Client?) und zum an-
deren aus Sicht des Objekts (auf welchen
Clients ist der Adobe Reader installiert,
auf welchen Clients gibt es die Gruppe
der Hyper-V-Administratoren?).
Ein eigener Punkt ist das Directory- und
Mailboxmanagement, um einen Blick auf
das Active Directory und bei Betrieb eines
Exchange-Servers auf die Mailboxen zu
bekommen.
Hinsichtlich der Compliance beherrscht
GridVision drei Themen, Applikationen,
Dienste und Softwarelizenzen. Der Ad-
ministrator kann so recht einfach prfen,
auf welchen Systemen eine Applikation
installiert ist, um diese zu patchen oder
auch zu deinstallieren. Bei den Diensten
kann er auf diesem Weg den Status prfen
und auch definiert setzen. Weiterhin hat
der Administrator die Mglichkeit,
Windows Audits durchzufhren, um ab-
hngig vom Betriebssystem bestimmte
Sicherheitsempfehlungen durchzusetzen.
Insgesamt 14 Audit-Vorlagen sind vorbe-
reitet, der Administrator kann je nach Be-
darf weitere erstellen. Um Leistungswerte
zu messen und zu prfen, bietet GridVi-
sion Performancevorlagen. Auch hier sind
einige Vorlagen vorbereitet, und der Ad-
ministrator kann weitere erstellen.
www.it-administrator.de
Dokumentation nicht
ganz vollstndig
Insgesamt ist GridVision eine Lsung, die
zumindest in den Grundfunktionen weit-
gehend selbsterklrend ist. Trotzdem wer-
fen wir regelmig bei den Tests einen
Blick in die Dokumentation. Diese ist bei
GridVision direkt aus dem Portal heraus
aufrufbar, jedoch nicht kontextsensitiv.
Auerdem mussten wir feststellen, dass
zumindest zum Testzeitpunkt diverse
Funktionen nicht beschrieben waren.
Dass die noch im Betastadium befindliche
Backupfunktion noch nicht zu finden war,
ist noch nachvollziehbar. Aber auch zum
Umgang mit Tickets war absolut nichts
zu finden. Dann beschrieb das Handbuch
diverse unter einer Rubrik "Views" ent-
haltene Ansichten, die wir teilweise unter
Applications fanden. Insgesamt kamen
wir im Test zu dem Resultat, dass die Do-
kumentation nicht ganz mit der Entwick-
lung Schritt gehalten hat und diverse
Nacharbeitungen erforderlich sind.
Fazit
Insgesamt hinterlie GridVision im Test
einen durchwachsenen Eindruck und
konnte uns trotz des ordentlichen Leis-
tungsumfangs aufgrund der nachfolgend
genannten Einschrnkung sowie der Si-
cherheitsbedenken nicht vllig berzeu-
gen. So muss ein Administrator wissen,
dass der Einsatz auf Windows-Systeme
und Hyper-V beschrnkt ist. Damit ist
der Einsatz nur in entsprechenden ho-
mogenen Umgebungen sinnvoll. Fr ei-
nen Groteil der aktuell betriebenen IT-
Landschaften drfte GridVision allein aus
diesem Grund wenig interessant sein, was
sich aber mit zu erwartenden zunehmen-
den Marktanteilen von Hyper-V etwas zu-
gunsten von GridVision ndern wird.
Missfallen hat uns, dass es zwingend er-
forderlich ist, den Agenten auf jedem zu
berwachenden Client zu installieren.
Die Vorgehensweise diverser Mitbewer-
ber, die mit einem Agenten auf einem
Client fr ganze Netzsegmente auskom-
men, indem dieser als Gateway oder als
Probe fungiert, ist bei GridVision nicht
mglich. Wir haben zwar im Test keine
explizite Bedrohungsanalyse durchge-
fhrt, aber ein Agent auf jedem Client
bedeutet, dass auch jeder mit GridVision
Gridvision Te s t s
im Internet kommunizieren muss. Nach-
dem nun das Portal jeden Client umfas-
send steuern kann, knnte sich dies ein
Eindringling zu Nutze machen. Aufgrund
der mehrfachen Verbindungen lsst sich
dies vom Kunden aus kaum berwachen
und nur aufwndig unterbinden.
Erfreulich intuitiv empfanden wird die
Bedienung. Das Express Setup ermg-
licht es, das Produkt relativ schnell in
Betrieb zu nehmen, wobei wiederum die
Agenteninstallation pro Client zu be-
rcksichtigen ist. Die Dokumentation
gehrt insgesamt auf den Produktstand
aktualisiert. Beeindruckend sind die viel-
fltigen Reportfunktionen inklusive der
Erstellung von Pivottabellen. Interessierte
Administratoren knnen sich einen ers-
ten Eindruck leicht verschaffen, indem
sie mit der Community-Edition starten.
Dazu reicht eine Anmeldung und dann
einige Clients, auf denen der Agent in-
stalliert wird. (of)
So urteilt IT-Administrator
Agenten-Installation 5
Hypervisor-Untersttzung 4
Client-Kommunikation 4
Skalierbarkeit 8
Mandantenfhigkeit 7
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal fr homogene Windows-Umgebun-
gen, auch in Verbindung mit Hyper-V, wo alle
Server und Workstations aus dem Internet er-
reichbar sind und wo Produkte wie Office
365 zum Einsatz kommen.
bedingt fr Windows-Umgebungen, die
nicht auf Hyper-V zur Virtualisierung setzen.
Hier lassen sich die virtuellen Windows-
Clients managen, aber nicht die Virtualisie-
rungsplattform selbst.
nicht fr Systemlandschaften, bei denen ein
Management aus dem Internet nicht ge-
wnscht ist oder die nicht berwiegend auf
MS Windows setzen.
Juli 2016 27
 Te s t s O&O BlueCon 12

O&O BlueCon 12 Admin Edition

Windows-Rettungsring
von Daniel Richey

Quelle: scanrail 123RF

Luft ein wichtiger Rechner beim Start in einen Bluescreen oder strzt der Windows-Server
regelmig ab, ist die Not schnell gro. Eine bootfhige Rettungsumgebung kann eine Hilfe
sein, um nach Fehlern zu suchen oder zumindest an Daten zu retten, was noch zu retten ist.
O&O BlueCon 12 bietet eine solche Umgebung und fasst hierfr verschiedene Werkzeuge
des Software-Anbieters zusammen. Im Test zeigte die Rettungssuite ihre Strken und Schwchen.

ei O&O BlueCon handelt es sich
B um eine bootfhige Software-Suite
zur Wiederherstellung beschdigter oder
nicht mehr funktionstchtiger Windows-
Installationen. Ursachen hierfr knnen
Treiberprobleme, vergessene Passwrter,
versehentlich gelschte Dateien, Malware,
fehlerhafte Windows-Updates und hn-
liches sein. Die Software arbeitet von ei-
nem Bootmedium aus und setzt keine In-
stallation im laufenden System voraus.
Auch virtuelle Umgebungen unter Hy-
per-V untersttzt BlueCon.
An Bord sind mehr als ein Dutzend O&O-
Werkzeuge zur System- und Datenrettung.
Die Komponente "DiskRecovery" bei-
spielsweise sucht und rekonstruiert ver-
sehentlich gelschte oder durch Software-
fehler verlorene Dateien. Dabei prft das
Tool alle Sektoren der Festplatte, der Spei-
cherkarte oder des USB-Sticks auf verlo-
rene Dateien. Mit dem "PartitionManager"
knnen hingegen Partitionen angelegt,
gelscht, vergrert sowie verkleinert wer-
den. Auch lsst sich die Systempartition
in ihrer Gre verndern. In der "Benut-
zerverwaltung" von O&O BlueCon besteht
Zugriff auf alle registrierten Benutzer. Ad-
mins knnen so beispielsweise vergessene
Kennwrter ndern. Im Anschluss kann
der Benutzer sich mit seinem neuen
Kennwort ohne Kenntnis des alten neu
einloggen. Auch der Zugriff auf die Re-
gistry ist mglich. Daten von fehlerhaften
Systemen lassen sich mit "FileExplorer"
auf externe Speichermedien sichern.
Installation mit
Zertifikatsproblemen
Bei unserem Testrechner handelte es sich
um ein 64-Bit-Windows-8.1-System mit
einem Intel-Core-i5-4460-Prozessor, 16
GByte RAM und einer 500 GByte Cruci-
al-SSD als Festplatte. Das System war zu
Testbeginn voll funktionsfhig. Am Ende
des Tests gaben wir dann noch den drn-
gelnden Pop-ups von Microsoft nach und
installierten Windows 10 (1511), um die
Rettungsumgebung auch mit dem aktu-
ellen Betriebssystem zu testen.
Der Download der Setup-Datei in Form
eines BuildPE-Files zur Erstellung des
Bootmediums betrug etwa 400 MByte.
Beim ersten Aufruf der von O&O bereit-
gestellten Software verweigerte der In-
stallationsagent jedoch seinen Dienst mit
der Fehlermeldung "Die digitale Signatur
ist ungltig oder nicht vorhanden". Das
lag offenbar daran, dass wir die Datei auf
einen Arbeitsrechner heruntergeladen
und anschlieend per USB-Stick auf den
Testrechner kopiert hatten. Luden wir das
Setup-File direkt auf den Testrechner, war
die Signatur gltig. O&O Software gab
auf Rckfrage dann auch an, derzeit mit
ihren digitalen Signaturen einige Proble-
me zu haben. So warnte uns Windows

28 Juli 2016 www.it-administrator.de


Bild 1: Beim Erstellen des CD-Abbilds hilft ein Assistent,
der unter anderem die zu verwendenden Werkzeuge auswhlen lsst.
SmartScreen davor, die Setup-Datei aus-
zufhren, da der Herausgeber unbekannt
sei. Bei der anschlieenden Benutzerkon-
tenkontrolle jedoch war "O&O Software"
wieder als Herausgeber der Software ein-
getragen und das Programm als gltig
signiert gekennzeichnet.
Nach dem Start des Installers ffnete sich
ein Assistent, der nach dem Besttigen
der Lizenzvereinbarung O&O BlueCon
auf dem Rechner installierte. Wir fanden
danach auf unserem Desktop ein Icon na-
mens "O&O Bluecon Startmedium erzeu-
gen". Dies ist auch der nchste logische
Schritt, denn die Software soll ja genau
dann zum Einsatz kommen, wenn ein
Windows-System nicht mehr oder nur
noch eingeschrnkt funktioniert. Dem-
entsprechend klickten wir auf das Icon
und schlossen zuvor einen 8 GByte
groen USB-Stick an, der als Startmedi-
um dienen sollte.
Startmedium einfach erstellt
Es ffnete sich daraufhin ein Assistent,
der uns in vier Schritten zum bootfhigen
Startmedium fhrte. Der erste Schritt
besteht im Download des Windows 8.1-
ADK, auf das BlueCon fr das Anlegen
des Startmediums und der Reparaturum-
gebung setzt. Hierfr stellte der Assistent
praktischerweise einen Download-Button
www.it-administrator.de
bereit, der uns auf die entsprechende Mi-
crosoft-Seite fhrte. Wir luden die 1,4
MByte groe Datei herunter.
Nun folgte im zweiten Schritt die Instal-
lation des ADK, die der Assistent eben-
falls per eigenen Button anbot. Daraufhin
startete die ADK-Installation, die wir mit
den Default-Einstellungen durchlaufen
lieen. Das Setup dauerte rund 20 Mi-
nuten. Nachdem wir ber die BlueCon-
Konsole den Installationsort des ADK
bestimmt hatten, erstellten wir ein CD-
Abbild fr unser Bootmedium. Hierbei
lassen sich bereits zustzlich bentigte
Treiber hinzufgen, sofern der Adminis-
trator im Vorfeld von deren Notwendig-
keit wei. Fehlende Treiber lassen sich
jedoch auch ber die Treiberverwaltung
whrend des Bootvorgangs ergnzen.
Anschlieend setzten wir noch den Ha-
ken vor die Option "64-bit-Datentrger
erzeugen", da es sich bei unserem Rechner
um ein 64-Bit-System handelt und wir
grtmgliche Kompatibilitt haben woll- R2, Windows Server 2012 und Windows Ser-
ten. Die vorgeschlagene RAM-Disk-Gr-
e von 32 MByte nderten wir auf 512
MByte; unser Testrechner ist mit 16
GByte RAM immerhin recht ppig aus-
gestattet. Nun gaben wir noch unsere vom
Hersteller bereitgestellten Lizenznum-
mern fr BlueCon in der Admin-Version
O&O BlueCon 12 Te s t s
sowie DiskImage Server ein. Anschlie-
end erstellten wir das CD-Abbild. Nach
einigen Minuten des Zusammenstellens
der ntigen Daten bot uns der Assistent
an, ein Abbild auf einem Datentrger an-
zulegen oder es fr spter abzuspeichern.
Wir nutzten die Option "Erstellen" und
whlten unseren USB-Stick aus. Dieser
wurde formatiert und erhielt anschlieend
die ntigen Boot-Daten bermittelt. Da-
mit endete der Assistent auch schon. Alles
Weitere findet in der Bootumgebung statt.
Hakeliges Booten vom USB-Stick
Wir starteten unseren Testrechner von
dem soeben erstellten USB-Stick und
landeten in einem blauen Fehlerbild-
schirm mit der Meldung "Your PC needs
to be repaired". Die beanstandete Datei
war "\windows\system32\boot\winload.
exe" mit dem Fehlercode "0x0000001".
Das lag mglicherweise an unserem UE-
FI-BIOS und wir fanden im Bootmen
zwei Eintrge fr den Stick, einmal mit
und einmal ohne UEFI-Eintrag. Es war
jedoch egal, welchen der Eintrge wir aus-
whlten. Mal startete das System vom
USB-Stick und mal nicht der Fehler be-
gleitete uns den Test ber.
O&O BlueCon 12 Admin Edition
Produkt
Bootfhige Rettungsumgebung fr
Windows-Rechner.
Hersteller
O&O Software
www.oo-software.de
Preis
In der Admin Edition fr einen Techniker und
eine Firma kostet die Software 916 Euro. Die
Tech Edition erlaubt hingegen den Einsatz in
mehreren Firmen fr einen Techniker und
kostet 3017 Euro.
Systemvoraussetzungen
Untersttzte Betriebssysteme sind Windows
Vista, 7, 8, 10, Windows Server 2003,
Windows Server 2008, Windows Server 2008
ver 2012 R2 (alle Editionen). Des Weiteren
ein Bootmedium wie einen USB-Stick und In-
ternetverbindung fr den Download der
Windows-Bootumgebung.
Technische Daten
www.it-administrator.de/downloads/
datenblaetter
Juli 2016 29
 Te s t s O&O BlueCon 12
Bild 2: Der Rettungsdesktop zeigt sich bersichtlich. Zu den einzelnen Werkzeugen fhrt das Startmen.
Nach dem Booten mussten wir erneut ei-
nen Lizenzvertrag akzeptieren. Danach
ffnete sich ein Fenster mit den "O&O Sys-
temeinstellungen". Darin konnten wir etwa
das gefundene Betriebssystem auswhlen
(das passende war bereits voreingestellt,
sowohl bei Windows 8.1 als auch Windows
10) beziehungsweise ein nicht erkanntes
hinzufgen. Ferner lieen sich die Region
festlegen, Treiber laden und aktualisieren,
die Bildschirmauflsung einstellen, Netz-
werkkarten-Einstellungen vornehmen (in
unserem Test wurde keine Netzwerkkarte
erkannt), die Auslagerungsdatei aktivieren
sowie die vorgenommene Konfiguration
speichern oder eine zuvor gespeicherte la-
den. Ein Klick auf "OK" zeigte ein neues
Fenster mit den Lizenzinformationen zu
BlueCon samt Ablaufdatum und Serien-
nummer an. Schlielich fanden wir uns in
einer bersichtlich gestalteten Desktop-
umgebung wieder.
Die einmal gettigten Einstellungen zur
Bildschirmauflsung et cetera merkte sich
die Rettungsumgebung ohne weiteres Zu-
tun nicht. So startete sie jedes Mal aufs
Neue mit den Default-Settings und fragte
die Prferenzen ab. Dadurch ist die Boot-
umgebung unabhngig vom eingesetzten
Rechner besser nutzbar. Bezieht sie sich
nur auf einen Rechner, bietet es sich an, die
einmal gettigten Einstellungen auf einem
Wechseldatentrger zu speichern, um diese
spter wieder aufrufen zu knnen. Als wir
30 Juli 2016
unsere Einstellungen auf der lokalen Fest-
platte gespeichert hatten, waren alle Settings
beim nchsten Neustart sogar automatisch
wieder da.
Auf dem bersichtlich gestalteten Ret-
tungsdesktop fanden sich zwei Icons
DiskImage und DiskRecovery wieder.
ber ein Startmen erreichten wir auch
die restlichen Programme wie SafeErase,
PartitionManager, RegistryEditor, Benut-
zerverwaltung, Ereignisanzeige oder Trei-
berverwaltung. Weshalb diese Icons nicht
auf dem Desktop lagen, erschloss sich
uns allerdings nicht. Es lieen sich neben
den O&O-Tools auch teilweise lokale
Programme des Windows-Rechners star-
ten, darunter das Grafikprogramm Gimp,
nachdem wir die jeweils ausfhrbare Da-
tei im FileExplorer angeklickt hatten. Die
meisten Versuche fhrten jedoch zu einer
Fehlermeldung.
Datenrettung
mit Einschrnkungen
Als Erstes nahmen wir die Dateiwieder-
herstellung mit DiskRecovery unter die
Lupe. Das Werkzeug ist wie die meisten
der anderen Tools auch als Standalone-
Produkt erhltlich. Dennoch kann es Vor-
teile bieten, die Datenrettung von einer
externen Betriebssystemumgebung aus
durchzufhren. Denn im laufenden Be-
trieb ist es mglich, dass die freigegebenen
Datenbereiche vom System wieder mit
anderen Daten berschrieben werden
und die gelschten Files damit endgltig
futsch sind. Auch lassen sich so Daten-
bereiche untersuchen, die ansonsten vom
laufenden Betriebssystem blockiert wer-
den. Dies sollte jedoch in den meisten
Fllen keine Rolle spielen, da es sich bei
den gelschten Dateien meist um Daten
der Anwender wie etwa Office-Dateien
handelt. Beim Start des Tools stehen dem
Nutzer drei Optionen zur Verfgung:
- Die Suche nach Dateien auf Festplatten
(O&O UnErase)
- Die sektorbasierte Tiefensuche (O&O
DiskRecovery)
- Formatierte oder strukturell besch-
digte Partitionen suchen (O&O For-
matRecovery)
Fr unseren Test legten wir 20 verschiedene
Dateien auf dem Rechner an darunter
Word-, Excel, PDF- und JPEG-Files sowie
mehrere ZIP-Dateien. Diese lschten wir
daraufhin und starteten den Rechner in der
Rettungsumgebung. Wir ffneten DiskRe-
covery und whlten die Optionen zur Wie-
derherstellung gelschter Dateien und Ver-
zeichnisse (UnErase) sowie die Tiefensuche
nach beschdigten Dateien (DiskRecovery)
aus. Die restlichen Optionen belieen wir
auf den Standardeinstellungen. Daraufhin
legte das Tool los und durchforstete unsere
ausgewhlte Partition nach den gelschten
Files. Auf der rund 500 GByte groen und
nahezu leeren Testpartition unserer SSD
dauerte der Vorgang etwa eine Stunde. An-
schlieend zeigte uns der Assistent 18 ge-
fundene Dateien an und bot uns deren
Wiederherstellung an. Zwei unserer Test-
dateien hatten es nicht geschafft.
Danach legten wir dieselben Dateien in
den "Eigenen Dokumenten" des angemel-
deten Benutzers auf der Systempartition
an, um den Test zu wiederholen. Dabei
stieen wir auf ein Problem: Gelschte
Verzeichnisse werden zwar erkannt, aber
nicht namentlich aufgefhrt, sondern an-
hand einer fortlaufenden Nummerierung.
Auf unserem Testrechner unter Windows
10 hielt sich die Anzahl an Verzeichnissen
zwar noch in Grenzen. Auf dem vorhe-
rigen Windows-8.1-Rechner kamen wir
jedoch auf rund 10.000 Ordner, die uns
als "DIR00001" bis "DIR09987" angezeigt
wurden und sich im Laufe der Zeit auf
www.it-administrator.de

Bild 3: Die Datenrettung stellte den Groteil unserer gelschten Testdateien wieder her.
Gezieltes Suchen nach einzelnen Dateien etwa anhand des Namens war nicht mglich.
der Platte angesammelt hatten. Unser ge-
lschtes Verzeichnis befand sich irgendwo
dazwischen.
Zwar lassen sich leere Ordner wie auch
Dateien ausblenden. Auch das Filtern
nach dem Datum der Dateien sowie de-
ren Gre ist mglich. Eine gezielte Suche
nach Dateinamen oder -endungen gibt
es allerdings nicht. Lediglich DiskReco-
very bietet eine Sortierung nach Dateityp
an jedoch sucht dieses Tool nach kor-
rupten Dateien, nicht nach gelschten.
Hinzu kommt, dass in dem zweigeteilten
bersichtsfenster mit den gefundenen
Verzeichnissen auf der rechten und den
darin enthaltenen Dateien auf der linken
Seite die Dateibersicht beim Markieren
der Ordner mit der Pfeiltaste nach unten
nicht aktualisiert wird. So muss jedes Ver-
zeichnis mit der Maus oder der Leertaste
angeklickt werden, damit dessen Inhalt
rechts sichtbar wird. Damit wird die Su-
che nach bestimmten Dateien oder Ver-
zeichnissen schnell zu einem umstndli-
chen Unterfangen.
Kennwrter rasch zurckgesetzt
Fr den Test der Benutzerverwaltung leg-
ten wir ein neues Konto an und vergaben
ein Passwort. Anschlieend starteten wir
www.it-administrator.de
wieder in die Rettungsumgebung und ver-
suchten, das "vergessene" Kennwort zu-
rckzusetzen. Hierfr ffneten wir den
UserManager, whlten unser Testkonto
aus und vergaben ein neues Passwort
was ohne Probleme funktionierte. An-
schlieend legten wir einen neuen Benut-
zer an, vergaben ein Kennwort und whl- und Setupinformation (*.inf).
ten die Option aus, dass der Benutzer nach
dem ersten Login sein Passwort ndern
muss. Ansonsten lsst sich noch einstellen,
dass der User das Passwort nicht ndern
kann, das Passwort nie ausluft oder das
Konto deaktiviert ist. Zu bereits bestehen-
den Konten konnten wir noch einsehen,
seit wann diese bestehen, wie viele Logins
es gab und wann der letzte Login stattge-
funden hatte sowie den Status des Kontos.
Nun starteten wir den Rechner neu und
landeten im Windows-Anmeldebild-
schirm, in dem wir allerdings unser neues
Konto nicht vorfanden. Daher loggten
wir uns zunchst mit unserem ersten Test-
account ein, bei dem wir das Kennwort
gendert hatten. Das funktionierte pro-
blemlos. Danach ffneten wir die System-
steuerung und die Benutzerverwaltung,
fanden jedoch auch hier unser neu ange-
legtes Konto nicht. Es blieb verschollen.
Das ist zwar etwas rgerlich, da sich je-
O&O BlueCon 12 Te s t s
doch fr bestehende Konten die Kenn-
wrter problemlos ndern lassen, lsst
sich mit dem System im Notfall dennoch
weiterarbeiten. Nicht vergessen sollte der
Admin natrlich, dass bei einer erzwun-
genen Kennwortnderung mglicherwei-
se verschlsselte Dateien und Zertifikate
nicht mehr zugnglich sind darauf weist
die Software auch hin.
Treiberprobleme
teilweise behoben
Nun wandten wir uns dem Fall zu, dass
es mit einem oder mehreren Treibern ein
Problem auf dem Rechner gibt. Hierfr
lschten wir fr unser CD-Laufwerk und
den Intel-Netzwerkadapter die jeweiligen
Treiber im Gertemanager und starteten
den Rechner wieder in die Rettungsum-
gebung. Anschlieend riefen wir Driver-
Loader auf, das uns in einem bersichts-
fenster die von Windows erkannten
Gerte sowie die Gerte ohne installierten
Treiber anzeigte. Unser CD-Laufwerk war
nicht dabei, die Netzwerkkarte hingegen
schon. Wir whlten die angezeigte "Ether-
net Connection" von Intel aus, fr die laut
Tool kein Treiber installiert war, und
klickten auf "Laden". Danach landeten
wir in einem Dateiexplorer-Fenster im
BlueCon-Startup-Ordner, der fnf Da-
teien beinhaltete, darunter Systemdateien
Dort whlten wir die einzig vorhandene
INF-Datei aus, erhielten dann jedoch die
Meldung, dass der Treiber das ausgewhl-
te Gert nicht untersttzt. Es sei ange-
merkt, dass der DriverLoader nur Treiber
mit an Bord hat, die auch Windows Ser-
ver 2008 mitbringt. In unserem Fall mit
Windows 8.1 brachte uns das Tool damit
nicht weiter. Natrlich besteht die Mg-
lichkeit, den Treiber von der Hersteller-
seite zu laden und dann mit dem Tool
einzuspielen. Hier kann die Rettungsum-
gebung weiterhelfen, wenn das System
aufgrund fehlender Treiber nicht mehr
ordnungsgem startet. Natrlich ist der
Nutzer darauf angewiesen, dass das be-
treffende Gert in der bersicht angezeigt
wird und damit auswhlbar ist.
Jetzt ffneten wir den DeviceManager und
sahen alle auf dem Rechner vorhandenen
Treiber samt deren zugeordneten Gerten
Juli 2016 31
 Te s t s O&O BlueCon 12
Bild 4: Das Zurcksetzen von Benutzerkennwrtern ging problemlos vonstatten.
Auch lassen sich weiterfhrende Infos zu vorhandenen Konten einsehen.
und dem Startzeitpunkt. So fanden wir
auch unser CD-Laufwerk mit rotem Icon
wieder, da es auf "Deaktiviert" stand. Wir
setzten es auf "Boot". Den verwendeten
Treiber selbst konnten wir nicht beeinflus-
sen, lediglich den Startzeitpunkt. Auch die
Windows-Dienste lassen sich entsprechend
anzeigen und deren Startzeitpunkt bear-
beiten. Nach einem Neustart war dann un-
ser CD-Laufwerk wieder als aktiv im Ge-
rtemanager eingetragen.
Tools fr Vollprofis
Um Fehler in der Registry zu beheben,
bietet die Rettungsumgebung den Reg-
Editor an. Dieser ist hnlich aufgebaut
wie der Windows-eigene Registry-Editor
und zeigte in unserem Test die beiden
Schlssel "HKEY_LOCAL_MACHINE"
und "HKEY_USERS" an. Bei einigen der
Schlssel wie "HKEY_USERS" liefen wir
jedoch wieder vor die Wand und erhielten
eine "Zugriff verweigert"-Meldung. Auch
die Rechte an diesen gesperrten Keys konn-
ten wir nicht bearbeiten. Bei den anderen
Schlsseln lassen sich die Rechte nmlich
fr Gruppen und Benutzer erteilen bezie-
hungsweise entziehen. Einige Schlssel
konnten wir gar nicht finden, darunter
"HKEY_CLASSES_ROOT", "HKEY_CUR-
RENT_CONFIG". Auch bietet das Tool
keine Reparatur-Option an, indem es etwa
die Registry zumindest rudimentr nach
fehlenden oder falschen Eintrgen durch-
32 Juli 2016
forstet und Vorschlge anzeigt. Andere teils
kostenlos verfgbare Werkzeuge gehen hier
etwas weiter und versuchen zumindest,
fehlerhafte Eintrge zu finden und zu re-
parieren. ber den Erfolg und die Sinn-
haftigkeit derartiger Manahmen muss am
Ende jeder Nutzer selbst entscheiden.
Neben den genannten Werkzeugen bietet
die Rettungsumgebung noch eine Hand
voll weiterer Tools an. So lassen sich ber
die SystemInfo neben Hardware-Infor-
mationen die Windows-Dateien win.ini,
system.ini, boot.ini samt deren Konfigu-
rationsdaten sowie der Autostart, Umge-
bungsvariablen und die Bootkonfiguration
anzeigen. Einzelne Eintrge knnen dabei
aktiviert oder deaktiviert werden. Hierbei
muss der Admin schon genau wissen, was
er tut und wo er suchen muss.
Ein Kommandozeilenfenster erlaubt das di-
rekte Absetzen von Befehlen, whrend das
CheckDisk-Tool die Festplatte nach Fehlern
durchsucht und versucht, diese zu beheben.
ber den PartitionManager lassen sich die
Partitionen auf derselben anzeigen und ver-
ndern, vergleichbar zur Windows-Parti-
tionsverwaltung. SafeErase erlaubt es nicht
zuletzt, Dateien sicher vom System zu l-
schen etwa, bevor man den Rechner oder
die Festplatte ausmustert. Der Internet-
Browser soll die Recherche nach mglichen
Fehlerursachen und Lsungen im Netz er-
mglichen. Leider lie sich der Browser in
unserer Rettungsumgebung nicht starten.
Stattdessen ffnete sich der Mozilla-Ab-
sturzmelder. Offenbar basiert der integrierte
Browser auf Firefox 42.
Fazit
O&O BlueCon 12 bietet ntzliche Werk-
zeuge, die auf der Suche nach gelschten
Dateien, Datenfehlern auf der Festplatte
oder bei vergessenen Benutzerkennwrtern
helfen. Im Test zeigte sich die Umgebung
allerdings mitunter etwas unbersichtlich
von der Bedienung her zum Beispiel bei
der Suche nach einzelnen wiederherzustel-
lenden Dateien. Hin und wieder machte
auch Windows der Rettungsumgebung ei-
nen Strich durch die Rechnung, indem es
den Zugriff auf einige Bereiche verweigerte.
Die Suite bietet sicher einen guten Ansatz,
um nach Fehlern im System zu suchen.
Wunder darf der Administrator allerdings
nicht erwarten.
So urteilt IT-Administrator
Erzeugen des Bootmediums 8
Bedienerfreundlichkeit 7
Datenrettung 6
Benutzerverwaltung 6
Treibermanagement 5
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
gut fr das Beheben einfacherer Fehler auf
Windows-Systemen wie versehentlich ge-
lschte Dateien, vergessene Benutzerkenn-
wrter oder Dateisystemprobleme. Auch ist
die Software gut geeignet fr Aufgaben wie
etwa Partitionsnderungen oder das Imaging
des Rechners.
bedingt fr das Beheben komplexerer Fehler
etwa in der Registry oder tiefer im Windows-
Betriebssystem. Hier fehlte teilweise der Zu-
gang zu bestimmten Bereichen. Auch kann
der Nutzer hier wenig bis keine Hilfestellung
erwarten und Assistenten einsetzen.
nicht fr die Reparatur von Nicht-Windows-
Rechnern oder Nutzer, die nur sehr wenig Ah-
nung von den Windows-Interna haben.
www.it-administrator.de
 12 Monatsausgaben im
Print- & E-Paper-Format
ePaper

+ 2 Sonderhefte pro Jahr

Archiv-CD

Enthlt alle Ausgaben von

Januar 2015 bis Dezember 2015
+ Jahres Archiv-CD
mit allen Monatsausgaben
im PDF-Format

Abo- und Leserservice

IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
Das Abo All-Inclusive
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
shop.heinemann-verlag.de
leserservice@it-administrator.de
Neues von SharePoint 2016

Quelle: tagota 123RF

Grndlich renoviert
von Christian Schulenburg

Nachdem Exchange 2016 bereits letztes Jahr verffentlicht

wurde, hat Microsoft mit SharePoint 2016 die nchste Ser-
veranwendung aktualisiert. Gleich mehrere interessante
Neuerungen sind dabei eingeflossen, etwa im Bereich der
Serverrollen. Und auch die Anbindung an Microsofts
Cloud-Dienste wird enger.

ine der grten nderungen in
E SharePoint 2016 fllt gleich bei der
Installation der Serverapplikation auf. Es
handelt sich dabei um die Einfhrung von
Serverrollen, den sogenannten MinRoles.
Mit der MinRole-Funktion definieren Sie
die Serverrollen in einer Farmtopologie be-
reits whrend der Installation. Diese neue
Rollenzuweisung stellt sicher, dass auf je-
dem Server in der SharePoint-Farm genau
die Dienste ausgefhrt werden, die erfor-
derlich sind. Die Zuweisung ist aber nicht
dauerhaft und Sie knnen diese in den Sys-
temeinstellungen unter "Serverrolle in die-
ser Farm konvertieren" spter ndern. Um
sicherzustellen, dass die Konfiguration kor-
rekt umgesetzt ist, luft tglich die Regel
"Die Serverrollenkonfiguration ist nicht
korrekt" in der Inhaltsanalyse durch.
Kommt dabei eine Inkonsistenz zum Vor-
schein, wird der Server entsprechend der
Rollendefinition neu konfiguriert.
Serverrollen dank MinRoles
Bei der Installation fragt der Konfigura-
tions-Assistent nach der einzurichtenden
Rolle und SharePoint konfiguriert auto-
matisch die ntigen Dienste (Bild 2). Da-
bei stehen folgende Rollen zur Wahl:
- Front-End: Dienstanwendungen,
Dienste und Komponenten, die Benut-
zeranforderungen auf Front-End-Web-
servern verarbeiten. Diese Server sind
fr eine hohe Leistung optimiert.
- Anwendung: Dienstanwendungen,
Dienste und Komponenten, die Back-
End-Anforderungen auf Anwendungs-
servern verarbeiten (etwa Hintergrund-
auftrge oder Suchdurchforstungs-
anforderungen). Diese Server sind fr
hohen Durchsatz optimiert.
- Verteilter Cache: Dienstanwendungen,
Dienste und Komponenten, die fr ei-
nen verteilten Cache auf verteilten Ca-
cheservern erforderlich sind. Optional
knnen Sie diese Server auch fr den
Lastenausgleich des Farmdatenverkehrs
mithilfe des SharePoint-Anforderungs-
managers konfigurieren.
- Suche: Dienstanwendungen, Dienste
und Komponenten fr die Suche ms-
sen auf Suchservern gespeichert sein.
- Benutzerdefiniert: Benutzerdefinierte
Dienstanwendungen, Dienste und
Komponenten, die nicht in MinRole
integriert sind, mssen auf benutzer-
definierten Servern konfiguriert sein.
Der Farmadministrator hat die voll-
stndige Kontrolle darber, welche
Dienstinstanzen auf Servern ausgefhrt
werden knnen, denen die benutzer-
definierte Rolle zugeordnet ist. Mithilfe
von MinRole wird nicht gesteuert, wel-
che Dienstinstanzen fr diese Rolle be-
reitgestellt werden.
- Einzelserverfarm: Dienstanwendungen,
Dienste und Komponenten, die fr eine
Farm mit nur einem Computer erfor-
derlich sind, mssen in einer Einzelser-
verfarm konfiguriert sein. Eine Farm mit
nur einem Server ist fr die Entwicklung,
zu Testzwecken und eine sehr begrenzte
Produktion vorgesehen. Eine SharePoint-
Farm mit der Rolle "Farm mit einem Ser-
ver" kann nicht mehr als einen Share-
Point-Server in der Farm enthalten.
Die MinRole-Verwaltung von Dienstin-
stanzen findet nicht nur beim Hinzufgen
eines Servers zu einer Farm statt, sondern
auch beim Aktivieren beziehungsweise
Deaktivieren von Diensten sowie beim
Erstellen und Lschen von Dienstanwen-
dungen in der Farm. Den Compliance-
Status der Dienste finden Sie in dem
Punkt "Dienste auf dem Server verwalten"
unter den Systemeinstellungen.

34 Juli 2016 www.it-administrator.de


Bild 1: Ob ein Server die ihm ber MinRoles zugewiesenen Dienste korrekt ausfhrt,
sehen Sie direkt in der Dienstebersicht in den Systemeinstellungen.
Bei der Einzelserverfarm werden alle
SharePoint-Dienste auf einem System
bereitgestellt. Diese Installation ersetzt
den eigenstndigen Installationsmodus
in frheren Versionen von SharePoint.
SharePoint 2016 untersttzt dabei keinen
SQL Server in der Express-Edition mehr.
Diesen mssen Sie gesondert vorbereiten.
Die SharePoint-Farmdienste und -Web-
anwendungen mssen entweder manuell
oder durch Ausfhren des Assistenten fr
die Farm konfiguriert werden.
Eine weitere nderung im Rahmen der
Bereitstellung besteht darin, dass die Zen-
traladministration von SharePoint 2016
standardmig nur noch auf dem ersten
Server einer Farm bereitgestellt wird.
Nachtrglich knnen Sie die Funktion
ber den Punkt "Dienste" auf dem Server
in den Systemeinstellungen unter "Zen-
traladministration" wieder aktivieren.
Project Server mit an Bord
Neu bei SharePoint 2016 ist auch, dass Pro-
ject Server 2016 Bestandteil der Enter-
prise-Edition ist. Dieser hat gleichzeitig mit
SharePoint 2016 den RTM-Status erreicht.
Project Server 2016 luft als Service-Ap-
plication und eine separate Installation ist
nicht mehr ntig. Eine eigenstndige Lizenz
bentigen Sie aber weiterhin, die Aktivie-
rung erfolgt dann mit dem PowerShell-Be-
fehl Enable-ProjectServerLicense. Weitere
Informationen zur Bereitstellung von Pro-
ject Server 2016 finden Sie unter [1].
Als Administrator werden Sie sich freu-
en, dass Patches zuknftig keine Down-
www.it-administrator.de
time mehr fr die Umgebung bedeuten.
In SharePoint 2013 mussten Sie noch
GBytes an Patches runterladen und es
wurde alles in einer Farm aktualisiert.
Zuknftig werden die Pakete wesentlich
kleiner und nur noch betroffene Kom-
ponenten aktualisiert. Diese Updates
spielen Sie im Livebetrieb ein und der
SharePoint-Server hlt die Dienste kurz
an, um benutzte Dateien auszutauschen.
Mit SharePoint 2016 nhern sich auer-
dem der lokale SharePoint-Server und
SharePoint Online weiter an. Das wird
nicht nur ber das Benutzer-Interface und
Bild 2: Anders als SharePoint 2013 setzt SharePoint 2016 nun auch auf ein Rollenkonzept,
die sogenannten MinRoles, sodass automatisch die bentigten Dienste konfiguriert werden.
SharePoint 2016 Praxis
das Design deutlich, auch viele Funktio-
nen lassen sich sinnvoll miteinander ver-
knpfen. Die Mglichkeiten der Cloud-
Verbindung sind unter dem Namen
"Hybridfunktionen" zusammengefasst
und die einzelnen Features knnen Sie
nach und nach freigeben. Zu den neuen
Mglichkeiten gehrt unter anderem die
"Hybrid Cloud Search". Diese gibt es in
zwei Varianten: Die Hybridsuche in der
Cloud durchsucht lokale Inhalte und in-
diziert diese im Suchindex von Office 365.
Gibt der Benutzer eine Abfrage im Such-
center ein, erhlt er jetzt automatisch die
Suchergebnisse aus dem Suchindex von
Office 365 und somit die Ergebnisse so-
wohl aus dem lokalen Inhalt als auch aus
Office-365-Inhalten. Im Gegensatz dazu
kombiniert die zweite Variante, die Hy-
brid-Sammelsuche, die Suchergebnisse
aus jedem Suchindex in einem einzigen
Suchcenter. Es werden dabei aber weiter
zwei Indizes angelegt.
Mit dem Hybridwebsites-Feature erhalten
Sie daneben bei der Verwendung von
SharePoint-Server- und SharePoint-On-
line-Websites eine integrierte Benutzer-
umgebung, die die verfolgten Websites
konsolidiert in einer einzigen Liste anzeigt.
Unter SharePoint 2013 verfgten die Be-
nutzer fr jeden Speicherort noch ber
Juli 2016 35
Praxis SharePoint 2016
Neue Grenzwerte in SharePoint 2016
Komponente SharePoint 2016
Grer der
1 TByte
Inhaltsdatenbank
Website-
sammlungen pro 100.000 Websitesammlungen
Inhaltsdatenbank
Schwellenwert fr
Mehr als 5000 Elemente
die Listenansicht
Maximale Dateigre auf
Maximale
10 GByte erhht und Limitierung
Dateigre
bei Sonderzeichen entfernt
Indizierte 500 Millionen Elemente
Elemente pro Suchanwendung
unterschiedliche Listen der verfolgten
Websites. Auch sind Sie mit SharePoint
2016 in der Lage, Benutzer bei der Ver-
waltung von OneDrive for Business nun
direkt auf SharePoint Online umzuleiten,
sodass keine doppelten OneDrive-Berei-
che entstehen. Dies wird durch OneDrive
Redirection mglich und ber den neuen
App-Launcher, der vielen bereits aus Of-
fice 365 bekannt ist, landen Sie direkt im
richtigen OneDrive-Speicher.
Als letzter Punkt sei noch die Profilsyn-
chronisation genannt. Bisher verwenden
Nutzer sowohl im SharePoint-Server als
auch bei Office 365 eigenstndige Profile,
was oft zu Verwirrung fhrte. Mit einem
Hybridprofil verfgen die Anwender
knftig nur noch ber ein Profil, in dem
sie alle Profilinformationen verwalten.
Das Hypridprofil liegt dabei in Office 365
und lokale Benutzer werden automatisch
zu diesem umgeleitet.
Angehobene Limits
Unter SharePoint 2013 konnten Anwender
Dateien mit einer maximalen Gre von
2 GByte hochladen. Dieses Limit wurde
auf 10 GByte angehoben und Sie konfi-
gurieren den Wert je Webanwendung. Da-
mit das Herauf- und Herunterladen per-
formanter abluft, hat Microsoft den
Background Intelligent Transfer Service
(BITS) eingebaut. Bislang kam COBALT
zum Einsatz. Nun werden zum Beispiel
abgebrochene Transfers wieder aufgenom-
men und die User Experience sollte sich
deutlich verbessern. Dies ist auch dem
Entfallen der Beschrnkung bei der Lnge
von Dateinamen und Sonderzeichen zu
36 Juli 2016
SharePoint 2013
200 GByte in allgemeinen
Nutzungsszenarien
5000 empfohlen,
10.000 maximal
5000 Elemente
Standardmig 250 MByte,
die auf maximal 2 GByte
erhht werden kann.
100 Millionen pro Suchdienstanwen-
dung, 10 Millionen pro Indexpartition
verdanken. Einzig die Zeichen % und #
sind weiterhin nicht zulssig.
Neben der Dateigre hat Microsoft auch
die Grenbeschrnkung bei der Inhalts-
datenbank von 200 GByte auf 1 TByte
erhht und damit verfnffacht. Eine ein-
zelne Inhaltsdatenbank kann in Share-
Point 2016 ber 100.000 Websitesamm-
lungen enthalten und bietet sogar zehn-
mal mehr Kapazitt als in vorangegan-
genen Versionen. Auch die Beschrnkung
von 5000 Elementen in Listenansichten
wurde erweitert, auerdem werden nun
500 Millionen Elemente in der Suche in-
diziert. Bis SharePoint 2013 lag die Gren-
ze bei 100 Millionen Elementen. Es sei
darauf hingewiesen, dass sich die Zahlen
teilweise noch auf die Preview beziehen
und die endgltigen Werte noch nicht
verffentlicht wurden.
Datensicherheit
und Rechteverwaltung
Ein Schwerpunkt in SharePoint 2016 ist
das Thema Compliance. Dieser Punkt
spiegelt sich in der neuen Funktion Data
Loss Prevention (DLP) und den neuen
Fhigkeiten beim Information Rights
Management wider. Um den Abfluss von
vertraulichen Daten auf einfache Weise
zu verhindern, knnen Sie nun auch in
SharePoint mittels Data Loss Prevention
nach sensiblen Informationen in Doku-
menten suchen. ber DLP-Richtlinien
lassen Sie sich entsprechende Schadens-
berichte zusenden und verhindern das
regelwidrige Teilen solcher Dokumente.
Zur Auswahl stehen 51 integrierte In-
formationstypen wie Kreditkarten, Aus-
SharePoint 2010
200 GByte in allgemeinen
Nutzungsszenarien
5000 empfohlen,
10.000 maximal
5000 Elemente
Standardmig 250 MByte,
die auf maximal 2 GByte
erhht werden kann.
100 Millionen pro Suchdienstanwen-
dung, 10 Millionen pro Indexpartition
weisnummern oder Sozialversicherungs-
nummern, mit denen Sie vertrauliche
Daten identifizieren. SharePoint durch-
sucht Dokumente nach den definierten
Mustern, wie zum Beispiel neun aufei-
nander folgende Informationstypen.
Ebenfalls neu sind Dokumentlschricht-
linien. Hierber entfernen Sie Elemente
automatisch nach einem definierten Zeit-
raum. Diese Funktion soll vor allem pro-
aktiv zum Einsatz kommen, um rechtli-
chen oder geschftlichen Lschpflichten
nachzukommen. Sie knnen zum Beispiel
die Dokumente auf den Benutzerwebsites
von OneDrive for Business fnf Jahre
nach dem Erstellen der Dokumente au-
tomatisch lschen. Das Information
Rights Management erlaubt es ferner, Do-
kumente im OneDrive for Business zu
verschlsseln und mit spezifischen Rech-
ten zu versehen. Auf diesem Weg legen
Sie Aktionen fest, die zum Beispiel das
Drucken von Dokumenten verhindern.
Die Konfiguration der DLP- und Doku-
mentlschrichtlinien erfolgt ber das
"Compliancerichtliniencenter", das Sie
zunchst ber eine neue Websitesamm-
lung einrichten mssen (Bild 3).
Auch im Hintergrund hat sich bei der Si-
cherheit einiges getan und in SharePoint
2016 wird nun TLS 1.2 untersttzt, sodass
E-Mails mittels STARTTLS-verschlssel-
ten Verbindungen gesichert werden. Da-
bei knnen Sie den Standardport 25 fr
SMTP auf andere Ports (587) ndern. Die
Konfiguration findet unter "Einstellungen
fr ausgehende E-Mail konfigurieren" in
den Systemeinstellungen statt.
www.it-administrator.de

Bild 3: Das Compliance-Management ist in SharePoint 2016 ein groes Thema und
das neue Compliancerichtliniencenter untersttzt bei der Umsetzung von Richtlinien.
Anhaltend gltige Links
Durable Links ist eine neue Funktion, die
vor allem Anwender freuen drfte. Wer-
den unter SharePoint 2013 Dokumente
hochgeladen und spter verschoben, lau-
fen Links zum originalen Speicherort ins
Leere. Zuknftig bleibt der Link derselbe,
auch wenn sich der Ort oder der Name
des Dokuments ndern. Auch die Nut-
zung von SharePoint 2016 ber mobile
Gerte hat sich deutlich verbessert und
Sie knnen ber Kacheln und Hyperlinks
angenehmer navigieren. Eine bersicht
aller Neuerungen finden Sie auch im
TechNet unter [2].
Es kommen jedoch nicht nur neue Funk-
tionen hinzu. Einige Features entfallen
mit SharePoint 2016. Dazu gehren die
kostenlose Edition SharePoint Founda-
tion sowie die Profilsynchronisation ber
den integrierten ForeFront Identity Ma-
nager (FIM) und Excel Services. Die Ex-
cel Services werden durch Excel Online
ersetzt, das im Microsoft Office Online
Server (OOS) enthalten ist. Dabei han-
delt es sich um den Nachfolger des Of-
fice-Web-Apps-(OWA)-Servers. Diese
Komponente bietet Serverprodukten wie
Exchange und SharePoint eine browser-
basierte Anzeige von Office-Anwendun-
gen, etwa Excel, Word, PowerPoint und
OneNote. OOS mssen Sie auf einem
separaten Server installieren.
FIM ist fr die Synchronisation zwischen
Active Directory und SharePoint eben-
falls nicht mehr integraler Bestandteil
von SharePoint 2016. Sie knnen es aber
weiterhin als eigenstndigen Server zur
Synchronisation nutzen. Die Aufgaben
Link-Codes eingeben auf www.it-administrator.de
von FIM hat aber der Microsoft Identity
Manager 2016 (MIM) bernommen.
MIM 2016 baut auf FIM auf und erwei-
tert es um Hybrid- und Privileged-Ac-
cess-Management-Funktionen. Der Stan-
dardprozess ist laut Microsoft der Active-
Directory-Import, der eine Alternative
zu Benutzerprofilsynchronisierung dar-
stellt und keine separate Serveranwen-
dung bentigt.
Migrationsweg
zu SharePoint 2016
Microsoft untersttzt auch weiterhin nur
eine N-1-Migration, sodass nur von
SharePoint 2013 direkt migriert werden
kann und Sie keine Version berspringen
knnen. Ein Umstieg von SharePoint
2010 auf SharePoint 2016 ist nur mg-
lich, wenn Sie zuerst auf SharePoint 2013
und dann auf 2016 migrieren. Es gibt je-
doch einige Drittanbieter-Tools, die auch
eine direkte Migration ermglichen. Ihre
Inhaltsdatenbanken migrieren Sie von
SharePoint 2013 zu SharePoint 2016 ber
die Database-Detach- und -Attach-Me-
thode. Nachdem die Datenbanken ein-
gebunden sind, aktualisieren Sie diese
zusammen mit den Service-Applications,
bevor im letzten Schritt die Site-Collec-
tions hochgestuft werden. Der Migrati-
onsprozess ist im TechNet [3] ausfhr-
lich erlutert.
Sollten Sie nun Lust bekommen haben
sich die RTM-Variante nher anzuschau-
en, knnen Sie sich die aktuelle Version
unter [4] herunterladen. In der Anlei-
tung zur Installation finden Sie die Li-
zenzschlssel fr eine 180-Tage-Testver-
sion sowohl fr SharePoint 2016 als auch
SharePoint 2016 Praxis
fr Project 2016. Die Testversion knnen
Sie jederzeit in eine lizenzierte Installa-
tion umwandeln, indem Sie bei Share-
Point in der Zentraladministration einen
gltigen Schlssel eingeben. Project wan-
deln Sie mit dem PowerShell-Befehl En-
able-ProjectServerLicense in eine Voll-
version um.
Die von Microsoft empfohlenen Hard-
wareanforderungen fr SharePoint 2016
haben sich gegenber dem Vorgnger-
produkt SharePoint 2013 leicht erhht
und Sie mssen zuknftig mehr Arbeits-
speicher fr die SharePoint-Systeme be-
reitstellen. Die weiteren Voraussetzungen
werden, wie in den vorangegangenen Ver-
sionen, mit dem Vorbereitungstool in-
stalliert, was die Vorarbeiten deutlich ver-
einfacht. Danach knnen Sie mit der
eigentlichen Installation starten. Weitere
Hinweise zum Setup finden Sie im Tech-
Net unter [5].
Fazit
Bei SharePoint 2016 lautet die Devise vor
allem Evolution statt Revolution, wie
auch schon bei SharePoint 2013. Der ers-
te Blick auf die neue Version bietet viele
interessante Neuerungen. Zahlreiche De-
tailverbesserungen stammen dabei aus
den Erfahrungen und Entwicklungen
von Office 365, die somit zur Produkt-
optimierung lokaler Installationen bei-
tragen. Wichtig ist, dass Microsoft auch
an einem On-Premise-Nachfolger von
SharePoint 2016 arbeiten wird und
SharePoint 2016 somit nicht die letzte
Version im eigenen Unternehmen sein
wird auch wenn die Zeichen ansonsten
stark auf Cloud stehen. (dr)
Link-Codes
[1] Bereitstellung von
Project Server 2016
G7P11
[2] Neuerungen in SharePoint 2016
G7P12
[3] Migrationsprozess auf
SharePoint 2016
G7P13
[4] RTM-Variante herunterladen
G7P14
[5] Hinweise zum Setup
G7P15
Juli 2016 37
Praxis D N S - Tr o u b l e s h o o t i n g
Problembehebung fr DNS, Active Directory und Gruppenrichtlinien
Raus aus der DNS-Falle
von Thomas Joos
Bei der Aktualisierung von Domnen-
controllern oder der Installation
neuer Server kann es zu Problemen
im Bereich der Namensauflsung,
der AD-Replikation und mit
Gruppenrichtlinien kommen.
Solche Fehler knnen sich
gravierend auswirken, zum
Beispiel durch Stabilitts-
probleme der Clients. Um
diese Fehler einzugrenzen,
zeigt unser Workshop eine
koordinierte Vorgehensweise
fr Windows Server ab der
Version 2008.
ehlerhafte Namensauflsungen
F und Netzwerkverbindungen sind
die hufigsten Fehler in Netzwerken.
Funktioniert ein Serverdienst auf einem
oder mehreren Rechnern nicht mehr oder
es kommt zu Verbindungs- und Leis-
tungsproblemen, sollten Sie zunchst
berprfen, ob die Namensauflsung und
die Verbindung zwischen den Servern
und Clients noch optimal funktioniert.
berprfen Sie in der Befehlszeile zu-
nchst mit nslookup, ob der Name des
Servers auf den beteiligten Rechnern
noch aufgelst werden kann. Dadurch
lassen sich hufig schon Fehler eingren-
zen. Alle beteiligten Server sollten sich
untereinander auflsen knnen, das gilt
auch fr die Clients.
Namensauflsung
testen und Netzwerk-
verbindungen berprfen
Vor allem bei verschachtelten Domnen
spielt die Namensauflsung eine wichtige
Rolle. Die IP-Adresse des Servers muss
ber nslookup fehlerfrei zurckgegeben
werden. Das funktioniert in verschachtel-
ten Strukturen aber erst dann berall,
wenn Sie auf dem untergeordneten Do-
38 Juli 2016
mnencontroller DNS fr die untergeord-
nete Domne konfiguriert haben und sich
der DNS-Server eingetragen hat. Sie kn-
nen von dem lokalen Rechner aus auch
andere DNS-Server mit der Auflsung be-
auftragen. Nutzen Sie dazu in der Einga-
beaufforderung die Anweisung nslookup
hostserver. Ein Beispiel dazu wre:
nslookup dc02.microsoft.com
dc01.contoso.com
Hier versucht nslookup den Host "dc02.
microsoft.com" mit Hilfe des Servers
"dc01.contoso.com" aufzulsen. Anstatt
dem zweiten Eintrag knnen Sie auch die
IP-Adresse angeben.
Wenn Sie als Servereintrag bei dieser Ein-
gabeaufforderung einen DNS-Server mit
seinem FQDN eingeben, setzt dies voraus,
dass der DNS-Server, den der lokale
Rechner verwendet, zwar nicht den Host
"dc02.microsoft.com" auflsen kann, aber
dafr den "Server dc01.contoso.com". Der
DNS-Server "dc01.contoso.com" wieder-
um muss dann den Host "dc02.micro-
soft.com" auflsen knnen, damit keine
Fehlermeldung ausgegeben wird.
3R
F
12
La mb
ett
e ll e: Br
Qu
Sie knnen also mit dem nslookup-Werk-
zeug sehr detailliert die Schwachstellen
Ihrer DNS-Auflsung aufdecken. Um
mehrere Hosts hintereinander abzufragen,
mssen Sie nicht jedes Mal den oben ge-
zeigten Befehl verwenden, sondern:
nslookup -Server
Dabei steht der Eintrag "Server" fr den
Namen oder die IP-Adresse des DNS-
Servers, den Sie befragen wollen, zum
Beispiel nslookup -server 10.0.0.11. Sie
knnen die beiden Optionen bei Bedarf
auch kombinieren.
Wenn Sie zum Beispiel nslookup so star-
ten, dass nicht der lokal konfigurierte
DNS-Server zur Namensauflsung he-
rangezogen wird, sondern der Remote-
server 10.0.0.11, knnen Sie innerhalb
der Nslookup-Befehlszeile durch Eingabe
von "Host Server" wieder einen weiteren
DNS-Server befragen.
Das nslookup-Tool startet in der Einga-
beaufforderung und ist so konfiguriert,
dass es den DNS-Server "10.0.0.11" zur
Namensauflsung verwendet. Es ber-
www.it-administrator.de

Bild 1: Die Diagnose von DNS-Problemen mit nslookup ermglicht eine Eingrenzung von Fehlern.
prft, ob der lokal konfigurierte DNS-Ser-
ver in seiner Reverse-Lookupzone die IP-
Adresse 10.0.0.11 zu einem Servernamen
auflsen kann (Punkt 1 in Bild 1). Da das
funktioniert, zeigt die Ausgabe als Stan-
dardserver fr diese nslookup-Befehlszeile
den DNS-Server 10.0.0.11 mit seinem
FQDN "dc01.contoso.com" an. Wre an
dieser Stelle eine Fehlermeldung erschie-
nen, zum Beispiel, dass der Servername
fr 10.0.0.11 nicht bekannt ist, bedeutet
das, dass der DNS-Server, der in den IP-
Einstellungen des lokalen Rechners kon-
figuriert ist, in seiner Reverse-Lookupzone
den Servername nicht auflsen kann. In
diesem Fall sollten Sie die Konfiguration
der Reverse-Lookupzone berprfen und
sicherstellen, dass alle Zeiger (Pointer)
korrekt eingetragen sind. Zu einer kon-
sistenten Namensauflsung per DNS ge-
hrt nicht nur die Auflsung von Server-
name zu IP (Forward), sondern auch von
IP zu Servernamen (Reverse).
In der nchsten Zeile (Punkt 2 in Bild 1)
soll der Rechnername "dc02.microsoft.
com" vom Server 10.0.0.13 aufgelst wer-
den. Der Server 10.0.0.13 kann diesen je-
doch nicht auflsen. In diesem Fall liegt
ein Problem auf dem Server 10.0.0.13 vor,
der die Zone "microsoft.com" nicht erkennt.
Sie sollten daher auf dem Server 10.0.0.13
entweder in den Eigenschaften des DNS-
Servers auf der Registerkarte "Weiterlei-
tungen" berprfen, ob eine Weiterleitung
zu "microsoft.com" eingetragen werden
muss, oder eine sekundre Zone fr "mi-
crosoft.com" auf dem Server 10.0.0.13 an-
legen, wenn dieser Rechnernamen fr die
Zone "microsoft.com" auflsen knnen soll.
Als Nchstes wird versucht, den gleichen
Servernamen (dc02.microsoft.com) ber
den Standardserver dieser nslookup-Be-
fehlszeile aufzulsen (Punkt 3). Der Stan-
www.it-administrator.de
dardserver kann den Servernamen pro-
blemlos auflsen, was zeigt, dass diese
Konfiguration in Ordnung ist.
An dieser Stelle ist die Namensauflsung
von der bergeordneten zur untergeord-
neten Domne hergestellt. Sie mssen
noch die Namensauflsung von der un-
tergeordneten zur bergeordneten Do-
mne herstellen. Die beste Variante hierzu
ist eine Weiterleitung:
1. Klicken Sie dazu mit der rechten Maus-
taste im Snap-In der DNS-Verwaltung
auf "Bedingte Weiterleitungen".
2. Whlen Sie im Kontextmen den Ein-
trag "Neue bedingte Weiterleitung" aus
und tragen Sie die bergeordnete DNS-
Domne ein.
3. Tragen Sie die IP-Adresse eines DNS-
Servers der bergeordneten Domne
ein. Wenn in der bergeordneten Do-
mne mehrere DNS-Server fr die Na-
mensauflsung zustndig sind, hinter-
legen Sie alle DNS-Server.
4. Diesen Vorgang mssen Sie nicht auf
jedem DNS-Server der untergeordne-
ten Domne durchfhren, wenn Sie die
Eintrge auf die DNS-Server der un-
tergeordneten Domne replizieren las-
sen. Das funktioniert allerdings erst
dann, wenn die untergeordnete Dom-
ne erstellt worden ist.
berprfen Sie, ob von der untergeord-
neten Domne die Domnencontroller
der bergeordneten Domne aufgelst
werden knnen. Im Beispiel aus Bild 2 ist
"dc-berlin.de.contoso.int" ein untergeord-
neter Domnencontroller und "dc01.con-
toso.int" ein Domnencontroller der ber-
geordneten Domne "contoso.int". Achten
Sie darauf, dass beim Einsatz von meh-
reren untergeordneten Domnen auch
die Namensauflsung zwischen den un-
D N S - Tr o u b l e s h o o t i n g Praxis
tergeordneten Domnen funktioniert.
Nur durch eine lckenlos konfigurierte
Namensauflsung ist die Replikation des
Active Directory sichergestellt, und damit
auch der Betrieb von Serverdiensten in
der Domne.
Testen Sie auerdem mit ping, ob Rechner
im Netzwerk miteinander kommunizie-
ren knnen. Achten Sie darauf, dass in
vielen Netzwerken das ICMP-Protokoll
gesperrt ist, das der Ping-Befehl nutzt.
Funktionieren die Namensauflsung und
Netzwerkverbindungen fehlerfrei und
performant, sind viele Fehlerursachen
schon ausgeschlossen. Testen Sie einen
Dauerping mit
ping IP-Adresse -t
um festzustellen, ob Netzwerkpakete ver-
loren gehen oder bei manchen Paketen
die Antwortzeit nach oben geht. Stellen
Sie bei Problemen mit der Namensaufl-
sung auch sicher, dass in den Netzwerk-
einstellungen der beteiligten Rechner der
korrekte DNS-Server eingetragen ist. Am
schnellsten starten Sie die Konfiguration
der Netzwerkverbindung mit ncpa.cpl.
Reverse-Zonen und IPv6-
Einstellungen optimieren
Es ist fr die Stabilitt durchaus sinnvoll,
auch mit einer Reverse-Zone zu arbeiten.
Diese kann die IP-Adresse von Rechnern
zu einem Servernamen auflsen. Dadurch
vermeiden Sie Probleme bei der Namens-
auflsung. Reverse-Lookup-Zonen erstel-
len Sie ber einen Assistenten in der DNS-
Verwaltung, genauso wie primre
DNS-Zonen. Whlen Sie die Erstellung
einer IPv4-Zone und geben Sie das Sub-
netz ein, das die Zone abdecken soll. Nach
und nach tragen sich die Server in der Zo-
Bild 2: Fr ein fehlerfreies Netzwerk muss die
Namensauflsung sichergestellt sein.
Juli 2016 39
Praxis D N S - Tr o u b l e s h o o t i n g
Bild 3: Durch einen weniger optimalen IPv6-Eintrag der Netzwerkverbindung von DNS-Servern
erhalten Sie Fehlermeldungen bei der Namensauflsung.
ne ein. Sie knnen das mit ipconfig /regis-
terdns beschleunigen. In Ausnahmefllen
kann es vorkommen, dass die Aktualisie-
rung der Reverse-Lookupzone nicht funk-
tioniert. Der Server ist zwar in der For-
ward-Zone hinterlegt, aber nicht in der
Reverse-Zone. In diesem Fall knnen Sie
einfach den Eintrag des Servers manuell
ergnzen. Dazu mssen Sie lediglich einen
neuen Zeiger (Pointer) erstellen.
Auf den Servern sollten Sie in den Ein-
stellungen von IPv6 noch das automati-
sche Abrufen der IP-Adresse aktivieren,
da ansonsten der Eintrag "::1" Fehler bei
der lokalen berprfung von IP-Adressen
erzeugt. Das spielt zwar generell fr die
Stabilitt keine Rolle, ist aber nicht ideal
bei Tests und der Anzeige der korrekten
Namen. Standardmig versucht beispiels-
weise Windows Server 2012 R2 den Na-
men nach der IPv6-Adresse aufzulsen,
was in unschnen Meldungen resultiert.
Unabhngig davon, ob Sie IPv6 verwen-
den, sollten Sie den Eintrag in der IPv6-
Einstellung der Netzwerkverbindung des
DNS-Servers auf "DNS-Serveradresse au-
tomatisch beziehen" setzen. Bei den IPv4-
Einstellungen tragen Sie entweder die IP-
Adresse des lokalen Servers ein oder die
IP-Adresse eines anderen DNS-Servers im
Netzwerk. Sie sollten als primre DNS-
Server-Adresse immer eine IP-Adresse ei-
nes anderen DNS-Servers im Netzwerk
verwenden und erst als sekundre seine
eigene. Wenn der DNS-Cache auf dem
Rechner noch einen falschen Eintrag ent-
hlt, den Sie zuvor bereits berichtigt haben,
lschen Sie diesen mit ipconfig /flushdns.
Startet ein Windows-Client, registriert er
sich automatisch am DNS, wenn die loka-
len Dienste (Anmeldedienst und DNS-
Client) gestartet werden. Da Sie bei einer
40 Juli 2016
Fehlerbehebung nicht jedes Mal die beiden
Dienste oder den ganzen Server neu star-
ten wollen, knnen Sie in der Eingabeauf-
forderung mit dem Befehl ipconfig/regis-
terdns eine manuelle Aktualisierung der
Eintrge auf dem DNS durchfhren.
DNS-Eintrge reparieren
Zustzlich knnen Sie mit dem nslookup-
Werkzeug auch die SRV-Records des AD
berprfen. Clients knnen im DNS nach-
fragen, welcher Host im Netzwerk fr die
einzelnen Serverdienste verantwortlich ist.
Das AD baut stark auf diese SRV-Records
auf. Aus diesem Grund ist eine Diagnose
dieser Eintrge mit nslookup durchaus
sinnvoll. Jeder Domnencontroller im AD
hat neben seinem Host-A-Namen zum
Beispiel "dc01.contoso.com" noch einen
zugehrigen CNAME, der das so genannte
DSA (Directory System Agent)-Objekt sei-
ner NTDS-Settings darstellt. Dieses DSA-
Objekt ist als SRV-Record im DNS unter-
halb der Zone der Domne unter dem
Knoten "_msdcs" zu finden.
Der CNAME ist die GUID dieses DSA-
Objektes. Domnencontroller versuchen
ihren Replikationspartner nicht mit dem
herkmmlichen Host-A-Eintrag aufzul-
sen, sondern mit dem hinterlegten C-
NAME. Ein Domnencontroller versucht
nach der erfolglosen Namensauflsung
des CNAME eines DCs, einen Host-A-
Eintrag zu finden. Schlgt auch das fehl,
versucht der DC den Namen mit NetBIOS
aufzulsen, entweder ber Broadcast oder
einen WINS-Server. Jeder DC bentigt ei-
nen eindeutigen CNAME, der wiederum
auf seinen Host-A-Eintrag verweist. ber-
prfen Sie bei Replikationsproblemen, ob
diese Eintrge vorhanden sind.
Alle SRV-Records vom Active Directory
befinden sich parallel in der Datei "\%
WinDir%\System32\config\netlogon.dns",
die sich mit einem Editor auch anzeigen
lsst. Fehlen Eintrge in den DNS-Zonen,
die das Active Directory bentigt, ist es
meist hilfreich, wenn Sie den Befehl dcdiag
/fix ausfhren. Dabei versucht das Tool,
auch fehlende Eintrge aus der Datei "net-
logon.dns" einzubauen. Danach sollte die
Namensauflsung wieder funktionieren.
Anschlieend sollten die Eintrge recht
schnell auf dem DNS aktualisiert sein. Soll-
te das dynamische Aktualisieren noch im-
mer nicht funktionieren, berprfen Sie
in den Eigenschaften der Zone, ob die dy-
namische Aktualisierung aktiviert ist.
Wenn sich an der Zone auch Arbeitssta-
tionen und Server dynamisch registrieren
sollen, die nicht Mitglied der Gesamtstruk-
tur sind, knnen Sie auch die Option
"Nicht sichere und sichere" aktivieren.
Domnencontroller
werden nicht gefunden
Erhalten Clients oder Server die Meldung,
dass der DC nicht erreicht wird, sollten
Sie auf den beteiligten Computern zu-
nchst per Ping testen, ob eine Verbindung
zur IP-Adresse des Servers funktioniert.
Klappt das, stellen Sie sicher, dass in den
Netzwerkeinstellungen der Server die IP-
Adresse eines DNS-Servers eingetragen
ist, der den DC auflsen kann. Auch auf
den DCs selbst mssen in den Netzwerk-
einstellungen die DNS-Server so gesetzt
sein, dass die Auflsung funktioniert.
Haben Sie diese Grundlagentests durch-
gefhrt, aber die Auflsung funktioniert
noch immer nicht, fehlen unter Umstn-
den DNS-Eintrge der DCs in den DNS-
Zonen. Diese Einstellungen finden Sie un-
ter "_msdcs" auf den DNS-Servern. Auf
den DCs finden Sie solche Fehler am
schnellsten, wenn Sie dcdiag in der Einga-
beaufforderung eingeben. berprfen Sie
auch mit nltest /dsgetsite, ob der DC dem
richtigen Active Directory-Standort zu-
gewiesen ist. Mit
nltest /dclist:NetBIOS-Name der
Domne
lassen Sie sich eine Liste aller Domnen-
controller einer entsprechenden Domne
anzeigen. Die Eintrge sollten als FQDN
www.it-administrator.de

aufgelistet sein. Ebenfalls ein wichtiger
Befehl ist
nltest /dsgetdc:NetBIOS-Name der
Domne
Dieser Befehl listet Name, IP-Adresse,
GUID, FQDN des Active Directory und
weitere Informationen auf. Alle Informa-
tionen sollten frei von Fehlern sein.
Starten Sie mit net stop netlogon und dann
net start netlogon den Anmeldedienst auf
dem Domnencontroller neu. Beim Star-
ten versucht der Dienst, die Daten der
Datei "netlogon.dns" erneut im DNS zu
registrieren. Gibt es hierbei Probleme,
finden Sie im Ereignisprotokoll unter
"System" einen Eintrag des Diensts, der
bei der Problemlsung weiterhilft.
Auch nltest /dsregdns hilft oft bei Proble-
men in der DNS-Registrierung. Funktio-
niert die erneute Registrierung durch Neu-
start des Anmeldediensts nicht, lschen
Sie die DNS-Zone "_msdcs" und die er-
stellte Delegierung ebenfalls. Starten Sie
dann den Anmeldedienst neu, liest dieser
die Daten von "netlogon.dns" ein, erstellt
die Zone "_msdcs" neu und schreibt die
Eintrge wieder in die Zone. Testen Sie
anschlieend wieder mit dcdiag, ob die
Probleme behoben sind. Einen ausfhr-
lichen Test fhren Sie mit dcdiag /v durch.
DCs berprfen
Um Fehler bei der Active-Directory-Re-
plikation zu beheben, sollten Sie sicher-
stellen, dass die Namensauflsung im
Netzwerk funktioniert. Diese ist Grund-
lage fr die AD-Replikation. Mit dcdiag
/v lassen Sie eine grndliche berprfung
des Active Directory durchfhren. Er-
scheinen hier Fehler, haben Sie oft schon
die Ursache fr Replikationsfehler gefun-
den. Geben Sie die Fehler in einer Such-
maschine ein, erhalten Sie Hinweise zur
Fehlerbehebung. Mit dcdiag /a berprfen
Sie alle DCs am aktuellen AD-Standort,
dcdiag /e berprft alle DCs in der Ge-
samtstruktur. Um nur die Fehler anzu-
zeigen, verwenden Sie dcdiag /q. Wollen
Sie nur einen einzelnen DC ber das
Netzwerk testen, verwenden Sie
dcdiag /s:Name des DC
www.it-administrator.de
Erhalten Sie Fehler, sollten Sie zunchst
den Server neu starten und danach si-
cherstellen, welche Eintrge es in der Er-
eignisanzeige gibt und ob alle Dienste ge-
startet sind, zum Beispiel der Systemdienst
fr den DNS-Server und der Systemdienst
fr das Active Directory.
berprfen Sie alle Fehler in dcdiag und
suchen Sie danach im Internet. Mit
dcdiag /v >c:\temp\Dateiname.txt
knnen Sie alle Daten direkt in eine Text-
datei umleiten lassen, daraus kopieren
und nach Fehlern suchen.
Die verschiedenen Advertising-Tests und
die Tests der FSMO-Rollen mssen auf
jeden Fall problemlos funktionieren. Zu-
sammen mit nslookup und ping knnen
Sie auf diesem Weg auch die Namensauf-
lsung und Kommunikation der DCs un-
tereinander testen. Mit Repadmin /show-
reps erhalten Sie die Replikationen der
Domnencontroller. Knnen sich einzelne
Domnencontroller nicht replizieren, se-
hen Sie recht schnell, welcher DC die
Quelle ist. Mit
repadmin /showreps >c:\Dateiname.txt
lassen Sie die Daten in eine Textdatei um-
leiten und ber
repadmin /showreps * /csv
>c:\Dateiname.csv
in eine CSV-Datei. Diese knnen Sie zum
Beispiel in Excel importieren, um Fehler
besser beheben zu knnen.
berprfen Sie in der Konsole "Active Di-
rectory-Standorte und Dienste" im Be-
reich "Sites / Name des Standortes / Ser-
ver", ob alle Domnencontroller aufgelistet
wurden. Unterhalb jedes DC finden Sie
noch den Eintrag "NTDS Settings". Klicken
Sie auf diesen, sehen Sie rechts im Fenster
die Replikationsverbindungen mit anderen
DCs. Diese werden automatisch erstellt.
ber das Kontextmen knnen Sie ma-
nuell eine Replikation starten. Erscheint
hier ein Fehler, mssen Sie berprfen,
warum die Domnencontroller nicht mit-
einander kommunizieren knnen.
D N S - Tr o u b l e s h o o t i n g Praxis
Zustzlich sollten Sie berprfen, ob alle
Domnencontroller korrekt im AD re-
gistriert sind. Dazu verwenden Sie nltest
/dclist:Contoso. berprfen Sie fr die
einzelnen DCs, ob sie ihren eigenen
Standort kennen: nltest /dsgetsite.
Achten Sie darauf, dass alle DCs mit ih-
rem DNS-Namen erscheinen. Ist das
nicht der Fall, berprfen Sie, ob auf dem
DC der richtige DNS-Server eingetragen
ist, in der DNS-Zone der Server und des-
sen IP-Adresse aufgenommen wurde und
schlielich dass die Namensauflsung mit
nslookup funktioniert.
Der "Knowledge Consistency Checker"
(KCC) verbindet die Domnencontroller
der verschiedenen Standorte und erstellt
automatisch eine Replikationstopologie
auf Basis der definierten Zeitplne und
Standortverknpfungen. Funktioniert eine
Replikationsverbindung nicht, mssen Sie
fr jeden Server die Server-GUID ausle-
sen. Dazu verwenden Sie repadmin /show-
reps. Jeder Server zeigt im Fenster die
DSA-Objekt-GUID an. Diese mssen Sie
fr das Hinzufgen einer Verbindung ver-
wenden. Die GUID nutzen Sie anschlie-
end mit dem Befehl repadmin /add. Der
Domnennamen fr dieses Beispiel ist
"contoso.int". Die Server-GUIDs fr die
beiden DCs sind in diesem Beispiel:
- DC1 GUID = e8b4bce7-13d4-46bb-
b521-8a8ccfe4ac06
- DC5 GUID = d48b4bce7-13d4-444bb-
b521-7a8ccfe4ac06
Unter "Active-Directory-Standorte und
-Dienste" lschen Sie alle Verbindungs-
objekte. Erstellen Sie als Nchstes eine
neue Verbindung vom defekten DC zu
einem funktionierenden DC:
repadmin /add "cn=configuration,
dc=contoso,dc=int" e8b4bce7-
13d4-46bb-b521-8a8ccfe4ac06.
_msdcs.contoso.int d48b4bce7-
13d4-444bb-b521-a8ccfe4ac06.
_msdcs.contoso.int
In Ihrer Umgebung verwenden Sie die ent-
sprechenden Server-GUIDs und Dom-
nennamen. Whrend dieser Prozedur kann
der Fehler 8441 ("Distinguished Name al-
ready exists") erscheinen. In diesem Fall
Juli 2016 41
Praxis D N S - Tr o u b l e s h o o t i n g
ist die Verbindung schon vorhanden.
Fhren Sie eine vollstndige Replikation
ber die erstellte Verbindung durch. Ver-
wenden Sie dazu den folgenden Befehl:
repadmin /sync cn=configuration,
dc=contoso,dc=int DC1 e8b4bce7-
13d4-46bb-b521-8a8ccfe4ac06 /force
/full
Stellen Sie danach im Snap-In "Active Di-
rectory-Standorte und -Dienste" sicher,
dass es wieder automatisch generierte Ver-
bindungsobjekte von der defekten Maschi-
ne zum funktionierenden DC gibt. Stellen
Sie danach sicher, dass die Replikation in
alle Richtungen funktioniert. Auerdem
sollten Sie berprfen, ob die einzelnen
FSMO-Rollen im Netzwerk bekannt sind.
Diese lassen Sie sich gebndelt mit
netdom query fsmo
anzeigen. Einzeln nutzen Sie den Befehl
mit folgenden Optionen:
- PDC-Master:
dsquery server -hasfsmo pdc
- RID-Master:
dsquery server -hasfsmo rid
- Infrastruktur-Master:
dsquery server -hasfsmo infr
- Schemamaster:
dsquery server -hasfsmo schema
- Domnennamenmaster:
dsquery server -hasfsmo name
Probleme mit
Gruppenrichtlinien beheben
Falls Gruppenrichtlinien nicht funktio-
nieren, knnen die Ursachen sehr unter-
schiedlich sein. Sie sollten Schritt fr
Schritt untersuchen, wo das Problem lie-
gen knnte. Legen Sie am besten fr die
unterschiedlichen Einstellungen verschie-
dene Gruppenrichtlinien an und verknp-
fen Sie diese mit der entsprechenden OU
oder der ganzen Domne. Bei der ber-
prfung helfen noch folgende Punkte:
- Stellen Sie sicher, dass die Clients den
DNS-Server verwenden, auf dem die
SRV-Records von Active Directory ge-
speichert sind.
- berprfen Sie mit nslookup, ob auf
den Clients der Windows-Server auf-
gelst werden kann.
- Prfen der Ereignisanzeige auf Fehler.
42 Juli 2016
- Ist der Benutzer/Computer in der rich-
tigen OU, auf welche die Richtlinie an-
gewendet wird?
- Versuchen Sie die Richtlinie auf eine
Sicherheitsgruppe anzuwenden? Dies
ist nicht ohne weiteres mglich.
- Stimmt die Vererbung? In welcher
Reihenfolge starten die GPOs?
- Haben Sie etwas an der standardmi-
gen Vererbung der Richtlinie verndert?
- Haben Sie irgendwo Erzwungen oder
Vererbung deaktivieren aktiviert?
- Geben Sie auf dem PC in der Eingabe-
aufforderung als angemeldeter Benutzer
gpresult > gp.txt ein, um sich das Er-
gebnis der Richtlinie anzeigen zu lassen.
Das Windows-MMC-Snap-In "Richtlini-
energebnissatz" bietet eine grafische Ober-
flche und wertet die angewendeten
Richtlinien aus. Sie knnen sich den
Richtlinienergebnissatz auf einer Arbeits-
station ber "MMC/Datei/Snap-In hin-
zufgen / Richtlinienergebnissatz" anzei-
gen lassen. Eine weitere Mglichkeit ist
die Eingabe von rsop.msc im Suchfeld des
Startmens.
Werden Gruppenrichtlinien auf einzelnen
Rechnern nicht korrekt angewendet, kn-
nen Sie das kostenlose Microsoft Tool
"Group Policy Log View"[1] verwenden,
um die Fehler genauer einzugrenzen. In-
stallieren Sie das Tool auf einem Rechner,
den Sie analysieren wollen. Anschlieend
ffnen Sie eine Befehlszeile mit Adminis-
tratorrechten und wechseln in das Ver-
zeichnis, in das Sie das Tool installiert ha-
ben. Zur berwachung der Gruppen-
richtlinien nutzen Sie
gplogview -o gpevents.txt
Das Tool analysiert jetzt alle Eintrge der
Gruppenrichtlinien und zeigt im Ver-
zeichnis eine Textdatei an, in der die
GPO-Fehler gesammelt werden. Sie kn-
nen das Tool auch in einem Anmelde-
skript hinterlegen. Dadurch wird es auf
jedem Rechner ausgefhrt, der das An-
meldeskript nutzt. Wenn Sie im Anmel-
deskript die Datei mit dem Auswertungs-
Ergebnis noch in einer Freigabe speich-
ern, knnen Sie gezielt die Verwendung
der Gruppenrichtlinien auf mehreren
Rechnern berwachen. In diesem Fall las-
Link-Codes eingeben auf www.it-administrator.de
sen Sie die Auswertungsdatei aber nicht
nur im Netzwerk speichern, sondern ge-
ben dem Dateinamen auch noch den je-
weiligen Rechnernamen des ausgewerte-
ten Rechners mit:
gplogview -o \\Server\Freigabe\
computername-gpevent.txt
Sie knnen auch eine HTML-Datei als
Bericht erstellen lassen:
gplogview -h -o \\Server\Freigabe\
computername-gpevent.html
Im HTML-Bericht zeigt das Tool auch
Farben an. Je rtlicher der Eintrag im Feld
"Activity Id" ist, umso gravierender ist der
Fehler. Das Tool kann die Anwendung
der Gruppenrichtlinien aber auch in Echt-
zeit berwachen. Dazu ffnen Sie eine
Befehlszeile mit Administratorrechten
und starten die Echtzeitberwachung mit
gplogview -m.
Das Tool berwacht jetzt den lokalen
Rechner auf die Anwendung von Grup-
penrichtlinien. ffnen Sie jetzt eine zweite
Befehlszeile und geben Sie in dieser den
Befehl gpupdate /force ein. Im Fenster mit
Group Policy Log View sehen Sie die Aus-
wertung der Richtlinie.
Fazit
Die in diesem Artikel aufgezeigten Pro-
bleme knnen jede Infrastruktur treffen
und nach scheinbar geringfgigen nde-
rungen auftreten. Und da diese Probleme
gravierende Auswirkungen auf die Funk-
tion der gesamten Infrastruktur haben
knnen, soll unser Beitrag Manahmen
liefern, die schnelle Hilfe fr den Admi-
nistrator bringen. Gleichzeitig ist es denk-
bar, dass weniger gravierende Probleme
schon lange im Netz akut sind. Sie brem-
sen dies nicht so sehr aus, dass die IT-Ver-
antwortlichen es bemerken, fhren aber
zu einem suboptimalen IT-Betrieb. Auch
hier sind die Vorgehensweisen dieses
Workshops geeignet, den belttern auf
die Schliche zu kommen. (jp)
Link-Codes
[1] Group Policy Log View
E6P25
 Der IT-Administrator ist
nicht nur zum Lesen da!
Sichern Sie sich unsere
schicken und pfiffigen
Admin-Accessoires:

Das kultige
IT-Administrator
T-Shirt

Der sportliche
IT-Administrator
Notebook-Rucksack

Der praktische Schuber fr

Ihre IT-Administrator Hefte!

JETZT im
n e - S h o p
Onl i
Abo- und Leserservice
IT-Administrator
h l t l i c h !
vertriebsunion meynen
Herr Stephan Orgel
er
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Praxis Windows 10 & Office 2016

Windows 10 und Office 2016 einfhren (4)

Windows-Bndiger
von Florian Frommherz

Nachdem Windows 10 und Office 2016 ihren Rollout

im Unternehmen erfahren haben, adressiert der
vierte Teil unserer Workshopreihe die Verwaltung
und gezielte Steuerung der Systeme. Wir zeigen die
Kontrolle einzelner Einstellungen mit Gruppenricht-
linien, um so beispielsweise das Startmen vorzuge-
ben oder die Sicherheit zu gewhrleisten.

elten wird Windows Endbenut-
S zern im Unternehmen out of the
box zur Verfgung gestellt. Vielmehr set-
zen die Administratoren Voreinstellun-
gen, die die tgliche Arbeit einfacher ma-
chen oder untersttzen. hnlich wie seine
Vorfahren bietet Windows 10 eine Reihe
ntzlicher Gruppenrichtlinien, mit denen
sich bereits zuvor vorhandene und neu
hinzugekommene Funktionen kontrol-
lieren und voreinstellen lassen.
Windows vorkonfigurieren
Die zentrale Verwaltung mit Gruppen-
richtlinien hnelt unter Windows 10 der
von Windows 8.1 oder frher. Auch die
Vorbereitungen sind identisch: Fr die
Verwaltung von Windows 10 und Office
2016 bentigt die Gruppenrichtlinienver-
waltungskonsole (GPMC) die korrekten
Definitionen fr neue Einstellungen. Die
Definitionen fr verwaltete Windowsein-
stellungen sind in den administrativen
Vorlagen den ADMX-Dateien zu fin-
den. Die neuesten Definitionen fr Win-
dows sind im Betriebssystem in "C:\Win-
dows\PolicyDefinitions" abgelegt.
Alternativ bietet Microsoft die Definitio-
nen zum Download an [1]. Ein kurzer
Blick auf die Zeitstempel der entpackten
Dateien verrt, welche Definitionen die
neuesten sind. Nur die neuesten Defini-
tionen kopieren Sie dann auf den AD-
SYSVOL und legen sie im Ordner "\\con-
toso.com\SYSVOL\contoso.com\policies\
PolicyDefinitions" ab. Nach Systemup-
dates, etwa einem neuen Windows-Build
oder dem Geburtstagsupdate fr Win-
dows 10, lohnt sich ein er-
neuter Blick in den "Poli-
cyDefinitions"-Ordner.
Microsoft liefert die pas-
senden ADMX-Dateien
nach Updates mit.
Es werden immer nur ein-
zelne Dateien in den Cen-
tral Store kopiert, niemals
der gesamte Ordner ber-
schrieben. Das gilt sowohl
fr den "PolicyDefini-
tions"-Ordner als auch die
Unterordner fr die jewei-
ligen Sprachen. Um die
Umgebung mit den neu-
esten Definitionen zu be-
stcken, verschieben Sie Quelle: Jeffrey Thompson 123RF
alle neuen ADMX-Dateien
sowie die dazugehrenden ADML-Dateien beinhaltet die booleschen Werte "WAHR"
in die Unterordner fr die genutzten Spra- oder "FALSCH", um anzuzeigen, ob eine
chen. Fr jede ADMX-Datei mssen Sie Einstellung neu in Windows 10 hinzuge-
zumindest die zugehrige ADML-Datei fgt wurde. Die Spalte ist auch "WAHR",
fr die Sprache "en-US" in den Sprachun- wenn eine neue Einstellung fr frhere
terordner kopieren. Gibt es Installationen Betriebssysteme eingefgt wurde die
der GPMC in anderen Sprachen, knnen bersicht ist also hilfreich, um sich auf
weitere Sprachordner nachgefhrt werden. den neuesten Stand der verfgbaren
Richtlinieneinstellungen zu bringen. Fr
Einen guten berblick ber neue Einstel- Office 2016 existiert das Spreadsheet
lungen finden Sie im "Group Policy Set- ebenfalls es ist im Installationspaket der
tings Reference Spreadsheet" [2], das alle ADMX-Vorlagen fr Office enthalten und
verfgbaren Gruppenrichtlinieneinstel- im Unterordner "Admin" nach dem Ent-
lungen auflistet. Interessieren Sie sich spe- packen zu finden.
ziell fr nderungen hinsichtlich Win-
dows 10, laden Sie das Spreadsheet "TP4 Neue Funktionen konfigurieren
Policy Settings Reference" (ebenfalls unter Das Ausrollen von Einstellungen per
[2] zu finden) herunter. Die Spalte "H" Gruppenrichtlinien ist in den seltensten

44 Juli 2016 www.it-administrator.de


Fllen ein Selbstzweck Administratoren
verfolgen typischerweise unternehmens-
dienliche Ziele. Dazu gehren beispiels-
weise die Bereitstellung einfacher Links
oder Einbettung von Dateiablagen in pro-
minente Pltze des Betriebssystems, wo
Benutzer sie finden, und das Deaktivieren
von Einstellungen, die im Unternehmen
nicht sinnvoll sind. Auch von der IT-Si-
cherheitsabteilung nicht gewnschte Pa-
rameter werden angepasst oder Wind-
owsstandards den Gegebenheiten des
Unternehmens angeglichen.
Wir wollen im Folgenden einige Einstel-
lungen fr Windows 10 konfigurieren.
Den Anfang macht der Edge-Browser,
der seine eigenen Einstellungen fr Richt-
linien mit sich bringt und nicht mit den
bisher verfgbaren Internet Explorer-Set-
tings gefttert wird. Dabei fllt sofort auf,
dass die Anzahl der verfgbaren Einstel-
lungen im Vergleich zum Internet Explo-
rer sehr klein ist.
Einige wichtige GPO-Einstellungen sind
allerdings schon verfgbar, die Sie in "User
Configuration" oder "Computer Configu-
ration / Policies / Administrative Templates
/ Microsoft Edge" wiederfinden. Suchen
Sie nach "Edge" im erwhnten Windows-
10-Einstellungsspread-sheet, mssen Sie
die Suchergebnisse fr "Edge UI" ausklam-
mern. Edge UI wurde mit Windows 8.1
entwickelt, um die Gestensteuerung per
Fingerwischen oder Maus aus den Bild-
schirmrndern abzubilden.
Fr den Anfang setzen wir die Startseite
fr Benutzer in Edge: Dazu konfigurieren
Sie "Configure Corporate Home Pages"
in "User Configuration\Policies\Admi-
nistrative Templates\Microsoft Edge\".
Die Startseiten fr Edge mssen Sie dabei
in Grer- beziehungsweise Kleinerklam-
mern einschlieen, etwa: "<http://www.it-
administrator.de><https://intra.contoso.
com><http://www.microsoft.com/>". Be-
nutzer knnen die Liste nach Ausrollen
der Richtlinie nicht mehr ndern sie
ist exklusiv.
Um die Suchergebnisvorschlge wh-
rend des Eintippens von Suchbegriffen
auszuschalten einige Benutzer knnten
sich dadurch genervt fhlen , setzen
www.it-administrator.de
Bild 1: Microsoft liefert zu neuen Versionen von Windows und Office eine bersicht neuer
Einstellungen in der allgemeinen Einstellungsreferenz.
Sie "Turn off address bar search sugges-
tions". Eine Vorgabe fr Favoriten fr
Edge steuern Sie mit "Configure Favo-
rites". Dabei geben Sie bei der Aktivie-
rung der Einstellung ein Key-Wert-Paar
an, das als Key den Lesenamen einer fa-
vorisierten Webseite und als Wert die
URL trgt. Die Liste wird fr Benutzer
nachtrglich importiert und mit der Lis-
te der Benutzerfavoriten zusammenge-
fhrt. Benutzer drfen also ihre zuvor
genutzten Favoriten behalten, falls vor-
handen. Auch drfen Benutzer weiter-
hin neue Favoriten hinzufgen und ihre
Vorgaben lschen.
Die Einstellung "Send all intranet sites to
Internet Explorer 11" ist dann interessant,
wenn Kompatibilittsprobleme mit inter-
nen Webseiten zu befrchten sind. Die
Einstellung bewirkt, dass Edge die Web-
seite im Internet Explorer ffnet, wenn
der Browser erkennt, dass es sich um eine
Intranetseite handelt. Das hilft bei Kom-
patibilittsproblemen, denn der IE ist wei-
terhin besser steuerbar und mit Enterprise
Mode und der Feinabstufung von Sicher-
heitsfeatures oder der Prsenz von ActiveX
so zwingend notwendig flexibler.
Das aus dem IE bekannte Zonenmodell,
in das sich Webseiten packen lassen und
dann verschiedene Vertrauensstufen de-
finieren lassen, existiert in Edge (noch)
nicht. Somit gibt es dazu auch keine
Richtlinien, die die Zuordnung erlauben.
Jedoch haben es die neuesten Edge-Funk-
tionen in Richtlinien geschafft: Der Pop-
Windows 10 & Office 2016 Praxis
up-Blocker, die Browser Extensions und
der Password Manager lassen sich per
Killswitch in den Richtlinien komplett
abschalten.
Vielerorts sind Funktionen rund um Au-
thentifizierung und Domnenpassworte
nur dann als "erlaubt" deklariert, wenn sie
von der IT ausgiebig getestet und Benutzer
entsprechend geschult wurden. Wollen
Sie "Windows Hello" und die zugehrigen
Passport-Komponenten reglementieren,
nutzen Sie die Einstellungen in "Computer
Configuration / Policies / Administrative
Templates / Windows Components". ber
das Setting "Use Microsoft Passport for
Work" schalten Sie Passport komplett ab
und verhindern damit die Nutzung von
Windows Hello fr Unternehmensbenut-
zer. Per OS-Vorgabe knnen Benutzer mit
Windows Hello Anmeldedaten ihrer Un-
ternehmensdomne erstellen und sich per
Gesichtserkennung oder Fingerabdruck
am Domnen-PC anmelden. Soll dies
nicht mglich sein, mssen Sie Windows
Passport und die Biometrieoptionen via
GPO verwalten. Das geht auch feingesteu-
ert, indem Sie einzelne Personen mit Si-
cherheitsfilterung von der Gruppenricht-
linie ausnehmen.
Der gleiche Pfad in "Administrative Tem-
plates" erlaubt es Ihnen auch, PIN-Lnge
und -komplexitt fr Passport vorzugeben
sowie die Nutzung von Softwaretokens fr
die Speicherung von Passport zu erlauben
oder nicht. Soll Passport zum Einsatz kom-
men, Sie aber mit dem Rollout des bio-
Juli 2016 45
Praxis Windows 10 & Office 2016
Bild 2: Mit den richtigen Einstellungen lsst sich eine Vorlage des Startmens ausrollen, das die
Benutzer spter beliebig ndern knnen.
metrischen Logons zwecks Benutzertrai-
ning noch warten mssen, knnen Sie
Passport erlauben, die Biometrie-Optio-
nen abzuschalten das geht via "Use Bio-
metrics" und der Einstellung "Disabled".
Startmen vorgeben
Damit sich Benutzer in Windows 10
gleich wie zu Hause fhlen, kann es in-
teressant sein, das Startmen anzupassen,
um Links wie Intranet, Unternehmens-
anwendungen oder Office an das Start-
men zu heften. Dabei muss es nicht
zwingend um eine nicht mehr nderbare
Zwangseinstellung gehen, sondern um
eine Vorgabe, die Benutzer nach der ers-
ten Anmeldung an ihre Bedrfnisse an-
passen knnen. Wichtig: Die Richtlinie
ist nur wirksam auf Enterprise- und Edu-
cation-Versionen von Windows 10.
Die Richtlinien bieten eine Administra-
tive Vorlage, die das Startmen fr Be-
nutzer festnagelt. Die Richtlinie "Start
Layout" aus "User Configuration / Poli-
cies / Administrative Templates / Start
Menu and Taskbar (oder analog in
"Computer Configuration) erstellen Sie
mit einem Pfad zu einer XML-Konfigu-
rationsdatei. Diese Datei liegt dabei idea-
lerweise auf einem UNC-Share. Die
Struktur der XML-Datei gibt Microsoft
vor [4] eine fertige XML-Datei expor-
tiert das PowerShell Cmdlet
Export-StartLayout -Path
C:\Export\layout.XML
von einer Referenzmaschine, in der das
Startmen, die Icongruppen und die Icon-
gren als Referenz vorkonfiguriert wer-
den. Die Datei ist leicht verstndlich und
46 Juli 2016
lsst sich spter mit einem beliebigen
XML-Editor anpassen und verfeinern. Das
Deployment mit "Start Layout verbietet
Endbenutzern, das Startmen spter ma-
nuell zu ndern. Individuelle Anpassungen
von Benutzern sind dann verboten und
werden vom System unterdrckt.
Etwas weniger restriktiv ist eine Variante,
bei der Sie die notwendigen Registrie-
rungsschlssel ausrollen, die nderungs-
restriktion aber nachtrglich berschrieben
wird das geht mit den "GP Preferences".
Dabei werden dieselben Registrierungs-
einstellungen geschrieben wie mit der
"Start Layout"-Einstellung aus den Admi-
nistrativen Vorlagen nur wird die Ein-
stellung zur Restriktion des Mens gleich
wieder aufgehoben.
Sie erstellen also eine neue GPO, in der
drei neue Registrierungseinstellungen
ausgerollt werden: "User Configuration /
Preferences / Windows-Settings / Regis-
try". Dort erstellen Sie drei Registry Items,
jeweils im Pfad "HKCU / Software / Po-
licies / Microsoft / Windows / Explorer".
Das erste Item mit Order 1 ist ein REG_
EXPAND_SZ-Wert mit dem Namen
"StartLayoutPath" und enthlt den UNC-
Pfad zur XML-Datei, in der Sie das Lay-
out exportiert haben. Das nchste Item
samt Order 2 ist ein DWORD-Eintrag
mit dem Key "LockedStartLayout" und
dem Wert "0". Als Order-3-Item tragen
Sie nochmals "LockedStartLayout", dies-
mal allerdings mit dem Wert "1", ein. Der
Trick hierbei ist, dass Sie unter dem
"Common"-Tab das Setting "Apply once
and do not re-apply" ankreuzen. Das be-
wirkt, dass das Setting zuerst das Start-
men fr Benutzer setzt und sperrt, bei
der zweiten Anmeldung allerdings frei-
schaltet (der Wert 0 wird somit gesetzt
und in der Folge nicht mehr durch die
Sperre "1" berschrieben).
Natrlich mssen die in der XML-Datei
referenzierten Anwendungen auch auf
den Zielcomputern vorhanden sein. Exis-
tieren Anwendungen nicht, die in der
Referenzmaschine Startmeneintrge be-
sitzen, bleiben die Positionen auf Zielma-
schinen einfach leer.
GPOs fr Office 2016
Auch fr Office 2016 werden in Unter-
nehmen gerne Voreinstellungen, etwa Spei-
cherorte von Office-Vorlagen, das Verhal-
ten der Programme mit Makros oder
generelle Sicherheitseinstellungen, ausge-
rollt. Die Definition und Erstellung von
Richtlinien fr Office funktioniert dabei
hnlich wie fr Windows 10, muss jedoch
fr jede Office-Version neu ausgerollt wer-
den. Das Problem dabei ist, dass sich die
Speicherorte in der Registrierung, in der
die GPO-Einstellungen gelagert sind, zwi-
schen den Office-Versionen unterscheiden.
Microsoft lagert die Einstellungen in
"HKEY" und "HKCU / Software / Policies/
Microsoft / Office / 16.0" und die Keys
sind versionsabhngig. Das bedeutet, dass
eine GPO, die Office 2013-Einstellungen
beinhaltet, keine Auswirkungen auf Office
2016 hat. Dies ist Fluch und Segen zu-
gleich: Alle Einstellungen mssen Sie
nochmal fr Office 2016 vornehmen, aber
das bietet wiederum die Chance, Verbes-
serungen oder Anpassungen durchzufh-
ren. Denn bei der Umstellung der Office-
Version oder der Einfhrung eines neuen
Betriebssystems sind Endbenutzer in die-
ser Hinsicht hufig leidensfhiger. Zu-
mindest erwarten sie, dass einige Einstel-
lungen anders aussehen als zuvor.
Fr Office 2016 beinhaltet das ADMX-
Template [3] eine MSI-Datei, die sowohl
ADMX- und ADML-Dateien als auch das
Office-Customization-Tool enthlt. Das
MSI entpackt alle Daten in einen ausge-
whlten Ordner. Fr eine detaillierte Auf-
stellung der neuen und genderten Richt-
linien zwischen Office 2013 und 2016
mssen Sie allerdings etwas Hand anle-
gen: Microsoft liefert diese Details (noch)
www.it-administrator.de
 Windows 10 & Office 2016 Praxis

Bild 3: Um die nderungen in den GPO-Einstellungen fr Office zu finden, ist etwas Handarbeit erforderlich.

nicht frei zugnglich. Aber mit dem
"Spreadsheet Compare"-Werkzeug, das in
Office Pro Plus enthalten ist, sollte es kein
Problem sein, diese Informationen he-
rauszufinden. Fr den Vergleich der bei-
den Spreadsheets sind sowohl das 2013-
als auch das 2016-XLSX-Sheet notwendig.
Sie legen eine Arbeitskopie der beiden
Dateien an und lschen darin jeweils die
Spalten komplett, die versionsabhngige
Informationen beinhalten: "File Name",
"Policy Path", "Registry Information".
Natrlich gleichen sich die Spreadsheets
nicht zu 100 Prozent das wre zu ein-
fach. Deshalb verschieben Sie die Spalten
noch so, dass beide Dateien die richtige
Spaltenreihenfolge haben. Dann knnen
Sie "Spreadsheet Compare" nutzen. In den
Optionen des Tools versehen Sie die bei-
den Einstellungen "Process cell contents
in inserted rows/columns" und "Process
cell contents in deleted rows/columns"
mit einem Haken. Via "Compare Files"
laden Sie die Arbeitsversionen der beiden
Dateien ins Tool und lassen den Vergleich
errechnen. Die Unterschiede zeigt das
Tool an und exportiert sie bei Bedarf auch
in eine neue Excel-Datei. Die nderungen
sind allerdings berschaubar und umfas-
sen berwiegend Sicherheitseinstellungen
zu Makros aus dem Internet und wenigen
Einstellungen zu OneDrive.
IT-Compliance einhalten
Die IT-Sicherheit mchte sicher ein Wrt-
chen mitreden, wenn es um neue Betriebs-
systeme geht. Oft kommen verwendete
Protokolle und Windows-Funktionen, die
Gefahrenpotential in den Augen der Si-
cherheitsbeauftragten darstellen, auf den
Prfstand. Fr Anhaltspunkte zu empfoh-
lenen Hrtungseinstellungen von Micro-
soft bietet sich der "Security Compliance
Manager" (SCM) [5] an. Microsoft hat dort
neue Baselines verffentlicht, die einige
wenige nderungen zu den Empfehlun-
gen fr Windows 8 beinhalten. Das Werk-
zeug ldt unterschiedliche vorgeschlagene
Baselines zu Microsoftprodukten herunter
und zeigt diverse empfohlene Konfigu-
rationen fr ausgewhlte Szenarien an,
die dann per GPO konfiguriert werden
knnen. Fr Windows 10 existieren die
folgenden Baselines: Bitlocker Security,
Computer Security, User Security, Cre-
dential Guard, Domain Security. Die bei-
den Baselines fr Sicherheit und User Ex-
perience finden sich in Computer
Security und User Security.
Nach der Erstinstallation von SCM sind
die Windows-10-Baselines allerdings
noch vorhanden. Die Aktualisierung er-
folgt ber das Men "File" und "Check
for Updates". Sie sollten diese Einstellun-
gen als Vorschlge verstehen und die Sze-
narien genau beachten. Die Baselines sind
nicht danach ausgerichtet, grtmgliche

Lesen Sie den IT-Administrator als E-Paper

Testen Sie kostenlos und unverbindlich die elektronische
IT-Administrator Leseprobe auf www.it-administrator.de.
Wann immer Sie mchten und wo immer Sie sich gerade befinden Volltextsuche,
Zoomfunktion und alle Verlinkungen inklusive.
Klicken Sie sich ab heute mit dem IT-Administrator einfach
von Seite zu Seite, von Rubrik zu Rubrik! Auch als App
frs iPad
Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:
und Android!
www.it-administrator.de/
magazin/epaper
Praxis Windows 10 & Office 2016
Bild 4: Vorschlge fr erhhte Sicherheit liefert der Security Compliance Manager.
Kompatibilitt zu allen Applikationen und
Mobilitt zu erreichen. Die Vorschlge
mssen also mit einem kritischen Auge
betrachtet und pro Einstellung fr gut
oder nicht notwendig befunden werden.
Am Ende der Durchsicht kann SCM
dann ein Gruppenrichtlinien-Backup der
Einstellungen erstellen, das dann in der
Testumgebung und spter der Produktion
in der Gruppenrichtlinienmanagement-
konsole eingespielt wird. Alternativ gibt
es auch eine Exportfunktion nach Excel
damit die Freude beim Durchsehen per
Beamer in Meetings einfacher geteilt wer-
den kann.
Telemetrie abschalten
Ein beliebtes Diskussionsthema rund
um Windows 10, das wir auch schon im
ersten Teil der Workshopserie angespro-
chen haben, ist die Sammlung von Te-
lemetriedaten in Windows 10. Um Win-
dows 10 dieses Sammeln und Senden
abzugewhnen, ohne gleich dubiose
Drittprogramme aus dem Internet zu
laden, bedienen wir uns einer Reihe von
Registrierungseintrgen, die sich auch
per GPO verteilen lassen. Microsoft hat
verschiedene Vorschlge [6], um Win-
dows 10 den Datentransport zu Micro-
soft abzugewhnen. Der Artikel be-
schreibt in einer schnen Breite, wie sich
einzelne Funktionen, die Kontakt zu Mi-
crosoft-Diensten in der Cloud aufneh-
men, abschalten lassen die wichtigsten
hier als Referenz in Krze.
48 Juli 2016
Wenn Cortana fr die User Experience
und die tgliche Arbeit der Benutzer kei-
ne Rolle spielt, schalten Sie die Assisten-
tin mit einem Killswitch in "Computer
Configuration / Administrative Temp-
lates / Windows Components / Search"
und der Richtlinie "Allow Cortana" aus.
Um zu verhindern, dass Benutzer sich
fr Windows Insider Previews anmelden,
um mglicherweise neue, noch nicht ver-
waltete Windowsfunktionen zu erhalten,
stellen Sie dies in "Computer Configu-
ration / Administrative Templates / Win-
dows Components / Data Collection and
Preview Builds" mit der Einstellung "Tog-
gle user control over Insider builds" ab,
indem Sie diese auf "Disabled" setzen.
Damit werden die Insider-Preview-Op-
tionen fr Benutzer ausgegraut. Am sel-
ben Ort befindet sich "Allow Telemetry",
das den Umfang der gesendeten Lauf-
zeitdaten an Microsoft bestimmt. Der
Wert "0 Security [Enterprise Only]" ist
dabei empfehlenswert. Der Wert kann
nicht von Benutzern ber die UI gesetzt
werden und umfasst nur sicherheitsrele-
vante, anonyme Events, die Microsoft zur
Bekmpfung von Sicherheitsproblemen
nutzen kann.
Hardware lsst sich ber mehrere Richt-
linien abgeschalten die Kamera etwa
ber "Let Windows apps access the came-
ra" mit der Einstellung "Force Deny" in
"Computer Configuration / Administrative
Templates / Windows Components / App
Privacy". Auch das Mikrofon knnen Sie
Link-Codes eingeben auf www.it-administrator.de
deaktivieren, das Setting dazu ist "Let
Windows apps access the microphone" im
selben Pfad.
Wer Benutzern die Synchronisation von
Einstellungen zwischen mehreren Gerten
verbieten muss, findet den entsprechenden
Schalter in "Computer Configuration / Ad-
ministrative Templates / Windows Com-
ponents / Sync your settings" bei der Ein-
stellung "Do not sync". Diese verwaltet alle
weiteren Einstellungen. Um mehr Fein-
steuerung zu betreiben, lassen Sie diese
Einstellung unangetastet und bedienen
sich der weiteren Einstellungen im selben
Pfad, die Einzelfunktionen in Windows
zur Einstellungssynchronisation steuern.
Fazit
Das Rollout von Windows 10 und Office
2016 bedingt, dass einige Einstellungen als
Vorgaben voreingestellt oder gar erzwun-
gen werden, um die User Experience und
die Adaption fr Endbenutzer so einfach
wie mglich zu gestalten. Teils sind Funk-
tionen fr Windows 10 gar nicht ge-
wnscht, weil die Security Policy des Un-
ternehmens deren Nutzung verbietet. Mit
diesem vierten Teil der Workshopserie zu
Windows 10 und Office 2016 schlieen
wir den berblick zu den gngigsten Kon-
figurationen des Betriebssystems und der
Produktivsuite. Natrlich sind diese Ein-
stellungen stark an Unternehmensanfor-
derungen gebunden. (jp)
Link-Codes
[1] Administrative Templates fr
Windows 10 (Deutsch)
G5P18
[2] Group Policy Settings Reference
for Windows and Windows Server
G7P21
[3] Office 2016 Administrative Template
files (ADMX/ADML) and Office
Customization Tool
G6P22
[4] Start Layout for Windows 10
Desktop Editions
G7P22
[5] Microsoft Security Compliance
Manager
G7P23
[6] Configure Windows 10 Devices to
stop Data Flow to Microsoft
G7P24
 Kompetentes
Schnupperabo
sucht neugierige
Administratoren
Sie wissen, wie man Systeme
und Netzwerke am Laufen hlt.
Und das Magazin IT-Administrator wei,
wie es Sie dabei perfekt untersttzt:

Mit praxisnahen Workshops, aktuellen

Produkttests und ntzlichen Tipps und
Tricks fr den beruflichen Alltag.

Damit Sie sich Zeit,

Nerven und Kosten sparen.

e n S i e j e t z t
Test
A u s g a b e n zum
sechs i !
i s v o n d r e
Pre

Abo- und Leserservice IT-Administrator

shop.heinemann-verlag.de
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel Fax: 06123/9238-252
D-65341 Eltville leserservice@it-administrator.de
Windows Defender Advanced Threat Protection
Durchschaut
von Florian Frommherz
Traditioneller Virenschutz gengt den
heutigen Sicherheitsanforderungen lngst
nicht mehr. Das hat auch Microsoft erkannt
und erweitert Windows 10 mit dem fr
Sommer erwarteten Update. Dank eines
neuen Cloud-Dienstes sollen Unternehmen
Informationen zu gezielten Angriffen auf
ihr Netzwerk erhalten. Die Informationen
stehen dann konsolidiert in einem Portal
zur Verfgung. Wir werfen einen Vorab-
blick auf den neuen Service namens
Windows Defender Advanced
Threat Protection.
evice Guard, Windows Hello,
D Windows Passport, Credential
Guard, Enterprise Data Protection (EDP)
oder Device State Attestation heien die
neuen Sicherheitsfunktionen in Windows
10. Diese sollen vor den sich stets weiter-
entwickelnden, modernen Angriffsme-
thoden schtzen wie etwa dem Diebstahl
von Anmeldeinformationen, Zero-Day-
Angriffen und dem Kompromittieren des
Systems durch nderungen im Bootbe-
reich. Die meisten Funktionen sind pr-
ventiver Art, um die Angriffsflche klein
zu halten. Sie sollen verdchtigen und
schdlichen Programmen und Diensten
anhand heuristischer Methoden auf die
Schliche kommen.
Ganz anders funktioniert "Windows De-
fender Advanced Threat Protection"
(ATP) und grenzt sich von den genann-
ten Schutzmechanismen klar ab: Der
Windows-Dienst zielt darauf ab, Unter-
nehmen Daten an die Hand zu geben,
um ungewhnliche Aktivitten oder gar
erfolgreiche Angriffe auf ihre Rechner
zu erkennen. Administratoren sollen mit
diesen Erkenntnissen die passenden Ge-
genmanahmen in die Wege leiten kn-
nen. Damit positioniert Microsoft ATP
50 Juli 2016
deutlich im Post-Breach-Teil einer An-
griffskette, da Verhaltensdaten aus Win-
dows analysiert und im Fall eines hin-
reichenden Verdachts als potenzieller
Angriff gewertet werden.
Zentraler Anlaufpunkt ist ein Dashboard,
das mgliche Angriffe auf den Unterneh-
mensrechnern auflistet und Administra-
toren Gegenmanahmen und Bereini-
gungsvorschlge an die Hand gibt. So
finden sich in dem Portal ungewhnliche
Vorgnge auf Windows-10-Clients wie-
der, die nicht von der Antivirenlsung
erkannt wurden. Dies kann der Fall sein,
weil bisher kein erkennbarer Schaden an-
gerichtet wurde oder die Heuristik der
AV-Software den Code noch nicht oder
mit zu geringer Erkennungssicherheit ka-
tegorisieren konnte.
Gezieltere Angriffe
Unternehmen sehen sich vermehrt ge-
zielten Angriffen ausgesetzt: in Sicher-
heitskreisen "Targeted Attacks" genannt.
Dabei werden Firmen nicht mit Standard-
malware und -Methoden attackiert, son-
dern passgenau auf ihre Infrastruktur
angepasst. Ziel ist es, in aller Stille ein
Einfallstor in das Unternehmen zu bilden.
Qu
ell
e:
dim
jul
1
23
RF
Von einem infizierten Client ausgehend
lassen sich in weiteren Schritten Angriffe
zu den lukrativen Zielen und Ressourcen
planen und durchfhren. Diese Angriffe
sind nur schwer mit herkmmlicher AV-
Software zu erkennen, da entweder Ze-
ro-Day-Attacken gegen das Betriebssys-
tem oder installierte Anwendungen
ausgenutzt werden oder bewusst Code
und Angriffe ausgefhrt werden, die
nachweislich noch nicht erkannt wurden.
Die Angreifer sind damit sowohl ihren
Opfern als auch Standard-Sicherheitspro-
dukten immer mindestens einen Schritt
voraus. So betrgt der durchschnittliche
Zeitraum zwischen Angriff und Erken-
nung etwa 200 Tage. Jede zustzliche Hilfe
bei der Erkennung mglicher Attacken
ist daher willkommen. Hinzu kommt,
dass sicherheitsrelevante Ereignisse lngst
nicht mehr nur auf einzelnen Endpoints
analysiert werden knnen, sondern ein
Gesamtbild ber das gesamte Netzwerk
hinweg ntig ist. Nur so lassen sich aus-
gefeilte Angriffe erkennen.
Genau hier soll ATP ansetzen. Gesam-
melte Ereignisse werden mit Hilfe von
Machine Learning rechnerbergreifend
www.it-administrator.de

pre-breach breach
pre-breach breach
pre-breach breach
Bild 1: Sind Rechner kompromittiert, legen sie ein anderes Verhalten an den Tag. So greifen sie etwa
andere Systeme an. ATP erkennt die Unterschiede und setzt damit in der Post-Breach-Phase an.
analysiert und bei Abweichungen von der
Norm samt Risikobewertung ausgewie-
sen. Dabei setzt ATP mehrere Ereignisse
einzelner oder mehrerer Rechner in einen
Kontext und kann das kombinierte Wis-
sen nutzen, um genauere Gefahrenpoten-
ziale auszuweisen. Einzelne ungewhn-
liche Aktionen mgen fr sich stehend
kein Problem darstellen eine Kombina-
tion aus ungewhnlichen Aktivitten und
Diensten bekannter Anwendungen knn-
ten jedoch darauf hinweisen, dass Schad-
code sein Unwesen treibt und die Ma-
schine fern der Norm agiert; und dann
zurecht eine hhere Risikobeurteilung er-
hlt als die Einzelaktivitten.
Windows Defender ATP ersetzt keines-
falls Antivirus, Antispam oder Firewalls,
sondern muss als Ergnzung zu den be-
stehenden Technologien verstanden wer-
den. ATP fhrt auch keine Vernderun-
gen an den Systemen durch. Prventive
Manahmen auf Clients wie Systemhr-
tung, die Verwendung nicht-privilegierter
Benutzeraccounts und Antivirensoftware
entfallen also definitiv nicht.
Analysepower in der Cloud
ATP besteht aus zwei Komponenten: dem
Hauptdienst in Windows 10, der System-
vorgnge analysiert, gegebenenfalls auf-
zeichnet, sammelt und anschlieend die
Telemetriedaten an die Cloud sendet, wo
dann die Auswertung der Daten stattfin-
www.it-administrator.de
Windows Defender Advanced Threat Protection
Windows Defender ATP Cloud Service
post-breach
post-breach
post-breach
det. Kunden knnen ihre eigenen Daten
einsehen, im Dashboard nach Stichwor-
ten, Computern und Adressen suchen
und dort von Algorithmen zur Erken-
nung von potentiellen Angriffen von Mi-
crosoft profitieren.
Die Cloud hinter ATP enthlt eine umfas-
sende Verhaltensdatenbank und kann mit
Hilfe von Definitionen zu aufflligen Soft-
ware- und Anwendungsverhalten Attacken
erkennen. Die Erfahrungswerte, die Mi-
crosoft aufgrund der breiten Installations-
basis von Windows, der Attacken auf seine
eigenen Onlinedienste und der Interaktion
mit Kunden ber das Cybersecurity-Center
erlangt, flieen mit in die Heuristiken ein.
Bild 2: Administratoren sehen im ATP-Dashboard eine Zusammenfassung des
Zustands der Windows-10-Maschinen inklusive erkannter Gefahren.
Praxis
Microsoft argumentiert entsprechend, dass
sie somit ein schnelles und detailliertes Bild
ber Attacken erzeugen und Kenntnisse
ber Einbrche bei einzelnen Kunden an-
deren Kunden zeitnah teilen knnen. In
der Tat klingt der Punkt plausibel: Micro-
soft ist eines der attraktivsten Ziele und
dessen Cloud-Dienste werden von vielen
anderen, ebenfalls attraktiven Zielen un-
terschiedlicher Industrien genutzt inklu-
sive Regierungen. Durch die Masse der In-
stallationen weltweit und die Vielzahl von
Servern, die Microsoft betreibt, lassen sich
einfacher Angriffsmuster, neue Attacken
und Malware erkennen und Gegenma-
nahmen entwickeln.
Der Kern des Dienstes und damit das Un-
terscheidungsmerkmal zu anderen Pro-
dukten besteht also in der Datenbasis und
dem Machine-Learning-Ansatz, den Mi-
crosoft ber eine Vielzahl anderer Ange-
bote und Dienste erstellt. Daraus ergeben
sich auch Gegenmanahmen, die Micro-
soft dafr findet und Kunden des Diens-
tes vorschlagen kann.
Telemetrie zur
Verfgung stellen
Der Leistungsumfang von ATP umfasst
vier Komponenten: Advanced Attack De-
tection, Deep File Analysis, Footprint Ser-
vice und Threat Intelligence. Fr die
Threat Intelligence und Advanced Attack
Detection werden Telemetrie- und Lauf-
zeitdaten des Betriebssystems zur Cloud
hochgeladen und ausgewertet. Das ist
auch einer der Grnde, warum ATP nur
Juli 2016 51
Praxis Windows Defender Advanced Threat Protection
Bild 3: Verdchtige Dateianhnge knnen im Portal direkt zur
automatischen Analyse durch Microsoft hochgeladen werden.
fr Windows 10 nativ erhltlich ist: Die
Sammlung und Aufbereitung der Daten
fr den Dienst bernehmen Telemetrie-
komponenten, die in das Betriebssystem
eingebunden sind, um auch tief eingebet-
tete Malware erkennen zu knnen und
an der richtigen Stelle Verhaltensmuster
von Software ausfindig zu machen.
Fr Unternehmen, die Windows 7 oder
Windows 8.1 einsetzen, bietet Microsoft
die Sammlung und Interaktion mit dem
Dienst ber System Center Endpoint Pro-
tection (SCEP) an. SCEP ist nach einem
Update dazu in der Lage, hnliche, wenn
auch im Umfang limitierte, Erkennungs-
dienste fr diese Rechner zu leisten. Wei-
terentwicklungen bei ATP sowie dessen
voller Funktionsumfang sind nur fr
Clients unter Windows 10 zu erwarten,
weshalb Microsoft SCEP auch als ber-
gangslsung fr Unternehmen sieht, die
gerade den Windows-10-Rollout planen.
Konfiguration statt Deployment
Microsoft ist noch nicht wirklich spezi-
fisch, was die Anforderungen fr eine
Nutzung des Windows-Dienstes samt
Cloud-Backend anbelangt. Welche Win-
dows-Editionen etwa in den Genuss von
ATP kommen, ist noch nicht klar. Als si-
cherer Kandidat gilt die Enterprise-Vari-
ante mit entsprechender Lizenzierung
ob Professional genutzt werden kann,
drfte Microsoft nher am Verffentli-
chungsdatum bekanntgeben. Einige Hin-
weise zur Zielgruppe der Unternehmen
finden sich derweil in einem Blogeintrag
[1] von Terry Myersons, Executive Vice
President Windows and Devices Group.
52 Juli 2016
guration wirksam wird, in nahezu Real-
Die Telemetriekomponenten in Win-
dows 10 werden zum groen Update in
Windows 10 eingepflegt. IT-Professio-
nals mit Windows-Insider-Installation
haben die Komponenten bereits in den
Vorabversionen integriert. Fr die Nut-
zung von ATP ist keine Domneninte-
gration ntig. Standalone-Rechner kn-
nen ebenso wie Domnenmitglieder fr
ATP verwendet werden. Es muss ledig-
lich gewhrleistet sein, dass die Maschine
entweder via GPOs oder SCCM verwal-
tet werden kann.
Das Deployment von Windows Defender
ATP fr Unternehmen gleicht mehr einer
Konfiguration der Clients als einem rich-
tigen Rollout Windows-10-Computer
mit Enterprise-Edition besitzen bereits
alle notwendigen Komponenten fr den
Einsatz von ATP und die Interaktion mit
dem Cloud-Dienst. Was fehlt, ist lediglich
die Konfiguration der Cloud-Komponen-
ten, also des eindeutigen Tenants in der
Wolke, an den jeder Windows-10-Rech-
ner seine Telemetriedaten melden soll.
Diese Konfiguration geschieht durch eine
von zwei mglichen Varianten: per Grup-
penrichtlinien, die ein Skript zur nde-
rung der Registry ausfhren, oder per
System-Center-Configuration-Manager-
(SCCM)-Deploymentpaket.
Beim Einrichten des ATP-Portals, nach
dem ersten Einloggen des Administrators,
stellt Microsoft die erforderlichen De-
ploymentpakete zur Verfgung: der Ad-
ministrator whlt zwischen Group Policy
oder SCCM und kann dort vorbereitete
Skriptpakete herunterladen. Die Pakete
Link-Codes eingeben auf www.it-administrator.de
enthalten bereits alle notwendigen Infor-
mationen, inklusive der zielgenauen Ko-
ordinaten fr Clients zum Report in den
dem Unternehmen zugeteilten Tenant.
Es sind also in der Regel keine hndischen
Anpassungen erforderlich.
Anlaufstelle Dashboard
Sind die Clients fr die Nutzung konfi-
guriert, sollten erste Reports und Daten
nach sptestens einer halben Stunde im
Portal auftauchen. Die Windows-10-
Rechner melden sich, sobald die Konfi-
time. Das ATP-Dashboard ist mit dem
Azure Active Directory (AAD) einsetzbar,
sodass Administratoren mit Single Sign-
On auf das Portal zugreifen knnen. ATP
wird dabei als Anwendung in das AAD
integriert. Unternehmen ohne AAD be-
kommen ein Basis-AAD spendiert, das
die Benutzeraccounts fr die ATP-Admi-
nistratoren bereithlt.
Das Dashboard zeigt nach der Anmel-
dung eine bersicht der Gesamtzahl der
konfigurierten Computer, eine bersicht
der potenziellen Angriffe nach Angriffs-
einschtzung, unter anderem "wichtig"
und "hoch". Auf dem Dashboard ist auch
ein Suchfeld eingebettet, in dem nach IP-
Adressen, Webseiten, Computernamen
und ausfhrbaren Dateien gesucht wer-
den kann. Bei der Suche nach einem be-
stimmten Computernamen soll der
Dienst die zuletzt von der Maschine ge-
sendeten Informationen auflisten. Die In-
formationen und Ereignisse sind dabei
so aufbereitet, dass sich einzelne Aktionen
per Klick weiter ausklappen und detail-
lierter betrachten lassen. Hier kann das
Portal besonders punkten, denn aus den
Detailinformationen lsst sich herausle-
sen, weshalb gewisse Aktionen als kritisch
und verdchtig gelten.
Wird eine verdchtige IP-Adresse erkannt,
mit der der Computer einen Datenaus-
tausch ausgefhrt hat, kann speziell nach
dieser IP-Adresse gesucht werden. Im Re-
Link-Codes
[1] Blogeintrag zur
Ankndigung von ATP
G7P61
 Windows Defender Advanced Threat Protection Praxis

Analyse steht dann nach einigen Minuten

zur Verfgung in der Zwischenzeit kn-
nen andere Aufgaben im ATP-Portal
wahrgenommen werden, whrend der
Cloud-Dienst seine Arbeit verrichtet.

Bild 4: Wenn Windows 10 Telemetriedaten in die Cloud ldt, knnen Administratoren die
Vorgnge zentral betrachten und nach IP-Adressen, Vorgngen und Maschinen filtern.
gelfall stehen dann weitere Rechner als
Suchergebnisse zur Verfgung, die eben-
falls mit dieser IP-Adresse kommuniziert
haben. Auf diesem Weg lassen sich wei-
tere potenzielle Opfer ausfindig machen.
Selbst aktiv werden knnen Admins bei
der Deep File Analysis im ATP-Dash-
board. Dort lassen sich verdchtige Da-
teien hochladen, die dann analysiert wer-
den. Dabei hat Microsoft mehrere auto-
matische Prozesse fr die Analyse erstellt.
Unter anderem wird das potenziell schd-
liche, ausfhrbare Programm in einer
Wegwerf-VM ausgefhrt. So kann der
mgliche Schaden, sollte das Programm
tatschlich bswillig sein, abgeschtzt und
dokumentiert werden. Das Ergebnis der
Fazit
Momentan ist ATP den Kunden im Win-
dows 10 Technical Adoption Program
(TAP) bei Microsoft vorbehalten. Doch
bereits in einigen Wochen soll der Dienst
fr Unternehmenskunden als Preview
nach Registrierung zur Verfgung stehen.
Die Nutzung erfordert allerdings, dass die
Windows-10-Maschinen mit dem aktu-
ellen Sommerupdate ausgestattet sind
das lag zum Redaktionsschluss noch als
Preview im Windows-Insider-Programm
vor. Insgesamt ist ATP dahingehend in-
teressant, als dass Microsoft nicht nur
Heuristiken samt Codeverhalten lokal un-
tersucht, sondern am Verhalten des Rech-
ners an sich Unstimmigkeiten erkennen
kann. Die Sammlung der Telemetriedaten
wird durch den Cloud-Dienst gesttzt, bei
dem Microsoft verspricht, weiter an den
Algorithmen und den Verhaltenserken-
nungen zu arbeiten. (dr)

IT-Bcher fr Admins!
Erweitern Sie Ihr Know-how: Unsere Bcher
zu SharePoint 2016, Ubuntu Server, Samba 4,
Windows 10 und Citrix XenMobile untersttzen
Sie zuverlssig bei der Arbeit. Ausfhrliche Lese-
proben finden Sie auf der Website.

Unser vollstndiges Programm:

www.rheinwerk-verlag.de
1.093 Seiten, 49,90
ISBN 978-3-8362-4164-9

325 Seiten, 49,90

ISBN 978-3-8362-3882-3

Monatlich alle Neuheiten:

www.rheinwerk-verlag.de/newsletter

User-Management in Containern
Wer bin ich?
von Thorsten Scherf
Wer Container einsetzt, muss sich
zwangslufig auch mit der Frage
beschftigen, welcher Identity-Store
auf dem Host und in den Containern zum
Einsatz kommen soll. Hier stehen durchaus
mehrere Optionen zur Auswahl, die dieser
Artikel nher vorstellt.
st von Linux-Containern die Rede,
I sprechen die meisten Leute heute
ber Docker-Container, die auf einer re-
gulren Linux-Plattform laufen. Immer
hufiger kommen jedoch auch speziell
fr den Betrieb von Containern angepass-
te Betriebssystem-Varianten zum Einsatz.
Im Fedora-Umfeld existiert hierfr die
Atomic-Plattform, mit der sich solche
Hosts im Handumdrehen installieren las-
sen. Zur Konfiguration kommt dabei hu-
fig das Tool cloud-init zum Einsatz, das
mitgeliefert wird. Auch Benutzer und de-
ren Passwrter lassen sich mit diesem
Tool erzeugen, was allerdings ab einer ge-
wissen Gre der Container-Landschaft
nicht mehr skaliert. Dafr wren andere
Mechanismen wnschenswert. Der Sys-
tem Security Services Daemon (SSSD)
erfllt diesen Wunsch.
Der SSSD ist mittlerweile der Linux-Stan-
dard, um Benutzer zu authentifizieren
und zu autorisieren. Als Identity-Store
kann der Service im Backend sowohl auf
einen regulren LDAP-Server als auch
auf ein Active Directory oder einen Free-
IPA-Server zurckgreifen. Die gewonne-
nen Identity-Informationen hlt der
Dienst in einem Cache vor und stellt diese
bei Bedarf den anfragenden Clients zur
Verfgung. Neben den eigentlichen Be-
nutzer- und Gruppen-Daten bezieht der
Dienst auch Policy-Informationen von
54 Juli 2016
den konfigurierten Backends. Hierbei
kann es sich um sudo- oder auch Host-
Based-Access-Control-Regeln (HBAC)
handeln.
Fr die Backends Active Directory und
FreeIPA existieren eigene Tools, um den
SSSD entsprechend zu konfigurieren. Zu
den Aufgaben der Konfiguration zhlt
neben dem Anpassen der Konfigurati-
onsdatei "/etc/sssd/sssd.conf " beispiels-
weise auch der Download von CA-Zer-
tifikaten oder Kerberos-Keytab-Dateien.
Fr das Enrollment eines Hosts in eine
AD-Domne lsst sich das Tool realm
einsetzen, fr FreeIPA das Programm ipa-
client-install.
Atomic: Weniger ist mehr
Auf einem Atomic Host sind diese Tools
jedoch nicht vorhanden, da hier die Ma-
xime gilt: Weniger ist mehr. Das heit,
dass der Umfang der installierten Pakete
absichtlich klein gehalten wird, da der
Host ja eigentlich nur eine Laufzeitum-
gebung fr die eigentlichen Container zur
Verfgung stellt. Smtliche Applikationen
laufen dabei in eigenstndigen Contai-
nern. Das gilt somit auch fr Infrastruktur
bezogene Anwendungen wie beispiels-
weise Monitoring- oder Logging-Tools
und eben auch Anwendungen wie den
SSSD und die hiermit verbundenen Tools
wie ipa-client-install oder realm.
Qu
ell
e:
ok
su
n7
0
12
3R
F
Um nun den System Security Services
Daemon in einem Container betreiben
zu knnen, ist ein spezielles Image not-
wendig. Dieses sorgt dafr, dass Benutzer
auf dem Host, wie auch innerhalb der auf
dem Host eingesetzten Container, authen-
tifiziert und autorisiert werden knnen.
Natrlich stehen ebenfalls die auf dem
Backend-System hinterlegten Policy-In-
formationen zur Verfgung, sodass sich
sehr genau festlegen lsst, welcher Benut-
zer auf welchem Atomic-Host bezie-
hungsweise Container Zugriff erhlt.
Auch sudo-Regeln stehen seit einiger Zeit
zur Verfgung. Die hierfr bentigte Bi-
bliothek "libsss_sudo.so" ist mittlerweile
in das Paket "sssd-client" gewandert, das
wiederum Teil des ostree-Images auf dem
Atomic-Host ist. Bevor nun jedoch ein
entsprechender SSSD-Container installiert
werden kann, ist der Host in einer vor-
Listing 1:
Einmalpasswort definieren
# ipa host-add atomic.example.com --ip-ad-
dress IP-Adresse --random
---------------------------------------
Added host "atomic.example.com"
---------------------------------------
Host name: atomic.example.com
Random password: aXZK2.465guA
Password: True
Keytab: False
Managed by: atomic.example.com
www.it-administrator.de
 Open-Source-Tipp Praxis

Listing 2: Docker-Prozesse
# docker exec sssd ps axuwwf
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 294 0.0 0.0 48376 1700 ? Rs 07:44 0:00 ps axuwwf
root 1 0.0 0.0 11744 1524 ? Ss May03 0:00 /bin/bash /bin/run.sh
root 8 0.0 0.0 4352 376 ? S May03 0:00 tail -f /var/log/sssd/systemctl.log
root 13 0.0 0.0 145684 2952 ? Ss May03 0:04 /usr/sbin/sssd -D -f
root 14 0.0 0.0 243308 11272 ? S May03 0:02 \_ /usr/libexec/sssd/sssd_be --domain coe.muc.redhat.com --uid 0 --gid 0 --debug-to-files
root 16 0.0 0.0 161588 28484 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --debug-to-files
root 17 0.0 0.0 134656 3656 ? S May03 0:00 \_ /usr/libexec/sssd/sssd_sudo --uid 0 --gid 0 --debug-to-files
root 18 0.0 0.0 138988 3712 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --debug-to-files
root 19 0.0 0.0 134648 3652 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_ssh --uid 0 --gid 0 --debug-to-files
root 20 0.0 0.0 164716 4840 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_pac --uid 0 --gid 0 --debug-to-files
root 293 0.0 0.0 4316 372 ? S 07:42 0:00 sleep 1000

handenen FreeIPA-Domne anzulegen.
blicherweise findet das Enrollment ber
ein Konto mit den bentigten Rechten
statt. Alternativ kann jedoch auch ein Ein-
mal-Passwort (OTP) fr den Host zum
Einsatz kommen. Dieses ist zuvor auf dem
FreeIPA-System zu definieren (Listing 1).
Docker-Image herunterladen
Das bentigte Container-Image lsst sich
auf einem Atomic-Host sehr einfach ber
das Tool atomic herunterladen. Mit Hilfe
der im Dockerfile enthaltenen Labels IN-
STALL und UNINSTALL lsst sich ber
das Atomic-Tool ein entsprechender Con-
tainer erzeugen respektive wieder entfer-
nen. Die Label enthalten entsprechende
Anweisungen, wie Docker den Container
anlegen soll, und es lsst sich im An-
schluss auch ein Konfigurationsskript auf-
rufen, um den Container entsprechend
anzupassen in diesem Fall heit das
Skript "/bin/install.sh". Wer sich das Do-
ckerfile nher ansehen mchte, findet un-
ter [1] die jeweils aktuelle Version.
Beim Aufruf von atomic install ist dann
das zuvor zufllig generierte Passwort mit
anzugeben, das von ipa-client-install ver-
wendet wird, um sssd zu konfigurieren:
# atomic install fedora/sssd --pass-
word <otp>
Sollte das Image lokal noch nicht vorhan-
den sein, so ldt das Tool das Image aus
Docker-Registry herunter und startet das
Setup-Tool ipa-client-install, um den Host
innerhalb der FreeIPA-Domne zu regis-
trieren. Das setzt voraus, dass der Server-
und auch der Kerberos-Realm als DNS
Service-Records (DNS SRV-Records) hin-
terlegt sind. Ist dies nicht der Fall, lassen
sich die bentigten Informationen auch
einfach mittels atomic bergeben:
# atomic install fedora/sssd --pass-
word <otp> --domain example.com
--realm EXAMPLE.COM --server
ipa.example.com --hostname ato-
mic.example.com
# docker run --rm=true --privileged
--net=host -v /:/host -e NAME=sssd
-e IMAGE=fedora/sssd -e HOST=/host
fedora/sssd /bin/install.sh
--password <otp> --domain exam-
ple.com --realm EXAMPLE.COM
--server ipa.example.com
Schlielich ist der Container mit dem fol-
genden Befehl zu starten:
# atomic run fedora/sssd
Alternativ gelingt dies ber den Aufruf
von "systemctl start sssd.service". Die auf
dem Atomic-Host vorhandene systemd-
Unit-Datei fr den SSSD wurde entspre-
chend modifiziert, sodass durch eine Ak-
tivierung des Services ebenfalls atomic
run aufgerufen wird.
SSSD luft im Container
Wirft man nun einen Blick auf die Pro-
zess-Tabelle innerhalb des Containers, so
lsst sich schn erkennen, dass dort nun
der SSSD-Prozess aktiv ist (Listing 2).
Ein SSH-Login von einem anderen Host
in der gleichen FreeIPA-Domne auf den
Atomic-Host sollte ab nun ohne Probleme
funktionieren. Existieren fr den Benutzer
sudo-oder HBAC-Regeln, stehen diese
dann im Container natrlich ebenfalls
zur Verfgung:
# ssh admin-atraus-
atomic.example.com
$ hostname
atomic.example.com
$ id
uid=1221800000(admin)
gid=1221800000(admins)
groups=1221800000(admins) con-
text=unconfined_u:unconfined_r:
unconfined_t:s0-s0:c0.c1023
$ sudo id
uid=0(root) gid=0(root)
groups=0(root) context=unconfi-
ned_u:unconfined_r:unconfined_t:
s0-s0:c0.c1023
Fazit
Mit dem SSSD-Container-Image gestaltet
sich die Authentifizierung und Autori-
sierung von Benutzern auf einem Con-
tainer-Host und auch innerhalb der Con-
tainer selbst sehr einfach. Das vorhan-
dene Image bringt ein eigenes Konfigu-
rationsskript mit, sodass das Setup des
Containers mit nur einem einzelnen
Kommando gelingt. Fr grere Umge-
bungen ist ein SSSD-Container zu emp-
fehlen, da dieser Ansatz wesentlich besser
skaliert, als die Benutzer einzeln lokal an-
zulegen. Ein weiterer Vorteil ist der au-
tomatische Zugriff auf zentrale sudo- und
HBAC-Regeln. (of)
Link-Codes
[1] Fedora SSSD-Dockerfile
G7PA1

Link-Codes eingeben auf www.it-administrator.de Juli 2016 55

Social Engineering fr Fortgeschrittene

Mit allen
Wassern
gewaschen
von Thomas Gronenwald

Social Engineering also die Methode, das

Vertrauen von Anwendern auszunutzen und
diese zur Weitergabe von sensiblen Daten zu
verleiten wird bei Cyberkriminellen immer beliebter.

Quelle: alphaspirit 123RF

Der Grund: Benutzer lassen sich nicht so einfach scht-
zen wie etwa das Unternehmensnetzwerk. Besonders
im Visier stehen dabei hhere Angestellte mit Zugang
zu sensiblen Informationen. Dabei scheinen den
Angreifern nahezu alle Mittel recht.

as Thema Social Engineering mag
D zwar einigen Anwendern aus der
unternehmenseigenen Datenschutzunter-
weisung bekannt sein, doch existieren nur
zu hufig viele falsche Vorstellungen. In
der Regel beginnt dies bereits damit, dass
viele Endanwender annehmen, Cyberkri-
minelle oder Hacker wrden nur ber
Phishing-Mails und geflschte Webseiten
versuchen, Daten zu stehlen. Die Realitt
sieht jedoch wesentlich vielfltiger aus
besonders wenn es um leitende Angestellte
geht. Jede Form der Kommunikation kann
dabei heutzutage als Einfallstor dienen:
Chat-Dienste, das Telefon / Smartphone,
Fax-Nachrichten oder selbst Briefpost.
Persnliche Ansprache
Social Engineering funktioniert bei h-
heren Angestellten auch durch persnli-
chen Kontakt, wie das nachfolgende Bei-
spiel beweist. Im Familienurlaub in
Griechenland freundete sich ein Ver-
triebsleiter eines Dsseldorfer Unterneh-
mens mit einem deutschen Urlauber an.
Von Beginn an stimmte die Chemie
man hatte gemeinsame Hobbies und in-
teressierte sich fr dieselben Dinge. Auch
nach dem Urlaub blieben die beiden in
Kontakt. Auf Vorschlag des neuen Freun-
des fuhren sie unter anderem auch in ein
Spielcasino. Als die Einstze am Spieltisch
und spter auch die Verluste immer
hher wurden, sprang der Bekannte so-
fort ein und bat dem Verschuldeten ein
Freundschaftsdarlehen an. Dieser lie
sich darauf ebenso ein wie auf die Einla-
dung in ein Rotlicht-Etablissement. Dass
er den ganzen Abend von einem Unbe-
kannten mit einer Handykamera fotogra-
fiert wurde, fiel ihm nicht auf.
Bereits wenige Tage spter lie der falsche
Freund seine Maske fallen. Als Gegen-
leistung fr die kompromittierenden Fo-
tos und die Spielschulden sollte das Opfer
die Vertriebsstrategien seines Unterneh-
mens offenlegen und eine detaillierte
Kundenliste samt Preiskalkulationen
bergeben. Darber hinaus verlangte der
Erpresser das Passwort fr den Netz-
werkzugang des Unternehmens. Nach
langem Zgern tat der Vertriebsleiter das
einzig Richtige und offenbarte sich ge-
genber seinem Vorgesetzten. Ausfhr-
lich geht Christian Schaaf in seinem Buch
"Industriespionage. Der groe Angriff
auf den Mittelstand" auf den Fall ein. Na-
trlich sind solche Kontakte nicht nur in
Urlauben, sondern auch auf Geschfts-
reisen denkbar.
Angriffsvektor Telefon
Neben dem persnlichen Kontakt kann
auch das Telefon als Einfallstor dienen.
Der Cyberkriminelle ruft dabei etwa
beim IT-Support an und entschuldigt
sich dafr, dass er seine Zugangsdaten
vergessen habe und dem Mitarbeiter jetzt
so viel Mhe mache. Leider stehe man
jedoch ziemlich unter Stress und msse
ganz schnell am Computer weiterarbei-
ten. Am besten sei es daher, wenn das
Passwort einfach auf einen definierten
Wert zurckgesetzt werde. Der Angreifer
ist dabei bestens ber das Unternehmen
informiert und wird die Namen der Mit-
arbeiter des Helpdesks beziehungsweise
deren Vorgesetzten kennen und sich so
das ntige Vertrauen erschleichen. Mg-
licherweise gibt er sich aber auch als neu-
er Mitarbeiter aus, dem solche Fehler ge-
rade in der Anfangsphase ausgesprochen
unangenehm sind.

56 Juli 2016 www.it-administrator.de


Andersherum kann sich der Angreifer auch
als IT-Mitarbeiter ausgeben und den Be-
nutzer nach seinem Passwort oder anderen
sensiblen Informationen fragen. Reagiert
der Anwender zurckhaltend oder skep-
tisch, wird sich der Social Engineer auf eine
Zusage des Vorgesetzten berufen, der ver-
sprochen hat, dass der Mitarbeiter selbst-
verstndlich kooperieren wird. Natrlich
wird der Anrufer ber Detailwissen verf-
gen. Mglicherweise weist er auf Bedien-
fehler, Netzwerkprobleme oder die Not-
wendigkeit einer Passwortnderung hin.
In einer dritten Variante stellt sich der
Angreifer als Mitglied der Geschftslei-
tung vor, dem schnell eine dringende E-
Mail mit wichtigen Daten bersandt wer-
den muss, die der ungeduldige Chef fr
eine wichtige Besprechung bentigt. Bei
Bedenken wird der Anrufer darauf ver-
weisen, dass der zgerliche Mitarbeiter
natrlich auch persnlich mit dem Chef
sprechen knne dieser sei jedoch bereits
jetzt ausgesprochen verrgert ber die
Verzgerung. Die Mitarbeiterinnen und
Mitarbeiter knnten also auch persnlich,
am Telefon oder per Brief dazu verleitet
werden, vertrauliche Daten oder Wege zu
ihnen preiszugeben.
Umfassende
Vorarbeiten fr den Erfolg
Mitarbeiter sollten wissen, dass Angreifer
sich zunehmend Mhe geben, die poten-
ziellen Opfer auszuforschen, um Angriffs-
punkte und Zugangswege zu finden. Profile
in sozialen Netzwerken bieten in der Regel
gengend Material, um eine fr das Opfer
passende Geschichte zu erfinden, die die
Basis des Angriffes bildet. Hufig sind diese
Geschichten geknpft an:
- einen angeblichen Gefallen, der dem
Opfer gegenber erwiesen wird,
- eine knstliche Verknappung der Zeit,
damit schnelle, unberlegte Entschei-
dungen getroffen werden mssen,
- einen Hinweis auf eine angebliche Ver-
pflichtung des Opfers,
- das Ausnutzen von scheinbarer Attrak-
tivitt und Sympathie,
- das Vorspielen von Autoritt gegenber
dem Opfer und
- den Hinweis darauf, dass alle anderen
etwas Bestimmtes tun, das das Opfer
ebenfalls nun tun sollte.
www.it-administrator.de
Dabei nehmen die Angreifer besonders
Angestellte ins Visier, die Zugang zu sen-
siblen Geschfts- und Kundendaten haben,
an relevanten Projekten wie der Erfor-
schung und Entwicklung neuer Produkt-
linien beteiligt sind, fr Geschftsprozesse
wie Finanztransaktionen oder Einkauf ver-
antwortlich oder autorisiert sind, diese ei-
genmchtig durchzufhren, sowie ber tizen, Kalkulationstabellen, Skizzen oder
hohe Sicherheitsfreigaben verfgen und
Zugang zu besonders geschtzten Berei-
chen des IT-Netzwerkes haben.
Bleibt ein Angriff mittels personalisierter
E-Mails erfolglos, werden in der Regel
Methoden im indirekten und direkten
Kontakt mit einer Zielperson angewendet.
Zu den indirekten Methoden gehren die
Observierung und Beschattung von Ziel-
personen, das Beobachten von Bild-
schirminhalten eines ffentlich benutzten
mobilen Gerts, Gesprche belauschen,
Nutzung ungesicherter Funkschnittstellen
oder Durchsuchen des Hotelzimmers.
Identifizierung von Schwach-
stellen in der IT-Architektur
Angreifer suchen oft nach Schwchen in
IT-Systemen etwa in Form veralteter Pro-
grammversionen, die ber einen Zugang
zum Firmennetzwerk verfgen. An Mit-
arbeiter, die solche Programme verwen-
den, wird dann eine Schadsoftware ge-
sandt, die einen Exploit nutzt, um das
System zu infiltrieren. Zur direkten und
schnellen Identifizierung dieser Rechner
wird als Methode ein fingierter Telefon-
anruf genutzt.
Angreifer arbeiten dabei mit einer so ge-
nannten Legende einer plausibel klin-
genden, aber erfundenen Geschichte, bei
der ein Angreifer eine falsche Identitt
vorgibt. Zur Verifizierung von Legenden
dienen geflschte Visitenkarten, Liefer-
scheine oder Arbeitsauftrge. Gleiches
gilt fr Dienstkleidung, Fahrzeuge, Ak-
kreditierungen oder Arbeitsausweise von
Dienstleistern. Telefonnummern auf ge-
flschten Visitenkarten fhren oft zu
Komplizen, die bei einem mglichen An-
ruf die Legende besttigen.
Eine nach wie vor gerne bersehene
Schwachstelle sind nicht zuletzt lesbar
entsorgte, sensible Dokumente. Dabei
Security-Tipp Praxis
versuchen Angreifer, etwa mit Hilfe einer
passenden Legende Zugang zu Broge-
buden oder Unternehmensanlagen zu
erlangen, um im Abfalleimer nach ver-
wertbarem Material zu suchen (Dumpster
Diving). Fr Angreifer haben nmlich
auch entsorgte Dokumente Wert. Ausge-
druckte E-Mails mit Kontaktdaten, No-
Entwrfe von Dokumenten; alles kann
fr einen Angriff oder die Identifizierung
von Schwachstellen in Routinegeschfts-
prozessen genutzt werden.
Effektive Schutzmanahmen
Um sich vor Social Engineering wirkungs-
voll schtzen zu knnen, muss das Unter-
nehmen zunchst seine Schwachstellen
analysieren und kennen. Entscheidend ist
es, die Mitarbeiter ber die Mglichkeiten,
Vorgehensweisen und Angriffsformen von
Industriespionen aufzuklren. Der Mitar-
beiter stellt nmlich nicht nur das grte
Sicherheitsrisiko im Unternehmen dar, er
kann im Umkehrschluss auch der beste
Schutz vor Angreifern und Cyberkrimi-
nellen sein. Prinzipiell helfen einige gol-
dene Regeln, um sich vor Social-Enginee-
ring-Versuchen zu schtzen:
- Seien Sie zurckhaltend bei Ausknften.
- Lassen Sie sich nicht unter Druck setzen.
- Haben Sie den Mut, ein Gesprch zu
beenden.
- berprfen Sie die Identitt des Anru-
fers, etwa durch einen Rckruf.
- Geben Sie auf sensible Dokumente Acht.
- Sprechen Sie fremde Personen an, die
sich im Unternehmen befinden.
- Sicherheit geht vor Hflichkeit.
- Seien Sie schweigsam in der ffentlich-
keit und whlerisch bei Ihren Ge-
sprchspartnern.
- Die Offenbarung eines Fehlers darf
nicht bestraft werden.
Fazit
Um an wertvolle Informationen zu gelan-
gen, scheinen Angreifern alle Mittel recht
zu sein. Dabei geraten vor allem Personen
in den Fokus, die leicht zu korrumpieren
sind und bei denen keine starke Abwehr
oder Sensibilitt fr diese Problematik zu
erwarten ist. Mitarbeiter, die auf solche
Szenarien vorbereitet sind, drften wesent-
lich schwerer in eine prekre Lage zu brin-
gen sein als Unbedarfte. (dr)
Juli 2016 57
Praxis T i p p s , Tr i c k s & To o l s
Tipps, Tricks und Tools
In jeder Ausgabe prsentiert Ihnen IT-Administrator
Tipps, Tricks und Tools zu den aktuellen Betriebssystemen
und Produkten, die in vielen Unternehmen
im Einsatz sind. Wenn Sie einen tollen Tipp
auf Lager haben, zgern Sie nicht und
schicken Sie ihn per E-Mail an
tipps@it-administrator.de.
Unser Active Directory hat mehrere hundert Ein-
trge und es ist oft schwierig, da den berblick
zu behalten. Wir nutzen PRTG als Monitoring-
werkzeug gibt es eine Mglichkeit, sich alle
Konten anzeigen zu lassen, die gerade irgend-
welche Probleme haben?
Es gibt ein Skript fr PRTG Network Mo-
nitor [Link-Code G7PE4], das ber eine
Abfrage des Active Directory alle ausge-
loggten oder deaktivierten Nutzer findet
und in PRTG auflistet (dazu reicht die kos-
tenlose 100 Sensoren-Version von PRTG
aus). Fr den Einsatz bentigt Ihre PRTG-
Installation das Active-Directory-PS-Mo-
dul. Unter [Link-Code G7PE5] finden Sie
eine Anleitung, wie Sie das Modul instal-
lieren. Mit "Search-ADAccount" knnen
Sie das Skript dann mit unterschiedlichen
Abfragen ausstatten. Die verschiedenen
Schalter dazu finden Sie auf Microsofts
TechNet-Plattform [Link-Code G7PE6].
Passen Sie das Skript entsprechend an Ihre
Umgebung an und speichern Sie es in den
Ordner "Custom Scripts" im PRTG-Ver-
zeichnis. Anschlieend wird das Skript als
Option unter "EXE/Script Advanced Sen-
sor" in PRTG angezeigt. (Paessler/ln)
Viele weitere Tipps und
Tricks rund um das Thema
Monitoring mit PRTG fin-
den Sie in der Knowledge Base von
Paessler unter https://kb.paessler.com.
Das Windows Event Log, in der deutschen Win-
dows-10-Version Ereignisanzeige genannt, stellt
bei der Problem- und Fehleranalyse ein mchtiges
Werkzeug dar. Da aber die Menge an aufgezeich-
neten Logdaten ins Unendliche tendiert, ist das
58 Juli 2016
Tipps & Tricks ohne Gewhr
Setzen eines effizienten
Filters ein Muss. Knnen
Sie kurz beschreiben, wie
hier eine sinnvolle Filte-
rung aussehen kann?
Das Setzen eines Fil-
ters hngt natrlich
immer sehr stark da-
von ab, welchen Pro-
blemen Sie auf den
Grund gehen wollen.
Zunchst sollten Sie
in der Ereignisanzei-
ge im Men "Aktion"
aber auf die Option
"Benutzerdefinierte
Ansicht erstellen" kli-
cken und dort den
Reiter "Filter" aus-
whlen. Zunchst Bereits durch das Setzen von nur wenigen Filteroptionen lsst sich die Flut
einmal sollten Sie der in der Ereignisanzeige dargestellten Events wirkungsvoll eingrenzen.
sich hier auf einen
eingegrenzten Zeitraum konzentrieren und ler und Warnungen dabei aufgetreten
natrlich das fr Sie wichtige Log auswh- sind. Um einen Filter spter wiederzu-
len. In den hier beispielhaft vorgenom- verwenden, knnen Sie diesen als benut-
menen Einstellungen (Bild) nehmen wir zerdefinierte Ansicht zur spteren Wie-
das Diagnostics-Performance-Log unter derverwendung auch speichern. (ln)
die Lupe, das in der Auswahl bei den "An-
wendungs- und Dienstprotokollen" zu Linux
finden ist. Eine hilfreiche Eingrenzung Debian bringt ja in der aktuellen Ent-
ist es zudem, nur als "Kritisch" oder "War- wickler-Version das ZFS-Dateisystem im
nung" klassifizierte Ereignisse in der Liste Quellcode mit. Dazu muss ich aber
anzeigen zu lassen. Sehr ntzlich ist au- den entsprechenden Kernel-Treiber
erdem das Setzen einer Ereignis-ID. In von Hand kompilieren. Knnen Sie
unserem Beispiel ist der Wert "100" die mir sagen, wie ich das mache?
ID fr die Startvorgnge von Windows. Whrend Ubuntu sich mit der Integration
Mit dem im Bild eingestellten Filter kn- eines ZFS-Binrmoduls auf juristisches
nen Sie also im Idealfall schnell erkennen, Glatteis begeben hat, geht Debian auf
wie lange es gedauert hat, bis Windows Nummer sicher und bietet das von Solaris
in der vergangenen Woche jeweils hoch- stammende Dateisystem ZFS in Quellco-
gefahren war, und welche kritischen Feh- de-Form und auerhalb des offiziellen
www.it-administrator.de

Repository an. Um es auszuprobieren,
mssen Sie zuerst die Unstable-Version
von Debian ("Sid") installieren. Das kn-
nen Sie beispielsweise mit einem Mini-
ISO tun, das Sie im Web unter [Link-
Code G7PE7] finden. Bei der Installation
whlen Sie "Advanced Options", dann
"Expert install". Wenn Sie aufgefordert
werden "Choose a mirror of the Debian
archive", whlen Sie aus der Liste "sid -
unstable". Luft "Debian Unstable", in-
stallieren Sie die ntigen Pakete fr
DKMS, den Dynamic Kernel Module
Support, der dabei hilft, Kernelmodule
fr die jeweilige Kernel-Version zu ber-
setzen und zu installieren:
apt-get install build-essential dkms
Fgen Sie das Contrib-Repository, in dem
der ZFS-Code enthalten ist, dem System
hinzu, etwa in der Datei "/etc/apt/sour-
ces.list.d/contrib.list":
deb http://ftp.de.debian.org/debian
sid contrib deb-src
http://ftp.de.debian.org/debian
sid contrib
Aktualisieren Sie nun mit apt-get update
die Paketinformationen. Jetzt knnen
Sie mit apt-get install zfs-dkms das ZFS-
Paket installieren, das gleich automa-
tisch von DKMS bersetzt und instal-
liert wird. Dabei weist der Installer auf
die Inkompatibilitt der Lizenzen von
ZFS und Linux-Kernel hin und warnt,
dass die Distribution des Endprodukts
wohl nicht legal ist. Selbst benutzen kn-
nen Sie es aber ohne Probleme. Klappt
alles, knnen Sie in der Liste der Ker-
nel-Module den ZFS-Treiber (ismod)
sehen. (of/ln)
Mit dem Update 2 fr VMware vSphere 6.0 wur-
de ja ein HTML5-basierender Webclient fr ESXi-
Standalone-Hosts eingefhrt der VMware Host
Client. Knnen Sie mir den Weg zu dessen Ane-
meldeseite aufzeigen?
Der vSphere Client wird in Buildversion
3620759 zwar weiterhin untersttzt, es
besteht aber mit dem VMware Host
Client nun auch eine andere Mglichkeit,
um einzelne ESXi-Hosts zu verwalten.
Denn im Gegensatz zum vSphere Client
untersttzt der VMware Host Client auch
die neuesten VM-Hardwareversionen.
www.it-administrator.de
Nach der Installation oder dem Update
auf vSphere 6 Update 2 mssen Sie fol-
gende Zeichenfolge in die Browserleiste
eingeben, um zur Anmeldeseite des
VMware Host Clients zu gelangen:
https://IP-Adresse des ESXi-
Hosts/ui/#/login
Mehr Informationen zum VMware Host
Client und aktuelle Release Notes finden
Sie unter [Link-Code G7PE8]. Wenn Sie
die neue Funktion nicht nutzen oder l-
schen wollen, knnen Sie das VIB-File
mit dem Kommando esxcli software vib
remove -n=esx-ui auch vom Host lschen.
(Thomas-Krenn/ln)
Ich mchte Stores im Citrix Receiver fr Windows
mit HTTP manuell hinzufgen. In allen Versionen
ab Receiver 3.1 sind jedoch ausschlielich sichere
Stores (HTTPS) in den Standardeinstellungen er-
laubt. Wie kann ich das ndern?
Diese Beschrnkung knnen Sie umge-
hen, um HTTP zum Beispiel in einer
Testumgebung zu nutzen. Fhren Sie da-
zu folgende Schritte aus: Klicken Sie zu-
nchst auf "Start" und ffnen Sie mit reg-
edit den Registry-Editor. Wenn Sie die
64-Bit-Version von Windows einsetzen,
rufen Sie "HKEY_LOCAL_MACHINE \
SOFTWARE \ Wow6432Node \ Citrix \"
auf. Nutzen Sie hingegen die 32-Bit-Ver-
sion von Windows, klicken Sie auf
"HKEY_ LOCAL_MACHINE \ SOFT-
WARE \ Citrix \". Setzen Sie in "Dazzle"
den Wert von "AllowAddStore" auf "A",
um Benutzern das Hinzufgen von nicht
sicheren Stores zu erlauben. Zustzlich
knnen Sie den Wert bei "AllowSavePwd"
auf "A" setzen, um Nutzern das Speichern
ihrer Passwrter fr nicht sichere Stores
zu gestatten. Um einen Store hinzuzuf-
gen, der in StoreFront mit dem Trans-
porttyp HTTP konfiguriert ist, setzen Sie
die folgenden Werte in AuthManager ein:
Name: ConnectionSecurityMode
Value Type: REG_SZ
Value: Any
Schlieen Sie den Receiver und starten
Sie ihn neu. brigens kann "AllowAdd-
Store" eingestellt sein auf "N", "S" oder
"A": "N" hindert User am Hinzufgen
oder Lschen von Stores, whrend "S"
Nutzern das Hinzufgen und Lschen
T i p p s , Tr i c k s & To o l s Praxis
von ausschlielich sicheren Stores
(HTTPS) erlaubt. "A" gestattet Usern das
Hinzufgen und Lschen von sowohl si-
cheren (HTTPS) als auch nicht sicheren
(HTTP) Stores. Auch AllowSavePwd
kann auf "N", "S" oder "A" eingestellt sein.
Der Standard ist der Wert, der vom
PNAgent-Server zur Laufzeit angegeben
wird. Er gibt an, ob Nutzer Anmeldein-
formationen fr Stores lokal auf ihrem
Computer speichern knnen, und gilt
nur fr Stores, die das PNAgent-Proto-
koll verwenden. Auch hier hindert "N"
User am Speichern vom Passwrtern, "S"
erlaubt es ausschlielich fr HTTPS-
Stores und "A" auch fr nicht sichere
HTTP-Stores. Citrix selbst empfiehlt
stets die Nutzung von HTTPS in einer
Produktionsumgebung. (Citrix/ln)
Hardware
Mit der Verffentlichung des NAS-
Betriebssystems Disk Station Mana-
ger 6.0 hat Synology fr einige seiner Netzwerk-
speicher die Mglichkeit geschaffen, eine oder
mehrere virtuelle Instanzen von DSM mittels Do-
cker-Container-Technologie zur Verfgung zu stel-
len. Soweit ich wei, befindet sich diese Funktion
noch in der Betaphase. Knnen Sie kurz schildern,
was die Voraussetzungen fr die Nutzung sind
und wie die einzelnen Schritte der Inbetriebnahme
ablaufen?
Die von Ihnen angesprochene Funktion
nennt sich "Synology DockerDSM" und
ist im Docker-Paket integriert. Dieses lsst
sich bequem ber das Paketzentrum in-
stallieren und ist in der Rubrik "Dienst-
programme" oder ber die im Paketzen-
trum integrierte Suche zu finden. Der
Menpunkt "DSM" des Docker-Paketes
erscheint allerdings nur bei kompatiblen
Gerten die Verfgbarkeit des Docker-
Paketes bedeutet also nicht automatisch,
dass DockerDSM auch genutzt werden
kann. Eine Liste der untersttzten Gerte
finden Sie unter [Link-Code G7PE9]. Ge-
hrt Ihr NAS zu diesen Gerten, knnen
Sie nach dem initialen Aufruf des Docker
Paketes im Men "DSM" einen Docker-
Container erstellen. Klicken Sie hierzu
auf "Hinzufgen". Die nun folgende Dia-
logbox zeigt die Einstellmglichkeiten fr
den neuen DSM-Container an. Passen Sie
die Werte Ihren Wnschen entsprechend
an und klicken Sie auf "Weiter". Nun folgt
Juli 2016 59
Praxis T i p p s , Tr i c k s & To o l s
Dem Container zur Nutzung von DockerDSM auf einem Synology-NAS
knnen Sie Ressourcenbeschrnkungen auferlegen.
das Setzen der Netzwerkeinstellungen.
Die IP-Adresse kann statisch oder dyna-
misch per DHCP vergeben werden. Fah-
ren Sie mittels "Weiter" fort. Whlen Sie
ein Volume oder einen gemeinsamen
Ordner als Speicher aus und klicken Sie
wieder auf "Weiter". Es gibt zwei unter-
schiedliche Mglichkeiten, um die Instal-
lationsdatei des neuen Docker-Containers
zur Verfgung zu stellen: Entweder laden
Sie diese direkt von Synology herunter
oder Sie schieben Sie manuell vom eige-
nen PC zum NAS. Klicken Sie nach dieser
Auswahl auf "Weiter". Nach dem Import
der Installationsdatei erscheint eine Zu-
sammenfassung und, wenn alle Einstel-
lungen korrekt sind, schlieen Sie durch
"bernehmen" den Erstellungsprozess ab.
Nach der erfolgreichen Erstellung von
DockerDSM wird nun ebensolches ge-
startet und eingerichtet. Durch Schieben
des rechten Reglers auf "Ein" starten Sie
die Docker-Instanz. Nachdem die IP-
Adresse zugewiesen wurde, klicken Sie
auf "Verbinden", um einen neuen Tab fr
die weitere Konfiguration zu ffnen. Auf
dem nun folgenden neuen Tab erstellen
Sie ein Administrator-Konto, klicken auf
"Weiter" und knnen mit der restlichen
Konfiguration fortfahren. Nach den Ein-
stellungen zur Aktualisierung und War-
tung von DSM beginnt mit einem Klick
auf "Los" die Verwendung der Docker-
DSM-Instanz. brigens ist es auch mg-
lich, DSM-Instanzen ber den Synology
Virtual DSM Manager mittels KVM-
60 Juli 2016
Technologie zu virtualisieren. Wie das
geht, lesen Sie unter [Link-Code G7PE0]
(Thomas-Krenn/ln)
Viele weitere Tipps und Tricks
zum Server-Management,
Virtualisierung und Linux finden Sie im
Thomas-Krenn-Wiki unter www.thomas-
krenn.com/de/wiki/Hauptseite
Tools
Stndig online zu sein, ist heut-
zutage auch fr Admins eher die
Regel als die Ausnahme. Der Administrator ist
prinzipiell von berall aus in der Lage, seine
Systeme zu verwalten. Dies ist aber beispiels-
weise mit der Secure Shell (SSH) nur mglich,
wenn das drahtlose Netz sei es WLAN oder
UMTS keine Lcken aufweist und die IP-
Adresse des Clients immer gleich bleibt. Dass
dies nicht an jedem Standort und zu jeder Zeit
gegeben ist, drfte jeder reisefreudige IT-Ver-
antwortliche besttigen.
Diesem unter Umstnden fr den Ad-
ministrator sehr wichtigen Problem hat
sich das renommierte Massachusetts In-
stitute of Technology MIT mit der
Open-Source-Software "mosh" ange-
nommen. Whrend das SSH-Protokoll
auf TCP basiert und deshalb eine dau-
erhafte Verbindung zwischen Client und
Server erfordert, nutz mosh das verbin-
dungslose User Datagram Protocol
(UDP). Darber hinaus baut die Soft-
ware nicht auf einem synchronen Dialog
von Client und Server auf wie SSH oder
Link-Codes eingeben auf www.it-administrator.de
Telnet. Nur bei Bedarf synchronisiert
das Tool die Bildschirminhalte und nutzt
dabei einen speziell entwickelten Stan-
dard das State Synchronization Proto-
col (SSP). Die Sicherheit der Verbindung
ist dabei durch eine AES-128-Verschls-
selung der UPD-Pakete realisiert. Dass
die Verbindung nicht dauerhaft sein
muss, dafr sorgt eine zu Beginn der Ses-
sion aufgebaute SSH-Verbindung, die
den Nutzer authentifiziert und einen
Schlssel zur Besttigung seiner Identitt
bertrgt. So erreicht die Software, dass
sich IP-Adresse und Portnummer der
Verbindung ohne Beeintrchtigung der
Arbeit ndern knnen. Ist die Authen-
tifizierung erfolgt, startet mosh zwei se-
parate SSP-Instanzen, eine fr jede ber-
tragungsrichtung. Einmal aufgebaut, ist
eine mosh-Verbindung resistent sowohl
gegen einen Wechsel der IP-Adresse als
auch gegen ein Suspend oder Hibernate
des Client-Rechners. Erst das Schlieen
der Shell auf dem Zielrechner beendet
die Sitzung wieder. Die aktuelle mosh-
Version ist fr die gngigen Linux-Dis-
tributionen, FreeBSD, OS X und An-
droid verfgbar. (jp)
Link-Code: G7PE1
Eine unverzichtbare Basis des Netzwerkmana-
gements ist eine genaue Kenntnis des Netzes.
Hier sind Informationen gefragt, die dem IT-Ver-
antwortlichen zeigen, welche Router und Swit-
che verbaut sind und welche Rechner sich dort
tummeln. Tools knnen dem Administrator diese
Informationen beschaffen, indem sie die Netze
scannen und nach den entsprechenden Infor-
mationen suchen. In groen Netzen und beson-
ders mit IPv6 ist diese Strategie jedoch zum
Scheitern verurteilt, weil ein Scanvorgang zu
viel Zeit erfordert.
Das kostenlose "NeDi" geht deshalb bei
der Erfassung aller Komponenten im Netz
einen anderen Weg: Es fragt einige soge-
nannte Seed Devices auf Basis von SNMP
nach weiteren Gerten, die diese kennen.
ber so eine Abfrage erfhrt die Software
beispielsweise vom Default-Router alle
Nachbarn, die dieser kennt. Dabei nutzt
das Tool verschiedene Wege, ein Gert
hinsichtlich des nchsten Nachbarn zu
befragen. So kann es in Routing-Tabellen
nach bekannten Next Hops suchen oder
die ARP-Tabellen auslesen, Netzwerkge-
rte von Cisco erkennen sich gegenseitig

NeDi liefert neben reinen Inventarinformationen auch Hinweise zum
Gesundheitszustand der Netzgerte.
ber das proprietre Cisco Discovery Pro-
tocol (CDP). Alternativ dazu existiert das
von mehreren Herstellern untersttzte
Local Link Discovery Protocol (LLDP).
Alle so ermittelten Devices bernimmt
NeDi in die Liste noch zu durchsuchender
Gerte und arbeitet diese ab. Im Laufe
dieses Vorgangs sammelt die Software zu-
stzliche Informationen wie Systemna-
men und -klasse, Betriebssystem, CPU-
Last, Speicherauslastung, Temperatur,
Durchsatz und alle angeschlossenen Hosts
in den konfigurierten VLANs ein. Nach
einem Durchlauf hat NeDi alle notwen-
digen Informationen fr eine Abbildung
des kompletten Netzes und kann bei-
spielsweise Auskunft darber geben, an
welchem Switch und Port ein bestimmter
Rechner angeschlossen ist. Das Tool kennt
alle Verbindungen zwischen den Gerten,
beurteilt alle gesammelten Daten und gibt
Informationen oder bei Bedarf auch War-
nungen und Alarme aus. Dabei liefert das
Programm nicht nur die Hinweise, welche
Gerte tatschlich im Netz vorhanden
sind, sondern lsst sich auch als einfaches
Netzwerkmanagementsystem einsetzen.
Intern speichert NeDi sein gesammeltes
Wissen in einer einfach strukturierten
Datenbank, die sich als Basis fr ein Asset
Management anbietet. Mit wenigen Ab-
fragen lsst sich beispielsweise herausfin-
den, ob ein separates Netzwerkmanage-
mentsystem auch alle gefundenen Gerte
berwacht. NeDi luft unter FreeBSD,
OS X und SLES. (jp)
Link-Code: G7PE2
www.it-administrator.de
Im Durchschnitt betreibt jeder Berufsttige heute
etwas mehr als drei Computer Smartphone,
Workstation, Tablet oder auch Laptop begleiten
durch den Arbeitsalltag. Dabei ist es lngst Stan-
dard, dass alle Gerte einen identischen Datenbe-
stand aufweisen, um nahtloses Arbeiten beim
Wechsel der Gerte zu gewhrleisten. Realisiert
wird diese Datensynchronisation zumeist ber
Cloud-Storage, sei es ein privater oder Firmen-Ac-
count bei einem der groen Anbieter oder durch
ein Werkzeug, mit dem eine unternehmensinterne
Filesharing-Cloud zum Leben erweckt wird. Dabei
erzeugt gerade die Nutzung ffentlicher Cloud-
Dienste ein gewisses Magengrummeln hinsichtlich
der Sicherheit und der Frage, wer denn so alles
Einsicht in die eigenen Daten hat besonders,
wenn nicht ausgeschlossen werden kann, dass
diese auch mal in den USA landen.
Statt seine Dateien der oft wenig vertrau-
enswrdigen Cloud anzuvertrauen, lassen
sie sich auch direkt zwischen verschie-
denen Gerten synchronisieren. Mit dem
freien "Syncthing" werden Daten direkt
Die bedienfreundliche Syncthing-Oberflche erlaubt einen
einfachen Austausch von Daten ohne Cloud-Storage.
T i p p s , Tr i c k s & To o l s Praxis
von einem Gert zum anderen bertra-
gen oder auch zu Gerten von Freun-
den oder Arbeitskollegen, die die Soft-
ware nutzen. Die Kommunikation bei
dieser Peer-to-Peer-bertragung ist mit
TLS und Perfect Forward Secrecy gesi-
chert. Jeder Knoten wird ber ein Zerti-
fikat identifiziert und die Daten werden
nur mit selbst ausgewhlten Knoten syn-
chronisiert. Syncthing kann beliebig viele
Verzeichnisse synchronisieren, dabei lsst
sich fr jeden Ordner einzeln das Syn-
chronisationsziel festlegen. Diese Konfi-
guration erfolgt ber eine webbasierte
Benutzeroberflche, die sich nach dem
Start des Tools im Browser ffnet. An
dieser Stelle generiert die Software die
bentigten Zertifikate und Schlssel fr
eine TLS-Verbindung zu anderen Clients
und erstellt automatisch den Ordner
"Sync", in dem zunchst zu synchroni-
sierende Dateien abgelegt werden kn-
nen. Windows verlangt beim ersten Start
der Software eine nderung in den
Firewall-Einstellungen. Zur alltglichen
Nutzung muss die Software auf jedem
beteiligten Rechner laufen. Darber hi-
naus lohnt es sich auf jeden Fall, bei In-
teresse tiefer in die Features und die Ver-
waltbarkeit von Syncthing einzutauchen,
denn diese haben mittlerweile ein durch-
aus professionelles Niveau erreicht. So
lsst sich beispielsweise ein eigener "An-
nounce Server" aufsetzen, der die Ver-
bindung zwischen den Gerten vermittelt
jedoch nicht die vertraulichen Daten
bermittelt. Per Default kommt ein An-
nounce-Server des Anbieters zum Ein-
satz. Verfgbar ist Syncthing fr alle gn-
gigen Betriebssysteme. Die einzige Aus-
nahme bildet iOS. (jp)
Link-Code: G7PE3
Juli 2016 61
SCHWERPUNKT
Quelle: Xavier Gallego Morell 123RF

Cloud Penetration Testing

Diffuses Ziel
von Dr. Holger Reibold

Die Verwendung von Cloud-Technologien findet in Unterneh-

men immer mehr Zuspruch. Dank quelloffener Projekte wie
OpenStack & Co. ist es einfach geworden, eine eigene Cloud zu
implementieren. Sptestens dann, wenn Cloud-Dienste produk-
tiv genutzt werden, stellt sich die Frage, wie sicher diese gegen
Attacken von innen und auen sind. Das lsst sich am zuverls-
sigsten per Penetration Testing herausfinden.

ie Migration in eine Cloud-Um- Als Erstes die Betreiberfrage

D gebung kann Unternehmen ver-
schiedene Vorzge bieten, stellt aber auch
die Frage nach mglichen Angriffspunk-
ten und Attacken neu. Der Begriff Wolke
impliziert, dass das Gebilde eine diffuse,
unklare Struktur und Gestalt besitzt. Von
auen betrachtet handelt es sich tatsch-
lich um ein kaum zu erfassendes Kon-
strukt, das entsprechend schwer zu atta-
ckieren ist prinzipiell ein Gewinn aus
Sicht der Sicherheit.
Da eine Cloud nicht gleich Cloud ist, er-
geben sich fr Cloud-Umgebungen wie
IaaS, SaaS, PaaS oder auch ffentliche be-
ziehungsweise private Clouds zum Teil
erhebliche sicherheitsrelevante Unter-
schiede. Bevor Sie sich an die Entwick-
lung einer Penetration-Testing-Strategie
machen, die die Sicherheit Ihrer Cloud-
Umgebung auf Herz und Nieren ber-
prft, mssen Sie klren, ob Sie einen
CSP (Cloud Solution Provider) in An-

www.it-administrator.de

Quelle: Cisco
One Premise
Applikation
Daten
Kunde
Laufzeit
Ressourcen-Eigner
Middleware
Betriebssystem
Virtualisierung
Server
Speicher
Netzwerk
Bild 1: Die Zustndigkeit bei der Durchfhrung von
Penetration-Tests bei unterschiedlichen Cloud-Szenarien.
spruch nehmen oder ob Sie selbst der
Cloud-Betreiber sind.
Der einfachste Fall ist sicherlich der, dass
Sie einen Cloud Solution Provider nutzen,
der sich nicht nur um die Bereitstellung
der Umgebung, sondern auch um alle si-
cherheitstechnischen Belange kmmert.
In diesem Fall mssen Sie einfach mit
dem Anbieter im Rahmen der Vertrags-
verhandlungen sicherstellen, dass in den
SLAs die Durchfhrung entsprechender
Sicherheitstests durch ein Provider-eige-
nes Pentest-Team gewhrleistet wird
und zwar regelmig.
In einem solchen Fall sind natrlich die
unterschiedlichsten Sicherheitsaspekte
anzusprechen. Konkret ist zu klren,
welche Services, Datenbanken, Hosts,
Subnetze, Applikationen und so weiter
untersucht werden. Bei IaaS-Dienstleis-
tungen sind beispielsweise Security Poli-
cies und Patch-Management-Richtlinien
sowie Manahmen zum Hrten von In-
frastrukturkomponenten relevant.
Nutzen Sie ein PaaS-Angebot, so mssen
Sie zustzlich prfen, ob die Umgebung
vollstndig gepatcht und relevante (Si-
cherheits-)Updates aufgespielt sind. Bei
SaaS-Angeboten liegen alle sicherheits-
technischen Belange meist beim Provider.
Der muss sicherstellen, dass die relevanten
Webservices, Application- und Daten-
bankserver zumindest auf die Top-10-
beziehungsweise Top-20-Schwachstellen
der OWASP geprft wurden. Im Rahmen
www.it-administrator.de
Cloud-Computing
IaaS PaaS
Applikation Applikation
Kunde
Daten Daten
Middleware Middleware
Laufzeit Laufzeit
Service-Provider
Betriebssystem Betriebssystem
Virtualisierung Virtualisierung
Service-Provider
Server Server
Speicher Speicher
Netzwerk Netzwerk
solcher Verhandlungen beziehungsweise
Vereinbarungen sollten Sie auch zur Spra-
che bringen, welche Security-Tools zum
Einsatz kommen. Als Nutzer eines SaaS
ist es natrlich von Belang, ob Webser-
vices Cross Site Scripting oder andere
Schwachstellen aufweisen knnten.
Prinzipiell ist es natrlich denkbar, dass
Sie auch ein spezielles Penetration-Tes-
ting-Team mit den Sicherheitstests be-
auftragen. In diesem Fall sind hnliche
Abstimmungen wie bei einem SaaS-An-
gebot notwendig. Wenn Sie die Penetra-
tion-Tests lieber selbst in die Hand neh-
men wollen, mssen Sie diese Vorgnge
zunchst mit dem Provider abstimmen.
Dabei ist zunchst zu klren, welche
Komponenten im Fokus der Pentests ste-
hen sollen. blicherweise sind das fol-
gende fr jedes dieser Szenarien gelten
spezifische Anforderungen und es bedarf
unterschiedlicher Herangehensweisen:
- Web-Application-Pentests inklusive
mobiler Apps
- Web-Services-Pentests inklusive mo-
biler Backend-Services
- Netzwerk- und Host-Pentests inklusive
Datenbanken, Firewalls und weiteren
Cloud-Komponenten
IaaS- und PaaS-Pentests
Wenn Sie eine IaaS-basierte Cloud ver-
wenden, so haben Sie als Kunde bei den
typischen Cloud-Services die umfang-
reichsten Kontrollmglichkeiten. Das be-
deutet, dass Ihr Aufwand fr die Inbe-
triebnahme, Wartung und Administration
C l o u d P e n e t r a t i o n Te s t i n g Schwerpunkt
der Umgebung zwar sehr umfangreich
ist, aber Sie bei der Planung und Durch-
SaaS
fhrung von Penetration Tests deutlich
Applikation flexibler sind. Alleine der Umstand, dass
Daten
Sie die exakte Struktur und den Aufwand
Ihrer Umgebung sowie die verschiedenen
Middleware
kritischen Komponenten kennen, verein-
Service-Provider
Laufzeit facht die Durchfhrung von Sicherheits-
checks erheblich.
Betriebssystem
Virtualisierung
Die Vorgehensweise in diesem Szenario
Server ist mit der bei der Durchfhrung von lo-
Speicher kalen Sicherheitstests vergleichbar. Dazu
muss ein konkretes Bild der Infrastruktur
Netzwerk
mit den relevanten IT-Komponenten und
Services erstellt werden. Dabei geht es in
der Regel darum, die kritischen Infra-
strukturkomponenten, Web-, Mail- und
Fileserver sowie Datenbanken, mit Werk-
zeugen wie Kali Linux, Nessus & Co. un-
ter die Lupe zu nehmen.
Wenn Sie die Cloud mit einer Web Appli-
cation Firewall (WAF) oder durch einen
Reverse Proxy Server schtzen, sollten Sie
die Penetration-Tests ohne die vorange-
stellten Schutzmechanismen ausfhren.
Der Grund hierfr ist einfach: Die beiden
Schutzfunktionen verbergen in Idealfall
mgliche Schwachstellen. Aber Sie wollen
ja genau diese Schwachstellen aufdecken.
Unabhngig davon sind Tests mit diesen
Schutzsystemen eine sinnvolle Ergnzung,
weil Sie das gesamte Bild der Cloud-Sicher-
heit komplettieren. Die besten Ergebnisse
erzielen Sie hierbei mit Vulnerability Scan-
nern wie OpenVAS [1] oder Nessus [2].
Testen von IaaS-,
PaaS- und SaaS-Clouds
Die sorgfltige Durchfhrung von Pene-
tration-Tests bercksichtigt immer beide
Perspektiven: Sie sollten daher in einer
Cloud interne und externe Untersuchun-
gen anstoen. Somit gewinnen Sie Ergeb-
nisse von zwei unterschiedlichen Stand-
punkten, die mit hoher Wahrscheinlichkeit
auch unterschiedliche Anflligkeiten auf-
weisen. Bei internen Penetration-Tests soll-
ten Sie bereits Zugriff auf alle Server und
Hosts in der Cloud einschlielich der Da-
tenbanken und Speicherkomponenten
besitzen. Zudem sollten Sie ber die rele-
vanten Informationen fr die Zugriffskon-
trolle, die Anmeldeprozeduren und die
Netzwerkarchitektur verfgen.
Juli 2016 63
S ch we rp unk t C l o u d P e n e t r a t i o n Te s t i n g
OpenStack Cloud mit
Compute, Storage, etc.
Client Wireshark
Bild 2: Der Aufbau eines Testszenarios ein Client nutzt Cloud-Dienste, ein zweiter zeichnet den
Traffic von und zur Cloud auf und ein dritter dient dem eigentlichen Penetration Testing.
In der Regel beginnen die Prfungen mit
authentifizierten Anflligkeitsscans gegen
Ihre Systeme. Das Ergebnis liefert eine
interne Einschtzung, mit welchen Sch-
den zu rechnen ist, wenn sich ein Angrei-
fer innerhalb des Perimeters bewegen
kann. Externe Tests bilden am ehesten
das Szenario von potenziellen Angreifern
nach. Dabei werden Remote-Tests von
auerhalb der DMZ gefahren. blich ist
dabei ein Standard- oder ein Black-Box-
Penetrationstest.
In einem SaaS-Szenario ist der Cloud So-
lution Provider fr die Sicherheit der
Cloud zustndig. Der CSP muss die ge-
samte Bandbreite an Sicherheitsmanah-
men abdecken, angefangen bei der Host-
Level-Sicherheit bis hin zur Sicherheit
von Web-Applikationen. Hierzu gehrt
auch die Durchfhrung von internen und
externen Penetration-Tests. Details hierzu
sind allerdings immer auch Sache einer
vertraglichen Vereinbarung zwischen
Kunde und Dienstleister.
Allerdings werden bei SaaS-Diensten
meist Backend-Komponenten wie bei-
spielsweise Datenbanken und Speicher
geteilt. Daher sind Sicherheitstests wie
beispielsweise DoS- oder SQL-Injection-
Attacken in der Regel nicht zulssig be-
ziehungsweise nicht durchfhrbar. In eher
seltenen Fllen lsst sich die Erlaubnis
anderer Nutzer einholen.
64 Juli 2016
OpenStack Server
Penetration
Testing
Workstation
Aus dieser Komplexitt heraus ergibt sich
oft nur eine Lsung: Es mssen Verhand-
lungen mit dem Betreiber gefhrt werden,
die konkret ausloten, welche Form von
Tests mglich ist und welche nicht. Zu-
mindest muss der Provider fr die Berei-
che, die nicht mit Penetration-Tests geprft
werden knnen, sicherstellen, dass diese
ein Hchstma an Sicherheit bieten.
Sehr wohl knnen Sie als Kunde darauf
bestehen, dass der CSP Design-Details
zur Verfgung stellt, denen Sie die Si-
cherheitsarchitektur und getroffenen
Schutzmanahmen entnehmen knnen.
Sie sollten ferner darauf bestehen, dass
Sie optimierte Service-Konfigurations-
dateien, Richtlinien und den Manah-
menkatalog fr die Hrtung kritischer
Komponenten prfen knnen. Haben
Sie selbst wenig Kontrolle ber die ei-
gentliche Sicherheitskonfiguration der
Cloud-Umgebung, mssen Sie versu-
chen, so viel Einfluss wie mglich auf
die vertraglichen Vereinbarungen und
SLAs zu nehmen.
Testen einer eigenen
Cloud-Umgebung
Wenn Sie es vorziehen, anstelle eines Pu-
blic-Cloud-Services eine eigene Cloud-
Umgebung aufzusetzen, haben Sie bei der
Konfiguration, Administration und beim
Penetration Testing alle Fden selbst in
der Hand. Exemplarisch zeigen wir Ihnen,
wie Sie eine OpenStack-basierte Cloud
einem Penetration-Test unterziehen.
Fr eine zielgenaue Planung fr die Durch-
fhrung von Penetration-Tests ist es un-
erlsslich, dass Sie die zentralen Kompo-
nenten und Services identifizieren. Das
sind bei OpenStack die Dienste "Compute",
"Dashboards", "Networking" und "Storage".
Dazu kommen die beiden gemeinsam ge-
nutzten Dienste "Identity" und "Image".
Die "Compute"-Komponente berwacht
und managt groe VM-Netzwerke. Sie
wird hufig von CSP als IaaS-Plattform
genutzt. "Storage" stellt Objekt- und Block-
speicher fr Server und Applikationen zur
Verfgung. Es handelt sich dabei um ein
verteiltes Speichersystem. Bei "Networking"
handelt es sich um ein API-gesteuertes
System fr die Verwaltung von Cloud-
Netzwerken und IP-Adressen.
Das Dashboard ist die zentrale Adminis-
trationsschnittstelle, mit der insbesondere
die Komponenten "Compute", "Storage"
und "Networking" gesteuert werden. Die
"Identity"-Komponente verwaltet die Be-
nutzerdatenbank und bildet die Benutzer
auf die zulssigen OpenStack-Services
ab. "Image" ist schlielich fr die Erken-
nung, Registrierung und Auslieferung
von Services fr Festplatten- und Server-
Images zustndig. Aufgrund dieser ver-
schiedenen Komponenten ergibt sich fr
den Penetration-Tester eine komplexe
Aufgabe, da die verschiedenen Cloud-
Elemente unterschiedliche Tools und
Techniken verlangen.
Bevor Sie sich an die ersten Penetration-
Tests machen, sollten Sie sich die verschie-
denen Ebenen einer Cloud-Lsung verge-
genwrtigen. Sie stehen fr unterschiedliche
Angriffspunkte. Eine Cloud-Lsung um-
fasst in der Regel folgende Layer:
- Facility: Die physische Ebene, auf der
die Cloud-Umgebung ausgefhrt wird.
- Network: Die Cloud kann in einem realen
oder in einem virtuellen Netzwerk aus-
gefhrt werden. Sie kann auerdem eine
aktive Internet-Verbindung besitzen.
- Compute und Storage: Die physische
Hardware stellt CPU-Rechenzeit und
den Speicher zur Verfgung.
- Hypervisor: Diese optionale Kompo-
nente wird nur dann bentigt, wenn
www.it-administrator.de

Sie per Virtualisierung Ressourcen ma-
nagen. Der Hypervisor ist fr die Zu-
weisung der Ressourcen zustndig.
- Virtual Machine (VM) oder Betriebs-
system: In einer virtualisierten Umge-
bung ist die VM fr die Ausfhrung
des Betriebssystems zustndig. Kommt
kein Hypervisor zum Einsatz, wird das
Betriebssystem direkt von "Compute"
und "Storage" ausgefhrt.
- Solution Stack: Hierbei handelt es sich
um die verwendeten Programmierspra-
chen fr die Programmierung und das
Deployment von Applikationen.
- Application: Die Applikationen, die von
den Kunden in der Cloud ausgefhrt
werden.
- API und GUI: Das Interface, ber das
die Kunden mit den Applikationen in-
teragieren. Die gngigste API ist REST-
ful HTTP oder HTTPS; die gngigste
GUI ist eine HTTP- beziehungsweise
HTTPS-basierte Website.
Die Kombination dieser verschiedenen
Ebenen ergibt eine Cloud-Lsung. Beim
Standardwerkzeug Kali Linux 2
Penetration Testing ist wahrlich kein einfaches
Gebiet, denn die zu untersuchenden Zielsyste-
me sind hchst unterschiedlicher Art und Aus-
stattung. Das gilt auch fr Cloud-Services und
-Installationen. So bentigen Sie als Tester ei-
nen Werkzeugkasten, der neben einer soliden
Grundausstattung auch Spezialisten fr das
Knacken von Passwrtern oder das Flschen
von Netzwerkpaketen bietet. Seit Jahren ist
Kali Linux [3], der BackTrack-Nachfolger, die
Standardumgebung.
In der Linux-Distribution sind ber 300 Pro-
gramme, Tools und Skripte fr Penetration-Tes-
ter integriert. So beispielsweise Maltego, ein
Spezialist fr das Social Engineering, bei dem
Daten ber Einzelpersonen oder Unternehmen
gesammelt und dann in einen Kontext ge-
bracht werden. Ebenso mit dabei ist Nmap,
der Netzwerkscanner zur Analyse von Netz-
werken, und seine GUI Zenmap, Wireshark als
grafischer Netzwerksniffer und Ettercap fr die
Netzwerkmanipulation, mit dem sich beispiels-
weise Man-in-the-middle-Attacken ausfhren
lassen. Fr das Knacken und Testen von Pass-
wrtern stellt Kali Linux John the Rippper zur
Verfgung. Und last but not least sei noch
Metasploit, das Framework fr das Testen und
Entwickeln von Exploits, erwhnt.
www.it-administrator.de
Bild 3: Mit Nikto2, das hier unter Kali Linux 2 luft, knnen Sie die Sicherheit jeder Web-basierten
Applikation prfen, auch die des OpenStack-Dashboards.
Penetration Testing geht es auch darum,
die Schicht zu identifizieren, die fr die
Tests von Belang ist, wobei die mglichen
Angriffspunkte insbesondere von der Art
der Services abhngig sind.
Aufbau einer Test-Cloud
Die unmittelbare Ausfhrung von Pene-
tration-Tests an Produktivumgebungen
ist in der Regel weder sinnvoll noch rat-
sam. Je nach Intensitt der durchgefhr-
ten Sicherheitstests und Attacken ist
damit zu rechnen, dass kritische Kom-
ponenten in Mitleidenschaft gezogen
werden. Wenn Sie zudem die ersten Geh-
versuche beim Penetration Testing von
Cloud-Umgebungen unternehmen, soll-
ten Sie diese an einer Testumgebung aus-
fhren, die der realen Konfiguration
mglichst nahekommt.
Anhand einer OpenStack-Installation zei-
gen wir die typische Vorgehensweise. Die-
se muss bei anderen Cloud-Umgebungen
entsprechend adaptiert werden. Ein simp-
les Testszenario besteht aus einem Open-
Stack-Server, einem, besser zwei Clients
und einem Penetration-Testing-System.
Ein OpenStack-System lsst sich mit den
auf der Projekt-Site verfgbaren ISO-
Images schnell und einfach einrichten.
Die Aufgaben beim Penetration Testing
einer lokalen Cloud-Installation knnen
Sie auf mehrere Schultern verteilen. So
knnten Sie einen Client-Rechner zur
Aufzeichnung des Traffics mit Wireshark
C l o u d P e n e t r a t i o n Te s t i n g Schwerpunkt
abstellen, der den gesamten Datenverkehr
mit dem Cloud-Server aufzeichnet. Ein
zweites System ein klassisches Penetra-
tion Testing-System knnte dann die
notwendigen Sicherheitstests durchfhren
und fr die Ausnutzung etwaiger Ver-
wundbarkeiten genutzt werden.
Die bliche Herangehensweise beim Pe-
netration Testing: Zunchst analysieren
Sie mit einem Netzwerk-Mapper die
Zielumgebung. Mit diesen Informatio-
nen picken Sie ein oder mehrere Ziele
heraus, die Sie dann mit einem Securi-
ty-Scanner auf Schwachstellen unter-
suchen. Je nach Ziel greifen Sie dann
zu einem Exploit-Spezialisten oder ei-
nem applikationsspezifischen Werkzeug
wie einem Web Application Security
Scanner, um weitere Details des Ziels
zu ermitteln und etwaige Schwachstel-
len zu kompromittieren.
Das Basiswerkzeug der meisten Pentester
ist Kali Linux. Der Grund: In der Linux-
Distribution sind alle notwendigen Tools
enthalten, die die gesamte Bandbreite an
Aufgaben beim Penetration Testing ab-
decken. Mit Zenmap, der Nmap-GUI,
knnen Sie die Cloud-Umgebung und die
dort ausgefhrten Services und Ports
identifizieren.
Das Dashboard, das auf dem Apache
Webserver ausgefhrt wird, ist blicher-
weise die anflligste Komponente. Mit
Hilfe des Security Scanners OpenVAS
Juli 2016 65
S ch we rp unk t C l o u d P e n e t r a t i o n Te s t i n g
oder von Spezialisten wie SFUZZ knnen
Sie die Webserver auf Verwundbarkeiten
prfen. Die Ausfhrung von SFUZZ er-
folgt auf der Konsolenebene. Angenom-
men, das OpenStack-System besitzt die
IP-Adresse 192.168.1.1 und Sie wollen
Port 443 mit der Standardkonfiguration
abfragen und den TCP-Ausgabemodus
aktivieren, lautet die entsprechende An-
weisung wie folgt:
root@kali:~# sfuzz -S 192.168.1.1 -p
443 -T -f /usr/share/sfuzz/sfuzz-
sample/basic.http
Der Ausgabe knnen Sie dann mgliche
Angriffspunkte entnehmen. Die Identi-
fikation von Schwachstellen ist mit gra-
fischen Werkzeugen wie OpenVAS aller-
dings meist deutlich einfacher auch
weil OpenVAS konkret Detailbeschrei-
bungen zu den identifizierten Sicherheits-
lcken liefert.
Zugangsdaten aussphen
Der klassische Trffner fr Hacker ist
das Aussphen von Zugangsdaten. Nach
der Analyse der Zielumgebungen mit
Nmap beziehungsweise dem grafischen
Aufsatz Zenmap besitzen Sie die hierfr
notwendigen Informationen, um gezielt
den Traffic am relevanten Knoten auf-
zeichnen zu knnen. Da Zenmap uns so-
gar eine Visualisierung liefert, ist es mit
den von diesem Tool gewonnenen Daten
einfach, das Ziel zu bestimmen, das Ha-
cker am meisten interessiert.
Mit Hilfe von Wireshark zeichnen Sie den
Traffic beim Einloggen eines Cloud-
Clients auf. Wenn Sie lieber mit Windows
arbeiten, kommen Sie auch mit Cain&
Abel an die Credentials. Dieser Pentes-
ting-Spezialist bietet umfangreiche Funk-
tionen fr das Knacken von Passwrtern.
Link-Codes
[1] OpenVAS
B2P41
[2] Nessus
F0Z35
[3] Kali Linux 2
G7Z43
[4] Nikto2
G7Z44
66 Juli 2016
Bei einer OpenStack-Installation sind
auerdem die Verzeichnisse "devstack",
"etc" und "var" fr Penetration-Tester in-
teressant. In diesen Verzeichnissen finden
sich Konfigurationsdateien, Programm-
dateien und Skripte, die fr Angreifer in-
teressant sind. In den drei genannten Ver-
zeichnissen liegen verschiedene Dateien,
die unverschlsselte administrative Log-
in-Credentials enthalten. Es sind insbe-
sondere folgende Dateien relevant:
- /devstack/localrc
- /etc/nova/api-paste.ini
- /etc/cinder/api-paste.ini
- /var/cache/cinder/cacert.pem
- /var/cache/cinder/signing_cert.pem
- /var/cache/glance/registry/cacert.pem
- /var/cache/glance/registry/
signing_cert.pem
Selbst fr Angreifer von auen ist es mit
Passwort-Attacken mglich, den SSH-ge-
schtzten Zugriff auf den OpenStack-Ser-
ver zu knacken und sich so Zugang zu
den Informationen zu verschaffen, die
hier hinterlegt sind.
Dashboard attackieren
Web-Applikationen wie das OpenStack-
Dashboard sind erfahrungsgem beson-
ders anfllig. Daher sind diese oft die ersten
Ansatzpunkte beim Penetration Testing.
Sollte der Security Scanner keine verwert-
baren Informationen geliefert haben, be-
deutet das nicht, dass keine existieren. Daher
greifen Sie als Nchstes zu einem Web Ap-
plication Security Scanner. Als einer der
Besten seiner Art gilt Nikto2 [4]. Dabei han-
delt es sich um einen Perl-basierten Scanner,
der ebenfalls in Kali Linux enthalten ist. Die
Steuerung erfolgt auf der Konsolenebene.
Von der Zenmap-Ausgabe wissen Sie,
welche Ports auf welchen Systemen aus-
gefhrt werden. Diese Ergebnisse knnen gebungen stellt an einen Tester hohe An-
Sie fr das OpenStack-Dashboard verifi-
zieren. Der folgende Befehl scannt das
OpenStack-Dashboard, das auf der IP-
Adresse 192.168.1.1 ausgefhrt wird und
die Ports 80, 88 und 443 nutzt:
nikto -h 192.168.1.1 -p 80,88,443
Nikto 2 untersttzt verschiedene Testty-
pen. Neben einfachen Port-Abfragen kann
der Scanner Informationen ber das Ziel
Link-Codes eingeben auf www.it-administrator.de
abrufen, SQL- und XSS-Injection-Attacken
ausfhren, Dateien bertragen, Befehle
auf dem Zielsystem ausfhren und Au-
thentifizierungsmechanismen umgehen.
Die Auswahl des Testtyps erfolgt mit der
Option "-T". Das "T" steht fr "Tuning". Die
Option "-T" sorgt dafr, das nur spezifizierte
Tests ausgefhrt werden. Ein Beispiel:
nikto -h 192.168.1.1 -T 58
Die Tests werden durch die Angabe einer
Ziffer bestimmt. Der Testtyp "5" steht fr
den Test "Remote File Retrieval". Dieser
Test erlaubt Remote-Zugriffen die ber-
tragung von Dateien aus dem Webser-
ver-Root-Verzeichnis, fr die sie eigentlich
nicht die notwendigen Berechtigungen
besitzen. Der Wert "8" steht fr "Com-
mand Execution" beziehungsweise "Re-
mote Shell" und erlaubt die Ausfhrung
von Konsolenkommandos.
Wenn Sie nach der Option "-T" und der
Testauswahl die Option "x" angeben, wer-
den alle Tests negiert, die auf das "x"
folgen. Diese Vorgehensweise ist dann
sinnvoll, wenn ein Test verschiedene Ex-
ploit-Varianten berprfen soll:
nikto -h 192.168.1.1 -T 58xb
Die Ergebnisse, zu denen Nikto bei seinen
Tests kommt, lassen sich in verschiedene
Ausgabeformate schreiben. Neben Text-
dateien kann der Scanner auch CSV-,
HTML-, XML- und NBE-Dateien erzeu-
gen. Auch der Export nach Metasploit ist
mglich. Das Ausgabeformat bestimmen
Sie mit der Option "-Format".
Fazit
Das Penetration Testing von Cloud-Um-
forderungen. Je nach Art der Cloud-Va-
riante und des genutzten Services muss
ausgelotet und mit dem Cloud Solution
Provider abgestimmt werden, wer fr wel-
che sicherheitstechnischen Belange zu-
stndig ist. Erst dann, wenn Sie die Cloud
selbst betreiben und administrieren, kn-
nen Sie diese in Eigenregie eingehenden
Penetration Tests unterziehen vorzugs-
weise mit Kali Linux, dem Klassiker unter
den Pentest-Werkzeugen. (ln)
 33 %
MAGAZIN
Rabatt
TESTEN SIE JETZT 3 AUSGABEN FR 16,90
OHNE DVD 12,90

ABO-VORTEILE
Gnstiger als am Kiosk
Versandkostenfrei
bequem per Post
Telefon: 0911 / 9939 90 98 Pnktlich und aktuell
Fax: 01805 / 861 80 02 Keine Ausgabe verpassen
E-Mail: computec@dpv.de

Einfach bequem online bestellen: shop.linux-magazin.de

S ch we rp unk t Cloudian HyperStore

Aufbau einer AWS-Cloud mit Cloudian HyperStore

Die neue
Objektorientierung
von Jacco van Achterberg und Adam Dagnall

Die starke Zunahme unstrukturierter Daten fordert neue Mglichkeiten, Daten flexibel und
kostengnstig zu speichern. Mit Cloudian HyperStore lsst sich eine skalierbare Objektspeicher-
Plattform einrichten, mit der Daten sicher und mhelos zwischen ffentlichen und privaten Clouds
bewegt werden knnen. Wir zeigen, wie sich mit der kostenlosen Variante der Software eine
10 TByte groe AWS-kompatible Cloud im eigenen Rechenzentrum einrichten lsst.

loud- oder Objektspeicher ist ak-

C tuell praktisch gleichbedeutend mit
"Amazon Simple Storage Service" kurz
S3. AWS und seine S3-API haben einen
doppelt so groen Marktanteil wie alle

Qu
elle
seine wichtigen Wettbewerber zusammen

:
belch
und die S3-API schickt sich an, auch bei

onock 123
Private- und Hybrid-Clouds die Plattform
der Wahl zu werden. Fast jede Anwen-

RF
dung kann eine Verbindung zu S3 her-
stellen, und die meisten Storage-Anbieter
haben bereits mitgeteilt, dass sie die S3-
API untersttzen oder an einer Unterstt-
zung arbeiten. Nicht nur von Amazon,
sondern auch von Mitbewerbern gibt es
eine Reihe von Storage-Implementierun-
gen als ffentliche Cloud. Hierzu gehren
Google Cloud Storage, OpenStack Swift,
Rackspace Cloud Files und auch sie wer-
den als S3-kompatibel vermarktet.

Der Aufstieg von S3 hat auch zu einer um-

fassenderen Verwendung von Objekt-Spei-
cher gefhrt. Bis dahin hatten nur einige
der weltweit grten Internetkonzerne wie
Facebook, Netflix, Dropbox oder Twitter
auf Objektspeicher gesetzt, um ihre enor-
men Datenmengen effektiv zu speichern.
Mittlerweile nutzen auch solche Unter-
nehmen vermehrt Objektspeicher, die eine
groe Anzahl Applikationen verwenden,
die unstrukturierte Daten produzieren,
wie Fotos und Videos, aber auch Unter-
nehmensbackups und -archive, Datenana-
lysen, Private Cloud und EFSS-Lsungen
(Enterprise File Share and Sync).
Die starke Abhngigkeit zwischen S3 und
Objektspeicher zwingt Unternehmen, die
in Cloud-Technologie investieren wollen,
sei es Public, Private oder Hybrid Cloud,
sich die Fhigkeiten ihrer Speicheranbie-
ter in Sachen S3 etwas genauer anzuse-
hen, da eine volle Kompatibilitt tatsch-
lich nicht immer gewhrleistet ist.
Kompatibilitt ist das A und O
In Sachen Kompatibilitt mit S3 gilt es zu
verstehen, dass es unterschiedliche Ebe-
nen von Kompatibilitt zu S3 gibt und
ein Speicheranbieter unter Umstnden
nur eine rudimentre Implementierung
vorweisen kann, was die Migration von
Daten zwischen AWS und einer Private
Cloud sogar unmglich machen kann.
Die richtige Plattform von Beginn an zu
whlen kann dabei helfen, Kosten und
Zeit zu sparen. Eine Plattform mit einer
nur rudimentren Implementierung der
S3-API limitiert frher oder spter die
Mglichkeiten, Objektspeicher vollauf zu
nutzen. Da es jedoch keinen wirklichen
Standard der S3-Kompatibilitt gibt, kann
die Wahl einer Speicherplattform deutlich
komplexer sein, als es Speicheranbieter

68 Juli 2016 www.it-administrator.de


mit Produkten limitierter Kompatibilitt
zugeben wrden.
Die Ebene der Kompatibilitt einer Spei-
cherplattform mit S3 misst sich daran,
wie viele der neun einfachen, 18 mig
komplizierten und 24 komplexen Ope-
rationen die Plattform untersttzt. Oft
bedeutet dies, dass ein Hersteller eine
Plattform als "S3-kompatibel" anpreist,
obwohl sie nur die einfachen neun der 51
Operationen untersttzt. Tatschlich
erkennt der IT-Verantwortliche beim ge-
nauen Hinsehen, dass die meisten Her-
steller nur einen sehr einfachen "S3-Con-
nector" zur S3-API verwenden, der nicht
einmal alle der 18 moderat komplexen
Operationen untersttzt, und nur sehr
wenige Hersteller eine hundertprozentige
Kompatibilitt mit allen Operationen ga-
rantieren, also auch den komplexen.
Dies ist natrlich ein Problem fr Unter-
nehmen und Software-Entwickler, die da-
rauf setzen, dass ihre Applikationen mit
S3 kompatibel sind und nahtlos mit der
Cloud zusammenarbeiten, egal ob auf den
Servern von AWS oder im heimischen
Rechenzentrum. Wer nicht direkt auf
AWS setzen will, und dafr kann es zahl-
reiche Grnde geben, muss also eine Spei-
cherplattform whlen, die weit entwickel-
te, wenn nicht gar umfassende Kom-
patibilitt mit der S3-API bietet. Nur dann
ist sichergestellt, dass jegliche Strategie
und alle Anwendungen auch in der Zu-
kunft reibungslos funktionieren.
Software-definierte Speicherplattformen
(SDS), die die Einrichtung von sowohl
Private, Public oder Hybrid Clouds bieten,
eignen sich hinsichtlich Flexibilitt und
Kosten am besten fr Cloud Computing.
SDS abstrahiert Speicherdienste und
Funktionen von der darunter liegenden
Hardwareebene, ist einfach skalierbar, wi-
derstandsfhig, hochverfgbar und min-
dert die Komplexitt im Rechenzentrum.
Mit SDS knnen Unternehmen die Ver-
wendung von Amazon S3 in ihren eige-
nen Rechenzentren de facto nachstellen.
Auch deshalb ist es fr IT-Verantwortliche
von Vorteil, sich nach SDS-basierten Ob-
jektspeicher-Plattformen umzusehen, und
da ist die Liste der verfgbaren Lsungen
sehr kurz.
www.it-administrator.de
Bild 1: Eine zukunftssichere Speicherplattform sollte mit allen 51 Operationen der S3-API kompatibel sein.
Cloudian HyperStore
Cloudian HyperStore [1] bietet ein mit
S3 kompatibles Objektspeichersystem
der Enterprise-Klasse auf kostengns-
tigen Servern von der Stange. Hyper-
Store ist mandantenfhig und kann dank
zahlreicher Schnittstellen viele Anwen-
dungen auf ein und derselben Plattform
untersttzen. Es bietet eine vollstndig
mit S3 kompatible API, die alle 51 S3-
Funktionen abdeckt. Die volle S3-Kom-
patibilitt bedeutet, dass Hunderte von
S3-Anwendungen ohne Einrichtungs-
aufwand sofort untersttzt werden.
HyperStore lsst sich auf vorhandener
Hardware installieren oder als Appliance
von Cloudian oder Hardware-Partnern
wie Lenovo vorinstalliert erwerben. In
beiden Fllen kombiniert sie robuste
Verfgbarkeit mit Funktionen fr das
Systemmanagement, die Datenverwal-
tung und Berichterstellung. Zahlreiche
Funktionen werden untersttzt, darun-
ter Hybrid-Cloud-Streaming, virtuelle
Knoten, konfigurierbares Erasure
Coding sowie Komprimierung und Ver-
schlsselung von Daten. Hinzu kommen
die hchst effiziente Speicherung und
das nahtlose Datenmanagement, die es
den Anwendern ermglichen, ihre Da-
ten weltweit mit nur einem einzelnen
globalen Namespace zu speichern.
Cloudian HyperStore Schwerpunkt
Die Verwendung von Cassandra als de-
zentrale Daten-Engine fr Indizes (Me-
tadaten) erlaubt die Steuerung des Da-
tenlayouts und der Konsistenzebenen fr
Daten in einzelnen Rechenzentren oder
rechenzentrumsbergreifend. Um die
Ausfallsicherheit der Daten sicherzustel-
len, untersttzt HyperStore sowohl die
Replikation als auch das Erasure Coding
auf ein und derselben Plattform, sodass
Kunden ihre Daten zu optimalen Kosten
absichern knnen.
Kostenlos zum
S3-kompatiblen Objektstorage
Cloudian stellt mit der Community Edi-
tion, die sich auf jeder gewhnlichen Hard-
ware installieren lsst, eine kostenlose Ver-
sion mit vollstndigem Funktionsumfang
zur Verfgung. Sie ist kostenfrei fr bis zu
10 TByte Speicherkapazitt nutzbar. Fak-
tisch bedeutet dies, dass Sie mit der pas-
senden Hardware und Cloudian Hyper-
Store Ihre eigene AWS-Cloud im eigenen
Rechenzentrum aufbauen knnen.
Die passende Hardware hat dabei die fol-
genden Mindestanforderungen, die auf
jedem der mindestens drei Knoten erfllt
sein mssen:
- Intel-kompatible Hardware
- 1 CPU mit mindestens 8 Kernen und
2,4 GHz
Juli 2016 69
S ch we rp unk t Cloudian HyperStore

- 32 GByte Arbeitsspeicher
- Festplatten (12 2-TByte-HDD, 2 250-
GByte-SSD also 12 Laufwerke fr Da-
ten, zwei Laufwerke fr BS/Metadaten)
- Empfohlen wird RAID-1 fr BS/Meta-
daten, JBOD fr die Datenlaufwerke
- Netzwerk mit 1-GBit-Anschluss
Damit Sie den Ausfall von Laufwerken
erfolgreich testen knnen, wird empfoh-
len, dass Sie jedem Knoten mehrere un-
abhngige Festplatten fr HyperStore-
Daten zuweisen. Das Betriebssystem
sollten Sie auf einem gespiegelten Volume
(RAID-1-Volume) mit zwei SSD-Lauf-
werken installieren. Auerdem sollte auf
jedem Knoten sowohl eine Schnittstelle
fr ein privates als auch fr ein ffentli-
ches Netzwerk verfgbar sein. Das System
kann zwar mit DNSMAQ installiert wer-
den, wir empfehlen aber dringend, DNS
und einen Loadbalancer vorkonfiguriert
bereitzuhalten. Um im Interesse der Ver-
fgbarkeit und Performance mehrere
Netzwerkkarten einzusetzen, steht weitere
Dokumentation [2] zur Verfgung. Darin
wird erlutert, wie Sie das NIC-Bonding
mit ALB konfigurieren, bevor Sie das Hy-
perStore-Paket installieren.
ein HyperStore-System zu installieren und
seine anfngliche Konfiguration durch-
zufhren. Indem Sie das Skript auf einem
einzelnen Knoten ausfhren, lsst sich
die HyperStore-Software sowohl lokal auf
diesem Knoten als auch remote auf an-
deren Knoten installieren. Fr das Instal-
lationsskript muss OpenSSH (1.0 oder
hher) auf dem Host, auf dem Sie das Hy-
perStore-Installationsskript ausfhren
mchten, und auf allen Hosts, auf denen
Sie die HyperStore-Software installieren
mchten, installiert sein. Zustzlich spie-
len Sie die Pakete "bc" und "bind-utils"
auf den Host auf, auf dem Sie das Instal-
lationsskript ausfhren mchten.
Hinsichtlich des Dateisystems auf Hosts mit
mehreren Festplatten ist es mglich, die Me-
tadaten des HyperStore-Services (die in
Cassandra und Redis gespeichert werden)
auf die Festplatte zu schreiben, auf der sich
das Betriebssystem befindet. Es empfiehlt
sich, fr das Laufwerk mit dem Betriebs-
system und den Metadaten eine RAID-1-
Spiegelung zu verwenden und somit ins-
gesamt zwei Laufwerke fr das Betriebssys-
tem und die Metadaten zu nutzen. Forma-
tieren Sie alle anderen verfgbaren Lauf-
werke mit dem EXT4-Dateisystem. Diese
Festplatten kommen fr die S3-Objektdaten
zum Einsatz, RAID ist fr diese Laufwerke
nicht erforderlich. Richten Sie beispielsweise
auf einem Computer mit zwlf HDDs auf
zwei der Festplatten eine Spiegelung fr das
Betriebssystem ein. Formatieren Sie dann
die anderen zehn Platten mit einem EXT4-
Dateisystem und konfigurieren Sie die
Mount-Punkte als "/cloudian1", "/cloudi-
an2", "/cloudian3" und so weiter.
Installieren Sie HyperStore auf Hosts mit
mehreren Laufwerken, mssen Sie dabei
eine Liste von Laufwerkgerten und ent-
sprechenden Mount-Punkten fr den S3-
Objektspeicher bereitstellen, die wie folgt
formatiert ist:
/dev/sdc1 /cloudian1
/dev/sdd1 /cloudian2
/dev/sde1 /cloudian3
...

Nachdem Sie sich auf der Cloudian-Web-

site fr die Testversion [3] registriert ha-
ben, wird die HyperStore-Software als
BIN-Datei bereitgestellt, die auf jedem
Computer mit Linux CentOS 6.X instal-
liert werden kann, oder als ISO-Datei zur
Installation auf einer virtuellen Maschine.
Die Installation von HyperStore verluft
in vier Schritten:
1. Vorbereiten des Hosts
2. Vorbereiten des Netzwerks
3. Installieren der HyperStore-Software
4. Test der Management-Konsole

Den Host vorbereiten

Bei der Vorbereitung des Hosts spielt zu-
nchst das Betriebssystem eine Rolle. Hy-
perStore 5.2.2 wird nur von den folgenden
Linux-Versionen untersttzt: Red Hat En-
terprise Linux (RHEL) 6.x 64-Bit sowie
CentOS 6.x 64-Bit. Cloudian empfiehlt
die Verwendung von Version 6.6 oder ei-
ner hheren 6.x-Version.

Das Installationsskript stellt eine einfache, Bild 2: Mit HyperStore-Speicherrichtlinien verwalten

hoch automatisierte Mglichkeit bereit, und schtzen Sie Objektdaten und Objekt-Metadaten von S3.

70 Juli 2016 www.it-administrator.de

Speichern Sie diese Dateisystemliste in einer Textdatei, der Sie
den Namen "fslist.txt" geben. Diese Textdatei verwenden Sie
als Eingabe fr das HyperStore-Installationsskript. Weitere In-
formationen zu dieser Datei finden sich in der detaillierten Ver-
sion der Installationsanweisung [4], insbesondere in Schritt 5.

Vorbereiten des Netzwerks

Verwenden Sie fr alle Hosts, auf denen Sie HyperStore in-
stallieren, Hostnamen, die keine Grobuchstaben, sondern
nur Kleinbuchstaben enthalten und nicht "localhost" lauten
drfen. Um dies zu berprfen, geben Sie am Linux-Prompt
hostname ein und vergewissern Sie sich, dass der Befehl nicht
"localhost" zurckgibt.

Darber hinaus darf den Hosts in "/etc/ hosts" nicht die Loop-
back-Adresse (127.0. 0.1) zugeordnet sein. Um dies zu berprfen,
sehen Sie sich den Inhalt von "/etc/ hosts" an. Im folgenden Bei- ITK Consulting & Training
spiel ist der Hostname "cloudian-machine" der IP-Adresse
10.0.1.20 zugeordnet, nicht der Loopback-Adresse:

root# cat /etc/hosts

Cloud Services & SDN
127.0.0.1 localhost localhost.
localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 Technologie-Know-how
localhost6.localdomain6
10.0.1.20 cloudian-machine Cloud Computing I
Vom Vertragsrecht bis zum Marktberblick (3 Tage)
Auch bentigt der Host unbedingt eine zugewiesene statische
Cloud Computing II
IPv4-Adresse. Verwenden Sie nicht DHCP und IPv6! Um sich
Cloud-Infrastrukturen und Cloud Security (4 Tage)
zu vergewissern, dass fr einen Host nicht DHCP verwendet
wird, sehen Sie im Inhalt von "/etc/sysconfig/network- Cloud BootCamp
scripts/ifcfg-eth0" nach, ob "BOOTPROTO=none" ist: Prozesse, Infrastruktur, Security und Marktberblick (5 Tage)
Plattformen fr OpenStack
root# cat /etc/sysconfig/ Die Bestandteile im Detail (4 Tage)
network-scripts/ifcfg-eth0 OpenStack
DEVICE=eth0 Implementierung und Betrieb (5 Tage)
BOOTPROTO=none
Network Functions Virtualization
Dream Team mit SDN und OpenStack (2 Tage)
Hinweis: Wenn Sie ein anderes Netzwerk-Schnittstellengert
als "eth0" verwenden, berprfen Sie die Datei "ifcfg-Schnitt- Software-Defined Networking
stelle" fr die Schnittstelle, die Sie verwenden, um sich zu ver- Konzepte und Implementierungen (3 Tage)
gewissern, dass "BOOTPROTO=none" festgelegt ist. Software-Defined Data Center
Konzepte und Implementierungen (2 Tage)
In einem HyperStore-Cluster mssen alle Hosts dieselbe Netz-
Programmieren fr Netzwerker
werk-Schnittstelle verwenden. Nutzen Sie beispielsweise "eth0" Eine praxisorientierte Einfhrung (5 Tage)
sowohl fr die interne als auch fr die externe Kommunika-
tion, mssen alle HyperStore-Hosts eine eth0-Schnittstelle
besitzen. Kommt "eth0" fr die externe Kommunikation und ... und alles mit garantierten Kursterminen!
"eth1" fr die clusterinterne Kommunikation zum Einsatz, ist
fr alle HyperStore-Hosts eine eth0- und eine eth1-Schnittstelle
erforderlich.

Bei der HyperStore-Installation werden Sie aufgefordert, den

Namen einer dedizierten internen Netzwerk-Schnittstelle
anzugeben, falls eine solche fr Ihre Hostcomputer verfgbar
ist. Die folgenden Services verwenden diese interne Netz-
Fordern Sie unseren
aktuellen Trainingskatalog an!
www.it-administrator.de www.experteach.de Tel. 06074 4868-0
S ch we rp unk t Cloudian HyperStore
Bild 3: Das Anlegen eines neuen Benutzers ist schnell erledigt.
werk-Schnittstelle fr die clusterinterne
Kommunikation:
- Redis Credentials-Service und Redis
QoS-Service
- Cassandra-Service
- HyperStore-Service
- Admin-Service
Stellen Sie die von diesen Services ver-
wendete Netzwerk-Schnittstelle nicht f-
fentlich zur Verfgung, ohne den Port-
Zugriff ber einen Loadbalancer oder
eine Firewall einzuschrnken. Die einzi-
gen Services, die Sie fr das externe Netz-
werk verfgbar machen sollten, sind:
- S3-Service: Port 80 (HTTP) und 443
(HTTPS)
- Cloudian Management-Konsole: Port
8888 (HTTP) und 8443 (HTTPS)
Die vollstndige Liste der Listening-Ports,
die von HyperStore-Komponentenser-
vices verwendet werden, finden Sie im
detaillierten Installationshandbuch.
Wenden wir uns nun der Einrichtung von
DNS zu. Damit HyperStore ordnungsge-
m funktioniert, mssen die Endpunkte
des HyperStore-Services aufgelst werden
knnen. Sie haben zwei Optionen, um End-
punkte des HyperStore-Services auflsbar
zu machen: Das HyperStore-Produktpaket
enthlt das schlanke Open-Source-Dienst-
programm "dnsmasq" fr die Domnen-
auflsung. Bei der Ausfhrung des Hyper-
Store-Installationsskripts wird dnsmasq
standardmig installiert und automatisch
so konfiguriert, dass alle Endpunkte des
HyperStore-Services aufgelst werden. Bei
72 Juli 2016
Verwendung dieser Option sind keine wei-
teren Aktionen in Bezug auf DNS erfor-
derlich, sie ist jedoch nicht fr Produkti-
onsumgebungen geeignet. Sie kann jedoch
ntzlich sein, wenn Sie nur einen oder ei-
nige wenige HyperStore-Knoten installie-
ren, um einfache Tests und eine erste Eva-
luierung des Systems durchzufhren.
Alternativ konfigurieren Sie auf Ihren
Nameservern DNS-Eintrge fr die End-
punkte des HyperStore-Services. Diese
Methode wird fr Produktionsumgebun-
gen oder fr eine grndliche Evaluierung
empfohlen. Starten Sie in diesem Fall das
HyperStore-Installationsskript mit der
Option "no-dnsmasq", damit dnsmasq
auf dem System nicht installiert und ver-
wendet wird.
Eine vollstndige Tabelle der DNS-Ein-
trge, die Sie auf Ihren Nameservern kon-
figurieren mssen, um Endpunkte des
HyperStore-Services aufzulsen, finden
Sie im Installationshandbuch. Standard-
mig leitet das HyperStore-System diese
Endpunkte von der Top-Level-Domain
ab, die Sie whrend der Ausfhrung des
interaktiven HyperStore-Installationspro-
gramms angeben.
HyperStore installieren
Zur standardmigen Neuinstallation von
HyperStore auf einem oder mehreren
Knoten, die alle gleich viele Mount-Punk-
te fr die S3-Objektdatenspeicherung ha-
ben, whlen Sie zunchst einen Ihrer Hy-
perStore-Hosts als Puppet-Masterknoten
aus. Von dort aus verwalten Sie die In-
stallation und die fortlaufende Konfigu-
ration des Clusters. Melden Sie sich nun
auf dem Puppet-Masterknoten als "root"
an und erstellen Sie ein Staging-Verzeich-
nis fr die Installation (beispielsweise
"/home/CloudianPackages"). Dort hinein
kopieren Sie das HyperStore-Softwarepa-
ket und -Lizenzdatei. Dann wechseln Sie
in das Staging-Verzeichnis und fhren
den folgenden Befehl aus:
root# ./CloudianHyperStore-5.2.2.bin
Lizenzdateiname
Sofern Ihre Hosts ber mehrere Festplat-
ten verfgen und Sie die reine Software-
version von HyperStore installieren, er-
stellen Sie im Staging-Verzeichnis eine
Datei mit dem Namen "fslist.txt". Geben
Sie in die Datei eine Zeile fr jeden Ihrer
Mount-Punkte fr das S3-Datenverzeich-
nis im Format "Gert Mount-Punkt" ein.
Unabhngig von der Anzahl der Festplat-
ten fahren alle Installationen nun mit dem
Erstellen einer Datei mit dem Namen
"survey.csv" im Staging-Verzeichnis fort.
Geben Sie in der Datei eine Zeile fr je-
den HyperStore-Host im Cluster im fol-
Ntzliche S3-Anwedungen
Es gibt Hunderte von S3-Anwendungen, die
mit HyperStore-Bereitstellungen kompatibel
sind. Die beliebtesten S3-Anwendungen und
ihre Einsatzszenarien sind:
- Cloudberry Explorer: Ein Windows-Tool fr
die mhelose Verwaltung von Dateien in
Amazon S3 und HyperStore. Cloudberry
stellt auerdem zahlreiche Unternehmens-
und Desktop-Produkte zur Verfgung.
- Cyberduck: Ein Browser fr FTP, SFTP,
WebDAV und Cloud-Storage fr Mac und
Windows.
- S3CMD: Befehlszeilen-Tool fr die Arbeit
mit Dateien in Amazon S3 und HyperStore.
- Cloud Explorer: Dieses Tool ist hilfreich, um
Performance-Tests auszufhren und die er-
weiterten Funktionen von HyperStore ken-
nenzulernen.
- AWS Java SDK: Die offizielle Java-Bibliothek
von Amazon fr Amazon-Services, die auch
mit Cloudian HyperStore verwendet werden
kann.
- AWS Python SDK: Die offizielle Python-Bi-
bliothek von Amazon fr Amazon-Services.
www.it-administrator.de

genden Format ein: Der Regionsname
muss aus Kleinbuchstaben ohne Punkte,
Bindestriche, Unterstriche oder Leerzei-
chen bestehen. Rechenzentrums- und
Rackname drfen keine Punkte, Unter-
striche oder Leerzeichen enthalten:
Regionsname,Hostname,IPv4-Adresse,
Rechenzentrumsname,Rackname
Zum Beispiel:
tokyo,cloudian-
node1,10.10.2.1,DC1,RAC1
Nun starten Sie im Staging-Verzeichnis
das Installationsprogramm:
root# ./cloudianInstall.sh -s
survey.csv [no-dnsmasq]
Verwenden Sie die Option "no-dnsmasq"
nur dann, wenn Sie Ihre DNS-Umgebung
so konfiguriert haben, dass HyperStore-
Servicedomnen so aufgelst werden wie
zuvor beschrieben. Fhren Sie ber das
Men des Installationsprogramms die
Aufgabe "Install Cloudian HyperStore"
aus. Whrend dieser interaktiven Aufgabe
mssen Sie Informationen zur gewnsch-
ten HyperStore-Bereitstellung angeben.
Klicken Sie nach Abschluss der Installa-
tion im Men des Installationsprogramms
auf "Cluster Management" und im nun
angezeigten Untermen auf "Run Valida-
tion Tests", um zu berprfen, ob das
System funktionsfhig ist.
Lassen Sie nach der Installation und der
berprfung das Staging-Verzeichnis aus
der Installation auf dem Puppet-Master
unverndert, solange Ihr HyperStore-Ser-
vice vorhanden ist. Die "Cloudian Manage-
Link-Codes
[1] HyperStore-Webseite
G7Z71
[2] HyperStore-Dokumentation
G7Z72
[3] Download der kostenlosen
HyperStore-Variante
G7Z73
[4] HyperStore-Installationsanweisung
G7Z74
Link-Codes eingeben auf www.it-administrator.de
ment Console" (CMC) fhrt in diesem
Verzeichnis Skripte aus, die bestimmte
Clustervorgnge untersttzen.
Test der Management-Konsole
Sobald das HyperStore-System installiert
und einsatzbereit ist, knnen Sie die Clou-
dian Management Console verwenden,
um mit dem Service zu experimentieren
und seine Funktionalitt zu testen. Navi-
gieren Sie zunchst im Browser zu "http://
IP-Adresse_des_CMC-Hosts:8888/ Clou-
dian". Die Verbindung wechselt automa-
tisch auf SSL und Sie erhalten eine Zerti-
fikatswarnung. Befolgen Sie die Eingabe-
aufforderungen, um eine Ausnahme fr
das Zertifikat hinzuzufgen und es zu ak-
zeptieren. Nun sollte der CMC-Anmelde-
bildschirm angezeigt werden. Hier melden
Sie sich als Systemadministrator mit der
Benutzer-ID "admin" und dem Standard-
kennwort "public" an. Halten Sie in der
CMC oben rechts den Mauszeiger ber
Ihre Benutzer-ID (admin), wird ein Drop-
downmen angezeigt. Klicken Sie darin
auf "Security Credentials", um das Fenster
"Sign-In Credentials" zu ffnen. ndern
Sie im Interesse der Sicherheit das System-
administrator-Kennwort.
Klicken Sie auf die Registerkarte "Cluster",
dann auf "Storage Policies" und dann auf
"Create Storage Policy", ffnet sich das
entsprechende Fenster. Hier erstellen Sie
eine erste Standard-Speicherrichtlinie fr
Ihr System. Eine Speicherrichtlinie ist eine
Methode, um Objektdaten und Objekt-
Metadaten von S3 zu speichern und zu
schtzen. Geben Sie fr "Group Visibility"
keinen Wert an, sodass diese Richtlinie
fr alle Gruppen sichtbar ist. Sie knnen Unternehmen wird dazu fhren, dass auch
diese Richtlinie zu einem spteren Zeit-
punkt bearbeiten, zustzliche Richtlinien
erstellen und auf Wunsch eine andere
Richtlinie als Standardrichtlinie des Sys-
tems festlegen. Bentigen Sie Hilfe zur
Erstellung von Speicherrichtlinien, klicken
Sie an der CMC-Benutzeroberflche oben
rechts auf "Hilfe".
ffnen Sie die Registerkarte "Users &
Groups", um eine gewhnliche Benut-
zeranmeldung fr den S3-Service zu er-
stellen, mit der Sie die S3-Objektspei-
cherservices des Systems testen knnen.
Dabei kann die Systemadministrator-
Cloudian HyperStore Schwerpunkt
rolle nicht ber ihren eigenen Account
fr den S3-Speicherservice verfgen.
Jetzt klicken Sie auf "Manage Groups /
New Group", um das Fenster "Add New
"zu ffnen, wo Sie eine neue Benutzer-
gruppe anlegen.
Anschlieend navigieren Sie zu "Manage
Users / New User", um das Fenster "Add
New User" zu ffnen. Erstellen Sie einen
neuen gewhnlichen Benutzer und weisen
Sie ihn der Benutzergruppe zu, die Sie im
vorigen Schritt erstellt haben. Notieren
Sie sich den Gruppennamen, die Benut-
zer-ID und das Kennwort des Benutzers.
Jetzt melden Sie sich von der CMC ab
und melden Sie sich dann als der neu er-
stellte Benutzer an. An der CMC wird
nun das Fenster "Buckets & Objects" an-
gezeigt. Hier sollten Sie das System ein
wenig ausprobieren, in dem Sie beispiels-
weise einen neuen Speicher-Bucket er-
stellen. Dies ist erforderlich, bevor Sie
Objekte hochladen. Erstellen Sie im Bu-
cket einen Ordner, ffnen diesen und la-
den Sie eine Datei in ihn hoch. Abschlie-
end laden Sie die Datei herunter, indem
Sie auf den Dateinamen klicken.
Fazit
Die grte Herausforderung bei SAN/
NAS-Systemen ist die Skalierbarkeit in Sa-
chen Kapazitt, Leistung und Kosten. NAS
kann im Normalfall keine Multi-PByte-
Umgebungen kosteneffizient und benut-
zerfreundlich verwalten. SANs knnen
ebenfalls komplex im Management werden,
vor allem mit einem separaten Filesystem.
Doch das rasche Datenwachstum in den
eine breitere Anzahl von IT-Organisationen
sich mit dem Thema der objektorientierten
Datenspeicherung beschftigt. Mit Hyper-
Store in der freien Edition haben Sie ein
Werkzeug, sich in dieser neuen Welt um-
zusehen. Wir haben gesehen, dass der Auf-
bau einer solchen Storage-Infrastruktur re-
lativ einfach auf Hardware von der Stange
mglich ist. Und auch eine der wichtigsten
Anfoderungen der Cloud-Welt ist gegeben:
die volle S3-Kompatibilitt. (jp)
Jacco van Achterberg ist Sales Director
EMEA und Adam Dagnall ist Solutions
Architect bei Cloudian.
Juli 2016 73
CloudForms & ManageIQ
Management
mit IQ
von Martin Loschwitz
ManageIQ verspricht Admins die effiziente
Verwaltung von virtuellen Umgebungen.
Als Bestandteil von CloudForms vermarktet
Red Hat ManageIQ auch kommerziell.
Ein berblick ber die Mglichkeiten,
die die Software bietet.
irtualisierung ist im Admin-All-
V tag ein absolutes Standardwerk-
zeug. Neben quelloffenen Lsungen wie
KVM oder Xen buhlen auch kommer-
zielle Werkzeuge wie VMware um die
Gunst der Nutzer. Hinzu gesellt sich eine
Heerschar von Werkzeugen, die allesamt
die Nutzung einer dieser Virtualisierungs-
methoden einfacher machen sollen. Dazu
gehren auch die Cloud-Plattformen wie
OpenStack oder CloudStack.
Solange Admins nur mit einer der be-
schriebenen Lsungen zu tun haben, ist
die Situation entspannt: Dann erledigen
sie alle notwendigen Arbeiten ber ein
Frontend und haben eine zentrale Steuer-
stelle. Wer allerdings mehrere Anstze mit-
einander kombinieren will oder muss, sieht
sich mit vielen Lsungen und unterschied-
lichen Konfigurationsschnittstellen kon-
frontiert. Perfekt ist das Chaos, wenn pri-
vate Cloud-Umgebungen und ffentliche
Clouds hinzukommen dann multipliziert
sich der Aufwand. Fr Admins, die dieses
Problem nervt, stellt Red Hat die Software
ManageIQ und als kommerzielle Variante
CloudForms zur Verfgung: ManageIQ
ist ein zentrales Konfigurationswerkzeug,
das unter der einheitlichen Oberflche ei-
nes Programms das Steuern von Virtuali-
74 Juli 2016
sierung auf vielen verschiedenen Plattfor-
men ermglicht.
Der Admin nutzt also stets das gleiche
Interface und ManageIQ sorgt dafr, dass
im Hintergrund die ntigen Arbeitsschrit-
te auf Plattformen wie VMware oder
OpenStack stattfinden. Auch um platt-
formbergreifende Automatisierung und
das Lifecycle-Management von virtuellen
Instanzen kmmert sich ManageIQ. Die-
ser Artikel zeigt, was sich mit dem Tool
bewerkstelligen lsst.
Die Architektur der Plattform
Red Hat vermarktet sein Produkt als "Ma-
nagement-Zentrale fr virtuelle Umge-
bungen". Kern der Lsung ist eine eigene
Appliance, die Administratoren sich in
Form einer fertigen virtuellen Maschine
direkt von der ManageIQ-Projektwebsite
herunterladen [1]. Zur Verfgung stehen
neben Abbildern fr KVM und Hyper-V
auch Images fr die Nutzung in Open-
Stack. Die Einstiegshrde fr ManageIQ
ist also niedrig.
Die Appliance enthlt als zentrale Kom-
ponente die ManageIQ-Engine, die alle
Befehle entgegennimmt und verarbeitet.
Dazu gesellt sich die "Virtual Manage-
Qu
ell
e:
ma
ck
ofl
ow
er
1
23
RF
ment Database" (VMDB), in der Mana-
geIQ smtliche Laufzeit- und Konfigura-
tionsdaten ablegt. Sie luft auf einem se-
paraten Host oder zusammen mit der
Engine auf dem gleichen System.
Eine Komponente namens "SmartProxy"
fungiert als Brcke zwischen virtuellen
Umgebungen und ManageIQ: Das Pro-
gramm funktioniert als Agent und sam-
melt vor Ort die Daten ein, die anschlie-
end in der ManageIQ-Datenbank lan-
den und dort von der Engine-Appliance
weiterverarbeitet werden. Es setzt auch
die Befehle um, die die ManageIQ-Ap-
pliance fr eine spezifische Umgebung
vorgibt. Weil die ManageIQ-Appliance
selbst keine eigene Server-Komponente
hat, kommt noch der "Appliance-Server"
hinzu. Er ist direkt mit der ManageIQ-
Engine verbunden und erlaubt die Kom-
munikation dieser mit den SmartProxies
und der VMDB.
Kernfunktionalitt
Die Management-Engine selbst bietet di-
verse Funktionen, die sich grob in vier
Kategorien aufteilen lassen. Da ist zu-
nchst die Kategorie, die sich um das Be-
obachten konfigurierter Umgebungen
kmmert: Sie interpretiert verschiedene
www.it-administrator.de

Bild 1: Die ManageIQ-Appliance lsst sich problemlos innerhalb einer Cloud betreiben,
solange sie per Netz ihre Ziel-Umgebungen erreicht.
Werte im Bezug zur Auslastung, zur Nut-
zung und zur Verfgbarkeit von Accounts
in virtuellen Umgebungen. Eine Analy-
se-Komponente hilft dabei, die Nutzung
besser zu planen. Dazu verwendet sie Re-
port-Daten, die ManageIQ ebenfalls von
selbst sammelt und auswertet. Fr das
Einsammeln dieser Daten ist der erwhn-
te SmartProxy zustndig.
Hinzu kommt ein ganzer Satz an Funktio-
nen, um virtuelle Umgebungen zu steuern.
Neben dem Starten und Stoppen virtueller
Systeme gehrt dazu das berwachen von
sicherheitsrelevanten Aspekten sowie die
Alarmierung im Notfall. Auch hier trifft
wiederum das Engine die eigentliche Ent-
scheidung und der SmartProxy ist im An-
schluss dafr zustndig, diese auf der je-
weiligen Zielplattform zu verwirklichen.
In Sachen Automatisierung und Orches-
trierung mischt ManageIQ ebenfalls mit.
In virtuellen Umgebungen lassen sich
VMs also nicht nur starten, sondern
gleich auch so automatisiert herrichten,
dass sie fr ihren spteren Einsatzzweck
zu gebrauchen sind.
Der vierte Themenkomplex beschftigt
sich mit der Integration in andere Systeme
oder Prozesse: ber verschiedene Ma-
nageIQ-Schnittstellen lsst sich die Lsung
in vorhandene Ablufe einbauen und zum
Teil auch von Diensten, die nicht zu Ma-
nageIQ gehren, steuern und verwalten.
Erste Schritte in der Praxis
Die etwas abstrakte Beschreibung wird
verstndlicher, wenn Sie sich mit Ma-
www.it-administrator.de
nageIQ praktisch beschftigen. Red Hat
bietet die Software als fertige Appliance
in mehreren Formaten zum Download
an; etwa als OVA-Image fr den Betrieb
in VirtualBox oder als Qcow2-Container
fr OpenStack. Die Herangehensweise ist
immer die gleiche: Nach dem Download
des gut 1,6 GByte groen Images steht
der Import desselben in die gewhlte Vir-
tualisierungslsung an.
Nach dem Start einer VM auf Basis des
Images und dem Zuweisen einer ffent-
lichen oder privaten IP-Adresse ist das
Einloggen mglich. Der Benutzername
lautet in der Standardkonfiguration "ad-
min" und das Passwort "smartvm". Frei-
lich sollte der erste Schritt nach dem Start
der ManageIQ-Appliance darin liegen,
das Passwort zu ndern.
Der Men-Eintrag, ber den sich das Pass-
wort ndern lsst, versteckt sich in Ma-
nageIQ allerdings an nicht ganz intuitiver
Stelle. Hier merkt der Admin zum ersten
Mal, dass ManageIQ eben nicht nur eine
GUI fr die Verwaltung mehrerer VMs in
Virtualisierungsumgebungen ist, sondern
ein komplettes Framework fr das Deploy-
ment von VMs: ber "Settings / Configu-
rations" im Auswahlmen auf der linken
Seite gelangen Sie zum "Access Control"-
Men, in dem sich der Nutzer "admin"
auswhlen lsst. Ein Klick auf "Configu-
ration / Edit this User" fhrt zur Maske
fr die Eingabe eines neuen Passworts.
ManageIQ konfigurieren
Neben der Verbindung per Webbrowser
steht auch der Login per SSH bereit. Im
CloudForms & ManageIQ Schwerpunkt
Anschluss an den Login erscheint ein
Auswahlmen, ber das sich verschiedene
Parameter von ManageIQ steuern lassen
etwa die Uhrzeit oder der Hostname,
den ManageIQ nutzt. Wer eine spezielle
Netzwerkkonfiguration bentigt, damit
das Webinterface berhaupt erreichbar
wird, tut das ebenfalls per SSH ber die
Kommandozeile. Die Konfiguration des
"admin"-Nutzers und mithin dessen Pass-
wort lassen sich jedoch ausschlielich per
Webinterface verndern.
ManageIQs interne
Nutzerverwaltung
ManageIQ bringt ein vollstndiges User
Management mit. Es lsst sich also dezi-
diert festlegen, welcher Nutzer welche
Funktionen verwenden darf. Das ist prak-
tisch, weil sich die ManageIQ-Account-
Verwaltung als zentrale Stelle fr Berech-
tigungen in einem Unternehmen ein-
setzen lsst. Die Umgebungen, die Ma-
nageIQ im Hintergrund verwaltet, brau-
chen sich um das User-Management also
nicht kmmern. Diesen gegenber tritt
ManageIQ als Benutzer-Account auf, der
jeweils die Berechtigungen des Adminis-
trations-Users hat.
Wie immer in der Unix-Welt gilt, dass
die Arbeit als "admin" grundstzlich keine
gute Idee ist. Stattdessen empfiehlt es sich,
Benutzerzugnge mit beschrnkten Rech-
ten anzulegen und im laufenden Betrieb
auf diese zu setzen. Der bentigte Men-
Punkt dafr war bereits Thema: Er ist per
Klick auf "Settings / Access Control" zu
erreichen unter dem Button "Configu-
ration" erscheint dann der Eintrag "Add
a new user". Smtliche Felder sind Felder
fr Freitext, bei denen sich beliebige Wer-
te eintragen lassen bis auf das letzte:
Dort geht es um die Gruppe, zu der ein
neuer Nutzer gehrt. Die Wahl bei diesem
Feld wirkt sich auf die Mglichkeiten des
neuen Nutzers aus, denn unterschiedliche
Gruppen haben innerhalb von ManageIQ
unterschiedliche Berechtigungen.
Berechtigungen ber Rollen
ManageIQ bildet ber Gruppen ein typi-
sches Rechteschema ab, wie es bei prak-
tisch jedem Unternehmen zu finden ist.
Nicht jeder Benutzer darf automatisch al-
les vereinfacht dargestellt knnte es etwa
Juli 2016 75
S ch we rp unk t CloudForms & ManageIQ
eine "Praktikanten"-Gruppe geben, deren
Mitglieder grundstzlich nur lesenden
Zugriff auf ManageIQ haben, dessen Kon-
figuration aber nicht verndern drfen.
Die Gruppe der VM-Administratoren
darf im Beispiel virtuelle Systeme inner-
halb virtueller Umgebungen steuern, aber
keine neuen Nutzer anlegen. Admins wie-
derum steht die gesamte ManageIQ-
Funktionalitt zur Verfgung.
ManageIQ arbeitet mit drei unterschied-
lichen Ebenen: Nutzer gehren Gruppen
an, denen wiederum Rollen zugewiesen
sind. Rollen legen letztlich fest, welche Be-
rechtigungen eine Gruppe hat. Die Zuwei-
sung von Rechten an Nutzer geschieht also
ber den Umweg der Gruppe. Ab Werk
kommt ManageIQ mit einer greren
Menge vordefinierter Rollen, deren Be-
rechtigungen festgelegt und durch den Ad-
min auch nicht zu ndern sind. Wer mit
eigenen Rollen arbeiten oder die Rechte-
vergabe verndern will, legt sich stattdessen
eigene Rollen an. Der Weg dorthin fhrt
wieder ber "Settings / Access Control".
Direkt unter dem erwhnten "Users"-Me-
npunkt befinden sich die "Groups" und
"Roles"-Menpunkte, die zu den entspre-
chenden Konfigurationen fhren. Gut ge-
lst ist die Vergabe spezifischer Berechti-
gungen: Fr jede Rolle steht in einem
Ausklappmen auf der rechten Seite, wel-
che Berechtigungen jeweils vergeben sind.
Es wrde an dieser Stelle den Rahmen
sprengen, die Benutzerverwaltung von
ManageIQ bis ins kleinste Detail zu er-
lutern. Letztlich muss die Art und Weise,
wie ManageIQ mit Rechten und Gruppen
umgehen soll, ohnehin direkt im Betriebs-
konzept fr eine Plattform vorgegeben
sein. Wer ManageIQ also nutzen mchte,
macht sich besser frhzeitig ber Berech-
tigungen und Gruppen Gedanken. Im
Beispiel gengt es, einen Nutzer anzule-
gen und ihn der Gruppe "Operator" zu-
zuschlagen dann darf er spter VMs in
virtuellen Umgebungen steuern, aber et-
wa keine neuen Nutzer erstellen oder die
Konfiguration von ManageIQ ndern.
Die ManageIQ-Appliance bietet weitere
Konfigurationsmglichkeiten, die ber
"Settings / Configuration" und die Aus-
wahl des Hosts in der "Default Zone" zu
76 Juli 2016
erreichen sind. Dort lsst sich etwa fest-
legen, dass die ManageIQ-Instanz auch
als Mirror fr das Red Hat Network
(RHN) fungiert. Wichtig: Fr jeden Ma-
nageIQ-Instance-Knoten sollte die Funk-
tion "Automation Engine" aktiviert sein,
denn sonst klappt das Provisionieren vir-
tueller Systeme spter nicht.
SmartProxy aktivieren
Eingangs fand bereits der SmartProxy Er-
whnung, der fr ManageIQ zwischen den
Virtualisierungsumgebungen und der Ma-
nageIQ-Engine bersetzt. Der Dienst muss
in einer ManageIQ-Umgebung vorhanden
sein und luft wahlweise direkt auf der Ap-
pliance oder auf einem anderen Host. Wer
Variante eins mchte, muss SmartProxy
aber hndisch aktivieren. Denn in der Ap-
pliance ist er ab Werk abgeschaltet. Das
Aktivieren des SmartProxy geschieht ber
den Menpunkt "Settings / Configura-
tion". Nach einem Klick auf "Zones" und
"Default Zone" erscheint der Host-Eintrag.
Bei der Auswahl der ManageIQ-Engine
erscheint wieder rechts die Liste der ver-
fgbaren Dienste. Hier sollte "SmartProxy"
auf "On" stehen. Dann legt ein Klick auf
"Ok" die Konfiguration an.
Der Weg zu
virtuellen Umgebungen
Wenn die grundlegende ManageIQ-Kon-
figuration abgeschlossen ist, steht die
Konfiguration der virtuellen Umgebun-
gen auf dem Plan. Schlielich bringt Ma-
Bild 2: Compliance-Regeln legen fest, dass bestimmte Zustnde von VMs
zu automatischen Aktionen fhren.
nageIQ nichts, wenn es keine Ziel-Platt-
formen fr den Betrieb von VMs im Hin-
tergrund kennt. ManageIQ unterscheidet
zwischen zwei Arten von Anbietern:
Cloud-Anbietern auf der einen Seite ste-
hen Infrastrukturanbieter auf der ande-
ren Seite gegenber. Die Trennung ist al-
lerdings unscharf, denn freilich ist auch
ein Cloud-Anbieter ein Infrastrukturan-
bieter. Letztlich geht es dem Hersteller
hier offensichtlich darum, zwischen "etab-
lierter" Virtualisierung etwa mit VMware
und Cloud-Virtualisierung (OpenStack,
Amazon AWS) deutlich zu unterscheiden.
Die Einrichtungsprozesse der beiden An-
bieter-Typen sind im Detail dann auch
unterschiedlich.
Einen Cloud-Anbieter einrichten
Der Konfigurationsassistent fr Cloud-
Anbieter versteckt sich hinter dem Me-
n-Eintrag "Compute / Clouds / Provi-
der". Ab Werk ist hier kein Anbieter
definiert, ein Klick auf "Configuration /
Add new Cloud Provider" legt einen Blan-
ko-Eintrag an. Alternativ beherrscht Ma-
nageIQ automatisches Discovery von
Cloud-Diensten: Wer diese Option whlt,
gibt ein Netzwerk an, das ManageIQ an-
schlieend nach passenden Schnittstellen
absucht. Wird es fndig, trgt der Admin
blo noch die passenden Nutzerdaten ein.
Will er stattdessen die gesamte Konfigu-
ration hndisch durchfhren, steht im
ersten Schritt die Konfiguration des "Ty-
pe" der Wolke. ManageIQ untersttzt ne-
www.it-administrator.de

ben OpenStack auch Amazon EC2, Mi-
crosoft Azure und GCE (Google Cloud
Engine). Je nach Auswahl erscheinen
dann unterschiedliche Textfelder, die ent-
sprechend auszufllen sind. ManageIQ
erwartet grundstzlich, dass es in anderen
Umgebungen mit Admin-Rechten han-
tieren darf. Denn nur so kann es smtli-
che bentigten Daten auslesen und smt-
liche Aktionen ausfhren, die fr seine
reibungslose Funktionalitt bentigt wer-
den. Die jeweiligen Werte sind der Do-
kumentation des eigenen Cloud-Anbie-
ters zu entnehmen.
Nach erfolgreichem Abschluss der Konfi-
guration verbindet sich ManageIQ mit den
APIs des Cloud-Anbieters und holt von
dort alle verfgbaren Infos ein, um sie an-
schlieend in der eigenen GUI aufbereitet
darzustellen. Genau hier kommt der
SmartProxy ins Spiel, den MaangeIQ im
Hintergrund automatisch fr das Zusam-
menspiel mit der Cloud konfiguriert.
Wer anstelle einer Cloud-Umgebung ei-
nen Infrastrukturanbieter wie VMware
in ManageIQ anlegen will, geht analog
zur Cloud-Anleitung vor. Der passende
Punkt in der GUI befindet sich bei "Com-
pute / Infrastructure / Providers". Der
Klick auf "Configuration" fhrt zu "Add
new Infrastructure Provider", und erneut
startet ein Assistent mit einem "Type"-
Auswahlfeld. Neben Microsoft System
Center und VMware stehen hier auch der
OpenStack Platform Director sowie Red
Hats Enterprise Virtualization Manager
zur Verfgung. Wer also in Sachen Vir-
tualisierung schon auf Red Hat setzt, kann
auch mehrere Instanzen von RHEV mit-
tels ManageIQ verwalten. Nach Eingabe
der Verbindungs- und Nutzerdaten fhrt
ein Klick auf "Ok" dazu, dass die Ressour-
cen des jeweiligen Infrastrukturanbieters
zu sehen sind.
Virtuelle Instanzen
mit ManageIQ steuern
Alle grundlegenden Operationen im Hin-
blick auf virtuelle Instanzen lassen sich
nun bereits durchfhren: Dazu gehrt das
Verwalten vorhandener genauso wie das
Starten neuer VMs. Wer ManageIQ nur
fr diesen Zweck nutzt, lsst das eigentlich
groe Potenzial der Lsung allerdings un-
www.it-administrator.de
Bild 3: Erst wenn eine Policy mit einer Aktion verknpft ist,
passiert im Falle des Eintretens des Kriteriums auch tatschlich etwas.
genutzt. Denn das Programm hat seine
groen Strken besonders beim automa-
tischen und orchestrierten Deployment
und bei der Analyse der laufenden Pro-
zesse. Fr Letztere sind die so genannten
"Policies" zustndig: ManageIQ unter-
scheidet zwischen Compliance-Policies
und Control-Policies.
Compliance-Policies erlauben es dem Ad-
ministrator, Regeln festzulegen, die fr
den Betrieb von virtuellen Maschinen ge-
geben sein mssen. Ein einfaches Beispiel
wre die Anforderung, dass eine virtuelle
Maschine innerhalb einer Plattform nur
dann laufen darf, wenn bestimmte Sicher-
heitspatches in ihr installiert sind. So stellt
der Admin sicher, dass virtuelle Systeme
nicht dauerhaft fr Fehler wie den SSL-
Heartbleed-Bug verwundbar sind.
Control-Policies beziehen sich auf den
Status eines Setups insgesamt: Per Con-
trol-Policy legt ein Admin etwa fest, dass
ManageIQ eine "Smart-State-Analyse" ei-
ner VM durchfhren soll, nachdem diese
gestartet ist. Unter dem etwas sperrigen
Begriff versteht der Hersteller einen Pro-
zess, der der VM auf den Zahn fhlt und
zum Beispiel eine Liste aller in ihr vor-
handenen Nutzer ausliest. Im Wesentli-
chen geht es also um Inventarisierung.
Solche Analysen sind aber nicht die ein-
zigen Aktionen, die sich mit Control-Po-
licies verbinden lassen; andere Optionen
sind etwa das Auslsen einer automati-
schen Rekonfiguration, wenn neue VMs
im Setup gestartet werden, oder der Neu-
start einzelner Dienste.
CloudForms & ManageIQ Schwerpunkt
Policies anlegen
Das Anlegen von Control- und Compli-
ance-Policies geschieht in ManageIQ ber
den Menpunkt "Control / Explorer".
Dort finden sich oben die Eintrge fr
beide Policy-Arten ist eine Art ausge-
whlt, fhrt "Configuration" oben zum
Button fr eine neue Regel. Die Ma-
nageIQ-Dokumentation enthlt genauere
Angaben ber die mglichen Optionen
fr Policies [2] das Prinzip ist in allen
Fllen gleich: Einzelne "Felder" ("Fields"),
deren Werte ManageIQ per SmartState-
Analyse fr die jeweilige VM ausfllt, ver-
gleicht die Lsung mit einem manuell de-
finierten Sollzustand.
Wichtig im Zusammenhang mit Policies
sind Aktionen, zu erreichen ber den Me-
npunkt "Control / Actions". Wenn eine
Policy- oder Compliance-Regel greift,
fhrt sie eine Aktion ("Action") aus, die
mit ihr assoziiert ist. ManageIQ bringt ei-
nige beispielhafte Aktionen ab Werk mit,
ansonsten lassen sich aber freilich auch
lokale Regeln ber den "Configuration"-
Button oben definieren.
Automatisierung
fr virtuelle Umgebungen
Red Hat kdert Kunden fr ManageIQ
nicht nur mit dem Versprechen, endlich
eine einheitliche Oberflche zur VM-Ver-
waltung zu bieten und dort spezifische
Aufgaben zu standardisieren. Die Lsung
greift auch in den Start von VMs in vir-
tuellen Umgebungen ein: ManageIQ
bringt ein vollstndiges Automatisie-
rungsframework mit, das sich sogar fr
Juli 2016 77
S ch we rp unk t CloudForms & ManageIQ
Bild 4: CloudForms von Red Hat basiert im Kern auf ManageIQ, bringt aber ein anderes Theme mit
und bietet Zusatzdienste wie einen Marktplatz fr fertige VM-Images.
hybride Setups eignet. Gemeint ist, dass
die Automatisierungs-Engine in Ma-
nageIQ auf Basis einer Beschreibung ei-
ner Umgebung aus virtuellen Maschinen
("Template") diese auf mehrere Anbieter
verteilen kann, also etwa zu 50 Prozent
auf eine ffentliche und zu 50 Prozent
auf eine private Cloud. Die Automati-
sierungs-Engine von ManageIQ umfasst
viele Funktionen: Komplette Webserver-
Set-ups, bestehend aus Datenbanken,
App-Servern und Loadbalancern, lassen
sich per Mausklick starten. Wie Templa-
tes fr ManageIQ aussehen mssen, be-
schreibt Red Hat in einem eigenen Do-
kument unter [3].
Alarme einrichten
Beeindruckend sind die Alerting-Fhig-
keiten, die ManageIQ bietet. Denn diese
fuen auf einer Vielzahl von Faktoren:
Neben hndisch definierten Kriterien sind
auch Alarme mglich, die sich auf den
Auslastungs-Zustand einer virtuellen Um-
gebung oder einzelner VMs darin bezie-
hen. ManageIQ verschickt in solchen Fl-
len etwa eine E-Mail, wenn die stndige
Last einer VM ber einem durch den Ad-
min definierten Grenzwert liegt. Hier
macht sich die stndige Analyse der von
ManageIQ verwalteten VMs und Hosts
bemerkbar. Ganz hnlich wie ein Moni-
toring-System ist ManageIQ ber den Zu-
stand der laufenden VMs und der betrof-
fenen Computing-Umgebungen also
immer informiert.
78 Juli 2016
Damit ManageIQ berhaupt Alarme ver-
sendet, muss mindestens einer Applian-
ce-Instanz von ManageIQ innerhalb eines
Setups die "Notifier"-Rolle zugewiesen sein.
Das geht in den Einstellungen der jewei-
ligen Engine-Instanz, wo zuvor auch die
Aktivierung des SmartProxy-Dienstes
stattfand.
Sobald ein Host Notifier ist, lassen sich
Alerts ber "Control / Explorer" konfi-
gurieren. Zur Auswahl stehen zwei Alar-
mierungsmechanismen: Entweder ver-
schickt ManageIQ E-Mails an eine zuvor
festgelegte Adresse oder es sendet SNMP-
Traps an ein entsprechendes Monitoring-
System. Wenn dieses die Option zum
SMS-Versand hat, lassen sich ManageIQ-
Alarme also zum Beispiel auch auf das
Mobiltelefon eines Bereitschaftshabenden
bermitteln.
Cluster-Funktionen in ManageIQ
ManageIQ oder dessen Appliance ist kein
Single Point of Failure: Es ist mglich,
den "Engine Server" mehrfach innerhalb
einer Engine-Zone zu betreiben. Die
Kommunikation untereinander berneh-
men dann die ManageIQ-Instanzen au-
tomatisch, sobald sie miteinander bekannt
gemacht sind. Sie sorgen auch automa-
tisch dafr, dass einzelne Aufgaben nur
von einer der beiden Instanzen durchge-
fhrt werden, damit es nicht durch un-
erwnschte Doppelungen zu schdlichen
Nebeneffekten kommt.
Link-Codes eingeben auf www.it-administrator.de
CloudForms
Wie erwhnt existiert ManageIQ nicht nur
als ein eigenstndiges Projekt, sondern wird
von Red Hat auch als die zentrale Kompo-
nente von CloudForms vermarktet. Wer
CloudForms kauft, bekommt neben einem
anderen Theme fr das CloudForms-UI
vorrangig Support seitens des Herstellers.
Wegen der hohen Komplexitt der Lsung
zahlt sich der in vielen Fllen sogar aus,
und gerade beim ersten Setup von Ma-
nageIQ drfte der Admin sich ber hel-
fende Hnde freuen. ber Preise schweigt
sich der Hersteller auf seiner Website aus,
diverse Hndler verkaufen den Standard-
Vertrag fr knapp 1700 US-Dollar pro So-
ckel-Paar. Alternativ ist CloudForms auch
als Bestandteil von Red Hats "Cloud Infra-
structure"-Paket verfgbar, schlgt dort
aber mit deutlich hheren Betrgen zu Bu-
che, weil auch Red Hats OpenStack-Platt-
form und die Enterprise-Virtualisierung
(also RHEV) enthalten sind.
Fazit
ManageIQ oder in der kommerziellen Va-
riante CloudForms ist ein sehr mchtiges
Werkzeug fr die Verwaltung virtueller
Umgebungen. Von der simplen Steuerung
virtueller Maschinen bis zur vollen Auto-
matisierung ganzer VM-Stacks in einer
spezifischen Ziel-Plattform bleibt kein
Wunsch unerfllt. Alerting und umfang-
reiches Reporting erlauben die sinnvolle
Planung der Nutzung in ffentlichen wie
privaten Clouds. Freilich kommt der rie-
sige Funktionsumfang mit einer Kehrseite,
denn die Lernkurve ist bei ManageIQ
recht steil. Zwar lsst sich die Anwendung
selbst als Appliance sofort in Betrieb neh-
men. Doch bis der Admin Policies und
Regeln soweit verstanden hat, dass er sie
effektiv einsetzen kann, steht viel Doku
auf der Leseliste. Wer ein effektives Werk-
zeug sucht, um virtuelle Umgebungen
zentral zu steuern, sollte sich diese Mhe
allerdings machen. (of)
Link-Codes
[1] ManageIQ-Download
G7Z61
[2] Policies in ManageIQ
G7Z62
[3] Templating in ManageIQ
G7Z63
Cloud-Management mit Scalr
Richtig
skaliert
von Oliver Frommel
Amazon bietet zur Verwal-
tung seiner Cloud-Dienste
eine umfangreiche Web-GUI.
Bei der Google Cloud ist das
Management dagegen aufs
Wesentliche reduziert. Scalr
bietet ein webbasiertes
Management-Tool fr bei-
de Clouds, das zustzlich
auch Azure und OpenStack
verwalten kann. Wir haben
uns Scalr genauer angesehen.
er sich ein Cloud-Framework wie
W OpenStack installiert, wird wohl
zuerst enttuscht sein, denn zunchst lsst
sich damit wenig anfangen, auer eben
mal ein virtuelle Maschine zu starten. Da-
mit eine Cloud zum Leben erwacht, ms-
sen passende Anwendungen installiert
werden, die miteinander kommunizieren
und auf Wunsch auch dynamisch skalie-
ren. Eine Hilfe bei der Erstellung solcher
Cloud-Anwendungen gibt das Manage-
ment-Tool Scalr.
Scalr [1] untersttzt die ffentlichen
Clouds von Amazon und Microsoft sowie
eine Handvoll privater Cloud-Frame-
works, von denen die meisten auf Open-
Stack basieren. Scalr bietet allerdings nicht
den kompletten Funktionsumfang der
Anbieter und beschrnkt sich etwa bei
Amazon auf die Haupdienste wie den
Compute-Dienst EC2, den Loadbalancer
ELB, Elastic Block Storage (EBS), den
DNS-Dienst Route 53 oder den Monito-
ring-Service CloudWatch. Die vielen
www.it-administrator.de
SaaS-Angebote wie etwa die Datenbank-
Dienste bleiben auen vor, stattdessen
mssen Anwender eine VM verwenden
und darin eine Datenbank betreiben. Das
bedeutet einerseits, dass Cloud-Anwen-
dungen dem klassischen Muster "vernetz-
te VM-Instanzen" gehorchen mssen,
dass aber andererseits damit ansatzweise
die Portabilitt solcher Konstrukte zwi-
schen Cloud-Anbietern gewhrleistet ist.
Scalr gibt es in verschiedener Ausfhrung
fr unterschiedliche Ansprche. Die Hos-
ted Edition startet bei 99 US-Dollar pro
Monat einschlielich 5000 "Scalr Com-
pute Units". Jede weitere SCU kostet 2
US-Cent. Die Enterprise-Edition bietet
24-Stunden-Support, Hochverfgbarkeit,
Single-Sign-on, Training und weitere Fea-
tures. Den Preis dafr mssen Kunden
mit dem Hersteller individuell aushan-
deln. Wer Scalr ausprobieren mchte,
kann dies mit der Community-Distribu-
tion tun, die wir im Folgenden auf einer
AWS-Instanz installieren. Der Quellcode
Quelle: bowie15 123RF
des Projekts steht unter der Apache-Li-
zenz und ist auf Github zu finden [2].
Groe Anforderungen
Am besten verwenden Sie zur Installation
von Scalr einen repektive mehrere eigene
Server, denn es installiert einen Webser-
ver auf Port 80. Auch sollte der Rechner
ber ausreichend Speicher verfgen, also
mindestens 8 GByte RAM. Die Scalr-Ent-
wickler empfehlen, fr die einzelnen
Komponenten jeweils eigene Rechner ab-
zustellen, aber fr eine Evaluation gengt
eine Instanz. Auerdem untersttzt der
neue Installer nur 64-Bit-Rechner respek-
tive -Distributionen. Sie knnen den Ser-
ver in ihrem eigenen Netz oder in der
Cloud installieren, aber Sie mssen dafr
sorgen, dass die verwaltete Cloud und die
einzelnen Instanzen den Scalr-Server er-
reichen knnen. Auer dem Port 80 und
dem Port 443 mssen Sie an der Firewall,
die den Scalr-Server schtzt, die Ports
8008 bis 8014 freischalten, ber die der
Server mit seinen Agenten kommuniziert.
Juli 2016 79
S ch we rp unk t Scalr
Wir zeigen im Folgenden die Installation
der Scalr Community Edition auf einer
Ubuntu-Distribution. Ein Scalr-Paket
mssen Sie dazu gar nicht von der Home-
page downloaden. Stattdessen laden Sie
als Erstes ein Skript von Scalr herunter,
das trotz seines Namens kein Debian-Pa-
ket, sondern ein Shellskript ist, das die
Software-Repositories und den zugeh-
rigen Public Key enthlt, um die Pakete
zu verifizieren:
$ curl -L
https://packagecloud.io/install/
repositories/scalr/scalr-server-
oss/script.deb | sudo bash
Nun knnen Sie die Scalr-Software mit
einem Aufruf von Apt-Get installieren:
$ sudo apt-get install -y
scalr-server
Die zugehrigen Dateien landen vorwie-
gend im Verzeichnis "/opt/scalr-server/".
Anschlieend fhren Sie mit scalr-server-
wizard die initiale Konfiguration der Soft-
ware durch. Sind Sie mit der Konfigura-
tion zufrieden, die der Wizard am Ende
anzeigt, fhren Sie das folgende Kom-
mando aus:
$ sudo scalr-server-wizard
Hinter den Kulissen verwendet Scalr das
Konfigurationsmanagement-Tool Chef,
um die bentigten Pakete zu installieren
und einzurichten.
Das automatisch erzeugte Passwort fr
den "admin"-User entnehmen Sie der
Datei "/etc/scalr-server/scalr-server-se-
crets.json". Damit knnen Sie sich am
Webinterface anmelden, das Scalr auf Port
80 anbietet. Wenn Sie Scalr beispielsweise
in der Amazon Cloud betreiben, mssen
Sie in der zur Instanz gehrigen Security
Group den Port freischalten.
Viele Admins fr viele Clouds
Der Admin-User ist ein sogenannter Su-
peradmin, der dazu dient, Scalr ein-
zurichten und beispielsweise andere
Benutzer anzulegen, die dann selbst
Cloud-Ressourcen verwalten drfen. Das
hat zur Folge, dass bestimmte Menein-
80 Juli 2016
trge im Admin-Account berhaupt
nicht vorhanden sind. Um also wirklich
mit Scalr arbeiten zu knnen, legen Sie
zuerst ber das Men "Accounts" und
"New Account" einen neuen Benutzer an
und geben sie ihm die passenden Rechte.
Die Eingabe des Passworts knnte etwas
schwierig werden, den Scalr setzt dabei
ein mindestens 15 Zeichen langes Wort
mit einer Zahl, einem Sonderzeichen so-
wie Gro- und Kleinbuchstaben voraus.
Ob es so sinnvoll ist, Passwrter zu ver-
wenden, die man sich nicht merken kann
und deshalb notieren muss, sei dahinge-
stellt. Sinnvoller ist es wohl, im Admi-
nistrations-Interface fr den Admin-User
Zwei-Faktor-Authentifizierung einzustel-
len, die sich mit dem Google Authenti-
cator verwenden lsst [3]. Auerdem
knnen Sie IP-Whitelisten einrichten, die
den erlaubten Zugriff auf das Scalr-In-
terface begrenzen.
Haben Sie sich als Benutzer eingeloggt,
sehen Sie oben einige Meneintrge wie
"Dashboard", "Farms", "Roles", "Images",
"Servers", "Scripts", "System Log" und
"Scripting Log". Dabei handelt es sich aber
nur um Bookmarks fr die Men-Eintr-
ge, die Sie ber das Hauptmen erreichen,
das sich links oben hinter dem Scalr-Sta-
pel-Logo verbirgt.
Um die Zugangsdaten zu den Clouds ein-
zugeben, gehen Sie den Weg ber den Me-
npunkt "Environments". Alternativ ver-
wenden Sie den beim Einloggen im
Bild 1: In der GUI mit blauem Hintergrund managen Anwender die ihnen berlassenen Cloud-Ressourcen.
Account-Dashboard prsentierten Link
"Add cloud credentials". Nach einem Klick
darauf zeigt Scalr eine Liste der Cloud-
Umgebungen, die es verwalten kann. Bei
den "Public Clouds" sind dies derzeit
Amazon EC2 (AWS), Google Compute
Engine (GCE), IDC Frontier, Rackspace
(OpenStack) und Azure. Private Clouds,
die Scalr managen kann, sind: Apache
Cloudstack, OpenStack, Mirantis (OpenS-
tack), VMware VIO (OpenStack), Cisco
Metapod (OpenStack) und HP Helion
(OpenStack).
Fr die Amazon-Cloud geben Sie eine
Access Key ID und den zugehrigen Se-
cret Access Key ein, die Sie in der AWS
Management Console unter IAM (Iden-
tity and Access Management) finden oder
erzeugen knnen. Hier wird noch einmal
deutlich, dass es ratsam ist, die Scalr-In-
stallation bestens abzusichern, denn wenn
Fremde an die Zugangsdaten eines Pu-
blic-Cloud-Accounts wie fr AWS kom-
men, knnen sie damit allerhand anstellen
und das kann schnell teuer werden.
Sind die Cloud Credentials eingegeben,
gelangen Sie ber den Link "Start Mana-
ging Cloud Resources" in die GUI (Bild
1), in der die Hintergrundfarbe des Me-
ns blau ist. Grn steht dagegen fr das
Management der Credentials sowie
Teams und Zugangsberechtigungen (Bild
2). Dort knnen Sie beispielsweise ACLs
anlegen (Bild 3), die im Detail alle Rechte
festlegen, die Anwender bei der Cloud-
www.it-administrator.de

Bild 2: Die GUI mit grnem Hintergrund dient der Verwaltung von Usern, Clouds und Berechtigungen.
Benutzung haben. Diese ACLs lassen sich
Anwendern und Teams zuweisen. Au-
erdem knnen Sie Anwendergruppen
ein bestimmtes finanzielles Budget zu-
weisen, ber das sie verfgen drfen. Zur
Kontrolle bietet Scalr an dieser Stelle auch
eine Funktion namens "Cost Analytics".
Ein weiteres Konzept zur Strukturierung
sind die Environments, unter denen sich
eine oder mehrere Clouds mit Teams und
Berechtigungen verknpfen lassen. Zwi-
schen den einzelnen Environments und
dem Account-Management wechseln Sie
ber das Icon mit dem Kreis und den
drei Punkten.
Rollen als Bausteine fr
Cloud-Anwendungen
Bevor Sie eine Infrastruktur in der Cloud
starten knnen, mssen Sie entweder vor-
ab oder beim Einrichten einer "Farm" die
ntigen "Rollen" anlegen. Diese sind im
Gegensatz zur blichen IT-Terminologie
keine Berechtigungskonzepte, sondern
funktionale Zuschreibungen wie "Web-
server", "Load Balancer", "Datenbank"
und so weiter. Gleichzeitig dienen die
Rollen zur Abstraktion von der konkreten
Umsetzung des Konzepts in einer spezi-
fischen Cloud: Einer Webserver-Rolle
kann also in Scalr fr die Google-Cloud
ein anderes Image zugewiesen sein als fr
die Amazon Web Services. Zum Anlegen
einer Rolle in AWS (unser Testfall) startet
Scalr eine Instanz, installiert die passende
Software und erstellt schlielich einen
Snapshot. Dementsprechend sind vor-
handene Rollen mit Kosten verbunden,
denn den mit den Snapshots verbunde-
nen EBS-Speicherplatz mssen Sie be-
www.it-administrator.de
NEWSLETTER
jetzt abonnieren:
zahlen, ebenso die Rechenzeit der dafr
gestarteten Instanzen.
Um Rollen anzulegen, klicken Sie erst
oben auf den Menpunkt "Roles" und
dann auf den grnen Button "New Role".
Scalr prsentiert dann drei Optionen:
New Role, Role from non-Scalr server
und Role builder. Die beiden ersten Op-
tionen setzen laufende Instanzen bezie-
hungsweise vorhandene Images voraus,
also gehen wir hier den Weg ber das
dritte Angebot, das eine Art Wizard dar-
stellt, der dabei hilft, eine Rolle anzulegen.
Nun bietet Scalr die in einer Cloud vor-
handenen Regionen und die dort ver-
fgbaren Basis-Betriebssystem-Images
an. Whlen Sie beispielsweise "eu-cen-
tral-1 (Frankfurt)" reduziert sich das An-
gebot an Images bereits erheblich. Wir
whlen "Ubuntu 14.04 Trusty" aus. Jetzt Jede Woche aktuelle
zeigt Scalr auf der rechten Seite die da-
rauf basierende Anwendungssoftware News, freie Artikel
an, etwa MySQL, MariaDB, Apache,
Nginx, HAProxy und noch ein paar an-
und Admin-Tipps
dere. Wenn Sie nun noch im oberen Teil
des Fensters einen Namen fr die Rolle
eingeben, knnen Sie auf "Create" kli-
cken und abwarten, ob alles wie erwartet
funktioniert (Bild 4).
Im Test schlug das Erstellen von Rollen
reproduzierbar fehl, denn der Scalr-Ser-
ver konnte die gestarteten Instanzen
nicht per SSH erreichen. Wir behoben
das Problem, indem wir manuell die mit
den Instanzen verknpfte (von Scalr in
AWS angelegte) Security Group direkt
in der AWS Management Console edi-
www.admin-magazin.de/
newsletter
S ch we rp unk t Scalr
tierten und den SSH-Zugang fr alle IP-
Adressen ffneten. Alternativ lassen sich
Security Groups auch in Scalr bearbei-
ten. Anschlieend konnte Scalr sich mit
der VM verbinden, den Snapshot erstel-
len und damit das Erzeugen der Rolle
abschlieen. Dabei sollten Sie etwas Ge-
duld mitbringen, denn eine neue Rolle
anzulegen, dauert mindestens eine Vier-
telstunde. Die kommerzielle Scalr-Ver-
sion vereinfacht den Umgang mit Rollen
dahingehend, dass sie bereits viele fertige
Rollen anbietet.
Die von Scalr installierten Rollen umfas-
sen brigens neben der verwendeten Soft-
ware auch eine Agenten-Software namens
Scalarizr (siehe "/opt/scalarizr"), die bei
der Integration in die Management-Um-
gebung hilft. Der in neuen Scalr-Versio-
nen integrierte Discovery Manager er-
laubt es auerdem, auch Instanzen in das
Management aufzunehmen, die nicht mit
Scalr angelegt wurden. Um sich auf einer
von Scalr gemanagten Instanz einzulog-
gen, bentigen Sie den entsprechenden
SSH Private Key, den Sie im Scalr-Men
unter "SSH Keys" finden. Auerdem muss
die zugewiesene Security Group das SSH-
Login ber Port 22 erlauben.
Farms sind Gruppen von Rollen, die zu-
sammen eine Cloud-Anwendung bilden.
Auch dies ist abstrakt, denn die Farms
knnen, sofern die passenden Rollen vor-
handen sind, auf unterschiedlichen
Clouds laufen. Ein Beispiel dafr ist die
skalierende Webanwendung, die im Scalr-
Tutorial "3 Tier Web Application" aufge-
baut wird. Dort besteht die Farm aus einer
Loadbalancer-Rolle mit Nginx, einer Py-
thon-Webanwendung und einer Daten-
bank-Rolle mit MySQL. Dementspre-
chend umfasst das Anlegen einer Farm
neben der Vergabe eines Namens, der op-
tionalen Festlegung eines Teams und ei-
niger weiterer Details vor allem die Zu-
weisung der entsprechenden Rollen.
Orchestrierung
ber Skripte oder Chef
Die fr ein Projekt ntigen Rollen sind
Grundbestandteile einer Cloud-Anwen-
dung. Um die zugehrigen Instanzen
nach dem Start zum Zusammenspiel zu
bewegen, bringt Scalr eine Orchestration
82 Juli 2016
Engine mit. Darber knnen Anwender
sich fr bestimmte Events registrieren
und die Software automatisch darauf rea-
gieren lassen. Solche Events sind beispiels-
weise BeforeInstanceLaunch, HostUp,
HostDown und so weiter. Auerdem
kann der Anwender Custom Events ein-
richten, die etwa nach dem Start eines
Dienstes aktiviert werden.
Als auszufhrende Aktionen lassen sich
beispielsweise Skripte verwenden, die der
Anwender in der Scalr-GUI eingibt oder
hochldt. Alternativ knnen Skripte auch
auf dem der Rolle zugeordneten Server
liegen (Local Script). Schlielich lsst sich
auch festlegen, dass Scalr auf ein Event
mit der Abarbeitung einer Runlist des
Config-Management-Tools Chef reagiert.
Durch die Mglichkeit, beliebige Skripte
zu verwenden, ist Scalr sehr flexibel, was
die Konfiguration einer Rolle/Instanz be-
trifft. Andererseits erffnet dies wieder
die Mglichkeit der unstrukturierten Kon-
figuration von Diensten, etwa wenn per
Skript "mal eben schnell" noch ein Soft-
ware-Paket installiert wird oder hnliches.
Um etwa Konfigurationsdaten zwischen
den beteiligten Rollen/Rechnern zu teilen,
bietet Scalr sogenannte globale Variablen.
Sind sie in der Scalr-GUI gesetzt, stehen
sie nach dem Booten auf allen Instanzen
einer Farm zur Verfgung. Um die ande-
ren Rechner zu finden, bietet Scalr meh-
Bild 3: ACLs fassen einen Satz von Berechtigungen zusammen, der sich Benutzern und
Teams zuweisen lsst.
rere Wege zur Service Discovery. So kn-
nen Sie auf jedem Rechner das Com-
mandline-Tool szradm -q list-roles ver-
wenden, um die beteiligten Rollen in Er-
fahrung zu bringen.
Das Ergebnis ist eine XML-Datei, die Sie
mit den entsprechenden Programmen
verarbeiten knnen. Auch die gezielte Ab-
frage einer Rolle ist mit szradmin mglich.
Die gegenber der XML-Verarbeitung
einfachere Variante der Service Discovery
ist das Scalarizr Service Directory. Das ist
eine Verzeichnishierarchie, die auf jedem
Farm-Server automatisch angelegt wird
und die Struktur einer Farm widerspie-
gelt, etwa so:
# tree /etc/scalr/private.d/hosts
/etc/scalr/private.d/hosts
 base
  10.0.1.153
  10.0.1.167
 mysql
  10.0.2.248
  10.0.2.58
...
Eine typische Fhigkeit von Cloud-An-
wendungen ist die Autoskalierung je nach
Auslastung. So knnen Webdienste etwa
die Anzahl der verwendeten Instanzen
zurckfahren und dynamisch neue star-
ten, wenn die Zugriffe stark ansteigen.
Scalr untersttzt diesen Mechanismus
durch verschiedene Manahmen. So fin-
www.it-administrator.de

Bild 4: Um eine Rolle anzulegen, startet Scalr in der Cloud eine VM und macht davon einen Snapshot.
det sich in der Farm-Konfiguration ein
Menpunkt namens "Scaling", auf dem
der Anwender zum Beispiel nach dem
Load Average und anderen Kriterien die
Farm hoch- und herunterskalieren kann.
Per Default wartet Scalr bis zu einer Stun-
de, um den Abrechnungstakt des Cloud-
Anbieters optimal auszunutzen jeden-
falls den von AWS, denn Google rechnet
im Minutentakt ab. Dieser Zeitraum lsst
sich aber ebenfalls konfigurieren.
Fr die hufigsten Dienste bringt Scalr
noch anwendungsspezifische Konfigu-
rationshilfen mit (Built-in Role Automa-
tion). Damit lassen sich Serverdienste
ber die Scalr-GUI konfigurieren, ohne
auf die oben erwhnten Skripte zurck-
zugreifen. Beispielsweise lassen sich da-
mit SSL-Zertifikate fr Webserver kon-
figurieren und virtuelle Hosts einrichten,
allerdings nur fr den Apache-Server.
Etwas grer ist das Angebot der Role
Automation fr Datenbanken. Hier un-
tersttzt Scalr MySQL, Percona, Post-
greSQL, MongoDB und Redis. Dabei bie-
tet Scalr Features wie Replikation,
Autoscaling, Backup und fr die MySQL-
Datenbanken auch das grafische Front-
end PHP-Myadmin. Nginx und HAProxy
sind als Loadbalancer untersttzt, Mem-
cached fungiert als Caching-Server, frs
Messaging bringt Scalr eine RabbitMQ-
Rolle mit. Weitere Features, die Scalr un-
tersttzt, sind DNS-Management, die
Verwaltung von Security Groups (aber
nicht auf allen Clouds) und sogenannte
Link-Codes eingeben auf www.it-administrator.de
Webhooks zur Integration in andere Sys-
teme. LDAP-Authentifizierung fr
OpenLDAP und Active Directory lsst
sich ber eine Extension aktivieren.
Zuverlssigkeit
durchschnittlich
Nicht alle Scalr-Funktionen funktionie-
ren im Test perfekt. So lieen sich, wie
beschrieben, manchmal Rollen nicht an-
legen. Auch ist die Integration der ablau-
fenden Prozesse und der GUI nicht un-
bedingt perfekt: Navigiert der Anwender
whrend des Anlegens einer Rolle in ei-
nen anderen Bereich der GUI, hat er auf
den laufenden Prozess keinen Zugriff
mehr. Auch die dazugehrige VM-In-
stanz befindet sich dann auer Reichwei-
te und muss erst wieder unter den lau-
fenden Servern gesucht und gegebenen-
falls beendet werden.
Parallel zum Management der Cloud-Res-
sourcen im hauseigenen Management-
Tool des Cloud-Anbieters nderungen
an der Konfiguration vorzunehmen, soll-
ten Sie vermeiden. Das kann leicht zu
Inkonsistenzen fhren, wenn Sie bei-
spielsweise die von Scalr verwendeten
Snapshots oder Policies lschen Aus-
nahmen besttigen diese Regel, wie der
oben beschriebene Workaround beim
Anlegen einer neuen Scalr-Rolle zeigt.
Fazit
Scalr ist ein umfangreiches Software-Pa-
ket, das es erlaubt, in einer einzigen Ober-
Scalr Schwerpunkt
flche verschiedene Public- und Private-
Cloud-Installationen zu verwalten. Dabei
bietet Scalr eine Zugriffs- und Ressour-
cenkontrolle, die es ermglicht, die Nut-
zung einzelner Ressourcen an Anwender
zu delegieren. So knnte man beispiels-
weise einer Entwicklergruppe erlauben,
nach Belieben in der AWS-Cloud virtuelle
Maschinen zu starten.
Weitergehende Konfiguration von cloud-
basierten Anwendungen untersttzt
Scalr durch sein Rollenkonzept und die
Integration von Skripten und dem Kon-
figurationsmanagement-Tool Chef, ber
die sich gestartete Instanzen konfigurie-
ren und verbinden lassen, etwa Load-
balancer, Webserver und Datenbank.
Zumindest die von uns getestete Com-
munity-Version bietet allerdings nur we-
nige solcher vorgefertigten Rollen an,
sodass das Setup komplexer Cloud-An-
wendungen einigen Entwicklungs- und
Test-Aufwand erfordert, der wiederum
Kosten mit sich bringt, wenn er in einer
Public Cloud stattfindet.
Letztlich ist der Nutzen eines grafischen
Cross-Cloud-Management-Tools fraglich,
denn wahrscheinlich werden sich die
meisten Anwender fr eine einzige
Cloud-Plattform entscheiden. Wegen des
unterschiedlichen Funktionsumfangs der
Angebote gibt es auch wenige Mglich-
keiten fr plattformbergreifende Cloud-
Anwendungen oder eine Cross-Cloud-
Migration. Lediglich in relativ einfachen,
standardisierten Setups wie dem erwhn-
ten skalierbaren Webserver untersttzt
Scalr die Installation auf mehreren
Clouds. Seine Strken entfaltet Scalr wohl
am ehesten in Firmen, die Cloud-Res-
sourcen an einzelne Teams mit einem fein
abgestuften Zugriffskonzept und Budge-
tierung delegieren mchten.
Link-Codes
[1] Scalr
G7Z51
[2] Scalr-Installer auf Github
G7Z52
[3] Zwei-Faktor-Authentifizierung
mit dem Google Authenticator,
IT-Administrator 12/2015
G7Z53
Juli 2016 83
Cloud mit Azure Automation steuern
Schluss mit
Routine
von Klaus Bierschenk
Microsoft Azure wird stetig
erweitert und erlaubt zu-
nehmend, auch anspruchs-
volle administrative Auf-
gaben abzuwickeln. Azure
Automation deckt dabei die
Automatisierung von Routine-
arbeiten ab. Dahinter verbirgt
sich ein Werkzeug, das dem
Administrator den Arbeitsall-
tag auch ohne PowerShell-
Kenntnisse vereinfacht.
zure Automation erlaubt Admi-
A nistratoren, eigene Bibliotheken
mit automatisierten Aktivitten fr den
Azure-Kosmos zu kreieren. Diese basie-
ren auf der PowerShell und entsprechende
Kenntnisse sind wnschenswert, jedoch
gibt es auch die Mglichkeit, Tasksequen-
zen grafisch zu designen, und die Berh-
rung mit der drunterliegenden PowerShell
ist dann nur begrenzt vonnten. Somit
erffnen sich auch fr Administratoren
ohne Scripting-Kenntnisse neue Wege
der Automatisierung.
Zum Start bentigen Sie ein Automa-
tion-Konto, das Teil des Azure-Abonne-
ments ist und sogenannte "Runbooks"
enthlt, die Aktionen in Azure definieren.
Runbooks basieren auf der PowerShell
mit einem groen Spektrum: Dies um-
fasst zum Beispiel das Kopieren einzelner
Dateien ber virtuelle Maschinen hinweg
oder das Erstellen von Resource-Objekten
innerhalb der Azure-Infrastruktur, wie
beispielsweise virtuelle Server. Komple-
xere Szenarien lassen sich durch Kombi-
nation mehrerer Runbooks realisieren.
84 Juli 2016
Mit der PowerShell DSC (Desired State
Configuration) konfigurieren Sie be-
stimmte Zielsysteme gem eines Administrationsportale gibt, macht den
"gewnschten Zustands". Durch die Mg-
lichkeit der Einbindung in Azure Auto-
mation erhlt dies eine besondere Schlag-
kraft. Azure Automation ist nicht nur auf
Maschinen in Azure beschrnkt, auch die
Server im heimischen Rechenzentrum
(On-Premise) lassen sich in diese Art der
Automatisierung einbeziehen. Das
Schlagwort hierzu lautet "Hybrid-Run-
book-Worker".
Automation gehrt zu den Diensten in
Azure, hnlich wie das Azure Active
Directory, die bis zu einem gewissen Kon-
tingent kostenfrei sind, dann jedoch kos-
tenpflichtig werden. Bei einer Auftrags-
ausfhrungszeit unter 500 Minuten pro
Monat und bis zu fnf Knoten fr DSC
bewegt der Administrator sich noch im
kostenlosen Bereich. Jenseits dieser Nut-
zung entstehen Kosten von derzeit 5,05
Euro monatlich fr jeden weiteren Kno-
ten in DSC und 0,00017 Euro pro Minute
Auftragsausfhrung.
Quelle: Jesadaphorn Chaiinkeaw 123RF
Verwirrende Portalvielfalt
Die Tatsache, dass es nach wie vor zwei
Umgang mit Automation nicht einfacher.
Beide Portale, also das auf dem lteren,
klassischen Bereitstellungsmodell basie-
rende Portal [1] und das neuere, dem der
Ressourcen-Manager zugrunde liegt [2],
ermglichen es, Ressourcen Ihres Abon-
nements zu administrieren. Wir verwen-
den genau wie Microsoft fr das neue
Portal die Bezeichnung "Azure-Portal"
und das vorherige nennen wir hier das
klassische Portal.
Die Existenz zweier Portale sorgt in Azure
fr die unangenehme Tatsache, dass Sie
zwar eine Cloud-Infrastruktur haben und
mit zweierlei administrativer Schnittstel-
len darin arbeiten knnen, es aber pas-
sieren kann, dass die erstellten Ressourcen
in dem einen oder in dem anderen Portal
nicht sichtbar sind [3].
Ein Automation-Konto knnen Sie mit
beiden Portalen erstellen. Dabei gilt es
jedoch einiges zu beachten, wenn Sie die
www.it-administrator.de

Bild 1: Das Einrichten eines neuen Automation-Kontos findet sich etwas versteckt in der Verwaltung.
Werkzeugkiste auspacken: Ein im Azu-
re-Portal erstelltes Automation-Konto ist
nicht im klassischen Portal sichtbar. Hin-
gegen lsst sich ein Automation-Konto,
das Sie im klassischen Portal erstellt ha-
ben, sehr wohl im neuen Azure-Portal
verwenden. Das kann fr Verwirrung
sorgen. Merken Sie sich einfach, dass,
wenn Sie in beiden Portalen auf Ihr Azu-
re-Konto zugreifen mchten, Sie dieses
initial mit dem klassischen Portal erstel-
len sollten. Knnen Sie auf sonstige
Funktionen des klassischen Portals ver-
zichten, konzentrieren Sie sich nur auf
das neue Azure-Portal. So ist gewhrleis-
tet, dass Ihnen immer die neuesten Funk-
tionen zur Verfgung stehen. brigens
knnen Sie mehrere Automation-Konten
einrichten und diese parallel betreiben.
Ein Grund hierfr wre die in Azure Au-
tomation befindlichen Ressourcen von-
einander zu isolieren: ein Konto fr die
Produktion und eines fr die Entwick-
lung beispielsweise.
Runbooks im Detail
Erstellen Sie ein Runbook, knnen Sie
zwischen drei Typen whlen: "Grafisch",
"PowerShell-Workflow" und "PowerShell"
[4]. Die beiden Letzteren sind Text-Run-
books und bei einem grafischen Runbook
hilft ein grafischer Editor, den Skriptab-
lauf zu gestalten. Fr alle Typen gibt es
einen Katalog mit Vorlagen fr ein neues
www.it-administrator.de
Runbook. Dies erleichtert den Einstieg
und spart Zeit, weil sich fr eigene Pro-
jekte diese Vorlagen weiterentwickeln las-
sen. Sie starten ein Runbook direkt im
Portal, ber einen Zeitplan, in der Power-
Shell oder ber die Schachtelung von
Runbooks ineinander.
Besonders interessant fr Administrato-
ren drfte noch die Mglichkeit sein, den
Aufruf basierend auf einem Ereignis zu
definieren, wie die Reaktion auf eine
Warnmeldung beispielsweise. Zu diesem
Zweck fgen Sie einem Runbook "Web-
hooks" hinzu. Diese haben eine URL, die
fr den Aufruf per HTTP-Anforderung
dient. Zum Beispiel bieten die Eigenschaf-
ten eines virtuellen Computers im Bereich
Bild 2: Variablen gelten ber mehrere Runbooks hinweg und vereinfachen so den Umgang mit
sich ndernden Parametern.
Azure Automation Schwerpunkt
"berwachung / Warnungsregeln" Mg-
lichkeiten, Webhooks einzutragen. Bei
Erreichen eines Schwellenwertes liee sich
als Reaktion darauf ein Runbook starten.
Vorbereitende Arbeiten
Bevor Sie loslegen, mssen Sie ein Azu-
re-Konto einrichten. Dazu navigieren Sie
im Azure-Portal wie in Bild 1 dargestellt
in den Bereich der Verwaltung. berlegen
Sie sich, welchem Abonnement und wel-
cher Ressourcengruppe das Automation-
Konto zugehrig sein soll, das vereinfacht
den spteren Umgang mit den darin be-
findlichen Objekten, weil ein Abonne-
ment eine Sicherheitsgrenze darstellt. Dies
wird sptestens dann wichtig, wenn Sie
Rechte fr administrative Rollen delegie-
ren mchten, die auf Ebene eines Abon-
nements liegen.
Ist das Konto erstellt, liee es sich sofort
nutzen; die eine oder andere Vorarbeit
macht aber trotzdem den Umgang mit
der Technik leichter. Nach dem Aufruf
des Automation-Kontos zeigt das
"Dashboard" alle relevanten Ressourcen
an. Fr den Beginn am wichtigsten sind
die Elemente, die sich hinter der Kachel
"Objekte" ("Assets" bei englischer Por-
talsprache) befinden. Die hier definierten
Elemente sind spter Bestandteil in den
Runbooks. Hier legen Sie eine "Anmel-
deinformation" mit dem Namen "Run-
Account" an. Dahinter verbirgt sich ein
Benutzer und sein Passwort aus dem
Azure Active Directory, auf die Sie in
Runbooks referenzieren. brigens funk-
tionieren Microsoft Live IDs, mit denen
Sie sich in Azure anmelden, nicht als Be-
Juli 2016 85
S ch we rp unk t Azure Automation
Bild 3: Vorlagen aus dem Runbook-Katalog vereinfachen die Arbeit, indem sie
Eigenentwicklungen vereinfachen.
nutzerkonten zur Ausfhrung von Ak-
tionen in Runbooks, hierzu ist es not-
wendig, mit Identitten aus dem Azure
Active Directory zu arbeiten.
Ebenfalls lassen sich hier noch Variablen
definieren. Sie sollten sich angewhnen,
davon Gebrauch zu machen, und diese
spter in den Runbooks referenzieren.
ndern sich irgendwelche Parameter,
muss lediglich der Inhalt der Variablen
einmal gendert werden und nicht der
Wert in den Runbooks an diversen Stel-
len. Fr unser erstes Runbook fgen wir
eine Variable mit der Subscription-ID
hinzu. Bei den Objekten fr ein Auto-
mation-Konto werden auch die Power-
Shell-Module administriert, deren
Cmdlets auf ihren Einsatz in den Run-
books warten.
Ein Runbook erstellen
Nehmen wir an, Sie haben ein Testabon-
nement und mchten, um Kosten zu spa-
ren, die darin befindlichen Server alle
herunterfahren und gleichzeitig den be-
nutzten Speicherplatz freigeben. Denn
fahren Sie die Server nur herunter, ohne
den allokierten Speicher freizugeben, tickt
die Azure-Uhr weiter und jede Minute
kostet. Unschn bei einem Test-Abonne-
ment mit limitiertem Guthaben. Da wre
es doch praktisch, einen Automatismus
zu haben, der eine Anzahl Server herun-
terfhrt, den Speicher freigibt und das
86 Juli 2016
Ganze am besten tglich zu einem defi-
nierten Zeitpunkt.
Bevor Sie sich daran machen, ein Run-
book komplett neu zu erstellen, sollten
Sie sich im Runbook-Katalog umschauen,
ob es fr den gewnschten Zweck nicht Jedes Runbook muss, bevor es ausgefhrt
bereits ein hnliches Runbook gibt, das
nur noch anzupassen ist. Der Katalog lsst
sich beim Erstellen eines Runbooks auf-
rufen. Einen berblick ber die Run-
books im Katalog erhalten Sie auch, ohne
ein neues Runbook zu erstellen, indem
Sie die Technet Gallery [5] besuchen. Die
"Templates" finden Sie auf der Webseite
links in den Kategorien. Navigieren Sie
zuerst nach "Windows Azure" und dann
nach "Automation".
In unserem Fall erzeugen wir unser Run-
book auf Basis der Vorlage "Start Azure
ARM VMs". Wenn Sie diese nun bear-
beiten, startet der "Grafische Editor", der
Ihnen die Programmlogik und den Ab-
lauf prsentiert. Im Editor befindet sich
ebenfalls im linken Bildschirmbereich Ih-
re Werkzeugkiste. "Ihre" deshalb, weil die-
se Leiste neben den Cmdlets der angege-
benen PowerShell-Module auch Variablen
oder zum Beispiel Anmeldeinformatio-
nen anzeigt, die Sie vorher erstellt haben.
Bei einem grafischen Runbook haben Sie
kaum Berhrung mit Cmdlets oder sons-
tigen PowerShell-Programmcode. Zwar
liee sich dieser hier auch einbetten, aber
primr fttern Sie die Cmdlets ber die
jeweiligen Eigenschaften rechts im Editor,
wenn Sie ein Element ausgewhlt haben.
An dieser Stelle werden auch die fr die
Cmdlets notwendigen Parameter konfi-
guriert. Der Editor bietet die wichtigsten
Elemente klassischer Programmierlogik,
wie beispielsweise Bedingungen, um auf
bestimmte Situationen im Ablauf zu rea-
gieren. Ein wichtiges Element hierzu be-
findet sich ganz unten links in der Werk-
zeugleiste, die "Verbindung". Unser
Runbook reagiert zum Beispiel darauf,
ob beim Start der Name einer VM einge-
geben wurde, und dem folgend wird ver-
zweigt und eine einzelne VM beendet
oder eben alle VMs heruntergefahren.
Mchten Sie zwei Befehle im Ablauf ver-
binden, klicken Sie das Kommando an,
woraufhin ein kleiner weier Kreis er-
scheint. Den nehmen Sie mittels Drag &
Drop und befrdern ihn auf das zu ver-
bindende Befehlssymbol.
Egal fr welchen Runbooktyp Sie sich ent-
schieden haben, grafisch oder textbasiert:
werden kann, verffentlicht werden. Soll-
ten Sie im Nachgang nderungen vorneh-
men, wird die verffentlichte, also die vor-
ab gespeicherte Version kopiert und eine
Entwurfsversion daraus erstellt. An dieser
arbeiten Sie, bis diese erneut verffentlicht
wird, was die aktuelle Version berschreibt.
Ein Runbook lsst sich testen. Hierbei ist
wichtig zu wissen, dass der Test eines
Runbooks den Ablauf nicht etwa simu-
liert, sondern das hierdurch lediglich die
Entwurfsversion ausgefhrt wird, nicht
die verffentlichte. Sie sollten also vor-
sichtig sein mit Runbook-Tests im pro-
duktiven Umfeld, denn etwaige Modifi-
kationen und Schreibvorgnge erfolgen
in der Liveumgebung. Um Dinge wirklich
unbedenklich zu testen, sollten Sie diese
in einem reinen Testlabor entwickeln und
mit Testobjekten laufen lassen. ber Ex-
port und Import lassen diese sich dann
bequem in die Produktion bernehmen.
Zu den Objekten eines Azure-Kontos ge-
hren neben Variablen oder Anmeldein-
formationen auch Zeitplne. Ein solcher
Plan ist ein eigenstndiges Objekt und
www.it-administrator.de

wenn Sie ein Runbook immer zu einer
bestimmten Zeit laufen lassen mchten,
wird nicht etwa fr dieses Runbook ein
Zeitfenster konfiguriert, sondern Sie le-
gen zuerst separat einen Zeitplan an. Die-
sen ordnen Sie im Nachgang einem oder
mehreren Runbooks zu. Dies hat den
Vorteil, dass sich einem Zeitplan mehrere
Runbooks egal welchen Typs zuord-
nen lassen. So orientiert sich die Vorge-
hensweise an Zeitfenstern, in denen meh-
rere Arbeiten (Runbooks) gesammelt
stattfinden. Aus administrativer Sicht
eine recht praxisnahe Vorgehensweise.
Erstellen Sie einen Zeitplan fr beispiels-
weise 23:00 Uhr und weisen diesem das
oben erstellte Runbook zum Beenden der
VMs zu, knnen Sie sicher sein, dass die
Server tatschlich heruntergefahren wer-
den und Sie nicht fr etwas bezahlen, nur
weil Sie versehentlich das Ausschalten
vergessen haben.
Lokale Server automatisieren
Azure Automation endet nicht bei Ser-
vern in der Azure-Infrastruktur. Mit
einigen Kniffen lassen sich Server im lo-
kalen Rechenzentrum in die Automati-
sierung einbeziehen. Dies hat natrlich
Grenzen: Benutzen Sie ein Skript, das
wie eben in unserem Beispiel VMs in
einer Ressourcengruppe oder in einem
Abonnement adressiert, werden Sie da-
mit freilich ihre On-Premise-Server nicht
Bild 4: Auch hier steckt die PowerShell drin: Ein grafisches Runbook kommt ohne eine Zeile
sichtbaren Code aus.
www.it-administrator.de
erreichen, diese sind schlielich nicht
Bestandteil von Azure. Aber nichtsdes-
totrotz gibt es gengend Anwendungs-
flle, die in einem hybriden Umfeld Sinn
ergeben. Luft zum Beispiel ein Teil Ihrer
SQL-Server in Azure und der andere Teil
lokal im RZ, eignet sich Azure Automa-
tion fr Wartungsarbeiten per Power-
Shell. Oder wenn Sie Server aus beiden
Welten mittels Dynamic State Configu-
ration gem gleichem Muster konfigu-
rieren, ist dies ein weiterer der zahlrei-
chen denkbaren Anwendungsflle.
Die Einrichtung ist freilich nicht mit zwei
Mausklicks getan: Sie mssen, um "Hy-
brid-Worker" zu implementieren, die "Mi-
crosoft Operations Management Suite"
(OMS) [6] aktivieren. Dies ist eine SaaS-
Management-Lsung, die auch vor bei-
spielsweise AWS (Amazon Web Services)
nicht Halt macht und Verwaltungs- und
berwachungsarbeiten im hybriden Um-
feld bernimmt.
Wir bleiben bei unseren "Hybrid-Worker"
und navigieren im klassischen Portal ber
"Neu" und dann "Verwaltung" zu den
Apps aus dem Verwaltungsbereich und
aktivieren dort einen OMS-Arbeitsbereich
fr unser Azure-Automation-Konto. Aus
dem klassischen Portal oder aus dem
Azure-Portal heraus knnen Sie sich per
Hyperlink an der eben erstellten Suite an-
Azure Automation Schwerpunkt
melden. Hier heit es, ber die Kachel
"Solution Gallery" eine Lsung hinzuzu-
fgen. Im Katalog sehen Sie alle vorhan-
denen Lsungen und whlen dort "Au-
tomation" aus. Danach gelangen Sie
wieder zurck auf die Verwaltungsseite
des OMS-Arbeitsbereiches. Dieser bein-
haltet nun eine neue Kachel mit der Be-
zeichnung "Automation" und einen Hin-
weis, diesen nun zu konfigurieren. Wir
folgen der Kachel und eine weitere Web-
seite mit einer Auswahl der vorhandenen
Azure-Automation-Konten erscheint.
Hier selektieren Sie das gewnschte Au-
tomation-Konto und beenden so diesen
Teil der Konfiguration.
Im nchsten und letzten Schritt mssen
Sie auf den On-Premise-Servern den Mi-
crosoft-Management-Agenten installie-
ren. Gehen Sie zurck auf die Verwal-
tungsseite von OMS und whlen Sie links
unten "Settings". Sie mssen hier lediglich
noch Punkt 2 "Connect a Data Source"
(das OMS-Portal gibt es aktuell nur auf
Englisch) whlen und knnen dann direkt
den Download des Agenten starten. Sollte
es Ihnen nicht mglich sein, die Installa-
tionsdatei auf die Zielserver zu kopieren,
knnen Sie den Agenten auch auf einem
Server direkt herunterladen [7]. Denken
Sie jedoch daran, die erweiterte Sicherheit
des Internet Explorers auf dem Server
auszuschalten, sollten Sie sich fr diesen
Weg entscheiden.
Abschlieend verbinden Sie von der
PowerShell aus den Hybrid-Worker mit
dem Server. Wechseln Sie am PowerShell-
Prompt in das Verzeichnis "C:\ Program
Files \ Microsoft Monitoring Agent \
Agent \ AzureAutomation \ 7.2.7396.0 \
HybridRegistration" und bedenken Sie,
dass sich die Version im Pfad je nach Ver-
sionsnummer des Management-Agenten
zwischenzeitlich gendert haben kann.
Importieren Sie nun das Modul "Hybrid-
Registration" mit dem Befehl
Import-Module
./HybridRegistration.psd1"
Jetzt fhren Sie folgendes Cmdlet aus, um
auf dem Computer die Runbook-Umge-
bung zu installieren und diesen mit Azure
Automation zu verbinden:
Juli 2016 87
S ch we rp unk t Azure Automation

ment-Webseite fr Ihre Azure-AD-Do-

Bild 5: Nach Einrichten des Hybrid-Workers lsst sich auswhlen, wo ein Runbook ausgefhrt werden soll.
Add-HybridRunbookWorker -Name Name
-EndPoint URL -Token String
Alle Parameter entnehmen Sie der Ver-
waltungsseite fr Ihr Automation-Konto,
indem Sie das Schlsselsymbol auswh-
len. Die Parameter tragen dort die gleiche
Bezeichnung wie im Cmdlet. Bleibt blo
zu beachten, dass der primre Zugriffs-
schlssel dem Parameter "Token" ent-
spricht. Damit ist die Einrichtung des
Hybrid-Workers auf diesem Server abge-
schlossen. Starten Sie nun ein Runbook
Link-Codes
[1] Azure Automation klassisches Portal
G7Z21
[2] Azure-Portal auf Basis des
Ressourcen-Managers
G7Z22
[3] Unterschiede der Portale
G5Z62
[4] Vor- und Nachteile unterschiedlicher
Runbooks
G7Z23
[5] Runbook-Katalog
G7Z24
[6] Microsoft Operations Management
Suite
G7Z25
[7] Download OMS-Agent
G7Z26
[8] Kosten OMS
G7Z27
[9] Azure-Dokumentationscenter
G7Z28
"Mitwirkender fr virtuelle Computer".
aus dem Portal, knnen Sie bei den Aus-
fhrungseinstellungen whlen, wo das
Runbook ausgefhrt werden soll, in Azu-
re oder auf dem Hybrid Worker.
OMS ist ebenfalls nur bis zu einem be-
stimmten Nutzungskontingent kostenfrei,
danach wird es kostenpflichtig [8]. Mi-
crosoft erweitert stndig die Funktionen
in Azure. OMS lie sich bis vor Kurzem
nur im klassischen Portal einrichten, dies
funktioniert nun gleichfalls im Azure-
Portal. Dies gilt jedoch noch nicht fr das
Azure Active Directory. Um Admin-Kon-
ten zu verwalten, fhrt der Weg nach wie
vor ins klassische Portal.
Automation mit
Rollentrennung steuern
Azure untersttzt eine strikte Rollentren-
nung ber RBAC (Role Based Access
Control). Dies sollten Sie in Azure, ver-
bunden mit Automation, in zweierlei Wei-
se betrachten: Pflegen Sie zum einen Rol-
len, mit denen sich Personen anmelden,
und zum anderen ist es sinnvoll Rollen
zu etablieren, in deren Kontext Runbooks
laufen, hnlich der Service- Accounts im
Active Directory. Auf diese Art ist es ein-
fach, granular Konten zu benutzen.
Schauen wir uns das Ganze an einem
Beispiel an: Angenommen Sie mchten
fr den Job, der die VMs automatisch
herunterfhrt, ein dediziertes Konto ein-
setzen. Rufen Sie hierfr die Manage-
main auf. Hier pflegen Sie die Benutzer
und Gruppen (Rollen) der Administra-
toren und hier erstellen Sie ein neues
Konto fr das Azure-Automation-Konto,
das die Rolle "Benutzer" hat mehr ist
nicht notwendig. Rufen sie nun im Azu-
re-Portal die Seite mit den "Abonne-
ments" auf. Berechtigungen werden auf
Abonnement-Ebene eingerichtet und fr
den Fall, dass Sie mehrere Abos nutzen,
rufen Sie genau das auf, in dem Sie Ihr
Azure-Automation-Konto erstellt haben.
In den Benutzereigenschaften haben Sie
nun die Mglichkeit, dem eben im klas-
sischen Portal erstellten Konto selektiv
Rechte zuzuordnen. Fr unser oben er-
stelltes Runbook bentigen wir die Rolle
Diese Rolle kann VMs managen, hat
aber keinen Zugriff darauf. Das hier er-
stellte Konto wird abschlieend samt
Passwort in der Variablen "RunAccount"
verschlsselt abgelegt.
Fr Mitarbeiter, die in Azure Hand anle-
gen, lassen sich auf der Verwaltungsseite
im Azure-Portal direkt administrative
Rollen zuweisen. Ein Praktikant, der
eventuell nur lesen darf, kann hier genau-
so administriert werden, wie ein Admi-
nistrator oder andere weitreichende Rech-
teprofile. Diese gelten freilich nur fr
dieses spezielle Automation-Konto und
nicht darber hinaus.
Fazit
Schon mit den Mglichkeiten, On-Pre-
mise-Server zu adressieren oder aber DSC-
Setups mit einzubeziehen, bietet Azure
Automation dem Administrator viel
Potential. Nervig ist nach wie vor, dass es
zwei Portale gibt, mit denen sich manch-
mal gleiche Arbeit durchfhren lsst und
manchmal nicht. Stellenweise sind auch
Objekte in den unterschiedlichen Portalen
nicht sichtbar. Dies liegt aber wohl am
bergang vom klassischen zum neuen
Azure-Portal. Der modulare Aufbau in
Azure und die Mglichkeit, bis zu einem
bestimmten Nutzungsvolumen kostenfrei
zu hantieren, laden trotzdem dazu ein,
die Techniken auzuprobieren. Unterstt-
zung findet der Administrator brigens
zu allen Themen im gut sortierten Azure-
Dokumentationscenter [9]. (jp)

88 Juli 2016 Link-Codes eingeben auf www.it-administrator.de

SICHERN SIE SICH 180 SEITEN GEBALLTES WISSEN:

IT-ADMINISTRATOR
SONDERHEFTE
Sonderheft I/2016
VMware vSphere 6
- Die wichtigen Neuerungen in vSphere 6
- Schritt fr Schritt durch Installation und Einrichtung: Setup
von vCenter, Storage, Clustern sowie Ressource-Pools.
- Verwaltung der virtuellen Maschinen samt Snapshots,
Ressourcenverwaltung und Sicherheit.
- Zahlreiche Drittanbieter-Tools vorgestellt.

Sonderheft II/2015
Monitoring
- Features moderner Monitoring-Systeme und
umfangreicher Marktberblick
- Installations- und Konfigurationsanleitung zu freien
Werkzeugen wie Nagios und seinen Varianten, Check_MK
und Wireshark, sowie zu System Center, Paessler PRTG
und WhatsUp Gold.

Abo- und Leserservice

IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
D-65341 Eltville
Mehr Infos und Bestellung unter
Tel: 06123/9238-251
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
S ch we rp unk t Microsoft Operations Management Suite

Microsoft Operations Management Suite

Operation Durchblick
von Thomas Joos

Mit der Microsoft Operations Management Suite bietet

Microsoft eine umfassende berwachungslsung an, mit
der sich lokale Netzwerke, aber auch Cloud-Lsungen
und hybride Infrastrukturen effizient berwachen und
steuern lassen. Im Zentrum steht die schnelle und einfache
Einrichtung, inklusive hoher Flexibilitt und Skalierbarkeit.

Quelle: Vyacheslav Volkov 123RF
icrosofts Operations Management
M Suite (OMS) [1] arbeitet zwar mit
dem System Center zusammen, lsst sich
aber auch unabhngig davon buchen. Ein-
zelne Server im Netzwerk werden ber
einen Agenten angebunden. Fr OMS
selbst sind keine eigenen Server notwen-
dig. Alles, was fr den Betrieb gebraucht
wird, stellt Redmond ber die Cloud be-
reit. Natrlich ist die Umgebung skalier-
bar und erlaubt jederzeit die Anbindung
an System Center oder andere berwa-
chungslsungen.
Mit OMS knnen Sie nicht nur Windows-
Systeme, sondern auch Linux-Server ber-
wachen. Zustzlich lassen sich VMware
und OpenStack mit OMS berwachen
und steuern. Ebenso knnen Sie mit OMS
die Verfgbarkeit von physischen und vir-
tuellen Servern, aber auch von kompletten
Virtualisierungsinfrastrukturen sicher-
stellen. Weiterhin lassen sich mit dem
Cloud-Werkzeug Alarme zu Fehlern, eine
Inventarisierung sowie ein Ticket-System
umsetzen. Microsoft zeigt in einem zwei-
mintigen Film [2], welche Features OMS
grundstzlich bietet.
Zentrale berwachung
fr Gro und Klein
Neben der berwachung von Servern und
Cloud-Diensten knnen Unternehmen mit
OMS auch verschiedene Azure-Dienste
nutzen, um das Netzwerk und die Server
verfgbarer zu betreiben. So lassen sich
VMs zum Beispiel ber Azure Site Reco-
very hochverfgbar replizieren, Daten mit
Azure Backup in der Cloud sichern und
wiederherstellen oder innerhalb von Azure
automatische Funktionen integrieren. Mit
Azure Operational Insights knnen Sie die
angebundenen Server berwachen. Die
Dienste lassen sich getrennt voneinander
buchen und betreiben, sind aber unter dem
Dach der OMS vereint.
Von OMS profitieren vor allem groe Un-
ternehmen, die zahlreiche Rechenzentren
betreiben und ein zentrales berwa-
chungswerkzeug suchen. Wird dann noch
eine Hybrid Cloud zusammen mit Micro-
soft Azure oder AWS betrieben, lohnt sich
der Einsatz von OMS noch mehr. Aber
auch kleine Unternehmen mit wenigen
Servern knnen von OMS profitieren.
Denn hier findet oft keine berwachung
der Server statt, da sich die Anschaffung
einer umfassenden Monitoring-Lsung
nicht lohnt. Durch die Verwendung von
OMS knnen sich Organisationen den
Aufbau einer eigenen berwachungsin-
frastruktur sparen und durch die modu-
lare Lizenzierung von OMS genau die
Dienste buchen, die sie bentigen.
Erste Schritte in OMS
Die Oberflche zur Verwaltung der Ope-
rations Management Suite ist webbasierend
und flexibel zu konfigurieren. Microsoft
stellt zudem Apps zur Verfgung, mit de-
nen sich Server ber Smartphone und Tab-
let auch unterwegs berwachen und steu-
ern lassen. Da dieses Monitoring nur eine
Internetverbindung bentigt, erhalten Ad-
ministratoren auch unterwegs ausfhrliche
Informationen zu ihrer Umgebung. Jeder
Nutzer kann seine Oberflche einfach an-
passen und an seine Anforderungen an-
gleichen. Das erhht bersicht und Fle-
xibilitt. Denn mit der GUI knnen auch
mehrere Administratoren arbeiten, die ver-
schiedene Bereiche des Netzwerkes ber-
wachen sollen und daher unterschiedliche
Anforderungen haben.
Mit OMS lsst sich auch die AD-Repli-
kation im Netzwerk nachvollziehen. Mi-
crosoft hat dazu die Funktionen des bisher
kostenlosen AD Replication Status-Tools
in OMS integriert. Verwenden Sie im Un-
ternehmen die OMS-Lizenz ohne System
Center, mssen Sie auf den Domnen-
controllern den Agenten fr die Cloud-
Lsung installieren. Anschlieend lassen
sich Domnencontroller und deren AD-
Replikation weiterhin kostenlos berwa-
chen. Dazu senden die Domnencontrol-
ler die Daten der Replikation in die Cloud.
Die Daten werden durch den AD-Repli-
kationsdienst verarbeitet und angezeigt.

90 Juli 2016 www.it-administrator.de


Bild 1: Die berwachung der Server erfolgt ber einen Agenten,
dessen Installationsdateien ber die Weboberflche zur Verfgung stehen.
Server berwachen
und replizieren
Die Funktionen von OMS lassen sich in
drei Bereiche unterteilen. Generell kn-
nen Sie mit der Suite alle Protokolle der
Server auswerten und analysieren. Dazu
bertrgt der Agent die Daten in die
Cloud. Die Protokolle werden in Echtzeit
ausgewertet und in den Dashboards zur
Verfgung gestellt, die Sie sich in der
Oberflche einrichten. Die Auswertung
geht wesentlich schneller vonstatten und
ist auch einfacher eingerichtet als mit dem
System Center. Sobald die Server einge-
bunden sind, bertragen sie bereits die
Daten in die Cloud.
Der zweite wichtige Bereich ist die Echt-
zeit-berwachung der Maschinen im lau-
fenden Betrieb und die Konfiguration der
angebundenen Server. Erkennt OMS, dass
ein Server Probleme hat, kann die Lsung
auch eine Aktivierung eines Replikats ver-
anlassen, das durch Azure Site Recovery
in ein anderes Rechenzentrum bertragen
wurde. Viele Dinge lassen sich automati-
sieren, vor allem wenn es um die Daten-
bertragung oder die Anpassung von Da-
tenverbindungen zwischen On-Premise
und der Cloud geht. Hier knnen auch
PowerShell-Cmdlets zum Einsatz kommen.
www.it-administrator.de
Microsoft Operations Management Suite
Mit OMS lassen sich also auch Replikate
von Servern steuern und berwachen,
zum Beispiel die Replikation in Micro-
soft Azure, aber auch mit EMC oder
NetApp. In greren Umgebungen ist
OMS also durchaus in der Lage, fr eine
gewisse Hochverfgbarkeit zu sorgen,
diese zu monitoren oder sich in HA-L-
sungen einzubinden, um diese zu ber-
wachen und zu steuern. Basis ist Azure
Site Recovery, ein Dienst, der VMs zwi-
schen Rechenzentren und der Cloud re-
plizieren kann.
Parallel dazu lassen sich Daten von wich-
tigen Servern mit Azure Backup in der
Cloud sichern, und auf Wunsch auch wie-
derherstellen. Unternehmen, die mehrere
Rechenzentren betreiben beziehungsweise
mehrere Hyper-V-Hosts, haben die Mg-
lichkeit, Azure in die Hochverfgbarkeit
zu integrieren. Dazu wird in OMS eine
Hochverfgbarkeit eingerichtet und die
VMs werden mit Hyper-V-Replikation
zwischen Hosts im Rechenzentrum
repliziert. Die Replikation ist auch ber
verschiedene Rechenzentren hinweg
mglich. Azure Site Recovery ist ein ber-
geordnetes Verwaltungstool in Microsoft
Azure, das verschiedene Netzwerke hoch-
verfgbar steuern kann.
Schwerpunkt
Der dritte Bereich ist das Automatisieren
von Verwaltungsaufgaben fr die ange-
bundenen Server. Sie knnen alle ange-
bundenen Ressourcen und Server steuern
und berwachen, nicht nur den Server als
alleinstndiges Objekt im Netzwerk. Beim
Einsatz von OMS spielt auch das Moni-
toring und die Steuerung der Sicherheit
eine wichtige Rolle. Sie knnen auch die
Installation von Updates zentral steuern.
Interessant ist an dieser Stelle die Mg-
lichkeit, nicht nur Windows im Auge zu
behalten oder zu steuern, sondern auch
Linux-Server. Eine umfassende berwa-
chung der Patch-Installationen ist mit
OMS auch dann mglich, wenn WSUS
im Einsatz ist. Auerdem erkennt das
Werkzeug den Status des Virenscanners
auf den angebundenen Servern.
Verwaltung per Web-
oberflche und mobiler App
Fr Administratoren, die sich bereits et-
was mit OMS auseinandergesetzt haben,
bietet die Weboberflche eine einfache
Abfragesprache und umfassende Filter.
Dadurch haben Sie die Mglichkeit, ge-
nau die Daten anzeigen zu lassen, die ak-
tuell von Interesse sind.
Vor allem fr grere Umgebungen ist es
ntzlich, gezielt Serverdienste und einzelne
Server zu gruppieren. Die Verwendung
der Abfragesprache ist optional. Natrlich
OMS kostenlos testen
Wem 500 MByte tglicher Upload fr die Pro-
tokolldateien ausreichen und wer die Daten
nur maximal sieben Tage nutzen will, kann Mi-
crosoft Operations Management Suite eine
Zeitlang kostenlos testen. Sobald Sie sich in
der Umgebung anmelden, wird, wie oben im
Fenster zu sehen, der kostenlose Datenplan
aktiviert. Bei der Einrichtung hilft kein Assis-
tent, sodass Sie sich bei der berwachung zu-
nchst etwas einarbeiten mssen. Zur Anmel-
dung ist ein Geschftskonto bei Microsoft
notwendig, zum Beispiel eines, das auch fr
Azure oder Office 365 genutzt wird. Sobald
die Cloud-Umgebung eingerichtet ist, knnen
Sie die kostenlose berwachung Ihrer Server
durchfhren. Falls notwendig, lsst sich der
Funktionsumfang der Umgebung jederzeit
kostenpflichtig nach oben anpassen. Die Prei-
se und den Funktionsumfang der einzelnen
Pakete listet Microsoft im Web [3] auf.
Juli 2016 91
S ch we rp unk t Microsoft Operations Management Suite
Bild 2: Mit OMS lassen sich Dienste der angebundenen Server berwachen.
Die Funktionen stehen ber die Solution Gallery zur Verfgung.
knnen Sie auch ohne die Sprache arbei-
ten und nur das Webinterface nutzen.
OMS bietet die Option, verschiedene Be-
nutzer/Administratoren anzulegen, die
sich an der Oberflche anmelden knnen.
Jeder Administrator, der im Unternehmen
die Oberflche der Operations Manage-
ment Suite nutzt, kann ein eigenes Dash-
board erstellen. Es kann also jeder Benut-
zer oder Administrator auf die Server und
Serverdienste zugreifen, fr die er zustn-
dig ist. Alternativ knnen sich Admi-
nistratoren, die fr die gleichen Server
zustndig sind, eigene Oberflchen zu-
sammenstellen, mit denen sie besser ar-
beiten knnen.
Die Solutions Gallery in der webbasier-
ten Verwaltungsoberflche zeigt die ver-
schiedenen Funktionen an, ber die sich
angebundene Server berwachen und
steuern lassen. In den Einstellungen von
OMS werden auch die bereits hinzuge-
fgten Solutions angezeigt. Hier knnen
Sie die jeweiligen berwachungsbereiche
auch wieder entfernen. Neben dem Zu-
griff ber das Webinterface stellt Micro-
soft auch Apps zur Verfgung, mit denen
sich die Umgebung unterwegs ber
Smartphone und Tablet nutzen lsst. Die
Apps stehen kostenlos im jeweiligen
App-Store zur Verfgung. Nach der In-
92 Juli 2016
stallation erfolgt die Anmeldung mit
dem Microsoft-Konto.
Agenten installieren
Vor der berwachung mssen Sie die ge-
wnschten Server und Cloud-Dienste an
OMS anbinden. Dazu stellt die Umgebung
verschiedene Agenten zur Verfgung. Die-
se installieren Sie auf den Ziel-Servern. Im
Rahmen der Einrichtung mssen Sie die
ID fr die Anbindung an die Management
Suite angeben. Die Daten dazu erhalten
Sie auf der Downloadseite des Agenten.
Nachdem der Agent installiert ist, wird er
ber die Systemsteuerung konfiguriert.
Die Einstellungen dazu sind ber "Micro-
soft Monitoring Agent" zu finden.
Im Agenten selbst nehmen Sie dann alle
Einstellungen vor, um den Server an OMS
anzubinden. Vor allem die Registerkarte
"Azure Operational Insights" ist von zen-
traler Bedeutung. Hier wird die Anbin-
dung an OMS aktiviert. Die Daten fr die
Arbeitsbereich-ID und den Arbeitsbe-
reich-Schlssel sind auf der Downloadseite
der Agenten zu finden. Sobald Sie die An-
bindung erfolgreich durchgefhrt haben,
sehen Sie im Agenten die Anbindung an
die Operations Management Suite.
Nach der erfolgreichen Anbindung wird
der neue Server in der Weboberflche
von OMS angezeigt. Sie finden die Ein-
stellungen dazu auf der Startseite ber die
Kachel "Settings". Erst wenn ein Server
hier erscheint, ergibt es Sinn, die ber-
wachung zu konfigurieren. Alle weiteren
Schritte nehmen Sie in der Weboberflche
der Management Suite vor. In den Ein-
stellungen der Agenten auf den einzelnen
Servern mssen Sie keine Anpassungen
mehr umsetzen.
berwachung
im Detail konfigurieren
Nach dem Anbinden von Servern besteht
der nchste Schritt darin, festzulegen, was
alles auf den Servern berwacht werden
soll. Sobald Sie hier Einstellungen vorge-
nommen haben, liest die Cloud-Lsung
die von den Agenten bertragenen Daten
ein. Bis erste Informationen angezeigt
werden, kann es einige Zeit dauern. Was
genau Sie mit OMS beobachten wollen,
steuern Sie ber die Settings-Kachel. Kli-
cken Sie auf diese Kachel, sind zunchst
die hinzugefgten Solutions zu sehen,
zum Beispiel die berwachung der AD-
Replikation im Netzwerk. Sie knnen aber
jederzeit weitere Solutions integrieren,
deren Daten dann hier angezeigt werden.
In der Solutions Gallery stehen viele kos-
tenlose Erweiterungen zur Verfgung.
Diese lassen sich mit wenigen Klicks in
die Oberflche integrieren.
Erweitertes Monitoring
Sobald Sie Server angebunden haben und
diese Daten bertragen, lassen sich ber den
Menpunkt "Solutions Gallery" weitere
berwachungsbereiche integrieren. Diese
werden automatisch auf der Startseite ange-
zeigt, sobald sie diese hinzugefgt haben.
Nicht mehr bentigte berwachungen kn-
nen Sie in den Einstellungen auch wieder
entfernen. ber "Logs Search" durchsuchen
Sie die konfigurierten Protokolle. In einem ei-
genen Suchfenster erstellen Sie eigene Abfra-
gen und bringen Informationen zu den ber-
tragenen Daten auf den Schirm. Mit einem
Klick auf "Add" lesen Sie weitere Protokolle
ein. Wollen Sie ein eigenes Dashboard erstel-
len, klicken Sie auf "My Dashboard". Hier
knnen Sie eine Monitoring-Oberflche nach
eigenen Anforderungen zusammenbasteln.
Mit "Add" fgen Sie neue Felder hinzu, mit
"Edit" bearbeiten Sie diese.
www.it-administrator.de
 Microsoft Operations Management Suite Schwerpunkt

Bild 3: In der Weboberflche von OMS steuern Sie, welche Informationen
aus den bertragenen Daten des Servers ausgelesen werden.
ber den Menpunkt "Connected Sour-
ces" sehen Sie die Agenten und Daten-
quellen einzelner Server oder ganzer
Gruppen in System Center Operations
Manager. Diese lassen sich aber nicht
kostenlos berwachen. Hier sehen Sie
aber auch einzelne Server, die Sie ange-
bunden haben. Durch einen Klick auf
den Link mit den verbundenen Servern
sind deren Namen zu sehen sowie wei-
tere Informationen. Nur die Server, die
hier angezeigt werden, lassen sich mit
OMS monitoren. Bei der Einrichtung
sollten Sie Ihr Augenmerk daher auf die-
se Informationen legen.
ber den Menpunkt "Data" whlen Sie
aus, welche Informationen von den an-
gebundenen Servern angezeigt und ber-
wacht werden sollen. ber das Plus-Zei-
chen integrieren Sie zum Beispiel die
Ereignisanzeige in OMS. Sie knnen an
dieser Stelle aber auch weitere Daten aus-
lesen lassen.
ber den Menpunkt "Accounts" konfi-
gurieren Sie die Benutzer, die Zugriff auf
die Monitoring-Daten haben sollen. Au-
erdem lschen Sie an dieser Stelle nicht
mehr bentigte Workspaces innerhalb
der Umgebung.
Fazit
Unternehmen, die eine umfangreiche und
flexible berwachungslsung suchen,
aber nicht noch mehr eigene Server und
Datenbanken betreiben wollen, erhalten
mit der Microsoft Operations Manage-
ment Suite ein mchtiges Werkzeug. Fir-
men, die auf Azure oder AWS setzen,
knnen mit OMS Cloud-Dienste genauso
monitoren wie Windows- und Linux-Ser-
ver. Durch die kostenlosen Apps lassen
sich Server und Cloud auch mobil ver-
walten. Nachteil ist natrlich die ber-
tragung der Daten in die Cloud. Wer die
Kontrolle ber seine berwachungsdaten
behalten will, sollte daher auf ein lokales
Monitoring setzen. Dieses ist dann aber
auch teurer und meist komplizierter in
Installation und Betrieb. (ln)
Link-Codes
[1] MS Operations Management Suite
G7Z25
[2] Video-berblick zu Microsoft OMS
G7Z12
[3] Preise von Microsoft OMS
G7Z27

Praxis-Know-how zum Vorbestellen:

Das IT-Administrator Sonderheft II/2016

Erfahren Sie auf 180 Seiten

alles rund um das Thema:

Windows Server 2016

und Windows 10
Neue Features, Rollout und Clientmanagement
Erhltlich
Bestellen Sie jetzt zum Abonnenten- ab Oktober
Vorzugspreis* von nur 24,90 Euro! 2016
Abo- und Leserservice * IT-Administrator Abonnenten erhalten das Sonderheft II/2016 fr 24,90. Nichtabonnenten zahlen 29,90.
IT-Administrator All-Inclusive Abonnenten "zahlen" fr Sonderhefte nur 16,00 - diese sind im Abonnement
IT-Administrator dann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel
D-65341 Eltville
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Auswahl und Integration von Cloud-Diensten

Das Cloud-
Puzzle lsen
von Mark Borgmann

In Sachen Cloud-Computing mssen sich Unterneh-

men zunchst klar werden, welche IT-Ressourcen sie
wie managen und welche Services sie nutzen wollen.
Entscheiden sich Anwenderfirmen fr Dienste
verschiedener Anbieter, bedeutet das
hheren Integrationsaufwand,
zustzliche Schnittstellen und
Abhngigkeiten. Dem begegnen
gute Cloud-Provider, indem sie alle

Quelle: Olesia Gapchuk 123RF

drei Cloud-Layer IaaS, PaaS und SaaS
abdecken, wodurch sich komplexe IT-Strukturen
vereinfachen lassen. Daneben gibt es aber noch
andere Kriterien bei der Anbieterwahl zu beachten,
damit das digitale Durchstarten unbeschwert gelingt.

uch in den IT-Betrieb dringen
A Diskussionen ber Unterneh-
mensplanung, Geschftsprozesse und -
modelle sowie Produktplanung vor. Die
Debatten dienen dem Ziel, das Unter-
nehmen wettbewerbsfhiger zu machen
und fr die Zukunft auszurichten. Die
digitale Transformation muss dabei in
agile und effiziente Geschftsprozesse
mnden und selbst etablierte Player
mssen in ihren Segmenten digital neu
starten oder nachjustieren; erinnert sei
hier nur an Kodak oder Nokia. Anhand
der ehemals klangvollen Marken lsst
sich leicht erkennen, wie schnell der di-
gitale Wandel unbewegliche Gren vom
Markt splen kann.
Deutsche favorisieren
Hybrid Cloud
Die richtige Schlussfolgerung muss daher
lauten: Unternehmen mssen jetzt ihre
Geschftsmodelle, Prozesse und Dienst-
leistungen anpassen, um langfristig wett-
bewerbsfhig zu bleiben. Die Cloud ist
hierbei ein Eckpfeiler. Sie lsst sich nahezu
unbegrenzt skalieren, erspart Unterneh-
men hohen Aufwand fr Implementie-
rung und Updates. Und es gibt neben den
geringeren Kosten noch einen weiteren
berzeugenden Grund: Eine neue Soft-
ware-Lsung lsst sich im Prinzip sofort
in Betrieb nehmen; vor allem aber pro-
fitieren Unternehmen auf diese Weise von
schnellen Innovationszyklen. Immer
mehr Unternehmen erkennen die Vorteile
der Cloud: Laut einer aktuellen Studie
von IDG Connect und Oracle ist die
berwltigende Mehrheit (92 Prozent)
der befragten 458 Unternehmen (aus
Europa, dem Mittleren Osten und Afrika)
berzeugt, dass sie mit Hilfe der Cloud
Innovationen schneller umsetzen kann.
Und immerhin gut die Hlfte wird in den
nchsten zwei Jahren auch reif fr die
Cloud sein.
Viele Unternehmen speziell in Deutsch-
land bevorzugen dabei die Hybrid Cloud.
Das bedeutet: Das eigene Rechenzentrum
stellt einen Teil der IT-Ressourcen und
-Services bereit, den anderen Teil liefern
Anbieter von Public-Cloud-Services. Die
Skepsis gegenber der Public Cloud ist
nach wie vor gro. Auch gegenber der
Hybrid Cloud gibt es hufig noch Vorbe-
halte. Dabei spielen Sicherheitsbedenken
mittlerweile allerdings eine untergeord-
nete Rolle, stattdessen rcken operative
Herausforderungen wie das Management
unterschiedlicher IT-Architekturen (59
Prozent) und die verfgbare Bandbreite
(57 Prozent) in den Vordergrund. Auch
findet sich die Beziehung mit dem IT-
Anbieter (56 Prozent) weit oben auf der
Bedenkenliste.
Als wichtigste Faktoren fr die erfolg-
reiche Implementierung einer Hybrid-
Cloud-Infrastruktur betrachten die Stu-
dienteilnehmer die Untersttzung we-
sentlicher Business-Entscheider im
Unternehmen, gefolgt von Kosteneffizienz
sowie einer soliden und vertrauensvollen
Beziehung mit dem Anbieter. Unterneh-
men bertragen also nicht nur ihre Be-
denken, sondern auch ihre Hoffnungen
auf die Provider.

94 Juli 2016 www.it-administrator.de

Ziel und Bedarf im Visier
Intensiv-Seminar
Bevor sich Unternehmen jedoch mit der Auswahl des L-
sungsanbieters und der Implementierung der Cloud-Lsungen Best Pract
beschftigen, sollten sie vor allem zwei strategische Fragen ices
beantworten: Was ist eigentlich das Ziel? Und wie sieht der Windows
konkrete Bedarf aus? Hier sind insbesondere die Fachabtei-
lungen gefragt und in der Pflicht, denn diese sind zunehmend
10
der Treiber fr den Einsatz von Cloud-Lsungen. CIOs und
IT-Experten fungieren in diesem Prozess vor allem als Berater
und "Marktforscher": Sie greifen die Anforderungen und An-
regungen der Fachbereiche auf und entwickeln gemeinsam
mit dem passenden Anbieter Szenarien, wie sich Geschfts-
modelle und -prozesse mit Hilfe von Cloud-Services am besten
umsetzen lassen.

Zu den Branchen in Deutschland, die 2015 auf Cloud-Com-

puting-Lsungen setzten, zhlen laut dem von der Beratungs-
gesellschaft KPMG und von Bitkom Research herausgegebenen

Quelle: goodluz 123RF.com

Cloud Monitor 2015 vor allem der IT- und Telekommunika-
tionssektor, der Logistik-Bereich sowie die Pharma- und che-
mische Industrie, der Handel sowie der Automobilsektor. Groe
Konzerne nutzen Cloud-basierte Lsungen fr das Customer
Relation Management (CRM) oder die Personalverwaltung.
Andere groe oder mittelstndische Unternehmen beziehen
hingegen Infrastrukturservices wie Rechenleistung oder Sto- Bensheim: 8. bis 9.11.2016
rage-Ressourcen (Infrastructure-as-a-Service). Wieder andere
brauchen Datenbanken, Office-Pakete, Collaboration-Lsungen und 30. bis 31.01.2017
oder IT-Security-Produkte unterschiedlicher Ausprgung. In
der Folge sind laut einer Studie von Skyhigh Networks in einem in-time IT Training Center GbR,
europischen Unternehmen mittlerweile durchschnittlich 1038 Darmstdter Strae 63
Cloud-Dienste im Einsatz (im Vorjahr waren es noch 782).
Bleibt festzuhalten: Es gibt fr jedes Einsatzszenario eine An- 64625 Bensheim
wendungs-, Plattform- oder Infrastrukturlsung aus der Wolke.
Anmeldung unter:
Nun erfolgt die konkrete Umsetzung einer neuen Cloud-Infra- www.it-administrator.de/
struktur aber nie auf der grnen Wiese; eine erfolgreiche Inte-
gration in die bestehende IT-Infrastruktur ist deshalb von zentraler
trainings
Bedeutung. Zudem muss sich das Unternehmen immer die Fra-
gen stellen: Wo wollen wir eigentlich in fnf oder zehn Jahren
Agenda Unser Angebot:
stehen und welche IT-Infrastruktur brauchen wir dafr?
Windows-10-Installation - Maximal 10 Teilnehmer je Seminar.
Installation mit MDT, ACT, USMT Windows ICD
Orientierung im und Bereitstellungspakete Umgang mit Windows - Ein PC fr jeden Teilnehmer
Update for Business - Jeweils 2-tgiges Intensiv-Seminar
breiten Angebotsspektrum
Security von 9:00 bis 17:00 Uhr.
Potenzielle Cloud-Anwender haben die Qual der Wahl, weil Windows Hello & Passport for Business EFS und
immer neue Cloud-Anbieter im Markt auftauchen. Oft ist es BitLocker/BitLocker To Go Secure und Measured
Seminarpreise:
so, dass Neukunden die Qualitt und langfristige Eignung eines Boot Device Guard und Credential Guard Zuge-
wiesener Zugriff Windows 10 mit MDM verwal-
Angebots nicht ausreichend gut beurteilen knnen. ten 1.273,30 Euro
Windows 10 im Unternehmen (inkl. 19% MwSt.)
Es gibt jedoch einige grundlegende Kriterien, auf die Unter- Gruppenrichtlinien Azure AD Join Workplace
Sonderpreis fr
Join Unternehmens-PC einrichten
nehmen und Entscheider achten sollten: Der Anbieter sollte Abonnenten des IT-Administrator
Windows 10 im Netzwerk
ber ein mglichst umfangreiches Lsungsportfolio ber alle Netzwerkumgebung Netzwerkdiagnose 1.106,70 Euro (inkl. 19% MwSt.)
drei Cloud-Layer hinweg (IaaS, PaaS und SaaS) verfgen. Der Windows Remote Management
Grund: Wenn Anwender Cloud-Dienste unterschiedlicher
Druckerinstallation und -verwaltung In Zusammenarbeit mit
Installation von lokalen Druckern und Netzwerk-
Anbieter beziehen, mssen sie diese mhsam integrieren, um druckern Druckertreiber aktualisieren
die Services zentral zu steuern. Damit entstehen zustzliche Benutzerprofile verwalten
Lokale und wandernde Benutzerprofile Primre
Schnittstellen und der Integrationsaufwand wchst. Das bindet und sekundre Computer Vorstellung UE-V
Sicherung und Wiederherstellung
Dateiversionsverwaltung PC-Reset/Refresh
www.it-administrator.de Hilfsmittel zum Starten defekter PCs
S ch we rp unk t Auswahl und Integration von Cloud-Diensten
Die Mehrzahl der deutschen Unternehmen stuft Cloud-Computing als wichtigste
Technologie im Zusammenhang mit der digitalen Transformation ein. Dies gilt sowohl fr
die Fachbereiche als auch die IT-Abteilung.
Kapazitten und erhht die Kosten.
Lsst sich ein breites Portfolio an Cloud-
Lsungen aus einer Hand beziehen, wer-
den sowohl der Einstieg als auch das
Aufstocken leichter: Unternehmen kn-
nen bereits aufeinander abgestimmte
Cloud-Anwendungen ordern, die ohne
Debugging, Redesign oder langwierige
Testlufe funktionieren. Wenn der Pro-
vider auch noch in der Lage ist, von der
Infrastruktur ber die Plattformen bis
hin zur Applikation den gesamten
Cloud-Stack abzubilden, ist gewhrleis-
tet, dass sich smtliche Cloud-Dienste
nahtlos an die vorhandene IT-Infra-
struktur anbinden lassen.
Zudem sollten sich Cloud-Lsungen pro-
blemlos in eine bestehende IT-Infrastruk-
tur integrieren lassen und einen flexiblen
Speichern in der Cloud
Neueinsteigende Unternehmen interessieren
sich oft im ersten Schritt fr eine kombinierte
Speicherlsung. Das Anwenderunternehmen
belsst hierbei den Groteil seiner Daten auf
einem lokalen Storage und lagert die nicht
oder wenig genutzten Daten in die Cloud aus.
Die Unternehmens-IT kann so den Anwendern
enorme Storage-Kapazitten in sehr kurzer
Zeit zur Verfgung stellen.
Das spart zudem Kosten, weil das Speichern
der ungenutzten Daten in der Cloud wesent-
lich gnstiger ist, als den Storage selbst vorzu-
halten. Ein weiteres Argument kann im einfa-
chen Handling liegen: bersichtliches
Verwalten der Storage Appliance ber die
Cloud macht von einem komplizierten lokalen
Management-Toolset unabhngig.
96 Juli 2016
Quelle: IDC
Wechsel zwischen Cloud und on-premise
ermglichen. Denn die wenigsten Un-
ternehmen werden sofort eine vollstn-
dige Migration in die Cloud anstreben,
sondern bestimmte Anwendungen wei-
terhin lokal im eigenen Rechenzentrum
betreiben wollen eventuell auch dau-
erhaft. Mglicherweise geht es zunchst
auch nur darum, Leistungsspitzen ber
die Cloud abzufedern. Laufende Lizenz-
vertrge und bestehende Hardware sind
weitere Grnde, warum der Wechsel in
die Wolke eher sukzessive verluft. Fr
maximale Flexibilitt beim Betrieb in der
Cloud und on-premise mssen Funktio-
nalitten und Look and Feel jedoch iden-
tisch sein ansonsten entstehen kom-
plexe, mehrschichtige IT-Umgebungen,
deren Management einen erhhten Auf-
wand bedeutet. Anbieter, die sowohl in
der Cloud als auch on-premise 100 Pro-
zent identische Services, Plattformen und
Anwendungen bieten, begegnen diesen
Befrchtungen aktiv. So bestimmt der
Anwender allein das Tempo bei der di-
gitalen Transformation.
Und angesichts der Vielzahl von Cloud-
Anbietern, die derzeit auf den Markt
drngen, mssen sich potenzielle Kunden
auch die Frage nach der Marktposition
dieser Anbieter stellen. Nicht nur die
Cloud-Lsung zhlt, sondern wichtig sind
auch Branchenerfahrung und Innovati-
onsstrke des Anbieters. Anhaltspunkte
dafr liefern eine langjhrige Marktpr-
senz und eine gesunde Finanzbasis. Wer
einen finanzstarken Anbieter whlt,
schliet Zukunftsrisiken aus und macht
den Weg frei fr eine langfristige enge
Zusammenarbeit. Auerdem: Etablierte
Technologieanbieter investieren in neue
Partnerschaften, Technologien und Mrk-
te. Sie sind so in der Lage, schnelle Inno-
vationszyklen zu realisieren und ihr
Cloud-Angebot kontinuierlich weiterzu-
entwickeln. Das ist in einem schnelllebi-
gen Marktsegment wie Cloud-Computing
essenziell und ohne eine starke Finanz-
basis nicht machbar.
Haben Unternehmen Zweifel, ob der ins
Auge gefasste Anbieter der richtige ist,
sollten sie sich immer wieder eine Frage
beantworten: Wird die Nutzung unserer
IT-Ressourcen mit diesem Anbieter
leichter oder komplexer? Denn letztlich
sollen Cloud-Lsungen aus Gesamtun-
ternehmensperspektive Kosten senken
und das Unternehmen in die Lage ver-
setzen, sich auf seine Kernkompetenzen
zu konzentrieren.
Offene, innovative
und integrative Lsungen
Neben den bereits genannten Grundvo-
raussetzungen gibt es noch eine Vielzahl
weiterer Faktoren, die bei der Auswahl
eines Cloud-Providers zu bercksichtigen
sind. Hier ist zuerst die Flexibilitt der
Integration und Kompatibilitt mit be-
stehenden Systemen und Anwendungen
zu nennen: Der Cloud-Anbieter sollte L-
sungen auf Basis offener Standards an-
bieten, denn damit haben Unternehmen
die freie Wahl, welche Systeme und An-
wendungen sie weiter nutzen wollen. Zu-
dem knnen sie auf dieser Grundlage ei-
genstndig Plattformen erweitern, eigene
Bausteine fr die Cloud-Umgebung ent-
wickeln oder Services von Drittanbietern
nutzen. So vermeiden Sie eine exklusive
Bindung an den Anbieter und knnen
das Versprechen von Flexibilitt und Agi-
litt einlsen. So lsst sich die digitale
Transformation im selbstbestimmten
Tempo vollziehen und ohne sich Ge-
danken ber die Integration neuer Sys-
teme machen zu mssen.
Ein weiterer wichtiger Punkt ist die In-
novationsstrke des Anbieters. Es ist zu
prfen, ob der Anbieter ber umfangrei-
che eigene IPs also die Eigentumsrechte
www.it-administrator.de
an den von ihm angebotenen Produkten verfgt oder ob er
Intensiv-Seminar
externe Lsungen oder zentrale Hardware-Komponenten zu-
kaufen und integrieren muss. Wenn Letzteres der Fall ist, er-
geben sich daraus neue Schnittstellen und auch zustzliche
Windows
Abhngigkeiten von einem dritten Anbieter (und dessen Un- Server 201
ternehmens- und Produktentwicklung).
6
Auch Integrationsservices und -kompetenz spielen hier eine
Rolle, denn Unternehmen und ihre Cloud-Anbieter stehen vor
der Herausforderung, Cloud-Lsungen in die bestehende un-
ternehmensinterne IT-Infrastruktur einzubinden und die Ser-
vices anschlieend zentral zu verwalten. Kommen Cloud-L-
sungen unterschiedlicher Anbieter zum Einsatz, steigt die
Komplexitt. Der Integrationsservice der Provider sollte in dem
Fall Konnektoren fr Applikationen, Transformation Mapper
und Tools fr das Monitoring der Integration von Private- und
Public-Cloud-Diensten umfassen.

Quelle: goodluz 123RF.com

Sicher bertragen
und richtig anbinden
Cloud-Provider garantieren in der Regel einen reibungslosen Be-
trieb ohne Datenverlust auch im Katastrophenfall. Fllt in einem
solchen Krisenfall ein Rechenzentrum aus, sorgen mehrfach re-
dundante, abgesicherte, geografisch verteilte Backup-Systeme
fr eine zuverlssige Sicherung. Berlin: 17. bis 19.11.2016
Neben dem Aspekt der Sicherheit zhlt aber auch die Anbindung PC-COLLEGE: Stresemannstrae 78
von Cloud-Services an vorhandene Applikationen und Daten- (Nhe Potsdamer Platz) 10963 Berlin
bestnde im Unternehmensrechenzentrum zu den entscheiden-
den Erfolgskriterien. Wichtig ist insbesondere eine nahtlose In-
tegration von Software-as-a-Service. Unternehmen geben etwa Dsseldorf: 24. bis 26.11.2016
50 Prozent der SaaS-Projekte auf, weil sich Cloud-Anwendungen
nicht in die vorhandene IT-Umgebung einbinden lassen. Eine
PC-COLLEGE: Hansaallee 249, Eingang C
nahezu identische Anzahl der Unternehmen hatte aus demselben 40549 Dsseldorf
Grund bereits Probleme, Projektlaufzeiten einzuhalten.
Anmeldung unter:
Fazit
In allen Branchen diskutieren Unternehmen seit Jahren ber
www.it-administrator.de/
das Fr und Wider der Cloud. Das hat sich deutlich gendert, trainings
denn jetzt liefert der Markt die passenden Lsungen, um die
Vorteile der Cloud endlich nutzbar zu machen. Die skeptische
Grundhaltung der frheren Jahre weicht immer mehr detail- Agenda Unser Angebot:
lierten Fragen und einer Wahrnehmung von Barrieren "auf - Installation und Konfiguration von - Maximal 10 Teilnehmer je Seminar.
den zweiten Blick". Ein Beleg: Das Integrieren und Managen Windows Server 2016 - Ein PC fr jeden Teilnehmer
der IT-Ressourcen bereitet den meisten Entscheidern heute - Implementierung der Active Directory
- Jeweils 3-tgiges Intensiv-Seminar
Domain Services (AD DS)
Kopfzerbrechen. Die Frage "Cloud ja oder nein?" scheinen von 9:00 bis 18:00 Uhr.
- Bereitstellung von Active-Directory-Domnen-
sie inzwischen klar zu beantworten. Es geht also nur noch controllern und Dienstkonten
um das Wie und Was. - Verwaltung und Optimierung von Speicher:
Seminarpreise:
iSCSI-Speicher und Konfiguration von
Wer aus der Cloud ein erfolgreiches Modell fr die Zukunft
Storage Spaces 2.356,20 Euro
- Implementierung des sicheren Datenzugriffs (inkl. 19% MwSt.)
machen will, braucht dafr einen professionellen Partner, der fr Benutzer und Gerte (dynamische Zugriffs- Sonderpreis fr
ber die erforderliche Branchenexpertise und Innovationskraft kontrolle / Work Folders) Abonnenten des IT-Administrator
verfgt, die oben genannten Leistungsmerkmale aufweist und - Einrichtung des Fernzugriffs
(DirectAccess / VPN)
2.177,70 Euro (inkl. 19% MwSt.)
der auch morgen noch fr seine Anwender da ist. (jp)
- Failover-Clustering mit und ohne Hyper-V
- Datensicherung und -wiederherstellung:
In Zusammenarbeit mit
Mark Borgmann ist Cloud Sales Leader Germany bei Oracle. Windows-Server-Backup & Server- und
Datenwiederherstellung)

- Hyper-V einrichten: Hyper-V-Hostserver,

Seminare, die begeistern!

Hyper-V-Speicher, Hyper-V-Networking und
www.it-administrator.de virtuelle Maschinen
Softwarelizenzierung in der Cloud
Verborgene
Risiken
von Anton Hofmeier
Cloud Computing zhlt nach wie vor zu
den wichtigsten Trends in der IT. Nach den
ersten vorsichtigen Versuchen und der Evaluie-
rung cloudbasierter Anwendungen gehen Unter-
nehmen nun immer schneller zu Public, Private oder
Hybrid Cloud ber. Doch gerade, was die Software-
lizenzierung in der Cloud angeht, liegen die
Tcken meist im Detail.
as Thema Software-Compliance
D spielt auch in der Cloud eine ent-
scheidende Rolle und birgt entsprechende
Risiken. IT-Abteilungen in Unternehmen
haben zwar Zugang zu allen Software-An-
wendungen sowie den entsprechenden
Softwarelizenzen. Oft fehlt ihnen jedoch
die Erfahrung, die komplexen und viel-
schichtigen Compliance-Richtlinien zu ma-
nagen. Dabei wird hufig davon ausgegan-
gen, dass wenn dem Unternehmen eine
Lizenz fr eine Anwendung vorliegt, diese
auch berall genutzt werden kann ein-
schlielich der Cloud. Ob die Anwendun-
gen dabei auf physischer Hardware, auf
VMs im eigenen oder in externen Rechen-
zentren laufen, spielt fr viele keine Rolle.
Softwarelizenzierung
genau berprfen
Doch unter dem Aspekt der Lizenzierung
ist genau die Umgebung, in der die Soft-
ware luft, der ausschlaggebende Faktor.
Der Grund: Software unterliegt exakt de-
finierten Lizenzbedingungen. Mit der
Einfhrung der Virtualisierung haben die
verschiedenen Anbieter von Software je-
doch unterschiedliche und oft verwir-
rende Bestimmungen vorgegeben.
Diesen Grundgedanken zu verstehen ist
entscheidend: Nur weil sich eine Software
98 Juli 2016
innerhalb einer Cloud-Umgebung instal-
lieren und nutzen lsst, heit dies noch
lange nicht, dass die Nutzung auch durch
die vom Unternehmen erworbene Lizenz
abgedeckt ist. Einige Anbieter bieten eine
solche Nutzung beispielsweise nur im Rah-
men von Speziallizenzen an. Andere ver-
bieten ausdrcklich die Nutzung ihrer Soft-
ware in der Cloud. Um also potentiell
kostspielige Compliance-Verste zu ver-
meiden, sollten IT-Abteilungen in Zusam-
menarbeit mit den fr die Lizenzierung
verantwortlichen Teams die jeweiligen Nut-
zungsbedingungen genau berprfen. Und
zwar noch ehe sie cloudbasierte Services
im Unternehmen zur Verfgung stellen.
Das gilt auch fr Desktop-Anwendungen,
die ein Unternehmen ber die Cloud hos-
ten mchte. Sie unterliegen hufig spe-
ziellen Bedingungen, die einen Betrieb
in virtuellen Umgebungen erlauben, zum
Beispiel indirekte Zugangslizenzen.
Sonderfall Virtualisierung
Noch komplexer gestaltet sich die Cloud-
Lizenzierung bei Rechenzentrumsanwen-
dungen. Viele von ihnen sind CPU-ba-
siert lizenziert und unterliegen speziellen
Bestimmungen bei der Virtualisierung.
IBM-Software beispielsweise lizenziert
nach PVUs (Processor Value Units). Luft
die Software auf virtuellen Maschinen,
Quelle: Matej Kotula 123RF
liegen besondere Anforderungen und
Einschrnkungen vor.
Nutzt ein Unternehmen also etwa IBM-
Software in der Cloud, muss es die volle
CPU-Kapazitt der physischen Maschine
angeben, auf der die Cloud-Umgebung
luft. Das stellt viele Unternehmen vor ein
Problem, denn nicht alle Cloud-Anbieter
teilen diese Information ihren Kunden mit.
Und selbst wenn sie es tun, sind Unterneh-
men oft verpflichtet, den vollen Preis fr
volle Kapazitt zu zahlen selbst wenn die
Instanz, auf der ihre Software luft, nur
eine von vielen VMs dieses Servers ist. So
knnen schnell hohe Kosten anfallen.
Manche Softwareanbieter haben damit
begonnen, spezialisierte Lizenzbestim-
mungen fr die Nutzung von Software in
Public-Cloud-Umgebungen hinzuzuf-
gen. Wollen Unternehmen beispielsweise
Oracle-Datenbanken in Cloud-Umge-
bungen nutzen, knnen sie dies nur in
einer Amazon-, Azure- oder Oracle-
Cloud tun. Whlen sie stattdessen IBM
SoftLayer oder einen anderen Cloud-An-
bieter, haben sie keine Erlaubnis und ver-
stoen automatisch gegen die Complian-
ce-Richtlinien von Oracle. An diesen
Beispielen wird deutlich, wie wichtig es
fr Unternehmen ist, die Lizenzverein-
www.it-administrator.de
barungen genau zu prfen, ehe sie Soft-
ware in die Cloud migrieren.
berprovisionierung vermeiden
Doch selbst wenn eine Lizenzierung fr
die Softwarenutzung in der Cloud vorliegt,
gibt es fr Unternehmen noch weitere Ri-
siken zu beachten. Teams fr cloudbasierte
Dienstleistungen investieren oft viel Zeit
und Aufwand in den Aufbau von internen
Infrastrukturen, um Fachabteilungen die
Vorteile der Cloud zur Verfgung stellen
zu knnen. Self-Service-Portale ermgli-
chen es Anwendern beispielsweise, schnell
und einfach spezielle Dienstleistungen aus-
zuwhlen. ber damit verbundene Cloud-
Management-Tools werden dabei auto-
matisch fr jeden Nutzer die ausgewhlten
Services bereitgestellt. Doch auch hier gilt:
Nur weil eine Lizenzierung vorliegt, ist
noch lange nicht die automatisierte Be-
reitstellung ber solche Portale mitabge-
deckt. Ganz im Gegenteil tauchen dabei
neue, zustzliche Risiken auf, wie die fol-
genden Beispiele zeigen.
Fordert ein Mitarbeiter zum Beispiel einen
cloudbasierten Service an und erhlt darauf
Zugriff, nutzt er die in der jeweiligen Ser-
vice-Instanz installierte Softwarelizenzie-
rung. Damit kann er die Anwendung im
Rahmen seiner Arbeit nutzen. Auch wenn
ein permanenter Zugang gebraucht wird,
ist dieser mit hoher Wahrscheinlichkeit auf
Seite der Lizenzierung abgedeckt. Auf Kos-
tenseite hingegen sollten Unternehmen
berprfen, ob die genutzte Cloud-Instanz
(in der Regel die virtuelle Maschine) den
Anforderungen gem dimensioniert ist.
Abonnieren Unternehmen eine Microsoft
SQL-Server-Instanz mit acht CPUs, freu-
en sich die Mitarbeiter zwar ber die hohe
Geschwindigkeit, mit der die Datenbank
arbeitet. Bei Arbeitsablufen im kleinen
Mastab reicht eine Instanz mit einer oder
zwei CPUs aber oft vollkommen aus. Das
Unternehmen gibt in diesem Fall mehr
fr die Bereitstellung der Service-Instanz
aus als ntig. Denn fr grere Instanzen
fallen hhere Kosten an. Zudem verfgen
Unternehmen oft ber mehr (oder teu-
rere) Lizenzierungen als sie tatschlich
brauchen. Eine breite Auswahl an Service
Optionen und eine detaillierte Auflistung
aller Kosten wird daher immer wichtiger.
www.it-administrator.de
Nur so knnen Unternehmen die fr sie
effizienteste Lsung finden.
Teure Shelfware
Ein weiteres Risiko: Im Laufe der Zeit be-
antragen Anwender immer wieder neue
Worber
Service-Instanzen und vergessen dabei oft,
frher genutzte Instanzen abzuschalten. Administratoren
Die Kosten fr solche ungenutzten Ser-
vice-Instanzen in der Cloud laufen jedoch morgen reden
weiter einschlielich der Subskriptions-
und Lizenzierungskosten. Im Grunde be-
schreibt dies die Cloud-Variante der soge-
nannten Shelfware. Da Cloud-Umgebun-
gen von Haus aus sehr dynamisch sind,
kommt es sehr schnell zu dieser Art von
Shelfware. Der einzige Hinweis darauf fin-
Sichern Sie sich den
det sich hufig in der Rechnung des E-Mail-Newsletter des
Cloud-Anbieters. Bei der Vielzahl an In-
stanzen in Unternehmen und ihren un- IT-Administrator und
terschiedlichen Nutzungsprofilen ist es da-
bei nicht immer einfach, solche Shelfware
erhalten Sie Woche fr
zu identifizieren. Vor allem dann, wenn Woche die
keine geeigneten Tools zur Softwarelizenz-
optimierung vorhanden sind.
Zustzliche Kosten knnen auch durch > neuesten TIPPS & TRICKS
fehlende bertragbarkeit von Lizenzen
bei virtuellen Maschinen entstehen. Abon-
niert ein Anwender beispielsweise einen
> praktischsten TOOLS
Datenbank-Service und kndigt diesen
nach der Benutzung wieder, kann die Li- > interessantesten WEBSITES
zenz noch fr einige Zeit an diese Instanz
gebunden sein. Fordert ein anderer An- > unterhaltsamsten GOODIES
wender whrenddessen den gleichen Ser-
vice an, muss eine neue Lizenzierung aus-
gegeben werden. Unbeabsichtigte und
unntige Kosten sind die Folge. sowie einmal im Monat
Fazit
die Vorschau auf die
Unternehmen sollten die Herausforderun- kommende Ausgabe des
gen der Softwarelizenzierung nicht unter-
schtzen. Entsprechende Teams unterstt- IT-Administrator!
zen mit ihrem Know-how nicht nur bei
der Entwicklung cloudbasierter Services,
sondern stellen auch sicher, dass Lizenz-
management und -optimierung fr das
Cloud-Management zum Einsatz kom-
men. Das vereinfacht zudem Verhandlun-
gen um vorteilhafte Lizenzbestimmungen.
Die IT kann so hochwertige Services an-
Jetzt einfach
bieten und sowohl Kosten als auch Com- anmelden unter:
pliance-Risiken gering halten. (ln)
Anton Hofmeier ist Regional Vice President
Sales DACH bei Flexera Software.
www.it-administrator.de/newsletter
Neue Aufgaben der IT durch Virtualisierung und Cloud Computing
IT 4.0
von Mathias Hein
In der Virtualisierung und in
der Prozessoptimierung mit der
Integration von Cloud-Diensten
ist die Ursache fr einen grund-
legenden, tiefgreifenden Wandlungs-
prozess der IT-Branche begrndet.
Der Ersatz von Hardware-Funktionen
durch Software sorgt auch dafr,
dass die internen Prozesse in
den Unternehmen umstrukturiert
und die Anforderungen an das
IT-Personal neu definiert
werden mssen.
irtualisierung erzeugt Hard- oder
V Software-Objekte mit Hilfe einer
Software-Schicht. So lassen sich unter-
schiedliche Server auf einem beziehungs-
weise mehreren Rechnern transparent
zusammenfassen oder aufteilen oder ein
Betriebssystem innerhalb eines anderen
Betriebssystems ausfhren. Das sorgt fr
- Bessere Energieeffizienz.
- Optimale Auslastung der vorhandenen
Rechenkapazitten.
- Effektivere Administration und War-
tung vorhandener Komponenten.
- Hochverfgbarkeit unternehmenskri-
tischer Systeme: Durch den Einsatz von
Server-Virtualisierung ist es mglich,
preiswerte und einheitliche Hochver-
fgbarkeitslsungen innerhalb der ge-
samten virtualisierten IT zur Verfgung
zu stellen.
- Virtualisierung der Desktops.
Demgegenber stellt das Cloud Compu-
ting die Ausfhrung von Programmen, die
nicht auf dem lokalen Rechner installiert
sind, sondern auf einem anderen Rechner,
der ber das Internet aufgerufen wird, dar.
Aus der Cloud werden in der Regel die
notwendigen IT-Infrastrukturen (zum Bei-
spiel Rechenkapazitt, Datenspeicher,
100 Juli 2016
Netzkapazitten oder auch fertige Anwen-
dungen) ber ein Netz zur Verfgung ge-
stellt. In diesem Sinne ist die Cloud die lo-
gische Konsequenz der Virtualisierung.
In der Cloud werden folgende Servicety-
pen bereitgestellt: Bei Infrastruktur-as-a-
Service (IaaS) nutzt der Kunde Server,
Storage, Netzwerk und die brige Rechen-
zentrums-Infrastruktur als abstrakten, vir-
tualisierten Service ber das Internet. Die
Abrechnung der bereitgestellten IaaS-Leis-
tungen erfolgt typischerweise nutzungs-
abhngig. Plattform-as-a-Service (PaaS)
hingegen liefert neben Hardwareservices
und Betriebssystemen auch hherwertige
Dienste. PaaS stellt dabei die Anwen-
dungsinfrastruktur in Form von techni-
schen Frameworks (Datenbanken und
Middleware) oder die gesamte Entwick-
lungsplattform bereit.
Und schlielich beziehen Unternehmen
mit Software-as-a-Service (SaaS) ihre Ap-
plikation ber ein IP-Netz. Dabei werden
Infrastrukturressourcen und Anwendun-
gen zu einem Gesamtbndel kombiniert.
Der Anwendungsservice wird nach Be-
darf abgenommen und entsprechend be-
zahlt. Hierbei bringt der Benutzer seine
Quelle: Kittitee Pangwang 123RF
Applikation weder in die Cloud ein noch
muss er sich um Skalierbarkeit oder Da-
tenhaltung kmmern.
Rechenzentren
verschwinden in der Cloud
Die Cloud sorgt in den Unternehmen fr
eine Auslagerung bestimmter Teile des
Rechenzentrums. Unter gewissen Um-
stnden knnen kleinere Firmen auf der
Basis von ffentlich angebotenen Cloud-
Diensten vollstndig auf eigene IT ver-
zichten. Auch werden in der Cloud bereits
Features und Funktionen auf bestimmte
Unternehmensfunktionen zugeschnitten,
sodass das Unternehmen sich zumindest
fr diesen Bereich nicht mehr um Server,
Storage und Netzwerk kmmern muss.
Dies bedeutet jedoch auch, dass je mehr
Funktionen in die Cloud verschoben wer-
den, desto weniger Ressourcen vom
Cloud-Nutzer lokal beschafft und betrie-
ben werden mssen.
Gem einer vom Marktforschungsun-
ternehmen Vanson Bourne im Auftrag
von Intel durchgefhrten Marktanalyse
werden innerhalb der kommenden 18
Monate circa 80 Prozent der weltweiten
IT-Budgets in die Cloud wandern. Ein
www.it-administrator.de

Grund hierfr ist der stndig zunehmen-
de Anteil der Digitalisierung in den Un-
ternehmen. Natrlich schrecken diese
Zahlen die klassischen IT-Abteilungen
auf, aber der Wandel ist seit geraumer
Zeit nicht mehr zu bersehen.
Aus all diesen Prognosen und Marktein-
schtzungen lassen sich der Umbau der
Geschftsmodelle und somit die Trans-
formation der IT-Organisation bezie-
hungsweise die Anpassung der Betriebs-
organisationen ablesen. Die Unterneh-
men mssen nicht nur den Betrieb und
die IT-Infrastrukturen anpassen, sondern
auch die Aufbau- und Ablauforganisati-
on. Nur, wenn auch bei den Mitarbeitern
ein Umdenken stattfindet, kann die Or-
ganisation die neuen Cloud-Services agil
und dynamisch anbieten und so die Vor-
teile der Cloud nutzen. Dadurch wird die
Software ganze Industrie-Zweige um-
krempeln und die eigentliche Arbeits-
weise der Mitarbeiter in den IT-Abtei-
lungen durch das Cloud Computing
grundlegend verndern und ein Umden-
ken zwingend erfordern.
Im Vordergrund bei der Cloud stehen
wirtschaftliche Vorteile, die sich aus den
Mglichkeiten der flexiblen Bereitstellung
und Abrechnung von IT-Kapazitt erge-
ben. Daher sollte das IT-Management
auch ber ein breites betriebswirtschaft-
liches Verstndnis verfgen. Es geht lngst
nicht mehr nur darum, enorme Daten-
mengen zu verwalten und fr einen st-
rungsfreien Ablauf der gesamten IT Sorge
zu tragen. Neben den betriebswirtschaft-
lichen Kriterien sind auch Sicherheits-
und Rechtsaspekte zu beachten.
Die IT wird zum Service Broker
Fr IT-Organisationen bedeutet die str-
kere Einbindung von Cloud-Diensten ein
verndertes Aufgabenspektrum. Der IT
kommt zunehmend die Rolle eines Ver-
mittlers und Managers von IT-Services
zu, der Fachbereiche mit intern erbrach-
ten als auch extern bezogenen Dienstleis-
tungen versorgt. Dies verschiebt den T-
tigkeitsschwerpunkt der IT in Richtung
der Vermittlung von IT-Services.
Wie beim Outsourcing existiert der klas-
sische Systemadministrator beim Cloud
www.it-administrator.de
Computing in seiner bisherigen Form als
Systemverwalter zumindest beim An-
wender-Unternehmen nicht mehr. Die
zuknftige IT-Organisation wird wesent-
lich weniger Zeit darauf verwenden,
Technologieressourcen zu erstellen und
zu warten. Vielmehr werden die Service-
koordination und die Befhigung des
Unternehmens, Services effektiv fr den
Geschftsbetrieb zu nutzen, eine zentrale
Rolle spielen.
Zuknftige Aufgaben der IT beschftigen
sich primr mit der IT-Architektur, die das
Design, die Sicherheit und die Anforde-
rungen an die fr das Geschft genutzten
Plattformen definiert. Ein Business-Archi-
tekt sorgt fr die Verschmelzung von tech-
nologischen und geschftlichen Prozessen
und gewhrleistet den Zusammenhalt der
Fachbereiche. Es handelt sich dabei um
eine um die geschftliche Planung herum
gebaute Rolle mit der Aufgabe, eine effek-
tivere Nutzung von IT zu ermglichen. Die
neuen Aufgaben der Prozessentwicklung
geben Hilfestellung fr die Geschftsabtei-
lungen und ihre Mitarbeiter bei der intel-
ligenten Nutzung von IT-Services. Hierbei
handelt es sich um eine sehr grundlegende
Aktivitt, die sich auf das gesamte Unter-
nehmen erstreckt. Die IT muss hierbei we-
niger auf die direkte Kontrolle der geschft-
lichen Aktivitt und strker auf Leitlinien
und Einflussnahme setzen.
Das Anbietermanagement beschftigt sich
mit dem Sourcing von externen Services.
Meist wird mit Cloud-Brokern zusam-
mengearbeitet. Diese agieren als Consul-
tant oder als Vermittler zwischen den
Nutzern von Cloud-IT-Services und den
verschiedenen Anbietern dieser Dienst-
leistungen. Die Aufgabe des Brokers be-
steht darin, dem Interessenten Zeit zu
sparen, indem die vom Kunden ge-
wnschten Services eingehend berprft
und in dessen Unternehmensziele optimal
integriert werden. Der Broker arbeitet da-
bei eng mit seinem Kunden zusammen
und identifiziert die notwendigen Ar-
beitsprozesse, die Art der Realisierung,
die Kosten und die Anforderungen an das
Datenmanagement. Im Idealfall stellt der
Broker eine Liste der in Frage kommen-
den Cloud-Anbieter zusammen. Diese
kontaktiert der Kunde und kauft beim
Neue Aufgaben der IT Schwerpunkt
Cloud-Anbieter seiner Wahl die entspre-
chenden Dienstleistungen ein. Unter Um-
stnden bernimmt ein Cloud-Integrator
die Funktion eines Untersttzers bei der
Integration der Cloud-Lsungen.
Der Service eines Cloud-Integrators ist
vergleichbar mit dem eines Systeminte-
grators, der sich auf den Bereich des
Cloud-Computings spezialisiert hat. Eine
Realisierung einer hybriden Cloud erfor-
dert vom Integrator das Zusammenfgen
einer privaten und einer ffentlichen
Cloud. Die Integration der Unterneh-
mensanwendungen und anderer Unter-
nehmensressourcen kann durch die
unterschiedlichen Bereitstellungskombi-
nationen kompliziert werden. So knnen
sich beispielsweise einige Anwendungen
im Besitz des Kunden befinden und an-
dere Anwendungen mssen ber die
Cloud hinzugefgt werden.
Dies bedeutet, dass das Unternehmen
(der Kunde) nicht ber die direkte Kon-
trolle aller bentigten Ressourcen verfgt.
Nach Abschluss der Cloud-Integration
hat der Cloud-Integrator seine Schuldig-
keit getan und scheidet aus dem Projekt
aus. Allenthalben kann der Cloud-Inte-
grator noch den Support und die Pflege
der Integrationsleistungen bernehmen.
Das Servicemanagement kmmert sich
um das Design und die Konfiguration
von Services. Hierfr entwickelt die IT
entsprechende Servicekataloge, definiert
Service-Levels, ermglicht Self-Service
und managt die Service-Performance, de-
ren Sicherheit und Compliance.
Skill-Update erforderlich
Die Transformation der Geschfte in die
Cloud hat erhebliche Auswirkungen auf
die Rollen und Fhigkeiten der IT-Mitar-
beiter. Durch die Cloud werden einzelne
Berufsbilder verndert oder gar berfls-
sig. Manche Rollen, wie beispielsweise ein
Cloud-Architekt, ergeben sich der Logik
der Geschftsprozesse folgend vollkommen
neu. Einzelne Funktionen in der IT werden
um neue Aufgabengebiete erweitert und
bekommen so eine grere Bedeutung.
Die zentrale Vernderung betrifft jedoch
die meisten IT-Mitarbeiter: Sie mssen
Juli 2016 101
S ch we rp unk t Neue Aufgaben der IT

ihre Fhigkeiten ausbauen und strker
funktionsbergreifend arbeiten. Ihre Auf-
gabenbereiche werden eine grere An-
zahl an Technologien, Servicekomponen-
ten sowie Informationsquellen und
Nutzungsmglichkeiten fr Informatio-
nen umfassen, und sie werden mit mehr
Geschftsbereichen in Kontakt stehen.
Je weniger die Rollen auf eine Funktion
beschrnkt sind, desto mehr kommt es
auf die individuellen Kernkompetenzen
jedes einzelnen Mitarbeiters an. Es wer-
den Fhigkeiten zur Kommunikation, zur
Zusammenarbeit und zum Networking
innerhalb und auerhalb des Unterneh-
mens gefordert, damit die IT fr jedes
Projekt das erforderliche Fachwissen he-
ranziehen kann. IT-Mitarbeiter bentigen
auch greres geschftliches Know-how
und mssen sich zutrauen, in Gesprchen
ber Business-Services und ihre Nutzung
ihr Fachwissen einzubringen.
gigen Untersuchungen wurde festgestellt,
dass viele IT-Mitarbeiter ber domnen-
bergreifende Kenntnisse verfgen, aber
nur 20 Prozent der befragten IT-Verant-
wortlichen verfgen ber das Wissen
und Erfahrung in allen wichtigen Fach-
bereichen. Der Wandel betrifft zunchst
hauptschlich den Bereich der Infra-
strukturservices, doch die IT-Leitung
muss sehr genau berprfen, welche
neuen Fhigkeiten bentigt werden.
Fazit
Bei jedem technologischen Umbruch
wird spekuliert, dass die IT-Organisatio-
nen in absehbarer Zeit berflssig werden
und bis hin zur Nicht-Existenz schrump-
fen. Dies wird durch die breite Nutzung
der Cloud-Dienste noch verstrkt. Viele
Neue Berufsfelder in der IT
Berufsfeld
Cloud-Angebote versprechen als Werbe-
botschaft die drastische Reduzierung der
Kosten. Bei genauer Analyse dieser An-
gebote lsen sich diese Werbeversprechen
meist in Luft auf.
Natrlich verndern die Virtualisierung
und die Cloud die Arbeitsfelder der IT.
Zu den wichtigsten Aufgaben der IT ge-
hren zuknftig die Aggregierung von
Services und das Plattformmanagement.
Die extern bereitgestellten Services ms-
sen gemanagt und im Fehlerfall analysiert
werden. Allerdings werden Unternehmen
nach wie vor IT-Dienste selber erbringen.
Die der IT verbleibenden Rollen werden
dadurch herausfordernder und abwechs-
lungsreicher und bieten den Mitarbeitern
neue Mglichkeiten. (jp)
Aufgabe

Eine Neuausrichtung der Fhigkeiten fin-
det zuerst bei denjenigen Mitarbeitern
statt, die mit dem Aufbau und dem Be-
trieb der Cloud-Plattform befasst sind.
Mit der zunehmenden Virtualisierung
von Ressourcen und der damit einherge-
henden Integration und Automatisierung
des Ressourcenmanagements in der
Cloud muss sich die IT in bisher nie da-
gewesener Weise technisches Breitenwis-
sen erarbeiten. Nur so kann es gelingen,
ber herkmmliche Technologiedomnen
hinweg zu arbeiten, Helpdesk- und Sup-
port-Services zu integrieren und das Ser-
vicemanagement strker zu etablieren.
Die IT bentigt daher zuknftig mehr
Generalisten, ohne dass dabei das tech-
nische Fachwissen verloren geht.
Die IT hat sich in der Vergangenheit
hufig darauf verlassen, dass ihre Mit-
arbeiter sich selbst darum kmmern, ih-
re Kenntnisse auf dem neuesten Stand
zu halten. Dies gengt jedoch nicht mehr
und die Unternehmen mssen fhige
Mitarbeiter zielgerichtet weiterentwi-
ckeln beziehungsweise solche anwerben.
Fundierte Kenntnisse in den herkmm-
lichen Aufgabenbereichen und Techno-
logien sind nach wie vor unabdingbar.
Diese Basis muss durch eine breite Wis-
sensbasis erweitert werden. In einschl-
Definiert das Design, die Sicherheit und die Anforderungen an die fr
das Geschft genutzten Plattformen. Sorgt fr die Verschmelzung
Cloud-Architekt von technologischen und geschftlichen Prozessen, gewhrleistet
den Zusammenhalt der Fachbereiche und sorgt fr die Weiterent-
wicklung der Cloud-Plattform.
Gibt Hilfestellung fr die Geschftsabteilungen und ihre Mitarbeiter
bei der intelligenten Nutzung von IT-Services. Hierbei handelt es sich
um eine sehr grundlegende Aktivitt, die sich auf das gesamte Unter-
Prozessentwicklung
nehmen erstreckt. Die IT muss hierbei weniger auf die direkte Kon-
trolle der geschftlichen Aktivitt und strker auf Leitlinien und Ein-
flussnahme setzen.
Sorgt fr die Bereitstellung von technologiebergreifender Integrati-
Automations-
on, automatisiertem Ressourcenmanagement, Self-Service-Provisio-
management
ning und Nutzungstransparenz in der Cloud-Umgebung.
Management von Konfiguration, Betrieb und Performance von Cloud-
Anbietermanagement
Umgebungen fr spezifische geschftliche Zwecke und Services.
Management von Design, Sourcing, Ressourcen, Bereitstellung und
Servicemanagement
Service-Levels eines bestimmten Serviceangebots.
Agiert als Vermittler zwischen den Nutzern von Cloud-IT-Services und
den verschiedenen Anbietern der Dienstleistungen. Ein Cloud-Broker ist
Cloud-Broker
also jemand, der mit zwei oder mehreren Parteien die Verhandlungen
aufnimmt und hnlich wie ein Immobilienmakler als Vermittler auftritt.
Ein Cloud-Aggregator ist eine modifizierte Version eines Cloud-Brokers.
Cloud-Aggregator Dieser bernimmt jedoch eine grere Verantwortung und kombiniert
beziehungsweise integriert mehrere Cloud-Services zu einer Lsung.
Ein Cloud-Integrator bernimmt die Funktion eines Untersttzers bei
der Verhandlung und der Integration von Cloud-Lsungen. Der Service
Cloud-Integrator
eines Cloud-Integrators ist vergleichbar mit dem eines Systemintegra-
tors, der sich auf den Bereich des Cloud Computings spezialisiert hat.
Der Begriff "Cloud-Services-Brokerage" (CSB) versucht das Ge-
schftsmodell der Bereitstellung von Cloud-Diensten neu zu definie-
Cloud Service ren. Dieser bietet alle Dienste (Aggregation, Integration und Anpas-
Brokerage sung) an und agiert quasi als Mittler zwischen mehreren (ffentlich
oder privat) Cloud-Services. Seine Dienste knnen im Auftrag von ei-
nem oder mehreren Marktteilnehmern erbracht werden.

102 Juli 2016 www.it-administrator.de


Monitoring mit Zabbix
Das berwachen
von Servern gehrt
zum Kerngeschft
von Admins. Seit
nunmehr 15 Jahren
bietet sich hierfr
die Open-Source-
Software Zabbix
an. Derzeit in Ver-
sion 3.0 erhltlich,
deckt Zabbix zahl-
reiche Plattformen wie Windows, Linux,
OpenBSD, FreeBSD oder Solaris ab.
Dabei kann die Umgebung sowohl agen-
tenbasiert als auch agentenlos via SNMP,
IPMI, WMI oder schlicht per Ping den
Status von Rechnern abfragen. Ein Web-
interface erlaubt die Verwaltung und die
berwachung der Status. In seinem Buch
"Monitoring mit Zabbix" beleuchtet der
Autor Thorsten Kramm die berwa-
chungsumgebung von allen Seiten. Er-
fahrung mit Zabbix hat er allemal und
die Software selbst in verschiedenen Fir-
men eingefhrt.
Cloud Computing als neue
Herausforderung fr Management und IT
Hufig findet die
Cloud-Nutzung im
Unternehmen oh-
ne Plan oder gar
ohne das Wissen
der IT-Abteilung
und Geschftslei-
tung statt. Mit dem
Buch "Cloud Com-
puting als neue
Herausforderung
fr Management und IT" mchten die Au-
toren Gerald Mnzl, Michael Pauly und
Martin Reti IT-Verantwortlichen und Ge-
schftsfhrern einen Leitfaden an die Hand
geben, der die ganzheitliche und planvolle
Einfhrung von Cloud-Services vorberei-
tet. Gerade einmal 53 Seiten zhlt das Werk
aus der "essentials"-Reihe mit dem Ziel,
Wissen kompakt zu vermitteln. Eine voll
ausgearbeitete Cloud-Strategie, die das Un-
ternehmen nur noch Schritt fr Schritt ab-
www.it-administrator.de
Nach einem Abriss ber die Anforderungen
an das Monitoring an sich und die Neue-
rungen in Zabbix 3 folgt die Installation des
Servers. Der Autor geht die Setup-Prozedur
fr Debian, Ubuntu, Red Hat und CentOS
samt Kommandos durch. Den Vorzug fr
eine bestimmte Distribution gibt Kramm
nicht. Die Schritte sind nachvollziehbar und
verstndlich dargestellt und sollten die Leser
vor keine berraschenden Hindernisse stel-
len. Nicht weniger detailliert folgt das Setup
der Zabbix-Agenten fr Linux- wie auch
Windows-Systeme. Kramm gibt zwar fr
Letztere an, dass 32- und 64-Bit-Varianten
ab NT 4.0 untersttzt werden. Ob das auch
das aktuelle Windows 10 einschliet, muss
der Leser jedoch mutmaen. Danach ste-
hen das Sammeln und Auswerten der Da-
ten auf der Agenda.
Kramm geht in allen Kapiteln sehr struk-
turiert vor, fngt bei den theoretischen
Grundlagen des jeweiligen Teilaspektes
wie etwa SNMP an und fhrt dann ber
zur Nutzung von Zabbix in Form von
Schritt-fr-Schritt-Anleitungen. Wo sinn-
arbeiten muss, darf niemand erwarten.
Hierfr ist die Thematik ohnehin viel zu
komplex. Vielmehr bietet das Bchlein
zahlreiche Denkanste fr IT-Leiter und
das Management.
Nach der Definition der verschiedenen
Cloud-Anstze Infrastructure- (IaaS), Plat-
form- (PaaS) und Software-as-a-Service
(SaaS) wgen die Autoren Chancen und
Risiken der Cloud-Nutzung im Allgemei-
nen ab. Danach beginnt der eigentlich
spannende Teil: Das Andocken der Cloud
an die IT-Strategie des Unternehmens. Da-
bei zeichnet das Autorenteam den mgli-
chen Weg in die Cloud auf, samt dessen
Auswirkungen auf die IT-Abteilung. Be-
sonders ausfhrlich wird die Frage nach
der Wirtschaftlichkeit behandelt. Vier Sei-
ten Tabellen und Checklisten stellen Kos-
teneffekte und Aufwnde bersichtlich
und umfassend dar, bevor noch der
Buchbesprechung
voll, veranschaulichen zahlreiche Screen-
shots die Ablufe. Konkrete Anwendungs-
beispiele wie die berwachung von Sys-
temupdates runden die Kapitel ab. Da
virtuelle Server eine bedeutende Rolle in
Unternehmen spielen, widmet Kramm der
berwachung von VMware-Umgebungen
ein eigenes Kapitel. Andere Virtualisie-
rungsumgebungen wie auch Cloud-Server
etwa in Azure bleiben auen vor und ms-
sen gegebenenfalls mit der fr physische
Server beschriebenen Vorgehensweise in
die berwachung eingegliedert werden.
Fazit
Leser erhalten mit dem Buch eine umfas-
sende und gut nachvollziehbare Anleitung
fr das Monitoring mit Zabbix, die selbst
weniger Kommandozeilen-affine Admins
nicht im Regen stehen lsst.
Daniel Richey
Autor Thorsten Kramm
Verlag dpunkt.verlag
Preis 38,90 Euro
ISBN 978-3864903359
Schnelldurchlauf in Sachen IT-Sicherheit
und die Interoperabilitt verschiedener
Cloud-Dienste das Buch abschlieen.
Fazit
Mit ihrem Buch wagen die Autoren den
Blick aus der Vogelperspektive auf die
Cloud im Unternehmen. An keiner Stelle
gehen sie wirklich ins Detail, werfen dafr
aber zahlreiche Fragen auf, die beim
hemdsrmeligen Einfhren von Cloud-
Diensten schnell in Vergessenheit geraten.
Verstndlich geschrieben und bersichtlich
gegliedert richtet sich das Buch vor allem
an Cloud-Laien.
Daniel Richey
Autor Gerald Mnzl,
Michael Pauly, Martin Reti
Verlag Springer Vieweg
Preis 9,99 Euro
ISBN 978-3662458310
Juli 2016 103
Fa c h a r t i k e l o n l i n e

Besser informiert:
Mehr Fachartikel auf
www.it-administrator.de
Unser Internetauftritt versorgt Sie jede
Woche mit neuen interessanten Fachartikeln.
Als Heftleser knnen Sie ber die Eingabe des Link-Codes
schon jetzt exklusiv auf alle Online-Beitrge zugreifen.

Management-Werkzeuge Effizienter Schutz

fr heterogene Infrastrukturen vor Locky & Co.
IT-Infrastrukturen werden zunehmend komple- Die aktuelle Welle an Kryptotrojanern sorgt
xer. Virtualisierungstechnologien, Hybrid- derzeit fr Aufsehen. Sowohl Endanwender
Cloud-Modelle und die IT der zwei Geschwin- als auch Unternehmen frchten sich davor,
digkeiten tragen dazu entscheidend bei. Fr dass die Daten ihrer Rechner ungewollt ver-
das Management heterogener Architekturen schlsselt werden. Neben Tesla-Crypt kommt Was tun bei Datenverlust
sind deshalb neue Werkzeuge gefragt, die zu vermehrt der Trojaner Locky bei Erpressungs- im Rechenzentrum?
einer Homogenisierung der Administration viren zum Einsatz. Besonders heimtckisch:
fhren. Im Fachbeitrag auf unserer Webseite Die Angreifer entwickeln tglich zwei bis drei Neue Technologien drngen vermehrt in be-
zeigen wir auf, was eine Management- und neue Versionen. Welche Gefahr von derarti- triebseigene Rechenzentren oder die von ex-
Automatisierungs-Plattform fr neue agilitts- ger Schadsoftware ausgeht und mit welchen ternen Cloud-Anbietern. Waren es in den
optimierte und herkmmliche effizienzorien- Sicherheitsmanahmen sich Firmen davor letzten Jahren RAID-Arrays oder die Virtuali-
tierte Infrastrukturen bieten muss. schtzen knnen, erklrt unser Online-Artikel. sierung, stoen jetzt deutlich komplexere
Link-Code: G7W51 Link-Code: G7W52 Anstze hinzu: Software-definierter, konver-
genter oder hyperkonvergenter Storage. Wel-
che Auswirkungen diese neuen Speicherkon-
zepte auf die Datenrettung haben und wie
sich Firmen bereits im Vorfeld vor Datenver-
Leistungsfhige Controller-Architekturen beim Storage lust schtzen knnen, beleuchtet unser Arti-
kel im Web.
Bei der Implementierung von Speichersystemen fr groe Datenmengen und geschftskritische
Link-Code: G7W53
Anwendungen spielt die Zuverlssigkeit des Systems eine wesentliche Rolle. Die Wahl des richtigen
Controllers und der richtigen Controller-Architektur fr ein Speicher-Array ist entscheidend. Unter-
schieden wird zwischen zwei Architekturen: Aktiv/Aktiv-Arrays und Aktiv/Standby-Arrays. Ange-
sichts von Herausforderungen wie Datenintegritt, Performance und kurzen Failover-Zeiten ver-
folgen fhrende Hersteller unterschiedliche Anstze. Online erfahren Sie, welche das sind.
Link-Code: G7W54

Einfhrung in die PowerShell

Mit der PowerShell verwalten Sie nicht nur reine Windows-Server-
dienste, sondern ber zustzliche Module auch andere Server wie
Exchange, System Center, SharePoint und mehr. Der Umgang mit
der Skriptsprache ist bei allen verwalteten Rechnern recht hnlich.
Im exklusiven Online-Workshop fhren wir in die Grundlagen der
PowerShell ein und geben Ihnen Tipps und Anleitungen zur Verwal-
tung von Servern an die Hand. Dabei orientieren wir uns an Ver-
sion 4.0 der PowerShell, die mit Windows 8.1 und Windows Server
2012 R2 Einzug gehalten hatte. Doch auch ltere Systeme unter
Windows 7, Server 2008 R2 und Server 2012 bleiben nicht auen
vor denn hier knnen Sie das Windows Management Framework
4.0 installieren, das ebenfalls die PowerShell 4.0 enthlt.
Link-Code: G7W55

104 Juli 2016 Link-Codes eingeben auf www.it-administrator.de

 D a s l e t z t e Wo r t

Die Cloud ist auf der Siegerstrae

Kim Nis Neuhauss ist berzeugt, dass der Siegeszug von Cloud-
Computing rasant weitergeht. Das gab 2014 auch den Ausschlag
fr die Grndung seiner Unternehmensberatung Bright Skies.
Das Hamburger Beratungshaus fokussiert sich auf die Cloud
sowie das End-User Computing und untersttzt Kunden bei der
Konstruktion und Realisierung exklusiver Cloud-Architekturen.

Warum sind Sie IT-Administrator geworden?
Ich habe mich immer schon fr IT-Infra-
struktur begeistert und bereits als Schler
und als Werksstudent bei verschiedenen
greren IT-Unternehmen, beispielsweise
Philips, gearbeitet. Fr mich stand immer
fest, dass ich in diesem Bereich profes-
sionell ttig werden will. Da ich schon
ber sehr gute Kenntnisse verfgte, war
ein Einstieg in die Branche damals fr
mich einfach mglich.
Warum wrden Sie einem jungen Menschen
raten, Administrator zu werden?
Ich wrde sogar davon abraten. Viel in-
teressanter ist die Jobperspektive eines
Beraters. Es gibt stndig neue Herausfor-
derungen, viel mehr Abwechslung, mehr
Freiheit und eine kontinuierliche Weiter-
entwicklung. Da kann keine klassische
Administrator-Stelle mithalten.
Dann erzhlen Sie mal, welche Aspekte Ihres
Berufs machen Ihnen am meisten Spa?
Als Geschftsfhrer ziehe ich die grte
Motivation aus den Kontakten mit den
Kunden, aus erfolgreichen Cloud-Projek-
ten und der Zusammenarbeit mit meinem
Team. Und ich freue mich jeden Tags aufs
Neue, dass wir dank Cloud-Technologien
mit unserer internen IT so gut wie keine
Arbeit haben. Diese luft schnell, verfg-
bar und hochperformant. In Summe bietet
sich fr uns damit eine Qualitt, die wir
mit unserer kleinen Mannschaft in eige-
nen Serverrumen selbst nicht erbringen
knnten. Weniger Spa habe ich an un-
seren Marktbegleitern, von denen viele
das Thema Cloud-Computing immer
noch nicht verstanden haben und bei den
Kunden gezielt Zweifel und Bedenken an
Cloud-Diensten streuen.
Bei all den Clouds, wie denken Sie, arbeitet ein
Administrator in zehn Jahren?
Ich persnlich glaube, dass der klassische
Administrator ein Auslaufmodell ist. Un-
ternehmen werden mehr und mehr Stan-
darddienste aus der Cloud beziehen und
fr ihre Geschftsprozesse individuell an-
passen und veredeln. Natrlich gibt es
nicht jede branchenspezifische Anwen-
dung als SaaS, weshalb sie noch selbst be-
trieben werden muss. Aber deren Anteil
sinkt. Aus meiner Sicht mssen sich Ad-
ministratoren im Unternehmen neu po-
sitionieren. Ich sehe den Administrator
der Zukunft eher als Architekten, der
Cloud-Angebote im Sinne seines Unter-
nehmens kombiniert und integriert. Hier-
bei wird aber eher die Integration und
Anpassung der Anwendungen im Vor-
dergrund stehen, weniger der IT-Betrieb.
Welches Netzwerk- und Systemmanagement
nutzen Sie denn selbst?
Da wir vollstndig auf Cloud-Services
setzen, haben wir wenig Bedarf fr Sys-
tem- und Netzwerkmanagement-Lsun-
gen. Auf Microsoft Azure nutzen wir
OMS (Operations Management Suite),
um die berwachung unserer wenigen
Server in der Cloud durchzufhren. Wei-
terhin wacht EMS (Enterprise Mobility
Suite) ber die Sicherheit unserer Doku-
mente, Identitten und Gertschaften.
Unsere Netzwerkinfrastruktur ist voll-
stndig Cloud-managed auf Basis der Cis-
co-Meraki-Infrastruktur.
Hatten Sie schon einmal grere Ausflle des
Cloud-Providers zu verzeichnen?
Nein, bisher noch nie.
Und hat Sie die Cloud schon mal vor Datenver-
lusten oder Ausfllen bewahrt?
Sogar mehrfach. Fiel beispielsweise eine
Festplatte aus oder startete ein Rechner
nicht mehr, griffen wir auf die Cloud-Ko-
pien zu. Jeder Anwender konnte sofort
ohne Datenverlust an einem anderen
Endgert weiterarbeiten.
Welche Entwicklungen sehen Sie in den nchsten
Jahren auf uns zukommen?
Cloud Computing wird sich ganz klar
durchsetzen. Standarddienste wie E-Mail,
Kim Nis Neuhauss,
IT-Administrator
Geburtsjahr: 1979
Hobbys: Familie, Segeln
Admin seit: 18 Jahren
Ausbildung und Ttigkeit
- Start als IT-Quereinsteiger bei verschiede-
nen Systemhusern in Norddeutschland.
Im Laufe der Jahre Weiterentwicklung vom
System Engineer und Consultant zum Ge-
schftsfhrer. Danach auf Herstellerseite
ttig bei VMware und Red Hat.
- Heute als Geschftsfhrer fr die strategi-
sche Weiterentwicklung der Bright Skies
GmbH mit 15 Beratern verantwortlich.
- Daneben Betreuung der internen IT als
Administrator.
Betreute Umgebung
- Das Unternehmen verfolgt eine 100-prozen-
tige Cloud-Strategie. Daher keine nennens-
werte eigene IT-Infrastruktur im Einsatz, son-
dern Cloud-Angebote, vornehmlich im
Software-as-a-Service Modell.
Brokommunikation et cetera kommen
in Zukunft aus der Cloud. Individuelle
Anwendungen und Services mssen zwar
auch weiterhin selbst betrieben werden,
aber die darunterliegende IT-Infrastruktur
wird wiederum als Cloud-Service bezo-
gen. Public-Cloud-Anbieter und deren
Angebote werden den Markt der Hoster
und Co-Location-Anbieter bernehmen
und Regio-Cloud Anbieter aussterben.
Auch die Systemhuser mssen sich
transformieren und eine neue Rolle im
IT-Universum erarbeiten.
Das Interview fhrte Petra Adamik.

www.it-administrator.de Juli 2016 105

Vo r s c h a u

Die Ausgabe 08/16 erscheint am 3. August 2016

Infrastruktur & RZ
Im Test: Das lesen Sie in den
nchsten Ausgaben des
Solarwinds Network Configuration Manager
DCIM und Assetverwaltung mit Ralph Die September-Ausgabe des IT-Administrator
dreht sich um den Schwerpunkt Mobile IT &
Wege zu mehr Effizienz im Rechenzentrum Clientmanagement. Darin lesen Sie, welche
Neuerungen System Center 2016 im Clientmanage-
ment mitbringt und worin sich die Methoden der
Mikrosegmentierung mit NSX Applikationsbereitstellung Klassisch, Container und
Volume unterscheiden. Auerdem erlutern wir die
und vRealize Operations Manager Administration mobiler Devices ber Exchange
Server 2016 und werfen einen Blick auf Citrix
XenDesktop 7.8. Im Oktober folgt das
Die Redaktion behlt sich Themennderungen aus aktuellem Anlass vor.
Schwerpunktthema Datensicherheit.

Impressum

Redaktion
John Pardey (jp), Chefredakteur
verantwortlich fr den redaktionellen Inhalt
john.pardey@it-administrator.de
Daniel Richey (dr), Stellv. Chefredakteur/CvD
daniel.richey@it-administrator.de
Oliver Frommel (of), Leitender Redakteur
oliver.frommel@it-administrator.de
Lars Nitsch (ln), Redakteur
lars.nitsch@it-administrator.de
Markus Heinemann, Schlussredakteur
markus.heinemann@email.de
Autoren dieser Ausgabe
Petra Adamik, Klaus Bierschenk,
Mark Borgmann, Adam Dagnall, Florian
Frommherz, Thomas Gronenwald,
Mathias Hein, Jrgen Heyer, Anton
Hofmeier, Thomas Joos, Martin Loschwitz,
Dr. Holger Reibold, Ariane Rdiger,
Thorsten Scherf, Christian Schulenburg,
Constantin Sldner, Dr. Guido Sldner,
Jens Sldner, Jacco van Achterberg
Anzeigen
Anne Kathrin Heinemann, Anzeigenleitung
verantwortlich fr den Anzeigenteil
kathrin@it-administrator.de
Tel.: 089/4445408-20
Es gilt die Anzeigenpreisliste
Nr. 13 vom
01.11.2015
Produktion / Anzeigendisposition
Lightrays:
Andreas Skrzypnik, Gero Wortmann,
Moritz Skrzypnik
dispo@it-administrator.de
Tel.: 089/4445408-88
Fax: 089/4445408-99
Titelbild: mamanamsai 123RF
Druck
Brhlsche Universittsdruckerei
GmbH & Co. Kg
Am Urnenfeld 12
35396 Gieen
Vertrieb
Anne Kathrin Heinemann
Vertriebsleitung
kathrin@it-administrator.de
Tel.: 089/4445408-20
Abo- und Leserservice
Vertriebsunion Meynen GmbH & Co. KG
Stephan Orgel
Groe Hub 10
65344 Eltville
leserservice@it-administrator.de
Tel.: 06123/9238-251
Fax: 06123/9238-252
Vertriebsbetreuung
DPV GmbH
www.dpv.de
lange.guido@dpv.de
Erscheinungsweise
monatlich
Bezugspreise
Einzelheftpreis: 12,60
Inlandspreise:
Jahresabo: 135,-
Studentenabo: 67,50
Jahresabo mit Jahres-CD: 148,50
Studentenabo mit Jahres-CD: 81,00
All-Inclusive Jahresabo
(incl. E-Paper Monatsausgaben, 2 Sonder-
heften und Jahres-CD): 188,00
All-Inclusive Studentenabo: 120,50
Auslandspreise:
Jahresabo: 150,-
Studentenabo: 75,-
Jahresabo mit Jahres-CD: 163,50
Studentenabo mit Jahres-CD: 88,50
All-Inclusive Jahresabo: 203,00
All-Inclusive Studentenabo: 128,00
E-Paper-Einzelheftpreis: 8,99
E-Paper-Jahresabo: 99,-
E-Paper-Studentenabo: 49,50
Jahresabo-Kombi mit E-Paper: 168,-
(Studentenabos nur gegen Vorlage einer
gltigen Immatrikulationsbescheinigung)
Alle Preise verstehen sich inklusive der
gesetzlichen Mehrwertsteuer sowie
inklusive Versandkosten.
Verlag / Herausgeber
Heinemann Verlag GmbH
Leopoldstrae 87
80802 Mnchen
Tel.: 089/4445408-0
Fax: 089/4445408-99
(zugleich Anschrift aller Verantwortlichen)
Web: www.heinemann-verlag.de
E-Mail: info@heinemann-verlag.de
Eingetragen im Handelsregister des
Amtsgerichts Mnchen unter
HRB 151585.
Geschftsfhrung / Anteilsverhltnisse
Geschftsfhrende Gesellschafter zu
gleichen Teilen sind Anne Kathrin
und Matthias Heinemann.
ISSN So erreichen Sie den Leserservice
1614-2888 Leserservice IT-Administrator
Urheberrecht Stephan Orgel
Alle in IT-Administrator erschienenen Bei- 65341 Eltville
trge sind urheberrechtlich geschtzt. Alle Tel.: 06123/9238-251
Rechte, einschlielich bersetzung, Zweit- Fax: 06123/9238-252
verwertung, Lizenzierung vorbehalten. Re-
E-Mail: leserservice@it-administrator.de
produktionen und Verbreitung, gleich wel-
cher Art, ob auf digitalen oder analogen
Bankverbindung fr Abonnenten
Medien, nur mit schriftlicher Genehmigung
des Verlags. Aus der Verffentlichung kann Kontoinhaber: Vertriebsunion Meynen
nicht geschlossen werden, dass die be- Postbank Dortmund
schriebenen Lsungen oder verwendeten
IBAN: DE96440100460174966462
Bezeichnungen frei von gewerblichen
BIC: PBNKDEFFXXX
Schutzrechten sind.
Haftung So erreichen Sie die Redaktion
Fr den Fall, dass in IT-Administrator unzu-
Redaktion IT-Administrator
treffende Informationen oder in verffent-
lichten Programmen, Zeichnungen, Plnen Heinemann Verlag GmbH
oder Diagrammen Fehler enthalten sein Leopoldstr. 87
sollten, kommt eine Haftung nur bei gro- 80802 Mnchen
ber Fahrlssigkeit des Verlags oder seiner Tel.: 089/4445408-10
Mitarbeiter in Betracht. Fr unverlangt ein-
Fax: 089/4445408-99
gesandte Manuskripte, Produkte oder
sonstige Waren bernimmt der Verlag E-Mail: redaktion@it-administrator.de
keine Haftung.
So erreichen Sie die Anzeigenabteilung
Manuskripteinsendungen
Die Redaktion nimmt gerne Manuskripte Anzeigenverkauf IT-Administrator
an. Diese mssen frei von Rechten Dritter Anne Kathrin Heinemann
sein. Mit der Einsendung gibt der Verfasser Heinemann Verlag GmbH
die Zustimmung zur Verwertung durch die Leopoldstr. 87
Heinemann Verlag GmbH. Sollten die Ma-
80802 Mnchen
nuskripte Dritten ebenfalls zur Verwertung
angeboten worden sein, so ist dies anzuge-
ben. Die Redaktion behlt sich vor, die Ma- Tel.: 089/4445408-20
nuskripte nach eigenem Ermessen zu bear- Fax: 089/4445408-99
beiten. Honorare nach Vereinbarung. E-Mail: kathrin@it-administrator.de

Bintec elmeg S. 05 Experteach S. 71 Telegrtner S. 25

Inserentenverzeichnis
Buffalo S. 02 Hewlett Packard S. 21 Thomas Krenn S. 108 Die Ausgabe enthlt eine
Teilbeilage der Firma Hackattack.
Computec Media S. 67 Rheinwerk Verlag S. 53 Tuxedo S. 107

106 Juli 2016 www.it-administrator.de