Sie sind auf Seite 1von 106

7 I 16 ISSN 1614-2888 sterreich 14,50

Neues in Gruppenrichtlinien bei Lizenzrisiken bei Luxemburg 14,50


SharePoint 2016 Upgrades migrieren Cloud-Nutzung 12,60 Schweiz CHF 20,50

Cloud-Management:

Auswahl, Sicherheit,
Automatisierung
Die passende Cloud finden
und gekonnt administrieren

Penetration Testing
Cloud-Dienste
auf Schwachstellen
abklopfen

Open-Source-Werkzeuge
Scalr, CloudForms
und Cloudian einsetzen

Im Test
VMware vRealize Automation 7

www.it-administrator.de
Willkommen zum Hardware RAID

Buffalo. Windows Storage Server.


Unschlagbare Zuverlssigkeit.
Die TeraStation WSH verfgt ber einen eigens von Buffalo entwickelten
Hardware-RAID-Controller, der eine herausragende Leistung selbst unter hoher
Auslastung garantiert. Das Betriebssystem luft von einer separaten SSD,
wodurch das HDD-Array komplett fr die Datenspeicherung genutzt werden D MAD
AN
kann und die Leistung und Zuverlssigkeit zustzlich gesteigert werden.
EI
GNED

N JAP

6-Bay-NAS mit 12 oder 24 TB Kapazitt


SI

AN
Quad Core Prozessor mit 4 GB RAM DE
Microsoft Storage Server 2012 R2 Standard Edition
(Unbegrenzte Nutzerzahl)
Buffalo proprietrer Hardware-RAID-Controller
fr Stabilitt und Geschwindigkeit
Jetzt mit RAID 6

www.buffalo-technology.com
E D I TO R IAL Nur der Wandel hat Bestand

Liebe Leser,

zurck vom AWS Summit in Berlin zog die Redaktion in der letzten Ausgabe
das Fazit, dass mit den aktuell verfgbaren Cloud-Diensten Firmen ihre IT in
die Cloud migrieren knnen und dabei unter Umstnden Geld sparen, denn sie
bezahlen nur die Rechendienste, die sie wirklich bentigen. Darber
hinaus vereinfacht sich das Management der Services drastisch,
denn im klassischen Sinn gibt es hierbei nichts mehr zu ver-
walten, weder virtuelle Maschinen noch Server-Racks. Fr
IT-Administratoren gibt es in dieser Welt kaum noch Bedarf.
Vom ersten Teil trumen Amazon, Azure, Rackspace und
wie sie alle heien vermutlich ununterbrochen, der zweite
Teil drfte IT-Verantwortlichen eher Alptrume bescheren.

Doch zum Glck manifestiert sich die Realitt des IT-Betriebs


selten nach den Wnschen der Hersteller. Zwar greift ein Groteil der IT-Or-
ganisationen mittlerweile auch auf Cloud-Dienste zur Bewltigung der Un-
ternehmensanforderungen zurck, doch nur wenige verzichten dabei komplett
auf eine eigene Infrastruktur. Die Realitt heit Hybrid Cloud: Eigene, vir-
tualisierte Serverinstanzen stellen im Zusammenspiel mit externen Angeboten
die bentigten Dienste bereit. Was so einfach klingt, ist in der Realitt oft so
komplex, dass dafr ein eigener Begriff hermusste: "Cloud-Management"
der Schwerpunkt dieser Ausgabe. Das Management und die Integration meh-
rerer Clouds in einer Infrastruktur wirft Fragen auf nach Softwareportabilitt
und der Auswirkung von Netzwerklatenzen, um nur zwei von zahlreichen
Beispielen zu nennen. Auch die Aufgabe, am Ende alles unter der Haube eines
fhrenden Managementsystems zu haben, ist nicht ohne. Doch diesen He-
rausforderungen muss sich die IT stellen, sonst gehen die durch die Cloud er-
mglichten Effizienzgewinne sehr schnell verloren.

So wird aber auch offensichtlich, dass es sehr wohl noch Bedarf an Adminis-
tratoren gibt. Nur wird auf deren Visitenkarte zuknftig "Cloud-Aggregator"
oder "Abteilungsleiter Automationsmanagement" stehen. Die Cloud ndert
die Prozesse des IT-Betriebs vom Einkauf ber die Sicherheit bis hin zum
Support. Wandel ist in der IT die Norm ist, nicht die Ausnahme. Und Admi-
nistrator ist ein Job, der eine extrem hohe Lernbereitschaft voraussetzt. In
welche Bereiche sich IT-Verantwortliche zuknftig einarbeiten mssen, zeigt
unser Beitrag "IT 4.0" ab Seite 100. Technisch bieten sich mit Azure (Seite 84)
und VMwares vRealize Automation (im Test ab Seite 16) ungeahnte Automa-
tisierungsmglichkeiten an. Oder Sie bauen sich einen kostenlosen, AWS-
kompatiblen Objektspeicher. Wie, zeigt unser Workshop ab Seite 68. Viel Spa
in der Cloud wnscht

John Pardey
Chefredakteur

www.it-administrator.de Juli 2016 3


Inhalt 07/2015 Cloud-Management

Im Test:
GridVision
22 Die Next-Generation-
Plattform GridVision fr
IT-Automation und -Management
arbeitet Cloud-basiert und ben-
tigt somit keine Hardwareressour-
cen im Unternehmen. Und gleichzei-
tig wirbt sie mit einem breiten Einsatz-
bereich gleichermaen fr virtualisierte,
On-Premise und Cloud-basierte Kompo-
nenten. IT-Administrator wollte wissen, wie
sich das Management aus der Wolke und
fr die Wolke anfhlt.

Clouds mit Azure


Automation verwalten AKTUELL
06 News

84 Microsoft Azure
wird stetig erwei-
10 IT-Administrator vor Ort:
EMC World 2016, 2. bis 5. Mai, Las Vegas
tert und erlaubt zunehmend, 12 IT-Administrator Training:
auch anspruchsvolle admi- Hyper-V unter Windows Server 2016
nistrative Aufgaben abzu-
wickeln. Azure Automation 13 IT-Administrator Training:
deckt dabei die Automatisie- Exchange Server 2016 administrieren
rung von Routinearbeiten ab. 14 IT-Administrator Intensiv-Seminar:
Dahinter verbirgt sich ein Best Practices Windows 10
Werkzeug, das dem Adminis- 15 IT-Administrator Training:
trator den Arbeitsalltag auch vSphere 6 optimal betreiben
ohne PowerShell-Kenntnisse
vereinfacht. TESTS
16 VMware vRealize Automation 7
VMware bietet mit der vRealize-Suite eine Plattform zum Aufbau einer unterneh-

Microsoft mensinternen Cloud-Umgebung. Herzstck der Suite ist vRealize Automation samt
Self-Service-Katalog.

22 GridVision
Operations Die IT-Management-Plattform GridVision fr IT-Automation und -Management
arbeitet Cloud-basiert und bentigt keine Hardwareressourcen im Unternehmen.

28 O&O BlueCon 12 Admin Edition


Management Eine unabhngige Rettungsumgebung wie O&O BlueCon 12 kann helfen,
Systemfehler zu suchen oder an Daten zu retten, was noch zu retten ist.

Suite PRAXIS
34 Neues in SharePoint 2016
90 Mit der Microsoft Operations Management
Suite bietet Microsoft eine berwachungs- Interessante Neuerungen sind in SharePoint 2016 eingeflossen, etwa im Bereich der
Serverrollen. Und auch die Anbindung an Microsofts Cloud-Dienste wird enger.
lsung an, mit der sich lokale Netzwerke, aber
auch Cloud-Lsungen und Hybrid-Clouds effizient 38 Problembehebung fr DNS,
berwachen und steuern lassen. Im Zentrum steht Active Directory und Gruppenrichtlinien
Bei der Aktualisierung von DCs etwa kann es zu Problemen mit der Namensaufl-
eine schnelle und einfache Einrichtung, inklusive
sung, der AD-Replikation und Gruppenrichtlinien kommen. Wie sich diese beheben
einer hohen Flexibilitt und Skalierbarkeit. lassen, zeigt dieser Beitrag.

4 Juli 2016 www.it-administrator.de


802.11ac
44 Windows 10 und Office 2016 einfhren (4)
Nachdem Windows 10 und Office 2016 ihren Rollout im Unternehmen erfahren
haben, adressiert der vierte Teil unserer Workshopreihe die Verwaltung und gezielte #WLAN
POWER
Steuerung der Systeme.

50 Windows Defender Advanced Threat Protection


Dank des neuen Cloud-Dienstes Windows Defender ATP sollen Unternehmen
Informationen zu gezielten Angriffen auf ihr Netzwerk erhalten.

54 Open-Source-Tipp
Wer Container einsetzt, muss sich auch mit der Frage beschftigen, welcher
Identity-Store auf dem Host wie auch den Containern zum Einsatz kommt.

56 Security-Tipp
Besonders im Visier von Social-Engineering-Angriffen stehen hhere Angestellte
ULTRASCHNELLE POWER
mit Zugang zu sensiblen Informationen.

58 Tipps, Tricks & Tools

SCHWERPUNKT
62 Cloud Penetration Testing Die leistungsstarken 802.11ac Access Points
Sptestens wenn Cloud-Dienste produktiv genutzt werden, stellt sich die Frage, bintec W2003ac und W2003ac-ext unterstt-
wie sicher diese gegen Attacken von innen und auen sind. Das lsst sich per
Penetra-tion Testing herausfinden.
zen dank der 2x2 MIMO - Technik alle modernen
68 Aufbau einer AWS-Cloud
.11ac Endgerte wie Smartphones und Tablets
mit Cloudian HyperStore ohne Leistungseinbuen und ultraschnellen
Mit Cloudian HyperStore lsst sich eine skalierbare Objektspeicher-Plattform einrich- Verbindungen mit 867 Mbit/s Geschwindigkeit.
ten, mit der Daten zwischen ffentlichen und privaten Clouds bewegt werden knnen.
Die Access Points lassen sich ganz einfach in
74 CloudForms & ManageIQ bestehende Netze migrieren. Keine neuen WLAN
ManageIQ verspricht die effiziente Verwaltung virtueller Umgebungen. Als Teil von
CloudForms vermarktet Red Hat ManageIQ auch kommerziell. Ein berblick ber Controller oder PoE Switche sind notwendig.
die Mglichkeiten der Software.

79 Cloud-Management mit Scalr


Scalr bietet ein webbasiertes Management-Tool fr Amazon- und Google-Clouds,
das zustzlich auch Azure und OpenStack verwalten kann. Wir haben uns Scalr ge-
nauer angesehen.

84 Cloud mit Azure Automation steuern


Microsoft Azure wird stetig erweitert und ermglicht zunehmend auch anspruchs-
volle administrative Aufgaben. Azure Automation deckt dabei die Automatisierung
von Routinearbeiten ab.

90 Microsoft Operations Management Suite


Mit der Operations Management Suite bietet Microsoft eine berwachungslsung
an, mit der sich lokale Netzwerke sowie Cloud-Lsungen und Hybrid-Clouds effi-
zient berwachen und steuern lassen.

94 Auswahl und Integration von Cloud-Diensten


Cloud-Provider bieten oft alle drei Cloud-Layer IaaS, PaaS und SaaS, wodurch sich
komplexe IT-Strukturen vereinfachen lassen. Es gibt aber noch weitere Kriterien bei
der Anbieterwahl zu beachten.

98 Softwarelizenzierung in der Cloud


Unternehmen gehen immer schneller zu Public, Private oder Hybrid Cloud ber.
Doch gerade was die Softwarelizenzierung in der Cloud angeht, liegen die Tcken
X Perfekt zur Migration Ihrer WLAN - Netze auf .11ac
meist im Detail.
X Volle .11ac Power fr SmartPhones und Tablets
100 Neue Aufgaben der IT durch Virtualisierung
und Cloud Computing X Stromsparend - Standard PoE reicht fr volle Leistung
Der Ersatz von Hardware-Funktionen durch Software sorgt dafr, dass interne Pro-
zesse in den Unternehmen umstrukturiert und Anforderungen an das IT-Personal X Kostenloser WLAN Controller integriert
neu definiert werden mssen.
X Alternativ managebar ber die Cloud
RUBRIKEN
03 Editorial
04 Inhalt
103 Buchbesprechung bintec elmeg
Teldat Group Company
104 Fachartikel online
105 Das letzte Wort bintec elmeg GmbH
Sdwestpark 94
106 Vorschau, Impressum, Inserentenverzeichnis D-90449 Nrnberg
Telefon: +49-911-96 73-0
www.bintec-elmeg.com
www.it-administrator.de
Aktuell News

Unsichtbare Abzocke haben die Kriminellen die komplette Kontrolle ber den in-
Kaspersky Lab hat eine neue und verbesserte Version der fizierten Geldautomaten. Aber sie gehen vorsichtig und ge-
fr Angriffe auf Bankautomaten spezialisierten Malware konnt vor. Anstatt einfach ein so genanntes Skimming-Ge-
"Skimmer" entdeckt. Dahinter steht mutmalich eine rus- rt zu installieren also ein betrgerisches Imitat ber das
sischsprachige Gruppe, die mithilfe der Manipulation von eigentliche Lesegert zu setzen , um Kartendaten abzu-
Bankautomaten Geld der Nutzer stiehlt. Skimmer tauchte schpfen, verwandeln sie den kompletten Automaten in ein
erstmalig im Jahr 2009 auf. Sieben Jahre spter haben sich Skimming-Gert. Denn ist ein Geldautomat mit der Mal-
sowohl die Gauner als auch das Schadprogramm weiterent- ware infiziert, sind die Kriminellen in der Lage, sowohl die
wickelt und stellen eine weltweite Bedrohung fr Banken im Automat befindlichen Geldmittel abzuheben als auch die
und ihre Kunden dar. Die Skimmer-Gruppe startet ihre Kartendaten abzufangen, die am Geldautomaten genutzt
Operationen, indem sie sich Zugang zu einem Geldautoma- werden inklusive der Kontonummer und des PIN-Codes
tensystem verschafft. Die Infizierung erfolgt entweder phy- der Bankkunden. Ein so infizierter Automat ist kaum zu er-
sisch oder ber das interne Netzwerk der Bank. kennen. Im Gegensatz zu bisher bekannten Skimming-Ge-
Ist das Programm "Backdoor.Win32.Skimer" auf einem rten, bei denen der aufmerksame Nutzer das Kartenlesege-
System installiert, infiziert es das Herzstck des Bankauto- rtimitat oftmals erkennen kann, gibt es hier keine
maten: das fr die Interaktionen der Maschine mit der physischen Anzeichen einer Gefhrdung. (dr)
Bankinfrastruktur, der Bargeldabwicklung und den Kredit- Kaspersky-Lab-Blogeintrag: https://de.securelist.com/blog/
karten zustndige ausfhrende Programm. Anschlieend 71489/atm-infector/

SUSE Storage 3 untersttzt CephFS


SUSE hat im Juni Version 3 seines auf Ceph basierenden Storage- SUSE Enterprise Storage untersttzt iSCSI in Multipath-
Produkts vorgestellt. SUSE Enterprise Storage 3 beruht auf der Konfigurationen und ermglicht somit Block-Storage
neuesten Version 10.2.0 "Jewel" des verteilten Dateisystems Ceph. auf smtlichen Betriebssystemen und Umgebungen ein-
Damit bietet SUSE Enterprise Storage auch Support fr CephFS, schlielich Linux, Unix und Windows. Zudem bietet das
das mit der neuen Ceph-Version als stabil erklrt wurde. In SUSE Produkt Data-at-Rest-Verschlsselung zur Erhhung der
Enterprise Storage gilt CephFS, das eine Posix-Dateisystem- Sicherheit. Auer als Software-Lsung bietet SUSE das
Schnittstelle fr den Speicher darstellt, aber noch als Technology Storage-Produkt in Zusammenarbeit mit Thomas-Krenn
Preview. Als stabil gilt dagegen die RADOS-Komponente, die ein auch als Appliance an. (of)
Block-Device-Interface fr Ceph bietet. SUSE Enterprise Storage: https://www.suse.com/products/suse-enterprise-storage

3D-Druck in Serie
HP prsentiert ein serienreifes 3D-Druckersystem. Der HP-Jet-Fu-
sion-3D-Drucker soll Design, Prototypentwicklung und Fertigung
revolutionieren und schafft es laut Hersteller, qualitativ hochwertige
physische Teile bis zu zehnmal schneller zu liefern als die derzeit
verfgbaren 3D-Druckersysteme und das fr die Hlfte der Kos-
ten. Indem Funktionsteile auf der Ebene einzelner Voxel gedruckt
werden (ein Voxel ist das 3D-quivalent des zweidimensionalen
Pixels beim herkmmlichen Druck), biete HP seinen Kunden neue
Mglichkeiten zur Anpassung der Eigenschaften der Teile und zur
kundenindividuellen Massenproduktion. 340 Millionen Voxel pro
Sekunde soll das Druckersystem verarbeiten knnen.
Der Drucker HP Jet Fusion 3D in der Variante 3200 eigne sich
besonders fr die Prototypentwicklung. Der Jet Fusion 3D 4200
wurde fr die Prototypentwicklung und fr Fertigungslufe mit
kurzer Durchlaufzeit konzipiert. Er zeichne sich durch eine hohe
Produktivitt aus, um tagesaktuelle Anfragen zu niedrigen Stck-
kosten zu bewltigen. Letzteres Modell soll gegen Ende des Jahres
2016 ausgeliefert werden, der Jet Fusion 3D 3200 folgt 2017. Die-
ser ist dann ab 120.000 Euro erhltlich. Die komplette End-to-
End-Lsung gibt es ab 145.000 Euro. (dr) 3D-Druck in Serie versprechen
HP: www.hp.com die neuen Jet-Fusion-3D-Drucker von HP.

6 Juli 2016 www.it-administrator.de


News Aktuell

Robuste
Vernetzung
LANCOM Systems erweitert sein
VPN-Router-Portfolio um ein
neues Modell fr den Einsatz im
industriellen Umfeld: Der LAN-
COM IAP-4G ist ein Mobilfunk-
router mit integriertem Multi-
mode LTE-Modem fr Daten- CyberArk hat seine Privileged-Account-Security-Lsung im
raten von bis zu 100 MBit/s. Das Hinblick auf die Sicherung von Industrial Control Systems
Gert verfgt ber ein staubdich- Eine robuste VPN-Vernetzung im erweitert. Industriebetriebe sollen damit die Ausbreitung
tes Metallgehuse (IP-50-Schutz- industriellen Umfeld verspricht von Malware verhindern, die mit privilegierten Accounts
klasse) und untersttzt einen er- der LANCOM IAP-4G. verbundenen Risiken identifizieren und die Sicherheit bei
weiterten Einsatz- Temperatur- Remote-Zugriffen auf unternehmensinterne Produktionssys-
bereich (-20 bis +50 C). Der IAP-4G eigne sich beispielsweise zur teme verbessern knnen. Neu im CyberArk-Portfolio ist die
mobilen Datenanbindung, fr Logistik-Anwendungen und zur fr den Einsatz im Umfeld von ICS-Umgebungen konzipierte
Anbindung von Automaten, Maschinen und berwachungsein- Lsung Viewfinity als Bestandteil der CyberArk-Suite
richtungen ohne kabelgebundene Internet-Anbindung. Die inte- "Privileged Account Security". (dr)
grierte VPN-Funktion ermgliche die sichere Vernetzung ver- Link-Code: G7A11
schiedener Standorte und die Einbindung externer Dienstleister.
Das Gert verfgt ber ein integriertes Multimode-LTE-Modem Symantec bernimmt fr rund 4,65 Milliarden US-Dollar
und ist abwrtskompatibel zu UMTS, EDGE und GPRS (3G und den Security-Anbieter Blue Coat. Durch die bernahme
2G). Die Stromversorgung erfolgt wahlweise ber ein Steckernetzteil mchte Symantec sowohl groen Unternehmen als auch
oder PoE (IEEE 802.3af). Fnf IPsec-VPN-Kanle inklusive Hard- Konsumenten einen besseren Schutz vor Insider-Gefahren
warebeschleunigung sind serienmig in den Router integriert (op- sowie technisch versierten Cyberkriminellen bieten. Auch
tional 25). Die IPsec-VPN-Verbindungen knnen dabei ber alle Mo- die Cloud-Nutzung durch Firmen mchte Symantec sicherer
bilfunknetze aufgebaut werden. Der IAP-4G stellt ferner bis zu 16 machen. Der bisherige Chef von Blue Coat soll bei Syman-
sicher isolierte und getrennt voneinander routende IP-Kontexte zur tec neuer CEO werden. Im dritten Quartal dieses Jahres soll
Verfgung. Dies ermgliche es, alle IP-Anwendungen ber verschie- die bernahme von Blue Coat durch Symantec abgeschlos-
sen sein. (dr)
dene Netze und dennoch ber einen zentralen Router zu fhren und
Link-Code: G7A12
die verschiedenen Kommunikationskanle sicher voneinander abzu-
grenzen. Die integrierte Firewall bietet Sicherheitsfunktionen wie
Unter dem Namen "Protect&Charge" hat IT-Budget eine
Stateful Packet Inspection, Intrusion Detection und DoS-Schutz. Der
Serie von Schutzschrnken entwickelt, in denen Smartpho-
LANCOM IAP-4G ist ab sofort fr 849 Euro erhltlich. (dr)
nes und Tablets ber Nacht sicher verwahrt und gleichzeitig
LANCOM Systems: www.lancom-systems.de
geladen werden knnen. Als typische Einsatzgebiete nennt
der Anbieter Logistikzentren, Gastronomie, Fachgeschfte
und Ladenketten. Mit der Aufladestation lassen sich je nach
Schrank acht oder mehr Smartphones und Tablets auf Fach-
Roundcube Webmail 1.2.0 bden aufbewahren und laden. Der Boden ist mit rutsch-
hemmendem Schaumstoff bezogen, um die Oberflche der
untersttzt PGP Gerte nicht zu beschdigen. (dr)
Seit Ende Mai ist Version 1.2.0 von Roundcube Webmail verfgbar. Link-Code: G7A13
Mit dem aktuellen Release ist der Webmailer kompatibel mit der
aktuellen PHP-Version 7. Auerdem bietet Roundcube einige neue Siemon stellt eine neue Produktlinie an Power Distribution
Features, etwa Drag-and-Drop fr Attachments und eine Such- Units vor. Die PowerMax-PDUs sind zunchst als Basic- und
funktion, die sich auf ein Datumsintervall einschrnken lsst. Metered-PDUs erhltlich. Sie sollen eine einfache und zu-
Roundcube 1.2.0 untersttzt PGP-Verschlsselung von E-Mails, verlssige Stromverteilung zum rackmontierten IT-Equip-
entweder clientseitig mit der Browser-Extension Mailvelope oder ment ermglichen. Die Basic- und Metered-PDUs von Sie-
auf dem Server mit dem Enigma-Plugin und GnuPG. Auerdem mon werden fr Anwendungen mit Einphasen- und
trifft Roundcube in der neuen Version einige Manahmen zum Dreiphasenstrom zur Stromversorgung von Gerten im Re-
Schutz gegen Brute-Force-Angriffe. Mit der Verffentlichung des chenzentrum angeboten. Sie besitzen einen Stromeingang
aktuellen Release erhalten die alten Roundcube-Versionen 1.0 und und sind in unterschiedlichen Stromstrken und Spannun-
1.1 knftig nur noch wichtige Sicherheits-Updates. (of) gen sowie mit NEMA- oder IEC-Stecker erhltlich. (dr)
Roundcube: https://roundcube.net Link-Code: G7A14

Link-Codes eingeben auf www.it-administrator.de Juli 2016 7


Aktuell News

Citrix bietet Raspberry- Im Zusammenspiel mit Citrix XenDesktop und Xen-


Apps soll sich der HDX Ready Pi als vollwertiger Ersatz
basierte Thin Clients an fr klassische PC-Arbeitspltze verwenden lassen, meint
Citrix hat einen neuen Thin Client vorgestellt, der auf dem Citrix. Die Gerte enthalten neben einem Raspberry Pi ei-
Raspberry Pi basiert. Der Citrix HDX Ready Pi soll weniger nen Flash-basierten Massenspeicher und eine Stromver-
als 90 US-Dollar kosten und neben dem Betriebssystem ei- sorgung. Die Daten der Benutzer speichert der HDX Rea-
nen optimierten Citrix Receiver enthalten. Ende letzten Jah- dy Pi jedoch nicht lokal, sondern auf einem zentralen
res hatte Citrix demonstriert, wie sich mit dem Raspberry Server. Die Management-Software soll die Integration in
Pi ein Remotedesktop aufbauen lsst. Dazu verwendet Ci- die Remotedesktop-Infrastruktur vereinfachen und bei-
trix das auf Linux basierende Betriebssystem ThinLinX, das spielsweise automatisch den passenden Citrix-StoreFront-
die Hardwarebeschleunigung des Raspberry-SoC (System Server auswhlen. (of )
on a chip) bei der Anzeige des Desktops untersttzt. Citrix HDI Ready Pi: http://citrixreadyprogram.com/hdx-pi/

Ransomware auf der Spur


Vectra Networks erweitert seine X-Series-Plattform um die Daten innerhalb weniger Sekunden erkennen, indem sie fr
Erkennung von Ransomware. Die Plattform dient der Echt- diese Angriffe typische Verhaltensmuster in Echtzeit identi-
zeit-Erkennung gerade stattfindender Cyberangriffe im fiziere. Der dafr verantwortliche Rechner liee sich dann
Netzwerk samt Gefahreneinschtzung fr den Administra- unverzglich vom Netzwerk trennen. Zwar verhindert das
tor. Damit setzt die Umgebung in der Post-Breach-Phase an. nicht die Verschlsselung lokaler Daten auf den Clients, sehr
Ransomware breitet sich derweil in vielen Unternehmens- wohl jedoch die Ausbreitung der Ransomware auf Netzlauf-
netzwerken aus, wobei die Angriffe nicht mehr nur auf ein- werke. Dabei erfasse das System neben den Verschlsse-
zelne Endgerte abzielen. Oft werden auch Netzlaufwerke lungsvorgngen auch Command and Control (C&C)-Kom-
mitverschlsselt und damit der eigentliche Schaden fr Un- munikation und Netzwerk-Reconnaissance-Techniken, die
ternehmen angerichtet. Die erweiterte Vectra-Lsung soll Ransomware ebenfalls mit an Bord haben kann. (dr)
daher eine Verschlsselung von im Netzwerk befindlichen Vectra Networks: www.vectranetworks.com/dach

In Verbindung
D-Links Wireless-AC-Produktfamilie bekommt Zuwachs:
Mit dem DIR-859 steht ein neuer AC1750-Dualband-GBit-
Router mit erweiterten Sicherheitsfunktionen fr schnelle
Datenbertragungen sowohl kabelgebunden als auch per
WLAN zur Verfgung. Der DWR-953 ist ein AC750-4G-
LTE-Multi-WAN-Router fr ausfallsichere Internetverbin-
dungen mit gleichzeitiger Untersttzung von mobilem 4G
LTE/3G-Internet und Festnetz-Breitbandinternet. Der
AC1750-Dualband-GBit-Router DIR-859 bietet neben dem
Wireless-AC-Standard vier GBit-Ethernet-Ports. Das inte-
grierte Dualband-WLAN ermglicht Datenbertragungsra-
ten von bis zu 1750 MBit/s (1300 MBit/s auf dem 5 GHz-Fre-
quenzband und 450 MBit/s auf 2,4 GHz). Die Einrichtung
und Verwaltung erfolgt entweder browserbasiert mittels Ein- Der DI-859 lsst sich per Webinterface oder App einrichten.
richtungsassistent oder ber die kostenlose QRS App (Quick
Router Setup) fr iOS und Android. kann ber WLAN oder Ethernet-Ports mit anderen Gerten
Der AC750-4G-LTE-Multi-WAN-Router DWR-953 ist geteilt werden. Eine automatische Failover-Funktion sorgt
ein Dualband-WLAN-Router mit SIM-Kartenslot und Wi- dafr, dass bei einer Unterbrechung der WAN-Verbindung
reless-AC fr mehrere Einsatzmglichkeiten: Zum einen sofort das 4G LTE/3G-Netz einspringt. Nicht zuletzt kn-
kann er ber ein normales DSL- oder Kabelmodem genutzt nen beide Verbindungen auch fr hhere bertragungsge-
werden. Der GBit-WAN-Port liefert hierfr die Schnittstelle schwindigkeiten kombiniert werden. Verfgbar ist der DIR-
fr die Breitbandinternetnutzung per Kabel. Zum anderen 859 ab sofort fr rund 95 Euro. Der DWR-953 erscheint
fungiert der DWR-953 als 4G LTE-Hotspot. Das mobile 4G voraussichtlich im Juli 2016 und kostet etwa 159 Euro. (dr)
LTE/3G-Internet mit Datenraten von bis zu 150 MBit/s D-Link: www.dlink.com

8 Juli 2016 www.it-administrator.de


News Aktuell

Ein drittes Bit


Mit der zuverlssigen Speicherung und Erhaltung von drei
Datenbits pro Zelle haben Wissenschaftler von IBM Research
in Rschlikon bei Zrich einen Meilenstein in der Entwick-
lung von Phasenwechselspeichern (Phase Change Memory
oder kurz PCM) erreicht. Die so genannten Phasenwechsel-
materialien weisen eigentlich nur zwei stabile Zustnde auf -
eine amorphe und eine kristalline Phase mit tiefer bezie-
hungsweise hoher elektrischer Leitfhigkeit. Um nun eine "1"
oder eine "0" - also ein Bit - in einer PCM-Zelle zu speichern,
wird ein hoher oder mittlerer elektrischer Strom an das Mate-
rial angelegt. Durch entsprechende Programmierung kann die
"0" in die amorphe Phase und die "1" in die kristalline Phase
geschrieben werden oder umgekehrt. Das Auslesen des Bits
erfolgt dann durch die Detektion des Widerstandes mittels
Anlegen eines schwachen Stromflusses. Dieses Verfahren liegt
auch den wiederbeschreibbaren Blu-Ray-Disks zu Grunde.
Um nun mehrere Bits pro Zelle speichern zu knnen, ha-
ben die IBM-Forscher mehrere neuartige Technologien ent- Forscher von IBM Research haben auf einem experimentellen Multi-
wickelt: Verschiedene Verfahren zur Messung des Zellzu- Bit-PCM-Chip drei Bits pro Speichereinheit abgelegt.
standes, die gegen den so genannten Drift (die schleichende
Vernderung der Stabilitt der elektrischen Leitfhigkeit der durch die Systemarchitektur (interleaving architecture) zu-
Zelle) immun sind, sowie neue Drift-tolerante Kodierungs- gegriffen wird. Die Speichereinheit ist 2 1000 m 800
und Detektionsverfahren. Die Forscher verwendeten dabei m gro. Die PCM-Zellen basieren auf einer dotierten Chal-
einen experimentellen Multi-Bit-PCM-Chip, der mit einer kogenid-Legierung und wurden auf einem Prototyp-Chip in
integrierten Standard-Leiterplatte verbunden war. Der Chip 90nm-CMOS-Baseline-Technologie integriert, der als Cha-
besteht aus einer Anordnung von 2 2 Millionen Zellen, die rakterisierungsplattform dient. (dr)
in vier Bereiche unterteilt sind und auf die nacheinander IBM Research: www.zurich.ibm.com

Komfortabler Zugriff bei der Fernwartung oder im Rahmen der Online-Zusam-


Ab sofort steht die neue Linux-Version 2.3.1 der Remote- menarbeit in Teams und Arbeitsgruppen zum Einsatz. Priva-
Desktop-Software AnyDesk zum Download bereit. Um Li- te Anwender drfen AnyDesk kostenlos nutzen (AnyDesk
nux-Usern eine bessere Benutzerfreundlichkeit zu bieten, Free). Fr Selbstndige, Unternehmen und andere gewerbli-
wurde die Oberflche berarbeitet und eleganter gestaltet. che Nutzer stehen die Lizenzen AnyDesk Lite und AnyDesk
Das Look & Feel liege jetzt auf dem Niveau der Windows- Professional zu Preisen ab 60 beziehungsweise 180 Euro jhr-
Version und Anwender profitierten von zustzlichem Be- lich im Flex-Abo zur Verfgung. (dr)
dienkomfort, einschlielich der Tonbertragung. In diesem AnyDesk: www.anydesk.de
Zuge wurden auch die Funktionen zwischen den un-
terschiedlichen Software-Versionen angeglichen. Be-
seitigt haben will der Anbieter darber hinaus ein Pro-
blem, das auftreten konnte, wenn AnyDesk durch das
grafische Installationsprogramm von KDE installiert
wurde. Einige Abhngigkeiten mussten bisher manuell
nachinstalliert werden, wodurch es zu Schwierigkeiten
mit dem Start des X-Servers kommen konnte.
Zu den weiteren Verbesserungen zhle die Integra-
tion eines neuen Tastatur-Protokolls. Dadurch wrde
das Arbeiten fr Nutzer verbessert, die keine deutsche
Tastatur verwenden. Mit AnyDesk knnen Anwender
sehr einfach per Fernzugriff Computer ber das Inter-
net steuern und beispielsweise von berall aus auf den
eigenen Rechner zu Hause oder im Bro zugreifen. Im AnyDesk 2.3.1 kommt mit berarbeiteter Benutzeroberflche daher und
professionellen Segment kommt AnyDesk im Support wurde von einigen Fehlern befreit.

www.it-administrator.de Juli 2016 9


Aktuell EMC World 2016

EMC World 2016, 2. bis 5. Mai, Las Vegas

Aus zwei mach eins


von Ariane Rdiger

Mit dem Motto "Modernize"


verabschiedete sich EMC auf
der weltweiten Konferenz
EMC World 2016 von Kunden
und Partnern. Der Zusammen-
schluss mit Dell befindet sich
demnach voll im Zeitplan.
Trotzdem gab es viele Neuig-
keiten, auch fr Admins in
mittelstndischen Firmen.

owohl fr Dell als auch fr EMC Quelle: EMC


S stnden die Kunden jetzt und in
Zukunft an erster Stelle, betonte das Ma-
nagement von Dell/EMC immer wieder, works oder Virtustream, die erhalten sion 3.0 wirken, in den Ergebnisse des
zuvorderst der designierte CEO des dem- bleiben. Direkt unter dem Dell-Techno- CoprHD-Projekts integriert wurden:
nchst fusionierten Unternehmens, Mi- logy-Dach und damit unter Michael Dell Dank eines Software Development Kits
chael Dell. Whrend sich EMC-CEO Joe befinden sich Tochterfirmen wie Pivotal lassen sich nun insgesamt rund 50 Spei-
Tucci mit den Worten: "Das ist wohl das oder VMware. chersysteme aller mglichen Hersteller in
letzte Mal, dass ich hier stehe" von den Umgebungen unter ViPR 3.0 einbinden,
rund 10.000 Besuchern der EMC World 360-Grad-Sicht auf was die Provisionierung beschleunigt. Ver-
2016 in Las Vegas verabschiedete und EMC-Speicherprodukte sion 3 ist als Beta bereits zum Download
dann Michael Dell auf die Bhne bat, gab Trotz des bevorstehenden Zusammen- verfgbar, die kommerzielle Variante gibt
dieser erste Ausblicke in eine Zukunft, schlusses, den rund 200 Mitarbeiter aus es noch im zweiten Quartal.
in der sich das fusionierte Unternehmen, beiden Unternehmen in 16 Arbeitsteams
so Dell, als grter Lieferant fr die IT- vorbereiten, stellte EMC eine ganze Reihe Wer anspruchsvolle Applikationen nicht
Infrastrukturplattformen im Unterneh- neuer Produkte und Lsungen vor. Fr mehr lokal betreiben oder zumindest die
mensumfeld behaupten werde. IT-Administratoren besonders interessant Archivierung auslagern mchte, erhlt von
sind naturgem solche, die ihnen die EMC nun Cloud-Serviceangebote. Sie ba-
Die fusionierte Firma wird Dell Tech- Arbeit erleichtern. Wichtigste Neuerung sieren auf Technologie des Cloud-Dienst-
nologies heien. Darunter befinden sich diesbezglich ist MyService360, ein Ser- leisters Virtustream, den EMC im vergan-
diverse Marken: Unter dem Label Dell vice mit Dashboard und Analysetools, genen Jahr fr 1,2 Milliarden Dollar
gibt es weiterhin die Client-Systeme wie der die gesamte EMC-Infrastruktur im aufgekauft hat. EMC/Virtustream bietet
Laptops, PCs et cetera, an deren Ge- Unternehmen nahezu in Echtzeit ber- nun erstens einen Enterprise-Cloud-Ser-
schftsmodell und Fhrungsstruktur wacht, ihr Verhalten analysiert und vi- vice fr hochverfgbare Anwendungen an.
sich auch in Zukunft nicht viel ndern sualisiert. Er arbeitet mit EMCs eigenem Laut Virtustream-CEO Rodney Rogers
wird. Die Enterprise-Produkte werden Datalake ber die bidirektionale Re- kann der Serviceanbieter dank der von
unter der Bezeichnung Dell EMC zu- mote-Verbindng ESRS v3 (EMC Secure Virtustream entwickelten Technologien
sammengefasst und vom derzeitigen Remote Services Virtual Edition) zusam- beim Enterprise-Service in den Service-
Chief Executive Officer of EMC Infor- men. Kunden, die EMCs Online-Support Level-Agreements sogar applikationsbe-
mation Infrastructure, David Goulden, beziehen, knnen MyService360 kosten- zogene Latenzen garantieren.
geleitet. Zu Gouldens Reich gehren ne- los nutzen.
ben Servern und klassischen EMC-Spei- Zweites Cloud-Serviceangebot ist Vir-
cherprodukten unter dem Label Dell Ebenfalls arbeitserleichternd knnte der tustream Storage Cloud, ein hochska-
EMC auch Marken wie RSA, Secure- Virtualisierungscontroller ViPR in Ver- lierbarer Objektspeicher als externer Ar-

10 Juli 2016 www.it-administrator.de


E M C Wo r l d 2 0 1 6 Aktuell

chivierungsservice fr Daten auf EMC- schafft 300 kOPS. Eine hybride Version Hardwarebasis der ebenfalls in Las Vegas
Speichersystemen. Das verfgbare Spei- kostet ab 10.000 Dollar. Weiter gibt es vorgestellten Entwicklungsplattform
chervolumen des Dienstes liegt derzeit Unity als reine Softwarevariante und in- Native Hybrid Cloud (NHC) fr Cloud-
bei mehr als zwei Exabyte. Virtustream tegriert in VxBlock. Apps. NHC liefert alle Werkzeuge, Pro-
hlt acht Speicherlokationen in den Ver- zesse und Analysetools, um schnellstmg-
einigten Staaten und Europa vor. "Wir Die Unity-Produkte sind in das War- lich Cloud-Native-Apps zu entwickeln.
bauen gerade Deutschland und Frank- tungsprogramm "xpext More" mit lebens- Pivotal Cloud Foundry ist integriert.
reich auf ", sagt Rogers. Seit dem 10. Mai lang garantierten Wartungspreisen und
sind beide Dienste verfgbar. dreijhriger Geld-Zurck-Garantie ein- Dazu passen zwei Apps, die aus EMCs
gebunden. Im nchsten Jahr soll die All- 2014 gestartetem Open-Source-Projekt
Flash-only-Angebote Flash-Strategie mit der All-Flash-Variante {code} hervorgegangen sind: Erstens der
fr den Mittelstand von Isilon, Nitro, abgerundet werden. Von unternehmens- und systembergreifende
Im Rahmen seiner All-Flash-Strategie der Direct-Attach-Lsung DSSD D5 mit Scheduler Polly (Polymorphic Volume
prsentiert EMC die neue Produktserie 144 TByte Kapazitt, die EMC krzlich Scheduling) fr Container-Umgebungen
Unity. Das All-Flash-System mit Ein- vorgestellt hat, lassen sich nun zwei Ein- beispielsweise unter Docker, Mesos oder
stiegspreisen unter 18.000 US-Dollar eig- heiten logisch zu einer verbinden. Kubernetes. Er soll nach einem Angebots-
net sich fr Mittelstndler und Abtei- Nachfrage-Algorithmus den einzelnen
lungen. Die 2 HE hohe Box bietet unter Die Konvergenzplattform VxRack erhlt untergeordneten Schedulern in hetero-
anderem ein transaktionsfhiges File- mit Neutrino eine neue Knoten-Variante genen Container-Umgebungen den be-
system und integrierte Verschlsselung. mit einem von EMC verwalteten und ntigten Speicher anbieten.
Unity speichert derzeit 80 TByte, sobald gepflegten kompletten OpenStack. Die
dichtere SSD-Platten erhltlich sind auch Neutrino-Knoten sind fr Cloud-native- Die zweite App ist Rex-Ray inVersion 0.4,
mehr, skaliert derzeit bis zu 3 PByte und Umgebungen gedacht und bilden die eine Applikation, die Containern system-
bergreifend persistenten Storage zuweist.
Sie wurde um neue Treiber, Sicherheits-
mechanismen und Client/Server-Modelle
erweitert. Beide zusammen knnten Con-
tainerumgebungen in Zukunft erlauben,
auch anspruchsvolle klassische Anwen-
dungen, die persistenten Speicher brau-
chen, zu beherbergen.

Um den Datenwust besser zu bewltigen,


zeigte der Bereich Backup ein neues
Produkt zum Copy Data Management
(CDM), das nicht nur alle vorhandenen
Kopien auf Primr- und Backupmedien
findet, sondern nach den jeweiligen Si-
cherheits- und Redundanzvorgaben ge-
nau die richtige Menge Kopien an den
richtigen Orten aufhebt.

Fazit
Die letzte EMC World zeigte den Teil-
nehmern den Weg in die Zukunft des
fusionierten Unternehmens. Dabei hatte
EMC durchaus noch einige Produkt-
berraschungen zu bieten, die auch fr
mittelstndische Firmen interessant
sind. Dazu gehrt die All-Flash-Platt-
form Unity, die auf 2 HE 80 TByte voll-
verschlsselt auf SSDs abspeichert. Wie
sich Dell/EMC als Unternehmen fortan
entwickeln wird und welche Produkt-
strategie mittelfristig folgt, muss die Zu-
Zwei DSSD-D5-Einheiten lassen sich nun logisch verbinden, um noch mehr Speicher zu erhalten. kunft zeigen. (dr)

www.it-administrator.de Juli 2016 11


Aktuell I T- A d m i n i s t r a t o r Tr a i n i n g

Que
IT-Administrator Training

lle: t
alas
how Hyper-V 2016
12
3RF

Hyper-V in Windows Server 2016 bringt neue Snapshots und


erhhte Sicherheit in der Cloud. Diese Themen und die fr die
Virtualisierung relevanten Storage-Neuerungen in Windows
Server 2016 bereitet unser neues Training auf.

Einen weiteren Schwerpunkt setzt das


Hyper-V unter
Training bei der Hardware fr virtuelle
Windows Server 2016
Maschinen. So zeigen wir, was zu beach-
as Trai- ten ist, wenn einer VM im laufenden Be- Die Inhalte des Trainings
D ning un- trieb virtuelle Netzwerkkarten oder Ar- Hyper-V in Windows Server 2016
ter der fachlichen beitsspeicher hinzugefgt oder entfernt - Neues Konfigurationsformat
Leitung von Nils werden. Schlielich spielt auch der Nach- - Rolling Upgrades im Cluster
- Shielded Virtual Machines
Kaczenski widmet folger der Snapshots die "Production
- Container-Integration
sich zunchst den Hyper-V-Neuerungen Checkpoints" eine wichtige Rolle im
- Storage Spaces Direct
in Windows Server 2016. Beispielsweise Training. Wie aus der beliebten Snap-
Virtuelle Maschinen in Hyper-V 2016
zeigt sich beim Verschieben von VMs von shot-Technik des Hypervisors ein voll-
- Discrete Device Assignment
einem Hyper-V-Host mit Windows Server wertiges Werkzeug fr die Datensiche-
- Verlssliche Snapshots mit Production
2012 R2 auf einen Windows-2016-Host, rung wird, zeigt Kaczenski im Detail. Checkpoints
dass diese zunchst unverndert bleiben. - CPUs, Netzwerkkarten und RAM anpassen
Das ist neu, denn bislang fand bei einem Inhaltlich abgerundet wird der Tag, indem
Sicherheit fr Hosts und VMs
solchen Vorgang immer eine implizite Kon- wir die Teilnehmer zunchst durch die - Host-Ressourcen schtzen
version statt. Die neue Hyper-V-Version neuen Cloud-Sicherheitsfunktionen wie - Cluster-Ausflle vermeiden
fhrt solche Anpassungen nur noch durch, "Host Resource Protection", "Shielded - Shielded Virtual Machines
wenn der Administrator das ausdrcklich VMs" und "Host Guardian Service" leiten, Storage aus der Box
anfordert. Unser Training zeigt, welche um uns dann der erhhten Verlsslichkeit - Storage Spaces Direct
Vorteile diese "Rolling Upgrades" gerade bei der Storage-Anbindung zuzuwenden. - Konzepte mit zentralem Speicher
in Cluster-Umgebungen bringen. Hier verleiht etwa die "Storage Resiliency" - Hyperconverged-Systeme selbst einrichten
einem Cluster mehr Stabilitt. Und die be- Termin & Ort
Fachliche Leitung / Dozent reits lnger angekndigte Funktion "Sto- 19. September: Hamburg
rage Replica" ermglicht, dass ein Win- ExperTeach Training Center Hamburg,
Nils Kaczenski ist seit
dows-Server seine Daten synchron oder Esplanade 6, 20354 Hamburg
Mitte der Neunziger-
jahre als Consultant fr asynchron auf einen anderen Server repli- 28. September: Dortmund
Windows-Netzwerke ziert. Das ermglicht so genannte "Stret- TOP Tagungszentrum Dortmund,
ttig. Fr sein Engage- ched Cluster", die ber mehrere entfernte Emil-Figge-Strasse 43, 44227 Dortmund
ment in Online-Com- Rechenzentren verteilt sind. Zuletzt hat 6. Oktober: Dietzenbach
munities hat Microsoft Microsoft dies um "Storage Spaces Direct" ExperTeach Training Center Frankfurt,
ihn seit 2003 regelm- erweitert, wobei nicht dedizierte Storage- Waldstrae 94, 63128 Dietzenbach
ig als Most Valuable Server die Datenhaltung bernehmen, Teilnahmegebhren
Professional (MVP) fr sondern die Hyper-V-Hosts selbst. Die Teilnahmegebhr fr das Training beluft
Directory Services und
sich fr IT-Administrator Abonnenten auf
Hyper-V ausgezeichnet. Aktuell leitet er das
Alle Details der Agenda sowie Veranstal- 215,90 Euro inklusive 19% Mehrwertsteuer.
Microsoft-Consulting bei der michael wessel
tungsorte und -termine finden Sie im Fr Nicht-Abonnenten wird eine Gebhr von
Informationstechnologie GmbH. Seine
Kasten auf dieser Seite. Folgen Sie dem 274,90 Euro (inklusive 19% MwSt.) fllig.
Schwerpunkte sind die strategischen The-
Link im Kasten auf dieser Seite, finden Die Teilnahmegebhr umfasst das Training in-
men Verfgbarkeit, Virtualisierung und IT-Si-
Sie dort alle Informationen rund um das klusive Dokumentation und das Mittagessen
cherheit. Neben seiner beruflichen Ttigkeit
sowie Kaffeepausen am Trainingstag.
ist er als Fachautor fr Windows-Themen Training sowie eine komfortable Anmel-
bekannt und ist gefragter Sprecher auf Kon- demglichkeit. Wir freuen uns darauf, Sie Das Anmeldeformular und ausfhrliche
ferenzen und Community-Veranstaltungen. in Herbst auf einem unserer Trainings Inhalte zu allen Trainings finden Sie unter
www.it-administrator.de/trainings
begren zu drfen.

12 Juli 2016 www.it-administrator.de


I T- A d m i n i s t r a t o r Tr a i n i n g Aktuell

IT-Administrator Training

Exchange 2016
administrieren
Exchange 2016 vereinfacht die Verwaltung der
E-Mail- und Kommunikationsinfrastruktur etwa durch
weniger Server-Rollen und eine leichter zu verwaltende
Hochverfgbarkeit. Zu diesen und allen weiteren Neuerungen
sowie der Migration von lteren Versionen bietet unser neues
Training eine kompakte, praxisnahe Einfhrung.

nser Dozent Jrgen Halauer stellt se fr ein geeignetes Hardwaresizing an


U im ersten Teil des Trainings die re- die Hand bekommen.
levanten Neuerungen in Exchange 2016 Exchange 2016 administrieren
vor. So wird etwa mit Exchange 2016 der Die Hochverfgbarkeit wird weiter ber
Die Inhalte des Trainings
Client Access-Server abgeschafft, seine Datenbankverfgbarkeitsgruppen abge-
Architektur von Exchange Server 2016
Funktion bernehmen zuknftig die wickelt. Allerdings lassen sich diese in
- Rollenkonzept im Exchange-Server
Postfachserver. Alle Funktionen, die der neuen Version besser einrichten, wie
- Hochverfgbarkeit
Clientzugriffserver beherrschen, wandern unser Training zeigt. Microsoft verspricht
- Microsoft Preferred Architecture
also zu den Postfachservern. Microsoft auerdem eine bessere Leistung fr
- Einsatz von Virtualisierung
will dadurch die Anzahl der notwendigen Hochverfgbarkeitsgruppen und besseren
- Hardwaresizing der Systeme
Exchange-Server und somit Hardware- Failover, falls eine Datenbank ausfllt.
Upgrade auf Exchange Server 2016
Kosten, Lizenzen und Verwaltungsauf- Auch untersuchen wir im Training den
- Voraussetzung fr die Migration
wand reduzieren. Wie sich dies in der Einsatz der Virtualisierung in Exchange-
- berblick der Migrationsschritte
Praxis darstellt, zeigt unser Training auch Infrastrukturen und Microsofts Best-
- Mailbox-Migration
insofern, als dass die Teilnehmer Hinwei- Practise-Empfehlung, auch als "Microsoft
- Migration zu Modern Public Folder
Preferred Architecture" bekannt.
Fachliche Leitung / Dozent Termin & Ort
Nachdem die Teilnehmer mit den Neue- 12. September: Mnchen
Jrgen Halauer studier- ExperTeach Training Center Mnchen,
te Maschinenbau-Pro- rungen und Anforderungen vertraut sind,
Wredestr. 11, 80335 Mnchen
duktionstechnik und kmmert sich der zweite Teil des Trainings
um die Migration. Hier betrachten wir zu- 22. September: Hamburg
Maschinenbau-Informa-
nchst die Voraussetzung fr eine erfolg- ExperTeach Training Center Hamburg,
tik. Zuerst arbeitete er
reiche Migration und untersuchen dann Esplanade 6, 20354 Hamburg
sieben Jahre als Soft-
ware-Entwickler und die notwendigen Migrationsschritte unter 29. September: Berlin
Systems Engineer bei ei- Bercksichtigung der bestehenden Ex- PC College,
nem Werkzeugmaschi- change-Version. Im Detail wenden wir uns Stresemannstrae 87, 10963 Berlin
nenhersteller. Anschlie- dann der Mailbox- und der Modern Public Teilnahmegebhren
end war er neun Jahre Folder-Migration zu. Die Teilnahmegebhr fr das Training beluft
als Technical Consultant sich fr IT-Administrator Abonnenten auf
bei Compaq/HP beschftigt. Seit circa sieben Alle Details der Agenda sowie Veranstal- 215,90 Euro inklusive 19% Mehrwertsteuer.
Jahren untersttzt er Kunden der infoWAN Fr Nicht-Abonnenten wird eine Gebhr von
tungsorte und -termine finden Sie im
GmbH beim Design ihrer IT-Lsungen basie- 274,90 Euro (inklusive 19% MwSt.) fllig.
Kasten auf dieser Seite. Folgen Sie dem
rend auf Microsoft-Produkten. Sein aktueller Die Teilnahmegebhr umfasst das Training in-
Link im Kasten auf dieser Seite, finden
Schwerpunkt liegt auf Microsoft Exchange klusive Dokumentation und das Mittagessen
Sie dort alle Informationen rund um das
Server und Compliance-Themen. Er ist Mit- sowie Kaffeepausen am Trainingstag.
verfasser des Buchs "Designing Storage for
Training sowie eine komfortable Anmel-
Das Anmeldeformular und ausfhrliche
Microsoft Exchange 2007 SP1" und Referent demglichkeit. Wir freuen uns darauf, Sie
Inhalte zu allen Trainings finden Sie unter
bei internationalen Fachkonferenzen. in Herbst auf einem unserer Trainings www.it-administrator.de/trainings
begren zu drfen.

www.it-administrator.de Juli 2016 13


Aktuell I T- A d m i n i s t r a t o r I n t e n s i v - S e m i n a r

Best Practices Windows 10

Die Inhalte des Intensiv-Seminars


Windows-10-Installation
- Installation mit MDT, ACT, USMT
- Windows ICD und Bereitstellungspakete
- Umgang mit Windows Update for Business
Quelle: scanrail 123RF

Security
- Windows Hello & Passport for Business
- EFS und BitLocker/BitLocker To Go
- Secure und Measured Boot
- Device Guard und Credential Guard
- Zugewiesener Zugriff
- Windows 10 mit MDM verwalten
Windows 10 im Unternehmen
- Gruppenrichtlinien
- Azure AD Join
- Workplace Join
- Unternehmens-PC einrichten
IT-Administrator Intensiv-Seminar
Windows 10 im Netzwerk
- Netzwerkumgebung

Best Practices - Netzwerkdiagnose


- Windows Remote Management
Druckerinstallation und -verwaltung

Windows 10
- Installation von lokalen Druckern und
Netzwerkdruckern
- Druckertreiber aktualisieren
Benutzerprofile verwalten
Beim Umstieg auf Windows 10 treffen Administratoren und - Lokale und wandernde Benutzerprofile
- Primre und sekundre Computer
Anwender auf Altbekanntes, wie nicht zuletzt die Rckkehr
- Vorstellung UE-V
des beliebten Startmen demonstriert. Dennoch hat Microsoft
Sicherung und Wiederherstellung
das Betriebssystem unter der Haube modernisiert, sinnvolle - Dateiversionsverwaltung
Ergnzungen vorgenommen und so eine groe Bereitschaft in - PC-Reset/Refresh
IT-Organisationen erzeugt, auf den neuen Client umzusteigen. - Hilfsmittel zum Starten defekter PCs
Wie Administratoren Altes und Neues in Windows 10 bestmglich Termin & Ort
8. und 9. November 2016: Bensheim
nutzen und verwalten, zeigt unser zweitgiges Intensiv-Seminar.
in-time IT Training Center GbR, Darmstdter
Strae 63, D-64625 Bensheim
en Anfang von Windows 10 im Kurs beides vermittelt hat, erfahren die 30. und 31. Januar 2017: Bensheim
D Unternehmen wie auch in den Teilnehmer, wie sich der Client ber in-time IT Training Center GbR, Darmstdter
zwei Tagen des "Best Practices Windows Gruppenrichtlinien steuern lsst und wie Strae 63, D-64625 Bensheim
10"-Intensiv-Seminars bildet die Instal- so Schritt fr Schritt ein Unternehmens- Das Intensiv-Seminar findet an den beiden
lation. Neben den verschiedenen Vertei- PC entsteht. Dessen Steuerung widmen Tagen jeweils von 9 bis 17 Uhr statt.
lungsmethoden erfahren die Teilnehmer sich dann die Themenblcke zur Dru- Teilnahmegebhren
hier auch, wie sich die Neugestaltung der ckerverwaltung, den Benutzerprofilen Die Teilnahmegebhr fr das Intensiv-Semi-
Client-Updates auf den Betrieb auswirkt. und der Sicherung. nar beluft sich fr IT-Administrator Abon-
Anschlieend wenden wir uns der Client- nenten auf 1.106,70 Euro inklusive 19%
Security zu und erfahren, wie Adminis- Alle Details der Agenda sowie Veranstal- Mehrwertsteuer. Fr Nicht-Abonnenten wird
tratoren Windows 10 auch unter Zu- tungsorte und -termine finden Sie im eine Gebhr von 1.273,30 Euro (inklusive
hilfenahme neuer Technologien wie Hello Kasten auf dieser Seite. Folgen Sie dem 19% MwSt.) fllig. Die Teilnahmegebhr um-
und Passport nachhaltig absichern. Link im Kasten auf dieser Seite, finden fasst das Training inklusive Dokumentation
und das Mittagessen sowie Kaffeepausen am
Sie dort alle Informationen rund um das
Trainingstag.
Zentrale Aufgaben im Windows-10-Be- Training sowie eine komfortable Anmel-
Das Anmeldeformular und ausfhrliche
trieb sind natrlich darber hinaus die demglichkeit. Wir freuen uns darauf,
Inhalte zu allen Trainings finden Sie unter
Einbindung im Netzwerk und der Acti- Sie auf einem unserer Intensiv-Seminare
www.it-administrator.de/trainings
ve-Directory-Domne. Nachdem der begren zu drfen.

14 Juli 2016 www.it-administrator.de


IT-Administrator Training

vSphere 6
optimal betreiben
Mit ber 650 neuen Features ist vSphere 6 eine Herausforderung

Quelle: sylverarts 123RF


fr den Admin. Zumal die Neuerungen um Updates ergnzt
werden, die manche Features wie etwa vSAN erst jetzt reif fr
die Produktion machen. Unser neues Training fhrt durch die
Verwaltung der neuen Features und Updates. Sind diese praxis-
gerecht umgesetzt, wenden wir uns der Performanceoptimie-
rung der aktuellen vSphere-Version zu.

er erste Block des neuen Trainings dann abgerundet mit der Administration
D widmet sich den fr die Praxis in- der Verfgbarkeitsfunktionen vMotion
vSphere 6 optimal betreiben
teressantesten Neuerungen in der Admi- und Fault Tolerance. Die Inhalte des Trainings
nistration von vSphere. So zeigt unser vSphere 6.0 (U1) im Praxisbetrieb
Trainer Jan Groe etwa, wie die Inhalts- Im zweiten Teil des Tages werfen wir - Content Library einrichten und verwenden
bibliothek Content Library ermg- dann einen Blick auf neue Technologien - Update Manager via WebClient (U1)
licht, Inhalte von einer zentralen Stelle im vSphere-kosystem. So hat beispiels- - Platform Service Controller
aus zu speichern und verwalten. So sind weise vSAN nunmehr einen technolo- - vMotion einsetzen
Administratoren in der Lage, Inhalte lo- gischen Reifegrad erreicht, der es taug- - Fault Tolerance
gisch in mehreren Bibliotheken zu orga- lich fr den Produktivbetrieb macht. Neue Techniken in der Praxis
nisieren und den Storage jeder einzelnen VVOLS virtualisieren SAN- und NAS- - vSAN
Bibliothek individuell zu konfigurieren Gerte und teilen diese durch die Abs- - VVOLs
und zu verwalten. trahierung physischer Ressourcen in lo- - NSX
gische Kapazittspools ein. Und als letzte Performance-Check und -Optimierung
Darber hinaus wenden wir uns dem Up- neue Technologie rckt die Netzwerk- - Die wichtigsten Performanceindikatoren
date Manager im Web-Client zu und rich- virtualisierung mit NSX in unser Blick- - Optimierung von vSphere
ten ber den Platform Service Controller feld. Hier steht neben der Abstrahierung Dozent: Jan Groe, Login Consultants GmbH
Single Sign-on und andere Security-Funk- der Netzwerkgerte in Software die Mi- Termin & Ort
tionen ein. Der erste Inhaltsblock wird krosegmentierung fr ein hheres Se- 6. September: Hamburg
curity-Niveau im Fokus. ExperTeach Training Center Hamburg,
Fachliche Leitung / Dozent Esplanade 6, 20354 Hamburg
Den Abschluss des Trainings bildet dann 13. September: Mnchen
Jan Groe hat mehr
als 12 Jahre Erfahrung
ein Block, indem die Teilnehmer erfahren, ExperTeach Training Center Mnchen,
bei der Planung und welche Performanceindikatoren sie stets Wredestr. 11, 80335 Mnchen
Umsetzung von Infra- im Blick haben sollten und wie sich daraus
Teilnahmegebhren
struktur- und Virtuali- geeignete Optimierungsmanahmen ab-
Die Teilnahmegebhr fr das Training beluft
sierungsprojekten. Er leiten lassen.
sich fr IT-Administrator Abonnenten auf
hat dabei den Aufbau
215,90 Euro inklusive 19% Mehrwertsteuer.
von vielen groen Vir- Alle Details der Agenda sowie Veran-
Fr Nicht-Abonnenten wird eine Gebhr von
tualisierungsstrukturen staltungsorte und -termine finden Sie 274,90 Euro (inklusive 19% MwSt.) fllig.
verantwortlich geleitet. im Kasten auf dieser Seite. Der Link im Die Teilnahmegebhr umfasst das Training in-
Jan Groe arbeitet als Kasten fhrt Sie zu erweiterten Infor-
Senior Consultant bei klusive Dokumentation und das Mittagessen
mationen rund um das Training sowie sowie Kaffeepausen am Trainingstag.
der Login Consultants Germany GmbH und
zu einer komfortablen Anmeldemg-
beschftigt sich schwerpunktmig mit den Das Anmeldeformular und ausfhrliche
Themen VMware vSphere und End User
lichkeit. Wir freuen uns darauf, Sie in Inhalte zu allen Trainings finden Sie unter
Computing. Herbst auf einem unserer Trainings be- www.it-administrator.de/trainings
gren zu drfen.

www.it-administrator.de Juli 2016 15


VMware vRealize Automation 7

Motor fr die Cloud


von Dr. Guido Sldner, Constantin Sldner und Jens Sldner

VMware bietet mit der vRealize-Suite eine


Plattform zum Aufbau einer unternehmensin-
ternen Cloud-Umgebung. Herzstck der
Suite ist vRealize Automation, eine
Cloud-Management-Plattform, die
nunmehr in Version 7 vorliegt. Sie
verspricht schnelle Provisionierung
ber den Self-Service-Katalog, die
automatische Bereitstellung auch
komplexer Dienste sowie eine her-
stellerbergreifende Verwaltung
von Cloud-Ressourcen.

Quelle: Dmitriy Shpilko 123RF

as Haupteinsatzgebiet von vRealize nahezu beliebige Services wie zum Bei- So erlaubt das Produkt, den kompletten
D Automation ist die automatisierte spiel das Zurcksetzen von Passwrtern Lebenszyklus von bereitgestellten Res-
und standardisierte Bereitstellung von In- oder das Erzeugen neuer Benutzer im sourcen ber Richtlinien und Prozesse
frastruktur-Ressourcen von einzelnen vir- Active Directory im mitgelieferten Self- zu steuern. Dies beinhaltet unter anderem
tuellen Maschinen bis hin zu komplexen Service-Katalog zu verffentlichen. Dies mehrstufige Genehmigungsprozesse oder
Umgebungen fr Entwickler und Anwen- gelingt mit Hilfe von vRealize Orchestra- genaue Richtlinien ber die Bereitstel-
der. In vielen Unternehmen ist dies noch tor eine von VMware fr vSphere-Kun- lungsdauer von Ressourcen.
ein manueller Prozess, bei dem das Pro- den kostenfrei bereitgestellte Orchestrie-
visionieren derartiger Ressourcen meh- rungsengine. Diese Engine spielt fr die
VMware vRealize Automation 7
rere Tage oder sogar Wochen dauern vRealize-Produkte eine wichtige Vermitt-
kann. Benutzer von vRealize Automation lerrolle und kann inzwischen auf eine Produkt
knnen dagegen gewnschte Umgebun- breite Untersttzung in der VMware- Software zur Verwaltung und Provisionierung
gen in einem webbasierten Self-Service- Community zhlen; zudem sind fr sie von Cloud-Infrastrukturen.
Katalog bestellen und warten, bis vRealize viele zustzliche Plug-ins verfgbar. Hersteller
Automation diese mittels Automatisie- VMware
rungstechniken komplett bereitstellt in Ein weiteres Einsatzfeld fr vRealize Au- www.vmware.com
der Regel sind derartige Entwicklungs- tomation ist die Untersttzung von kom- Preis
In der Advanced-Lizenz zur Verwaltung von 25
umgebungen innerhalb weniger Minuten plexen DevOps-Umgebungen. Dabei geht
VMs ist vRealize Automation ab etwa 6.500
fr den Besteller vollautomatisch erzeugt. es nicht mehr nur um das Erzeugen von Euro zu haben. Die Enterprise-Lizenz beginnt
einzelnen Infrastruktur-Komponenten, bei 11.250 Euro.
Mit seiner Automatisierungslsung kon- vielmehr spielt das Bereitstellen von fer- Systemvoraussetzungen
zentriert sich VMware hauptschlich auf tigen Applikationen und deren Verwal- vRealize Automation stellt teilweise sehr hohe
das Erzeugen von Infrastruktur-Kom- tung ber den gesamten Lebenszyklus Hardwareanforderungen und die einzelnen
ponenten also einzelne oder ganze Ver- vom Erzeugen und Update einer Ap- Komponenten unterliegen differenzierten An-
bnde von virtuellen Maschinen samt plikation bis zum Lschen eine Rolle. forderungen, die sich dem Datenblatt entneh-
men lassen.
dazugehrigen Netzwerken und Fire-
walls, aber auch Komponenten wie vir- Neben der automatisierten Erstellung von Technische Daten
www.it-administrator.de/downloads/
tualisierte Loadbalancer und Router. Da- Ressourcen steht aber auch die Gover-
datenbltter
rber hinaus ist es aber auch mglich, nance bei vielen Unternehmen im Fokus.

16 Juli 2016 www.it-administrator.de


vRealize Automation Te s t s

Service-Katalog lassen sich einfach zusam-


menfassen: Zum einen sollte ein Katalog
einfach zu bedienen sein als auch eine
wohldefinierte Auswahl an zu bestellenden
Diensten bereitstellen knnen. Zum an-
deren sollte der Katalog in der Lage sein,
zu bestellende Dienste mglichst granular
zu verffentlichen. Im Fall von virtuellen
Maschinen bedeutet dies beispielsweise,
dass Konsumenten vor der Bestellung un-
Bild 1: Der neue Installationsassistent nimmt dem Admin viel Konfigurationsarbeit ab. ter anderem Anpassungen an CPU, Spei-
cher, Storage vornehmen knnen.

Installation deutlich vereinfacht ployment das fr kleine, Test- oder Trai- Natrlich ist es auch von Vorteil, wenn
Aufgrund der Komplexitt und der His- ningsumgebungen gengt bentigt so- Administratoren die Mglichkeit haben,
torie des Produktes war die Installation mit mindestens eine Linux-Appliance und sowohl vorhandene Formulare anzupassen
von vRealize Automation in vorherigen einen Windows-Knoten samt Microsoft als auch neue zu erstellen. Da der Katalog
Versionen immer ein anspruchsvolles Un- SQL Server. von unterschiedlichen Benutzergruppen
terfangen. VMware ist seit drei Jahren da- bedient wird, ist auch die einfache und
bei, das ursprnglich Windows-basieren- Bei mittleren und greren Umgebungen zentrale Administration von Benutzerbe-
de Produkt schrittweise auf Linux zu mit Hochverfgbarkeitsanforderungen rechtigungen unabdingbar. Ein derart an-
portieren. Whrend das Deployment der steigert sich die Anzahl der Knoten in der passbarer Service-Katalog war schon im-
mitgelieferten Linux-Appliances problem- vRealize-Automation-Umgebung deutlich. mer die Strke von vRealize Automation.
los vonstattengeht, war bei der Vorgn- Bild 2 illustriert dabei das logische Design Im Zusammenspiel mit vRealize Orches-
gerversion viel manuelle Konfigurations- fr ein Enterprise-Deployment: Neben ei- trator erweitern sich die Bereitstellungs-
arbeit fr die verbliebenen Windows- nem Cluster aus Linux-Appliances samt mglichkeiten sogar auf beliebige IT-Ser-
Komponenten angesagt. VMware hat sich Loadbalancer sind zwei weitere Windows- vices, sofern diese mit dem Orchestrator
dieses Kritikpunkts in der neuen Version Cluster zu verwalten. Dies ist zum einen automatisiert werden knnen ein groes
angenommen und einen umfangreichen ein Model Manager-Cluster, der fr die Plus gegenber der Konkurrenz.
webbasierten Installationswizard bereit- Speicherung der IaaS-Daten und Deploy-
gestellt, der eine verteilte Installation fr ment-Workflows verantwortlich ist, und Ein weiteres wichtiges Feature insbeson-
verschiedene Deployment-Szenarien zum Zweiten ein Manager Service, der die dere fr groe Unternehmen und Cloud-
(kleine, mittlere oder groe Umgebungen) Kommunikation mit externen Systemen Provider stellt die Mandantenfhigkeit
durchfhren kann. wie vSphere, Hyper-V oder auch Public dar. Dabei ist es wichtig, fr jeden Man-
Cloud-Umgebungen wie AWS bernimmt. danten eine dedizierte Organisationsein-
Fr Systemadministratoren vereinfacht Die Kommunikation mit den zugrunde- heit samt getrenntem Verzeichnisdienst,
sich somit die Installation grundlegend liegenden Hypervisoren und Cloud-Pro- eigenen Berechtigungen und Services so-
im Groen und Ganzen mssen Admi- vidern findet mittels "DEM Worker" und wie isolierten Hardware-Ressourcen zum
nistratoren nur noch Vorarbeiten wie das Agenten statt. Deployment virtueller Maschinen bereit-
Bereitstellen eines Microsoft SQL Servers zustellen. Auch hier kann vRealize Auto-
und die grundlegende Konfiguration von Trotz der Komplexitt des Produktes ge- mation gut punkten. Ein kleiner Wermuts-
Windows-Maschinen durchfhren, was lingt die Betriebsverwaltung der vRealize tropfen bleibt jedoch: So kann vRealize
eine groe Erleichterung im Vergleich zu Automation-Umgebung mit erstaunlich Automation keine mandantenspezifischen
Vorgngerversionen darstellt. Selbst gr- wenig Aufwand vor allem auch, weil es Datastore-Bibliotheken abbilden, zum Bei-
ere Umgebungen lassen sich somit in- VMware erlaubt, die Installation zentral spiel zum Speichern von ISO-Images.
nerhalb kurzer Zeit aufsetzen. zu steuern und zu warten.
Cloud-Ressourcen
Architektur und Betrieb Umfassende Bereitstellung aller Art leicht verwalten
Aufgrund der Historie des Produktes ver- mit dem Self-Service-Katalog Das Hauptaufgabengebiet jeder Cloud-Ma-
teilen sich die einzelnen vRealize-Kom- Der wichtigste Baustein des vRealize-Au- nagement-Plattform ist es, die zugrunde-
ponenten sowohl auf die Windows-In- tomation-Portals ist der Self-Service-Ka- liegenden Cloud-Ressourcen an die Cloud-
stanzen als auch auf die Linux-Appliances. talog. Dieser stellt die zentrale Schnittstelle Plattform zu binden und es Konsumenten
Mit Version 6 ist VMware dazu berge- zwischen Cloud-Konsumenten und Ser- zu ermglichen, dort Services zu provisio-
gangen, Features, die in der Vorversion vice-Providern dar und lsst sich am ein- nieren. All dies ermglicht vRealize Auto-
auf Windows aufsetzen, Zug um Zug auf fachsten als Online-Shop fr IT-Services mation. Dabei ist es nicht nur mglich,
Linux zu portieren. Ein minimales De- beschreiben. Die Anforderungen an einen VMware-Ressourcen wie vCenter-Cluster

www.it-administrator.de Juli 2016 17


Te s t s vRealize Automation

anzubinden, sondern auch eine Reihe von


anderen Anbietern. So knnen Adminis-
tratoren sehr einfach Microsoft Hyper-V,
Microsoft SCCM, KVM, Citrix, vCloud
Director, vCloud Air oder Amazon Web
Services (AWS) integrieren. Nicht umsonst
positioniert VMware vRealize Automation
als Multi-Cloud-Management-Plattform.
Nichtsdestotrotz gilt es natrlich festzuhal-
ten, dass das Tool vor allem in VMware-
Umgebungen seine volle Strke ausspielen
kann, auch weil eine gute Integration zu Bild 2: ber den Service-Katalog knnen Anwender in Minutenschnelle Ressourcen anfordern.
anderen VMware-Produkten wie NSX (zur
Netzwerkvirtualisierung und Security-Au- ordnung zwischen einer zugrundeliegen- erzeugen, untersttzt aber gleichzeitig auch
tomatisierung), vRealize Operations (zur den Ressource und einer Business-Grup- Techniken wie das Booten von ISO-
berwachung und Kapazittsplanung) pe dar. Wichtig sind Reservierungen auch Images, Linux Kickstart, System Center
oder auch vRealize Log Insight (Log-Aus- deshalb, weil Administratoren damit steu- Configuration Manager (SCCM) oder
wertung) existiert. ern, wieviel Betriebsmittel vRealize Au- Windows Imaging Format (WIM).
tomation den einzelnen Business-Grup-
Um Cloud-Ressourcen zu verwalten und pen zur Verfgung stellen soll. Als Be- Besonderes Augenmerk hat VMware in
den Benutzern des Self-Service-Portals zu- triebsmittel gelten Rechenressourcen, Ar- der jngsten Version auf das Erzeugen von
gnglich zu machen, implementiert vRea- beitsspeicher, Storage oder verfgbare Rechnerverbnden und Applikationen ge-
lize Automation eine Art logisches Schich- Netzwerke. Falls die in der Reservierung legt. Hier sticht besonders der neue Blue-
tenmodell zur Abstraktion. Die unterste konfigurierten Betriebsmittel fr eine print Designer hervor, der das Erzeugen
Schicht stellen die anzubindenden Hyper- Business-Gruppe erschpft sind, ist kein komplexer Entwurfsvorlagen fr Applika-
visoren oder Cloud-Provider dar. Damit weiteres Provisionieren durch die ent- tionsumgebungen mittels Drag-and-Drop-
vRealize Automation auf diese zugreifen sprechende Reservierung mehr mglich. Techniken erlaubt. Durch die Integration
kann, mssen Administratoren Endpoints mit VMware NSX ist es auch mglich, Ap-
konfigurieren. Die daraufhin gefundenen Insgesamt kann das von vRealize Auto- plikationen mitsamt dynamisch erzeugtem
Ressourcen bilden dann die Fabric ab. mation implementierte Schichtenmodell Netzwerk-Stack und verschiedenen Netz-
Cloud-Administratoren knnen dann Fa- berzeugen. Es stellt eine Abstraktion zu- werk-Tiers zu provisionieren.
bric-Ressourcen nach gewissen Kriterien grundeliegender Virtualisierungs- bezie-
gruppieren. Beispielsweise wre es mglich, hungsweise Cloud-Plattformen dar und Neben dem intuitiv nutzbaren Blueprint
alle Ressourcen in einem Standort zu einer ermglicht somit die von VMware be- Designer ist es VMware in der jngsten
Fabric-Gruppe zusammenzufassen. Aber worbene breite Untersttzung von unter- Version daran gelegen, nicht nur virtuelle
auch viele andere Kriterien sind mglich. schiedlichsten Hypervisoren und Cloud- Maschinen zu deployen, sondern in die-
Fabric-Gruppen knnen zur Isolation von Anbietern. Gleichzeitig ist der Ansatz sen auch Software zu installieren bezie-
Hardware-Ressourcen, zur Bildung von derart flexibel, dass damit umfangreiche hungsweise konfigurieren zu knnen.
Service Tiers, aus lizenzrechtlichen Grn- Kundenanforderungen und Erweiterun- Dies gelingt mit den neuen Software-
den (beispielsweise beim Erzeugen einer gen einfach umsetzbar sind. Komponenten, eine Art von wiederver-
Fabric-Gruppe fr Microsoft SQL Server) wendbaren Modulen zur Ausfhrung von
oder aufgrund von anderen Kriterien er- Einfache Bereitstellung CMD-, PowerShell-, Bash-Skripten in vir-
zeugt werden. auch komplexer Dienste tuellen Maschinen, die im Blueprint De-
Bevor sich der Service-Katalog befllen signer mittels Drag-and-Drop einfach auf
Mandanten (Tenants) werden wiederum lsst, mssen Administratoren zuerst die virtuelle Maschinen angewendet werden
in Business-Gruppen unterteilt. Diese zu verffentlichenden Dienste in vRealize knnen. Damit Cloud-Betreiber nicht alle
stellen in der Regel Organisationseinhei- Automation definieren. Das zentrale Ele- Software-Komponenten neu implemen-
ten wie eine Abteilung oder aber auch ein ment zur Verffentlichung ist in vRealize tieren mssen, stellt VMware auf seinem
Kundenprojekt dar, das eine dedizierte Automation der "Blueprint", der alle As- Solution-Exchange-Marketplace bereits
Benutzerverwaltung und Ressourcenzu- pekte eines Dienstes abhandelt. Im Falle eine Reihe fertiger Komponenten (zum
weisung bentigt. Damit Business Groups von virtuellen Maschinen umfasst dies die Beispiel fr Microsoft SQL Server, Mi-
die Mglichkeit erhalten, die zugrunde- eigentlichen Hardware-Ressourcen (CPU, crosoft SharePoint, JBoss-Applikations-
liegenden Ressourcen zur Bereitstellung Arbeitsspeicher, Festplattenspeicher), aber server oder auch MySQL) zur Verfgung.
von Infrastrukturdiensten zu nutzen, ste- auch die Deployment-Vorgehensweise. So Wem das nicht gengt, der kann natrlich
hen Reservierungen zur Verfgung. Dabei kann vRealize Automation eine Maschine auch auf einfache Art und Weise ein Kon-
stellt eine Reservierung eine 1-zu-1-Zu- beispielsweise mittels (Linked-) Cloning figurations-Management-Tool wie Chef

18 Juli 2016 www.it-administrator.de


vRealize Automation Te s t s

oder Puppet in den Provisionierungspro- nutzende Netzwerk zu bestimmen. Nach- ins verschiedener Storage-Hersteller ge-
zess einbinden. dem die Bereitstellung abgeschlossen ist, nannt, die beispielsweise das automatisierte
ist es in vielen Unternehmen blich, einen Erstellen und Einbinden von zustzlichen
Neu ist auch die Mglichkeit, Blueprints Eintrag in eine Configuration Manage- LUNs erlauben. Da solche Services nahezu
als "Infastructure as Code" (IaC) zu spei- ment Database (CMDB) vorzunehmen. jegliche Funktionalitt umfassen knnen,
chern. So knnen Administratoren jeden Auch kann eine Archivierung der Daten bezeichnet VMware diese auch in Abgren-
Blueprint mittels eines Kommandozei- vor dem Lschen einer Maschine notwen- zung zu Infrastruktur-Diensten als "Any-
len-Tools als YAML-Datei exportieren dig sein. Fr derartige Anpassungen am thing-as-a-Service" (XaaS).
oder importieren. Dies ist besonders in- Lebenszyklus eines Services dient der
teressant, da es dieser Ansatz erlaubt, ver- vRealize Orchestrator. Whrend es in Vorgngerversionen bereits
schiedene Versionen eines Blueprints in mglich war, derartige Anpassungen vor-
einem Softwareverwaltungstool wie Git- Auch fr bereits provisionierte Ressourcen zunehmen, hat VMware in der jngsten
hub abzulegen, in eine andere Installation knnen Erweiterungen notwendig sein. Version daran gearbeitet, die Entwicklung
einzuspielen oder wieder zu einem lteren So ist es denkbar, dass Benutzer sich im mglichst einfach zu gestalten. Dies betrifft
Blueprint-Stand zurckzukehren. User Interface einen weiteren Knopf wn- eine weitere Vereinfachung der API, aber
schen, der ein vollautomatisiertes Backup auch die zentrale Verwaltung und Ver-
Zustzliche Features durchfhrt oder bei Bedarf einen Viren- knpfung von Ereignissen mit Workflows.
selbst erstellen scanner nachinstalliert. Solche Operatio- Dabei herausgekommen ist der sogenannte
Obwohl vRealize Automation bereits viele nen bezeichnet VMware als Tag-2-Ope- Event-Broker, der es an zentraler Stelle er-
Features out of the box bereithlt, ist es rationen, weil deren Ausfhrung zeitlich mglicht, Orchestrator Workflows anzu-
doch in den meisten Unternehmen not- nicht mit der ursprnglichen Bereitstel- triggern. Neben den Lebenszyklus-Ereig-
wendig, zustzliche Features zu imple- lung der Ressource zusammenfllt. nissen einer virtuellen Maschine (wie zum
mentieren oder zumindest das Produkt Beispiel Anforderung oder Bereitstellung
so anzupassen, dass unternehmensinterne Generell propagiert VMware den Einsatz einer virtuellen Maschine) umfasst dies
Richtlinien umgesetzt werden knnen. des hauseigenen Orchestrators, um Work- auch Genehmigungsworkflows, Konfigu-
Die Liste denkbarer Anpassungen ist lang. flows in einem VMware-zentrischen ko- rationsnderungen, Tag-2-Operationen
system zu implementieren. Der Service- wie das Einschalten oder Ausschalten von
Einfache Anpassungen betreffen oft nur Katalog von vRealize Automation ist Maschinen oder Event-Logging. Darber
Formulare im Service-Katalog, bei denen zudem genau darauf ausgelegt, um in Or- hinaus ist an dieser Stelle noch erwhnens-
es notwendig ist, zustzliche Felder hin- chestrator entwickelte Workflows zu ver- wert, dass das Produkt mit einer gut do-
zuzufgen oder vorhandene Eingabefelder ffentlichen. Solche Workflows mssen kumentierten REST-Schnittstelle und einer
mit Einschrnkungen zu versehen. Oft ist Unternehmen nicht von Grund auf selber eigenen CLI aufwartet.
es notwendig, den Lebenszyklus einer vir- entwickeln, vielmehr hat sich um Orches-
tuellen Maschine anzupassen. So kann es trator mittlerweile ein mchtiges kosys- Inklusive Kostenbersicht
sein, dass vor dem eigentlichen Bereitstel- tem gebildet. So bieten viele Hersteller fer- Neben der technischen Bereitstellung von
len der Maschine eine Integration in ein tige Plug-ins fr Orchestrator an, dessen virtuellen Maschinen und Services ist es
unternehmensweites IP-Adressmanage- Workflows wiederum im Self-Service-Ka- in greren Umgebung von zentraler Be-
ment-Tool erforderlich ist, um eine gltige talog verffentlicht werden knnen. Als deutung, einen berblick ber die Finan-
IP-Adresse, Hostnamen oder das zu be- Beispiel seien an dieser Stelle nur die Plug- zen zu erhalten. Dies ist von besonderem
Interesse, da IT-Abteilungen immer
angehalten sind, Kostentransparenz zu
gewhrleisten und somit Ausgaben recht-
fertigen zu knnen. Um bei der Berech-
nung der Gesamtkosten der Cloud zu hel-
fen und diese Kosten auf bereitzustellende
Services umzulegen, bndelt VMware das
Costing-Produkt "vRealize Business" in
der Standard-Edition zusammen mit
vRealize Automation.

In der Standard-Edition kann vRealize


Business einfach als Appliance ausgerollt
und an vRealize Automation angebunden
Bild 3: ber Blueprints lassen sich alle Aspekte auch komplexer Installationen abbilden. Hier am werden. Nachdem die Konfiguration ab-
Beispiel einer Applikation bestehend aus drei Knoten einem Loadbalancer, einem Applikations- geschlossen ist, knnen Administratoren
server und einem Datenbank-Knoten. dann auf relativ einfache Art und Weise

www.it-administrator.de Juli 2016 19


Te s t s vRealize Automation

ellen Version 7 nochmals stark verbessert


worden ist. Die Vorzge der Lsung lie-
gen vor allem im groen Feature-Set, so-
dass sich bei vielen Unternehmen mg-
liche Erweiterungen und Anpassungen
durchaus im Rahmen halten. Falls eigene
Entwicklungen dennoch unabdingbar
sein sollten, kann vRealize Automation
mit berzeugenden Erweiterungsmg-
lichkeiten und Tools wie vRealize Orches-
trator aufwarten.

Die Architektur des Produktes ist auf-


grund der Windows-Historie leider kom-
plex, VMware hat es aber geschafft mit
Bild 4: ber den vRealize Orchestrator lassen sich Workflows aufsetzen, die bei Bedarf auch Plug-ins guter Tooluntersttzung den Betriebsauf-
von Drittherstellern bercksichtigen. wand in Grenzen zu halten. berzeugend
ist auch die Integration in andere VMwa-
eine Bepreisung im Katalog vornehmen. Auch fr das Thema Monitoring und Ka- re-Produkte sei es denn NSX, vRealize
Benutzer des Cloud-Management-Portals pazittsplanung hat VMware eine Lsung. Operations oder auch LogInsight. Mitt-
erhalten somit Kostentransparenz ber vRealize Operations kann sowohl die lerweile hat sich zudem am Markt ein
ihre bereitgestellten Ressourcen und kn- vRealize-Automation-Infrastruktur als richtiges kosystem fr VMwares Cloud-
nen jederzeit feststellen, wie hoch die fr auch die von Konsumenten erzeugten Lsung gebildet. Wie bei der Einfhrung
sie entstehenden Kosten ausfallen. Workloads berwachen. Die eingebaute jeder Cloud-Management-Plattform soll-
Reporting-Engine von vRealize Opera- ten Sie jedoch nicht den Konzeptionie-
Zusammenspiel mit tions erlaubt darber hinaus die schnelle rungsaufwand vergessen, der notwendig
anderen VMware-Produkten Erzeugung von Berichten ber die Per- ist, um das Produkt in einer greren
Der Aufbau einer unternehmenseigenen formance und den Auslastungsstand der Umgebung zu implementieren. (jp)
Cloud-Infrastruktur ist ein umfangreiches Cloud-Umgebung.
Unterfangen. Obwohl vRealize Automa- So urteilt IT-Administrator
tion bereits ein groes Feature-Set imple- Neben dem Monitoring bietet VMware
mentiert, ist ein Zusammenspiel mit an- mit LogInsight auch ein dediziertes Tool Bereitstellung 7
deren Produkten unabdingbar, um alle zur Log-berwachung an. Auch hier ge-
Kundenanforderungen zu erfllen. Auch lingt eine Integration in vRealize Auto- Self-Service-Katalog 9
bei der aktuellen Version ist VMware be- mation spielend. So knnen sowohl die
sonders daran gelegen, die Koppelung an vRealize-Automation-Infrastruktur als Konfigurationsmglichkeiten 8
andere hauseigene Produkte derart zu er- auch bereitgestellte virtuelle Maschinen
Erweiterbarkeit 10
leichtern, dass der Integrationsaufwand schnell in die zentrale Logberwachung
berschaubar bleibt. mit aufgenommen werden.
Interne Kostenverrechnung 8

Besonders gut ist die Integration von Insgesamt gibt die Integration mit ande- Die Details unserer Testmethodik finden Sie
VMware NSX gelungen und ermglicht ren VMware-Produkten ein rundes Bild unter www.it-administrator.de/testmethodik
auf einfache und schnelle Weise, Netz- ab und es zeigt sich, dass VMware sehr
Dieses Produkt eignet sich
werkkomponenten dynamisch bereitzu- daran gelegen ist, die einzelnen Produkte
stellen. Dies umfasst sowohl die Erzeugung gut aufeinander abzustimmen. Dies ist optimal fr Unternehmen, die bereits
von ganzen Netzwerken als auch das insbesondere zu Vergleichsprodukten ein Erfahrung mit Automatisierung haben und
automatisierte Deployment von Loadba- groes Plus, bei denen die Integration be- eine Unternehmens-Cloud-Plattform bereit-
lancern sowie die Definition von Firewall- dingt durch fehlende Schnittstellen oder stellen wollen.
Regeln zur Steuerung der Netzwerkkom- unterschiedliche Versionsstnde groes bedingt fr Unternehmen, die bisher nicht
munikation. Was jedoch in der aktuellen Kopfzerbrechen bereiten kann. auf VMware-Virtualisierung setzen. vRealize
Version leider immer noch fehlt, ist ein Automation hat zwar breite Untersttzung
Mechanismus hnlich wie Amazon Auto- Fazit fr Fremdsysteme, aber die Integration in
scaling, um Anwendungen mittels eines Bereits mit frheren Versionen hatte VM- VMware-Produkte steht im Vordergrund.
Loadbalancers durch Hinzufgen von wei- ware mit vRealize Automation eine im
nicht fr Infrastrukturen, in denen wenig
teren Knoten horizontal zu skalieren hier Markt fhrende Cloud-Management- neue Services bereitgestellt werden mssen.
verweist VMware auf knftige Versionen. Plattform im Portfolio, die mit der aktu-

20 Juli 2016 www.it-administrator.de


ANZEIGE

High-End Thin Client


mit 4K-Untersttzung
und Vierkern-Prozessor
Mit dem t730 hat HP den weltweit ersten Thin Client mit nativer Un-
tersttzung von Ultra-High-Definition-Displays auf den Markt gebracht.
Dank des AMD-Quad-Prozessors ist der t730 der leistungsstrkste
Thin Client im Portfolio von HP. Auch anspruchsvollste Workstation-
Anwendungen lassen sich somit problemlos ausfhren. Der HP t730
eignet sich deshalb insbesondere fr Anwendungen im CAD-Bereich
sowie fr Videobearbeitung und Unified Communications wie Skype
for Business. Hochauflsende Videokonferenzen in 4K-Auflsung
werden einfach mhelos bewltigt.

Nativ untersttzt der HP t730 bis zu vier Monitore bei einer 4K-Auf-
lsung. Mit einer optional verfgbaren AMD-FirePro-Grafikkarte knnen
sogar bis zu sechs Monitore gleichzeitig genutzt werden. Anwender
profitieren bei einer Auflsung von 3840 x 2160 Bildpunkten von
einer atemberaubenden Bildschrfe und hoher Bildgenauigkeit.

Fr ein besonders hohes Ma an Rechenleistung sorgen Prozes- Durch die nahtlose Integration des HP t730 in Cloud-Infrastrukturen
soren der AMD-R-Serie mit bis zu 3,6 GHz getakteten Vierkern- wird eine Arbeitsplatz-Unabhngigkeit ermglicht. Untersttzt wird
APUs und Turbo-Core-Technologie. Damit verfgt der HP t730 dieser Prozess durch die Cloud-Steuerung HP Easy Shell. Mit dieser
ber gengend Leistung, um nahtlos in VDI-Umgebungen integriert Software werden Cloud-basierte Arbeitspltze (VDI) und Kiosk-
zu werden sowie lokale Anwendungen auszufhren. An Arbeits- Systeme besonders effizient und sicher betrieben. Fr eine optimale
speicher stehen bis zu 16 GB DDR3L-1600 SDRAM zur Verfgung. Zusammenarbeit knnen von jedem Thin Client aus auf die zentral
Bei dem internen Speicher kann zwischen 8, 16, 32 und 128 GB in der Cloud gespeicherten Daten zugegriffen werden. Somit ms-
MLC-Flash-Speicher oder 16 beziehungsweise 32 GB UMLC- sen keine kritischen Informationen direkt auf dem HP t730 hin-
Flash-Speicher gewhlt werden. terlegt werden.

Auch hinsichtlich der Schnittstellen bietet der HP t730 eine Vielzahl Der HP Thin Client t730 ist ab einem Preis von 660 Euro UVP zzgl.
an Mglichkeiten. So befinden sich auf der Vorderseite zweimal Mehrwertsteuer bei Ihrem Fachhndler erhltlich.
USB 3.0, zweimal USB 2.0 sowie je ein Kopfhrer- und
Kopfhrer/Mikrofon-Anschluss. Auf der Rckseite sind zudem viermal Weitere Informationen zum HP Thin Client t730 finden Sie unter
USB 2.0, viermal DisplayPort 1.2, zweimal PS/2, zwei serielle und www.hp.com/de/t730
ein paralleler Anschluss sowie ein Audioeingang und ein Audio-
ausgang untergebracht. Zustzlich zum ultraschnellen RJ-45-Giga-
bit-Port kann der t730 ber weitere LAN-Anschlsse in beliebige
WLAN- und Lichtwellenleiter-Infrastrukturen integriert werden.

Bei den Betriebssystemen haben Kunden die Wahl zwischen Zero-,


Linux- und Windows-basierten Varianten. Neben den eigenen Smart-
Zero- und ThinPro-Betriebssystemen bietet HP zudem von
Microsoft das 64Bit WES7 sowie das neue Windows 10 IoT an.
GridVision

Bewlkte Aussicht
frs Management
von Jrgen Heyer

Die Next-Generation-Plattform GridVision fr IT-Automation und


-Management arbeitet vllig cloud-basiert und bentigt somit keinerlei
Hardwareressourcen im Unternehmen. Gleichzeitig wirbt sie mit einem
breiten Einsatzbereich gleichermaen fr virtualisierte, On-Premise und
Cloud-basierte Komponenten. Der IT-Administrator wollte genauer wis-
sen, wie sich das Management aus der Wolke und fr die Wolke anfhlt.

Quelle: 4max 123RF


ank unterschiedlicher potenzieller interessant, wenn sie fr eine Steuerung Tests, nmlich "Virtual&Cloud". Diese
D Betriebsszenarien adressiert die und berwachung nicht in eigene Hard- Ergnzung erlaubt das Management von
IT-Automations- und -Management- ware investieren sowie den Betriebsauf- Amazon S3, Office 365 sowie Hyper-V-
Plattform GridVision sowohl Managed wand gering halten wollen. Dass die L- Umgebungen. Aus diesem Grund gehen
Service Provider (MSP) als auch kleine sung dank der Cloud-Basis sehr flexibel wir sowohl auf die Grundfunktionen von
und mittelgroe Unternehmen auf direk- skaliert, ist ein weiteres Argument fr alle GridVision als auch auf die genannte Er-
tem Wege. So kann beispielsweise ein IT- Seiten und niemand muss fr die Nut- gnzung ein.
Systemhaus ber GridVision fr seine zung in Vorleistung gehen.
Kunden, die kein eigenes Systemma- bersichtlicher Schnelleinstieg
nagement betreiben, eine Betreuung der Ein weiterer Vorteil gerade fr kleine Un- Der Einstieg ist denkbar einfach, indem
Server und Arbeitspltze als Dienstleis- ternehmen ist die Mglichkeit zum kos- der Interessent mit einem Benutzer so-
tung anbieten. Genauso kann ein Unter- tenlosen Einstieg ber die so genannte wie einem Passwort einen Zugang zum
nehmen GridVision mit seinen Adminis- Community Edition, die sich allerdings GridVision-Administrationsportal anlegt
tratoren komplett in Eigenregie nutzen. kaum ausbauen lsst. Bei einem produk- und einen Plan (Community oder Pro-
tiven Einsatz fhrt letztendlich kein Weg fessional) auswhlt. Whrend beim
Aus Sicht eines MSP ist die Lsung inso- um die Professional Edition herum, die Community-Plan anschlieend weitere
fern attraktiv, da er via Internet von einer anhand der verwalteten Gerte und Be- persnliche Daten abgefragt werden,
zentralen Stelle aus viele Kundenumge- nutzer abgerechnet wird. Auch erlaubt muss der Interessent beim Professional-
bungen beaufsichtigen kann, ohne eine nur diese Version die Nutzung optionaler Plan die Anzahl der zu verwaltenden
grere eigene Infrastruktur aufbauen zu Add-on Packs. Passend zum Schwerpunkt Gerte und Benutzer (jeweils Minimum
mssen. Genau dieser Umstand ist ebenso dieser Ausgabe des IT-Administrator steht 100) angeben. Die jhrlichen Kosten lie-
fr kleine und mittelgroe Unternehmen auch ein Add-on Pack mit im Fokus des gen letztendlich bei mindestens 900 US-

22 Juli 2016 www.it-administrator.de


Gridvision Te s t s

Dollar. Weiterhin kann er zustzliche


Add-on Packs zu je 50 US-Dollar aus-
whlen, wobei aktuell zwei angeboten
werden. Das Extensibility Pack umfasst
Erweiterungen zu SSH, Telnet und der
PowerShell, das Virtual&Cloud Pack ent-
hlt Funktionen zu Amazon S3, Office
365 und Hyper-V.

Ist der Zugang angelegt, kann die weitere


Konfiguration mit der ersten Anmeldung
im Portal beginnen. Ein so genanntes Ex-
press Setup ermglicht einen schnellen
Einstieg, um in fnf Schritten die wich-
tigsten Einstellungen vorzugeben. Dies
beginnt bei der Frage nach der regel -
migen Inventur zu einer bestimmten
Uhrzeit, die tglich, wchentlich oder Bild 1: Die Einstiegsseite ist fest vorgegeben und kann durch den Administrator nicht
monatlich erfolgen kann. Das Setup un- individuell angepasst werden.
terscheidet zwischen den Systemdetails,
dem Active Directory und Exchange. Im dritten Schritt lassen sich einige Leis- brigen Clients abzufragen, verlangt Grid-
tungsmonitore (Workstation, Server, SQL, Vision einen Agenten auf jedem zu ber-
Als Nchstes stehen diverse Wartungs- Exchange) aktivieren und anschlieend wachenden System. Jeder Client kommu-
arbeiten zur Auswahl, die der Adminis- diverse Ereignismonitore fr Sicherheits- niziert also direkt mit GridVision und
trator ausfhren kann. Hierbei geht es empfehlungen der unterschiedlichen kann von dort abgefragt werden. Unter
um Aufrumarbeiten wie das Defrag- Windows-Betriebssysteme sowie DNS, Sicherheitsaspekten sehen wir diese Art
mentieren des Laufwerks C sowie das Exchange, IIS und Active Directory. der Kommunikation nicht als unkritisch
Lschen der temporren Dateien und an. Alle Systeme mssen aus dem Internet
des Papierkorbs. Weiterhin stehen Op- Abschlieend hat der Administrator die erreichbar sein und es gibt keine Kanali-
tionen zur Auswahl, um die Systemsi- Mglichkeit, einige Self-Service-Aktivi- sierung der Kommunikation. Da ber
cherheit zu verbessern beziehungsweise tten fr die Endanwender freizugeben, GridVision umfassende nderungen an
wiederherzustellen, wie das Deaktivieren die diese nutzen knnen. Auch hier geht den Clients durchgefhrt werden knnen,
des Gastzugangs oder das Aktivieren der es um Aufrumarbeiten, das Aufrufen der knnte ein Eindringling die volle Kon-
UAC sowie der Windows Firewall. Auch Windows Updates oder eine Erneuerung trolle bernehmen und einen immensen
kann ein regelmiger Suchlauf mit dem der DHCP-Parameter. Allerdings stehen Schaden anrichten.
Defender aktiviert werden. diese Aktionen den Endanwendern mo-
mentan noch nicht zur Verfgung, jedoch Es gibt zwar Unternehmenskonstellatio-
GridVision soll dies ab dem vierten Quartal 2016 so nen mit sehr verteilten Strukturen und
weit sein. berwiegender Arbeit aus dem Home Of-
Produkt fice, in denen es keine technische Zentrale
SaaS-Angebot zum Systemmanagement und Insgesamt empfanden wir dieses Express gibt und Agenten auf jedem System er-
zur Automation von IT-Umgebungen unter Setup als recht bersichtlich, auch wenn forderlich sind, aber das ist beileibe nicht
Windows inklusive Hyper-V-Virtualisierung. darber hinaus noch einige Schritte not- die Regel und GridVision lsst hier keine
Hersteller wendig sind, ohne die sich das Produkt Wahl. Was die Einsatzbandbreite von
GridVision nicht sinnvoll nutzen lsst. GridVision anbetrifft, ist zu beachten,
www.grid-vision.com dass es nur einen Windows-Agenten gibt,
Preis Agenten-intensives Grundkonzept der Einsatz also auf diese Betriebssystem-
Ab 900 US-Dollar pro Jahr. Der wichtigste Schritt nach dem Express familie beschrnkt ist. Das macht eine
Systemvoraussetzungen Setup ist sicherlich das Herunterladen des Verwendung in heterogenen Umgebun-
.NET-Framework 4.0 oder neuer auf den Agenten fr die zu steuernden Systeme. gen uninteressant.
Clients fr die Agenteninstallation. Akti- Im Gegensatz zu diversen anderen Cloud-
viertes Javascript fr die Anmeldung am dienstleistungen, die wir in der Vergan- Laut Handbuch reicht es, den nur 2,4
GridVision-Portal. genheit betrachtet haben und die einen MByte groen Agenten einmal ber das
Technische Daten Agenten nur fr ein oder zumindest we- Portal herunterzuladen, um ihn dann von
www.it-administrator.de/downloads/ nige Systeme erfordern, die dann als Gate- einer Freigabe aus zu installieren. Im Test
datenblaetter way oder Proxy im Netz agieren, um die wunderten wir uns allerdings, dass er an-

www.it-administrator.de Juli 2016 23


Te s t s Gridvision

schlieend auf den Zielsystemen nicht zu bersichtliche Web-GUI mer wieder Notizen hinzufgen, um so
sehen war, sondern nur, wenn wir den Wie fr MSPs notwendig, ist das GridVi- die Entwicklung beziehungsweise den Be-
Agenten von lokaler Quelle installierten. sion-Portal mandantenfhig. Dazu legt arbeitungsstand abzubilden.
Auf Nachfrage teilte uns GridVision mit, sich der MSP selbst in der obersten Ebene
dass eine Installation aufgrund des Um- als Organisation an und erstellt dann eine Sehr umfangreich fllt die Rubrik "Ap-
gangs mit dem Zertifikat nur funktioniert, Unterebene mit seinen Kunden. Weitere plications" aus, in der alle mglichen
wenn die Datei lokal vorliegt. Unterebenen lassen sich allerdings nicht Einstellungen und Profildefinitionen zu-
anlegen, um beispielsweise einen gre- sammengefasst sind. Sie enthlt diverse
Fr den Test installierten wir in unserer ren Kunden nochmals zu unterteilen. Die Unterpunkte zum Management, zur
Laborumgebung den Agenten auf meh- Ebenen sind entsprechend vllig getrennt Compliance, zum AD- und Mailbox-Ma-
reren Clients, sowohl auf physischen Ma- und haben komplett eigene Objekte. nagement, zum Monitoring von Ereig-
schinen als auch auf virtuellen Systemen nissen, Logs sowie der Leistungsmessung.
in einer Hyper-V- sowie einer vSphere- Beim Herunterladen der Agenten ist zu Weiterhin ist hier im Portal eine Backup-
Umgebung. Bei der Installation sind keine beachten, dass GridVision fr jede Ebene funktion fr Ordner und Dateien enthal-
Angaben zu machen, denn in dem ber und somit jeden Kunden einen eigenen, ten, allerdings zum Testzeitpunkt noch
das Portal zum Download bereitgestellten individuell angepassten Agenten bereit- im Betastadium. Zwei weitere Punkte, auf
MSI-Paket ist die Kundenzuordnung be- stellt. Das Portal schlgt beim Download die wir weiter unten noch genauer ein-
reits hinterlegt, so dass die Systeme kurz der Datei zum Speichern einen Namen gehen, sind die Runbook Automation so-
nach der Installation im GridVision-Por- nach dem Muster Organisation-instal- wie das Reporting.
tal zu sehen sind. ler.msi vor, was eine einfache Zuordnung
erlaubt. Durch die integrierte Individua- Die vorletzte Rubrik nennt sich Configu-
VMware bleibt drauen lisierung bestimmt der Agent ohne wei- ration. Hier kann der Administrator das
Zum Testzeitpunkt warb GridVision bei tere Eingabe, in welcher Organisation be- bereits erwhnte Express Setup aufrufen,
dem von uns genutzten Virtual&Cloud- ziehungsweise Ebene ein Client erscheint. den Agenten fr die Clients herunterladen
Paket mit der zustzlichen Untersttzung Insgesamt prsentiert sich GridVision mit und Benutzer sowie Gruppen samt der
von Amazon S3, Office 365, Hyper-V- diesem Konzept als problemlos skalierbar Zugriffsrechte in GridVision verwalten.
und VMware-Umgebungen, jedoch mit gleichzeitig einfacher Umsetzung. Die letzte Rubrik schlielich ermglicht
suchten wir vergeblich nach VMware- einen direkten Zugang zum GridVision-
spezifischen Regeln. Hier brachte eine Das GridVision-Portal prsentiert sich Forum, in dem die Anwender ihre Erfah-
Nachfrage beim Hersteller dahingehend als bersichtliche Web-GUI mit sieben rungen austauschen knnen.
Klarheit, dass die VMware-Unterstt- Rubriken in der Kopfzeile. Beim Start ff-
zung mittlerweile weggefallen ist und net sich das Dashboard (Bild 1) mit einer Regeln als
die Angaben noch aktualisiert werden festen Fensteranordnung, bestehend aus Steuerungsinstrument
mssen. Auch wenn damit in einer einer Gertehistorie mit Statistiken, einer Das zentrale Steuerungsinstrument der
VMware-Umgebung die Windows-VMs bersicht der Umgebung mit den wich- Clients besteht bei GridVision aus einem
selbst gemanagt werden knnen, so feh- tigsten Kennzahlen, einer Auflistung der Regelwerk, das zum Einstieg 126 vorbe-
len doch die Zusammenhnge der Vir- letzten Ereignisse und Alarme sowie der reitete Regeln mitbringt. Der besseren
tualisierungsplattform, so dass sich der zuletzt ausgefhrten Policies und schlie- bersicht halber lassen sich die Regeln
Einsatzbereich auf reine Microsoft-Um- lich einer Kuchengrafik ber die Betriebs- nach verknpfbaren Kategorien filtern.
gebungen mit oder ohne Hyper-V-Vir- systemverteilung ber die Clients. Nach- Alle Aktionen auf Clientseite basieren
tualisierung beschrnkt. dem es nur einen Agenten fr Windows letzten Endes auf diesen Regeln. Sie lassen
gibt, knnen mit GridVision auch nur sich mit einem Scheduler verbinden,
Fr den Benutzer auf der Clientseite ist Windows-Systeme betreut werden. wenn sie beispielsweise als Wartungsjobs
der Agent brigens so gut wie nicht sicht- oder Complianceprfungen regelmig
bar. Er ist durch den Anwender nicht be- Um besondere Vorflle in einer Umge- laufen sollen. Der Scheduler ermglicht
dienbar und erscheint auch nicht in der bung schnell erkennen zu knnen, gibt eine sehr individuelle Zeitsteuerung in
Taskleiste. Es ist also fr den Benutzer es die drei Rubriken Events, Alerts und Form einmaliger oder wiederholter Auf-
nicht mglich, beispielsweise anstehende Tickets. Die ersten beiden Rubriken wer- trge in Abstnden von wenigen Minuten
Neustarts nach dem Patchen zu verschie- den mit den entstehenden Ereignissen bis hin zur monatlichen Ausfhrung.
ben, weil er gerade mit dem System ar- und Alarmen gefllt. Die Erstellung von Dann lsst sich ein Auftrag einer Client-
beitet. Die auf der Webseite aufgelisteten Tickets dient dazu, Ereignisse, Alarme gruppe oder auch bestimmten Gerten
Self-Service-Funktionen sind wie erwhnt oder auch Meldungen von Anwendern zuweisen, wobei sich zustzlich Anmel-
auch noch nicht verfgbar. Der Agent ist an eine Benutzergruppe zur Bearbeitung deparameter vorgeben lassen. Im Rahmen
nur in der Liste der installierten Program- weiterzugeben. Entsprechend ist ein Ti- des Express Setups werden einige Regeln
me aufgefhrt und tritt als laufender Ser- cket mit einem Ereignis oder Alarm ver- fr eine Leistungs- sowie Ereignisber-
vice in Erscheinung. knpft. Zu einem Ticket lassen sich im- wachung gleich mit sinnvollen Intervallen

24 Juli 2016 www.it-administrator.de


NEU

MFP8 IE

Ein Stecker.
MFP8 Drei Typen.
Alle Freiheiten.

MFP8-4x90

Ob in gerader Ausfhrung (MFP8), gewinkelter Ausfhrung


(MFP8-4x90) oder mit innovativer Kabelverschraubung
DataVoice
MFP8
(MFP8 IE): Jeder MFP8 kann ohne Spezialwerkzeug schnell auf
alle gngigen Kabeltypen bis 10 mm vor Ort montiert werden
und eignet sich fr Netzwerke bis 10 Gigabit Ethernet.
Dies spart Zeit und Kosten bei Installation, Reparatur und
Wartung und erffnet Installateuren vllig neue Freiheiten
Feldkonfektionierbare
in der strukturierten Gebudeverkabelung. RJ45-Steckverbinder in Cat.6A
Cat.6A 10 GBE 500 voll
PoE+
MHz geschirmt

www.telegaertner.com
Weitere Infos, Videos und technische Daten Telegrtner Lerchenstr. 35 Telefon: +49 (0) 71 57 / 1 25-0
finden Sie unter: www.telegaertner.com/mfp8 Karl Grtner GmbH D-71144 Steinenbronn E-Mail: info@telegaertner.com
Te s t s Gridvision

gen. Schrittweise ergnzt er so Funktion


um Funktion. Um eine Regel zu testen,
kann der Administrator sie im Designer
starten, schrittweise ablaufen lassen und
debuggen. In einem Ausgabefenster am
unteren Rand des Designers sieht er dann
die Ergebnisse.

Verstndlicherweise erfordert die Ver-


wendung des Policy Designers eine ge-
hrige Portion an Einarbeitung und Er-
fahrung. Gut ist, dass sich vorhandene
Regeln duplizieren lassen, um sie an-
schlieend zu verndern. Das spart Ar-
beit, wenn weitgehend hnliche Funktio-
nen bentigt werden, auerdem kann der
Bild 2: ber die Pivotfunktion lassen sich bei GridVision komplexe Auswertungen erzeugen. Administrator nachsehen, wie das eine
oder andere gelst ist und so die Lern-
aktiviert. Diese tauchen dann im Grid- Hyper-V, die sich auch ohne Add-on kurve steigern.
Vision-Portal auch unter eigenen Men- Pack nutzen lassen. Es ist jedoch ohne
punkten auf, gehren aber letztendlich diese Ergnzung nicht mglich, zustz- Recht gut vorbereitet ist das Berichts-
zu den vorbereiteten Regeln. lich eigene Regeln zu definieren, die ent- wesen mit ber 40 Berichten, die ber-
sprechende Funktionen enthalten. So- sichtlich gruppiert sind. Innerhalb der
Zu beachten ist, dass es neben dem be- wohl die Zeitplanung der Policies als Berichte, die aus Listen bestehen, teil-
schriebenen Regelwerk, im englischspra- auch die nderung oder Erstellung ei- weise um eine Kuchengrafik ergnzt,
chigen Portal als Policies bezeichnet, auch gener Regeln laufen bei GridVision unter hat der Administrator zustzliche Fil-
noch 21 vorbereitete Rules gibt. Der Ad- dem Begriff Runbook Automation. termglichkeiten im Kopf nach Datum
ministrator kann weitere hinzufgen. oder einer ausgewhlten Client-Gruppe.
Hierbei handelt es sich letztlich um die Eigene Ablufe einfach Fr den Export stehen sieben Ausgabe-
Gruppierung der administrierten Clients per Klick definieren formate (XML, CSV, PDF, MHTML,
nach diversen Kriterien (etwa alle Hyper- Um tiefer in die Runbook Automation Excel, TIFF, Word) zur Verfgung. Das
V-Server, DNS-Server, Windows-Server). einzusteigen und eine Policy zu ndern, Hinzufgen eigener Berichte ist nicht
Diese Gruppierungen finden sich bei der reicht das GridVision Portal nicht mehr vorgesehen, jedoch ist das Berichtswe-
erwhnten Schedulerprogrammierung aus. Vielmehr ist dies in den so genannten sen nicht allein auf diese Reports be-
als Clientgruppen wieder. Policy Builder ausgelagert. Wird auf ei- schrnkt. Darber hinaus gibt es eine
nem Arbeitsplatz zum ersten Mal eine Analysemglichkeit mit Hilfe von Pi-
Wie beschrieben lassen sich die mitgelie- Regel zum Editieren ausgewhlt, ldt das vottabellen (Bild 2). Den Inhalt dieser
ferten Policies nicht ndern, der Admi- Programm die Installationssourcen fr Tabellen kann der Administrator aus ei-
nistrator kann jedoch weitere hinzufgen. den Policy Designer herunter und instal- ner Vielzahl verfgbarer Felder zusam-
Um dies einfacher zu gestalten, kann er liert sie. Eine leere Policy enthlt nur eine menklicken. Im Handbuch sind einige
eine bestehende Regel duplizieren, neu Startschaltflche, auf der rechten Seite des Beispiele aufgefhrt, von denen wir im
benennen und dann an seine Bedrfnisse Designers sind alle nutzbaren Funktionen Test eines nachvollzogen haben. Dabei
anpassen. Das erspart ihm die komplette nach Kategorien gegliedert aufgelistet. zeigt sich, dass hierfr schon einige
Neuerstellung, wenn er eine bestehende Sehr hilfreich ist eine aktive Suchfunktion, bung und vor allem eine genaue
Policy nur geringfgig ndern will. die bei der Eingabe bereits ab dem ersten Kenntnis der verfgbaren Felder not-
Zeichen die in Frage kommenden Funk- wendig ist, um individuelle Abfragen zu
Was das eingangs erwhnte Add-on Pack tionen filtert. Auch kann der Adminis- bauen. Diese lassen sich fr eine sptere
"Virtual&Cloud" anbetrifft, so ndert trator den Umfang der angezeigten Ka- Verwendung speichern, darber hinaus
sich die Funktionalitt von GridVision tegorien filtern. ist ein Export des Resultats in die oben
nicht wesentlich und wir mussten dies- genannten Ausgabeformate mglich.
bezglich sogar extra nachfragen, weil Um eine Regel zu erstellen, muss der Ad-
wir die Unterschiede nicht auf Anhieb ministrator die gewnschte Funktion in Ein dritter Bereich mit der Bezeichnung
erkennen konnten. So enthlt das mit- das groe Policy-Fenster ziehen. Ist sie "Audits" beschftigt sich mit der Aus-
gelieferte Regelwerk bereits Funktionen dort an der richtigen Stelle positioniert, wertung der aufgezeichneten Logs, um
rund um die Nutzung von Amazon S3, werden die Parameterfelder angezeigt, die beispielsweise nderungen im Laufe der
Office 365 sowie die Virtualisierung mit natrlich sehr von der Funktion abhn- Zeit gut erkennen zu knnen. Insgesamt

26 Juli 2016 www.it-administrator.de


Gridvision Te s t s

haben uns die Auswertungsmglichkei- Dokumentation nicht im Internet kommunizieren muss. Nach-
ten in GridVision berzeugt, auch wenn ganz vollstndig dem nun das Portal jeden Client umfas-
sich die vorbereiteten Berichte nicht er- Insgesamt ist GridVision eine Lsung, die send steuern kann, knnte sich dies ein
weitern lassen. zumindest in den Grundfunktionen weit- Eindringling zu Nutze machen. Aufgrund
gehend selbsterklrend ist. Trotzdem wer- der mehrfachen Verbindungen lsst sich
Management und fen wir regelmig bei den Tests einen dies vom Kunden aus kaum berwachen
Compliance im Fokus Blick in die Dokumentation. Diese ist bei und nur aufwndig unterbinden.
GridVision bernimmt eine Vielzahl an GridVision direkt aus dem Portal heraus
Managementfunktionen und fhrt zu- aufrufbar, jedoch nicht kontextsensitiv. Erfreulich intuitiv empfanden wird die
dem Complianceberprfungen durch. Auerdem mussten wir feststellen, dass Bedienung. Das Express Setup ermg-
Meldet sich ein Clientagent zum ersten zumindest zum Testzeitpunkt diverse licht es, das Produkt relativ schnell in
Mal bei GridVision, wird eine umfassen- Funktionen nicht beschrieben waren. Betrieb zu nehmen, wobei wiederum die
de Inventur durchgefhrt (Ausstattung Dass die noch im Betastadium befindliche Agenteninstallation pro Client zu be-
und installierte Software, anstehende Backupfunktion noch nicht zu finden war, rcksichtigen ist. Die Dokumentation
Updates, aktivierte Features und Rollen, ist noch nachvollziehbar. Aber auch zum gehrt insgesamt auf den Produktstand
Status der Dienste, Benutzer, Gruppen Umgang mit Tickets war absolut nichts aktualisiert. Beeindruckend sind die viel-
und sonstige AD-Informationen). Grid- zu finden. Dann beschrieb das Handbuch fltigen Reportfunktionen inklusive der
Vision ermglicht das Management der diverse unter einer Rubrik "Views" ent- Erstellung von Pivottabellen. Interessierte
lokalen Benutzer und der installierten haltene Ansichten, die wir teilweise unter Administratoren knnen sich einen ers-
Dienste. Dem Administrator stehen in Applications fanden. Insgesamt kamen ten Eindruck leicht verschaffen, indem
der Regel zwei Sichtweisen zur Verf- wir im Test zu dem Resultat, dass die Do- sie mit der Community-Edition starten.
gung, zum einen aus der Sicht des Clients kumentation nicht ganz mit der Entwick- Dazu reicht eine Anmeldung und dann
(welche Software ist auf einem Client in- lung Schritt gehalten hat und diverse einige Clients, auf denen der Agent in-
stalliert, welche Benutzer und Gruppen Nacharbeitungen erforderlich sind. stalliert wird. (of)
gibt es auf einen Client?) und zum an-
deren aus Sicht des Objekts (auf welchen Fazit So urteilt IT-Administrator
Clients ist der Adobe Reader installiert, Insgesamt hinterlie GridVision im Test
auf welchen Clients gibt es die Gruppe einen durchwachsenen Eindruck und Agenten-Installation 5
der Hyper-V-Administratoren?). konnte uns trotz des ordentlichen Leis-
tungsumfangs aufgrund der nachfolgend Hypervisor-Untersttzung 4
Ein eigener Punkt ist das Directory- und genannten Einschrnkung sowie der Si-
Mailboxmanagement, um einen Blick auf cherheitsbedenken nicht vllig berzeu- Client-Kommunikation 4
das Active Directory und bei Betrieb eines gen. So muss ein Administrator wissen,
Skalierbarkeit 8
Exchange-Servers auf die Mailboxen zu dass der Einsatz auf Windows-Systeme
bekommen. und Hyper-V beschrnkt ist. Damit ist
Mandantenfhigkeit 7
der Einsatz nur in entsprechenden ho-
Hinsichtlich der Compliance beherrscht mogenen Umgebungen sinnvoll. Fr ei-
Die Details unserer Testmethodik finden Sie
GridVision drei Themen, Applikationen, nen Groteil der aktuell betriebenen IT- unter www.it-administrator.de/testmethodik
Dienste und Softwarelizenzen. Der Ad- Landschaften drfte GridVision allein aus
ministrator kann so recht einfach prfen, diesem Grund wenig interessant sein, was Dieses Produkt eignet sich
auf welchen Systemen eine Applikation sich aber mit zu erwartenden zunehmen- optimal fr homogene Windows-Umgebun-
installiert ist, um diese zu patchen oder den Marktanteilen von Hyper-V etwas zu- gen, auch in Verbindung mit Hyper-V, wo alle
auch zu deinstallieren. Bei den Diensten gunsten von GridVision ndern wird. Server und Workstations aus dem Internet er-
kann er auf diesem Weg den Status prfen reichbar sind und wo Produkte wie Office
und auch definiert setzen. Weiterhin hat Missfallen hat uns, dass es zwingend er- 365 zum Einsatz kommen.
der Administrator die Mglichkeit, forderlich ist, den Agenten auf jedem zu
Windows Audits durchzufhren, um ab- berwachenden Client zu installieren. bedingt fr Windows-Umgebungen, die
hngig vom Betriebssystem bestimmte Die Vorgehensweise diverser Mitbewer- nicht auf Hyper-V zur Virtualisierung setzen.
Sicherheitsempfehlungen durchzusetzen. ber, die mit einem Agenten auf einem Hier lassen sich die virtuellen Windows-
Insgesamt 14 Audit-Vorlagen sind vorbe- Client fr ganze Netzsegmente auskom- Clients managen, aber nicht die Virtualisie-
rungsplattform selbst.
reitet, der Administrator kann je nach Be- men, indem dieser als Gateway oder als
darf weitere erstellen. Um Leistungswerte Probe fungiert, ist bei GridVision nicht nicht fr Systemlandschaften, bei denen ein
zu messen und zu prfen, bietet GridVi- mglich. Wir haben zwar im Test keine Management aus dem Internet nicht ge-
sion Performancevorlagen. Auch hier sind explizite Bedrohungsanalyse durchge- wnscht ist oder die nicht berwiegend auf
einige Vorlagen vorbereitet, und der Ad- fhrt, aber ein Agent auf jedem Client MS Windows setzen.
ministrator kann weitere erstellen. bedeutet, dass auch jeder mit GridVision

www.it-administrator.de Juli 2016 27


Te s t s O&O BlueCon 12

O&O BlueCon 12 Admin Edition

Windows-Rettungsring
von Daniel Richey

Quelle: scanrail 123RF


Luft ein wichtiger Rechner beim Start in einen Bluescreen oder strzt der Windows-Server
regelmig ab, ist die Not schnell gro. Eine bootfhige Rettungsumgebung kann eine Hilfe
sein, um nach Fehlern zu suchen oder zumindest an Daten zu retten, was noch zu retten ist.
O&O BlueCon 12 bietet eine solche Umgebung und fasst hierfr verschiedene Werkzeuge
des Software-Anbieters zusammen. Im Test zeigte die Rettungssuite ihre Strken und Schwchen.

ei O&O BlueCon handelt es sich knnen hingegen Partitionen angelegt, des Tests gaben wir dann noch den drn-
B um eine bootfhige Software-Suite gelscht, vergrert sowie verkleinert wer- gelnden Pop-ups von Microsoft nach und
zur Wiederherstellung beschdigter oder den. Auch lsst sich die Systempartition installierten Windows 10 (1511), um die
nicht mehr funktionstchtiger Windows- in ihrer Gre verndern. In der "Benut- Rettungsumgebung auch mit dem aktu-
Installationen. Ursachen hierfr knnen zerverwaltung" von O&O BlueCon besteht ellen Betriebssystem zu testen.
Treiberprobleme, vergessene Passwrter, Zugriff auf alle registrierten Benutzer. Ad-
versehentlich gelschte Dateien, Malware, mins knnen so beispielsweise vergessene Der Download der Setup-Datei in Form
fehlerhafte Windows-Updates und hn- Kennwrter ndern. Im Anschluss kann eines BuildPE-Files zur Erstellung des
liches sein. Die Software arbeitet von ei- der Benutzer sich mit seinem neuen Bootmediums betrug etwa 400 MByte.
nem Bootmedium aus und setzt keine In- Kennwort ohne Kenntnis des alten neu Beim ersten Aufruf der von O&O bereit-
stallation im laufenden System voraus. einloggen. Auch der Zugriff auf die Re- gestellten Software verweigerte der In-
Auch virtuelle Umgebungen unter Hy- gistry ist mglich. Daten von fehlerhaften stallationsagent jedoch seinen Dienst mit
per-V untersttzt BlueCon. Systemen lassen sich mit "FileExplorer" der Fehlermeldung "Die digitale Signatur
auf externe Speichermedien sichern. ist ungltig oder nicht vorhanden". Das
An Bord sind mehr als ein Dutzend O&O- lag offenbar daran, dass wir die Datei auf
Werkzeuge zur System- und Datenrettung. Installation mit einen Arbeitsrechner heruntergeladen
Die Komponente "DiskRecovery" bei- Zertifikatsproblemen und anschlieend per USB-Stick auf den
spielsweise sucht und rekonstruiert ver- Bei unserem Testrechner handelte es sich Testrechner kopiert hatten. Luden wir das
sehentlich gelschte oder durch Software- um ein 64-Bit-Windows-8.1-System mit Setup-File direkt auf den Testrechner, war
fehler verlorene Dateien. Dabei prft das einem Intel-Core-i5-4460-Prozessor, 16 die Signatur gltig. O&O Software gab
Tool alle Sektoren der Festplatte, der Spei- GByte RAM und einer 500 GByte Cruci- auf Rckfrage dann auch an, derzeit mit
cherkarte oder des USB-Sticks auf verlo- al-SSD als Festplatte. Das System war zu ihren digitalen Signaturen einige Proble-
rene Dateien. Mit dem "PartitionManager" Testbeginn voll funktionsfhig. Am Ende me zu haben. So warnte uns Windows

28 Juli 2016 www.it-administrator.de


O&O BlueCon 12 Te s t s

sowie DiskImage Server ein. Anschlie-


end erstellten wir das CD-Abbild. Nach
einigen Minuten des Zusammenstellens
der ntigen Daten bot uns der Assistent
an, ein Abbild auf einem Datentrger an-
zulegen oder es fr spter abzuspeichern.
Wir nutzten die Option "Erstellen" und
whlten unseren USB-Stick aus. Dieser
wurde formatiert und erhielt anschlieend
die ntigen Boot-Daten bermittelt. Da-
mit endete der Assistent auch schon. Alles
Weitere findet in der Bootumgebung statt.

Hakeliges Booten vom USB-Stick


Wir starteten unseren Testrechner von
dem soeben erstellten USB-Stick und
landeten in einem blauen Fehlerbild-
schirm mit der Meldung "Your PC needs
to be repaired". Die beanstandete Datei
war "\windows\system32\boot\winload.
Bild 1: Beim Erstellen des CD-Abbilds hilft ein Assistent, exe" mit dem Fehlercode "0x0000001".
der unter anderem die zu verwendenden Werkzeuge auswhlen lsst. Das lag mglicherweise an unserem UE-
FI-BIOS und wir fanden im Bootmen
SmartScreen davor, die Setup-Datei aus- bereit, der uns auf die entsprechende Mi- zwei Eintrge fr den Stick, einmal mit
zufhren, da der Herausgeber unbekannt crosoft-Seite fhrte. Wir luden die 1,4 und einmal ohne UEFI-Eintrag. Es war
sei. Bei der anschlieenden Benutzerkon- MByte groe Datei herunter. jedoch egal, welchen der Eintrge wir aus-
tenkontrolle jedoch war "O&O Software" whlten. Mal startete das System vom
wieder als Herausgeber der Software ein- Nun folgte im zweiten Schritt die Instal- USB-Stick und mal nicht der Fehler be-
getragen und das Programm als gltig lation des ADK, die der Assistent eben- gleitete uns den Test ber.
signiert gekennzeichnet. falls per eigenen Button anbot. Daraufhin
startete die ADK-Installation, die wir mit O&O BlueCon 12 Admin Edition
Nach dem Start des Installers ffnete sich den Default-Einstellungen durchlaufen
ein Assistent, der nach dem Besttigen lieen. Das Setup dauerte rund 20 Mi- Produkt
der Lizenzvereinbarung O&O BlueCon nuten. Nachdem wir ber die BlueCon- Bootfhige Rettungsumgebung fr
auf dem Rechner installierte. Wir fanden Konsole den Installationsort des ADK Windows-Rechner.
danach auf unserem Desktop ein Icon na- bestimmt hatten, erstellten wir ein CD- Hersteller
mens "O&O Bluecon Startmedium erzeu- Abbild fr unser Bootmedium. Hierbei O&O Software
gen". Dies ist auch der nchste logische lassen sich bereits zustzlich bentigte www.oo-software.de
Schritt, denn die Software soll ja genau Treiber hinzufgen, sofern der Adminis- Preis
dann zum Einsatz kommen, wenn ein trator im Vorfeld von deren Notwendig- In der Admin Edition fr einen Techniker und
Windows-System nicht mehr oder nur keit wei. Fehlende Treiber lassen sich eine Firma kostet die Software 916 Euro. Die
noch eingeschrnkt funktioniert. Dem- jedoch auch ber die Treiberverwaltung Tech Edition erlaubt hingegen den Einsatz in
entsprechend klickten wir auf das Icon whrend des Bootvorgangs ergnzen. mehreren Firmen fr einen Techniker und
und schlossen zuvor einen 8 GByte kostet 3017 Euro.
groen USB-Stick an, der als Startmedi- Anschlieend setzten wir noch den Ha- Systemvoraussetzungen
um dienen sollte. ken vor die Option "64-bit-Datentrger Untersttzte Betriebssysteme sind Windows
erzeugen", da es sich bei unserem Rechner Vista, 7, 8, 10, Windows Server 2003,
Startmedium einfach erstellt um ein 64-Bit-System handelt und wir Windows Server 2008, Windows Server 2008
Es ffnete sich daraufhin ein Assistent, grtmgliche Kompatibilitt haben woll- R2, Windows Server 2012 und Windows Ser-
der uns in vier Schritten zum bootfhigen ten. Die vorgeschlagene RAM-Disk-Gr- ver 2012 R2 (alle Editionen). Des Weiteren
Startmedium fhrte. Der erste Schritt e von 32 MByte nderten wir auf 512 ein Bootmedium wie einen USB-Stick und In-
ternetverbindung fr den Download der
besteht im Download des Windows 8.1- MByte; unser Testrechner ist mit 16
Windows-Bootumgebung.
ADK, auf das BlueCon fr das Anlegen GByte RAM immerhin recht ppig aus-
des Startmediums und der Reparaturum- gestattet. Nun gaben wir noch unsere vom Technische Daten
gebung setzt. Hierfr stellte der Assistent Hersteller bereitgestellten Lizenznum- www.it-administrator.de/downloads/
datenblaetter
praktischerweise einen Download-Button mern fr BlueCon in der Admin-Version

www.it-administrator.de Juli 2016 29


Te s t s O&O BlueCon 12

anderen Daten berschrieben werden


und die gelschten Files damit endgltig
futsch sind. Auch lassen sich so Daten-
bereiche untersuchen, die ansonsten vom
laufenden Betriebssystem blockiert wer-
den. Dies sollte jedoch in den meisten
Fllen keine Rolle spielen, da es sich bei
den gelschten Dateien meist um Daten
der Anwender wie etwa Office-Dateien
handelt. Beim Start des Tools stehen dem
Nutzer drei Optionen zur Verfgung:
- Die Suche nach Dateien auf Festplatten
(O&O UnErase)
- Die sektorbasierte Tiefensuche (O&O
DiskRecovery)
- Formatierte oder strukturell besch-
digte Partitionen suchen (O&O For-
matRecovery)

Bild 2: Der Rettungsdesktop zeigt sich bersichtlich. Zu den einzelnen Werkzeugen fhrt das Startmen. Fr unseren Test legten wir 20 verschiedene
Dateien auf dem Rechner an darunter
Nach dem Booten mussten wir erneut ei- unsere Einstellungen auf der lokalen Fest- Word-, Excel, PDF- und JPEG-Files sowie
nen Lizenzvertrag akzeptieren. Danach platte gespeichert hatten, waren alle Settings mehrere ZIP-Dateien. Diese lschten wir
ffnete sich ein Fenster mit den "O&O Sys- beim nchsten Neustart sogar automatisch daraufhin und starteten den Rechner in der
temeinstellungen". Darin konnten wir etwa wieder da. Rettungsumgebung. Wir ffneten DiskRe-
das gefundene Betriebssystem auswhlen covery und whlten die Optionen zur Wie-
(das passende war bereits voreingestellt, Auf dem bersichtlich gestalteten Ret- derherstellung gelschter Dateien und Ver-
sowohl bei Windows 8.1 als auch Windows tungsdesktop fanden sich zwei Icons zeichnisse (UnErase) sowie die Tiefensuche
10) beziehungsweise ein nicht erkanntes DiskImage und DiskRecovery wieder. nach beschdigten Dateien (DiskRecovery)
hinzufgen. Ferner lieen sich die Region ber ein Startmen erreichten wir auch aus. Die restlichen Optionen belieen wir
festlegen, Treiber laden und aktualisieren, die restlichen Programme wie SafeErase, auf den Standardeinstellungen. Daraufhin
die Bildschirmauflsung einstellen, Netz- PartitionManager, RegistryEditor, Benut- legte das Tool los und durchforstete unsere
werkkarten-Einstellungen vornehmen (in zerverwaltung, Ereignisanzeige oder Trei- ausgewhlte Partition nach den gelschten
unserem Test wurde keine Netzwerkkarte berverwaltung. Weshalb diese Icons nicht Files. Auf der rund 500 GByte groen und
erkannt), die Auslagerungsdatei aktivieren auf dem Desktop lagen, erschloss sich nahezu leeren Testpartition unserer SSD
sowie die vorgenommene Konfiguration uns allerdings nicht. Es lieen sich neben dauerte der Vorgang etwa eine Stunde. An-
speichern oder eine zuvor gespeicherte la- den O&O-Tools auch teilweise lokale schlieend zeigte uns der Assistent 18 ge-
den. Ein Klick auf "OK" zeigte ein neues Programme des Windows-Rechners star- fundene Dateien an und bot uns deren
Fenster mit den Lizenzinformationen zu ten, darunter das Grafikprogramm Gimp, Wiederherstellung an. Zwei unserer Test-
BlueCon samt Ablaufdatum und Serien- nachdem wir die jeweils ausfhrbare Da- dateien hatten es nicht geschafft.
nummer an. Schlielich fanden wir uns in tei im FileExplorer angeklickt hatten. Die
einer bersichtlich gestalteten Desktop- meisten Versuche fhrten jedoch zu einer Danach legten wir dieselben Dateien in
umgebung wieder. Fehlermeldung. den "Eigenen Dokumenten" des angemel-
deten Benutzers auf der Systempartition
Die einmal gettigten Einstellungen zur Datenrettung an, um den Test zu wiederholen. Dabei
Bildschirmauflsung et cetera merkte sich mit Einschrnkungen stieen wir auf ein Problem: Gelschte
die Rettungsumgebung ohne weiteres Zu- Als Erstes nahmen wir die Dateiwieder- Verzeichnisse werden zwar erkannt, aber
tun nicht. So startete sie jedes Mal aufs herstellung mit DiskRecovery unter die nicht namentlich aufgefhrt, sondern an-
Neue mit den Default-Settings und fragte Lupe. Das Werkzeug ist wie die meisten hand einer fortlaufenden Nummerierung.
die Prferenzen ab. Dadurch ist die Boot- der anderen Tools auch als Standalone- Auf unserem Testrechner unter Windows
umgebung unabhngig vom eingesetzten Produkt erhltlich. Dennoch kann es Vor- 10 hielt sich die Anzahl an Verzeichnissen
Rechner besser nutzbar. Bezieht sie sich teile bieten, die Datenrettung von einer zwar noch in Grenzen. Auf dem vorhe-
nur auf einen Rechner, bietet es sich an, die externen Betriebssystemumgebung aus rigen Windows-8.1-Rechner kamen wir
einmal gettigten Einstellungen auf einem durchzufhren. Denn im laufenden Be- jedoch auf rund 10.000 Ordner, die uns
Wechseldatentrger zu speichern, um diese trieb ist es mglich, dass die freigegebenen als "DIR00001" bis "DIR09987" angezeigt
spter wieder aufrufen zu knnen. Als wir Datenbereiche vom System wieder mit wurden und sich im Laufe der Zeit auf

30 Juli 2016 www.it-administrator.de


O&O BlueCon 12 Te s t s

doch fr bestehende Konten die Kenn-


wrter problemlos ndern lassen, lsst
sich mit dem System im Notfall dennoch
weiterarbeiten. Nicht vergessen sollte der
Admin natrlich, dass bei einer erzwun-
genen Kennwortnderung mglicherwei-
se verschlsselte Dateien und Zertifikate
nicht mehr zugnglich sind darauf weist
die Software auch hin.

Treiberprobleme
teilweise behoben
Nun wandten wir uns dem Fall zu, dass
es mit einem oder mehreren Treibern ein
Problem auf dem Rechner gibt. Hierfr
lschten wir fr unser CD-Laufwerk und
den Intel-Netzwerkadapter die jeweiligen
Treiber im Gertemanager und starteten
den Rechner wieder in die Rettungsum-
gebung. Anschlieend riefen wir Driver-
Loader auf, das uns in einem bersichts-
fenster die von Windows erkannten
Bild 3: Die Datenrettung stellte den Groteil unserer gelschten Testdateien wieder her. Gerte sowie die Gerte ohne installierten
Gezieltes Suchen nach einzelnen Dateien etwa anhand des Namens war nicht mglich. Treiber anzeigte. Unser CD-Laufwerk war
nicht dabei, die Netzwerkkarte hingegen
der Platte angesammelt hatten. Unser ge- wieder in die Rettungsumgebung und ver- schon. Wir whlten die angezeigte "Ether-
lschtes Verzeichnis befand sich irgendwo suchten, das "vergessene" Kennwort zu- net Connection" von Intel aus, fr die laut
dazwischen. rckzusetzen. Hierfr ffneten wir den Tool kein Treiber installiert war, und
UserManager, whlten unser Testkonto klickten auf "Laden". Danach landeten
Zwar lassen sich leere Ordner wie auch aus und vergaben ein neues Passwort wir in einem Dateiexplorer-Fenster im
Dateien ausblenden. Auch das Filtern was ohne Probleme funktionierte. An- BlueCon-Startup-Ordner, der fnf Da-
nach dem Datum der Dateien sowie de- schlieend legten wir einen neuen Benut- teien beinhaltete, darunter Systemdateien
ren Gre ist mglich. Eine gezielte Suche zer an, vergaben ein Kennwort und whl- und Setupinformation (*.inf).
nach Dateinamen oder -endungen gibt ten die Option aus, dass der Benutzer nach
es allerdings nicht. Lediglich DiskReco- dem ersten Login sein Passwort ndern Dort whlten wir die einzig vorhandene
very bietet eine Sortierung nach Dateityp muss. Ansonsten lsst sich noch einstellen, INF-Datei aus, erhielten dann jedoch die
an jedoch sucht dieses Tool nach kor- dass der User das Passwort nicht ndern Meldung, dass der Treiber das ausgewhl-
rupten Dateien, nicht nach gelschten. kann, das Passwort nie ausluft oder das te Gert nicht untersttzt. Es sei ange-
Hinzu kommt, dass in dem zweigeteilten Konto deaktiviert ist. Zu bereits bestehen- merkt, dass der DriverLoader nur Treiber
bersichtsfenster mit den gefundenen den Konten konnten wir noch einsehen, mit an Bord hat, die auch Windows Ser-
Verzeichnissen auf der rechten und den seit wann diese bestehen, wie viele Logins ver 2008 mitbringt. In unserem Fall mit
darin enthaltenen Dateien auf der linken es gab und wann der letzte Login stattge- Windows 8.1 brachte uns das Tool damit
Seite die Dateibersicht beim Markieren funden hatte sowie den Status des Kontos. nicht weiter. Natrlich besteht die Mg-
der Ordner mit der Pfeiltaste nach unten lichkeit, den Treiber von der Hersteller-
nicht aktualisiert wird. So muss jedes Ver- Nun starteten wir den Rechner neu und seite zu laden und dann mit dem Tool
zeichnis mit der Maus oder der Leertaste landeten im Windows-Anmeldebild- einzuspielen. Hier kann die Rettungsum-
angeklickt werden, damit dessen Inhalt schirm, in dem wir allerdings unser neues gebung weiterhelfen, wenn das System
rechts sichtbar wird. Damit wird die Su- Konto nicht vorfanden. Daher loggten aufgrund fehlender Treiber nicht mehr
che nach bestimmten Dateien oder Ver- wir uns zunchst mit unserem ersten Test- ordnungsgem startet. Natrlich ist der
zeichnissen schnell zu einem umstndli- account ein, bei dem wir das Kennwort Nutzer darauf angewiesen, dass das be-
chen Unterfangen. gendert hatten. Das funktionierte pro- treffende Gert in der bersicht angezeigt
blemlos. Danach ffneten wir die System- wird und damit auswhlbar ist.
Kennwrter rasch zurckgesetzt steuerung und die Benutzerverwaltung,
Fr den Test der Benutzerverwaltung leg- fanden jedoch auch hier unser neu ange- Jetzt ffneten wir den DeviceManager und
ten wir ein neues Konto an und vergaben legtes Konto nicht. Es blieb verschollen. sahen alle auf dem Rechner vorhandenen
ein Passwort. Anschlieend starteten wir Das ist zwar etwas rgerlich, da sich je- Treiber samt deren zugeordneten Gerten

www.it-administrator.de Juli 2016 31


Te s t s O&O BlueCon 12

mglichen. Leider lie sich der Browser in


unserer Rettungsumgebung nicht starten.
Stattdessen ffnete sich der Mozilla-Ab-
sturzmelder. Offenbar basiert der integrierte
Browser auf Firefox 42.

Fazit
O&O BlueCon 12 bietet ntzliche Werk-
zeuge, die auf der Suche nach gelschten
Dateien, Datenfehlern auf der Festplatte
oder bei vergessenen Benutzerkennwrtern
helfen. Im Test zeigte sich die Umgebung
allerdings mitunter etwas unbersichtlich
von der Bedienung her zum Beispiel bei
der Suche nach einzelnen wiederherzustel-
lenden Dateien. Hin und wieder machte
auch Windows der Rettungsumgebung ei-
nen Strich durch die Rechnung, indem es
den Zugriff auf einige Bereiche verweigerte.
Bild 4: Das Zurcksetzen von Benutzerkennwrtern ging problemlos vonstatten. Die Suite bietet sicher einen guten Ansatz,
Auch lassen sich weiterfhrende Infos zu vorhandenen Konten einsehen. um nach Fehlern im System zu suchen.
Wunder darf der Administrator allerdings
und dem Startzeitpunkt. So fanden wir forstet und Vorschlge anzeigt. Andere teils nicht erwarten.
auch unser CD-Laufwerk mit rotem Icon kostenlos verfgbare Werkzeuge gehen hier
wieder, da es auf "Deaktiviert" stand. Wir etwas weiter und versuchen zumindest, So urteilt IT-Administrator
setzten es auf "Boot". Den verwendeten fehlerhafte Eintrge zu finden und zu re-
Treiber selbst konnten wir nicht beeinflus- parieren. ber den Erfolg und die Sinn- Erzeugen des Bootmediums 8
sen, lediglich den Startzeitpunkt. Auch die haftigkeit derartiger Manahmen muss am
Windows-Dienste lassen sich entsprechend Ende jeder Nutzer selbst entscheiden. Bedienerfreundlichkeit 7
anzeigen und deren Startzeitpunkt bear-
beiten. Nach einem Neustart war dann un- Neben den genannten Werkzeugen bietet Datenrettung 6
ser CD-Laufwerk wieder als aktiv im Ge- die Rettungsumgebung noch eine Hand
rtemanager eingetragen. voll weiterer Tools an. So lassen sich ber Benutzerverwaltung 6
die SystemInfo neben Hardware-Infor-
Tools fr Vollprofis mationen die Windows-Dateien win.ini, Treibermanagement 5
Um Fehler in der Registry zu beheben, system.ini, boot.ini samt deren Konfigu-
Die Details unserer Testmethodik finden Sie
bietet die Rettungsumgebung den Reg- rationsdaten sowie der Autostart, Umge- unter www.it-administrator.de/testmethodik
Editor an. Dieser ist hnlich aufgebaut bungsvariablen und die Bootkonfiguration
wie der Windows-eigene Registry-Editor anzeigen. Einzelne Eintrge knnen dabei Dieses Produkt eignet sich
und zeigte in unserem Test die beiden aktiviert oder deaktiviert werden. Hierbei gut fr das Beheben einfacherer Fehler auf
Schlssel "HKEY_LOCAL_MACHINE" muss der Admin schon genau wissen, was Windows-Systemen wie versehentlich ge-
und "HKEY_USERS" an. Bei einigen der er tut und wo er suchen muss. lschte Dateien, vergessene Benutzerkenn-
Schlssel wie "HKEY_USERS" liefen wir wrter oder Dateisystemprobleme. Auch ist
jedoch wieder vor die Wand und erhielten Ein Kommandozeilenfenster erlaubt das di- die Software gut geeignet fr Aufgaben wie
eine "Zugriff verweigert"-Meldung. Auch rekte Absetzen von Befehlen, whrend das etwa Partitionsnderungen oder das Imaging
die Rechte an diesen gesperrten Keys konn- CheckDisk-Tool die Festplatte nach Fehlern des Rechners.
ten wir nicht bearbeiten. Bei den anderen durchsucht und versucht, diese zu beheben.
bedingt fr das Beheben komplexerer Fehler
Schlsseln lassen sich die Rechte nmlich ber den PartitionManager lassen sich die etwa in der Registry oder tiefer im Windows-
fr Gruppen und Benutzer erteilen bezie- Partitionen auf derselben anzeigen und ver- Betriebssystem. Hier fehlte teilweise der Zu-
hungsweise entziehen. Einige Schlssel ndern, vergleichbar zur Windows-Parti- gang zu bestimmten Bereichen. Auch kann
konnten wir gar nicht finden, darunter tionsverwaltung. SafeErase erlaubt es nicht der Nutzer hier wenig bis keine Hilfestellung
"HKEY_CLASSES_ROOT", "HKEY_CUR- zuletzt, Dateien sicher vom System zu l- erwarten und Assistenten einsetzen.
RENT_CONFIG". Auch bietet das Tool schen etwa, bevor man den Rechner oder
nicht fr die Reparatur von Nicht-Windows-
keine Reparatur-Option an, indem es etwa die Festplatte ausmustert. Der Internet- Rechnern oder Nutzer, die nur sehr wenig Ah-
die Registry zumindest rudimentr nach Browser soll die Recherche nach mglichen nung von den Windows-Interna haben.
fehlenden oder falschen Eintrgen durch- Fehlerursachen und Lsungen im Netz er-

32 Juli 2016 www.it-administrator.de


12 Monatsausgaben im
Print- & E-Paper-Format
ePaper

+ 2 Sonderhefte pro Jahr

Archiv-CD

Enthlt alle Ausgaben von


Januar 2015 bis Dezember 2015
+ Jahres Archiv-CD
mit allen Monatsausgaben
im PDF-Format

Abo- und Leserservice


IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
Das Abo All-Inclusive
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
shop.heinemann-verlag.de
leserservice@it-administrator.de
Neues von SharePoint 2016

Quelle: tagota 123RF


Grndlich renoviert
von Christian Schulenburg

Nachdem Exchange 2016 bereits letztes Jahr verffentlicht


wurde, hat Microsoft mit SharePoint 2016 die nchste Ser-
veranwendung aktualisiert. Gleich mehrere interessante
Neuerungen sind dabei eingeflossen, etwa im Bereich der
Serverrollen. Und auch die Anbindung an Microsofts
Cloud-Dienste wird enger.

ine der grten nderungen in - Front-End: Dienstanwendungen, stndige Kontrolle darber, welche
E SharePoint 2016 fllt gleich bei der Dienste und Komponenten, die Benut- Dienstinstanzen auf Servern ausgefhrt
Installation der Serverapplikation auf. Es zeranforderungen auf Front-End-Web- werden knnen, denen die benutzer-
handelt sich dabei um die Einfhrung von servern verarbeiten. Diese Server sind definierte Rolle zugeordnet ist. Mithilfe
Serverrollen, den sogenannten MinRoles. fr eine hohe Leistung optimiert. von MinRole wird nicht gesteuert, wel-
Mit der MinRole-Funktion definieren Sie - Anwendung: Dienstanwendungen, che Dienstinstanzen fr diese Rolle be-
die Serverrollen in einer Farmtopologie be- Dienste und Komponenten, die Back- reitgestellt werden.
reits whrend der Installation. Diese neue End-Anforderungen auf Anwendungs- - Einzelserverfarm: Dienstanwendungen,
Rollenzuweisung stellt sicher, dass auf je- servern verarbeiten (etwa Hintergrund- Dienste und Komponenten, die fr eine
dem Server in der SharePoint-Farm genau auftrge oder Suchdurchforstungs- Farm mit nur einem Computer erfor-
die Dienste ausgefhrt werden, die erfor- anforderungen). Diese Server sind fr derlich sind, mssen in einer Einzelser-
derlich sind. Die Zuweisung ist aber nicht hohen Durchsatz optimiert. verfarm konfiguriert sein. Eine Farm mit
dauerhaft und Sie knnen diese in den Sys- - Verteilter Cache: Dienstanwendungen, nur einem Server ist fr die Entwicklung,
temeinstellungen unter "Serverrolle in die- Dienste und Komponenten, die fr ei- zu Testzwecken und eine sehr begrenzte
ser Farm konvertieren" spter ndern. Um nen verteilten Cache auf verteilten Ca- Produktion vorgesehen. Eine SharePoint-
sicherzustellen, dass die Konfiguration kor- cheservern erforderlich sind. Optional Farm mit der Rolle "Farm mit einem Ser-
rekt umgesetzt ist, luft tglich die Regel knnen Sie diese Server auch fr den ver" kann nicht mehr als einen Share-
"Die Serverrollenkonfiguration ist nicht Lastenausgleich des Farmdatenverkehrs Point-Server in der Farm enthalten.
korrekt" in der Inhaltsanalyse durch. mithilfe des SharePoint-Anforderungs-
Kommt dabei eine Inkonsistenz zum Vor- managers konfigurieren. Die MinRole-Verwaltung von Dienstin-
schein, wird der Server entsprechend der - Suche: Dienstanwendungen, Dienste stanzen findet nicht nur beim Hinzufgen
Rollendefinition neu konfiguriert. und Komponenten fr die Suche ms- eines Servers zu einer Farm statt, sondern
sen auf Suchservern gespeichert sein. auch beim Aktivieren beziehungsweise
Serverrollen dank MinRoles - Benutzerdefiniert: Benutzerdefinierte Deaktivieren von Diensten sowie beim
Bei der Installation fragt der Konfigura- Dienstanwendungen, Dienste und Erstellen und Lschen von Dienstanwen-
tions-Assistent nach der einzurichtenden Komponenten, die nicht in MinRole dungen in der Farm. Den Compliance-
Rolle und SharePoint konfiguriert auto- integriert sind, mssen auf benutzer- Status der Dienste finden Sie in dem
matisch die ntigen Dienste (Bild 2). Da- definierten Servern konfiguriert sein. Punkt "Dienste auf dem Server verwalten"
bei stehen folgende Rollen zur Wahl: Der Farmadministrator hat die voll- unter den Systemeinstellungen.

34 Juli 2016 www.it-administrator.de


SharePoint 2016 Praxis

das Design deutlich, auch viele Funktio-


nen lassen sich sinnvoll miteinander ver-
knpfen. Die Mglichkeiten der Cloud-
Verbindung sind unter dem Namen
"Hybridfunktionen" zusammengefasst
und die einzelnen Features knnen Sie
nach und nach freigeben. Zu den neuen
Mglichkeiten gehrt unter anderem die
"Hybrid Cloud Search". Diese gibt es in
zwei Varianten: Die Hybridsuche in der
Cloud durchsucht lokale Inhalte und in-
diziert diese im Suchindex von Office 365.
Gibt der Benutzer eine Abfrage im Such-
center ein, erhlt er jetzt automatisch die
Bild 1: Ob ein Server die ihm ber MinRoles zugewiesenen Dienste korrekt ausfhrt, Suchergebnisse aus dem Suchindex von
sehen Sie direkt in der Dienstebersicht in den Systemeinstellungen. Office 365 und somit die Ergebnisse so-
wohl aus dem lokalen Inhalt als auch aus
Bei der Einzelserverfarm werden alle time mehr fr die Umgebung bedeuten. Office-365-Inhalten. Im Gegensatz dazu
SharePoint-Dienste auf einem System In SharePoint 2013 mussten Sie noch kombiniert die zweite Variante, die Hy-
bereitgestellt. Diese Installation ersetzt GBytes an Patches runterladen und es brid-Sammelsuche, die Suchergebnisse
den eigenstndigen Installationsmodus wurde alles in einer Farm aktualisiert. aus jedem Suchindex in einem einzigen
in frheren Versionen von SharePoint. Zuknftig werden die Pakete wesentlich Suchcenter. Es werden dabei aber weiter
SharePoint 2016 untersttzt dabei keinen kleiner und nur noch betroffene Kom- zwei Indizes angelegt.
SQL Server in der Express-Edition mehr. ponenten aktualisiert. Diese Updates
Diesen mssen Sie gesondert vorbereiten. spielen Sie im Livebetrieb ein und der Mit dem Hybridwebsites-Feature erhalten
Die SharePoint-Farmdienste und -Web- SharePoint-Server hlt die Dienste kurz Sie daneben bei der Verwendung von
anwendungen mssen entweder manuell an, um benutzte Dateien auszutauschen. SharePoint-Server- und SharePoint-On-
oder durch Ausfhren des Assistenten fr line-Websites eine integrierte Benutzer-
die Farm konfiguriert werden. Mit SharePoint 2016 nhern sich auer- umgebung, die die verfolgten Websites
dem der lokale SharePoint-Server und konsolidiert in einer einzigen Liste anzeigt.
Eine weitere nderung im Rahmen der SharePoint Online weiter an. Das wird Unter SharePoint 2013 verfgten die Be-
Bereitstellung besteht darin, dass die Zen- nicht nur ber das Benutzer-Interface und nutzer fr jeden Speicherort noch ber
traladministration von SharePoint 2016
standardmig nur noch auf dem ersten
Server einer Farm bereitgestellt wird.
Nachtrglich knnen Sie die Funktion
ber den Punkt "Dienste" auf dem Server
in den Systemeinstellungen unter "Zen-
traladministration" wieder aktivieren.

Project Server mit an Bord


Neu bei SharePoint 2016 ist auch, dass Pro-
ject Server 2016 Bestandteil der Enter-
prise-Edition ist. Dieser hat gleichzeitig mit
SharePoint 2016 den RTM-Status erreicht.
Project Server 2016 luft als Service-Ap-
plication und eine separate Installation ist
nicht mehr ntig. Eine eigenstndige Lizenz
bentigen Sie aber weiterhin, die Aktivie-
rung erfolgt dann mit dem PowerShell-Be-
fehl Enable-ProjectServerLicense. Weitere
Informationen zur Bereitstellung von Pro-
ject Server 2016 finden Sie unter [1].

Als Administrator werden Sie sich freu- Bild 2: Anders als SharePoint 2013 setzt SharePoint 2016 nun auch auf ein Rollenkonzept,
en, dass Patches zuknftig keine Down- die sogenannten MinRoles, sodass automatisch die bentigten Dienste konfiguriert werden.

www.it-administrator.de Juli 2016 35


Praxis SharePoint 2016

Neue Grenzwerte in SharePoint 2016

Komponente SharePoint 2016 SharePoint 2013 SharePoint 2010

Grer der 200 GByte in allgemeinen 200 GByte in allgemeinen


1 TByte
Inhaltsdatenbank Nutzungsszenarien Nutzungsszenarien
Website-
5000 empfohlen, 5000 empfohlen,
sammlungen pro 100.000 Websitesammlungen
10.000 maximal 10.000 maximal
Inhaltsdatenbank
Schwellenwert fr
Mehr als 5000 Elemente 5000 Elemente 5000 Elemente
die Listenansicht
Maximale Dateigre auf Standardmig 250 MByte, Standardmig 250 MByte,
Maximale
10 GByte erhht und Limitierung die auf maximal 2 GByte die auf maximal 2 GByte
Dateigre
bei Sonderzeichen entfernt erhht werden kann. erhht werden kann.
Indizierte 500 Millionen Elemente 100 Millionen pro Suchdienstanwen- 100 Millionen pro Suchdienstanwen-
Elemente pro Suchanwendung dung, 10 Millionen pro Indexpartition dung, 10 Millionen pro Indexpartition

unterschiedliche Listen der verfolgten verdanken. Einzig die Zeichen % und # weisnummern oder Sozialversicherungs-
Websites. Auch sind Sie mit SharePoint sind weiterhin nicht zulssig. nummern, mit denen Sie vertrauliche
2016 in der Lage, Benutzer bei der Ver- Daten identifizieren. SharePoint durch-
waltung von OneDrive for Business nun Neben der Dateigre hat Microsoft auch sucht Dokumente nach den definierten
direkt auf SharePoint Online umzuleiten, die Grenbeschrnkung bei der Inhalts- Mustern, wie zum Beispiel neun aufei-
sodass keine doppelten OneDrive-Berei- datenbank von 200 GByte auf 1 TByte nander folgende Informationstypen.
che entstehen. Dies wird durch OneDrive erhht und damit verfnffacht. Eine ein-
Redirection mglich und ber den neuen zelne Inhaltsdatenbank kann in Share- Ebenfalls neu sind Dokumentlschricht-
App-Launcher, der vielen bereits aus Of- Point 2016 ber 100.000 Websitesamm- linien. Hierber entfernen Sie Elemente
fice 365 bekannt ist, landen Sie direkt im lungen enthalten und bietet sogar zehn- automatisch nach einem definierten Zeit-
richtigen OneDrive-Speicher. mal mehr Kapazitt als in vorangegan- raum. Diese Funktion soll vor allem pro-
genen Versionen. Auch die Beschrnkung aktiv zum Einsatz kommen, um rechtli-
Als letzter Punkt sei noch die Profilsyn- von 5000 Elementen in Listenansichten chen oder geschftlichen Lschpflichten
chronisation genannt. Bisher verwenden wurde erweitert, auerdem werden nun nachzukommen. Sie knnen zum Beispiel
Nutzer sowohl im SharePoint-Server als 500 Millionen Elemente in der Suche in- die Dokumente auf den Benutzerwebsites
auch bei Office 365 eigenstndige Profile, diziert. Bis SharePoint 2013 lag die Gren- von OneDrive for Business fnf Jahre
was oft zu Verwirrung fhrte. Mit einem ze bei 100 Millionen Elementen. Es sei nach dem Erstellen der Dokumente au-
Hybridprofil verfgen die Anwender darauf hingewiesen, dass sich die Zahlen tomatisch lschen. Das Information
knftig nur noch ber ein Profil, in dem teilweise noch auf die Preview beziehen Rights Management erlaubt es ferner, Do-
sie alle Profilinformationen verwalten. und die endgltigen Werte noch nicht kumente im OneDrive for Business zu
Das Hypridprofil liegt dabei in Office 365 verffentlicht wurden. verschlsseln und mit spezifischen Rech-
und lokale Benutzer werden automatisch ten zu versehen. Auf diesem Weg legen
zu diesem umgeleitet. Datensicherheit Sie Aktionen fest, die zum Beispiel das
und Rechteverwaltung Drucken von Dokumenten verhindern.
Angehobene Limits Ein Schwerpunkt in SharePoint 2016 ist Die Konfiguration der DLP- und Doku-
Unter SharePoint 2013 konnten Anwender das Thema Compliance. Dieser Punkt mentlschrichtlinien erfolgt ber das
Dateien mit einer maximalen Gre von spiegelt sich in der neuen Funktion Data "Compliancerichtliniencenter", das Sie
2 GByte hochladen. Dieses Limit wurde Loss Prevention (DLP) und den neuen zunchst ber eine neue Websitesamm-
auf 10 GByte angehoben und Sie konfi- Fhigkeiten beim Information Rights lung einrichten mssen (Bild 3).
gurieren den Wert je Webanwendung. Da- Management wider. Um den Abfluss von
mit das Herauf- und Herunterladen per- vertraulichen Daten auf einfache Weise Auch im Hintergrund hat sich bei der Si-
formanter abluft, hat Microsoft den zu verhindern, knnen Sie nun auch in cherheit einiges getan und in SharePoint
Background Intelligent Transfer Service SharePoint mittels Data Loss Prevention 2016 wird nun TLS 1.2 untersttzt, sodass
(BITS) eingebaut. Bislang kam COBALT nach sensiblen Informationen in Doku- E-Mails mittels STARTTLS-verschlssel-
zum Einsatz. Nun werden zum Beispiel menten suchen. ber DLP-Richtlinien ten Verbindungen gesichert werden. Da-
abgebrochene Transfers wieder aufgenom- lassen Sie sich entsprechende Schadens- bei knnen Sie den Standardport 25 fr
men und die User Experience sollte sich berichte zusenden und verhindern das SMTP auf andere Ports (587) ndern. Die
deutlich verbessern. Dies ist auch dem regelwidrige Teilen solcher Dokumente. Konfiguration findet unter "Einstellungen
Entfallen der Beschrnkung bei der Lnge Zur Auswahl stehen 51 integrierte In- fr ausgehende E-Mail konfigurieren" in
von Dateinamen und Sonderzeichen zu formationstypen wie Kreditkarten, Aus- den Systemeinstellungen statt.

36 Juli 2016 www.it-administrator.de


SharePoint 2016 Praxis

fr Project 2016. Die Testversion knnen


Sie jederzeit in eine lizenzierte Installa-
tion umwandeln, indem Sie bei Share-
Point in der Zentraladministration einen
gltigen Schlssel eingeben. Project wan-
deln Sie mit dem PowerShell-Befehl En-
able-ProjectServerLicense in eine Voll-
version um.

Die von Microsoft empfohlenen Hard-


wareanforderungen fr SharePoint 2016
haben sich gegenber dem Vorgnger-
Bild 3: Das Compliance-Management ist in SharePoint 2016 ein groes Thema und produkt SharePoint 2013 leicht erhht
das neue Compliancerichtliniencenter untersttzt bei der Umsetzung von Richtlinien. und Sie mssen zuknftig mehr Arbeits-
speicher fr die SharePoint-Systeme be-
Anhaltend gltige Links von FIM hat aber der Microsoft Identity reitstellen. Die weiteren Voraussetzungen
Durable Links ist eine neue Funktion, die Manager 2016 (MIM) bernommen. werden, wie in den vorangegangenen Ver-
vor allem Anwender freuen drfte. Wer- MIM 2016 baut auf FIM auf und erwei- sionen, mit dem Vorbereitungstool in-
den unter SharePoint 2013 Dokumente tert es um Hybrid- und Privileged-Ac- stalliert, was die Vorarbeiten deutlich ver-
hochgeladen und spter verschoben, lau- cess-Management-Funktionen. Der Stan- einfacht. Danach knnen Sie mit der
fen Links zum originalen Speicherort ins dardprozess ist laut Microsoft der Active- eigentlichen Installation starten. Weitere
Leere. Zuknftig bleibt der Link derselbe, Directory-Import, der eine Alternative Hinweise zum Setup finden Sie im Tech-
auch wenn sich der Ort oder der Name zu Benutzerprofilsynchronisierung dar- Net unter [5].
des Dokuments ndern. Auch die Nut- stellt und keine separate Serveranwen-
zung von SharePoint 2016 ber mobile dung bentigt. Fazit
Gerte hat sich deutlich verbessert und Bei SharePoint 2016 lautet die Devise vor
Sie knnen ber Kacheln und Hyperlinks Migrationsweg allem Evolution statt Revolution, wie
angenehmer navigieren. Eine bersicht zu SharePoint 2016 auch schon bei SharePoint 2013. Der ers-
aller Neuerungen finden Sie auch im Microsoft untersttzt auch weiterhin nur te Blick auf die neue Version bietet viele
TechNet unter [2]. eine N-1-Migration, sodass nur von interessante Neuerungen. Zahlreiche De-
SharePoint 2013 direkt migriert werden tailverbesserungen stammen dabei aus
Es kommen jedoch nicht nur neue Funk- kann und Sie keine Version berspringen den Erfahrungen und Entwicklungen
tionen hinzu. Einige Features entfallen knnen. Ein Umstieg von SharePoint von Office 365, die somit zur Produkt-
mit SharePoint 2016. Dazu gehren die 2010 auf SharePoint 2016 ist nur mg- optimierung lokaler Installationen bei-
kostenlose Edition SharePoint Founda- lich, wenn Sie zuerst auf SharePoint 2013 tragen. Wichtig ist, dass Microsoft auch
tion sowie die Profilsynchronisation ber und dann auf 2016 migrieren. Es gibt je- an einem On-Premise-Nachfolger von
den integrierten ForeFront Identity Ma- doch einige Drittanbieter-Tools, die auch SharePoint 2016 arbeiten wird und
nager (FIM) und Excel Services. Die Ex- eine direkte Migration ermglichen. Ihre SharePoint 2016 somit nicht die letzte
cel Services werden durch Excel Online Inhaltsdatenbanken migrieren Sie von Version im eigenen Unternehmen sein
ersetzt, das im Microsoft Office Online SharePoint 2013 zu SharePoint 2016 ber wird auch wenn die Zeichen ansonsten
Server (OOS) enthalten ist. Dabei han- die Database-Detach- und -Attach-Me- stark auf Cloud stehen. (dr)
delt es sich um den Nachfolger des Of- thode. Nachdem die Datenbanken ein-
fice-Web-Apps-(OWA)-Servers. Diese gebunden sind, aktualisieren Sie diese
Link-Codes
Komponente bietet Serverprodukten wie zusammen mit den Service-Applications,
Exchange und SharePoint eine browser- bevor im letzten Schritt die Site-Collec- [1] Bereitstellung von
basierte Anzeige von Office-Anwendun- tions hochgestuft werden. Der Migrati- Project Server 2016
gen, etwa Excel, Word, PowerPoint und onsprozess ist im TechNet [3] ausfhr- G7P11
OneNote. OOS mssen Sie auf einem lich erlutert. [2] Neuerungen in SharePoint 2016
separaten Server installieren. G7P12
Sollten Sie nun Lust bekommen haben [3] Migrationsprozess auf
FIM ist fr die Synchronisation zwischen sich die RTM-Variante nher anzuschau- SharePoint 2016
G7P13
Active Directory und SharePoint eben- en, knnen Sie sich die aktuelle Version
[4] RTM-Variante herunterladen
falls nicht mehr integraler Bestandteil unter [4] herunterladen. In der Anlei-
G7P14
von SharePoint 2016. Sie knnen es aber tung zur Installation finden Sie die Li-
[5] Hinweise zum Setup
weiterhin als eigenstndigen Server zur zenzschlssel fr eine 180-Tage-Testver-
G7P15
Synchronisation nutzen. Die Aufgaben sion sowohl fr SharePoint 2016 als auch

Link-Codes eingeben auf www.it-administrator.de Juli 2016 37


Praxis D N S - Tr o u b l e s h o o t i n g

Problembehebung fr DNS, Active Directory und Gruppenrichtlinien

Raus aus der DNS-Falle


von Thomas Joos

Bei der Aktualisierung von Domnen-


controllern oder der Installation
neuer Server kann es zu Problemen
im Bereich der Namensauflsung,
der AD-Replikation und mit
Gruppenrichtlinien kommen.
Solche Fehler knnen sich
gravierend auswirken, zum
Beispiel durch Stabilitts-
probleme der Clients. Um
diese Fehler einzugrenzen,
zeigt unser Workshop eine
koordinierte Vorgehensweise 3R

F
12
fr Windows Server ab der La mb
ett
Version 2008. e ll e: Br
Qu

ehlerhafte Namensauflsungen mnencontroller DNS fr die untergeord- Sie knnen also mit dem nslookup-Werk-
F und Netzwerkverbindungen sind nete Domne konfiguriert haben und sich zeug sehr detailliert die Schwachstellen
die hufigsten Fehler in Netzwerken. der DNS-Server eingetragen hat. Sie kn- Ihrer DNS-Auflsung aufdecken. Um
Funktioniert ein Serverdienst auf einem nen von dem lokalen Rechner aus auch mehrere Hosts hintereinander abzufragen,
oder mehreren Rechnern nicht mehr oder andere DNS-Server mit der Auflsung be- mssen Sie nicht jedes Mal den oben ge-
es kommt zu Verbindungs- und Leis- auftragen. Nutzen Sie dazu in der Einga- zeigten Befehl verwenden, sondern:
tungsproblemen, sollten Sie zunchst beaufforderung die Anweisung nslookup
berprfen, ob die Namensauflsung und hostserver. Ein Beispiel dazu wre: nslookup -Server
die Verbindung zwischen den Servern
und Clients noch optimal funktioniert. nslookup dc02.microsoft.com Dabei steht der Eintrag "Server" fr den
berprfen Sie in der Befehlszeile zu- dc01.contoso.com Namen oder die IP-Adresse des DNS-
nchst mit nslookup, ob der Name des Servers, den Sie befragen wollen, zum
Servers auf den beteiligten Rechnern Hier versucht nslookup den Host "dc02. Beispiel nslookup -server 10.0.0.11. Sie
noch aufgelst werden kann. Dadurch microsoft.com" mit Hilfe des Servers knnen die beiden Optionen bei Bedarf
lassen sich hufig schon Fehler eingren- "dc01.contoso.com" aufzulsen. Anstatt auch kombinieren.
zen. Alle beteiligten Server sollten sich dem zweiten Eintrag knnen Sie auch die
untereinander auflsen knnen, das gilt IP-Adresse angeben. Wenn Sie zum Beispiel nslookup so star-
auch fr die Clients. ten, dass nicht der lokal konfigurierte
Wenn Sie als Servereintrag bei dieser Ein- DNS-Server zur Namensauflsung he-
Namensauflsung gabeaufforderung einen DNS-Server mit rangezogen wird, sondern der Remote-
testen und Netzwerk- seinem FQDN eingeben, setzt dies voraus, server 10.0.0.11, knnen Sie innerhalb
verbindungen berprfen dass der DNS-Server, den der lokale der Nslookup-Befehlszeile durch Eingabe
Vor allem bei verschachtelten Domnen Rechner verwendet, zwar nicht den Host von "Host Server" wieder einen weiteren
spielt die Namensauflsung eine wichtige "dc02.microsoft.com" auflsen kann, aber DNS-Server befragen.
Rolle. Die IP-Adresse des Servers muss dafr den "Server dc01.contoso.com". Der
ber nslookup fehlerfrei zurckgegeben DNS-Server "dc01.contoso.com" wieder- Das nslookup-Tool startet in der Einga-
werden. Das funktioniert in verschachtel- um muss dann den Host "dc02.micro- beaufforderung und ist so konfiguriert,
ten Strukturen aber erst dann berall, soft.com" auflsen knnen, damit keine dass es den DNS-Server "10.0.0.11" zur
wenn Sie auf dem untergeordneten Do- Fehlermeldung ausgegeben wird. Namensauflsung verwendet. Es ber-

38 Juli 2016 www.it-administrator.de


D N S - Tr o u b l e s h o o t i n g Praxis

tergeordneten Domnen funktioniert.


Nur durch eine lckenlos konfigurierte
Namensauflsung ist die Replikation des
Active Directory sichergestellt, und damit
auch der Betrieb von Serverdiensten in
der Domne.

Testen Sie auerdem mit ping, ob Rechner


im Netzwerk miteinander kommunizie-
ren knnen. Achten Sie darauf, dass in
Bild 1: Die Diagnose von DNS-Problemen mit nslookup ermglicht eine Eingrenzung von Fehlern. vielen Netzwerken das ICMP-Protokoll
gesperrt ist, das der Ping-Befehl nutzt.
prft, ob der lokal konfigurierte DNS-Ser- dardserver kann den Servernamen pro- Funktionieren die Namensauflsung und
ver in seiner Reverse-Lookupzone die IP- blemlos auflsen, was zeigt, dass diese Netzwerkverbindungen fehlerfrei und
Adresse 10.0.0.11 zu einem Servernamen Konfiguration in Ordnung ist. performant, sind viele Fehlerursachen
auflsen kann (Punkt 1 in Bild 1). Da das schon ausgeschlossen. Testen Sie einen
funktioniert, zeigt die Ausgabe als Stan- An dieser Stelle ist die Namensauflsung Dauerping mit
dardserver fr diese nslookup-Befehlszeile von der bergeordneten zur untergeord-
den DNS-Server 10.0.0.11 mit seinem neten Domne hergestellt. Sie mssen ping IP-Adresse -t
FQDN "dc01.contoso.com" an. Wre an noch die Namensauflsung von der un-
dieser Stelle eine Fehlermeldung erschie- tergeordneten zur bergeordneten Do- um festzustellen, ob Netzwerkpakete ver-
nen, zum Beispiel, dass der Servername mne herstellen. Die beste Variante hierzu loren gehen oder bei manchen Paketen
fr 10.0.0.11 nicht bekannt ist, bedeutet ist eine Weiterleitung: die Antwortzeit nach oben geht. Stellen
das, dass der DNS-Server, der in den IP- 1. Klicken Sie dazu mit der rechten Maus- Sie bei Problemen mit der Namensaufl-
Einstellungen des lokalen Rechners kon- taste im Snap-In der DNS-Verwaltung sung auch sicher, dass in den Netzwerk-
figuriert ist, in seiner Reverse-Lookupzone auf "Bedingte Weiterleitungen". einstellungen der beteiligten Rechner der
den Servername nicht auflsen kann. In 2. Whlen Sie im Kontextmen den Ein- korrekte DNS-Server eingetragen ist. Am
diesem Fall sollten Sie die Konfiguration trag "Neue bedingte Weiterleitung" aus schnellsten starten Sie die Konfiguration
der Reverse-Lookupzone berprfen und und tragen Sie die bergeordnete DNS- der Netzwerkverbindung mit ncpa.cpl.
sicherstellen, dass alle Zeiger (Pointer) Domne ein.
korrekt eingetragen sind. Zu einer kon- 3. Tragen Sie die IP-Adresse eines DNS- Reverse-Zonen und IPv6-
sistenten Namensauflsung per DNS ge- Servers der bergeordneten Domne Einstellungen optimieren
hrt nicht nur die Auflsung von Server- ein. Wenn in der bergeordneten Do- Es ist fr die Stabilitt durchaus sinnvoll,
name zu IP (Forward), sondern auch von mne mehrere DNS-Server fr die Na- auch mit einer Reverse-Zone zu arbeiten.
IP zu Servernamen (Reverse). mensauflsung zustndig sind, hinter- Diese kann die IP-Adresse von Rechnern
legen Sie alle DNS-Server. zu einem Servernamen auflsen. Dadurch
In der nchsten Zeile (Punkt 2 in Bild 1) 4. Diesen Vorgang mssen Sie nicht auf vermeiden Sie Probleme bei der Namens-
soll der Rechnername "dc02.microsoft. jedem DNS-Server der untergeordne- auflsung. Reverse-Lookup-Zonen erstel-
com" vom Server 10.0.0.13 aufgelst wer- ten Domne durchfhren, wenn Sie die len Sie ber einen Assistenten in der DNS-
den. Der Server 10.0.0.13 kann diesen je- Eintrge auf die DNS-Server der un- Verwaltung, genauso wie primre
doch nicht auflsen. In diesem Fall liegt tergeordneten Domne replizieren las- DNS-Zonen. Whlen Sie die Erstellung
ein Problem auf dem Server 10.0.0.13 vor, sen. Das funktioniert allerdings erst einer IPv4-Zone und geben Sie das Sub-
der die Zone "microsoft.com" nicht erkennt. dann, wenn die untergeordnete Dom- netz ein, das die Zone abdecken soll. Nach
Sie sollten daher auf dem Server 10.0.0.13 ne erstellt worden ist. und nach tragen sich die Server in der Zo-
entweder in den Eigenschaften des DNS-
Servers auf der Registerkarte "Weiterlei- berprfen Sie, ob von der untergeord-
tungen" berprfen, ob eine Weiterleitung neten Domne die Domnencontroller
zu "microsoft.com" eingetragen werden der bergeordneten Domne aufgelst
muss, oder eine sekundre Zone fr "mi- werden knnen. Im Beispiel aus Bild 2 ist
crosoft.com" auf dem Server 10.0.0.13 an- "dc-berlin.de.contoso.int" ein untergeord-
legen, wenn dieser Rechnernamen fr die neter Domnencontroller und "dc01.con-
Zone "microsoft.com" auflsen knnen soll. toso.int" ein Domnencontroller der ber-
Als Nchstes wird versucht, den gleichen geordneten Domne "contoso.int". Achten
Servernamen (dc02.microsoft.com) ber Sie darauf, dass beim Einsatz von meh-
den Standardserver dieser nslookup-Be- reren untergeordneten Domnen auch Bild 2: Fr ein fehlerfreies Netzwerk muss die
fehlszeile aufzulsen (Punkt 3). Der Stan- die Namensauflsung zwischen den un- Namensauflsung sichergestellt sein.

www.it-administrator.de Juli 2016 39


Praxis D N S - Tr o u b l e s h o o t i n g

WinDir%\System32\config\netlogon.dns",
die sich mit einem Editor auch anzeigen
lsst. Fehlen Eintrge in den DNS-Zonen,
die das Active Directory bentigt, ist es
meist hilfreich, wenn Sie den Befehl dcdiag
/fix ausfhren. Dabei versucht das Tool,
auch fehlende Eintrge aus der Datei "net-
logon.dns" einzubauen. Danach sollte die
Bild 3: Durch einen weniger optimalen IPv6-Eintrag der Netzwerkverbindung von DNS-Servern Namensauflsung wieder funktionieren.
erhalten Sie Fehlermeldungen bei der Namensauflsung.
Anschlieend sollten die Eintrge recht
ne ein. Sie knnen das mit ipconfig /regis- Fehlerbehebung nicht jedes Mal die beiden schnell auf dem DNS aktualisiert sein. Soll-
terdns beschleunigen. In Ausnahmefllen Dienste oder den ganzen Server neu star- te das dynamische Aktualisieren noch im-
kann es vorkommen, dass die Aktualisie- ten wollen, knnen Sie in der Eingabeauf- mer nicht funktionieren, berprfen Sie
rung der Reverse-Lookupzone nicht funk- forderung mit dem Befehl ipconfig/regis- in den Eigenschaften der Zone, ob die dy-
tioniert. Der Server ist zwar in der For- terdns eine manuelle Aktualisierung der namische Aktualisierung aktiviert ist.
ward-Zone hinterlegt, aber nicht in der Eintrge auf dem DNS durchfhren. Wenn sich an der Zone auch Arbeitssta-
Reverse-Zone. In diesem Fall knnen Sie tionen und Server dynamisch registrieren
einfach den Eintrag des Servers manuell DNS-Eintrge reparieren sollen, die nicht Mitglied der Gesamtstruk-
ergnzen. Dazu mssen Sie lediglich einen Zustzlich knnen Sie mit dem nslookup- tur sind, knnen Sie auch die Option
neuen Zeiger (Pointer) erstellen. Werkzeug auch die SRV-Records des AD "Nicht sichere und sichere" aktivieren.
berprfen. Clients knnen im DNS nach-
Auf den Servern sollten Sie in den Ein- fragen, welcher Host im Netzwerk fr die Domnencontroller
stellungen von IPv6 noch das automati- einzelnen Serverdienste verantwortlich ist. werden nicht gefunden
sche Abrufen der IP-Adresse aktivieren, Das AD baut stark auf diese SRV-Records Erhalten Clients oder Server die Meldung,
da ansonsten der Eintrag "::1" Fehler bei auf. Aus diesem Grund ist eine Diagnose dass der DC nicht erreicht wird, sollten
der lokalen berprfung von IP-Adressen dieser Eintrge mit nslookup durchaus Sie auf den beteiligten Computern zu-
erzeugt. Das spielt zwar generell fr die sinnvoll. Jeder Domnencontroller im AD nchst per Ping testen, ob eine Verbindung
Stabilitt keine Rolle, ist aber nicht ideal hat neben seinem Host-A-Namen zum zur IP-Adresse des Servers funktioniert.
bei Tests und der Anzeige der korrekten Beispiel "dc01.contoso.com" noch einen Klappt das, stellen Sie sicher, dass in den
Namen. Standardmig versucht beispiels- zugehrigen CNAME, der das so genannte Netzwerkeinstellungen der Server die IP-
weise Windows Server 2012 R2 den Na- DSA (Directory System Agent)-Objekt sei- Adresse eines DNS-Servers eingetragen
men nach der IPv6-Adresse aufzulsen, ner NTDS-Settings darstellt. Dieses DSA- ist, der den DC auflsen kann. Auch auf
was in unschnen Meldungen resultiert. Objekt ist als SRV-Record im DNS unter- den DCs selbst mssen in den Netzwerk-
halb der Zone der Domne unter dem einstellungen die DNS-Server so gesetzt
Unabhngig davon, ob Sie IPv6 verwen- Knoten "_msdcs" zu finden. sein, dass die Auflsung funktioniert.
den, sollten Sie den Eintrag in der IPv6-
Einstellung der Netzwerkverbindung des Der CNAME ist die GUID dieses DSA- Haben Sie diese Grundlagentests durch-
DNS-Servers auf "DNS-Serveradresse au- Objektes. Domnencontroller versuchen gefhrt, aber die Auflsung funktioniert
tomatisch beziehen" setzen. Bei den IPv4- ihren Replikationspartner nicht mit dem noch immer nicht, fehlen unter Umstn-
Einstellungen tragen Sie entweder die IP- herkmmlichen Host-A-Eintrag aufzul- den DNS-Eintrge der DCs in den DNS-
Adresse des lokalen Servers ein oder die sen, sondern mit dem hinterlegten C- Zonen. Diese Einstellungen finden Sie un-
IP-Adresse eines anderen DNS-Servers im NAME. Ein Domnencontroller versucht ter "_msdcs" auf den DNS-Servern. Auf
Netzwerk. Sie sollten als primre DNS- nach der erfolglosen Namensauflsung den DCs finden Sie solche Fehler am
Server-Adresse immer eine IP-Adresse ei- des CNAME eines DCs, einen Host-A- schnellsten, wenn Sie dcdiag in der Einga-
nes anderen DNS-Servers im Netzwerk Eintrag zu finden. Schlgt auch das fehl, beaufforderung eingeben. berprfen Sie
verwenden und erst als sekundre seine versucht der DC den Namen mit NetBIOS auch mit nltest /dsgetsite, ob der DC dem
eigene. Wenn der DNS-Cache auf dem aufzulsen, entweder ber Broadcast oder richtigen Active Directory-Standort zu-
Rechner noch einen falschen Eintrag ent- einen WINS-Server. Jeder DC bentigt ei- gewiesen ist. Mit
hlt, den Sie zuvor bereits berichtigt haben, nen eindeutigen CNAME, der wiederum
lschen Sie diesen mit ipconfig /flushdns. auf seinen Host-A-Eintrag verweist. ber- nltest /dclist:NetBIOS-Name der
prfen Sie bei Replikationsproblemen, ob Domne
Startet ein Windows-Client, registriert er diese Eintrge vorhanden sind.
sich automatisch am DNS, wenn die loka- lassen Sie sich eine Liste aller Domnen-
len Dienste (Anmeldedienst und DNS- Alle SRV-Records vom Active Directory controller einer entsprechenden Domne
Client) gestartet werden. Da Sie bei einer befinden sich parallel in der Datei "\% anzeigen. Die Eintrge sollten als FQDN

40 Juli 2016 www.it-administrator.de


D N S - Tr o u b l e s h o o t i n g Praxis

aufgelistet sein. Ebenfalls ein wichtiger Erhalten Sie Fehler, sollten Sie zunchst Zustzlich sollten Sie berprfen, ob alle
Befehl ist den Server neu starten und danach si- Domnencontroller korrekt im AD re-
cherstellen, welche Eintrge es in der Er- gistriert sind. Dazu verwenden Sie nltest
nltest /dsgetdc:NetBIOS-Name der eignisanzeige gibt und ob alle Dienste ge- /dclist:Contoso. berprfen Sie fr die
Domne startet sind, zum Beispiel der Systemdienst einzelnen DCs, ob sie ihren eigenen
fr den DNS-Server und der Systemdienst Standort kennen: nltest /dsgetsite.
Dieser Befehl listet Name, IP-Adresse, fr das Active Directory.
GUID, FQDN des Active Directory und Achten Sie darauf, dass alle DCs mit ih-
weitere Informationen auf. Alle Informa- berprfen Sie alle Fehler in dcdiag und rem DNS-Namen erscheinen. Ist das
tionen sollten frei von Fehlern sein. suchen Sie danach im Internet. Mit nicht der Fall, berprfen Sie, ob auf dem
DC der richtige DNS-Server eingetragen
Starten Sie mit net stop netlogon und dann dcdiag /v >c:\temp\Dateiname.txt ist, in der DNS-Zone der Server und des-
net start netlogon den Anmeldedienst auf sen IP-Adresse aufgenommen wurde und
dem Domnencontroller neu. Beim Star- knnen Sie alle Daten direkt in eine Text- schlielich dass die Namensauflsung mit
ten versucht der Dienst, die Daten der datei umleiten lassen, daraus kopieren nslookup funktioniert.
Datei "netlogon.dns" erneut im DNS zu und nach Fehlern suchen.
registrieren. Gibt es hierbei Probleme, Der "Knowledge Consistency Checker"
finden Sie im Ereignisprotokoll unter Die verschiedenen Advertising-Tests und (KCC) verbindet die Domnencontroller
"System" einen Eintrag des Diensts, der die Tests der FSMO-Rollen mssen auf der verschiedenen Standorte und erstellt
bei der Problemlsung weiterhilft. jeden Fall problemlos funktionieren. Zu- automatisch eine Replikationstopologie
sammen mit nslookup und ping knnen auf Basis der definierten Zeitplne und
Auch nltest /dsregdns hilft oft bei Proble- Sie auf diesem Weg auch die Namensauf- Standortverknpfungen. Funktioniert eine
men in der DNS-Registrierung. Funktio- lsung und Kommunikation der DCs un- Replikationsverbindung nicht, mssen Sie
niert die erneute Registrierung durch Neu- tereinander testen. Mit Repadmin /show- fr jeden Server die Server-GUID ausle-
start des Anmeldediensts nicht, lschen reps erhalten Sie die Replikationen der sen. Dazu verwenden Sie repadmin /show-
Sie die DNS-Zone "_msdcs" und die er- Domnencontroller. Knnen sich einzelne reps. Jeder Server zeigt im Fenster die
stellte Delegierung ebenfalls. Starten Sie Domnencontroller nicht replizieren, se- DSA-Objekt-GUID an. Diese mssen Sie
dann den Anmeldedienst neu, liest dieser hen Sie recht schnell, welcher DC die fr das Hinzufgen einer Verbindung ver-
die Daten von "netlogon.dns" ein, erstellt Quelle ist. Mit wenden. Die GUID nutzen Sie anschlie-
die Zone "_msdcs" neu und schreibt die end mit dem Befehl repadmin /add. Der
Eintrge wieder in die Zone. Testen Sie repadmin /showreps >c:\Dateiname.txt Domnennamen fr dieses Beispiel ist
anschlieend wieder mit dcdiag, ob die "contoso.int". Die Server-GUIDs fr die
Probleme behoben sind. Einen ausfhr- lassen Sie die Daten in eine Textdatei um- beiden DCs sind in diesem Beispiel:
lichen Test fhren Sie mit dcdiag /v durch. leiten und ber - DC1 GUID = e8b4bce7-13d4-46bb-
b521-8a8ccfe4ac06
DCs berprfen repadmin /showreps * /csv - DC5 GUID = d48b4bce7-13d4-444bb-
Um Fehler bei der Active-Directory-Re- >c:\Dateiname.csv b521-7a8ccfe4ac06
plikation zu beheben, sollten Sie sicher-
stellen, dass die Namensauflsung im in eine CSV-Datei. Diese knnen Sie zum Unter "Active-Directory-Standorte und
Netzwerk funktioniert. Diese ist Grund- Beispiel in Excel importieren, um Fehler -Dienste" lschen Sie alle Verbindungs-
lage fr die AD-Replikation. Mit dcdiag besser beheben zu knnen. objekte. Erstellen Sie als Nchstes eine
/v lassen Sie eine grndliche berprfung neue Verbindung vom defekten DC zu
des Active Directory durchfhren. Er- berprfen Sie in der Konsole "Active Di- einem funktionierenden DC:
scheinen hier Fehler, haben Sie oft schon rectory-Standorte und Dienste" im Be-
die Ursache fr Replikationsfehler gefun- reich "Sites / Name des Standortes / Ser- repadmin /add "cn=configuration,
den. Geben Sie die Fehler in einer Such- ver", ob alle Domnencontroller aufgelistet dc=contoso,dc=int" e8b4bce7-
maschine ein, erhalten Sie Hinweise zur wurden. Unterhalb jedes DC finden Sie 13d4-46bb-b521-8a8ccfe4ac06.
Fehlerbehebung. Mit dcdiag /a berprfen noch den Eintrag "NTDS Settings". Klicken _msdcs.contoso.int d48b4bce7-
Sie alle DCs am aktuellen AD-Standort, Sie auf diesen, sehen Sie rechts im Fenster 13d4-444bb-b521-a8ccfe4ac06.
dcdiag /e berprft alle DCs in der Ge- die Replikationsverbindungen mit anderen _msdcs.contoso.int
samtstruktur. Um nur die Fehler anzu- DCs. Diese werden automatisch erstellt.
zeigen, verwenden Sie dcdiag /q. Wollen ber das Kontextmen knnen Sie ma- In Ihrer Umgebung verwenden Sie die ent-
Sie nur einen einzelnen DC ber das nuell eine Replikation starten. Erscheint sprechenden Server-GUIDs und Dom-
Netzwerk testen, verwenden Sie hier ein Fehler, mssen Sie berprfen, nennamen. Whrend dieser Prozedur kann
warum die Domnencontroller nicht mit- der Fehler 8441 ("Distinguished Name al-
dcdiag /s:Name des DC einander kommunizieren knnen. ready exists") erscheinen. In diesem Fall

www.it-administrator.de Juli 2016 41


Praxis D N S - Tr o u b l e s h o o t i n g

ist die Verbindung schon vorhanden. - Ist der Benutzer/Computer in der rich- sen Sie die Auswertungsdatei aber nicht
Fhren Sie eine vollstndige Replikation tigen OU, auf welche die Richtlinie an- nur im Netzwerk speichern, sondern ge-
ber die erstellte Verbindung durch. Ver- gewendet wird? ben dem Dateinamen auch noch den je-
wenden Sie dazu den folgenden Befehl: - Versuchen Sie die Richtlinie auf eine weiligen Rechnernamen des ausgewerte-
Sicherheitsgruppe anzuwenden? Dies ten Rechners mit:
repadmin /sync cn=configuration, ist nicht ohne weiteres mglich.
dc=contoso,dc=int DC1 e8b4bce7- - Stimmt die Vererbung? In welcher gplogview -o \\Server\Freigabe\
13d4-46bb-b521-8a8ccfe4ac06 /force Reihenfolge starten die GPOs? computername-gpevent.txt
/full - Haben Sie etwas an der standardmi-
gen Vererbung der Richtlinie verndert? Sie knnen auch eine HTML-Datei als
Stellen Sie danach im Snap-In "Active Di- - Haben Sie irgendwo Erzwungen oder Bericht erstellen lassen:
rectory-Standorte und -Dienste" sicher, Vererbung deaktivieren aktiviert?
dass es wieder automatisch generierte Ver- - Geben Sie auf dem PC in der Eingabe- gplogview -h -o \\Server\Freigabe\
bindungsobjekte von der defekten Maschi- aufforderung als angemeldeter Benutzer computername-gpevent.html
ne zum funktionierenden DC gibt. Stellen gpresult > gp.txt ein, um sich das Er-
Sie danach sicher, dass die Replikation in gebnis der Richtlinie anzeigen zu lassen. Im HTML-Bericht zeigt das Tool auch
alle Richtungen funktioniert. Auerdem Farben an. Je rtlicher der Eintrag im Feld
sollten Sie berprfen, ob die einzelnen Das Windows-MMC-Snap-In "Richtlini- "Activity Id" ist, umso gravierender ist der
FSMO-Rollen im Netzwerk bekannt sind. energebnissatz" bietet eine grafische Ober- Fehler. Das Tool kann die Anwendung
Diese lassen Sie sich gebndelt mit flche und wertet die angewendeten der Gruppenrichtlinien aber auch in Echt-
Richtlinien aus. Sie knnen sich den zeit berwachen. Dazu ffnen Sie eine
netdom query fsmo Richtlinienergebnissatz auf einer Arbeits- Befehlszeile mit Administratorrechten
station ber "MMC/Datei/Snap-In hin- und starten die Echtzeitberwachung mit
anzeigen. Einzeln nutzen Sie den Befehl zufgen / Richtlinienergebnissatz" anzei- gplogview -m.
mit folgenden Optionen: gen lassen. Eine weitere Mglichkeit ist
- PDC-Master: die Eingabe von rsop.msc im Suchfeld des Das Tool berwacht jetzt den lokalen
dsquery server -hasfsmo pdc Startmens. Rechner auf die Anwendung von Grup-
- RID-Master: penrichtlinien. ffnen Sie jetzt eine zweite
dsquery server -hasfsmo rid Werden Gruppenrichtlinien auf einzelnen Befehlszeile und geben Sie in dieser den
- Infrastruktur-Master: Rechnern nicht korrekt angewendet, kn- Befehl gpupdate /force ein. Im Fenster mit
dsquery server -hasfsmo infr nen Sie das kostenlose Microsoft Tool Group Policy Log View sehen Sie die Aus-
- Schemamaster: "Group Policy Log View"[1] verwenden, wertung der Richtlinie.
dsquery server -hasfsmo schema um die Fehler genauer einzugrenzen. In-
- Domnennamenmaster: stallieren Sie das Tool auf einem Rechner, Fazit
dsquery server -hasfsmo name den Sie analysieren wollen. Anschlieend Die in diesem Artikel aufgezeigten Pro-
ffnen Sie eine Befehlszeile mit Adminis- bleme knnen jede Infrastruktur treffen
Probleme mit tratorrechten und wechseln in das Ver- und nach scheinbar geringfgigen nde-
Gruppenrichtlinien beheben zeichnis, in das Sie das Tool installiert ha- rungen auftreten. Und da diese Probleme
Falls Gruppenrichtlinien nicht funktio- ben. Zur berwachung der Gruppen- gravierende Auswirkungen auf die Funk-
nieren, knnen die Ursachen sehr unter- richtlinien nutzen Sie tion der gesamten Infrastruktur haben
schiedlich sein. Sie sollten Schritt fr knnen, soll unser Beitrag Manahmen
Schritt untersuchen, wo das Problem lie- gplogview -o gpevents.txt liefern, die schnelle Hilfe fr den Admi-
gen knnte. Legen Sie am besten fr die nistrator bringen. Gleichzeitig ist es denk-
unterschiedlichen Einstellungen verschie- Das Tool analysiert jetzt alle Eintrge der bar, dass weniger gravierende Probleme
dene Gruppenrichtlinien an und verknp- Gruppenrichtlinien und zeigt im Ver- schon lange im Netz akut sind. Sie brem-
fen Sie diese mit der entsprechenden OU zeichnis eine Textdatei an, in der die sen dies nicht so sehr aus, dass die IT-Ver-
oder der ganzen Domne. Bei der ber- GPO-Fehler gesammelt werden. Sie kn- antwortlichen es bemerken, fhren aber
prfung helfen noch folgende Punkte: nen das Tool auch in einem Anmelde- zu einem suboptimalen IT-Betrieb. Auch
- Stellen Sie sicher, dass die Clients den skript hinterlegen. Dadurch wird es auf hier sind die Vorgehensweisen dieses
DNS-Server verwenden, auf dem die jedem Rechner ausgefhrt, der das An- Workshops geeignet, den belttern auf
SRV-Records von Active Directory ge- meldeskript nutzt. Wenn Sie im Anmel- die Schliche zu kommen. (jp)
speichert sind. deskript die Datei mit dem Auswertungs-
- berprfen Sie mit nslookup, ob auf Ergebnis noch in einer Freigabe speich- Link-Codes
den Clients der Windows-Server auf- ern, knnen Sie gezielt die Verwendung
[1] Group Policy Log View
gelst werden kann. der Gruppenrichtlinien auf mehreren
E6P25
- Prfen der Ereignisanzeige auf Fehler. Rechnern berwachen. In diesem Fall las-

42 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


Der IT-Administrator ist
nicht nur zum Lesen da!
Sichern Sie sich unsere
schicken und pfiffigen
Admin-Accessoires:

Das kultige
IT-Administrator
T-Shirt

Der sportliche
IT-Administrator
Notebook-Rucksack

Der praktische Schuber fr


Ihre IT-Administrator Hefte!

JETZT im
n e - S h o p
Onl i
Abo- und Leserservice
IT-Administrator
h l t l i c h !
vertriebsunion meynen
Herr Stephan Orgel
er
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Praxis Windows 10 & Office 2016

Windows 10 und Office 2016 einfhren (4)

Windows-Bndiger
von Florian Frommherz

Nachdem Windows 10 und Office 2016 ihren Rollout


im Unternehmen erfahren haben, adressiert der
vierte Teil unserer Workshopreihe die Verwaltung
und gezielte Steuerung der Systeme. Wir zeigen die
Kontrolle einzelner Einstellungen mit Gruppenricht-
linien, um so beispielsweise das Startmen vorzuge-
ben oder die Sicherheit zu gewhrleisten.

elten wird Windows Endbenut- dows 10, lohnt sich ein er-
S zern im Unternehmen out of the neuter Blick in den "Poli-
box zur Verfgung gestellt. Vielmehr set- cyDefinitions"-Ordner.
zen die Administratoren Voreinstellun- Microsoft liefert die pas-
gen, die die tgliche Arbeit einfacher ma- senden ADMX-Dateien
chen oder untersttzen. hnlich wie seine nach Updates mit.
Vorfahren bietet Windows 10 eine Reihe
ntzlicher Gruppenrichtlinien, mit denen Es werden immer nur ein-
sich bereits zuvor vorhandene und neu zelne Dateien in den Cen-
hinzugekommene Funktionen kontrol- tral Store kopiert, niemals
lieren und voreinstellen lassen. der gesamte Ordner ber-
schrieben. Das gilt sowohl
Windows vorkonfigurieren fr den "PolicyDefini-
Die zentrale Verwaltung mit Gruppen- tions"-Ordner als auch die
richtlinien hnelt unter Windows 10 der Unterordner fr die jewei-
von Windows 8.1 oder frher. Auch die ligen Sprachen. Um die
Vorbereitungen sind identisch: Fr die Umgebung mit den neu-
Verwaltung von Windows 10 und Office esten Definitionen zu be-
2016 bentigt die Gruppenrichtlinienver- stcken, verschieben Sie Quelle: Jeffrey Thompson 123RF
waltungskonsole (GPMC) die korrekten alle neuen ADMX-Dateien
Definitionen fr neue Einstellungen. Die sowie die dazugehrenden ADML-Dateien beinhaltet die booleschen Werte "WAHR"
Definitionen fr verwaltete Windowsein- in die Unterordner fr die genutzten Spra- oder "FALSCH", um anzuzeigen, ob eine
stellungen sind in den administrativen chen. Fr jede ADMX-Datei mssen Sie Einstellung neu in Windows 10 hinzuge-
Vorlagen den ADMX-Dateien zu fin- zumindest die zugehrige ADML-Datei fgt wurde. Die Spalte ist auch "WAHR",
den. Die neuesten Definitionen fr Win- fr die Sprache "en-US" in den Sprachun- wenn eine neue Einstellung fr frhere
dows sind im Betriebssystem in "C:\Win- terordner kopieren. Gibt es Installationen Betriebssysteme eingefgt wurde die
dows\PolicyDefinitions" abgelegt. der GPMC in anderen Sprachen, knnen bersicht ist also hilfreich, um sich auf
Alternativ bietet Microsoft die Definitio- weitere Sprachordner nachgefhrt werden. den neuesten Stand der verfgbaren
nen zum Download an [1]. Ein kurzer Richtlinieneinstellungen zu bringen. Fr
Blick auf die Zeitstempel der entpackten Einen guten berblick ber neue Einstel- Office 2016 existiert das Spreadsheet
Dateien verrt, welche Definitionen die lungen finden Sie im "Group Policy Set- ebenfalls es ist im Installationspaket der
neuesten sind. Nur die neuesten Defini- tings Reference Spreadsheet" [2], das alle ADMX-Vorlagen fr Office enthalten und
tionen kopieren Sie dann auf den AD- verfgbaren Gruppenrichtlinieneinstel- im Unterordner "Admin" nach dem Ent-
SYSVOL und legen sie im Ordner "\\con- lungen auflistet. Interessieren Sie sich spe- packen zu finden.
toso.com\SYSVOL\contoso.com\policies\ ziell fr nderungen hinsichtlich Win-
PolicyDefinitions" ab. Nach Systemup- dows 10, laden Sie das Spreadsheet "TP4 Neue Funktionen konfigurieren
dates, etwa einem neuen Windows-Build Policy Settings Reference" (ebenfalls unter Das Ausrollen von Einstellungen per
oder dem Geburtstagsupdate fr Win- [2] zu finden) herunter. Die Spalte "H" Gruppenrichtlinien ist in den seltensten

44 Juli 2016 www.it-administrator.de


Windows 10 & Office 2016 Praxis

Fllen ein Selbstzweck Administratoren


verfolgen typischerweise unternehmens-
dienliche Ziele. Dazu gehren beispiels-
weise die Bereitstellung einfacher Links
oder Einbettung von Dateiablagen in pro-
minente Pltze des Betriebssystems, wo
Benutzer sie finden, und das Deaktivieren
von Einstellungen, die im Unternehmen
nicht sinnvoll sind. Auch von der IT-Si-
cherheitsabteilung nicht gewnschte Pa-
rameter werden angepasst oder Wind-
owsstandards den Gegebenheiten des
Unternehmens angeglichen.

Wir wollen im Folgenden einige Einstel-


lungen fr Windows 10 konfigurieren. Bild 1: Microsoft liefert zu neuen Versionen von Windows und Office eine bersicht neuer
Den Anfang macht der Edge-Browser, Einstellungen in der allgemeinen Einstellungsreferenz.
der seine eigenen Einstellungen fr Richt-
linien mit sich bringt und nicht mit den Sie "Turn off address bar search sugges- up-Blocker, die Browser Extensions und
bisher verfgbaren Internet Explorer-Set- tions". Eine Vorgabe fr Favoriten fr der Password Manager lassen sich per
tings gefttert wird. Dabei fllt sofort auf, Edge steuern Sie mit "Configure Favo- Killswitch in den Richtlinien komplett
dass die Anzahl der verfgbaren Einstel- rites". Dabei geben Sie bei der Aktivie- abschalten.
lungen im Vergleich zum Internet Explo- rung der Einstellung ein Key-Wert-Paar
rer sehr klein ist. an, das als Key den Lesenamen einer fa- Vielerorts sind Funktionen rund um Au-
vorisierten Webseite und als Wert die thentifizierung und Domnenpassworte
Einige wichtige GPO-Einstellungen sind URL trgt. Die Liste wird fr Benutzer nur dann als "erlaubt" deklariert, wenn sie
allerdings schon verfgbar, die Sie in "User nachtrglich importiert und mit der Lis- von der IT ausgiebig getestet und Benutzer
Configuration" oder "Computer Configu- te der Benutzerfavoriten zusammenge- entsprechend geschult wurden. Wollen
ration / Policies / Administrative Templates fhrt. Benutzer drfen also ihre zuvor Sie "Windows Hello" und die zugehrigen
/ Microsoft Edge" wiederfinden. Suchen genutzten Favoriten behalten, falls vor- Passport-Komponenten reglementieren,
Sie nach "Edge" im erwhnten Windows- handen. Auch drfen Benutzer weiter- nutzen Sie die Einstellungen in "Computer
10-Einstellungsspread-sheet, mssen Sie hin neue Favoriten hinzufgen und ihre Configuration / Policies / Administrative
die Suchergebnisse fr "Edge UI" ausklam- Vorgaben lschen. Templates / Windows Components". ber
mern. Edge UI wurde mit Windows 8.1 das Setting "Use Microsoft Passport for
entwickelt, um die Gestensteuerung per Die Einstellung "Send all intranet sites to Work" schalten Sie Passport komplett ab
Fingerwischen oder Maus aus den Bild- Internet Explorer 11" ist dann interessant, und verhindern damit die Nutzung von
schirmrndern abzubilden. wenn Kompatibilittsprobleme mit inter- Windows Hello fr Unternehmensbenut-
nen Webseiten zu befrchten sind. Die zer. Per OS-Vorgabe knnen Benutzer mit
Fr den Anfang setzen wir die Startseite Einstellung bewirkt, dass Edge die Web- Windows Hello Anmeldedaten ihrer Un-
fr Benutzer in Edge: Dazu konfigurieren seite im Internet Explorer ffnet, wenn ternehmensdomne erstellen und sich per
Sie "Configure Corporate Home Pages" der Browser erkennt, dass es sich um eine Gesichtserkennung oder Fingerabdruck
in "User Configuration\Policies\Admi- Intranetseite handelt. Das hilft bei Kom- am Domnen-PC anmelden. Soll dies
nistrative Templates\Microsoft Edge\". patibilittsproblemen, denn der IE ist wei- nicht mglich sein, mssen Sie Windows
Die Startseiten fr Edge mssen Sie dabei terhin besser steuerbar und mit Enterprise Passport und die Biometrieoptionen via
in Grer- beziehungsweise Kleinerklam- Mode und der Feinabstufung von Sicher- GPO verwalten. Das geht auch feingesteu-
mern einschlieen, etwa: "<http://www.it- heitsfeatures oder der Prsenz von ActiveX ert, indem Sie einzelne Personen mit Si-
administrator.de><https://intra.contoso. so zwingend notwendig flexibler. cherheitsfilterung von der Gruppenricht-
com><http://www.microsoft.com/>". Be- linie ausnehmen.
nutzer knnen die Liste nach Ausrollen Das aus dem IE bekannte Zonenmodell,
der Richtlinie nicht mehr ndern sie in das sich Webseiten packen lassen und Der gleiche Pfad in "Administrative Tem-
ist exklusiv. dann verschiedene Vertrauensstufen de- plates" erlaubt es Ihnen auch, PIN-Lnge
finieren lassen, existiert in Edge (noch) und -komplexitt fr Passport vorzugeben
Um die Suchergebnisvorschlge wh- nicht. Somit gibt es dazu auch keine sowie die Nutzung von Softwaretokens fr
rend des Eintippens von Suchbegriffen Richtlinien, die die Zuordnung erlauben. die Speicherung von Passport zu erlauben
auszuschalten einige Benutzer knnten Jedoch haben es die neuesten Edge-Funk- oder nicht. Soll Passport zum Einsatz kom-
sich dadurch genervt fhlen , setzen tionen in Richtlinien geschafft: Der Pop- men, Sie aber mit dem Rollout des bio-

www.it-administrator.de Juli 2016 45


Praxis Windows 10 & Office 2016

der zweiten Anmeldung allerdings frei-


schaltet (der Wert 0 wird somit gesetzt
und in der Folge nicht mehr durch die
Sperre "1" berschrieben).

Natrlich mssen die in der XML-Datei


referenzierten Anwendungen auch auf
den Zielcomputern vorhanden sein. Exis-
tieren Anwendungen nicht, die in der
Referenzmaschine Startmeneintrge be-
sitzen, bleiben die Positionen auf Zielma-
Bild 2: Mit den richtigen Einstellungen lsst sich eine Vorlage des Startmens ausrollen, das die schinen einfach leer.
Benutzer spter beliebig ndern knnen.
GPOs fr Office 2016
metrischen Logons zwecks Benutzertrai- lsst sich spter mit einem beliebigen Auch fr Office 2016 werden in Unter-
ning noch warten mssen, knnen Sie XML-Editor anpassen und verfeinern. Das nehmen gerne Voreinstellungen, etwa Spei-
Passport erlauben, die Biometrie-Optio- Deployment mit "Start Layout verbietet cherorte von Office-Vorlagen, das Verhal-
nen abzuschalten das geht via "Use Bio- Endbenutzern, das Startmen spter ma- ten der Programme mit Makros oder
metrics" und der Einstellung "Disabled". nuell zu ndern. Individuelle Anpassungen generelle Sicherheitseinstellungen, ausge-
von Benutzern sind dann verboten und rollt. Die Definition und Erstellung von
Startmen vorgeben werden vom System unterdrckt. Richtlinien fr Office funktioniert dabei
Damit sich Benutzer in Windows 10 hnlich wie fr Windows 10, muss jedoch
gleich wie zu Hause fhlen, kann es in- Etwas weniger restriktiv ist eine Variante, fr jede Office-Version neu ausgerollt wer-
teressant sein, das Startmen anzupassen, bei der Sie die notwendigen Registrie- den. Das Problem dabei ist, dass sich die
um Links wie Intranet, Unternehmens- rungsschlssel ausrollen, die nderungs- Speicherorte in der Registrierung, in der
anwendungen oder Office an das Start- restriktion aber nachtrglich berschrieben die GPO-Einstellungen gelagert sind, zwi-
men zu heften. Dabei muss es nicht wird das geht mit den "GP Preferences". schen den Office-Versionen unterscheiden.
zwingend um eine nicht mehr nderbare Dabei werden dieselben Registrierungs-
Zwangseinstellung gehen, sondern um einstellungen geschrieben wie mit der Microsoft lagert die Einstellungen in
eine Vorgabe, die Benutzer nach der ers- "Start Layout"-Einstellung aus den Admi- "HKEY" und "HKCU / Software / Policies/
ten Anmeldung an ihre Bedrfnisse an- nistrativen Vorlagen nur wird die Ein- Microsoft / Office / 16.0" und die Keys
passen knnen. Wichtig: Die Richtlinie stellung zur Restriktion des Mens gleich sind versionsabhngig. Das bedeutet, dass
ist nur wirksam auf Enterprise- und Edu- wieder aufgehoben. eine GPO, die Office 2013-Einstellungen
cation-Versionen von Windows 10. beinhaltet, keine Auswirkungen auf Office
Sie erstellen also eine neue GPO, in der 2016 hat. Dies ist Fluch und Segen zu-
Die Richtlinien bieten eine Administra- drei neue Registrierungseinstellungen gleich: Alle Einstellungen mssen Sie
tive Vorlage, die das Startmen fr Be- ausgerollt werden: "User Configuration / nochmal fr Office 2016 vornehmen, aber
nutzer festnagelt. Die Richtlinie "Start Preferences / Windows-Settings / Regis- das bietet wiederum die Chance, Verbes-
Layout" aus "User Configuration / Poli- try". Dort erstellen Sie drei Registry Items, serungen oder Anpassungen durchzufh-
cies / Administrative Templates / Start jeweils im Pfad "HKCU / Software / Po- ren. Denn bei der Umstellung der Office-
Menu and Taskbar (oder analog in licies / Microsoft / Windows / Explorer". Version oder der Einfhrung eines neuen
"Computer Configuration) erstellen Sie Das erste Item mit Order 1 ist ein REG_ Betriebssystems sind Endbenutzer in die-
mit einem Pfad zu einer XML-Konfigu- EXPAND_SZ-Wert mit dem Namen ser Hinsicht hufig leidensfhiger. Zu-
rationsdatei. Diese Datei liegt dabei idea- "StartLayoutPath" und enthlt den UNC- mindest erwarten sie, dass einige Einstel-
lerweise auf einem UNC-Share. Die Pfad zur XML-Datei, in der Sie das Lay- lungen anders aussehen als zuvor.
Struktur der XML-Datei gibt Microsoft out exportiert haben. Das nchste Item
vor [4] eine fertige XML-Datei expor- samt Order 2 ist ein DWORD-Eintrag Fr Office 2016 beinhaltet das ADMX-
tiert das PowerShell Cmdlet mit dem Key "LockedStartLayout" und Template [3] eine MSI-Datei, die sowohl
dem Wert "0". Als Order-3-Item tragen ADMX- und ADML-Dateien als auch das
Export-StartLayout -Path Sie nochmals "LockedStartLayout", dies- Office-Customization-Tool enthlt. Das
C:\Export\layout.XML mal allerdings mit dem Wert "1", ein. Der MSI entpackt alle Daten in einen ausge-
Trick hierbei ist, dass Sie unter dem whlten Ordner. Fr eine detaillierte Auf-
von einer Referenzmaschine, in der das "Common"-Tab das Setting "Apply once stellung der neuen und genderten Richt-
Startmen, die Icongruppen und die Icon- and do not re-apply" ankreuzen. Das be- linien zwischen Office 2013 und 2016
gren als Referenz vorkonfiguriert wer- wirkt, dass das Setting zuerst das Start- mssen Sie allerdings etwas Hand anle-
den. Die Datei ist leicht verstndlich und men fr Benutzer setzt und sperrt, bei gen: Microsoft liefert diese Details (noch)

46 Juli 2016 www.it-administrator.de


Windows 10 & Office 2016 Praxis

Bild 3: Um die nderungen in den GPO-Einstellungen fr Office zu finden, ist etwas Handarbeit erforderlich.

nicht frei zugnglich. Aber mit dem mit einem Haken. Via "Compare Files" wenige nderungen zu den Empfehlun-
"Spreadsheet Compare"-Werkzeug, das in laden Sie die Arbeitsversionen der beiden gen fr Windows 8 beinhalten. Das Werk-
Office Pro Plus enthalten ist, sollte es kein Dateien ins Tool und lassen den Vergleich zeug ldt unterschiedliche vorgeschlagene
Problem sein, diese Informationen he- errechnen. Die Unterschiede zeigt das Baselines zu Microsoftprodukten herunter
rauszufinden. Fr den Vergleich der bei- Tool an und exportiert sie bei Bedarf auch und zeigt diverse empfohlene Konfigu-
den Spreadsheets sind sowohl das 2013- in eine neue Excel-Datei. Die nderungen rationen fr ausgewhlte Szenarien an,
als auch das 2016-XLSX-Sheet notwendig. sind allerdings berschaubar und umfas- die dann per GPO konfiguriert werden
Sie legen eine Arbeitskopie der beiden sen berwiegend Sicherheitseinstellungen knnen. Fr Windows 10 existieren die
Dateien an und lschen darin jeweils die zu Makros aus dem Internet und wenigen folgenden Baselines: Bitlocker Security,
Spalten komplett, die versionsabhngige Einstellungen zu OneDrive. Computer Security, User Security, Cre-
Informationen beinhalten: "File Name", dential Guard, Domain Security. Die bei-
"Policy Path", "Registry Information". IT-Compliance einhalten den Baselines fr Sicherheit und User Ex-
Die IT-Sicherheit mchte sicher ein Wrt- perience finden sich in Computer
Natrlich gleichen sich die Spreadsheets chen mitreden, wenn es um neue Betriebs- Security und User Security.
nicht zu 100 Prozent das wre zu ein- systeme geht. Oft kommen verwendete
fach. Deshalb verschieben Sie die Spalten Protokolle und Windows-Funktionen, die Nach der Erstinstallation von SCM sind
noch so, dass beide Dateien die richtige Gefahrenpotential in den Augen der Si- die Windows-10-Baselines allerdings
Spaltenreihenfolge haben. Dann knnen cherheitsbeauftragten darstellen, auf den noch vorhanden. Die Aktualisierung er-
Sie "Spreadsheet Compare" nutzen. In den Prfstand. Fr Anhaltspunkte zu empfoh- folgt ber das Men "File" und "Check
Optionen des Tools versehen Sie die bei- lenen Hrtungseinstellungen von Micro- for Updates". Sie sollten diese Einstellun-
den Einstellungen "Process cell contents soft bietet sich der "Security Compliance gen als Vorschlge verstehen und die Sze-
in inserted rows/columns" und "Process Manager" (SCM) [5] an. Microsoft hat dort narien genau beachten. Die Baselines sind
cell contents in deleted rows/columns" neue Baselines verffentlicht, die einige nicht danach ausgerichtet, grtmgliche

Lesen Sie den IT-Administrator als E-Paper


Testen Sie kostenlos und unverbindlich die elektronische
IT-Administrator Leseprobe auf www.it-administrator.de.
Wann immer Sie mchten und wo immer Sie sich gerade befinden Volltextsuche,
Zoomfunktion und alle Verlinkungen inklusive.
Klicken Sie sich ab heute mit dem IT-Administrator einfach
von Seite zu Seite, von Rubrik zu Rubrik! Auch als App
frs iPad
Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:
und Android!
www.it-administrator.de/
magazin/epaper
Praxis Windows 10 & Office 2016

deaktivieren, das Setting dazu ist "Let


Windows apps access the microphone" im
selben Pfad.

Wer Benutzern die Synchronisation von


Einstellungen zwischen mehreren Gerten
verbieten muss, findet den entsprechenden
Schalter in "Computer Configuration / Ad-
ministrative Templates / Windows Com-
ponents / Sync your settings" bei der Ein-
stellung "Do not sync". Diese verwaltet alle
weiteren Einstellungen. Um mehr Fein-
steuerung zu betreiben, lassen Sie diese
Einstellung unangetastet und bedienen
sich der weiteren Einstellungen im selben
Pfad, die Einzelfunktionen in Windows
zur Einstellungssynchronisation steuern.
Bild 4: Vorschlge fr erhhte Sicherheit liefert der Security Compliance Manager.

Fazit
Kompatibilitt zu allen Applikationen und Wenn Cortana fr die User Experience Das Rollout von Windows 10 und Office
Mobilitt zu erreichen. Die Vorschlge und die tgliche Arbeit der Benutzer kei- 2016 bedingt, dass einige Einstellungen als
mssen also mit einem kritischen Auge ne Rolle spielt, schalten Sie die Assisten- Vorgaben voreingestellt oder gar erzwun-
betrachtet und pro Einstellung fr gut tin mit einem Killswitch in "Computer gen werden, um die User Experience und
oder nicht notwendig befunden werden. Configuration / Administrative Temp- die Adaption fr Endbenutzer so einfach
lates / Windows Components / Search" wie mglich zu gestalten. Teils sind Funk-
Am Ende der Durchsicht kann SCM und der Richtlinie "Allow Cortana" aus. tionen fr Windows 10 gar nicht ge-
dann ein Gruppenrichtlinien-Backup der Um zu verhindern, dass Benutzer sich wnscht, weil die Security Policy des Un-
Einstellungen erstellen, das dann in der fr Windows Insider Previews anmelden, ternehmens deren Nutzung verbietet. Mit
Testumgebung und spter der Produktion um mglicherweise neue, noch nicht ver- diesem vierten Teil der Workshopserie zu
in der Gruppenrichtlinienmanagement- waltete Windowsfunktionen zu erhalten, Windows 10 und Office 2016 schlieen
konsole eingespielt wird. Alternativ gibt stellen Sie dies in "Computer Configu- wir den berblick zu den gngigsten Kon-
es auch eine Exportfunktion nach Excel ration / Administrative Templates / Win- figurationen des Betriebssystems und der
damit die Freude beim Durchsehen per dows Components / Data Collection and Produktivsuite. Natrlich sind diese Ein-
Beamer in Meetings einfacher geteilt wer- Preview Builds" mit der Einstellung "Tog- stellungen stark an Unternehmensanfor-
den kann. gle user control over Insider builds" ab, derungen gebunden. (jp)
indem Sie diese auf "Disabled" setzen.
Telemetrie abschalten Damit werden die Insider-Preview-Op- Link-Codes
Ein beliebtes Diskussionsthema rund tionen fr Benutzer ausgegraut. Am sel-
[1] Administrative Templates fr
um Windows 10, das wir auch schon im ben Ort befindet sich "Allow Telemetry",
Windows 10 (Deutsch)
ersten Teil der Workshopserie angespro- das den Umfang der gesendeten Lauf-
G5P18
chen haben, ist die Sammlung von Te- zeitdaten an Microsoft bestimmt. Der
[2] Group Policy Settings Reference
lemetriedaten in Windows 10. Um Win- Wert "0 Security [Enterprise Only]" ist for Windows and Windows Server
dows 10 dieses Sammeln und Senden dabei empfehlenswert. Der Wert kann G7P21
abzugewhnen, ohne gleich dubiose nicht von Benutzern ber die UI gesetzt [3] Office 2016 Administrative Template
Drittprogramme aus dem Internet zu werden und umfasst nur sicherheitsrele- files (ADMX/ADML) and Office
laden, bedienen wir uns einer Reihe von vante, anonyme Events, die Microsoft zur Customization Tool
Registrierungseintrgen, die sich auch Bekmpfung von Sicherheitsproblemen G6P22
per GPO verteilen lassen. Microsoft hat nutzen kann. [4] Start Layout for Windows 10
verschiedene Vorschlge [6], um Win- Desktop Editions
dows 10 den Datentransport zu Micro- Hardware lsst sich ber mehrere Richt- G7P22
soft abzugewhnen. Der Artikel be- linien abgeschalten die Kamera etwa [5] Microsoft Security Compliance
schreibt in einer schnen Breite, wie sich ber "Let Windows apps access the came- Manager
G7P23
einzelne Funktionen, die Kontakt zu Mi- ra" mit der Einstellung "Force Deny" in
[6] Configure Windows 10 Devices to
crosoft-Diensten in der Cloud aufneh- "Computer Configuration / Administrative
stop Data Flow to Microsoft
men, abschalten lassen die wichtigsten Templates / Windows Components / App
G7P24
hier als Referenz in Krze. Privacy". Auch das Mikrofon knnen Sie

48 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


Kompetentes
Schnupperabo
sucht neugierige
Administratoren
Sie wissen, wie man Systeme
und Netzwerke am Laufen hlt.
Und das Magazin IT-Administrator wei,
wie es Sie dabei perfekt untersttzt:

Mit praxisnahen Workshops, aktuellen


Produkttests und ntzlichen Tipps und
Tricks fr den beruflichen Alltag.

Damit Sie sich Zeit,


Nerven und Kosten sparen.

e n S i e j e t z t
Test
A u s g a b e n zum
sechs i !
i s v o n d r e
Pre

Abo- und Leserservice IT-Administrator

shop.heinemann-verlag.de
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel Fax: 06123/9238-252
D-65341 Eltville leserservice@it-administrator.de
Windows Defender Advanced Threat Protection

Durchschaut
von Florian Frommherz

Traditioneller Virenschutz gengt den


heutigen Sicherheitsanforderungen lngst
nicht mehr. Das hat auch Microsoft erkannt
und erweitert Windows 10 mit dem fr
Sommer erwarteten Update. Dank eines
neuen Cloud-Dienstes sollen Unternehmen
Informationen zu gezielten Angriffen auf
ihr Netzwerk erhalten. Die Informationen
stehen dann konsolidiert in einem Portal
Qu
zur Verfgung. Wir werfen einen Vorab- ell
e:
dim
blick auf den neuen Service namens jul
1
23
Windows Defender Advanced RF

Threat Protection.

evice Guard, Windows Hello, deutlich im Post-Breach-Teil einer An- Von einem infizierten Client ausgehend
D Windows Passport, Credential griffskette, da Verhaltensdaten aus Win- lassen sich in weiteren Schritten Angriffe
Guard, Enterprise Data Protection (EDP) dows analysiert und im Fall eines hin- zu den lukrativen Zielen und Ressourcen
oder Device State Attestation heien die reichenden Verdachts als potenzieller planen und durchfhren. Diese Angriffe
neuen Sicherheitsfunktionen in Windows Angriff gewertet werden. sind nur schwer mit herkmmlicher AV-
10. Diese sollen vor den sich stets weiter- Software zu erkennen, da entweder Ze-
entwickelnden, modernen Angriffsme- Zentraler Anlaufpunkt ist ein Dashboard, ro-Day-Attacken gegen das Betriebssys-
thoden schtzen wie etwa dem Diebstahl das mgliche Angriffe auf den Unterneh- tem oder installierte Anwendungen
von Anmeldeinformationen, Zero-Day- mensrechnern auflistet und Administra- ausgenutzt werden oder bewusst Code
Angriffen und dem Kompromittieren des toren Gegenmanahmen und Bereini- und Angriffe ausgefhrt werden, die
Systems durch nderungen im Bootbe- gungsvorschlge an die Hand gibt. So nachweislich noch nicht erkannt wurden.
reich. Die meisten Funktionen sind pr- finden sich in dem Portal ungewhnliche
ventiver Art, um die Angriffsflche klein Vorgnge auf Windows-10-Clients wie- Die Angreifer sind damit sowohl ihren
zu halten. Sie sollen verdchtigen und der, die nicht von der Antivirenlsung Opfern als auch Standard-Sicherheitspro-
schdlichen Programmen und Diensten erkannt wurden. Dies kann der Fall sein, dukten immer mindestens einen Schritt
anhand heuristischer Methoden auf die weil bisher kein erkennbarer Schaden an- voraus. So betrgt der durchschnittliche
Schliche kommen. gerichtet wurde oder die Heuristik der Zeitraum zwischen Angriff und Erken-
AV-Software den Code noch nicht oder nung etwa 200 Tage. Jede zustzliche Hilfe
Ganz anders funktioniert "Windows De- mit zu geringer Erkennungssicherheit ka- bei der Erkennung mglicher Attacken
fender Advanced Threat Protection" tegorisieren konnte. ist daher willkommen. Hinzu kommt,
(ATP) und grenzt sich von den genann- dass sicherheitsrelevante Ereignisse lngst
ten Schutzmechanismen klar ab: Der Gezieltere Angriffe nicht mehr nur auf einzelnen Endpoints
Windows-Dienst zielt darauf ab, Unter- Unternehmen sehen sich vermehrt ge- analysiert werden knnen, sondern ein
nehmen Daten an die Hand zu geben, zielten Angriffen ausgesetzt: in Sicher- Gesamtbild ber das gesamte Netzwerk
um ungewhnliche Aktivitten oder gar heitskreisen "Targeted Attacks" genannt. hinweg ntig ist. Nur so lassen sich aus-
erfolgreiche Angriffe auf ihre Rechner Dabei werden Firmen nicht mit Standard- gefeilte Angriffe erkennen.
zu erkennen. Administratoren sollen mit malware und -Methoden attackiert, son-
diesen Erkenntnissen die passenden Ge- dern passgenau auf ihre Infrastruktur Genau hier soll ATP ansetzen. Gesam-
genmanahmen in die Wege leiten kn- angepasst. Ziel ist es, in aller Stille ein melte Ereignisse werden mit Hilfe von
nen. Damit positioniert Microsoft ATP Einfallstor in das Unternehmen zu bilden. Machine Learning rechnerbergreifend

50 Juli 2016 www.it-administrator.de


Windows Defender Advanced Threat Protection Praxis

Microsoft argumentiert entsprechend, dass


sie somit ein schnelles und detailliertes Bild
ber Attacken erzeugen und Kenntnisse
ber Einbrche bei einzelnen Kunden an-
deren Kunden zeitnah teilen knnen. In
der Tat klingt der Punkt plausibel: Micro-
Windows Defender ATP Cloud Service
soft ist eines der attraktivsten Ziele und
pre-breach breach post-breach dessen Cloud-Dienste werden von vielen
anderen, ebenfalls attraktiven Zielen un-
terschiedlicher Industrien genutzt inklu-
sive Regierungen. Durch die Masse der In-
pre-breach breach post-breach stallationen weltweit und die Vielzahl von
Servern, die Microsoft betreibt, lassen sich
einfacher Angriffsmuster, neue Attacken
und Malware erkennen und Gegenma-
pre-breach breach post-breach nahmen entwickeln.

Der Kern des Dienstes und damit das Un-


Bild 1: Sind Rechner kompromittiert, legen sie ein anderes Verhalten an den Tag. So greifen sie etwa terscheidungsmerkmal zu anderen Pro-
andere Systeme an. ATP erkennt die Unterschiede und setzt damit in der Post-Breach-Phase an. dukten besteht also in der Datenbasis und
dem Machine-Learning-Ansatz, den Mi-
analysiert und bei Abweichungen von der det. Kunden knnen ihre eigenen Daten crosoft ber eine Vielzahl anderer Ange-
Norm samt Risikobewertung ausgewie- einsehen, im Dashboard nach Stichwor- bote und Dienste erstellt. Daraus ergeben
sen. Dabei setzt ATP mehrere Ereignisse ten, Computern und Adressen suchen sich auch Gegenmanahmen, die Micro-
einzelner oder mehrerer Rechner in einen und dort von Algorithmen zur Erken- soft dafr findet und Kunden des Diens-
Kontext und kann das kombinierte Wis- nung von potentiellen Angriffen von Mi- tes vorschlagen kann.
sen nutzen, um genauere Gefahrenpoten- crosoft profitieren.
ziale auszuweisen. Einzelne ungewhn- Telemetrie zur
liche Aktionen mgen fr sich stehend Die Cloud hinter ATP enthlt eine umfas- Verfgung stellen
kein Problem darstellen eine Kombina- sende Verhaltensdatenbank und kann mit Der Leistungsumfang von ATP umfasst
tion aus ungewhnlichen Aktivitten und Hilfe von Definitionen zu aufflligen Soft- vier Komponenten: Advanced Attack De-
Diensten bekannter Anwendungen knn- ware- und Anwendungsverhalten Attacken tection, Deep File Analysis, Footprint Ser-
ten jedoch darauf hinweisen, dass Schad- erkennen. Die Erfahrungswerte, die Mi- vice und Threat Intelligence. Fr die
code sein Unwesen treibt und die Ma- crosoft aufgrund der breiten Installations- Threat Intelligence und Advanced Attack
schine fern der Norm agiert; und dann basis von Windows, der Attacken auf seine Detection werden Telemetrie- und Lauf-
zurecht eine hhere Risikobeurteilung er- eigenen Onlinedienste und der Interaktion zeitdaten des Betriebssystems zur Cloud
hlt als die Einzelaktivitten. mit Kunden ber das Cybersecurity-Center hochgeladen und ausgewertet. Das ist
erlangt, flieen mit in die Heuristiken ein. auch einer der Grnde, warum ATP nur
Windows Defender ATP ersetzt keines-
falls Antivirus, Antispam oder Firewalls,
sondern muss als Ergnzung zu den be-
stehenden Technologien verstanden wer-
den. ATP fhrt auch keine Vernderun-
gen an den Systemen durch. Prventive
Manahmen auf Clients wie Systemhr-
tung, die Verwendung nicht-privilegierter
Benutzeraccounts und Antivirensoftware
entfallen also definitiv nicht.

Analysepower in der Cloud


ATP besteht aus zwei Komponenten: dem
Hauptdienst in Windows 10, der System-
vorgnge analysiert, gegebenenfalls auf-
zeichnet, sammelt und anschlieend die
Telemetriedaten an die Cloud sendet, wo Bild 2: Administratoren sehen im ATP-Dashboard eine Zusammenfassung des
dann die Auswertung der Daten stattfin- Zustands der Windows-10-Maschinen inklusive erkannter Gefahren.

www.it-administrator.de Juli 2016 51


Praxis Windows Defender Advanced Threat Protection

enthalten bereits alle notwendigen Infor-


mationen, inklusive der zielgenauen Ko-
ordinaten fr Clients zum Report in den
dem Unternehmen zugeteilten Tenant.
Es sind also in der Regel keine hndischen
Anpassungen erforderlich.

Anlaufstelle Dashboard
Sind die Clients fr die Nutzung konfi-
guriert, sollten erste Reports und Daten
nach sptestens einer halben Stunde im
Portal auftauchen. Die Windows-10-
Rechner melden sich, sobald die Konfi-
Bild 3: Verdchtige Dateianhnge knnen im Portal direkt zur guration wirksam wird, in nahezu Real-
automatischen Analyse durch Microsoft hochgeladen werden. time. Das ATP-Dashboard ist mit dem
Azure Active Directory (AAD) einsetzbar,
fr Windows 10 nativ erhltlich ist: Die Die Telemetriekomponenten in Win- sodass Administratoren mit Single Sign-
Sammlung und Aufbereitung der Daten dows 10 werden zum groen Update in On auf das Portal zugreifen knnen. ATP
fr den Dienst bernehmen Telemetrie- Windows 10 eingepflegt. IT-Professio- wird dabei als Anwendung in das AAD
komponenten, die in das Betriebssystem nals mit Windows-Insider-Installation integriert. Unternehmen ohne AAD be-
eingebunden sind, um auch tief eingebet- haben die Komponenten bereits in den kommen ein Basis-AAD spendiert, das
tete Malware erkennen zu knnen und Vorabversionen integriert. Fr die Nut- die Benutzeraccounts fr die ATP-Admi-
an der richtigen Stelle Verhaltensmuster zung von ATP ist keine Domneninte- nistratoren bereithlt.
von Software ausfindig zu machen. gration ntig. Standalone-Rechner kn-
nen ebenso wie Domnenmitglieder fr Das Dashboard zeigt nach der Anmel-
Fr Unternehmen, die Windows 7 oder ATP verwendet werden. Es muss ledig- dung eine bersicht der Gesamtzahl der
Windows 8.1 einsetzen, bietet Microsoft lich gewhrleistet sein, dass die Maschine konfigurierten Computer, eine bersicht
die Sammlung und Interaktion mit dem entweder via GPOs oder SCCM verwal- der potenziellen Angriffe nach Angriffs-
Dienst ber System Center Endpoint Pro- tet werden kann. einschtzung, unter anderem "wichtig"
tection (SCEP) an. SCEP ist nach einem und "hoch". Auf dem Dashboard ist auch
Update dazu in der Lage, hnliche, wenn Das Deployment von Windows Defender ein Suchfeld eingebettet, in dem nach IP-
auch im Umfang limitierte, Erkennungs- ATP fr Unternehmen gleicht mehr einer Adressen, Webseiten, Computernamen
dienste fr diese Rechner zu leisten. Wei- Konfiguration der Clients als einem rich- und ausfhrbaren Dateien gesucht wer-
terentwicklungen bei ATP sowie dessen tigen Rollout Windows-10-Computer den kann. Bei der Suche nach einem be-
voller Funktionsumfang sind nur fr mit Enterprise-Edition besitzen bereits stimmten Computernamen soll der
Clients unter Windows 10 zu erwarten, alle notwendigen Komponenten fr den Dienst die zuletzt von der Maschine ge-
weshalb Microsoft SCEP auch als ber- Einsatz von ATP und die Interaktion mit sendeten Informationen auflisten. Die In-
gangslsung fr Unternehmen sieht, die dem Cloud-Dienst. Was fehlt, ist lediglich formationen und Ereignisse sind dabei
gerade den Windows-10-Rollout planen. die Konfiguration der Cloud-Komponen- so aufbereitet, dass sich einzelne Aktionen
ten, also des eindeutigen Tenants in der per Klick weiter ausklappen und detail-
Konfiguration statt Deployment Wolke, an den jeder Windows-10-Rech- lierter betrachten lassen. Hier kann das
Microsoft ist noch nicht wirklich spezi- ner seine Telemetriedaten melden soll. Portal besonders punkten, denn aus den
fisch, was die Anforderungen fr eine Diese Konfiguration geschieht durch eine Detailinformationen lsst sich herausle-
Nutzung des Windows-Dienstes samt von zwei mglichen Varianten: per Grup- sen, weshalb gewisse Aktionen als kritisch
Cloud-Backend anbelangt. Welche Win- penrichtlinien, die ein Skript zur nde- und verdchtig gelten.
dows-Editionen etwa in den Genuss von rung der Registry ausfhren, oder per
ATP kommen, ist noch nicht klar. Als si- System-Center-Configuration-Manager- Wird eine verdchtige IP-Adresse erkannt,
cherer Kandidat gilt die Enterprise-Vari- (SCCM)-Deploymentpaket. mit der der Computer einen Datenaus-
ante mit entsprechender Lizenzierung tausch ausgefhrt hat, kann speziell nach
ob Professional genutzt werden kann, Beim Einrichten des ATP-Portals, nach dieser IP-Adresse gesucht werden. Im Re-
drfte Microsoft nher am Verffentli- dem ersten Einloggen des Administrators,
chungsdatum bekanntgeben. Einige Hin- stellt Microsoft die erforderlichen De- Link-Codes
weise zur Zielgruppe der Unternehmen ploymentpakete zur Verfgung: der Ad-
[1] Blogeintrag zur
finden sich derweil in einem Blogeintrag ministrator whlt zwischen Group Policy Ankndigung von ATP
[1] von Terry Myersons, Executive Vice oder SCCM und kann dort vorbereitete G7P61
President Windows and Devices Group. Skriptpakete herunterladen. Die Pakete

52 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


Windows Defender Advanced Threat Protection Praxis

Analyse steht dann nach einigen Minuten


zur Verfgung in der Zwischenzeit kn-
nen andere Aufgaben im ATP-Portal
wahrgenommen werden, whrend der
Cloud-Dienst seine Arbeit verrichtet.

Fazit
Momentan ist ATP den Kunden im Win-
dows 10 Technical Adoption Program
(TAP) bei Microsoft vorbehalten. Doch
bereits in einigen Wochen soll der Dienst
fr Unternehmenskunden als Preview
nach Registrierung zur Verfgung stehen.
Die Nutzung erfordert allerdings, dass die
Windows-10-Maschinen mit dem aktu-
ellen Sommerupdate ausgestattet sind
Bild 4: Wenn Windows 10 Telemetriedaten in die Cloud ldt, knnen Administratoren die das lag zum Redaktionsschluss noch als
Vorgnge zentral betrachten und nach IP-Adressen, Vorgngen und Maschinen filtern. Preview im Windows-Insider-Programm
vor. Insgesamt ist ATP dahingehend in-
gelfall stehen dann weitere Rechner als teien hochladen, die dann analysiert wer- teressant, als dass Microsoft nicht nur
Suchergebnisse zur Verfgung, die eben- den. Dabei hat Microsoft mehrere auto- Heuristiken samt Codeverhalten lokal un-
falls mit dieser IP-Adresse kommuniziert matische Prozesse fr die Analyse erstellt. tersucht, sondern am Verhalten des Rech-
haben. Auf diesem Weg lassen sich wei- Unter anderem wird das potenziell schd- ners an sich Unstimmigkeiten erkennen
tere potenzielle Opfer ausfindig machen. liche, ausfhrbare Programm in einer kann. Die Sammlung der Telemetriedaten
Wegwerf-VM ausgefhrt. So kann der wird durch den Cloud-Dienst gesttzt, bei
Selbst aktiv werden knnen Admins bei mgliche Schaden, sollte das Programm dem Microsoft verspricht, weiter an den
der Deep File Analysis im ATP-Dash- tatschlich bswillig sein, abgeschtzt und Algorithmen und den Verhaltenserken-
board. Dort lassen sich verdchtige Da- dokumentiert werden. Das Ergebnis der nungen zu arbeiten. (dr)

IT-Bcher fr Admins!
Erweitern Sie Ihr Know-how: Unsere Bcher
zu SharePoint 2016, Ubuntu Server, Samba 4,
Windows 10 und Citrix XenMobile untersttzen
Sie zuverlssig bei der Arbeit. Ausfhrliche Lese-
proben finden Sie auf der Website.

Unser vollstndiges Programm:


www.rheinwerk-verlag.de
1.093 Seiten, 49,90
ISBN 978-3-8362-4164-9

325 Seiten, 49,90


ISBN 978-3-8362-3882-3

Monatlich alle Neuheiten:


www.rheinwerk-verlag.de/newsletter
Qu
ell
User-Management in Containern e:
ok
su
n7
0

Wer bin ich?


12
3R
F

von Thorsten Scherf

Wer Container einsetzt, muss sich


zwangslufig auch mit der Frage
beschftigen, welcher Identity-Store
auf dem Host und in den Containern zum
Einsatz kommen soll. Hier stehen durchaus
mehrere Optionen zur Auswahl, die dieser
Artikel nher vorstellt.

st von Linux-Containern die Rede, den konfigurierten Backends. Hierbei Um nun den System Security Services
I sprechen die meisten Leute heute kann es sich um sudo- oder auch Host- Daemon in einem Container betreiben
ber Docker-Container, die auf einer re- Based-Access-Control-Regeln (HBAC) zu knnen, ist ein spezielles Image not-
gulren Linux-Plattform laufen. Immer handeln. wendig. Dieses sorgt dafr, dass Benutzer
hufiger kommen jedoch auch speziell auf dem Host, wie auch innerhalb der auf
fr den Betrieb von Containern angepass- Fr die Backends Active Directory und dem Host eingesetzten Container, authen-
te Betriebssystem-Varianten zum Einsatz. FreeIPA existieren eigene Tools, um den tifiziert und autorisiert werden knnen.
Im Fedora-Umfeld existiert hierfr die SSSD entsprechend zu konfigurieren. Zu Natrlich stehen ebenfalls die auf dem
Atomic-Plattform, mit der sich solche den Aufgaben der Konfiguration zhlt Backend-System hinterlegten Policy-In-
Hosts im Handumdrehen installieren las- neben dem Anpassen der Konfigurati- formationen zur Verfgung, sodass sich
sen. Zur Konfiguration kommt dabei hu- onsdatei "/etc/sssd/sssd.conf " beispiels- sehr genau festlegen lsst, welcher Benut-
fig das Tool cloud-init zum Einsatz, das weise auch der Download von CA-Zer- zer auf welchem Atomic-Host bezie-
mitgeliefert wird. Auch Benutzer und de- tifikaten oder Kerberos-Keytab-Dateien. hungsweise Container Zugriff erhlt.
ren Passwrter lassen sich mit diesem Fr das Enrollment eines Hosts in eine
Tool erzeugen, was allerdings ab einer ge- AD-Domne lsst sich das Tool realm Auch sudo-Regeln stehen seit einiger Zeit
wissen Gre der Container-Landschaft einsetzen, fr FreeIPA das Programm ipa- zur Verfgung. Die hierfr bentigte Bi-
nicht mehr skaliert. Dafr wren andere client-install. bliothek "libsss_sudo.so" ist mittlerweile
Mechanismen wnschenswert. Der Sys- in das Paket "sssd-client" gewandert, das
tem Security Services Daemon (SSSD) Atomic: Weniger ist mehr wiederum Teil des ostree-Images auf dem
erfllt diesen Wunsch. Auf einem Atomic Host sind diese Tools Atomic-Host ist. Bevor nun jedoch ein
jedoch nicht vorhanden, da hier die Ma- entsprechender SSSD-Container installiert
Der SSSD ist mittlerweile der Linux-Stan- xime gilt: Weniger ist mehr. Das heit, werden kann, ist der Host in einer vor-
dard, um Benutzer zu authentifizieren dass der Umfang der installierten Pakete
und zu autorisieren. Als Identity-Store absichtlich klein gehalten wird, da der Listing 1:
kann der Service im Backend sowohl auf Host ja eigentlich nur eine Laufzeitum- Einmalpasswort definieren
einen regulren LDAP-Server als auch gebung fr die eigentlichen Container zur # ipa host-add atomic.example.com --ip-ad-
auf ein Active Directory oder einen Free- Verfgung stellt. Smtliche Applikationen dress IP-Adresse --random
IPA-Server zurckgreifen. Die gewonne- laufen dabei in eigenstndigen Contai- ---------------------------------------
Added host "atomic.example.com"
nen Identity-Informationen hlt der nern. Das gilt somit auch fr Infrastruktur
---------------------------------------
Dienst in einem Cache vor und stellt diese bezogene Anwendungen wie beispiels- Host name: atomic.example.com
bei Bedarf den anfragenden Clients zur weise Monitoring- oder Logging-Tools Random password: aXZK2.465guA
Verfgung. Neben den eigentlichen Be- und eben auch Anwendungen wie den Password: True
Keytab: False
nutzer- und Gruppen-Daten bezieht der SSSD und die hiermit verbundenen Tools Managed by: atomic.example.com
Dienst auch Policy-Informationen von wie ipa-client-install oder realm.

54 Juli 2016 www.it-administrator.de


Open-Source-Tipp Praxis

Listing 2: Docker-Prozesse
# docker exec sssd ps axuwwf
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 294 0.0 0.0 48376 1700 ? Rs 07:44 0:00 ps axuwwf
root 1 0.0 0.0 11744 1524 ? Ss May03 0:00 /bin/bash /bin/run.sh
root 8 0.0 0.0 4352 376 ? S May03 0:00 tail -f /var/log/sssd/systemctl.log
root 13 0.0 0.0 145684 2952 ? Ss May03 0:04 /usr/sbin/sssd -D -f
root 14 0.0 0.0 243308 11272 ? S May03 0:02 \_ /usr/libexec/sssd/sssd_be --domain coe.muc.redhat.com --uid 0 --gid 0 --debug-to-files
root 16 0.0 0.0 161588 28484 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --debug-to-files
root 17 0.0 0.0 134656 3656 ? S May03 0:00 \_ /usr/libexec/sssd/sssd_sudo --uid 0 --gid 0 --debug-to-files
root 18 0.0 0.0 138988 3712 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --debug-to-files
root 19 0.0 0.0 134648 3652 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_ssh --uid 0 --gid 0 --debug-to-files
root 20 0.0 0.0 164716 4840 ? S May03 0:01 \_ /usr/libexec/sssd/sssd_pac --uid 0 --gid 0 --debug-to-files
root 293 0.0 0.0 4316 372 ? S 07:42 0:00 sleep 1000

handenen FreeIPA-Domne anzulegen. terlegt sind. Ist dies nicht der Fall, lassen dann im Container natrlich ebenfalls
blicherweise findet das Enrollment ber sich die bentigten Informationen auch zur Verfgung:
ein Konto mit den bentigten Rechten einfach mittels atomic bergeben:
statt. Alternativ kann jedoch auch ein Ein- # ssh admin-atraus-
mal-Passwort (OTP) fr den Host zum # atomic install fedora/sssd --pass- atomic.example.com
Einsatz kommen. Dieses ist zuvor auf dem word <otp> --domain example.com $ hostname
FreeIPA-System zu definieren (Listing 1). --realm EXAMPLE.COM --server atomic.example.com
ipa.example.com --hostname ato-
Docker-Image herunterladen mic.example.com $ id
Das bentigte Container-Image lsst sich uid=1221800000(admin)
auf einem Atomic-Host sehr einfach ber # docker run --rm=true --privileged gid=1221800000(admins)
das Tool atomic herunterladen. Mit Hilfe --net=host -v /:/host -e NAME=sssd groups=1221800000(admins) con-
der im Dockerfile enthaltenen Labels IN- -e IMAGE=fedora/sssd -e HOST=/host text=unconfined_u:unconfined_r:
STALL und UNINSTALL lsst sich ber fedora/sssd /bin/install.sh unconfined_t:s0-s0:c0.c1023
das Atomic-Tool ein entsprechender Con- --password <otp> --domain exam-
tainer erzeugen respektive wieder entfer- ple.com --realm EXAMPLE.COM $ sudo id
nen. Die Label enthalten entsprechende --server ipa.example.com uid=0(root) gid=0(root)
Anweisungen, wie Docker den Container groups=0(root) context=unconfi-
anlegen soll, und es lsst sich im An- Schlielich ist der Container mit dem fol- ned_u:unconfined_r:unconfined_t:
schluss auch ein Konfigurationsskript auf- genden Befehl zu starten: s0-s0:c0.c1023
rufen, um den Container entsprechend
anzupassen in diesem Fall heit das # atomic run fedora/sssd Fazit
Skript "/bin/install.sh". Wer sich das Do- Mit dem SSSD-Container-Image gestaltet
ckerfile nher ansehen mchte, findet un- Alternativ gelingt dies ber den Aufruf sich die Authentifizierung und Autori-
ter [1] die jeweils aktuelle Version. von "systemctl start sssd.service". Die auf sierung von Benutzern auf einem Con-
dem Atomic-Host vorhandene systemd- tainer-Host und auch innerhalb der Con-
Beim Aufruf von atomic install ist dann Unit-Datei fr den SSSD wurde entspre- tainer selbst sehr einfach. Das vorhan-
das zuvor zufllig generierte Passwort mit chend modifiziert, sodass durch eine Ak- dene Image bringt ein eigenes Konfigu-
anzugeben, das von ipa-client-install ver- tivierung des Services ebenfalls atomic rationsskript mit, sodass das Setup des
wendet wird, um sssd zu konfigurieren: run aufgerufen wird. Containers mit nur einem einzelnen
Kommando gelingt. Fr grere Umge-
# atomic install fedora/sssd --pass- SSSD luft im Container bungen ist ein SSSD-Container zu emp-
word <otp> Wirft man nun einen Blick auf die Pro- fehlen, da dieser Ansatz wesentlich besser
zess-Tabelle innerhalb des Containers, so skaliert, als die Benutzer einzeln lokal an-
Sollte das Image lokal noch nicht vorhan- lsst sich schn erkennen, dass dort nun zulegen. Ein weiterer Vorteil ist der au-
den sein, so ldt das Tool das Image aus der SSSD-Prozess aktiv ist (Listing 2). tomatische Zugriff auf zentrale sudo- und
Docker-Registry herunter und startet das HBAC-Regeln. (of)
Setup-Tool ipa-client-install, um den Host Ein SSH-Login von einem anderen Host
innerhalb der FreeIPA-Domne zu regis- in der gleichen FreeIPA-Domne auf den Link-Codes
trieren. Das setzt voraus, dass der Server- Atomic-Host sollte ab nun ohne Probleme [1] Fedora SSSD-Dockerfile
und auch der Kerberos-Realm als DNS funktionieren. Existieren fr den Benutzer G7PA1
Service-Records (DNS SRV-Records) hin- sudo-oder HBAC-Regeln, stehen diese

Link-Codes eingeben auf www.it-administrator.de Juli 2016 55


Social Engineering fr Fortgeschrittene

Mit allen
Wassern
gewaschen
von Thomas Gronenwald

Social Engineering also die Methode, das


Vertrauen von Anwendern auszunutzen und
diese zur Weitergabe von sensiblen Daten zu
verleiten wird bei Cyberkriminellen immer beliebter.

Quelle: alphaspirit 123RF


Der Grund: Benutzer lassen sich nicht so einfach scht-
zen wie etwa das Unternehmensnetzwerk. Besonders
im Visier stehen dabei hhere Angestellte mit Zugang
zu sensiblen Informationen. Dabei scheinen den
Angreifern nahezu alle Mittel recht.

as Thema Social Engineering mag nach dem Urlaub blieben die beiden in "Industriespionage. Der groe Angriff
D zwar einigen Anwendern aus der Kontakt. Auf Vorschlag des neuen Freun- auf den Mittelstand" auf den Fall ein. Na-
unternehmenseigenen Datenschutzunter- des fuhren sie unter anderem auch in ein trlich sind solche Kontakte nicht nur in
weisung bekannt sein, doch existieren nur Spielcasino. Als die Einstze am Spieltisch Urlauben, sondern auch auf Geschfts-
zu hufig viele falsche Vorstellungen. In und spter auch die Verluste immer reisen denkbar.
der Regel beginnt dies bereits damit, dass hher wurden, sprang der Bekannte so-
viele Endanwender annehmen, Cyberkri- fort ein und bat dem Verschuldeten ein Angriffsvektor Telefon
minelle oder Hacker wrden nur ber Freundschaftsdarlehen an. Dieser lie Neben dem persnlichen Kontakt kann
Phishing-Mails und geflschte Webseiten sich darauf ebenso ein wie auf die Einla- auch das Telefon als Einfallstor dienen.
versuchen, Daten zu stehlen. Die Realitt dung in ein Rotlicht-Etablissement. Dass Der Cyberkriminelle ruft dabei etwa
sieht jedoch wesentlich vielfltiger aus er den ganzen Abend von einem Unbe- beim IT-Support an und entschuldigt
besonders wenn es um leitende Angestellte kannten mit einer Handykamera fotogra- sich dafr, dass er seine Zugangsdaten
geht. Jede Form der Kommunikation kann fiert wurde, fiel ihm nicht auf. vergessen habe und dem Mitarbeiter jetzt
dabei heutzutage als Einfallstor dienen: so viel Mhe mache. Leider stehe man
Chat-Dienste, das Telefon / Smartphone, Bereits wenige Tage spter lie der falsche jedoch ziemlich unter Stress und msse
Fax-Nachrichten oder selbst Briefpost. Freund seine Maske fallen. Als Gegen- ganz schnell am Computer weiterarbei-
leistung fr die kompromittierenden Fo- ten. Am besten sei es daher, wenn das
Persnliche Ansprache tos und die Spielschulden sollte das Opfer Passwort einfach auf einen definierten
Social Engineering funktioniert bei h- die Vertriebsstrategien seines Unterneh- Wert zurckgesetzt werde. Der Angreifer
heren Angestellten auch durch persnli- mens offenlegen und eine detaillierte ist dabei bestens ber das Unternehmen
chen Kontakt, wie das nachfolgende Bei- Kundenliste samt Preiskalkulationen informiert und wird die Namen der Mit-
spiel beweist. Im Familienurlaub in bergeben. Darber hinaus verlangte der arbeiter des Helpdesks beziehungsweise
Griechenland freundete sich ein Ver- Erpresser das Passwort fr den Netz- deren Vorgesetzten kennen und sich so
triebsleiter eines Dsseldorfer Unterneh- werkzugang des Unternehmens. Nach das ntige Vertrauen erschleichen. Mg-
mens mit einem deutschen Urlauber an. langem Zgern tat der Vertriebsleiter das licherweise gibt er sich aber auch als neu-
Von Beginn an stimmte die Chemie einzig Richtige und offenbarte sich ge- er Mitarbeiter aus, dem solche Fehler ge-
man hatte gemeinsame Hobbies und in- genber seinem Vorgesetzten. Ausfhr- rade in der Anfangsphase ausgesprochen
teressierte sich fr dieselben Dinge. Auch lich geht Christian Schaaf in seinem Buch unangenehm sind.

56 Juli 2016 www.it-administrator.de


Security-Tipp Praxis

Andersherum kann sich der Angreifer auch Dabei nehmen die Angreifer besonders versuchen Angreifer, etwa mit Hilfe einer
als IT-Mitarbeiter ausgeben und den Be- Angestellte ins Visier, die Zugang zu sen- passenden Legende Zugang zu Broge-
nutzer nach seinem Passwort oder anderen siblen Geschfts- und Kundendaten haben, buden oder Unternehmensanlagen zu
sensiblen Informationen fragen. Reagiert an relevanten Projekten wie der Erfor- erlangen, um im Abfalleimer nach ver-
der Anwender zurckhaltend oder skep- schung und Entwicklung neuer Produkt- wertbarem Material zu suchen (Dumpster
tisch, wird sich der Social Engineer auf eine linien beteiligt sind, fr Geschftsprozesse Diving). Fr Angreifer haben nmlich
Zusage des Vorgesetzten berufen, der ver- wie Finanztransaktionen oder Einkauf ver- auch entsorgte Dokumente Wert. Ausge-
sprochen hat, dass der Mitarbeiter selbst- antwortlich oder autorisiert sind, diese ei- druckte E-Mails mit Kontaktdaten, No-
verstndlich kooperieren wird. Natrlich genmchtig durchzufhren, sowie ber tizen, Kalkulationstabellen, Skizzen oder
wird der Anrufer ber Detailwissen verf- hohe Sicherheitsfreigaben verfgen und Entwrfe von Dokumenten; alles kann
gen. Mglicherweise weist er auf Bedien- Zugang zu besonders geschtzten Berei- fr einen Angriff oder die Identifizierung
fehler, Netzwerkprobleme oder die Not- chen des IT-Netzwerkes haben. von Schwachstellen in Routinegeschfts-
wendigkeit einer Passwortnderung hin. prozessen genutzt werden.
Bleibt ein Angriff mittels personalisierter
In einer dritten Variante stellt sich der E-Mails erfolglos, werden in der Regel Effektive Schutzmanahmen
Angreifer als Mitglied der Geschftslei- Methoden im indirekten und direkten Um sich vor Social Engineering wirkungs-
tung vor, dem schnell eine dringende E- Kontakt mit einer Zielperson angewendet. voll schtzen zu knnen, muss das Unter-
Mail mit wichtigen Daten bersandt wer- Zu den indirekten Methoden gehren die nehmen zunchst seine Schwachstellen
den muss, die der ungeduldige Chef fr Observierung und Beschattung von Ziel- analysieren und kennen. Entscheidend ist
eine wichtige Besprechung bentigt. Bei personen, das Beobachten von Bild- es, die Mitarbeiter ber die Mglichkeiten,
Bedenken wird der Anrufer darauf ver- schirminhalten eines ffentlich benutzten Vorgehensweisen und Angriffsformen von
weisen, dass der zgerliche Mitarbeiter mobilen Gerts, Gesprche belauschen, Industriespionen aufzuklren. Der Mitar-
natrlich auch persnlich mit dem Chef Nutzung ungesicherter Funkschnittstellen beiter stellt nmlich nicht nur das grte
sprechen knne dieser sei jedoch bereits oder Durchsuchen des Hotelzimmers. Sicherheitsrisiko im Unternehmen dar, er
jetzt ausgesprochen verrgert ber die kann im Umkehrschluss auch der beste
Verzgerung. Die Mitarbeiterinnen und Identifizierung von Schwach- Schutz vor Angreifern und Cyberkrimi-
Mitarbeiter knnten also auch persnlich, stellen in der IT-Architektur nellen sein. Prinzipiell helfen einige gol-
am Telefon oder per Brief dazu verleitet Angreifer suchen oft nach Schwchen in dene Regeln, um sich vor Social-Enginee-
werden, vertrauliche Daten oder Wege zu IT-Systemen etwa in Form veralteter Pro- ring-Versuchen zu schtzen:
ihnen preiszugeben. grammversionen, die ber einen Zugang - Seien Sie zurckhaltend bei Ausknften.
zum Firmennetzwerk verfgen. An Mit- - Lassen Sie sich nicht unter Druck setzen.
Umfassende arbeiter, die solche Programme verwen- - Haben Sie den Mut, ein Gesprch zu
Vorarbeiten fr den Erfolg den, wird dann eine Schadsoftware ge- beenden.
Mitarbeiter sollten wissen, dass Angreifer sandt, die einen Exploit nutzt, um das - berprfen Sie die Identitt des Anru-
sich zunehmend Mhe geben, die poten- System zu infiltrieren. Zur direkten und fers, etwa durch einen Rckruf.
ziellen Opfer auszuforschen, um Angriffs- schnellen Identifizierung dieser Rechner - Geben Sie auf sensible Dokumente Acht.
punkte und Zugangswege zu finden. Profile wird als Methode ein fingierter Telefon- - Sprechen Sie fremde Personen an, die
in sozialen Netzwerken bieten in der Regel anruf genutzt. sich im Unternehmen befinden.
gengend Material, um eine fr das Opfer - Sicherheit geht vor Hflichkeit.
passende Geschichte zu erfinden, die die Angreifer arbeiten dabei mit einer so ge- - Seien Sie schweigsam in der ffentlich-
Basis des Angriffes bildet. Hufig sind diese nannten Legende einer plausibel klin- keit und whlerisch bei Ihren Ge-
Geschichten geknpft an: genden, aber erfundenen Geschichte, bei sprchspartnern.
- einen angeblichen Gefallen, der dem der ein Angreifer eine falsche Identitt - Die Offenbarung eines Fehlers darf
Opfer gegenber erwiesen wird, vorgibt. Zur Verifizierung von Legenden nicht bestraft werden.
- eine knstliche Verknappung der Zeit, dienen geflschte Visitenkarten, Liefer-
damit schnelle, unberlegte Entschei- scheine oder Arbeitsauftrge. Gleiches Fazit
dungen getroffen werden mssen, gilt fr Dienstkleidung, Fahrzeuge, Ak- Um an wertvolle Informationen zu gelan-
- einen Hinweis auf eine angebliche Ver- kreditierungen oder Arbeitsausweise von gen, scheinen Angreifern alle Mittel recht
pflichtung des Opfers, Dienstleistern. Telefonnummern auf ge- zu sein. Dabei geraten vor allem Personen
- das Ausnutzen von scheinbarer Attrak- flschten Visitenkarten fhren oft zu in den Fokus, die leicht zu korrumpieren
tivitt und Sympathie, Komplizen, die bei einem mglichen An- sind und bei denen keine starke Abwehr
- das Vorspielen von Autoritt gegenber ruf die Legende besttigen. oder Sensibilitt fr diese Problematik zu
dem Opfer und erwarten ist. Mitarbeiter, die auf solche
- den Hinweis darauf, dass alle anderen Eine nach wie vor gerne bersehene Szenarien vorbereitet sind, drften wesent-
etwas Bestimmtes tun, das das Opfer Schwachstelle sind nicht zuletzt lesbar lich schwerer in eine prekre Lage zu brin-
ebenfalls nun tun sollte. entsorgte, sensible Dokumente. Dabei gen sein als Unbedarfte. (dr)

www.it-administrator.de Juli 2016 57


Praxis T i p p s , Tr i c k s & To o l s

Tipps, Tricks und Tools


In jeder Ausgabe prsentiert Ihnen IT-Administrator
Tipps, Tricks und Tools zu den aktuellen Betriebssystemen
und Produkten, die in vielen Unternehmen
im Einsatz sind. Wenn Sie einen tollen Tipp
auf Lager haben, zgern Sie nicht und
schicken Sie ihn per E-Mail an
tipps@it-administrator.de.
Tipps & Tricks ohne Gewhr

Setzen eines effizienten


Filters ein Muss. Knnen
Sie kurz beschreiben, wie
Unser Active Directory hat mehrere hundert Ein- hier eine sinnvolle Filte-
trge und es ist oft schwierig, da den berblick rung aussehen kann?
zu behalten. Wir nutzen PRTG als Monitoring- Das Setzen eines Fil-
werkzeug gibt es eine Mglichkeit, sich alle ters hngt natrlich
Konten anzeigen zu lassen, die gerade irgend- immer sehr stark da-
welche Probleme haben? von ab, welchen Pro-
Es gibt ein Skript fr PRTG Network Mo- blemen Sie auf den
nitor [Link-Code G7PE4], das ber eine Grund gehen wollen.
Abfrage des Active Directory alle ausge- Zunchst sollten Sie
loggten oder deaktivierten Nutzer findet in der Ereignisanzei-
und in PRTG auflistet (dazu reicht die kos- ge im Men "Aktion"
tenlose 100 Sensoren-Version von PRTG aber auf die Option
aus). Fr den Einsatz bentigt Ihre PRTG- "Benutzerdefinierte
Installation das Active-Directory-PS-Mo- Ansicht erstellen" kli-
dul. Unter [Link-Code G7PE5] finden Sie cken und dort den
eine Anleitung, wie Sie das Modul instal- Reiter "Filter" aus-
lieren. Mit "Search-ADAccount" knnen whlen. Zunchst Bereits durch das Setzen von nur wenigen Filteroptionen lsst sich die Flut
Sie das Skript dann mit unterschiedlichen einmal sollten Sie der in der Ereignisanzeige dargestellten Events wirkungsvoll eingrenzen.
Abfragen ausstatten. Die verschiedenen sich hier auf einen
Schalter dazu finden Sie auf Microsofts eingegrenzten Zeitraum konzentrieren und ler und Warnungen dabei aufgetreten
TechNet-Plattform [Link-Code G7PE6]. natrlich das fr Sie wichtige Log auswh- sind. Um einen Filter spter wiederzu-
Passen Sie das Skript entsprechend an Ihre len. In den hier beispielhaft vorgenom- verwenden, knnen Sie diesen als benut-
Umgebung an und speichern Sie es in den menen Einstellungen (Bild) nehmen wir zerdefinierte Ansicht zur spteren Wie-
Ordner "Custom Scripts" im PRTG-Ver- das Diagnostics-Performance-Log unter derverwendung auch speichern. (ln)
zeichnis. Anschlieend wird das Skript als die Lupe, das in der Auswahl bei den "An-
Option unter "EXE/Script Advanced Sen- wendungs- und Dienstprotokollen" zu Linux
sor" in PRTG angezeigt. (Paessler/ln) finden ist. Eine hilfreiche Eingrenzung Debian bringt ja in der aktuellen Ent-
Viele weitere Tipps und ist es zudem, nur als "Kritisch" oder "War- wickler-Version das ZFS-Dateisystem im
Tricks rund um das Thema nung" klassifizierte Ereignisse in der Liste Quellcode mit. Dazu muss ich aber
Monitoring mit PRTG fin- anzeigen zu lassen. Sehr ntzlich ist au- den entsprechenden Kernel-Treiber
den Sie in der Knowledge Base von erdem das Setzen einer Ereignis-ID. In von Hand kompilieren. Knnen Sie
Paessler unter https://kb.paessler.com. unserem Beispiel ist der Wert "100" die mir sagen, wie ich das mache?
ID fr die Startvorgnge von Windows. Whrend Ubuntu sich mit der Integration
Das Windows Event Log, in der deutschen Win- Mit dem im Bild eingestellten Filter kn- eines ZFS-Binrmoduls auf juristisches
dows-10-Version Ereignisanzeige genannt, stellt nen Sie also im Idealfall schnell erkennen, Glatteis begeben hat, geht Debian auf
bei der Problem- und Fehleranalyse ein mchtiges wie lange es gedauert hat, bis Windows Nummer sicher und bietet das von Solaris
Werkzeug dar. Da aber die Menge an aufgezeich- in der vergangenen Woche jeweils hoch- stammende Dateisystem ZFS in Quellco-
neten Logdaten ins Unendliche tendiert, ist das gefahren war, und welche kritischen Feh- de-Form und auerhalb des offiziellen

58 Juli 2016 www.it-administrator.de


T i p p s , Tr i c k s & To o l s Praxis

Repository an. Um es auszuprobieren, Nach der Installation oder dem Update von ausschlielich sicheren Stores
mssen Sie zuerst die Unstable-Version auf vSphere 6 Update 2 mssen Sie fol- (HTTPS) erlaubt. "A" gestattet Usern das
von Debian ("Sid") installieren. Das kn- gende Zeichenfolge in die Browserleiste Hinzufgen und Lschen von sowohl si-
nen Sie beispielsweise mit einem Mini- eingeben, um zur Anmeldeseite des cheren (HTTPS) als auch nicht sicheren
ISO tun, das Sie im Web unter [Link- VMware Host Clients zu gelangen: (HTTP) Stores. Auch AllowSavePwd
Code G7PE7] finden. Bei der Installation https://IP-Adresse des ESXi- kann auf "N", "S" oder "A" eingestellt sein.
whlen Sie "Advanced Options", dann Hosts/ui/#/login Der Standard ist der Wert, der vom
"Expert install". Wenn Sie aufgefordert Mehr Informationen zum VMware Host PNAgent-Server zur Laufzeit angegeben
werden "Choose a mirror of the Debian Client und aktuelle Release Notes finden wird. Er gibt an, ob Nutzer Anmeldein-
archive", whlen Sie aus der Liste "sid - Sie unter [Link-Code G7PE8]. Wenn Sie formationen fr Stores lokal auf ihrem
unstable". Luft "Debian Unstable", in- die neue Funktion nicht nutzen oder l- Computer speichern knnen, und gilt
stallieren Sie die ntigen Pakete fr schen wollen, knnen Sie das VIB-File nur fr Stores, die das PNAgent-Proto-
DKMS, den Dynamic Kernel Module mit dem Kommando esxcli software vib koll verwenden. Auch hier hindert "N"
Support, der dabei hilft, Kernelmodule remove -n=esx-ui auch vom Host lschen. User am Speichern vom Passwrtern, "S"
fr die jeweilige Kernel-Version zu ber- (Thomas-Krenn/ln) erlaubt es ausschlielich fr HTTPS-
setzen und zu installieren: Stores und "A" auch fr nicht sichere
apt-get install build-essential dkms HTTP-Stores. Citrix selbst empfiehlt
Fgen Sie das Contrib-Repository, in dem stets die Nutzung von HTTPS in einer
der ZFS-Code enthalten ist, dem System Produktionsumgebung. (Citrix/ln)
hinzu, etwa in der Datei "/etc/apt/sour- Ich mchte Stores im Citrix Receiver fr Windows
ces.list.d/contrib.list": mit HTTP manuell hinzufgen. In allen Versionen
deb http://ftp.de.debian.org/debian ab Receiver 3.1 sind jedoch ausschlielich sichere Hardware
sid contrib deb-src Stores (HTTPS) in den Standardeinstellungen er- Mit der Verffentlichung des NAS-
http://ftp.de.debian.org/debian laubt. Wie kann ich das ndern? Betriebssystems Disk Station Mana-
sid contrib Diese Beschrnkung knnen Sie umge- ger 6.0 hat Synology fr einige seiner Netzwerk-
Aktualisieren Sie nun mit apt-get update hen, um HTTP zum Beispiel in einer speicher die Mglichkeit geschaffen, eine oder
die Paketinformationen. Jetzt knnen Testumgebung zu nutzen. Fhren Sie da- mehrere virtuelle Instanzen von DSM mittels Do-
Sie mit apt-get install zfs-dkms das ZFS- zu folgende Schritte aus: Klicken Sie zu- cker-Container-Technologie zur Verfgung zu stel-
Paket installieren, das gleich automa- nchst auf "Start" und ffnen Sie mit reg- len. Soweit ich wei, befindet sich diese Funktion
tisch von DKMS bersetzt und instal- edit den Registry-Editor. Wenn Sie die noch in der Betaphase. Knnen Sie kurz schildern,
liert wird. Dabei weist der Installer auf 64-Bit-Version von Windows einsetzen, was die Voraussetzungen fr die Nutzung sind
die Inkompatibilitt der Lizenzen von rufen Sie "HKEY_LOCAL_MACHINE \ und wie die einzelnen Schritte der Inbetriebnahme
ZFS und Linux-Kernel hin und warnt, SOFTWARE \ Wow6432Node \ Citrix \" ablaufen?
dass die Distribution des Endprodukts auf. Nutzen Sie hingegen die 32-Bit-Ver- Die von Ihnen angesprochene Funktion
wohl nicht legal ist. Selbst benutzen kn- sion von Windows, klicken Sie auf nennt sich "Synology DockerDSM" und
nen Sie es aber ohne Probleme. Klappt "HKEY_ LOCAL_MACHINE \ SOFT- ist im Docker-Paket integriert. Dieses lsst
alles, knnen Sie in der Liste der Ker- WARE \ Citrix \". Setzen Sie in "Dazzle" sich bequem ber das Paketzentrum in-
nel-Module den ZFS-Treiber (ismod) den Wert von "AllowAddStore" auf "A", stallieren und ist in der Rubrik "Dienst-
sehen. (of/ln) um Benutzern das Hinzufgen von nicht programme" oder ber die im Paketzen-
sicheren Stores zu erlauben. Zustzlich trum integrierte Suche zu finden. Der
knnen Sie den Wert bei "AllowSavePwd" Menpunkt "DSM" des Docker-Paketes
auf "A" setzen, um Nutzern das Speichern erscheint allerdings nur bei kompatiblen
ihrer Passwrter fr nicht sichere Stores Gerten die Verfgbarkeit des Docker-
Mit dem Update 2 fr VMware vSphere 6.0 wur- zu gestatten. Um einen Store hinzuzuf- Paketes bedeutet also nicht automatisch,
de ja ein HTML5-basierender Webclient fr ESXi- gen, der in StoreFront mit dem Trans- dass DockerDSM auch genutzt werden
Standalone-Hosts eingefhrt der VMware Host porttyp HTTP konfiguriert ist, setzen Sie kann. Eine Liste der untersttzten Gerte
Client. Knnen Sie mir den Weg zu dessen Ane- die folgenden Werte in AuthManager ein: finden Sie unter [Link-Code G7PE9]. Ge-
meldeseite aufzeigen? Name: ConnectionSecurityMode hrt Ihr NAS zu diesen Gerten, knnen
Der vSphere Client wird in Buildversion Value Type: REG_SZ Sie nach dem initialen Aufruf des Docker
3620759 zwar weiterhin untersttzt, es Value: Any Paketes im Men "DSM" einen Docker-
besteht aber mit dem VMware Host Schlieen Sie den Receiver und starten Container erstellen. Klicken Sie hierzu
Client nun auch eine andere Mglichkeit, Sie ihn neu. brigens kann "AllowAdd- auf "Hinzufgen". Die nun folgende Dia-
um einzelne ESXi-Hosts zu verwalten. Store" eingestellt sein auf "N", "S" oder logbox zeigt die Einstellmglichkeiten fr
Denn im Gegensatz zum vSphere Client "A": "N" hindert User am Hinzufgen den neuen DSM-Container an. Passen Sie
untersttzt der VMware Host Client auch oder Lschen von Stores, whrend "S" die Werte Ihren Wnschen entsprechend
die neuesten VM-Hardwareversionen. Nutzern das Hinzufgen und Lschen an und klicken Sie auf "Weiter". Nun folgt

www.it-administrator.de Juli 2016 59


Praxis T i p p s , Tr i c k s & To o l s

Telnet. Nur bei Bedarf synchronisiert


das Tool die Bildschirminhalte und nutzt
dabei einen speziell entwickelten Stan-
dard das State Synchronization Proto-
col (SSP). Die Sicherheit der Verbindung
ist dabei durch eine AES-128-Verschls-
selung der UPD-Pakete realisiert. Dass
die Verbindung nicht dauerhaft sein
muss, dafr sorgt eine zu Beginn der Ses-
sion aufgebaute SSH-Verbindung, die
den Nutzer authentifiziert und einen
Schlssel zur Besttigung seiner Identitt
bertrgt. So erreicht die Software, dass
sich IP-Adresse und Portnummer der
Verbindung ohne Beeintrchtigung der
Arbeit ndern knnen. Ist die Authen-
tifizierung erfolgt, startet mosh zwei se-
parate SSP-Instanzen, eine fr jede ber-
Dem Container zur Nutzung von DockerDSM auf einem Synology-NAS tragungsrichtung. Einmal aufgebaut, ist
knnen Sie Ressourcenbeschrnkungen auferlegen.
eine mosh-Verbindung resistent sowohl
das Setzen der Netzwerkeinstellungen. Technologie zu virtualisieren. Wie das gegen einen Wechsel der IP-Adresse als
Die IP-Adresse kann statisch oder dyna- geht, lesen Sie unter [Link-Code G7PE0] auch gegen ein Suspend oder Hibernate
misch per DHCP vergeben werden. Fah- (Thomas-Krenn/ln) des Client-Rechners. Erst das Schlieen
ren Sie mittels "Weiter" fort. Whlen Sie Viele weitere Tipps und Tricks der Shell auf dem Zielrechner beendet
ein Volume oder einen gemeinsamen zum Server-Management, die Sitzung wieder. Die aktuelle mosh-
Ordner als Speicher aus und klicken Sie Virtualisierung und Linux finden Sie im Version ist fr die gngigen Linux-Dis-
wieder auf "Weiter". Es gibt zwei unter- Thomas-Krenn-Wiki unter www.thomas- tributionen, FreeBSD, OS X und An-
schiedliche Mglichkeiten, um die Instal- krenn.com/de/wiki/Hauptseite droid verfgbar. (jp)
lationsdatei des neuen Docker-Containers Link-Code: G7PE1
zur Verfgung zu stellen: Entweder laden
Sie diese direkt von Synology herunter Tools Eine unverzichtbare Basis des Netzwerkmana-
oder Sie schieben Sie manuell vom eige- Stndig online zu sein, ist heut- gements ist eine genaue Kenntnis des Netzes.
nen PC zum NAS. Klicken Sie nach dieser zutage auch fr Admins eher die Hier sind Informationen gefragt, die dem IT-Ver-
Auswahl auf "Weiter". Nach dem Import Regel als die Ausnahme. Der Administrator ist antwortlichen zeigen, welche Router und Swit-
der Installationsdatei erscheint eine Zu- prinzipiell von berall aus in der Lage, seine che verbaut sind und welche Rechner sich dort
sammenfassung und, wenn alle Einstel- Systeme zu verwalten. Dies ist aber beispiels- tummeln. Tools knnen dem Administrator diese
lungen korrekt sind, schlieen Sie durch weise mit der Secure Shell (SSH) nur mglich, Informationen beschaffen, indem sie die Netze
"bernehmen" den Erstellungsprozess ab. wenn das drahtlose Netz sei es WLAN oder scannen und nach den entsprechenden Infor-
Nach der erfolgreichen Erstellung von UMTS keine Lcken aufweist und die IP- mationen suchen. In groen Netzen und beson-
DockerDSM wird nun ebensolches ge- Adresse des Clients immer gleich bleibt. Dass ders mit IPv6 ist diese Strategie jedoch zum
startet und eingerichtet. Durch Schieben dies nicht an jedem Standort und zu jeder Zeit Scheitern verurteilt, weil ein Scanvorgang zu
des rechten Reglers auf "Ein" starten Sie gegeben ist, drfte jeder reisefreudige IT-Ver- viel Zeit erfordert.
die Docker-Instanz. Nachdem die IP- antwortliche besttigen. Das kostenlose "NeDi" geht deshalb bei
Adresse zugewiesen wurde, klicken Sie Diesem unter Umstnden fr den Ad- der Erfassung aller Komponenten im Netz
auf "Verbinden", um einen neuen Tab fr ministrator sehr wichtigen Problem hat einen anderen Weg: Es fragt einige soge-
die weitere Konfiguration zu ffnen. Auf sich das renommierte Massachusetts In- nannte Seed Devices auf Basis von SNMP
dem nun folgenden neuen Tab erstellen stitute of Technology MIT mit der nach weiteren Gerten, die diese kennen.
Sie ein Administrator-Konto, klicken auf Open-Source-Software "mosh" ange- ber so eine Abfrage erfhrt die Software
"Weiter" und knnen mit der restlichen nommen. Whrend das SSH-Protokoll beispielsweise vom Default-Router alle
Konfiguration fortfahren. Nach den Ein- auf TCP basiert und deshalb eine dau- Nachbarn, die dieser kennt. Dabei nutzt
stellungen zur Aktualisierung und War- erhafte Verbindung zwischen Client und das Tool verschiedene Wege, ein Gert
tung von DSM beginnt mit einem Klick Server erfordert, nutz mosh das verbin- hinsichtlich des nchsten Nachbarn zu
auf "Los" die Verwendung der Docker- dungslose User Datagram Protocol befragen. So kann es in Routing-Tabellen
DSM-Instanz. brigens ist es auch mg- (UDP). Darber hinaus baut die Soft- nach bekannten Next Hops suchen oder
lich, DSM-Instanzen ber den Synology ware nicht auf einem synchronen Dialog die ARP-Tabellen auslesen, Netzwerkge-
Virtual DSM Manager mittels KVM- von Client und Server auf wie SSH oder rte von Cisco erkennen sich gegenseitig

60 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


T i p p s , Tr i c k s & To o l s Praxis

von einem Gert zum anderen bertra-


gen oder auch zu Gerten von Freun-
den oder Arbeitskollegen, die die Soft-
ware nutzen. Die Kommunikation bei
dieser Peer-to-Peer-bertragung ist mit
TLS und Perfect Forward Secrecy gesi-
chert. Jeder Knoten wird ber ein Zerti-
fikat identifiziert und die Daten werden
nur mit selbst ausgewhlten Knoten syn-
chronisiert. Syncthing kann beliebig viele
Verzeichnisse synchronisieren, dabei lsst
sich fr jeden Ordner einzeln das Syn-
chronisationsziel festlegen. Diese Konfi-
guration erfolgt ber eine webbasierte
Benutzeroberflche, die sich nach dem
Start des Tools im Browser ffnet. An
NeDi liefert neben reinen Inventarinformationen auch Hinweise zum dieser Stelle generiert die Software die
Gesundheitszustand der Netzgerte. bentigten Zertifikate und Schlssel fr
eine TLS-Verbindung zu anderen Clients
ber das proprietre Cisco Discovery Pro- Im Durchschnitt betreibt jeder Berufsttige heute und erstellt automatisch den Ordner
tocol (CDP). Alternativ dazu existiert das etwas mehr als drei Computer Smartphone, "Sync", in dem zunchst zu synchroni-
von mehreren Herstellern untersttzte Workstation, Tablet oder auch Laptop begleiten sierende Dateien abgelegt werden kn-
Local Link Discovery Protocol (LLDP). durch den Arbeitsalltag. Dabei ist es lngst Stan- nen. Windows verlangt beim ersten Start
Alle so ermittelten Devices bernimmt dard, dass alle Gerte einen identischen Datenbe- der Software eine nderung in den
NeDi in die Liste noch zu durchsuchender stand aufweisen, um nahtloses Arbeiten beim Firewall-Einstellungen. Zur alltglichen
Gerte und arbeitet diese ab. Im Laufe Wechsel der Gerte zu gewhrleisten. Realisiert Nutzung muss die Software auf jedem
dieses Vorgangs sammelt die Software zu- wird diese Datensynchronisation zumeist ber beteiligten Rechner laufen. Darber hi-
stzliche Informationen wie Systemna- Cloud-Storage, sei es ein privater oder Firmen-Ac- naus lohnt es sich auf jeden Fall, bei In-
men und -klasse, Betriebssystem, CPU- count bei einem der groen Anbieter oder durch teresse tiefer in die Features und die Ver-
Last, Speicherauslastung, Temperatur, ein Werkzeug, mit dem eine unternehmensinterne waltbarkeit von Syncthing einzutauchen,
Durchsatz und alle angeschlossenen Hosts Filesharing-Cloud zum Leben erweckt wird. Dabei denn diese haben mittlerweile ein durch-
in den konfigurierten VLANs ein. Nach erzeugt gerade die Nutzung ffentlicher Cloud- aus professionelles Niveau erreicht. So
einem Durchlauf hat NeDi alle notwen- Dienste ein gewisses Magengrummeln hinsichtlich lsst sich beispielsweise ein eigener "An-
digen Informationen fr eine Abbildung der Sicherheit und der Frage, wer denn so alles nounce Server" aufsetzen, der die Ver-
des kompletten Netzes und kann bei- Einsicht in die eigenen Daten hat besonders, bindung zwischen den Gerten vermittelt
spielsweise Auskunft darber geben, an wenn nicht ausgeschlossen werden kann, dass jedoch nicht die vertraulichen Daten
welchem Switch und Port ein bestimmter diese auch mal in den USA landen. bermittelt. Per Default kommt ein An-
Rechner angeschlossen ist. Das Tool kennt Statt seine Dateien der oft wenig vertrau- nounce-Server des Anbieters zum Ein-
alle Verbindungen zwischen den Gerten, enswrdigen Cloud anzuvertrauen, lassen satz. Verfgbar ist Syncthing fr alle gn-
beurteilt alle gesammelten Daten und gibt sie sich auch direkt zwischen verschie- gigen Betriebssysteme. Die einzige Aus-
Informationen oder bei Bedarf auch War- denen Gerten synchronisieren. Mit dem nahme bildet iOS. (jp)
nungen und Alarme aus. Dabei liefert das freien "Syncthing" werden Daten direkt Link-Code: G7PE3
Programm nicht nur die Hinweise, welche
Gerte tatschlich im Netz vorhanden
sind, sondern lsst sich auch als einfaches
Netzwerkmanagementsystem einsetzen.
Intern speichert NeDi sein gesammeltes
Wissen in einer einfach strukturierten
Datenbank, die sich als Basis fr ein Asset
Management anbietet. Mit wenigen Ab-
fragen lsst sich beispielsweise herausfin-
den, ob ein separates Netzwerkmanage-
mentsystem auch alle gefundenen Gerte
berwacht. NeDi luft unter FreeBSD,
OS X und SLES. (jp) Die bedienfreundliche Syncthing-Oberflche erlaubt einen
Link-Code: G7PE2 einfachen Austausch von Daten ohne Cloud-Storage.

www.it-administrator.de Juli 2016 61


SCHWERPUNKT
Quelle: Xavier Gallego Morell 123RF

Cloud Penetration Testing

Diffuses Ziel
von Dr. Holger Reibold

Die Verwendung von Cloud-Technologien findet in Unterneh-


men immer mehr Zuspruch. Dank quelloffener Projekte wie
OpenStack & Co. ist es einfach geworden, eine eigene Cloud zu
implementieren. Sptestens dann, wenn Cloud-Dienste produk-
tiv genutzt werden, stellt sich die Frage, wie sicher diese gegen
Attacken von innen und auen sind. Das lsst sich am zuverls-
sigsten per Penetration Testing herausfinden.

ie Migration in eine Cloud-Um- Als Erstes die Betreiberfrage


D gebung kann Unternehmen ver- Da eine Cloud nicht gleich Cloud ist, er-
schiedene Vorzge bieten, stellt aber auch geben sich fr Cloud-Umgebungen wie
die Frage nach mglichen Angriffspunk- IaaS, SaaS, PaaS oder auch ffentliche be-
ten und Attacken neu. Der Begriff Wolke ziehungsweise private Clouds zum Teil
impliziert, dass das Gebilde eine diffuse, erhebliche sicherheitsrelevante Unter-
unklare Struktur und Gestalt besitzt. Von schiede. Bevor Sie sich an die Entwick-
auen betrachtet handelt es sich tatsch- lung einer Penetration-Testing-Strategie
lich um ein kaum zu erfassendes Kon- machen, die die Sicherheit Ihrer Cloud-
strukt, das entsprechend schwer zu atta- Umgebung auf Herz und Nieren ber-
ckieren ist prinzipiell ein Gewinn aus prft, mssen Sie klren, ob Sie einen
Sicht der Sicherheit. CSP (Cloud Solution Provider) in An-

www.it-administrator.de
C l o u d P e n e t r a t i o n Te s t i n g Schwerpunkt

Cloud-Computing der Umgebung zwar sehr umfangreich


ist, aber Sie bei der Planung und Durch-
Quelle: Cisco

One Premise IaaS PaaS SaaS


fhrung von Penetration Tests deutlich
Applikation Applikation Applikation Applikation flexibler sind. Alleine der Umstand, dass

Kunde
Daten Daten Daten Daten
Sie die exakte Struktur und den Aufwand
Ihrer Umgebung sowie die verschiedenen
Kunde

Laufzeit Middleware Middleware Middleware


kritischen Komponenten kennen, verein-
Ressourcen-Eigner

Service-Provider
Middleware Laufzeit Laufzeit Laufzeit facht die Durchfhrung von Sicherheits-
checks erheblich.

Service-Provider
Betriebssystem Betriebssystem Betriebssystem Betriebssystem

Virtualisierung Virtualisierung Virtualisierung Virtualisierung


Die Vorgehensweise in diesem Szenario
Service-Provider

Server Server Server Server ist mit der bei der Durchfhrung von lo-
Speicher Speicher Speicher Speicher kalen Sicherheitstests vergleichbar. Dazu
muss ein konkretes Bild der Infrastruktur
Netzwerk Netzwerk Netzwerk Netzwerk
mit den relevanten IT-Komponenten und
Bild 1: Die Zustndigkeit bei der Durchfhrung von Services erstellt werden. Dabei geht es in
Penetration-Tests bei unterschiedlichen Cloud-Szenarien. der Regel darum, die kritischen Infra-
strukturkomponenten, Web-, Mail- und
spruch nehmen oder ob Sie selbst der solcher Verhandlungen beziehungsweise Fileserver sowie Datenbanken, mit Werk-
Cloud-Betreiber sind. Vereinbarungen sollten Sie auch zur Spra- zeugen wie Kali Linux, Nessus & Co. un-
che bringen, welche Security-Tools zum ter die Lupe zu nehmen.
Der einfachste Fall ist sicherlich der, dass Einsatz kommen. Als Nutzer eines SaaS
Sie einen Cloud Solution Provider nutzen, ist es natrlich von Belang, ob Webser- Wenn Sie die Cloud mit einer Web Appli-
der sich nicht nur um die Bereitstellung vices Cross Site Scripting oder andere cation Firewall (WAF) oder durch einen
der Umgebung, sondern auch um alle si- Schwachstellen aufweisen knnten. Reverse Proxy Server schtzen, sollten Sie
cherheitstechnischen Belange kmmert. die Penetration-Tests ohne die vorange-
In diesem Fall mssen Sie einfach mit Prinzipiell ist es natrlich denkbar, dass stellten Schutzmechanismen ausfhren.
dem Anbieter im Rahmen der Vertrags- Sie auch ein spezielles Penetration-Tes- Der Grund hierfr ist einfach: Die beiden
verhandlungen sicherstellen, dass in den ting-Team mit den Sicherheitstests be- Schutzfunktionen verbergen in Idealfall
SLAs die Durchfhrung entsprechender auftragen. In diesem Fall sind hnliche mgliche Schwachstellen. Aber Sie wollen
Sicherheitstests durch ein Provider-eige- Abstimmungen wie bei einem SaaS-An- ja genau diese Schwachstellen aufdecken.
nes Pentest-Team gewhrleistet wird gebot notwendig. Wenn Sie die Penetra- Unabhngig davon sind Tests mit diesen
und zwar regelmig. tion-Tests lieber selbst in die Hand neh- Schutzsystemen eine sinnvolle Ergnzung,
men wollen, mssen Sie diese Vorgnge weil Sie das gesamte Bild der Cloud-Sicher-
In einem solchen Fall sind natrlich die zunchst mit dem Provider abstimmen. heit komplettieren. Die besten Ergebnisse
unterschiedlichsten Sicherheitsaspekte Dabei ist zunchst zu klren, welche erzielen Sie hierbei mit Vulnerability Scan-
anzusprechen. Konkret ist zu klren, Komponenten im Fokus der Pentests ste- nern wie OpenVAS [1] oder Nessus [2].
welche Services, Datenbanken, Hosts, hen sollen. blicherweise sind das fol-
Subnetze, Applikationen und so weiter gende fr jedes dieser Szenarien gelten Testen von IaaS-,
untersucht werden. Bei IaaS-Dienstleis- spezifische Anforderungen und es bedarf PaaS- und SaaS-Clouds
tungen sind beispielsweise Security Poli- unterschiedlicher Herangehensweisen: Die sorgfltige Durchfhrung von Pene-
cies und Patch-Management-Richtlinien - Web-Application-Pentests inklusive tration-Tests bercksichtigt immer beide
sowie Manahmen zum Hrten von In- mobiler Apps Perspektiven: Sie sollten daher in einer
frastrukturkomponenten relevant. - Web-Services-Pentests inklusive mo- Cloud interne und externe Untersuchun-
biler Backend-Services gen anstoen. Somit gewinnen Sie Ergeb-
Nutzen Sie ein PaaS-Angebot, so mssen - Netzwerk- und Host-Pentests inklusive nisse von zwei unterschiedlichen Stand-
Sie zustzlich prfen, ob die Umgebung Datenbanken, Firewalls und weiteren punkten, die mit hoher Wahrscheinlichkeit
vollstndig gepatcht und relevante (Si- Cloud-Komponenten auch unterschiedliche Anflligkeiten auf-
cherheits-)Updates aufgespielt sind. Bei weisen. Bei internen Penetration-Tests soll-
SaaS-Angeboten liegen alle sicherheits- IaaS- und PaaS-Pentests ten Sie bereits Zugriff auf alle Server und
technischen Belange meist beim Provider. Wenn Sie eine IaaS-basierte Cloud ver- Hosts in der Cloud einschlielich der Da-
Der muss sicherstellen, dass die relevanten wenden, so haben Sie als Kunde bei den tenbanken und Speicherkomponenten
Webservices, Application- und Daten- typischen Cloud-Services die umfang- besitzen. Zudem sollten Sie ber die rele-
bankserver zumindest auf die Top-10- reichsten Kontrollmglichkeiten. Das be- vanten Informationen fr die Zugriffskon-
beziehungsweise Top-20-Schwachstellen deutet, dass Ihr Aufwand fr die Inbe- trolle, die Anmeldeprozeduren und die
der OWASP geprft wurden. Im Rahmen triebnahme, Wartung und Administration Netzwerkarchitektur verfgen.

www.it-administrator.de Juli 2016 63


S ch we rp unk t C l o u d P e n e t r a t i o n Te s t i n g

OpenStack Cloud mit wie Sie eine OpenStack-basierte Cloud


Compute, Storage, etc. einem Penetration-Test unterziehen.

Fr eine zielgenaue Planung fr die Durch-


fhrung von Penetration-Tests ist es un-
OpenStack Server erlsslich, dass Sie die zentralen Kompo-
nenten und Services identifizieren. Das
sind bei OpenStack die Dienste "Compute",
"Dashboards", "Networking" und "Storage".
Dazu kommen die beiden gemeinsam ge-
nutzten Dienste "Identity" und "Image".
Die "Compute"-Komponente berwacht
und managt groe VM-Netzwerke. Sie
wird hufig von CSP als IaaS-Plattform
genutzt. "Storage" stellt Objekt- und Block-
speicher fr Server und Applikationen zur
Client Wireshark Penetration
Testing Verfgung. Es handelt sich dabei um ein
Workstation verteiltes Speichersystem. Bei "Networking"
Bild 2: Der Aufbau eines Testszenarios ein Client nutzt Cloud-Dienste, ein zweiter zeichnet den handelt es sich um ein API-gesteuertes
Traffic von und zur Cloud auf und ein dritter dient dem eigentlichen Penetration Testing. System fr die Verwaltung von Cloud-
Netzwerken und IP-Adressen.
In der Regel beginnen die Prfungen mit Aus dieser Komplexitt heraus ergibt sich
authentifizierten Anflligkeitsscans gegen oft nur eine Lsung: Es mssen Verhand- Das Dashboard ist die zentrale Adminis-
Ihre Systeme. Das Ergebnis liefert eine lungen mit dem Betreiber gefhrt werden, trationsschnittstelle, mit der insbesondere
interne Einschtzung, mit welchen Sch- die konkret ausloten, welche Form von die Komponenten "Compute", "Storage"
den zu rechnen ist, wenn sich ein Angrei- Tests mglich ist und welche nicht. Zu- und "Networking" gesteuert werden. Die
fer innerhalb des Perimeters bewegen mindest muss der Provider fr die Berei- "Identity"-Komponente verwaltet die Be-
kann. Externe Tests bilden am ehesten che, die nicht mit Penetration-Tests geprft nutzerdatenbank und bildet die Benutzer
das Szenario von potenziellen Angreifern werden knnen, sicherstellen, dass diese auf die zulssigen OpenStack-Services
nach. Dabei werden Remote-Tests von ein Hchstma an Sicherheit bieten. ab. "Image" ist schlielich fr die Erken-
auerhalb der DMZ gefahren. blich ist nung, Registrierung und Auslieferung
dabei ein Standard- oder ein Black-Box- Sehr wohl knnen Sie als Kunde darauf von Services fr Festplatten- und Server-
Penetrationstest. bestehen, dass der CSP Design-Details Images zustndig. Aufgrund dieser ver-
zur Verfgung stellt, denen Sie die Si- schiedenen Komponenten ergibt sich fr
In einem SaaS-Szenario ist der Cloud So- cherheitsarchitektur und getroffenen den Penetration-Tester eine komplexe
lution Provider fr die Sicherheit der Schutzmanahmen entnehmen knnen. Aufgabe, da die verschiedenen Cloud-
Cloud zustndig. Der CSP muss die ge- Sie sollten ferner darauf bestehen, dass Elemente unterschiedliche Tools und
samte Bandbreite an Sicherheitsmanah- Sie optimierte Service-Konfigurations- Techniken verlangen.
men abdecken, angefangen bei der Host- dateien, Richtlinien und den Manah-
Level-Sicherheit bis hin zur Sicherheit menkatalog fr die Hrtung kritischer Bevor Sie sich an die ersten Penetration-
von Web-Applikationen. Hierzu gehrt Komponenten prfen knnen. Haben Tests machen, sollten Sie sich die verschie-
auch die Durchfhrung von internen und Sie selbst wenig Kontrolle ber die ei- denen Ebenen einer Cloud-Lsung verge-
externen Penetration-Tests. Details hierzu gentliche Sicherheitskonfiguration der genwrtigen. Sie stehen fr unterschiedliche
sind allerdings immer auch Sache einer Cloud-Umgebung, mssen Sie versu- Angriffspunkte. Eine Cloud-Lsung um-
vertraglichen Vereinbarung zwischen chen, so viel Einfluss wie mglich auf fasst in der Regel folgende Layer:
Kunde und Dienstleister. die vertraglichen Vereinbarungen und - Facility: Die physische Ebene, auf der
SLAs zu nehmen. die Cloud-Umgebung ausgefhrt wird.
Allerdings werden bei SaaS-Diensten - Network: Die Cloud kann in einem realen
meist Backend-Komponenten wie bei- Testen einer eigenen oder in einem virtuellen Netzwerk aus-
spielsweise Datenbanken und Speicher Cloud-Umgebung gefhrt werden. Sie kann auerdem eine
geteilt. Daher sind Sicherheitstests wie Wenn Sie es vorziehen, anstelle eines Pu- aktive Internet-Verbindung besitzen.
beispielsweise DoS- oder SQL-Injection- blic-Cloud-Services eine eigene Cloud- - Compute und Storage: Die physische
Attacken in der Regel nicht zulssig be- Umgebung aufzusetzen, haben Sie bei der Hardware stellt CPU-Rechenzeit und
ziehungsweise nicht durchfhrbar. In eher Konfiguration, Administration und beim den Speicher zur Verfgung.
seltenen Fllen lsst sich die Erlaubnis Penetration Testing alle Fden selbst in - Hypervisor: Diese optionale Kompo-
anderer Nutzer einholen. der Hand. Exemplarisch zeigen wir Ihnen, nente wird nur dann bentigt, wenn

64 Juli 2016 www.it-administrator.de


C l o u d P e n e t r a t i o n Te s t i n g Schwerpunkt

Sie per Virtualisierung Ressourcen ma-


nagen. Der Hypervisor ist fr die Zu-
weisung der Ressourcen zustndig.
- Virtual Machine (VM) oder Betriebs-
system: In einer virtualisierten Umge-
bung ist die VM fr die Ausfhrung
des Betriebssystems zustndig. Kommt
kein Hypervisor zum Einsatz, wird das
Betriebssystem direkt von "Compute"
und "Storage" ausgefhrt.
- Solution Stack: Hierbei handelt es sich
um die verwendeten Programmierspra-
chen fr die Programmierung und das
Deployment von Applikationen.
- Application: Die Applikationen, die von
den Kunden in der Cloud ausgefhrt
werden. Bild 3: Mit Nikto2, das hier unter Kali Linux 2 luft, knnen Sie die Sicherheit jeder Web-basierten
- API und GUI: Das Interface, ber das Applikation prfen, auch die des OpenStack-Dashboards.
die Kunden mit den Applikationen in-
teragieren. Die gngigste API ist REST- Penetration Testing geht es auch darum, abstellen, der den gesamten Datenverkehr
ful HTTP oder HTTPS; die gngigste die Schicht zu identifizieren, die fr die mit dem Cloud-Server aufzeichnet. Ein
GUI ist eine HTTP- beziehungsweise Tests von Belang ist, wobei die mglichen zweites System ein klassisches Penetra-
HTTPS-basierte Website. Angriffspunkte insbesondere von der Art tion Testing-System knnte dann die
der Services abhngig sind. notwendigen Sicherheitstests durchfhren
Die Kombination dieser verschiedenen und fr die Ausnutzung etwaiger Ver-
Ebenen ergibt eine Cloud-Lsung. Beim Aufbau einer Test-Cloud wundbarkeiten genutzt werden.
Die unmittelbare Ausfhrung von Pene-
Standardwerkzeug Kali Linux 2 tration-Tests an Produktivumgebungen Die bliche Herangehensweise beim Pe-
ist in der Regel weder sinnvoll noch rat- netration Testing: Zunchst analysieren
Penetration Testing ist wahrlich kein einfaches sam. Je nach Intensitt der durchgefhr- Sie mit einem Netzwerk-Mapper die
Gebiet, denn die zu untersuchenden Zielsyste-
ten Sicherheitstests und Attacken ist Zielumgebung. Mit diesen Informatio-
me sind hchst unterschiedlicher Art und Aus-
damit zu rechnen, dass kritische Kom- nen picken Sie ein oder mehrere Ziele
stattung. Das gilt auch fr Cloud-Services und
ponenten in Mitleidenschaft gezogen heraus, die Sie dann mit einem Securi-
-Installationen. So bentigen Sie als Tester ei-
nen Werkzeugkasten, der neben einer soliden
werden. Wenn Sie zudem die ersten Geh- ty-Scanner auf Schwachstellen unter-
Grundausstattung auch Spezialisten fr das versuche beim Penetration Testing von suchen. Je nach Ziel greifen Sie dann
Knacken von Passwrtern oder das Flschen Cloud-Umgebungen unternehmen, soll- zu einem Exploit-Spezialisten oder ei-
von Netzwerkpaketen bietet. Seit Jahren ist ten Sie diese an einer Testumgebung aus- nem applikationsspezifischen Werkzeug
Kali Linux [3], der BackTrack-Nachfolger, die fhren, die der realen Konfiguration wie einem Web Application Security
Standardumgebung. mglichst nahekommt. Scanner, um weitere Details des Ziels
In der Linux-Distribution sind ber 300 Pro- zu ermitteln und etwaige Schwachstel-
gramme, Tools und Skripte fr Penetration-Tes- Anhand einer OpenStack-Installation zei- len zu kompromittieren.
ter integriert. So beispielsweise Maltego, ein gen wir die typische Vorgehensweise. Die-
Spezialist fr das Social Engineering, bei dem se muss bei anderen Cloud-Umgebungen Das Basiswerkzeug der meisten Pentester
Daten ber Einzelpersonen oder Unternehmen entsprechend adaptiert werden. Ein simp- ist Kali Linux. Der Grund: In der Linux-
gesammelt und dann in einen Kontext ge- les Testszenario besteht aus einem Open- Distribution sind alle notwendigen Tools
bracht werden. Ebenso mit dabei ist Nmap, Stack-Server, einem, besser zwei Clients enthalten, die die gesamte Bandbreite an
der Netzwerkscanner zur Analyse von Netz- und einem Penetration-Testing-System. Aufgaben beim Penetration Testing ab-
werken, und seine GUI Zenmap, Wireshark als Ein OpenStack-System lsst sich mit den decken. Mit Zenmap, der Nmap-GUI,
grafischer Netzwerksniffer und Ettercap fr die auf der Projekt-Site verfgbaren ISO- knnen Sie die Cloud-Umgebung und die
Netzwerkmanipulation, mit dem sich beispiels-
Images schnell und einfach einrichten. dort ausgefhrten Services und Ports
weise Man-in-the-middle-Attacken ausfhren
identifizieren.
lassen. Fr das Knacken und Testen von Pass-
Die Aufgaben beim Penetration Testing
wrtern stellt Kali Linux John the Rippper zur
Verfgung. Und last but not least sei noch
einer lokalen Cloud-Installation knnen Das Dashboard, das auf dem Apache
Metasploit, das Framework fr das Testen und Sie auf mehrere Schultern verteilen. So Webserver ausgefhrt wird, ist blicher-
Entwickeln von Exploits, erwhnt. knnten Sie einen Client-Rechner zur weise die anflligste Komponente. Mit
Aufzeichnung des Traffics mit Wireshark Hilfe des Security Scanners OpenVAS

www.it-administrator.de Juli 2016 65


S ch we rp unk t C l o u d P e n e t r a t i o n Te s t i n g

oder von Spezialisten wie SFUZZ knnen Bei einer OpenStack-Installation sind abrufen, SQL- und XSS-Injection-Attacken
Sie die Webserver auf Verwundbarkeiten auerdem die Verzeichnisse "devstack", ausfhren, Dateien bertragen, Befehle
prfen. Die Ausfhrung von SFUZZ er- "etc" und "var" fr Penetration-Tester in- auf dem Zielsystem ausfhren und Au-
folgt auf der Konsolenebene. Angenom- teressant. In diesen Verzeichnissen finden thentifizierungsmechanismen umgehen.
men, das OpenStack-System besitzt die sich Konfigurationsdateien, Programm-
IP-Adresse 192.168.1.1 und Sie wollen dateien und Skripte, die fr Angreifer in- Die Auswahl des Testtyps erfolgt mit der
Port 443 mit der Standardkonfiguration teressant sind. In den drei genannten Ver- Option "-T". Das "T" steht fr "Tuning". Die
abfragen und den TCP-Ausgabemodus zeichnissen liegen verschiedene Dateien, Option "-T" sorgt dafr, das nur spezifizierte
aktivieren, lautet die entsprechende An- die unverschlsselte administrative Log- Tests ausgefhrt werden. Ein Beispiel:
weisung wie folgt: in-Credentials enthalten. Es sind insbe-
sondere folgende Dateien relevant: nikto -h 192.168.1.1 -T 58
root@kali:~# sfuzz -S 192.168.1.1 -p - /devstack/localrc
443 -T -f /usr/share/sfuzz/sfuzz- - /etc/nova/api-paste.ini Die Tests werden durch die Angabe einer
sample/basic.http - /etc/cinder/api-paste.ini Ziffer bestimmt. Der Testtyp "5" steht fr
- /var/cache/cinder/cacert.pem den Test "Remote File Retrieval". Dieser
Der Ausgabe knnen Sie dann mgliche - /var/cache/cinder/signing_cert.pem Test erlaubt Remote-Zugriffen die ber-
Angriffspunkte entnehmen. Die Identi- - /var/cache/glance/registry/cacert.pem tragung von Dateien aus dem Webser-
fikation von Schwachstellen ist mit gra- - /var/cache/glance/registry/ ver-Root-Verzeichnis, fr die sie eigentlich
fischen Werkzeugen wie OpenVAS aller- signing_cert.pem nicht die notwendigen Berechtigungen
dings meist deutlich einfacher auch besitzen. Der Wert "8" steht fr "Com-
weil OpenVAS konkret Detailbeschrei- Selbst fr Angreifer von auen ist es mit mand Execution" beziehungsweise "Re-
bungen zu den identifizierten Sicherheits- Passwort-Attacken mglich, den SSH-ge- mote Shell" und erlaubt die Ausfhrung
lcken liefert. schtzten Zugriff auf den OpenStack-Ser- von Konsolenkommandos.
ver zu knacken und sich so Zugang zu
Zugangsdaten aussphen den Informationen zu verschaffen, die Wenn Sie nach der Option "-T" und der
Der klassische Trffner fr Hacker ist hier hinterlegt sind. Testauswahl die Option "x" angeben, wer-
das Aussphen von Zugangsdaten. Nach den alle Tests negiert, die auf das "x"
der Analyse der Zielumgebungen mit Dashboard attackieren folgen. Diese Vorgehensweise ist dann
Nmap beziehungsweise dem grafischen Web-Applikationen wie das OpenStack- sinnvoll, wenn ein Test verschiedene Ex-
Aufsatz Zenmap besitzen Sie die hierfr Dashboard sind erfahrungsgem beson- ploit-Varianten berprfen soll:
notwendigen Informationen, um gezielt ders anfllig. Daher sind diese oft die ersten
den Traffic am relevanten Knoten auf- Ansatzpunkte beim Penetration Testing. nikto -h 192.168.1.1 -T 58xb
zeichnen zu knnen. Da Zenmap uns so- Sollte der Security Scanner keine verwert-
gar eine Visualisierung liefert, ist es mit baren Informationen geliefert haben, be- Die Ergebnisse, zu denen Nikto bei seinen
den von diesem Tool gewonnenen Daten deutet das nicht, dass keine existieren. Daher Tests kommt, lassen sich in verschiedene
einfach, das Ziel zu bestimmen, das Ha- greifen Sie als Nchstes zu einem Web Ap- Ausgabeformate schreiben. Neben Text-
cker am meisten interessiert. plication Security Scanner. Als einer der dateien kann der Scanner auch CSV-,
Besten seiner Art gilt Nikto2 [4]. Dabei han- HTML-, XML- und NBE-Dateien erzeu-
Mit Hilfe von Wireshark zeichnen Sie den delt es sich um einen Perl-basierten Scanner, gen. Auch der Export nach Metasploit ist
Traffic beim Einloggen eines Cloud- der ebenfalls in Kali Linux enthalten ist. Die mglich. Das Ausgabeformat bestimmen
Clients auf. Wenn Sie lieber mit Windows Steuerung erfolgt auf der Konsolenebene. Sie mit der Option "-Format".
arbeiten, kommen Sie auch mit Cain&
Abel an die Credentials. Dieser Pentes- Von der Zenmap-Ausgabe wissen Sie, Fazit
ting-Spezialist bietet umfangreiche Funk- welche Ports auf welchen Systemen aus- Das Penetration Testing von Cloud-Um-
tionen fr das Knacken von Passwrtern. gefhrt werden. Diese Ergebnisse knnen gebungen stellt an einen Tester hohe An-
Sie fr das OpenStack-Dashboard verifi- forderungen. Je nach Art der Cloud-Va-
Link-Codes zieren. Der folgende Befehl scannt das riante und des genutzten Services muss
OpenStack-Dashboard, das auf der IP- ausgelotet und mit dem Cloud Solution
[1] OpenVAS
Adresse 192.168.1.1 ausgefhrt wird und Provider abgestimmt werden, wer fr wel-
B2P41
die Ports 80, 88 und 443 nutzt: che sicherheitstechnischen Belange zu-
[2] Nessus
stndig ist. Erst dann, wenn Sie die Cloud
F0Z35
nikto -h 192.168.1.1 -p 80,88,443 selbst betreiben und administrieren, kn-
[3] Kali Linux 2
nen Sie diese in Eigenregie eingehenden
G7Z43
Nikto 2 untersttzt verschiedene Testty- Penetration Tests unterziehen vorzugs-
[4] Nikto2
G7Z44
pen. Neben einfachen Port-Abfragen kann weise mit Kali Linux, dem Klassiker unter
der Scanner Informationen ber das Ziel den Pentest-Werkzeugen. (ln)

66 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


33 %
MAGAZIN
Rabatt
TESTEN SIE JETZT 3 AUSGABEN FR 16,90
OHNE DVD 12,90

ABO-VORTEILE
Gnstiger als am Kiosk
Versandkostenfrei
bequem per Post
Telefon: 0911 / 9939 90 98 Pnktlich und aktuell
Fax: 01805 / 861 80 02 Keine Ausgabe verpassen
E-Mail: computec@dpv.de

Einfach bequem online bestellen: shop.linux-magazin.de


S ch we rp unk t Cloudian HyperStore

Aufbau einer AWS-Cloud mit Cloudian HyperStore

Die neue
Objektorientierung
von Jacco van Achterberg und Adam Dagnall

Die starke Zunahme unstrukturierter Daten fordert neue Mglichkeiten, Daten flexibel und
kostengnstig zu speichern. Mit Cloudian HyperStore lsst sich eine skalierbare Objektspeicher-
Plattform einrichten, mit der Daten sicher und mhelos zwischen ffentlichen und privaten Clouds
bewegt werden knnen. Wir zeigen, wie sich mit der kostenlosen Variante der Software eine
10 TByte groe AWS-kompatible Cloud im eigenen Rechenzentrum einrichten lsst.

loud- oder Objektspeicher ist ak-


C tuell praktisch gleichbedeutend mit
"Amazon Simple Storage Service" kurz
S3. AWS und seine S3-API haben einen
doppelt so groen Marktanteil wie alle

Qu
elle
seine wichtigen Wettbewerber zusammen

:
belch
und die S3-API schickt sich an, auch bei

onock 123
Private- und Hybrid-Clouds die Plattform
der Wahl zu werden. Fast jede Anwen-

RF
dung kann eine Verbindung zu S3 her-
stellen, und die meisten Storage-Anbieter
haben bereits mitgeteilt, dass sie die S3-
API untersttzen oder an einer Unterstt-
zung arbeiten. Nicht nur von Amazon,
sondern auch von Mitbewerbern gibt es
eine Reihe von Storage-Implementierun-
gen als ffentliche Cloud. Hierzu gehren
Google Cloud Storage, OpenStack Swift,
Rackspace Cloud Files und auch sie wer-
den als S3-kompatibel vermarktet.

Der Aufstieg von S3 hat auch zu einer um-


fassenderen Verwendung von Objekt-Spei- Die starke Abhngigkeit zwischen S3 und nur eine rudimentre Implementierung
cher gefhrt. Bis dahin hatten nur einige Objektspeicher zwingt Unternehmen, die vorweisen kann, was die Migration von
der weltweit grten Internetkonzerne wie in Cloud-Technologie investieren wollen, Daten zwischen AWS und einer Private
Facebook, Netflix, Dropbox oder Twitter sei es Public, Private oder Hybrid Cloud, Cloud sogar unmglich machen kann.
auf Objektspeicher gesetzt, um ihre enor- sich die Fhigkeiten ihrer Speicheranbie- Die richtige Plattform von Beginn an zu
men Datenmengen effektiv zu speichern. ter in Sachen S3 etwas genauer anzuse- whlen kann dabei helfen, Kosten und
Mittlerweile nutzen auch solche Unter- hen, da eine volle Kompatibilitt tatsch- Zeit zu sparen. Eine Plattform mit einer
nehmen vermehrt Objektspeicher, die eine lich nicht immer gewhrleistet ist. nur rudimentren Implementierung der
groe Anzahl Applikationen verwenden, S3-API limitiert frher oder spter die
die unstrukturierte Daten produzieren, Kompatibilitt ist das A und O Mglichkeiten, Objektspeicher vollauf zu
wie Fotos und Videos, aber auch Unter- In Sachen Kompatibilitt mit S3 gilt es zu nutzen. Da es jedoch keinen wirklichen
nehmensbackups und -archive, Datenana- verstehen, dass es unterschiedliche Ebe- Standard der S3-Kompatibilitt gibt, kann
lysen, Private Cloud und EFSS-Lsungen nen von Kompatibilitt zu S3 gibt und die Wahl einer Speicherplattform deutlich
(Enterprise File Share and Sync). ein Speicheranbieter unter Umstnden komplexer sein, als es Speicheranbieter

68 Juli 2016 www.it-administrator.de


Cloudian HyperStore Schwerpunkt

mit Produkten limitierter Kompatibilitt


zugeben wrden.

Die Ebene der Kompatibilitt einer Spei-


cherplattform mit S3 misst sich daran,
wie viele der neun einfachen, 18 mig
komplizierten und 24 komplexen Ope-
rationen die Plattform untersttzt. Oft
bedeutet dies, dass ein Hersteller eine
Plattform als "S3-kompatibel" anpreist,
obwohl sie nur die einfachen neun der 51
Operationen untersttzt. Tatschlich
erkennt der IT-Verantwortliche beim ge-
nauen Hinsehen, dass die meisten Her-
steller nur einen sehr einfachen "S3-Con-
nector" zur S3-API verwenden, der nicht
einmal alle der 18 moderat komplexen
Operationen untersttzt, und nur sehr
wenige Hersteller eine hundertprozentige
Kompatibilitt mit allen Operationen ga-
rantieren, also auch den komplexen.
Bild 1: Eine zukunftssichere Speicherplattform sollte mit allen 51 Operationen der S3-API kompatibel sein.
Dies ist natrlich ein Problem fr Unter-
nehmen und Software-Entwickler, die da- Cloudian HyperStore Die Verwendung von Cassandra als de-
rauf setzen, dass ihre Applikationen mit Cloudian HyperStore [1] bietet ein mit zentrale Daten-Engine fr Indizes (Me-
S3 kompatibel sind und nahtlos mit der S3 kompatibles Objektspeichersystem tadaten) erlaubt die Steuerung des Da-
Cloud zusammenarbeiten, egal ob auf den der Enterprise-Klasse auf kostengns- tenlayouts und der Konsistenzebenen fr
Servern von AWS oder im heimischen tigen Servern von der Stange. Hyper- Daten in einzelnen Rechenzentren oder
Rechenzentrum. Wer nicht direkt auf Store ist mandantenfhig und kann dank rechenzentrumsbergreifend. Um die
AWS setzen will, und dafr kann es zahl- zahlreicher Schnittstellen viele Anwen- Ausfallsicherheit der Daten sicherzustel-
reiche Grnde geben, muss also eine Spei- dungen auf ein und derselben Plattform len, untersttzt HyperStore sowohl die
cherplattform whlen, die weit entwickel- untersttzen. Es bietet eine vollstndig Replikation als auch das Erasure Coding
te, wenn nicht gar umfassende Kom- mit S3 kompatible API, die alle 51 S3- auf ein und derselben Plattform, sodass
patibilitt mit der S3-API bietet. Nur dann Funktionen abdeckt. Die volle S3-Kom- Kunden ihre Daten zu optimalen Kosten
ist sichergestellt, dass jegliche Strategie patibilitt bedeutet, dass Hunderte von absichern knnen.
und alle Anwendungen auch in der Zu- S3-Anwendungen ohne Einrichtungs-
kunft reibungslos funktionieren. aufwand sofort untersttzt werden. Kostenlos zum
S3-kompatiblen Objektstorage
Software-definierte Speicherplattformen HyperStore lsst sich auf vorhandener Cloudian stellt mit der Community Edi-
(SDS), die die Einrichtung von sowohl Hardware installieren oder als Appliance tion, die sich auf jeder gewhnlichen Hard-
Private, Public oder Hybrid Clouds bieten, von Cloudian oder Hardware-Partnern ware installieren lsst, eine kostenlose Ver-
eignen sich hinsichtlich Flexibilitt und wie Lenovo vorinstalliert erwerben. In sion mit vollstndigem Funktionsumfang
Kosten am besten fr Cloud Computing. beiden Fllen kombiniert sie robuste zur Verfgung. Sie ist kostenfrei fr bis zu
SDS abstrahiert Speicherdienste und Verfgbarkeit mit Funktionen fr das 10 TByte Speicherkapazitt nutzbar. Fak-
Funktionen von der darunter liegenden Systemmanagement, die Datenverwal- tisch bedeutet dies, dass Sie mit der pas-
Hardwareebene, ist einfach skalierbar, wi- tung und Berichterstellung. Zahlreiche senden Hardware und Cloudian Hyper-
derstandsfhig, hochverfgbar und min- Funktionen werden untersttzt, darun- Store Ihre eigene AWS-Cloud im eigenen
dert die Komplexitt im Rechenzentrum. ter Hybrid-Cloud-Streaming, virtuelle Rechenzentrum aufbauen knnen.
Mit SDS knnen Unternehmen die Ver- Knoten, konfigurierbares Erasure
wendung von Amazon S3 in ihren eige- Coding sowie Komprimierung und Ver- Die passende Hardware hat dabei die fol-
nen Rechenzentren de facto nachstellen. schlsselung von Daten. Hinzu kommen genden Mindestanforderungen, die auf
Auch deshalb ist es fr IT-Verantwortliche die hchst effiziente Speicherung und jedem der mindestens drei Knoten erfllt
von Vorteil, sich nach SDS-basierten Ob- das nahtlose Datenmanagement, die es sein mssen:
jektspeicher-Plattformen umzusehen, und den Anwendern ermglichen, ihre Da- - Intel-kompatible Hardware
da ist die Liste der verfgbaren Lsungen ten weltweit mit nur einem einzelnen - 1 CPU mit mindestens 8 Kernen und
sehr kurz. globalen Namespace zu speichern. 2,4 GHz

www.it-administrator.de Juli 2016 69


S ch we rp unk t Cloudian HyperStore

- 32 GByte Arbeitsspeicher ein HyperStore-System zu installieren und gesamt zwei Laufwerke fr das Betriebssys-
- Festplatten (12 2-TByte-HDD, 2 250- seine anfngliche Konfiguration durch- tem und die Metadaten zu nutzen. Forma-
GByte-SSD also 12 Laufwerke fr Da- zufhren. Indem Sie das Skript auf einem tieren Sie alle anderen verfgbaren Lauf-
ten, zwei Laufwerke fr BS/Metadaten) einzelnen Knoten ausfhren, lsst sich werke mit dem EXT4-Dateisystem. Diese
- Empfohlen wird RAID-1 fr BS/Meta- die HyperStore-Software sowohl lokal auf Festplatten kommen fr die S3-Objektdaten
daten, JBOD fr die Datenlaufwerke diesem Knoten als auch remote auf an- zum Einsatz, RAID ist fr diese Laufwerke
- Netzwerk mit 1-GBit-Anschluss deren Knoten installieren. Fr das Instal- nicht erforderlich. Richten Sie beispielsweise
lationsskript muss OpenSSH (1.0 oder auf einem Computer mit zwlf HDDs auf
Damit Sie den Ausfall von Laufwerken hher) auf dem Host, auf dem Sie das Hy- zwei der Festplatten eine Spiegelung fr das
erfolgreich testen knnen, wird empfoh- perStore-Installationsskript ausfhren Betriebssystem ein. Formatieren Sie dann
len, dass Sie jedem Knoten mehrere un- mchten, und auf allen Hosts, auf denen die anderen zehn Platten mit einem EXT4-
abhngige Festplatten fr HyperStore- Sie die HyperStore-Software installieren Dateisystem und konfigurieren Sie die
Daten zuweisen. Das Betriebssystem mchten, installiert sein. Zustzlich spie- Mount-Punkte als "/cloudian1", "/cloudi-
sollten Sie auf einem gespiegelten Volume len Sie die Pakete "bc" und "bind-utils" an2", "/cloudian3" und so weiter.
(RAID-1-Volume) mit zwei SSD-Lauf- auf den Host auf, auf dem Sie das Instal-
werken installieren. Auerdem sollte auf lationsskript ausfhren mchten. Installieren Sie HyperStore auf Hosts mit
jedem Knoten sowohl eine Schnittstelle mehreren Laufwerken, mssen Sie dabei
fr ein privates als auch fr ein ffentli- Hinsichtlich des Dateisystems auf Hosts mit eine Liste von Laufwerkgerten und ent-
ches Netzwerk verfgbar sein. Das System mehreren Festplatten ist es mglich, die Me- sprechenden Mount-Punkten fr den S3-
kann zwar mit DNSMAQ installiert wer- tadaten des HyperStore-Services (die in Objektspeicher bereitstellen, die wie folgt
den, wir empfehlen aber dringend, DNS Cassandra und Redis gespeichert werden) formatiert ist:
und einen Loadbalancer vorkonfiguriert auf die Festplatte zu schreiben, auf der sich
bereitzuhalten. Um im Interesse der Ver- das Betriebssystem befindet. Es empfiehlt /dev/sdc1 /cloudian1
fgbarkeit und Performance mehrere sich, fr das Laufwerk mit dem Betriebs- /dev/sdd1 /cloudian2
Netzwerkkarten einzusetzen, steht weitere system und den Metadaten eine RAID-1- /dev/sde1 /cloudian3
Dokumentation [2] zur Verfgung. Darin Spiegelung zu verwenden und somit ins- ...
wird erlutert, wie Sie das NIC-Bonding
mit ALB konfigurieren, bevor Sie das Hy-
perStore-Paket installieren.

Nachdem Sie sich auf der Cloudian-Web-


site fr die Testversion [3] registriert ha-
ben, wird die HyperStore-Software als
BIN-Datei bereitgestellt, die auf jedem
Computer mit Linux CentOS 6.X instal-
liert werden kann, oder als ISO-Datei zur
Installation auf einer virtuellen Maschine.
Die Installation von HyperStore verluft
in vier Schritten:
1. Vorbereiten des Hosts
2. Vorbereiten des Netzwerks
3. Installieren der HyperStore-Software
4. Test der Management-Konsole

Den Host vorbereiten


Bei der Vorbereitung des Hosts spielt zu-
nchst das Betriebssystem eine Rolle. Hy-
perStore 5.2.2 wird nur von den folgenden
Linux-Versionen untersttzt: Red Hat En-
terprise Linux (RHEL) 6.x 64-Bit sowie
CentOS 6.x 64-Bit. Cloudian empfiehlt
die Verwendung von Version 6.6 oder ei-
ner hheren 6.x-Version.

Das Installationsskript stellt eine einfache, Bild 2: Mit HyperStore-Speicherrichtlinien verwalten


hoch automatisierte Mglichkeit bereit, und schtzen Sie Objektdaten und Objekt-Metadaten von S3.

70 Juli 2016 www.it-administrator.de


Speichern Sie diese Dateisystemliste in einer Textdatei, der Sie
den Namen "fslist.txt" geben. Diese Textdatei verwenden Sie
als Eingabe fr das HyperStore-Installationsskript. Weitere In-
formationen zu dieser Datei finden sich in der detaillierten Ver-
sion der Installationsanweisung [4], insbesondere in Schritt 5.

Vorbereiten des Netzwerks


Verwenden Sie fr alle Hosts, auf denen Sie HyperStore in-
stallieren, Hostnamen, die keine Grobuchstaben, sondern
nur Kleinbuchstaben enthalten und nicht "localhost" lauten
drfen. Um dies zu berprfen, geben Sie am Linux-Prompt
hostname ein und vergewissern Sie sich, dass der Befehl nicht
"localhost" zurckgibt.

Darber hinaus darf den Hosts in "/etc/ hosts" nicht die Loop-
back-Adresse (127.0. 0.1) zugeordnet sein. Um dies zu berprfen,
sehen Sie sich den Inhalt von "/etc/ hosts" an. Im folgenden Bei- ITK Consulting & Training
spiel ist der Hostname "cloudian-machine" der IP-Adresse
10.0.1.20 zugeordnet, nicht der Loopback-Adresse:

root# cat /etc/hosts


Cloud Services & SDN
127.0.0.1 localhost localhost.
localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 Technologie-Know-how
localhost6.localdomain6
10.0.1.20 cloudian-machine Cloud Computing I
Vom Vertragsrecht bis zum Marktberblick (3 Tage)
Auch bentigt der Host unbedingt eine zugewiesene statische
Cloud Computing II
IPv4-Adresse. Verwenden Sie nicht DHCP und IPv6! Um sich
Cloud-Infrastrukturen und Cloud Security (4 Tage)
zu vergewissern, dass fr einen Host nicht DHCP verwendet
wird, sehen Sie im Inhalt von "/etc/sysconfig/network- Cloud BootCamp
scripts/ifcfg-eth0" nach, ob "BOOTPROTO=none" ist: Prozesse, Infrastruktur, Security und Marktberblick (5 Tage)
Plattformen fr OpenStack
root# cat /etc/sysconfig/ Die Bestandteile im Detail (4 Tage)
network-scripts/ifcfg-eth0 OpenStack
DEVICE=eth0 Implementierung und Betrieb (5 Tage)
BOOTPROTO=none
Network Functions Virtualization
Dream Team mit SDN und OpenStack (2 Tage)
Hinweis: Wenn Sie ein anderes Netzwerk-Schnittstellengert
als "eth0" verwenden, berprfen Sie die Datei "ifcfg-Schnitt- Software-Defined Networking
stelle" fr die Schnittstelle, die Sie verwenden, um sich zu ver- Konzepte und Implementierungen (3 Tage)
gewissern, dass "BOOTPROTO=none" festgelegt ist. Software-Defined Data Center
Konzepte und Implementierungen (2 Tage)
In einem HyperStore-Cluster mssen alle Hosts dieselbe Netz-
Programmieren fr Netzwerker
werk-Schnittstelle verwenden. Nutzen Sie beispielsweise "eth0" Eine praxisorientierte Einfhrung (5 Tage)
sowohl fr die interne als auch fr die externe Kommunika-
tion, mssen alle HyperStore-Hosts eine eth0-Schnittstelle
besitzen. Kommt "eth0" fr die externe Kommunikation und ... und alles mit garantierten Kursterminen!
"eth1" fr die clusterinterne Kommunikation zum Einsatz, ist
fr alle HyperStore-Hosts eine eth0- und eine eth1-Schnittstelle
erforderlich.

Bei der HyperStore-Installation werden Sie aufgefordert, den


Namen einer dedizierten internen Netzwerk-Schnittstelle
anzugeben, falls eine solche fr Ihre Hostcomputer verfgbar
ist. Die folgenden Services verwenden diese interne Netz-
Fordern Sie unseren
aktuellen Trainingskatalog an!
www.it-administrator.de www.experteach.de Tel. 06074 4868-0
S ch we rp unk t Cloudian HyperStore

stallation und die fortlaufende Konfigu-


ration des Clusters. Melden Sie sich nun
auf dem Puppet-Masterknoten als "root"
an und erstellen Sie ein Staging-Verzeich-
nis fr die Installation (beispielsweise
"/home/CloudianPackages"). Dort hinein
kopieren Sie das HyperStore-Softwarepa-
ket und -Lizenzdatei. Dann wechseln Sie
in das Staging-Verzeichnis und fhren
den folgenden Befehl aus:

root# ./CloudianHyperStore-5.2.2.bin
Lizenzdateiname

Sofern Ihre Hosts ber mehrere Festplat-


Bild 3: Das Anlegen eines neuen Benutzers ist schnell erledigt. ten verfgen und Sie die reine Software-
version von HyperStore installieren, er-
werk-Schnittstelle fr die clusterinterne Verwendung dieser Option sind keine wei- stellen Sie im Staging-Verzeichnis eine
Kommunikation: teren Aktionen in Bezug auf DNS erfor- Datei mit dem Namen "fslist.txt". Geben
- Redis Credentials-Service und Redis derlich, sie ist jedoch nicht fr Produkti- Sie in die Datei eine Zeile fr jeden Ihrer
QoS-Service onsumgebungen geeignet. Sie kann jedoch Mount-Punkte fr das S3-Datenverzeich-
- Cassandra-Service ntzlich sein, wenn Sie nur einen oder ei- nis im Format "Gert Mount-Punkt" ein.
- HyperStore-Service nige wenige HyperStore-Knoten installie-
- Admin-Service ren, um einfache Tests und eine erste Eva- Unabhngig von der Anzahl der Festplat-
luierung des Systems durchzufhren. ten fahren alle Installationen nun mit dem
Stellen Sie die von diesen Services ver- Erstellen einer Datei mit dem Namen
wendete Netzwerk-Schnittstelle nicht f- Alternativ konfigurieren Sie auf Ihren "survey.csv" im Staging-Verzeichnis fort.
fentlich zur Verfgung, ohne den Port- Nameservern DNS-Eintrge fr die End- Geben Sie in der Datei eine Zeile fr je-
Zugriff ber einen Loadbalancer oder punkte des HyperStore-Services. Diese den HyperStore-Host im Cluster im fol-
eine Firewall einzuschrnken. Die einzi- Methode wird fr Produktionsumgebun-
gen Services, die Sie fr das externe Netz- gen oder fr eine grndliche Evaluierung Ntzliche S3-Anwedungen
werk verfgbar machen sollten, sind: empfohlen. Starten Sie in diesem Fall das
Es gibt Hunderte von S3-Anwendungen, die
- S3-Service: Port 80 (HTTP) und 443 HyperStore-Installationsskript mit der
mit HyperStore-Bereitstellungen kompatibel
(HTTPS) Option "no-dnsmasq", damit dnsmasq
sind. Die beliebtesten S3-Anwendungen und
- Cloudian Management-Konsole: Port auf dem System nicht installiert und ver- ihre Einsatzszenarien sind:
8888 (HTTP) und 8443 (HTTPS) wendet wird.
- Cloudberry Explorer: Ein Windows-Tool fr
die mhelose Verwaltung von Dateien in
Die vollstndige Liste der Listening-Ports, Eine vollstndige Tabelle der DNS-Ein- Amazon S3 und HyperStore. Cloudberry
die von HyperStore-Komponentenser- trge, die Sie auf Ihren Nameservern kon- stellt auerdem zahlreiche Unternehmens-
vices verwendet werden, finden Sie im figurieren mssen, um Endpunkte des und Desktop-Produkte zur Verfgung.
detaillierten Installationshandbuch. HyperStore-Services aufzulsen, finden - Cyberduck: Ein Browser fr FTP, SFTP,
Sie im Installationshandbuch. Standard- WebDAV und Cloud-Storage fr Mac und
Wenden wir uns nun der Einrichtung von mig leitet das HyperStore-System diese Windows.
DNS zu. Damit HyperStore ordnungsge- Endpunkte von der Top-Level-Domain - S3CMD: Befehlszeilen-Tool fr die Arbeit
m funktioniert, mssen die Endpunkte ab, die Sie whrend der Ausfhrung des mit Dateien in Amazon S3 und HyperStore.
des HyperStore-Services aufgelst werden interaktiven HyperStore-Installationspro- - Cloud Explorer: Dieses Tool ist hilfreich, um
knnen. Sie haben zwei Optionen, um End- gramms angeben. Performance-Tests auszufhren und die er-
punkte des HyperStore-Services auflsbar weiterten Funktionen von HyperStore ken-
zu machen: Das HyperStore-Produktpaket HyperStore installieren nenzulernen.
enthlt das schlanke Open-Source-Dienst- Zur standardmigen Neuinstallation von - AWS Java SDK: Die offizielle Java-Bibliothek
programm "dnsmasq" fr die Domnen- HyperStore auf einem oder mehreren von Amazon fr Amazon-Services, die auch
auflsung. Bei der Ausfhrung des Hyper- Knoten, die alle gleich viele Mount-Punk- mit Cloudian HyperStore verwendet werden
Store-Installationsskripts wird dnsmasq te fr die S3-Objektdatenspeicherung ha- kann.
standardmig installiert und automatisch ben, whlen Sie zunchst einen Ihrer Hy- - AWS Python SDK: Die offizielle Python-Bi-
so konfiguriert, dass alle Endpunkte des perStore-Hosts als Puppet-Masterknoten bliothek von Amazon fr Amazon-Services.
HyperStore-Services aufgelst werden. Bei aus. Von dort aus verwalten Sie die In-

72 Juli 2016 www.it-administrator.de


Cloudian HyperStore Schwerpunkt

genden Format ein: Der Regionsname ment Console" (CMC) fhrt in diesem rolle nicht ber ihren eigenen Account
muss aus Kleinbuchstaben ohne Punkte, Verzeichnis Skripte aus, die bestimmte fr den S3-Speicherservice verfgen.
Bindestriche, Unterstriche oder Leerzei- Clustervorgnge untersttzen. Jetzt klicken Sie auf "Manage Groups /
chen bestehen. Rechenzentrums- und New Group", um das Fenster "Add New
Rackname drfen keine Punkte, Unter- Test der Management-Konsole "zu ffnen, wo Sie eine neue Benutzer-
striche oder Leerzeichen enthalten: Sobald das HyperStore-System installiert gruppe anlegen.
und einsatzbereit ist, knnen Sie die Clou-
Regionsname,Hostname,IPv4-Adresse, dian Management Console verwenden, Anschlieend navigieren Sie zu "Manage
Rechenzentrumsname,Rackname um mit dem Service zu experimentieren Users / New User", um das Fenster "Add
und seine Funktionalitt zu testen. Navi- New User" zu ffnen. Erstellen Sie einen
Zum Beispiel: gieren Sie zunchst im Browser zu "http:// neuen gewhnlichen Benutzer und weisen
IP-Adresse_des_CMC-Hosts:8888/ Clou- Sie ihn der Benutzergruppe zu, die Sie im
tokyo,cloudian- dian". Die Verbindung wechselt automa- vorigen Schritt erstellt haben. Notieren
node1,10.10.2.1,DC1,RAC1 tisch auf SSL und Sie erhalten eine Zerti- Sie sich den Gruppennamen, die Benut-
fikatswarnung. Befolgen Sie die Eingabe- zer-ID und das Kennwort des Benutzers.
Nun starten Sie im Staging-Verzeichnis aufforderungen, um eine Ausnahme fr
das Installationsprogramm: das Zertifikat hinzuzufgen und es zu ak- Jetzt melden Sie sich von der CMC ab
zeptieren. Nun sollte der CMC-Anmelde- und melden Sie sich dann als der neu er-
root# ./cloudianInstall.sh -s bildschirm angezeigt werden. Hier melden stellte Benutzer an. An der CMC wird
survey.csv [no-dnsmasq] Sie sich als Systemadministrator mit der nun das Fenster "Buckets & Objects" an-
Benutzer-ID "admin" und dem Standard- gezeigt. Hier sollten Sie das System ein
Verwenden Sie die Option "no-dnsmasq" kennwort "public" an. Halten Sie in der wenig ausprobieren, in dem Sie beispiels-
nur dann, wenn Sie Ihre DNS-Umgebung CMC oben rechts den Mauszeiger ber weise einen neuen Speicher-Bucket er-
so konfiguriert haben, dass HyperStore- Ihre Benutzer-ID (admin), wird ein Drop- stellen. Dies ist erforderlich, bevor Sie
Servicedomnen so aufgelst werden wie downmen angezeigt. Klicken Sie darin Objekte hochladen. Erstellen Sie im Bu-
zuvor beschrieben. Fhren Sie ber das auf "Security Credentials", um das Fenster cket einen Ordner, ffnen diesen und la-
Men des Installationsprogramms die "Sign-In Credentials" zu ffnen. ndern den Sie eine Datei in ihn hoch. Abschlie-
Aufgabe "Install Cloudian HyperStore" Sie im Interesse der Sicherheit das System- end laden Sie die Datei herunter, indem
aus. Whrend dieser interaktiven Aufgabe administrator-Kennwort. Sie auf den Dateinamen klicken.
mssen Sie Informationen zur gewnsch-
ten HyperStore-Bereitstellung angeben. Klicken Sie auf die Registerkarte "Cluster", Fazit
dann auf "Storage Policies" und dann auf Die grte Herausforderung bei SAN/
Klicken Sie nach Abschluss der Installa- "Create Storage Policy", ffnet sich das NAS-Systemen ist die Skalierbarkeit in Sa-
tion im Men des Installationsprogramms entsprechende Fenster. Hier erstellen Sie chen Kapazitt, Leistung und Kosten. NAS
auf "Cluster Management" und im nun eine erste Standard-Speicherrichtlinie fr kann im Normalfall keine Multi-PByte-
angezeigten Untermen auf "Run Valida- Ihr System. Eine Speicherrichtlinie ist eine Umgebungen kosteneffizient und benut-
tion Tests", um zu berprfen, ob das Methode, um Objektdaten und Objekt- zerfreundlich verwalten. SANs knnen
System funktionsfhig ist. Metadaten von S3 zu speichern und zu ebenfalls komplex im Management werden,
schtzen. Geben Sie fr "Group Visibility" vor allem mit einem separaten Filesystem.
Lassen Sie nach der Installation und der keinen Wert an, sodass diese Richtlinie Doch das rasche Datenwachstum in den
berprfung das Staging-Verzeichnis aus fr alle Gruppen sichtbar ist. Sie knnen Unternehmen wird dazu fhren, dass auch
der Installation auf dem Puppet-Master diese Richtlinie zu einem spteren Zeit- eine breitere Anzahl von IT-Organisationen
unverndert, solange Ihr HyperStore-Ser- punkt bearbeiten, zustzliche Richtlinien sich mit dem Thema der objektorientierten
vice vorhanden ist. Die "Cloudian Manage- erstellen und auf Wunsch eine andere Datenspeicherung beschftigt. Mit Hyper-
Richtlinie als Standardrichtlinie des Sys- Store in der freien Edition haben Sie ein
tems festlegen. Bentigen Sie Hilfe zur Werkzeug, sich in dieser neuen Welt um-
Link-Codes
Erstellung von Speicherrichtlinien, klicken zusehen. Wir haben gesehen, dass der Auf-
[1] HyperStore-Webseite Sie an der CMC-Benutzeroberflche oben bau einer solchen Storage-Infrastruktur re-
G7Z71 rechts auf "Hilfe". lativ einfach auf Hardware von der Stange
[2] HyperStore-Dokumentation mglich ist. Und auch eine der wichtigsten
G7Z72 ffnen Sie die Registerkarte "Users & Anfoderungen der Cloud-Welt ist gegeben:
[3] Download der kostenlosen Groups", um eine gewhnliche Benut- die volle S3-Kompatibilitt. (jp)
HyperStore-Variante zeranmeldung fr den S3-Service zu er-
G7Z73
stellen, mit der Sie die S3-Objektspei- Jacco van Achterberg ist Sales Director
[4] HyperStore-Installationsanweisung cherservices des Systems testen knnen. EMEA und Adam Dagnall ist Solutions
G7Z74
Dabei kann die Systemadministrator- Architect bei Cloudian.

Link-Codes eingeben auf www.it-administrator.de Juli 2016 73


CloudForms & ManageIQ

Management
mit IQ
von Martin Loschwitz

ManageIQ verspricht Admins die effiziente

Qu
ell
Verwaltung von virtuellen Umgebungen.

e:
ma
ck
ofl
Als Bestandteil von CloudForms vermarktet

ow
er
Red Hat ManageIQ auch kommerziell.

1
23
RF
Ein berblick ber die Mglichkeiten,
die die Software bietet.

irtualisierung ist im Admin-All- sierung auf vielen verschiedenen Plattfor- ment Database" (VMDB), in der Mana-
V tag ein absolutes Standardwerk- men ermglicht. geIQ smtliche Laufzeit- und Konfigura-
zeug. Neben quelloffenen Lsungen wie tionsdaten ablegt. Sie luft auf einem se-
KVM oder Xen buhlen auch kommer- Der Admin nutzt also stets das gleiche paraten Host oder zusammen mit der
zielle Werkzeuge wie VMware um die Interface und ManageIQ sorgt dafr, dass Engine auf dem gleichen System.
Gunst der Nutzer. Hinzu gesellt sich eine im Hintergrund die ntigen Arbeitsschrit-
Heerschar von Werkzeugen, die allesamt te auf Plattformen wie VMware oder Eine Komponente namens "SmartProxy"
die Nutzung einer dieser Virtualisierungs- OpenStack stattfinden. Auch um platt- fungiert als Brcke zwischen virtuellen
methoden einfacher machen sollen. Dazu formbergreifende Automatisierung und Umgebungen und ManageIQ: Das Pro-
gehren auch die Cloud-Plattformen wie das Lifecycle-Management von virtuellen gramm funktioniert als Agent und sam-
OpenStack oder CloudStack. Instanzen kmmert sich ManageIQ. Die- melt vor Ort die Daten ein, die anschlie-
ser Artikel zeigt, was sich mit dem Tool end in der ManageIQ-Datenbank lan-
Solange Admins nur mit einer der be- bewerkstelligen lsst. den und dort von der Engine-Appliance
schriebenen Lsungen zu tun haben, ist weiterverarbeitet werden. Es setzt auch
die Situation entspannt: Dann erledigen Die Architektur der Plattform die Befehle um, die die ManageIQ-Ap-
sie alle notwendigen Arbeiten ber ein Red Hat vermarktet sein Produkt als "Ma- pliance fr eine spezifische Umgebung
Frontend und haben eine zentrale Steuer- nagement-Zentrale fr virtuelle Umge- vorgibt. Weil die ManageIQ-Appliance
stelle. Wer allerdings mehrere Anstze mit- bungen". Kern der Lsung ist eine eigene selbst keine eigene Server-Komponente
einander kombinieren will oder muss, sieht Appliance, die Administratoren sich in hat, kommt noch der "Appliance-Server"
sich mit vielen Lsungen und unterschied- Form einer fertigen virtuellen Maschine hinzu. Er ist direkt mit der ManageIQ-
lichen Konfigurationsschnittstellen kon- direkt von der ManageIQ-Projektwebsite Engine verbunden und erlaubt die Kom-
frontiert. Perfekt ist das Chaos, wenn pri- herunterladen [1]. Zur Verfgung stehen munikation dieser mit den SmartProxies
vate Cloud-Umgebungen und ffentliche neben Abbildern fr KVM und Hyper-V und der VMDB.
Clouds hinzukommen dann multipliziert auch Images fr die Nutzung in Open-
sich der Aufwand. Fr Admins, die dieses Stack. Die Einstiegshrde fr ManageIQ Kernfunktionalitt
Problem nervt, stellt Red Hat die Software ist also niedrig. Die Management-Engine selbst bietet di-
ManageIQ und als kommerzielle Variante verse Funktionen, die sich grob in vier
CloudForms zur Verfgung: ManageIQ Die Appliance enthlt als zentrale Kom- Kategorien aufteilen lassen. Da ist zu-
ist ein zentrales Konfigurationswerkzeug, ponente die ManageIQ-Engine, die alle nchst die Kategorie, die sich um das Be-
das unter der einheitlichen Oberflche ei- Befehle entgegennimmt und verarbeitet. obachten konfigurierter Umgebungen
nes Programms das Steuern von Virtuali- Dazu gesellt sich die "Virtual Manage- kmmert: Sie interpretiert verschiedene

74 Juli 2016 www.it-administrator.de


CloudForms & ManageIQ Schwerpunkt

Anschluss an den Login erscheint ein


Auswahlmen, ber das sich verschiedene
Parameter von ManageIQ steuern lassen
etwa die Uhrzeit oder der Hostname,
den ManageIQ nutzt. Wer eine spezielle
Netzwerkkonfiguration bentigt, damit
das Webinterface berhaupt erreichbar
wird, tut das ebenfalls per SSH ber die
Kommandozeile. Die Konfiguration des
"admin"-Nutzers und mithin dessen Pass-
wort lassen sich jedoch ausschlielich per
Webinterface verndern.

Bild 1: Die ManageIQ-Appliance lsst sich problemlos innerhalb einer Cloud betreiben, ManageIQs interne
solange sie per Netz ihre Ziel-Umgebungen erreicht. Nutzerverwaltung
ManageIQ bringt ein vollstndiges User
Werte im Bezug zur Auslastung, zur Nut- nageIQ praktisch beschftigen. Red Hat Management mit. Es lsst sich also dezi-
zung und zur Verfgbarkeit von Accounts bietet die Software als fertige Appliance diert festlegen, welcher Nutzer welche
in virtuellen Umgebungen. Eine Analy- in mehreren Formaten zum Download Funktionen verwenden darf. Das ist prak-
se-Komponente hilft dabei, die Nutzung an; etwa als OVA-Image fr den Betrieb tisch, weil sich die ManageIQ-Account-
besser zu planen. Dazu verwendet sie Re- in VirtualBox oder als Qcow2-Container Verwaltung als zentrale Stelle fr Berech-
port-Daten, die ManageIQ ebenfalls von fr OpenStack. Die Herangehensweise ist tigungen in einem Unternehmen ein-
selbst sammelt und auswertet. Fr das immer die gleiche: Nach dem Download setzen lsst. Die Umgebungen, die Ma-
Einsammeln dieser Daten ist der erwhn- des gut 1,6 GByte groen Images steht nageIQ im Hintergrund verwaltet, brau-
te SmartProxy zustndig. der Import desselben in die gewhlte Vir- chen sich um das User-Management also
tualisierungslsung an. nicht kmmern. Diesen gegenber tritt
Hinzu kommt ein ganzer Satz an Funktio- ManageIQ als Benutzer-Account auf, der
nen, um virtuelle Umgebungen zu steuern. Nach dem Start einer VM auf Basis des jeweils die Berechtigungen des Adminis-
Neben dem Starten und Stoppen virtueller Images und dem Zuweisen einer ffent- trations-Users hat.
Systeme gehrt dazu das berwachen von lichen oder privaten IP-Adresse ist das
sicherheitsrelevanten Aspekten sowie die Einloggen mglich. Der Benutzername Wie immer in der Unix-Welt gilt, dass
Alarmierung im Notfall. Auch hier trifft lautet in der Standardkonfiguration "ad- die Arbeit als "admin" grundstzlich keine
wiederum das Engine die eigentliche Ent- min" und das Passwort "smartvm". Frei- gute Idee ist. Stattdessen empfiehlt es sich,
scheidung und der SmartProxy ist im An- lich sollte der erste Schritt nach dem Start Benutzerzugnge mit beschrnkten Rech-
schluss dafr zustndig, diese auf der je- der ManageIQ-Appliance darin liegen, ten anzulegen und im laufenden Betrieb
weiligen Zielplattform zu verwirklichen. das Passwort zu ndern. auf diese zu setzen. Der bentigte Men-
Punkt dafr war bereits Thema: Er ist per
In Sachen Automatisierung und Orches- Der Men-Eintrag, ber den sich das Pass- Klick auf "Settings / Access Control" zu
trierung mischt ManageIQ ebenfalls mit. wort ndern lsst, versteckt sich in Ma- erreichen unter dem Button "Configu-
In virtuellen Umgebungen lassen sich nageIQ allerdings an nicht ganz intuitiver ration" erscheint dann der Eintrag "Add
VMs also nicht nur starten, sondern Stelle. Hier merkt der Admin zum ersten a new user". Smtliche Felder sind Felder
gleich auch so automatisiert herrichten, Mal, dass ManageIQ eben nicht nur eine fr Freitext, bei denen sich beliebige Wer-
dass sie fr ihren spteren Einsatzzweck GUI fr die Verwaltung mehrerer VMs in te eintragen lassen bis auf das letzte:
zu gebrauchen sind. Virtualisierungsumgebungen ist, sondern Dort geht es um die Gruppe, zu der ein
ein komplettes Framework fr das Deploy- neuer Nutzer gehrt. Die Wahl bei diesem
Der vierte Themenkomplex beschftigt ment von VMs: ber "Settings / Configu- Feld wirkt sich auf die Mglichkeiten des
sich mit der Integration in andere Systeme rations" im Auswahlmen auf der linken neuen Nutzers aus, denn unterschiedliche
oder Prozesse: ber verschiedene Ma- Seite gelangen Sie zum "Access Control"- Gruppen haben innerhalb von ManageIQ
nageIQ-Schnittstellen lsst sich die Lsung Men, in dem sich der Nutzer "admin" unterschiedliche Berechtigungen.
in vorhandene Ablufe einbauen und zum auswhlen lsst. Ein Klick auf "Configu-
Teil auch von Diensten, die nicht zu Ma- ration / Edit this User" fhrt zur Maske Berechtigungen ber Rollen
nageIQ gehren, steuern und verwalten. fr die Eingabe eines neuen Passworts. ManageIQ bildet ber Gruppen ein typi-
sches Rechteschema ab, wie es bei prak-
Erste Schritte in der Praxis ManageIQ konfigurieren tisch jedem Unternehmen zu finden ist.
Die etwas abstrakte Beschreibung wird Neben der Verbindung per Webbrowser Nicht jeder Benutzer darf automatisch al-
verstndlicher, wenn Sie sich mit Ma- steht auch der Login per SSH bereit. Im les vereinfacht dargestellt knnte es etwa

www.it-administrator.de Juli 2016 75


S ch we rp unk t CloudForms & ManageIQ

eine "Praktikanten"-Gruppe geben, deren erreichen sind. Dort lsst sich etwa fest- nageIQ nichts, wenn es keine Ziel-Platt-
Mitglieder grundstzlich nur lesenden legen, dass die ManageIQ-Instanz auch formen fr den Betrieb von VMs im Hin-
Zugriff auf ManageIQ haben, dessen Kon- als Mirror fr das Red Hat Network tergrund kennt. ManageIQ unterscheidet
figuration aber nicht verndern drfen. (RHN) fungiert. Wichtig: Fr jeden Ma- zwischen zwei Arten von Anbietern:
Die Gruppe der VM-Administratoren nageIQ-Instance-Knoten sollte die Funk- Cloud-Anbietern auf der einen Seite ste-
darf im Beispiel virtuelle Systeme inner- tion "Automation Engine" aktiviert sein, hen Infrastrukturanbieter auf der ande-
halb virtueller Umgebungen steuern, aber denn sonst klappt das Provisionieren vir- ren Seite gegenber. Die Trennung ist al-
keine neuen Nutzer anlegen. Admins wie- tueller Systeme spter nicht. lerdings unscharf, denn freilich ist auch
derum steht die gesamte ManageIQ- ein Cloud-Anbieter ein Infrastrukturan-
Funktionalitt zur Verfgung. SmartProxy aktivieren bieter. Letztlich geht es dem Hersteller
Eingangs fand bereits der SmartProxy Er- hier offensichtlich darum, zwischen "etab-
ManageIQ arbeitet mit drei unterschied- whnung, der fr ManageIQ zwischen den lierter" Virtualisierung etwa mit VMware
lichen Ebenen: Nutzer gehren Gruppen Virtualisierungsumgebungen und der Ma- und Cloud-Virtualisierung (OpenStack,
an, denen wiederum Rollen zugewiesen nageIQ-Engine bersetzt. Der Dienst muss Amazon AWS) deutlich zu unterscheiden.
sind. Rollen legen letztlich fest, welche Be- in einer ManageIQ-Umgebung vorhanden Die Einrichtungsprozesse der beiden An-
rechtigungen eine Gruppe hat. Die Zuwei- sein und luft wahlweise direkt auf der Ap- bieter-Typen sind im Detail dann auch
sung von Rechten an Nutzer geschieht also pliance oder auf einem anderen Host. Wer unterschiedlich.
ber den Umweg der Gruppe. Ab Werk Variante eins mchte, muss SmartProxy
kommt ManageIQ mit einer greren aber hndisch aktivieren. Denn in der Ap- Einen Cloud-Anbieter einrichten
Menge vordefinierter Rollen, deren Be- pliance ist er ab Werk abgeschaltet. Das Der Konfigurationsassistent fr Cloud-
rechtigungen festgelegt und durch den Ad- Aktivieren des SmartProxy geschieht ber Anbieter versteckt sich hinter dem Me-
min auch nicht zu ndern sind. Wer mit den Menpunkt "Settings / Configura- n-Eintrag "Compute / Clouds / Provi-
eigenen Rollen arbeiten oder die Rechte- tion". Nach einem Klick auf "Zones" und der". Ab Werk ist hier kein Anbieter
vergabe verndern will, legt sich stattdessen "Default Zone" erscheint der Host-Eintrag. definiert, ein Klick auf "Configuration /
eigene Rollen an. Der Weg dorthin fhrt Bei der Auswahl der ManageIQ-Engine Add new Cloud Provider" legt einen Blan-
wieder ber "Settings / Access Control". erscheint wieder rechts die Liste der ver- ko-Eintrag an. Alternativ beherrscht Ma-
Direkt unter dem erwhnten "Users"-Me- fgbaren Dienste. Hier sollte "SmartProxy" nageIQ automatisches Discovery von
npunkt befinden sich die "Groups" und auf "On" stehen. Dann legt ein Klick auf Cloud-Diensten: Wer diese Option whlt,
"Roles"-Menpunkte, die zu den entspre- "Ok" die Konfiguration an. gibt ein Netzwerk an, das ManageIQ an-
chenden Konfigurationen fhren. Gut ge- schlieend nach passenden Schnittstellen
lst ist die Vergabe spezifischer Berechti- Der Weg zu absucht. Wird es fndig, trgt der Admin
gungen: Fr jede Rolle steht in einem virtuellen Umgebungen blo noch die passenden Nutzerdaten ein.
Ausklappmen auf der rechten Seite, wel- Wenn die grundlegende ManageIQ-Kon- Will er stattdessen die gesamte Konfigu-
che Berechtigungen jeweils vergeben sind. figuration abgeschlossen ist, steht die ration hndisch durchfhren, steht im
Konfiguration der virtuellen Umgebun- ersten Schritt die Konfiguration des "Ty-
Es wrde an dieser Stelle den Rahmen gen auf dem Plan. Schlielich bringt Ma- pe" der Wolke. ManageIQ untersttzt ne-
sprengen, die Benutzerverwaltung von
ManageIQ bis ins kleinste Detail zu er-
lutern. Letztlich muss die Art und Weise,
wie ManageIQ mit Rechten und Gruppen
umgehen soll, ohnehin direkt im Betriebs-
konzept fr eine Plattform vorgegeben
sein. Wer ManageIQ also nutzen mchte,
macht sich besser frhzeitig ber Berech-
tigungen und Gruppen Gedanken. Im
Beispiel gengt es, einen Nutzer anzule-
gen und ihn der Gruppe "Operator" zu-
zuschlagen dann darf er spter VMs in
virtuellen Umgebungen steuern, aber et-
wa keine neuen Nutzer erstellen oder die
Konfiguration von ManageIQ ndern.

Die ManageIQ-Appliance bietet weitere


Konfigurationsmglichkeiten, die ber
"Settings / Configuration" und die Aus- Bild 2: Compliance-Regeln legen fest, dass bestimmte Zustnde von VMs
wahl des Hosts in der "Default Zone" zu zu automatischen Aktionen fhren.

76 Juli 2016 www.it-administrator.de


CloudForms & ManageIQ Schwerpunkt

ben OpenStack auch Amazon EC2, Mi-


crosoft Azure und GCE (Google Cloud
Engine). Je nach Auswahl erscheinen
dann unterschiedliche Textfelder, die ent-
sprechend auszufllen sind. ManageIQ
erwartet grundstzlich, dass es in anderen
Umgebungen mit Admin-Rechten han-
tieren darf. Denn nur so kann es smtli-
che bentigten Daten auslesen und smt-
liche Aktionen ausfhren, die fr seine
reibungslose Funktionalitt bentigt wer-
den. Die jeweiligen Werte sind der Do-
kumentation des eigenen Cloud-Anbie-
ters zu entnehmen.
Bild 3: Erst wenn eine Policy mit einer Aktion verknpft ist,
Nach erfolgreichem Abschluss der Konfi- passiert im Falle des Eintretens des Kriteriums auch tatschlich etwas.
guration verbindet sich ManageIQ mit den
APIs des Cloud-Anbieters und holt von genutzt. Denn das Programm hat seine Policies anlegen
dort alle verfgbaren Infos ein, um sie an- groen Strken besonders beim automa- Das Anlegen von Control- und Compli-
schlieend in der eigenen GUI aufbereitet tischen und orchestrierten Deployment ance-Policies geschieht in ManageIQ ber
darzustellen. Genau hier kommt der und bei der Analyse der laufenden Pro- den Menpunkt "Control / Explorer".
SmartProxy ins Spiel, den MaangeIQ im zesse. Fr Letztere sind die so genannten Dort finden sich oben die Eintrge fr
Hintergrund automatisch fr das Zusam- "Policies" zustndig: ManageIQ unter- beide Policy-Arten ist eine Art ausge-
menspiel mit der Cloud konfiguriert. scheidet zwischen Compliance-Policies whlt, fhrt "Configuration" oben zum
und Control-Policies. Button fr eine neue Regel. Die Ma-
Wer anstelle einer Cloud-Umgebung ei- nageIQ-Dokumentation enthlt genauere
nen Infrastrukturanbieter wie VMware Compliance-Policies erlauben es dem Ad- Angaben ber die mglichen Optionen
in ManageIQ anlegen will, geht analog ministrator, Regeln festzulegen, die fr fr Policies [2] das Prinzip ist in allen
zur Cloud-Anleitung vor. Der passende den Betrieb von virtuellen Maschinen ge- Fllen gleich: Einzelne "Felder" ("Fields"),
Punkt in der GUI befindet sich bei "Com- geben sein mssen. Ein einfaches Beispiel deren Werte ManageIQ per SmartState-
pute / Infrastructure / Providers". Der wre die Anforderung, dass eine virtuelle Analyse fr die jeweilige VM ausfllt, ver-
Klick auf "Configuration" fhrt zu "Add Maschine innerhalb einer Plattform nur gleicht die Lsung mit einem manuell de-
new Infrastructure Provider", und erneut dann laufen darf, wenn bestimmte Sicher- finierten Sollzustand.
startet ein Assistent mit einem "Type"- heitspatches in ihr installiert sind. So stellt
Auswahlfeld. Neben Microsoft System der Admin sicher, dass virtuelle Systeme Wichtig im Zusammenhang mit Policies
Center und VMware stehen hier auch der nicht dauerhaft fr Fehler wie den SSL- sind Aktionen, zu erreichen ber den Me-
OpenStack Platform Director sowie Red Heartbleed-Bug verwundbar sind. npunkt "Control / Actions". Wenn eine
Hats Enterprise Virtualization Manager Policy- oder Compliance-Regel greift,
zur Verfgung. Wer also in Sachen Vir- Control-Policies beziehen sich auf den fhrt sie eine Aktion ("Action") aus, die
tualisierung schon auf Red Hat setzt, kann Status eines Setups insgesamt: Per Con- mit ihr assoziiert ist. ManageIQ bringt ei-
auch mehrere Instanzen von RHEV mit- trol-Policy legt ein Admin etwa fest, dass nige beispielhafte Aktionen ab Werk mit,
tels ManageIQ verwalten. Nach Eingabe ManageIQ eine "Smart-State-Analyse" ei- ansonsten lassen sich aber freilich auch
der Verbindungs- und Nutzerdaten fhrt ner VM durchfhren soll, nachdem diese lokale Regeln ber den "Configuration"-
ein Klick auf "Ok" dazu, dass die Ressour- gestartet ist. Unter dem etwas sperrigen Button oben definieren.
cen des jeweiligen Infrastrukturanbieters Begriff versteht der Hersteller einen Pro-
zu sehen sind. zess, der der VM auf den Zahn fhlt und Automatisierung
zum Beispiel eine Liste aller in ihr vor- fr virtuelle Umgebungen
Virtuelle Instanzen handenen Nutzer ausliest. Im Wesentli- Red Hat kdert Kunden fr ManageIQ
mit ManageIQ steuern chen geht es also um Inventarisierung. nicht nur mit dem Versprechen, endlich
Alle grundlegenden Operationen im Hin- Solche Analysen sind aber nicht die ein- eine einheitliche Oberflche zur VM-Ver-
blick auf virtuelle Instanzen lassen sich zigen Aktionen, die sich mit Control-Po- waltung zu bieten und dort spezifische
nun bereits durchfhren: Dazu gehrt das licies verbinden lassen; andere Optionen Aufgaben zu standardisieren. Die Lsung
Verwalten vorhandener genauso wie das sind etwa das Auslsen einer automati- greift auch in den Start von VMs in vir-
Starten neuer VMs. Wer ManageIQ nur schen Rekonfiguration, wenn neue VMs tuellen Umgebungen ein: ManageIQ
fr diesen Zweck nutzt, lsst das eigentlich im Setup gestartet werden, oder der Neu- bringt ein vollstndiges Automatisie-
groe Potenzial der Lsung allerdings un- start einzelner Dienste. rungsframework mit, das sich sogar fr

www.it-administrator.de Juli 2016 77


S ch we rp unk t CloudForms & ManageIQ

CloudForms
Wie erwhnt existiert ManageIQ nicht nur
als ein eigenstndiges Projekt, sondern wird
von Red Hat auch als die zentrale Kompo-
nente von CloudForms vermarktet. Wer
CloudForms kauft, bekommt neben einem
anderen Theme fr das CloudForms-UI
vorrangig Support seitens des Herstellers.
Wegen der hohen Komplexitt der Lsung
zahlt sich der in vielen Fllen sogar aus,
und gerade beim ersten Setup von Ma-
nageIQ drfte der Admin sich ber hel-
fende Hnde freuen. ber Preise schweigt
sich der Hersteller auf seiner Website aus,
diverse Hndler verkaufen den Standard-
Vertrag fr knapp 1700 US-Dollar pro So-
ckel-Paar. Alternativ ist CloudForms auch
Bild 4: CloudForms von Red Hat basiert im Kern auf ManageIQ, bringt aber ein anderes Theme mit als Bestandteil von Red Hats "Cloud Infra-
und bietet Zusatzdienste wie einen Marktplatz fr fertige VM-Images. structure"-Paket verfgbar, schlgt dort
aber mit deutlich hheren Betrgen zu Bu-
hybride Setups eignet. Gemeint ist, dass Damit ManageIQ berhaupt Alarme ver- che, weil auch Red Hats OpenStack-Platt-
die Automatisierungs-Engine in Ma- sendet, muss mindestens einer Applian- form und die Enterprise-Virtualisierung
nageIQ auf Basis einer Beschreibung ei- ce-Instanz von ManageIQ innerhalb eines (also RHEV) enthalten sind.
ner Umgebung aus virtuellen Maschinen Setups die "Notifier"-Rolle zugewiesen sein.
("Template") diese auf mehrere Anbieter Das geht in den Einstellungen der jewei- Fazit
verteilen kann, also etwa zu 50 Prozent ligen Engine-Instanz, wo zuvor auch die ManageIQ oder in der kommerziellen Va-
auf eine ffentliche und zu 50 Prozent Aktivierung des SmartProxy-Dienstes riante CloudForms ist ein sehr mchtiges
auf eine private Cloud. Die Automati- stattfand. Werkzeug fr die Verwaltung virtueller
sierungs-Engine von ManageIQ umfasst Umgebungen. Von der simplen Steuerung
viele Funktionen: Komplette Webserver- Sobald ein Host Notifier ist, lassen sich virtueller Maschinen bis zur vollen Auto-
Set-ups, bestehend aus Datenbanken, Alerts ber "Control / Explorer" konfi- matisierung ganzer VM-Stacks in einer
App-Servern und Loadbalancern, lassen gurieren. Zur Auswahl stehen zwei Alar- spezifischen Ziel-Plattform bleibt kein
sich per Mausklick starten. Wie Templa- mierungsmechanismen: Entweder ver- Wunsch unerfllt. Alerting und umfang-
tes fr ManageIQ aussehen mssen, be- schickt ManageIQ E-Mails an eine zuvor reiches Reporting erlauben die sinnvolle
schreibt Red Hat in einem eigenen Do- festgelegte Adresse oder es sendet SNMP- Planung der Nutzung in ffentlichen wie
kument unter [3]. Traps an ein entsprechendes Monitoring- privaten Clouds. Freilich kommt der rie-
System. Wenn dieses die Option zum sige Funktionsumfang mit einer Kehrseite,
Alarme einrichten SMS-Versand hat, lassen sich ManageIQ- denn die Lernkurve ist bei ManageIQ
Beeindruckend sind die Alerting-Fhig- Alarme also zum Beispiel auch auf das recht steil. Zwar lsst sich die Anwendung
keiten, die ManageIQ bietet. Denn diese Mobiltelefon eines Bereitschaftshabenden selbst als Appliance sofort in Betrieb neh-
fuen auf einer Vielzahl von Faktoren: bermitteln. men. Doch bis der Admin Policies und
Neben hndisch definierten Kriterien sind Regeln soweit verstanden hat, dass er sie
auch Alarme mglich, die sich auf den Cluster-Funktionen in ManageIQ effektiv einsetzen kann, steht viel Doku
Auslastungs-Zustand einer virtuellen Um- ManageIQ oder dessen Appliance ist kein auf der Leseliste. Wer ein effektives Werk-
gebung oder einzelner VMs darin bezie- Single Point of Failure: Es ist mglich, zeug sucht, um virtuelle Umgebungen
hen. ManageIQ verschickt in solchen Fl- den "Engine Server" mehrfach innerhalb zentral zu steuern, sollte sich diese Mhe
len etwa eine E-Mail, wenn die stndige einer Engine-Zone zu betreiben. Die allerdings machen. (of)
Last einer VM ber einem durch den Ad- Kommunikation untereinander berneh-
min definierten Grenzwert liegt. Hier men dann die ManageIQ-Instanzen au- Link-Codes
macht sich die stndige Analyse der von tomatisch, sobald sie miteinander bekannt
ManageIQ verwalteten VMs und Hosts gemacht sind. Sie sorgen auch automa- [1] ManageIQ-Download
G7Z61
bemerkbar. Ganz hnlich wie ein Moni- tisch dafr, dass einzelne Aufgaben nur
toring-System ist ManageIQ ber den Zu- von einer der beiden Instanzen durchge- [2] Policies in ManageIQ
G7Z62
stand der laufenden VMs und der betrof- fhrt werden, damit es nicht durch un-
[3] Templating in ManageIQ
fenen Computing-Umgebungen also erwnschte Doppelungen zu schdlichen
G7Z63
immer informiert. Nebeneffekten kommt.

78 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


Cloud-Management mit Scalr

Richtig
skaliert
von Oliver Frommel

Amazon bietet zur Verwal-


tung seiner Cloud-Dienste
eine umfangreiche Web-GUI.
Bei der Google Cloud ist das
Management dagegen aufs
Wesentliche reduziert. Scalr
bietet ein webbasiertes
Management-Tool fr bei-
de Clouds, das zustzlich
auch Azure und OpenStack
verwalten kann. Wir haben
uns Scalr genauer angesehen.

Quelle: bowie15 123RF

er sich ein Cloud-Framework wie SaaS-Angebote wie etwa die Datenbank- des Projekts steht unter der Apache-Li-
W OpenStack installiert, wird wohl Dienste bleiben auen vor, stattdessen zenz und ist auf Github zu finden [2].
zuerst enttuscht sein, denn zunchst lsst mssen Anwender eine VM verwenden
sich damit wenig anfangen, auer eben und darin eine Datenbank betreiben. Das Groe Anforderungen
mal ein virtuelle Maschine zu starten. Da- bedeutet einerseits, dass Cloud-Anwen- Am besten verwenden Sie zur Installation
mit eine Cloud zum Leben erwacht, ms- dungen dem klassischen Muster "vernetz- von Scalr einen repektive mehrere eigene
sen passende Anwendungen installiert te VM-Instanzen" gehorchen mssen, Server, denn es installiert einen Webser-
werden, die miteinander kommunizieren dass aber andererseits damit ansatzweise ver auf Port 80. Auch sollte der Rechner
und auf Wunsch auch dynamisch skalie- die Portabilitt solcher Konstrukte zwi- ber ausreichend Speicher verfgen, also
ren. Eine Hilfe bei der Erstellung solcher schen Cloud-Anbietern gewhrleistet ist. mindestens 8 GByte RAM. Die Scalr-Ent-
Cloud-Anwendungen gibt das Manage- wickler empfehlen, fr die einzelnen
ment-Tool Scalr. Scalr gibt es in verschiedener Ausfhrung Komponenten jeweils eigene Rechner ab-
fr unterschiedliche Ansprche. Die Hos- zustellen, aber fr eine Evaluation gengt
Scalr [1] untersttzt die ffentlichen ted Edition startet bei 99 US-Dollar pro eine Instanz. Auerdem untersttzt der
Clouds von Amazon und Microsoft sowie Monat einschlielich 5000 "Scalr Com- neue Installer nur 64-Bit-Rechner respek-
eine Handvoll privater Cloud-Frame- pute Units". Jede weitere SCU kostet 2 tive -Distributionen. Sie knnen den Ser-
works, von denen die meisten auf Open- US-Cent. Die Enterprise-Edition bietet ver in ihrem eigenen Netz oder in der
Stack basieren. Scalr bietet allerdings nicht 24-Stunden-Support, Hochverfgbarkeit, Cloud installieren, aber Sie mssen dafr
den kompletten Funktionsumfang der Single-Sign-on, Training und weitere Fea- sorgen, dass die verwaltete Cloud und die
Anbieter und beschrnkt sich etwa bei tures. Den Preis dafr mssen Kunden einzelnen Instanzen den Scalr-Server er-
Amazon auf die Haupdienste wie den mit dem Hersteller individuell aushan- reichen knnen. Auer dem Port 80 und
Compute-Dienst EC2, den Loadbalancer deln. Wer Scalr ausprobieren mchte, dem Port 443 mssen Sie an der Firewall,
ELB, Elastic Block Storage (EBS), den kann dies mit der Community-Distribu- die den Scalr-Server schtzt, die Ports
DNS-Dienst Route 53 oder den Monito- tion tun, die wir im Folgenden auf einer 8008 bis 8014 freischalten, ber die der
ring-Service CloudWatch. Die vielen AWS-Instanz installieren. Der Quellcode Server mit seinen Agenten kommuniziert.

www.it-administrator.de Juli 2016 79


S ch we rp unk t Scalr

Wir zeigen im Folgenden die Installation trge im Admin-Account berhaupt Account-Dashboard prsentierten Link
der Scalr Community Edition auf einer nicht vorhanden sind. Um also wirklich "Add cloud credentials". Nach einem Klick
Ubuntu-Distribution. Ein Scalr-Paket mit Scalr arbeiten zu knnen, legen Sie darauf zeigt Scalr eine Liste der Cloud-
mssen Sie dazu gar nicht von der Home- zuerst ber das Men "Accounts" und Umgebungen, die es verwalten kann. Bei
page downloaden. Stattdessen laden Sie "New Account" einen neuen Benutzer an den "Public Clouds" sind dies derzeit
als Erstes ein Skript von Scalr herunter, und geben sie ihm die passenden Rechte. Amazon EC2 (AWS), Google Compute
das trotz seines Namens kein Debian-Pa- Die Eingabe des Passworts knnte etwas Engine (GCE), IDC Frontier, Rackspace
ket, sondern ein Shellskript ist, das die schwierig werden, den Scalr setzt dabei (OpenStack) und Azure. Private Clouds,
Software-Repositories und den zugeh- ein mindestens 15 Zeichen langes Wort die Scalr managen kann, sind: Apache
rigen Public Key enthlt, um die Pakete mit einer Zahl, einem Sonderzeichen so- Cloudstack, OpenStack, Mirantis (OpenS-
zu verifizieren: wie Gro- und Kleinbuchstaben voraus. tack), VMware VIO (OpenStack), Cisco
Ob es so sinnvoll ist, Passwrter zu ver- Metapod (OpenStack) und HP Helion
$ curl -L wenden, die man sich nicht merken kann (OpenStack).
https://packagecloud.io/install/ und deshalb notieren muss, sei dahinge-
repositories/scalr/scalr-server- stellt. Sinnvoller ist es wohl, im Admi- Fr die Amazon-Cloud geben Sie eine
oss/script.deb | sudo bash nistrations-Interface fr den Admin-User Access Key ID und den zugehrigen Se-
Zwei-Faktor-Authentifizierung einzustel- cret Access Key ein, die Sie in der AWS
Nun knnen Sie die Scalr-Software mit len, die sich mit dem Google Authenti- Management Console unter IAM (Iden-
einem Aufruf von Apt-Get installieren: cator verwenden lsst [3]. Auerdem tity and Access Management) finden oder
knnen Sie IP-Whitelisten einrichten, die erzeugen knnen. Hier wird noch einmal
$ sudo apt-get install -y den erlaubten Zugriff auf das Scalr-In- deutlich, dass es ratsam ist, die Scalr-In-
scalr-server terface begrenzen. stallation bestens abzusichern, denn wenn
Fremde an die Zugangsdaten eines Pu-
Die zugehrigen Dateien landen vorwie- Haben Sie sich als Benutzer eingeloggt, blic-Cloud-Accounts wie fr AWS kom-
gend im Verzeichnis "/opt/scalr-server/". sehen Sie oben einige Meneintrge wie men, knnen sie damit allerhand anstellen
Anschlieend fhren Sie mit scalr-server- "Dashboard", "Farms", "Roles", "Images", und das kann schnell teuer werden.
wizard die initiale Konfiguration der Soft- "Servers", "Scripts", "System Log" und
ware durch. Sind Sie mit der Konfigura- "Scripting Log". Dabei handelt es sich aber Sind die Cloud Credentials eingegeben,
tion zufrieden, die der Wizard am Ende nur um Bookmarks fr die Men-Eintr- gelangen Sie ber den Link "Start Mana-
anzeigt, fhren Sie das folgende Kom- ge, die Sie ber das Hauptmen erreichen, ging Cloud Resources" in die GUI (Bild
mando aus: das sich links oben hinter dem Scalr-Sta- 1), in der die Hintergrundfarbe des Me-
pel-Logo verbirgt. ns blau ist. Grn steht dagegen fr das
$ sudo scalr-server-wizard Management der Credentials sowie
Um die Zugangsdaten zu den Clouds ein- Teams und Zugangsberechtigungen (Bild
Hinter den Kulissen verwendet Scalr das zugeben, gehen Sie den Weg ber den Me- 2). Dort knnen Sie beispielsweise ACLs
Konfigurationsmanagement-Tool Chef, npunkt "Environments". Alternativ ver- anlegen (Bild 3), die im Detail alle Rechte
um die bentigten Pakete zu installieren wenden Sie den beim Einloggen im festlegen, die Anwender bei der Cloud-
und einzurichten.

Das automatisch erzeugte Passwort fr


den "admin"-User entnehmen Sie der
Datei "/etc/scalr-server/scalr-server-se-
crets.json". Damit knnen Sie sich am
Webinterface anmelden, das Scalr auf Port
80 anbietet. Wenn Sie Scalr beispielsweise
in der Amazon Cloud betreiben, mssen
Sie in der zur Instanz gehrigen Security
Group den Port freischalten.

Viele Admins fr viele Clouds


Der Admin-User ist ein sogenannter Su-
peradmin, der dazu dient, Scalr ein-
zurichten und beispielsweise andere
Benutzer anzulegen, die dann selbst
Cloud-Ressourcen verwalten drfen. Das
hat zur Folge, dass bestimmte Menein- Bild 1: In der GUI mit blauem Hintergrund managen Anwender die ihnen berlassenen Cloud-Ressourcen.

80 Juli 2016 www.it-administrator.de


NEWSLETTER
jetzt abonnieren:

Bild 2: Die GUI mit grnem Hintergrund dient der Verwaltung von Usern, Clouds und Berechtigungen.

Benutzung haben. Diese ACLs lassen sich zahlen, ebenso die Rechenzeit der dafr
Anwendern und Teams zuweisen. Au- gestarteten Instanzen.
erdem knnen Sie Anwendergruppen
ein bestimmtes finanzielles Budget zu- Um Rollen anzulegen, klicken Sie erst
weisen, ber das sie verfgen drfen. Zur oben auf den Menpunkt "Roles" und
Kontrolle bietet Scalr an dieser Stelle auch dann auf den grnen Button "New Role".
eine Funktion namens "Cost Analytics". Scalr prsentiert dann drei Optionen:
Ein weiteres Konzept zur Strukturierung New Role, Role from non-Scalr server
sind die Environments, unter denen sich und Role builder. Die beiden ersten Op-
eine oder mehrere Clouds mit Teams und tionen setzen laufende Instanzen bezie-
Berechtigungen verknpfen lassen. Zwi- hungsweise vorhandene Images voraus,
schen den einzelnen Environments und also gehen wir hier den Weg ber das
dem Account-Management wechseln Sie dritte Angebot, das eine Art Wizard dar-
ber das Icon mit dem Kreis und den stellt, der dabei hilft, eine Rolle anzulegen.
drei Punkten.
Nun bietet Scalr die in einer Cloud vor-
Rollen als Bausteine fr handenen Regionen und die dort ver-
Cloud-Anwendungen fgbaren Basis-Betriebssystem-Images
Bevor Sie eine Infrastruktur in der Cloud an. Whlen Sie beispielsweise "eu-cen-
starten knnen, mssen Sie entweder vor- tral-1 (Frankfurt)" reduziert sich das An-
ab oder beim Einrichten einer "Farm" die gebot an Images bereits erheblich. Wir
ntigen "Rollen" anlegen. Diese sind im whlen "Ubuntu 14.04 Trusty" aus. Jetzt Jede Woche aktuelle
Gegensatz zur blichen IT-Terminologie zeigt Scalr auf der rechten Seite die da-
keine Berechtigungskonzepte, sondern rauf basierende Anwendungssoftware News, freie Artikel
funktionale Zuschreibungen wie "Web- an, etwa MySQL, MariaDB, Apache,
server", "Load Balancer", "Datenbank" Nginx, HAProxy und noch ein paar an-
und Admin-Tipps
und so weiter. Gleichzeitig dienen die dere. Wenn Sie nun noch im oberen Teil
Rollen zur Abstraktion von der konkreten des Fensters einen Namen fr die Rolle
Umsetzung des Konzepts in einer spezi- eingeben, knnen Sie auf "Create" kli-
fischen Cloud: Einer Webserver-Rolle cken und abwarten, ob alles wie erwartet
kann also in Scalr fr die Google-Cloud funktioniert (Bild 4).
ein anderes Image zugewiesen sein als fr
die Amazon Web Services. Zum Anlegen Im Test schlug das Erstellen von Rollen
einer Rolle in AWS (unser Testfall) startet reproduzierbar fehl, denn der Scalr-Ser-
Scalr eine Instanz, installiert die passende ver konnte die gestarteten Instanzen
Software und erstellt schlielich einen nicht per SSH erreichen. Wir behoben
Snapshot. Dementsprechend sind vor- das Problem, indem wir manuell die mit
handene Rollen mit Kosten verbunden, den Instanzen verknpfte (von Scalr in
denn den mit den Snapshots verbunde- AWS angelegte) Security Group direkt
nen EBS-Speicherplatz mssen Sie be- in der AWS Management Console edi-
www.admin-magazin.de/
newsletter
www.it-administrator.de
S ch we rp unk t Scalr

tierten und den SSH-Zugang fr alle IP- Engine mit. Darber knnen Anwender rere Wege zur Service Discovery. So kn-
Adressen ffneten. Alternativ lassen sich sich fr bestimmte Events registrieren nen Sie auf jedem Rechner das Com-
Security Groups auch in Scalr bearbei- und die Software automatisch darauf rea- mandline-Tool szradm -q list-roles ver-
ten. Anschlieend konnte Scalr sich mit gieren lassen. Solche Events sind beispiels- wenden, um die beteiligten Rollen in Er-
der VM verbinden, den Snapshot erstel- weise BeforeInstanceLaunch, HostUp, fahrung zu bringen.
len und damit das Erzeugen der Rolle HostDown und so weiter. Auerdem
abschlieen. Dabei sollten Sie etwas Ge- kann der Anwender Custom Events ein- Das Ergebnis ist eine XML-Datei, die Sie
duld mitbringen, denn eine neue Rolle richten, die etwa nach dem Start eines mit den entsprechenden Programmen
anzulegen, dauert mindestens eine Vier- Dienstes aktiviert werden. verarbeiten knnen. Auch die gezielte Ab-
telstunde. Die kommerzielle Scalr-Ver- frage einer Rolle ist mit szradmin mglich.
sion vereinfacht den Umgang mit Rollen Als auszufhrende Aktionen lassen sich Die gegenber der XML-Verarbeitung
dahingehend, dass sie bereits viele fertige beispielsweise Skripte verwenden, die der einfachere Variante der Service Discovery
Rollen anbietet. Anwender in der Scalr-GUI eingibt oder ist das Scalarizr Service Directory. Das ist
hochldt. Alternativ knnen Skripte auch eine Verzeichnishierarchie, die auf jedem
Die von Scalr installierten Rollen umfas- auf dem der Rolle zugeordneten Server Farm-Server automatisch angelegt wird
sen brigens neben der verwendeten Soft- liegen (Local Script). Schlielich lsst sich und die Struktur einer Farm widerspie-
ware auch eine Agenten-Software namens auch festlegen, dass Scalr auf ein Event gelt, etwa so:
Scalarizr (siehe "/opt/scalarizr"), die bei mit der Abarbeitung einer Runlist des
der Integration in die Management-Um- Config-Management-Tools Chef reagiert. # tree /etc/scalr/private.d/hosts
gebung hilft. Der in neuen Scalr-Versio- /etc/scalr/private.d/hosts
nen integrierte Discovery Manager er- Durch die Mglichkeit, beliebige Skripte  base
laubt es auerdem, auch Instanzen in das zu verwenden, ist Scalr sehr flexibel, was   10.0.1.153
Management aufzunehmen, die nicht mit die Konfiguration einer Rolle/Instanz be-   10.0.1.167
Scalr angelegt wurden. Um sich auf einer trifft. Andererseits erffnet dies wieder  mysql
von Scalr gemanagten Instanz einzulog- die Mglichkeit der unstrukturierten Kon-   10.0.2.248
gen, bentigen Sie den entsprechenden figuration von Diensten, etwa wenn per   10.0.2.58
SSH Private Key, den Sie im Scalr-Men Skript "mal eben schnell" noch ein Soft- ...
unter "SSH Keys" finden. Auerdem muss ware-Paket installiert wird oder hnliches.
die zugewiesene Security Group das SSH- Eine typische Fhigkeit von Cloud-An-
Login ber Port 22 erlauben. Um etwa Konfigurationsdaten zwischen wendungen ist die Autoskalierung je nach
den beteiligten Rollen/Rechnern zu teilen, Auslastung. So knnen Webdienste etwa
Farms sind Gruppen von Rollen, die zu- bietet Scalr sogenannte globale Variablen. die Anzahl der verwendeten Instanzen
sammen eine Cloud-Anwendung bilden. Sind sie in der Scalr-GUI gesetzt, stehen zurckfahren und dynamisch neue star-
Auch dies ist abstrakt, denn die Farms sie nach dem Booten auf allen Instanzen ten, wenn die Zugriffe stark ansteigen.
knnen, sofern die passenden Rollen vor- einer Farm zur Verfgung. Um die ande- Scalr untersttzt diesen Mechanismus
handen sind, auf unterschiedlichen ren Rechner zu finden, bietet Scalr meh- durch verschiedene Manahmen. So fin-
Clouds laufen. Ein Beispiel dafr ist die
skalierende Webanwendung, die im Scalr-
Tutorial "3 Tier Web Application" aufge-
baut wird. Dort besteht die Farm aus einer
Loadbalancer-Rolle mit Nginx, einer Py-
thon-Webanwendung und einer Daten-
bank-Rolle mit MySQL. Dementspre-
chend umfasst das Anlegen einer Farm
neben der Vergabe eines Namens, der op-
tionalen Festlegung eines Teams und ei-
niger weiterer Details vor allem die Zu-
weisung der entsprechenden Rollen.

Orchestrierung
ber Skripte oder Chef
Die fr ein Projekt ntigen Rollen sind
Grundbestandteile einer Cloud-Anwen-
dung. Um die zugehrigen Instanzen
nach dem Start zum Zusammenspiel zu Bild 3: ACLs fassen einen Satz von Berechtigungen zusammen, der sich Benutzern und
bewegen, bringt Scalr eine Orchestration Teams zuweisen lsst.

82 Juli 2016 www.it-administrator.de


Scalr Schwerpunkt

flche verschiedene Public- und Private-


Cloud-Installationen zu verwalten. Dabei
bietet Scalr eine Zugriffs- und Ressour-
cenkontrolle, die es ermglicht, die Nut-
zung einzelner Ressourcen an Anwender
zu delegieren. So knnte man beispiels-
weise einer Entwicklergruppe erlauben,
nach Belieben in der AWS-Cloud virtuelle
Maschinen zu starten.

Weitergehende Konfiguration von cloud-


basierten Anwendungen untersttzt
Scalr durch sein Rollenkonzept und die
Integration von Skripten und dem Kon-
figurationsmanagement-Tool Chef, ber
die sich gestartete Instanzen konfigurie-
ren und verbinden lassen, etwa Load-
Bild 4: Um eine Rolle anzulegen, startet Scalr in der Cloud eine VM und macht davon einen Snapshot. balancer, Webserver und Datenbank.
Zumindest die von uns getestete Com-
det sich in der Farm-Konfiguration ein Webhooks zur Integration in andere Sys- munity-Version bietet allerdings nur we-
Menpunkt namens "Scaling", auf dem teme. LDAP-Authentifizierung fr nige solcher vorgefertigten Rollen an,
der Anwender zum Beispiel nach dem OpenLDAP und Active Directory lsst sodass das Setup komplexer Cloud-An-
Load Average und anderen Kriterien die sich ber eine Extension aktivieren. wendungen einigen Entwicklungs- und
Farm hoch- und herunterskalieren kann. Test-Aufwand erfordert, der wiederum
Per Default wartet Scalr bis zu einer Stun- Zuverlssigkeit Kosten mit sich bringt, wenn er in einer
de, um den Abrechnungstakt des Cloud- durchschnittlich Public Cloud stattfindet.
Anbieters optimal auszunutzen jeden- Nicht alle Scalr-Funktionen funktionie-
falls den von AWS, denn Google rechnet ren im Test perfekt. So lieen sich, wie Letztlich ist der Nutzen eines grafischen
im Minutentakt ab. Dieser Zeitraum lsst beschrieben, manchmal Rollen nicht an- Cross-Cloud-Management-Tools fraglich,
sich aber ebenfalls konfigurieren. legen. Auch ist die Integration der ablau- denn wahrscheinlich werden sich die
fenden Prozesse und der GUI nicht un- meisten Anwender fr eine einzige
Fr die hufigsten Dienste bringt Scalr bedingt perfekt: Navigiert der Anwender Cloud-Plattform entscheiden. Wegen des
noch anwendungsspezifische Konfigu- whrend des Anlegens einer Rolle in ei- unterschiedlichen Funktionsumfangs der
rationshilfen mit (Built-in Role Automa- nen anderen Bereich der GUI, hat er auf Angebote gibt es auch wenige Mglich-
tion). Damit lassen sich Serverdienste den laufenden Prozess keinen Zugriff keiten fr plattformbergreifende Cloud-
ber die Scalr-GUI konfigurieren, ohne mehr. Auch die dazugehrige VM-In- Anwendungen oder eine Cross-Cloud-
auf die oben erwhnten Skripte zurck- stanz befindet sich dann auer Reichwei- Migration. Lediglich in relativ einfachen,
zugreifen. Beispielsweise lassen sich da- te und muss erst wieder unter den lau- standardisierten Setups wie dem erwhn-
mit SSL-Zertifikate fr Webserver kon- fenden Servern gesucht und gegebenen- ten skalierbaren Webserver untersttzt
figurieren und virtuelle Hosts einrichten, falls beendet werden. Scalr die Installation auf mehreren
allerdings nur fr den Apache-Server. Clouds. Seine Strken entfaltet Scalr wohl
Etwas grer ist das Angebot der Role Parallel zum Management der Cloud-Res- am ehesten in Firmen, die Cloud-Res-
Automation fr Datenbanken. Hier un- sourcen im hauseigenen Management- sourcen an einzelne Teams mit einem fein
tersttzt Scalr MySQL, Percona, Post- Tool des Cloud-Anbieters nderungen abgestuften Zugriffskonzept und Budge-
greSQL, MongoDB und Redis. Dabei bie- an der Konfiguration vorzunehmen, soll- tierung delegieren mchten.
tet Scalr Features wie Replikation, ten Sie vermeiden. Das kann leicht zu
Autoscaling, Backup und fr die MySQL- Inkonsistenzen fhren, wenn Sie bei- Link-Codes
Datenbanken auch das grafische Front- spielsweise die von Scalr verwendeten
end PHP-Myadmin. Nginx und HAProxy Snapshots oder Policies lschen Aus- [1] Scalr
G7Z51
sind als Loadbalancer untersttzt, Mem- nahmen besttigen diese Regel, wie der
cached fungiert als Caching-Server, frs oben beschriebene Workaround beim [2] Scalr-Installer auf Github
Messaging bringt Scalr eine RabbitMQ- Anlegen einer neuen Scalr-Rolle zeigt. G7Z52
[3] Zwei-Faktor-Authentifizierung
Rolle mit. Weitere Features, die Scalr un-
mit dem Google Authenticator,
tersttzt, sind DNS-Management, die Fazit IT-Administrator 12/2015
Verwaltung von Security Groups (aber Scalr ist ein umfangreiches Software-Pa- G7Z53
nicht auf allen Clouds) und sogenannte ket, das es erlaubt, in einer einzigen Ober-

Link-Codes eingeben auf www.it-administrator.de Juli 2016 83


Cloud mit Azure Automation steuern

Schluss mit
Routine
von Klaus Bierschenk

Microsoft Azure wird stetig


erweitert und erlaubt zu-
nehmend, auch anspruchs-
volle administrative Auf-
gaben abzuwickeln. Azure
Automation deckt dabei die
Automatisierung von Routine-
arbeiten ab. Dahinter verbirgt
sich ein Werkzeug, das dem
Administrator den Arbeitsall-
tag auch ohne PowerShell-
Kenntnisse vereinfacht.
Quelle: Jesadaphorn Chaiinkeaw 123RF

zure Automation erlaubt Admi- Mit der PowerShell DSC (Desired State Verwirrende Portalvielfalt
A nistratoren, eigene Bibliotheken Configuration) konfigurieren Sie be- Die Tatsache, dass es nach wie vor zwei
mit automatisierten Aktivitten fr den stimmte Zielsysteme gem eines Administrationsportale gibt, macht den
Azure-Kosmos zu kreieren. Diese basie- "gewnschten Zustands". Durch die Mg- Umgang mit Automation nicht einfacher.
ren auf der PowerShell und entsprechende lichkeit der Einbindung in Azure Auto- Beide Portale, also das auf dem lteren,
Kenntnisse sind wnschenswert, jedoch mation erhlt dies eine besondere Schlag- klassischen Bereitstellungsmodell basie-
gibt es auch die Mglichkeit, Tasksequen- kraft. Azure Automation ist nicht nur auf rende Portal [1] und das neuere, dem der
zen grafisch zu designen, und die Berh- Maschinen in Azure beschrnkt, auch die Ressourcen-Manager zugrunde liegt [2],
rung mit der drunterliegenden PowerShell Server im heimischen Rechenzentrum ermglichen es, Ressourcen Ihres Abon-
ist dann nur begrenzt vonnten. Somit (On-Premise) lassen sich in diese Art der nements zu administrieren. Wir verwen-
erffnen sich auch fr Administratoren Automatisierung einbeziehen. Das den genau wie Microsoft fr das neue
ohne Scripting-Kenntnisse neue Wege Schlagwort hierzu lautet "Hybrid-Run- Portal die Bezeichnung "Azure-Portal"
der Automatisierung. book-Worker". und das vorherige nennen wir hier das
klassische Portal.
Zum Start bentigen Sie ein Automa- Automation gehrt zu den Diensten in
tion-Konto, das Teil des Azure-Abonne- Azure, hnlich wie das Azure Active Die Existenz zweier Portale sorgt in Azure
ments ist und sogenannte "Runbooks" Directory, die bis zu einem gewissen Kon- fr die unangenehme Tatsache, dass Sie
enthlt, die Aktionen in Azure definieren. tingent kostenfrei sind, dann jedoch kos- zwar eine Cloud-Infrastruktur haben und
Runbooks basieren auf der PowerShell tenpflichtig werden. Bei einer Auftrags- mit zweierlei administrativer Schnittstel-
mit einem groen Spektrum: Dies um- ausfhrungszeit unter 500 Minuten pro len darin arbeiten knnen, es aber pas-
fasst zum Beispiel das Kopieren einzelner Monat und bis zu fnf Knoten fr DSC sieren kann, dass die erstellten Ressourcen
Dateien ber virtuelle Maschinen hinweg bewegt der Administrator sich noch im in dem einen oder in dem anderen Portal
oder das Erstellen von Resource-Objekten kostenlosen Bereich. Jenseits dieser Nut- nicht sichtbar sind [3].
innerhalb der Azure-Infrastruktur, wie zung entstehen Kosten von derzeit 5,05
beispielsweise virtuelle Server. Komple- Euro monatlich fr jeden weiteren Kno- Ein Automation-Konto knnen Sie mit
xere Szenarien lassen sich durch Kombi- ten in DSC und 0,00017 Euro pro Minute beiden Portalen erstellen. Dabei gilt es
nation mehrerer Runbooks realisieren. Auftragsausfhrung. jedoch einiges zu beachten, wenn Sie die

84 Juli 2016 www.it-administrator.de


Azure Automation Schwerpunkt

"berwachung / Warnungsregeln" Mg-


lichkeiten, Webhooks einzutragen. Bei
Erreichen eines Schwellenwertes liee sich
als Reaktion darauf ein Runbook starten.

Vorbereitende Arbeiten
Bevor Sie loslegen, mssen Sie ein Azu-
re-Konto einrichten. Dazu navigieren Sie
im Azure-Portal wie in Bild 1 dargestellt
in den Bereich der Verwaltung. berlegen
Sie sich, welchem Abonnement und wel-
cher Ressourcengruppe das Automation-
Konto zugehrig sein soll, das vereinfacht
den spteren Umgang mit den darin be-
findlichen Objekten, weil ein Abonne-
ment eine Sicherheitsgrenze darstellt. Dies
wird sptestens dann wichtig, wenn Sie
Rechte fr administrative Rollen delegie-
ren mchten, die auf Ebene eines Abon-
nements liegen.
Bild 1: Das Einrichten eines neuen Automation-Kontos findet sich etwas versteckt in der Verwaltung.
Ist das Konto erstellt, liee es sich sofort
Werkzeugkiste auspacken: Ein im Azu- Runbook. Dies erleichtert den Einstieg nutzen; die eine oder andere Vorarbeit
re-Portal erstelltes Automation-Konto ist und spart Zeit, weil sich fr eigene Pro- macht aber trotzdem den Umgang mit
nicht im klassischen Portal sichtbar. Hin- jekte diese Vorlagen weiterentwickeln las- der Technik leichter. Nach dem Aufruf
gegen lsst sich ein Automation-Konto, sen. Sie starten ein Runbook direkt im des Automation-Kontos zeigt das
das Sie im klassischen Portal erstellt ha- Portal, ber einen Zeitplan, in der Power- "Dashboard" alle relevanten Ressourcen
ben, sehr wohl im neuen Azure-Portal Shell oder ber die Schachtelung von an. Fr den Beginn am wichtigsten sind
verwenden. Das kann fr Verwirrung Runbooks ineinander. die Elemente, die sich hinter der Kachel
sorgen. Merken Sie sich einfach, dass, "Objekte" ("Assets" bei englischer Por-
wenn Sie in beiden Portalen auf Ihr Azu- Besonders interessant fr Administrato- talsprache) befinden. Die hier definierten
re-Konto zugreifen mchten, Sie dieses ren drfte noch die Mglichkeit sein, den Elemente sind spter Bestandteil in den
initial mit dem klassischen Portal erstel- Aufruf basierend auf einem Ereignis zu Runbooks. Hier legen Sie eine "Anmel-
len sollten. Knnen Sie auf sonstige definieren, wie die Reaktion auf eine deinformation" mit dem Namen "Run-
Funktionen des klassischen Portals ver- Warnmeldung beispielsweise. Zu diesem Account" an. Dahinter verbirgt sich ein
zichten, konzentrieren Sie sich nur auf Zweck fgen Sie einem Runbook "Web- Benutzer und sein Passwort aus dem
das neue Azure-Portal. So ist gewhrleis- hooks" hinzu. Diese haben eine URL, die Azure Active Directory, auf die Sie in
tet, dass Ihnen immer die neuesten Funk- fr den Aufruf per HTTP-Anforderung Runbooks referenzieren. brigens funk-
tionen zur Verfgung stehen. brigens dient. Zum Beispiel bieten die Eigenschaf- tionieren Microsoft Live IDs, mit denen
knnen Sie mehrere Automation-Konten ten eines virtuellen Computers im Bereich Sie sich in Azure anmelden, nicht als Be-
einrichten und diese parallel betreiben.
Ein Grund hierfr wre die in Azure Au-
tomation befindlichen Ressourcen von-
einander zu isolieren: ein Konto fr die
Produktion und eines fr die Entwick-
lung beispielsweise.

Runbooks im Detail
Erstellen Sie ein Runbook, knnen Sie
zwischen drei Typen whlen: "Grafisch",
"PowerShell-Workflow" und "PowerShell"
[4]. Die beiden Letzteren sind Text-Run-
books und bei einem grafischen Runbook
hilft ein grafischer Editor, den Skriptab-
lauf zu gestalten. Fr alle Typen gibt es Bild 2: Variablen gelten ber mehrere Runbooks hinweg und vereinfachen so den Umgang mit
einen Katalog mit Vorlagen fr ein neues sich ndernden Parametern.

www.it-administrator.de Juli 2016 85


S ch we rp unk t Azure Automation

liee sich dieser hier auch einbetten, aber


primr fttern Sie die Cmdlets ber die
jeweiligen Eigenschaften rechts im Editor,
wenn Sie ein Element ausgewhlt haben.
An dieser Stelle werden auch die fr die
Cmdlets notwendigen Parameter konfi-
guriert. Der Editor bietet die wichtigsten
Elemente klassischer Programmierlogik,
wie beispielsweise Bedingungen, um auf
bestimmte Situationen im Ablauf zu rea-
gieren. Ein wichtiges Element hierzu be-
findet sich ganz unten links in der Werk-
zeugleiste, die "Verbindung". Unser
Runbook reagiert zum Beispiel darauf,
ob beim Start der Name einer VM einge-
geben wurde, und dem folgend wird ver-
zweigt und eine einzelne VM beendet
oder eben alle VMs heruntergefahren.
Bild 3: Vorlagen aus dem Runbook-Katalog vereinfachen die Arbeit, indem sie Mchten Sie zwei Befehle im Ablauf ver-
Eigenentwicklungen vereinfachen. binden, klicken Sie das Kommando an,
woraufhin ein kleiner weier Kreis er-
nutzerkonten zur Ausfhrung von Ak- Ganze am besten tglich zu einem defi- scheint. Den nehmen Sie mittels Drag &
tionen in Runbooks, hierzu ist es not- nierten Zeitpunkt. Drop und befrdern ihn auf das zu ver-
wendig, mit Identitten aus dem Azure bindende Befehlssymbol.
Active Directory zu arbeiten. Bevor Sie sich daran machen, ein Run-
book komplett neu zu erstellen, sollten Egal fr welchen Runbooktyp Sie sich ent-
Ebenfalls lassen sich hier noch Variablen Sie sich im Runbook-Katalog umschauen, schieden haben, grafisch oder textbasiert:
definieren. Sie sollten sich angewhnen, ob es fr den gewnschten Zweck nicht Jedes Runbook muss, bevor es ausgefhrt
davon Gebrauch zu machen, und diese bereits ein hnliches Runbook gibt, das werden kann, verffentlicht werden. Soll-
spter in den Runbooks referenzieren. nur noch anzupassen ist. Der Katalog lsst ten Sie im Nachgang nderungen vorneh-
ndern sich irgendwelche Parameter, sich beim Erstellen eines Runbooks auf- men, wird die verffentlichte, also die vor-
muss lediglich der Inhalt der Variablen rufen. Einen berblick ber die Run- ab gespeicherte Version kopiert und eine
einmal gendert werden und nicht der books im Katalog erhalten Sie auch, ohne Entwurfsversion daraus erstellt. An dieser
Wert in den Runbooks an diversen Stel- ein neues Runbook zu erstellen, indem arbeiten Sie, bis diese erneut verffentlicht
len. Fr unser erstes Runbook fgen wir Sie die Technet Gallery [5] besuchen. Die wird, was die aktuelle Version berschreibt.
eine Variable mit der Subscription-ID "Templates" finden Sie auf der Webseite
hinzu. Bei den Objekten fr ein Auto- links in den Kategorien. Navigieren Sie Ein Runbook lsst sich testen. Hierbei ist
mation-Konto werden auch die Power- zuerst nach "Windows Azure" und dann wichtig zu wissen, dass der Test eines
Shell-Module administriert, deren nach "Automation". Runbooks den Ablauf nicht etwa simu-
Cmdlets auf ihren Einsatz in den Run- liert, sondern das hierdurch lediglich die
books warten. In unserem Fall erzeugen wir unser Run- Entwurfsversion ausgefhrt wird, nicht
book auf Basis der Vorlage "Start Azure die verffentlichte. Sie sollten also vor-
Ein Runbook erstellen ARM VMs". Wenn Sie diese nun bear- sichtig sein mit Runbook-Tests im pro-
Nehmen wir an, Sie haben ein Testabon- beiten, startet der "Grafische Editor", der duktiven Umfeld, denn etwaige Modifi-
nement und mchten, um Kosten zu spa- Ihnen die Programmlogik und den Ab- kationen und Schreibvorgnge erfolgen
ren, die darin befindlichen Server alle lauf prsentiert. Im Editor befindet sich in der Liveumgebung. Um Dinge wirklich
herunterfahren und gleichzeitig den be- ebenfalls im linken Bildschirmbereich Ih- unbedenklich zu testen, sollten Sie diese
nutzten Speicherplatz freigeben. Denn re Werkzeugkiste. "Ihre" deshalb, weil die- in einem reinen Testlabor entwickeln und
fahren Sie die Server nur herunter, ohne se Leiste neben den Cmdlets der angege- mit Testobjekten laufen lassen. ber Ex-
den allokierten Speicher freizugeben, tickt benen PowerShell-Module auch Variablen port und Import lassen diese sich dann
die Azure-Uhr weiter und jede Minute oder zum Beispiel Anmeldeinformatio- bequem in die Produktion bernehmen.
kostet. Unschn bei einem Test-Abonne- nen anzeigt, die Sie vorher erstellt haben.
ment mit limitiertem Guthaben. Da wre Zu den Objekten eines Azure-Kontos ge-
es doch praktisch, einen Automatismus Bei einem grafischen Runbook haben Sie hren neben Variablen oder Anmeldein-
zu haben, der eine Anzahl Server herun- kaum Berhrung mit Cmdlets oder sons- formationen auch Zeitplne. Ein solcher
terfhrt, den Speicher freigibt und das tigen PowerShell-Programmcode. Zwar Plan ist ein eigenstndiges Objekt und

86 Juli 2016 www.it-administrator.de


Azure Automation Schwerpunkt

wenn Sie ein Runbook immer zu einer erreichen, diese sind schlielich nicht melden. Hier heit es, ber die Kachel
bestimmten Zeit laufen lassen mchten, Bestandteil von Azure. Aber nichtsdes- "Solution Gallery" eine Lsung hinzuzu-
wird nicht etwa fr dieses Runbook ein totrotz gibt es gengend Anwendungs- fgen. Im Katalog sehen Sie alle vorhan-
Zeitfenster konfiguriert, sondern Sie le- flle, die in einem hybriden Umfeld Sinn denen Lsungen und whlen dort "Au-
gen zuerst separat einen Zeitplan an. Die- ergeben. Luft zum Beispiel ein Teil Ihrer tomation" aus. Danach gelangen Sie
sen ordnen Sie im Nachgang einem oder SQL-Server in Azure und der andere Teil wieder zurck auf die Verwaltungsseite
mehreren Runbooks zu. Dies hat den lokal im RZ, eignet sich Azure Automa- des OMS-Arbeitsbereiches. Dieser bein-
Vorteil, dass sich einem Zeitplan mehrere tion fr Wartungsarbeiten per Power- haltet nun eine neue Kachel mit der Be-
Runbooks egal welchen Typs zuord- Shell. Oder wenn Sie Server aus beiden zeichnung "Automation" und einen Hin-
nen lassen. So orientiert sich die Vorge- Welten mittels Dynamic State Configu- weis, diesen nun zu konfigurieren. Wir
hensweise an Zeitfenstern, in denen meh- ration gem gleichem Muster konfigu- folgen der Kachel und eine weitere Web-
rere Arbeiten (Runbooks) gesammelt rieren, ist dies ein weiterer der zahlrei- seite mit einer Auswahl der vorhandenen
stattfinden. Aus administrativer Sicht chen denkbaren Anwendungsflle. Azure-Automation-Konten erscheint.
eine recht praxisnahe Vorgehensweise. Hier selektieren Sie das gewnschte Au-
Erstellen Sie einen Zeitplan fr beispiels- Die Einrichtung ist freilich nicht mit zwei tomation-Konto und beenden so diesen
weise 23:00 Uhr und weisen diesem das Mausklicks getan: Sie mssen, um "Hy- Teil der Konfiguration.
oben erstellte Runbook zum Beenden der brid-Worker" zu implementieren, die "Mi-
VMs zu, knnen Sie sicher sein, dass die crosoft Operations Management Suite" Im nchsten und letzten Schritt mssen
Server tatschlich heruntergefahren wer- (OMS) [6] aktivieren. Dies ist eine SaaS- Sie auf den On-Premise-Servern den Mi-
den und Sie nicht fr etwas bezahlen, nur Management-Lsung, die auch vor bei- crosoft-Management-Agenten installie-
weil Sie versehentlich das Ausschalten spielsweise AWS (Amazon Web Services) ren. Gehen Sie zurck auf die Verwal-
vergessen haben. nicht Halt macht und Verwaltungs- und tungsseite von OMS und whlen Sie links
berwachungsarbeiten im hybriden Um- unten "Settings". Sie mssen hier lediglich
Lokale Server automatisieren feld bernimmt. noch Punkt 2 "Connect a Data Source"
Azure Automation endet nicht bei Ser- (das OMS-Portal gibt es aktuell nur auf
vern in der Azure-Infrastruktur. Mit Wir bleiben bei unseren "Hybrid-Worker" Englisch) whlen und knnen dann direkt
einigen Kniffen lassen sich Server im lo- und navigieren im klassischen Portal ber den Download des Agenten starten. Sollte
kalen Rechenzentrum in die Automati- "Neu" und dann "Verwaltung" zu den es Ihnen nicht mglich sein, die Installa-
sierung einbeziehen. Dies hat natrlich Apps aus dem Verwaltungsbereich und tionsdatei auf die Zielserver zu kopieren,
Grenzen: Benutzen Sie ein Skript, das aktivieren dort einen OMS-Arbeitsbereich knnen Sie den Agenten auch auf einem
wie eben in unserem Beispiel VMs in fr unser Azure-Automation-Konto. Aus Server direkt herunterladen [7]. Denken
einer Ressourcengruppe oder in einem dem klassischen Portal oder aus dem Sie jedoch daran, die erweiterte Sicherheit
Abonnement adressiert, werden Sie da- Azure-Portal heraus knnen Sie sich per des Internet Explorers auf dem Server
mit freilich ihre On-Premise-Server nicht Hyperlink an der eben erstellten Suite an- auszuschalten, sollten Sie sich fr diesen
Weg entscheiden.

Abschlieend verbinden Sie von der


PowerShell aus den Hybrid-Worker mit
dem Server. Wechseln Sie am PowerShell-
Prompt in das Verzeichnis "C:\ Program
Files \ Microsoft Monitoring Agent \
Agent \ AzureAutomation \ 7.2.7396.0 \
HybridRegistration" und bedenken Sie,
dass sich die Version im Pfad je nach Ver-
sionsnummer des Management-Agenten
zwischenzeitlich gendert haben kann.
Importieren Sie nun das Modul "Hybrid-
Registration" mit dem Befehl

Import-Module
./HybridRegistration.psd1"

Jetzt fhren Sie folgendes Cmdlet aus, um


auf dem Computer die Runbook-Umge-
Bild 4: Auch hier steckt die PowerShell drin: Ein grafisches Runbook kommt ohne eine Zeile bung zu installieren und diesen mit Azure
sichtbaren Code aus. Automation zu verbinden:

www.it-administrator.de Juli 2016 87


S ch we rp unk t Azure Automation

ment-Webseite fr Ihre Azure-AD-Do-


main auf. Hier pflegen Sie die Benutzer
und Gruppen (Rollen) der Administra-
toren und hier erstellen Sie ein neues
Konto fr das Azure-Automation-Konto,
das die Rolle "Benutzer" hat mehr ist
nicht notwendig. Rufen sie nun im Azu-
re-Portal die Seite mit den "Abonne-
ments" auf. Berechtigungen werden auf
Abonnement-Ebene eingerichtet und fr
den Fall, dass Sie mehrere Abos nutzen,
rufen Sie genau das auf, in dem Sie Ihr
Azure-Automation-Konto erstellt haben.
In den Benutzereigenschaften haben Sie
nun die Mglichkeit, dem eben im klas-
sischen Portal erstellten Konto selektiv
Rechte zuzuordnen. Fr unser oben er-
stelltes Runbook bentigen wir die Rolle
Bild 5: Nach Einrichten des Hybrid-Workers lsst sich auswhlen, wo ein Runbook ausgefhrt werden soll. "Mitwirkender fr virtuelle Computer".
Diese Rolle kann VMs managen, hat
Add-HybridRunbookWorker -Name Name aus dem Portal, knnen Sie bei den Aus- aber keinen Zugriff darauf. Das hier er-
-EndPoint URL -Token String fhrungseinstellungen whlen, wo das stellte Konto wird abschlieend samt
Runbook ausgefhrt werden soll, in Azu- Passwort in der Variablen "RunAccount"
Alle Parameter entnehmen Sie der Ver- re oder auf dem Hybrid Worker. verschlsselt abgelegt.
waltungsseite fr Ihr Automation-Konto,
indem Sie das Schlsselsymbol auswh- OMS ist ebenfalls nur bis zu einem be- Fr Mitarbeiter, die in Azure Hand anle-
len. Die Parameter tragen dort die gleiche stimmten Nutzungskontingent kostenfrei, gen, lassen sich auf der Verwaltungsseite
Bezeichnung wie im Cmdlet. Bleibt blo danach wird es kostenpflichtig [8]. Mi- im Azure-Portal direkt administrative
zu beachten, dass der primre Zugriffs- crosoft erweitert stndig die Funktionen Rollen zuweisen. Ein Praktikant, der
schlssel dem Parameter "Token" ent- in Azure. OMS lie sich bis vor Kurzem eventuell nur lesen darf, kann hier genau-
spricht. Damit ist die Einrichtung des nur im klassischen Portal einrichten, dies so administriert werden, wie ein Admi-
Hybrid-Workers auf diesem Server abge- funktioniert nun gleichfalls im Azure- nistrator oder andere weitreichende Rech-
schlossen. Starten Sie nun ein Runbook Portal. Dies gilt jedoch noch nicht fr das teprofile. Diese gelten freilich nur fr
Azure Active Directory. Um Admin-Kon- dieses spezielle Automation-Konto und
Link-Codes ten zu verwalten, fhrt der Weg nach wie nicht darber hinaus.
vor ins klassische Portal.
[1] Azure Automation klassisches Portal Fazit
G7Z21
Automation mit Schon mit den Mglichkeiten, On-Pre-
[2] Azure-Portal auf Basis des
Rollentrennung steuern mise-Server zu adressieren oder aber DSC-
Ressourcen-Managers
G7Z22 Azure untersttzt eine strikte Rollentren- Setups mit einzubeziehen, bietet Azure
nung ber RBAC (Role Based Access Automation dem Administrator viel
[3] Unterschiede der Portale
G5Z62 Control). Dies sollten Sie in Azure, ver- Potential. Nervig ist nach wie vor, dass es
[4] Vor- und Nachteile unterschiedlicher bunden mit Automation, in zweierlei Wei- zwei Portale gibt, mit denen sich manch-
Runbooks se betrachten: Pflegen Sie zum einen Rol- mal gleiche Arbeit durchfhren lsst und
G7Z23 len, mit denen sich Personen anmelden, manchmal nicht. Stellenweise sind auch
[5] Runbook-Katalog und zum anderen ist es sinnvoll Rollen Objekte in den unterschiedlichen Portalen
G7Z24 zu etablieren, in deren Kontext Runbooks nicht sichtbar. Dies liegt aber wohl am
[6] Microsoft Operations Management laufen, hnlich der Service- Accounts im bergang vom klassischen zum neuen
Suite Active Directory. Auf diese Art ist es ein- Azure-Portal. Der modulare Aufbau in
G7Z25 fach, granular Konten zu benutzen. Azure und die Mglichkeit, bis zu einem
[7] Download OMS-Agent bestimmten Nutzungsvolumen kostenfrei
G7Z26
Schauen wir uns das Ganze an einem zu hantieren, laden trotzdem dazu ein,
[8] Kosten OMS Beispiel an: Angenommen Sie mchten die Techniken auzuprobieren. Unterstt-
G7Z27
fr den Job, der die VMs automatisch zung findet der Administrator brigens
[9] Azure-Dokumentationscenter
herunterfhrt, ein dediziertes Konto ein- zu allen Themen im gut sortierten Azure-
G7Z28
setzen. Rufen Sie hierfr die Manage- Dokumentationscenter [9]. (jp)

88 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


SICHERN SIE SICH 180 SEITEN GEBALLTES WISSEN:

IT-ADMINISTRATOR
SONDERHEFTE
Sonderheft I/2016
VMware vSphere 6
- Die wichtigen Neuerungen in vSphere 6
- Schritt fr Schritt durch Installation und Einrichtung: Setup
von vCenter, Storage, Clustern sowie Ressource-Pools.
- Verwaltung der virtuellen Maschinen samt Snapshots,
Ressourcenverwaltung und Sicherheit.
- Zahlreiche Drittanbieter-Tools vorgestellt.

Sonderheft II/2015
Monitoring
- Features moderner Monitoring-Systeme und
umfangreicher Marktberblick
- Installations- und Konfigurationsanleitung zu freien
Werkzeugen wie Nagios und seinen Varianten, Check_MK
und Wireshark, sowie zu System Center, Paessler PRTG
und WhatsUp Gold.

Abo- und Leserservice


IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
D-65341 Eltville
Mehr Infos und Bestellung unter
Tel: 06123/9238-251
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
S ch we rp unk t Microsoft Operations Management Suite

Microsoft Operations Management Suite

Operation Durchblick
von Thomas Joos

Mit der Microsoft Operations Management Suite bietet


Microsoft eine umfassende berwachungslsung an, mit
der sich lokale Netzwerke, aber auch Cloud-Lsungen
und hybride Infrastrukturen effizient berwachen und
steuern lassen. Im Zentrum steht die schnelle und einfache
Einrichtung, inklusive hoher Flexibilitt und Skalierbarkeit.

umsetzen. Microsoft zeigt in einem zwei- lare Lizenzierung von OMS genau die
mintigen Film [2], welche Features OMS Dienste buchen, die sie bentigen.
grundstzlich bietet.
Erste Schritte in OMS
Zentrale berwachung Die Oberflche zur Verwaltung der Ope-
fr Gro und Klein rations Management Suite ist webbasierend
Neben der berwachung von Servern und und flexibel zu konfigurieren. Microsoft
Cloud-Diensten knnen Unternehmen mit stellt zudem Apps zur Verfgung, mit de-
OMS auch verschiedene Azure-Dienste nen sich Server ber Smartphone und Tab-
nutzen, um das Netzwerk und die Server let auch unterwegs berwachen und steu-
verfgbarer zu betreiben. So lassen sich ern lassen. Da dieses Monitoring nur eine
Quelle: Vyacheslav Volkov 123RF VMs zum Beispiel ber Azure Site Reco- Internetverbindung bentigt, erhalten Ad-
very hochverfgbar replizieren, Daten mit ministratoren auch unterwegs ausfhrliche
icrosofts Operations Management Azure Backup in der Cloud sichern und Informationen zu ihrer Umgebung. Jeder
M Suite (OMS) [1] arbeitet zwar mit wiederherstellen oder innerhalb von Azure Nutzer kann seine Oberflche einfach an-
dem System Center zusammen, lsst sich automatische Funktionen integrieren. Mit passen und an seine Anforderungen an-
aber auch unabhngig davon buchen. Ein- Azure Operational Insights knnen Sie die gleichen. Das erhht bersicht und Fle-
zelne Server im Netzwerk werden ber angebundenen Server berwachen. Die xibilitt. Denn mit der GUI knnen auch
einen Agenten angebunden. Fr OMS Dienste lassen sich getrennt voneinander mehrere Administratoren arbeiten, die ver-
selbst sind keine eigenen Server notwen- buchen und betreiben, sind aber unter dem schiedene Bereiche des Netzwerkes ber-
dig. Alles, was fr den Betrieb gebraucht Dach der OMS vereint. wachen sollen und daher unterschiedliche
wird, stellt Redmond ber die Cloud be- Anforderungen haben.
reit. Natrlich ist die Umgebung skalier- Von OMS profitieren vor allem groe Un-
bar und erlaubt jederzeit die Anbindung ternehmen, die zahlreiche Rechenzentren Mit OMS lsst sich auch die AD-Repli-
an System Center oder andere berwa- betreiben und ein zentrales berwa- kation im Netzwerk nachvollziehen. Mi-
chungslsungen. chungswerkzeug suchen. Wird dann noch crosoft hat dazu die Funktionen des bisher
eine Hybrid Cloud zusammen mit Micro- kostenlosen AD Replication Status-Tools
Mit OMS knnen Sie nicht nur Windows- soft Azure oder AWS betrieben, lohnt sich in OMS integriert. Verwenden Sie im Un-
Systeme, sondern auch Linux-Server ber- der Einsatz von OMS noch mehr. Aber ternehmen die OMS-Lizenz ohne System
wachen. Zustzlich lassen sich VMware auch kleine Unternehmen mit wenigen Center, mssen Sie auf den Domnen-
und OpenStack mit OMS berwachen Servern knnen von OMS profitieren. controllern den Agenten fr die Cloud-
und steuern. Ebenso knnen Sie mit OMS Denn hier findet oft keine berwachung Lsung installieren. Anschlieend lassen
die Verfgbarkeit von physischen und vir- der Server statt, da sich die Anschaffung sich Domnencontroller und deren AD-
tuellen Servern, aber auch von kompletten einer umfassenden Monitoring-Lsung Replikation weiterhin kostenlos berwa-
Virtualisierungsinfrastrukturen sicher- nicht lohnt. Durch die Verwendung von chen. Dazu senden die Domnencontrol-
stellen. Weiterhin lassen sich mit dem OMS knnen sich Organisationen den ler die Daten der Replikation in die Cloud.
Cloud-Werkzeug Alarme zu Fehlern, eine Aufbau einer eigenen berwachungsin- Die Daten werden durch den AD-Repli-
Inventarisierung sowie ein Ticket-System frastruktur sparen und durch die modu- kationsdienst verarbeitet und angezeigt.

90 Juli 2016 www.it-administrator.de


Microsoft Operations Management Suite Schwerpunkt

Der dritte Bereich ist das Automatisieren


von Verwaltungsaufgaben fr die ange-
bundenen Server. Sie knnen alle ange-
bundenen Ressourcen und Server steuern
und berwachen, nicht nur den Server als
alleinstndiges Objekt im Netzwerk. Beim
Einsatz von OMS spielt auch das Moni-
toring und die Steuerung der Sicherheit
eine wichtige Rolle. Sie knnen auch die
Installation von Updates zentral steuern.

Interessant ist an dieser Stelle die Mg-


lichkeit, nicht nur Windows im Auge zu
behalten oder zu steuern, sondern auch
Linux-Server. Eine umfassende berwa-
chung der Patch-Installationen ist mit
OMS auch dann mglich, wenn WSUS
im Einsatz ist. Auerdem erkennt das
Werkzeug den Status des Virenscanners
auf den angebundenen Servern.

Verwaltung per Web-


Bild 1: Die berwachung der Server erfolgt ber einen Agenten,
oberflche und mobiler App
dessen Installationsdateien ber die Weboberflche zur Verfgung stehen.
Fr Administratoren, die sich bereits et-
was mit OMS auseinandergesetzt haben,
Server berwachen Mit OMS lassen sich also auch Replikate bietet die Weboberflche eine einfache
und replizieren von Servern steuern und berwachen, Abfragesprache und umfassende Filter.
Die Funktionen von OMS lassen sich in zum Beispiel die Replikation in Micro- Dadurch haben Sie die Mglichkeit, ge-
drei Bereiche unterteilen. Generell kn- soft Azure, aber auch mit EMC oder nau die Daten anzeigen zu lassen, die ak-
nen Sie mit der Suite alle Protokolle der NetApp. In greren Umgebungen ist tuell von Interesse sind.
Server auswerten und analysieren. Dazu OMS also durchaus in der Lage, fr eine
bertrgt der Agent die Daten in die gewisse Hochverfgbarkeit zu sorgen, Vor allem fr grere Umgebungen ist es
Cloud. Die Protokolle werden in Echtzeit diese zu monitoren oder sich in HA-L- ntzlich, gezielt Serverdienste und einzelne
ausgewertet und in den Dashboards zur sungen einzubinden, um diese zu ber- Server zu gruppieren. Die Verwendung
Verfgung gestellt, die Sie sich in der wachen und zu steuern. Basis ist Azure der Abfragesprache ist optional. Natrlich
Oberflche einrichten. Die Auswertung Site Recovery, ein Dienst, der VMs zwi-
geht wesentlich schneller vonstatten und schen Rechenzentren und der Cloud re- OMS kostenlos testen
ist auch einfacher eingerichtet als mit dem plizieren kann.
System Center. Sobald die Server einge- Wem 500 MByte tglicher Upload fr die Pro-
tokolldateien ausreichen und wer die Daten
bunden sind, bertragen sie bereits die Parallel dazu lassen sich Daten von wich-
nur maximal sieben Tage nutzen will, kann Mi-
Daten in die Cloud. tigen Servern mit Azure Backup in der crosoft Operations Management Suite eine
Cloud sichern, und auf Wunsch auch wie- Zeitlang kostenlos testen. Sobald Sie sich in
Der zweite wichtige Bereich ist die Echt- derherstellen. Unternehmen, die mehrere der Umgebung anmelden, wird, wie oben im
zeit-berwachung der Maschinen im lau- Rechenzentren betreiben beziehungsweise Fenster zu sehen, der kostenlose Datenplan
fenden Betrieb und die Konfiguration der mehrere Hyper-V-Hosts, haben die Mg- aktiviert. Bei der Einrichtung hilft kein Assis-
angebundenen Server. Erkennt OMS, dass lichkeit, Azure in die Hochverfgbarkeit tent, sodass Sie sich bei der berwachung zu-
ein Server Probleme hat, kann die Lsung zu integrieren. Dazu wird in OMS eine nchst etwas einarbeiten mssen. Zur Anmel-
dung ist ein Geschftskonto bei Microsoft
auch eine Aktivierung eines Replikats ver- Hochverfgbarkeit eingerichtet und die
notwendig, zum Beispiel eines, das auch fr
anlassen, das durch Azure Site Recovery VMs werden mit Hyper-V-Replikation Azure oder Office 365 genutzt wird. Sobald
in ein anderes Rechenzentrum bertragen zwischen Hosts im Rechenzentrum die Cloud-Umgebung eingerichtet ist, knnen
wurde. Viele Dinge lassen sich automati- repliziert. Die Replikation ist auch ber Sie die kostenlose berwachung Ihrer Server
sieren, vor allem wenn es um die Daten- verschiedene Rechenzentren hinweg durchfhren. Falls notwendig, lsst sich der
bertragung oder die Anpassung von Da- mglich. Azure Site Recovery ist ein ber- Funktionsumfang der Umgebung jederzeit
tenverbindungen zwischen On-Premise geordnetes Verwaltungstool in Microsoft kostenpflichtig nach oben anpassen. Die Prei-
se und den Funktionsumfang der einzelnen
und der Cloud geht. Hier knnen auch Azure, das verschiedene Netzwerke hoch-
Pakete listet Microsoft im Web [3] auf.
PowerShell-Cmdlets zum Einsatz kommen. verfgbar steuern kann.

www.it-administrator.de Juli 2016 91


S ch we rp unk t Microsoft Operations Management Suite

von OMS angezeigt. Sie finden die Ein-


stellungen dazu auf der Startseite ber die
Kachel "Settings". Erst wenn ein Server
hier erscheint, ergibt es Sinn, die ber-
wachung zu konfigurieren. Alle weiteren
Schritte nehmen Sie in der Weboberflche
der Management Suite vor. In den Ein-
stellungen der Agenten auf den einzelnen
Servern mssen Sie keine Anpassungen
mehr umsetzen.

berwachung
im Detail konfigurieren
Nach dem Anbinden von Servern besteht
der nchste Schritt darin, festzulegen, was
alles auf den Servern berwacht werden
soll. Sobald Sie hier Einstellungen vorge-
nommen haben, liest die Cloud-Lsung
die von den Agenten bertragenen Daten
ein. Bis erste Informationen angezeigt
Bild 2: Mit OMS lassen sich Dienste der angebundenen Server berwachen. werden, kann es einige Zeit dauern. Was
Die Funktionen stehen ber die Solution Gallery zur Verfgung. genau Sie mit OMS beobachten wollen,
steuern Sie ber die Settings-Kachel. Kli-
knnen Sie auch ohne die Sprache arbei- stallation erfolgt die Anmeldung mit cken Sie auf diese Kachel, sind zunchst
ten und nur das Webinterface nutzen. dem Microsoft-Konto. die hinzugefgten Solutions zu sehen,
zum Beispiel die berwachung der AD-
OMS bietet die Option, verschiedene Be- Agenten installieren Replikation im Netzwerk. Sie knnen aber
nutzer/Administratoren anzulegen, die Vor der berwachung mssen Sie die ge- jederzeit weitere Solutions integrieren,
sich an der Oberflche anmelden knnen. wnschten Server und Cloud-Dienste an deren Daten dann hier angezeigt werden.
Jeder Administrator, der im Unternehmen OMS anbinden. Dazu stellt die Umgebung In der Solutions Gallery stehen viele kos-
die Oberflche der Operations Manage- verschiedene Agenten zur Verfgung. Die- tenlose Erweiterungen zur Verfgung.
ment Suite nutzt, kann ein eigenes Dash- se installieren Sie auf den Ziel-Servern. Im Diese lassen sich mit wenigen Klicks in
board erstellen. Es kann also jeder Benut- Rahmen der Einrichtung mssen Sie die die Oberflche integrieren.
zer oder Administrator auf die Server und ID fr die Anbindung an die Management
Serverdienste zugreifen, fr die er zustn- Suite angeben. Die Daten dazu erhalten
Erweitertes Monitoring
dig ist. Alternativ knnen sich Admi- Sie auf der Downloadseite des Agenten.
nistratoren, die fr die gleichen Server Nachdem der Agent installiert ist, wird er Sobald Sie Server angebunden haben und
zustndig sind, eigene Oberflchen zu- ber die Systemsteuerung konfiguriert. diese Daten bertragen, lassen sich ber den
sammenstellen, mit denen sie besser ar- Die Einstellungen dazu sind ber "Micro- Menpunkt "Solutions Gallery" weitere
beiten knnen. soft Monitoring Agent" zu finden. berwachungsbereiche integrieren. Diese
werden automatisch auf der Startseite ange-
Die Solutions Gallery in der webbasier- Im Agenten selbst nehmen Sie dann alle zeigt, sobald sie diese hinzugefgt haben.
ten Verwaltungsoberflche zeigt die ver- Einstellungen vor, um den Server an OMS Nicht mehr bentigte berwachungen kn-
schiedenen Funktionen an, ber die sich anzubinden. Vor allem die Registerkarte nen Sie in den Einstellungen auch wieder
angebundene Server berwachen und "Azure Operational Insights" ist von zen- entfernen. ber "Logs Search" durchsuchen
steuern lassen. In den Einstellungen von traler Bedeutung. Hier wird die Anbin- Sie die konfigurierten Protokolle. In einem ei-
OMS werden auch die bereits hinzuge- dung an OMS aktiviert. Die Daten fr die genen Suchfenster erstellen Sie eigene Abfra-
gen und bringen Informationen zu den ber-
fgten Solutions angezeigt. Hier knnen Arbeitsbereich-ID und den Arbeitsbe-
tragenen Daten auf den Schirm. Mit einem
Sie die jeweiligen berwachungsbereiche reich-Schlssel sind auf der Downloadseite
Klick auf "Add" lesen Sie weitere Protokolle
auch wieder entfernen. Neben dem Zu- der Agenten zu finden. Sobald Sie die An-
ein. Wollen Sie ein eigenes Dashboard erstel-
griff ber das Webinterface stellt Micro- bindung erfolgreich durchgefhrt haben,
len, klicken Sie auf "My Dashboard". Hier
soft auch Apps zur Verfgung, mit denen sehen Sie im Agenten die Anbindung an
knnen Sie eine Monitoring-Oberflche nach
sich die Umgebung unterwegs ber die Operations Management Suite.
eigenen Anforderungen zusammenbasteln.
Smartphone und Tablet nutzen lsst. Die Mit "Add" fgen Sie neue Felder hinzu, mit
Apps stehen kostenlos im jeweiligen Nach der erfolgreichen Anbindung wird "Edit" bearbeiten Sie diese.
App-Store zur Verfgung. Nach der In- der neue Server in der Weboberflche

92 Juli 2016 www.it-administrator.de


Microsoft Operations Management Suite Schwerpunkt

Fazit
Unternehmen, die eine umfangreiche und
flexible berwachungslsung suchen,
aber nicht noch mehr eigene Server und
Datenbanken betreiben wollen, erhalten
mit der Microsoft Operations Manage-
ment Suite ein mchtiges Werkzeug. Fir-
men, die auf Azure oder AWS setzen,
knnen mit OMS Cloud-Dienste genauso
monitoren wie Windows- und Linux-Ser-
Bild 3: In der Weboberflche von OMS steuern Sie, welche Informationen ver. Durch die kostenlosen Apps lassen
aus den bertragenen Daten des Servers ausgelesen werden. sich Server und Cloud auch mobil ver-
walten. Nachteil ist natrlich die ber-
ber den Menpunkt "Connected Sour- ber den Menpunkt "Data" whlen Sie tragung der Daten in die Cloud. Wer die
ces" sehen Sie die Agenten und Daten- aus, welche Informationen von den an- Kontrolle ber seine berwachungsdaten
quellen einzelner Server oder ganzer gebundenen Servern angezeigt und ber- behalten will, sollte daher auf ein lokales
Gruppen in System Center Operations wacht werden sollen. ber das Plus-Zei- Monitoring setzen. Dieses ist dann aber
Manager. Diese lassen sich aber nicht chen integrieren Sie zum Beispiel die auch teurer und meist komplizierter in
kostenlos berwachen. Hier sehen Sie Ereignisanzeige in OMS. Sie knnen an Installation und Betrieb. (ln)
aber auch einzelne Server, die Sie ange- dieser Stelle aber auch weitere Daten aus-
bunden haben. Durch einen Klick auf lesen lassen. Link-Codes
den Link mit den verbundenen Servern
sind deren Namen zu sehen sowie wei- ber den Menpunkt "Accounts" konfi- [1] MS Operations Management Suite
G7Z25
tere Informationen. Nur die Server, die gurieren Sie die Benutzer, die Zugriff auf
hier angezeigt werden, lassen sich mit die Monitoring-Daten haben sollen. Au- [2] Video-berblick zu Microsoft OMS
G7Z12
OMS monitoren. Bei der Einrichtung erdem lschen Sie an dieser Stelle nicht
sollten Sie Ihr Augenmerk daher auf die- mehr bentigte Workspaces innerhalb [3] Preise von Microsoft OMS
G7Z27
se Informationen legen. der Umgebung.

Praxis-Know-how zum Vorbestellen:


Das IT-Administrator Sonderheft II/2016

Erfahren Sie auf 180 Seiten


alles rund um das Thema:

Windows Server 2016


und Windows 10
Neue Features, Rollout und Clientmanagement
Erhltlich
Bestellen Sie jetzt zum Abonnenten- ab Oktober
Vorzugspreis* von nur 24,90 Euro! 2016
Abo- und Leserservice * IT-Administrator Abonnenten erhalten das Sonderheft II/2016 fr 24,90. Nichtabonnenten zahlen 29,90.
IT-Administrator All-Inclusive Abonnenten "zahlen" fr Sonderhefte nur 16,00 - diese sind im Abonnement
IT-Administrator dann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel
D-65341 Eltville
Fax: 06123/9238-252
leserservice@it-administrator.de shop.heinemann-verlag.de
Auswahl und Integration von Cloud-Diensten

Das Cloud-
Puzzle lsen
von Mark Borgmann

In Sachen Cloud-Computing mssen sich Unterneh-


men zunchst klar werden, welche IT-Ressourcen sie
wie managen und welche Services sie nutzen wollen.
Entscheiden sich Anwenderfirmen fr Dienste
verschiedener Anbieter, bedeutet das
hheren Integrationsaufwand,
zustzliche Schnittstellen und
Abhngigkeiten. Dem begegnen
gute Cloud-Provider, indem sie alle

Quelle: Olesia Gapchuk 123RF


drei Cloud-Layer IaaS, PaaS und SaaS
abdecken, wodurch sich komplexe IT-Strukturen
vereinfachen lassen. Daneben gibt es aber noch
andere Kriterien bei der Anbieterwahl zu beachten,
damit das digitale Durchstarten unbeschwert gelingt.

uch in den IT-Betrieb dringen unbegrenzt skalieren, erspart Unterneh- Anbieter von Public-Cloud-Services. Die
A Diskussionen ber Unterneh- men hohen Aufwand fr Implementie- Skepsis gegenber der Public Cloud ist
mensplanung, Geschftsprozesse und - rung und Updates. Und es gibt neben den nach wie vor gro. Auch gegenber der
modelle sowie Produktplanung vor. Die geringeren Kosten noch einen weiteren Hybrid Cloud gibt es hufig noch Vorbe-
Debatten dienen dem Ziel, das Unter- berzeugenden Grund: Eine neue Soft- halte. Dabei spielen Sicherheitsbedenken
nehmen wettbewerbsfhiger zu machen ware-Lsung lsst sich im Prinzip sofort mittlerweile allerdings eine untergeord-
und fr die Zukunft auszurichten. Die in Betrieb nehmen; vor allem aber pro- nete Rolle, stattdessen rcken operative
digitale Transformation muss dabei in fitieren Unternehmen auf diese Weise von Herausforderungen wie das Management
agile und effiziente Geschftsprozesse schnellen Innovationszyklen. Immer unterschiedlicher IT-Architekturen (59
mnden und selbst etablierte Player mehr Unternehmen erkennen die Vorteile Prozent) und die verfgbare Bandbreite
mssen in ihren Segmenten digital neu der Cloud: Laut einer aktuellen Studie (57 Prozent) in den Vordergrund. Auch
starten oder nachjustieren; erinnert sei von IDG Connect und Oracle ist die findet sich die Beziehung mit dem IT-
hier nur an Kodak oder Nokia. Anhand berwltigende Mehrheit (92 Prozent) Anbieter (56 Prozent) weit oben auf der
der ehemals klangvollen Marken lsst der befragten 458 Unternehmen (aus Bedenkenliste.
sich leicht erkennen, wie schnell der di- Europa, dem Mittleren Osten und Afrika)
gitale Wandel unbewegliche Gren vom berzeugt, dass sie mit Hilfe der Cloud Als wichtigste Faktoren fr die erfolg-
Markt splen kann. Innovationen schneller umsetzen kann. reiche Implementierung einer Hybrid-
Und immerhin gut die Hlfte wird in den Cloud-Infrastruktur betrachten die Stu-
Deutsche favorisieren nchsten zwei Jahren auch reif fr die dienteilnehmer die Untersttzung we-
Hybrid Cloud Cloud sein. sentlicher Business-Entscheider im
Die richtige Schlussfolgerung muss daher Unternehmen, gefolgt von Kosteneffizienz
lauten: Unternehmen mssen jetzt ihre Viele Unternehmen speziell in Deutsch- sowie einer soliden und vertrauensvollen
Geschftsmodelle, Prozesse und Dienst- land bevorzugen dabei die Hybrid Cloud. Beziehung mit dem Anbieter. Unterneh-
leistungen anpassen, um langfristig wett- Das bedeutet: Das eigene Rechenzentrum men bertragen also nicht nur ihre Be-
bewerbsfhig zu bleiben. Die Cloud ist stellt einen Teil der IT-Ressourcen und denken, sondern auch ihre Hoffnungen
hierbei ein Eckpfeiler. Sie lsst sich nahezu -Services bereit, den anderen Teil liefern auf die Provider.

94 Juli 2016 www.it-administrator.de


Ziel und Bedarf im Visier
Intensiv-Seminar
Bevor sich Unternehmen jedoch mit der Auswahl des L-
sungsanbieters und der Implementierung der Cloud-Lsungen Best Pract
beschftigen, sollten sie vor allem zwei strategische Fragen ices
beantworten: Was ist eigentlich das Ziel? Und wie sieht der Windows
konkrete Bedarf aus? Hier sind insbesondere die Fachabtei-
lungen gefragt und in der Pflicht, denn diese sind zunehmend
10
der Treiber fr den Einsatz von Cloud-Lsungen. CIOs und
IT-Experten fungieren in diesem Prozess vor allem als Berater
und "Marktforscher": Sie greifen die Anforderungen und An-
regungen der Fachbereiche auf und entwickeln gemeinsam
mit dem passenden Anbieter Szenarien, wie sich Geschfts-
modelle und -prozesse mit Hilfe von Cloud-Services am besten
umsetzen lassen.

Zu den Branchen in Deutschland, die 2015 auf Cloud-Com-


puting-Lsungen setzten, zhlen laut dem von der Beratungs-
gesellschaft KPMG und von Bitkom Research herausgegebenen

Quelle: goodluz 123RF.com


Cloud Monitor 2015 vor allem der IT- und Telekommunika-
tionssektor, der Logistik-Bereich sowie die Pharma- und che-
mische Industrie, der Handel sowie der Automobilsektor. Groe
Konzerne nutzen Cloud-basierte Lsungen fr das Customer
Relation Management (CRM) oder die Personalverwaltung.
Andere groe oder mittelstndische Unternehmen beziehen
hingegen Infrastrukturservices wie Rechenleistung oder Sto- Bensheim: 8. bis 9.11.2016
rage-Ressourcen (Infrastructure-as-a-Service). Wieder andere
brauchen Datenbanken, Office-Pakete, Collaboration-Lsungen und 30. bis 31.01.2017
oder IT-Security-Produkte unterschiedlicher Ausprgung. In
der Folge sind laut einer Studie von Skyhigh Networks in einem in-time IT Training Center GbR,
europischen Unternehmen mittlerweile durchschnittlich 1038 Darmstdter Strae 63
Cloud-Dienste im Einsatz (im Vorjahr waren es noch 782).
Bleibt festzuhalten: Es gibt fr jedes Einsatzszenario eine An- 64625 Bensheim
wendungs-, Plattform- oder Infrastrukturlsung aus der Wolke.
Anmeldung unter:
Nun erfolgt die konkrete Umsetzung einer neuen Cloud-Infra- www.it-administrator.de/
struktur aber nie auf der grnen Wiese; eine erfolgreiche Inte-
gration in die bestehende IT-Infrastruktur ist deshalb von zentraler
trainings
Bedeutung. Zudem muss sich das Unternehmen immer die Fra-
gen stellen: Wo wollen wir eigentlich in fnf oder zehn Jahren
Agenda Unser Angebot:
stehen und welche IT-Infrastruktur brauchen wir dafr?
Windows-10-Installation - Maximal 10 Teilnehmer je Seminar.
Installation mit MDT, ACT, USMT Windows ICD
Orientierung im und Bereitstellungspakete Umgang mit Windows - Ein PC fr jeden Teilnehmer
Update for Business - Jeweils 2-tgiges Intensiv-Seminar
breiten Angebotsspektrum
Security von 9:00 bis 17:00 Uhr.
Potenzielle Cloud-Anwender haben die Qual der Wahl, weil Windows Hello & Passport for Business EFS und
immer neue Cloud-Anbieter im Markt auftauchen. Oft ist es BitLocker/BitLocker To Go Secure und Measured
Seminarpreise:
so, dass Neukunden die Qualitt und langfristige Eignung eines Boot Device Guard und Credential Guard Zuge-
wiesener Zugriff Windows 10 mit MDM verwal-
Angebots nicht ausreichend gut beurteilen knnen. ten 1.273,30 Euro
Windows 10 im Unternehmen (inkl. 19% MwSt.)
Es gibt jedoch einige grundlegende Kriterien, auf die Unter- Gruppenrichtlinien Azure AD Join Workplace
Sonderpreis fr
Join Unternehmens-PC einrichten
nehmen und Entscheider achten sollten: Der Anbieter sollte Abonnenten des IT-Administrator
Windows 10 im Netzwerk
ber ein mglichst umfangreiches Lsungsportfolio ber alle Netzwerkumgebung Netzwerkdiagnose 1.106,70 Euro (inkl. 19% MwSt.)
drei Cloud-Layer hinweg (IaaS, PaaS und SaaS) verfgen. Der Windows Remote Management
Grund: Wenn Anwender Cloud-Dienste unterschiedlicher
Druckerinstallation und -verwaltung In Zusammenarbeit mit
Installation von lokalen Druckern und Netzwerk-
Anbieter beziehen, mssen sie diese mhsam integrieren, um druckern Druckertreiber aktualisieren
die Services zentral zu steuern. Damit entstehen zustzliche Benutzerprofile verwalten
Lokale und wandernde Benutzerprofile Primre
Schnittstellen und der Integrationsaufwand wchst. Das bindet und sekundre Computer Vorstellung UE-V
Sicherung und Wiederherstellung
Dateiversionsverwaltung PC-Reset/Refresh
www.it-administrator.de Hilfsmittel zum Starten defekter PCs
S ch we rp unk t Auswahl und Integration von Cloud-Diensten

schliet Zukunftsrisiken aus und macht


den Weg frei fr eine langfristige enge
Zusammenarbeit. Auerdem: Etablierte
Technologieanbieter investieren in neue
Partnerschaften, Technologien und Mrk-
te. Sie sind so in der Lage, schnelle Inno-
vationszyklen zu realisieren und ihr
Cloud-Angebot kontinuierlich weiterzu-
entwickeln. Das ist in einem schnelllebi-
gen Marktsegment wie Cloud-Computing
essenziell und ohne eine starke Finanz-
basis nicht machbar.

Quelle: IDC
Haben Unternehmen Zweifel, ob der ins
Die Mehrzahl der deutschen Unternehmen stuft Cloud-Computing als wichtigste Auge gefasste Anbieter der richtige ist,
Technologie im Zusammenhang mit der digitalen Transformation ein. Dies gilt sowohl fr sollten sie sich immer wieder eine Frage
die Fachbereiche als auch die IT-Abteilung. beantworten: Wird die Nutzung unserer
IT-Ressourcen mit diesem Anbieter
Kapazitten und erhht die Kosten. Wechsel zwischen Cloud und on-premise leichter oder komplexer? Denn letztlich
Lsst sich ein breites Portfolio an Cloud- ermglichen. Denn die wenigsten Un- sollen Cloud-Lsungen aus Gesamtun-
Lsungen aus einer Hand beziehen, wer- ternehmen werden sofort eine vollstn- ternehmensperspektive Kosten senken
den sowohl der Einstieg als auch das dige Migration in die Cloud anstreben, und das Unternehmen in die Lage ver-
Aufstocken leichter: Unternehmen kn- sondern bestimmte Anwendungen wei- setzen, sich auf seine Kernkompetenzen
nen bereits aufeinander abgestimmte terhin lokal im eigenen Rechenzentrum zu konzentrieren.
Cloud-Anwendungen ordern, die ohne betreiben wollen eventuell auch dau-
Debugging, Redesign oder langwierige erhaft. Mglicherweise geht es zunchst Offene, innovative
Testlufe funktionieren. Wenn der Pro- auch nur darum, Leistungsspitzen ber und integrative Lsungen
vider auch noch in der Lage ist, von der die Cloud abzufedern. Laufende Lizenz- Neben den bereits genannten Grundvo-
Infrastruktur ber die Plattformen bis vertrge und bestehende Hardware sind raussetzungen gibt es noch eine Vielzahl
hin zur Applikation den gesamten weitere Grnde, warum der Wechsel in weiterer Faktoren, die bei der Auswahl
Cloud-Stack abzubilden, ist gewhrleis- die Wolke eher sukzessive verluft. Fr eines Cloud-Providers zu bercksichtigen
tet, dass sich smtliche Cloud-Dienste maximale Flexibilitt beim Betrieb in der sind. Hier ist zuerst die Flexibilitt der
nahtlos an die vorhandene IT-Infra- Cloud und on-premise mssen Funktio- Integration und Kompatibilitt mit be-
struktur anbinden lassen. nalitten und Look and Feel jedoch iden- stehenden Systemen und Anwendungen
tisch sein ansonsten entstehen kom- zu nennen: Der Cloud-Anbieter sollte L-
Zudem sollten sich Cloud-Lsungen pro- plexe, mehrschichtige IT-Umgebungen, sungen auf Basis offener Standards an-
blemlos in eine bestehende IT-Infrastruk- deren Management einen erhhten Auf- bieten, denn damit haben Unternehmen
tur integrieren lassen und einen flexiblen wand bedeutet. Anbieter, die sowohl in die freie Wahl, welche Systeme und An-
der Cloud als auch on-premise 100 Pro- wendungen sie weiter nutzen wollen. Zu-
Speichern in der Cloud zent identische Services, Plattformen und dem knnen sie auf dieser Grundlage ei-
Anwendungen bieten, begegnen diesen genstndig Plattformen erweitern, eigene
Neueinsteigende Unternehmen interessieren
Befrchtungen aktiv. So bestimmt der Bausteine fr die Cloud-Umgebung ent-
sich oft im ersten Schritt fr eine kombinierte
Speicherlsung. Das Anwenderunternehmen Anwender allein das Tempo bei der di- wickeln oder Services von Drittanbietern
belsst hierbei den Groteil seiner Daten auf gitalen Transformation. nutzen. So vermeiden Sie eine exklusive
einem lokalen Storage und lagert die nicht Bindung an den Anbieter und knnen
oder wenig genutzten Daten in die Cloud aus. Und angesichts der Vielzahl von Cloud- das Versprechen von Flexibilitt und Agi-
Die Unternehmens-IT kann so den Anwendern Anbietern, die derzeit auf den Markt litt einlsen. So lsst sich die digitale
enorme Storage-Kapazitten in sehr kurzer
drngen, mssen sich potenzielle Kunden Transformation im selbstbestimmten
Zeit zur Verfgung stellen.
auch die Frage nach der Marktposition Tempo vollziehen und ohne sich Ge-
Das spart zudem Kosten, weil das Speichern
der ungenutzten Daten in der Cloud wesent- dieser Anbieter stellen. Nicht nur die danken ber die Integration neuer Sys-
lich gnstiger ist, als den Storage selbst vorzu- Cloud-Lsung zhlt, sondern wichtig sind teme machen zu mssen.
halten. Ein weiteres Argument kann im einfa- auch Branchenerfahrung und Innovati-
chen Handling liegen: bersichtliches onsstrke des Anbieters. Anhaltspunkte Ein weiterer wichtiger Punkt ist die In-
Verwalten der Storage Appliance ber die dafr liefern eine langjhrige Marktpr- novationsstrke des Anbieters. Es ist zu
Cloud macht von einem komplizierten lokalen
Management-Toolset unabhngig.
senz und eine gesunde Finanzbasis. Wer prfen, ob der Anbieter ber umfangrei-
einen finanzstarken Anbieter whlt, che eigene IPs also die Eigentumsrechte

96 Juli 2016 www.it-administrator.de


an den von ihm angebotenen Produkten verfgt oder ob er
Intensiv-Seminar
externe Lsungen oder zentrale Hardware-Komponenten zu-
kaufen und integrieren muss. Wenn Letzteres der Fall ist, er-
geben sich daraus neue Schnittstellen und auch zustzliche
Windows
Abhngigkeiten von einem dritten Anbieter (und dessen Un- Server 201
ternehmens- und Produktentwicklung).
6
Auch Integrationsservices und -kompetenz spielen hier eine
Rolle, denn Unternehmen und ihre Cloud-Anbieter stehen vor
der Herausforderung, Cloud-Lsungen in die bestehende un-
ternehmensinterne IT-Infrastruktur einzubinden und die Ser-
vices anschlieend zentral zu verwalten. Kommen Cloud-L-
sungen unterschiedlicher Anbieter zum Einsatz, steigt die
Komplexitt. Der Integrationsservice der Provider sollte in dem
Fall Konnektoren fr Applikationen, Transformation Mapper
und Tools fr das Monitoring der Integration von Private- und
Public-Cloud-Diensten umfassen.

Quelle: goodluz 123RF.com


Sicher bertragen
und richtig anbinden
Cloud-Provider garantieren in der Regel einen reibungslosen Be-
trieb ohne Datenverlust auch im Katastrophenfall. Fllt in einem
solchen Krisenfall ein Rechenzentrum aus, sorgen mehrfach re-
dundante, abgesicherte, geografisch verteilte Backup-Systeme
fr eine zuverlssige Sicherung. Berlin: 17. bis 19.11.2016
Neben dem Aspekt der Sicherheit zhlt aber auch die Anbindung PC-COLLEGE: Stresemannstrae 78
von Cloud-Services an vorhandene Applikationen und Daten- (Nhe Potsdamer Platz) 10963 Berlin
bestnde im Unternehmensrechenzentrum zu den entscheiden-
den Erfolgskriterien. Wichtig ist insbesondere eine nahtlose In-
tegration von Software-as-a-Service. Unternehmen geben etwa Dsseldorf: 24. bis 26.11.2016
50 Prozent der SaaS-Projekte auf, weil sich Cloud-Anwendungen
nicht in die vorhandene IT-Umgebung einbinden lassen. Eine
PC-COLLEGE: Hansaallee 249, Eingang C
nahezu identische Anzahl der Unternehmen hatte aus demselben 40549 Dsseldorf
Grund bereits Probleme, Projektlaufzeiten einzuhalten.
Anmeldung unter:
Fazit
In allen Branchen diskutieren Unternehmen seit Jahren ber
www.it-administrator.de/
das Fr und Wider der Cloud. Das hat sich deutlich gendert, trainings
denn jetzt liefert der Markt die passenden Lsungen, um die
Vorteile der Cloud endlich nutzbar zu machen. Die skeptische
Grundhaltung der frheren Jahre weicht immer mehr detail- Agenda Unser Angebot:
lierten Fragen und einer Wahrnehmung von Barrieren "auf - Installation und Konfiguration von - Maximal 10 Teilnehmer je Seminar.
den zweiten Blick". Ein Beleg: Das Integrieren und Managen Windows Server 2016 - Ein PC fr jeden Teilnehmer
der IT-Ressourcen bereitet den meisten Entscheidern heute - Implementierung der Active Directory
- Jeweils 3-tgiges Intensiv-Seminar
Domain Services (AD DS)
Kopfzerbrechen. Die Frage "Cloud ja oder nein?" scheinen von 9:00 bis 18:00 Uhr.
- Bereitstellung von Active-Directory-Domnen-
sie inzwischen klar zu beantworten. Es geht also nur noch controllern und Dienstkonten
um das Wie und Was. - Verwaltung und Optimierung von Speicher:
Seminarpreise:
iSCSI-Speicher und Konfiguration von
Wer aus der Cloud ein erfolgreiches Modell fr die Zukunft
Storage Spaces 2.356,20 Euro
- Implementierung des sicheren Datenzugriffs (inkl. 19% MwSt.)
machen will, braucht dafr einen professionellen Partner, der fr Benutzer und Gerte (dynamische Zugriffs- Sonderpreis fr
ber die erforderliche Branchenexpertise und Innovationskraft kontrolle / Work Folders) Abonnenten des IT-Administrator
verfgt, die oben genannten Leistungsmerkmale aufweist und - Einrichtung des Fernzugriffs
(DirectAccess / VPN)
2.177,70 Euro (inkl. 19% MwSt.)
der auch morgen noch fr seine Anwender da ist. (jp)
- Failover-Clustering mit und ohne Hyper-V
- Datensicherung und -wiederherstellung:
In Zusammenarbeit mit
Mark Borgmann ist Cloud Sales Leader Germany bei Oracle. Windows-Server-Backup & Server- und
Datenwiederherstellung)

- Hyper-V einrichten: Hyper-V-Hostserver,

Seminare, die begeistern!


Hyper-V-Speicher, Hyper-V-Networking und
www.it-administrator.de virtuelle Maschinen
Softwarelizenzierung in der Cloud

Verborgene
Risiken
von Anton Hofmeier

Cloud Computing zhlt nach wie vor zu


den wichtigsten Trends in der IT. Nach den
ersten vorsichtigen Versuchen und der Evaluie-

Quelle: Matej Kotula 123RF


rung cloudbasierter Anwendungen gehen Unter-
nehmen nun immer schneller zu Public, Private oder
Hybrid Cloud ber. Doch gerade, was die Software-
lizenzierung in der Cloud angeht, liegen die
Tcken meist im Detail.

as Thema Software-Compliance innerhalb einer Cloud-Umgebung instal- liegen besondere Anforderungen und
D spielt auch in der Cloud eine ent- lieren und nutzen lsst, heit dies noch Einschrnkungen vor.
scheidende Rolle und birgt entsprechende lange nicht, dass die Nutzung auch durch
Risiken. IT-Abteilungen in Unternehmen die vom Unternehmen erworbene Lizenz Nutzt ein Unternehmen also etwa IBM-
haben zwar Zugang zu allen Software-An- abgedeckt ist. Einige Anbieter bieten eine Software in der Cloud, muss es die volle
wendungen sowie den entsprechenden solche Nutzung beispielsweise nur im Rah- CPU-Kapazitt der physischen Maschine
Softwarelizenzen. Oft fehlt ihnen jedoch men von Speziallizenzen an. Andere ver- angeben, auf der die Cloud-Umgebung
die Erfahrung, die komplexen und viel- bieten ausdrcklich die Nutzung ihrer Soft- luft. Das stellt viele Unternehmen vor ein
schichtigen Compliance-Richtlinien zu ma- ware in der Cloud. Um also potentiell Problem, denn nicht alle Cloud-Anbieter
nagen. Dabei wird hufig davon ausgegan- kostspielige Compliance-Verste zu ver- teilen diese Information ihren Kunden mit.
gen, dass wenn dem Unternehmen eine meiden, sollten IT-Abteilungen in Zusam- Und selbst wenn sie es tun, sind Unterneh-
Lizenz fr eine Anwendung vorliegt, diese menarbeit mit den fr die Lizenzierung men oft verpflichtet, den vollen Preis fr
auch berall genutzt werden kann ein- verantwortlichen Teams die jeweiligen Nut- volle Kapazitt zu zahlen selbst wenn die
schlielich der Cloud. Ob die Anwendun- zungsbedingungen genau berprfen. Und Instanz, auf der ihre Software luft, nur
gen dabei auf physischer Hardware, auf zwar noch ehe sie cloudbasierte Services eine von vielen VMs dieses Servers ist. So
VMs im eigenen oder in externen Rechen- im Unternehmen zur Verfgung stellen. knnen schnell hohe Kosten anfallen.
zentren laufen, spielt fr viele keine Rolle. Das gilt auch fr Desktop-Anwendungen,
die ein Unternehmen ber die Cloud hos- Manche Softwareanbieter haben damit
Softwarelizenzierung ten mchte. Sie unterliegen hufig spe- begonnen, spezialisierte Lizenzbestim-
genau berprfen ziellen Bedingungen, die einen Betrieb mungen fr die Nutzung von Software in
Doch unter dem Aspekt der Lizenzierung in virtuellen Umgebungen erlauben, zum Public-Cloud-Umgebungen hinzuzuf-
ist genau die Umgebung, in der die Soft- Beispiel indirekte Zugangslizenzen. gen. Wollen Unternehmen beispielsweise
ware luft, der ausschlaggebende Faktor. Oracle-Datenbanken in Cloud-Umge-
Der Grund: Software unterliegt exakt de- Sonderfall Virtualisierung bungen nutzen, knnen sie dies nur in
finierten Lizenzbedingungen. Mit der Noch komplexer gestaltet sich die Cloud- einer Amazon-, Azure- oder Oracle-
Einfhrung der Virtualisierung haben die Lizenzierung bei Rechenzentrumsanwen- Cloud tun. Whlen sie stattdessen IBM
verschiedenen Anbieter von Software je- dungen. Viele von ihnen sind CPU-ba- SoftLayer oder einen anderen Cloud-An-
doch unterschiedliche und oft verwir- siert lizenziert und unterliegen speziellen bieter, haben sie keine Erlaubnis und ver-
rende Bestimmungen vorgegeben. Bestimmungen bei der Virtualisierung. stoen automatisch gegen die Complian-
IBM-Software beispielsweise lizenziert ce-Richtlinien von Oracle. An diesen
Diesen Grundgedanken zu verstehen ist nach PVUs (Processor Value Units). Luft Beispielen wird deutlich, wie wichtig es
entscheidend: Nur weil sich eine Software die Software auf virtuellen Maschinen, fr Unternehmen ist, die Lizenzverein-

98 Juli 2016 www.it-administrator.de


barungen genau zu prfen, ehe sie Soft- Nur so knnen Unternehmen die fr sie
ware in die Cloud migrieren. effizienteste Lsung finden.

berprovisionierung vermeiden Teure Shelfware


Doch selbst wenn eine Lizenzierung fr
die Softwarenutzung in der Cloud vorliegt,
Ein weiteres Risiko: Im Laufe der Zeit be-
antragen Anwender immer wieder neue
Worber
gibt es fr Unternehmen noch weitere Ri-
siken zu beachten. Teams fr cloudbasierte
Service-Instanzen und vergessen dabei oft,
frher genutzte Instanzen abzuschalten. Administratoren
Dienstleistungen investieren oft viel Zeit
und Aufwand in den Aufbau von internen
Die Kosten fr solche ungenutzten Ser-
vice-Instanzen in der Cloud laufen jedoch morgen reden
Infrastrukturen, um Fachabteilungen die weiter einschlielich der Subskriptions-
Vorteile der Cloud zur Verfgung stellen und Lizenzierungskosten. Im Grunde be-
zu knnen. Self-Service-Portale ermgli- schreibt dies die Cloud-Variante der soge-
chen es Anwendern beispielsweise, schnell nannten Shelfware. Da Cloud-Umgebun-
und einfach spezielle Dienstleistungen aus- gen von Haus aus sehr dynamisch sind,
zuwhlen. ber damit verbundene Cloud- kommt es sehr schnell zu dieser Art von
Management-Tools werden dabei auto- Shelfware. Der einzige Hinweis darauf fin-
Sichern Sie sich den
matisch fr jeden Nutzer die ausgewhlten det sich hufig in der Rechnung des E-Mail-Newsletter des
Services bereitgestellt. Doch auch hier gilt: Cloud-Anbieters. Bei der Vielzahl an In-
Nur weil eine Lizenzierung vorliegt, ist stanzen in Unternehmen und ihren un- IT-Administrator und
noch lange nicht die automatisierte Be- terschiedlichen Nutzungsprofilen ist es da-
reitstellung ber solche Portale mitabge- bei nicht immer einfach, solche Shelfware
erhalten Sie Woche fr
deckt. Ganz im Gegenteil tauchen dabei zu identifizieren. Vor allem dann, wenn Woche die
neue, zustzliche Risiken auf, wie die fol- keine geeigneten Tools zur Softwarelizenz-
genden Beispiele zeigen. optimierung vorhanden sind.

Fordert ein Mitarbeiter zum Beispiel einen Zustzliche Kosten knnen auch durch > neuesten TIPPS & TRICKS
cloudbasierten Service an und erhlt darauf fehlende bertragbarkeit von Lizenzen
Zugriff, nutzt er die in der jeweiligen Ser-
vice-Instanz installierte Softwarelizenzie-
bei virtuellen Maschinen entstehen. Abon-
niert ein Anwender beispielsweise einen
> praktischsten TOOLS
rung. Damit kann er die Anwendung im Datenbank-Service und kndigt diesen
Rahmen seiner Arbeit nutzen. Auch wenn nach der Benutzung wieder, kann die Li- > interessantesten WEBSITES
ein permanenter Zugang gebraucht wird, zenz noch fr einige Zeit an diese Instanz
ist dieser mit hoher Wahrscheinlichkeit auf gebunden sein. Fordert ein anderer An- > unterhaltsamsten GOODIES
Seite der Lizenzierung abgedeckt. Auf Kos- wender whrenddessen den gleichen Ser-
tenseite hingegen sollten Unternehmen vice an, muss eine neue Lizenzierung aus-
berprfen, ob die genutzte Cloud-Instanz gegeben werden. Unbeabsichtigte und
(in der Regel die virtuelle Maschine) den unntige Kosten sind die Folge. sowie einmal im Monat
Anforderungen gem dimensioniert ist.
Fazit
die Vorschau auf die
Abonnieren Unternehmen eine Microsoft Unternehmen sollten die Herausforderun- kommende Ausgabe des
SQL-Server-Instanz mit acht CPUs, freu- gen der Softwarelizenzierung nicht unter-
en sich die Mitarbeiter zwar ber die hohe schtzen. Entsprechende Teams unterstt- IT-Administrator!
Geschwindigkeit, mit der die Datenbank zen mit ihrem Know-how nicht nur bei
arbeitet. Bei Arbeitsablufen im kleinen der Entwicklung cloudbasierter Services,
Mastab reicht eine Instanz mit einer oder sondern stellen auch sicher, dass Lizenz-
zwei CPUs aber oft vollkommen aus. Das management und -optimierung fr das
Unternehmen gibt in diesem Fall mehr Cloud-Management zum Einsatz kom-
fr die Bereitstellung der Service-Instanz men. Das vereinfacht zudem Verhandlun-
aus als ntig. Denn fr grere Instanzen gen um vorteilhafte Lizenzbestimmungen.
fallen hhere Kosten an. Zudem verfgen Die IT kann so hochwertige Services an-
Jetzt einfach
Unternehmen oft ber mehr (oder teu- bieten und sowohl Kosten als auch Com- anmelden unter:
rere) Lizenzierungen als sie tatschlich pliance-Risiken gering halten. (ln)
brauchen. Eine breite Auswahl an Service
Optionen und eine detaillierte Auflistung Anton Hofmeier ist Regional Vice President
aller Kosten wird daher immer wichtiger. Sales DACH bei Flexera Software.

www.it-administrator.de/newsletter
www.it-administrator.de
Neue Aufgaben der IT durch Virtualisierung und Cloud Computing

IT 4.0
von Mathias Hein

In der Virtualisierung und in


der Prozessoptimierung mit der
Integration von Cloud-Diensten
ist die Ursache fr einen grund-
legenden, tiefgreifenden Wandlungs-
prozess der IT-Branche begrndet.
Der Ersatz von Hardware-Funktionen
durch Software sorgt auch dafr,
dass die internen Prozesse in
den Unternehmen umstrukturiert
und die Anforderungen an das
IT-Personal neu definiert
werden mssen.
Quelle: Kittitee Pangwang 123RF

irtualisierung erzeugt Hard- oder Netzkapazitten oder auch fertige Anwen- Applikation weder in die Cloud ein noch
V Software-Objekte mit Hilfe einer dungen) ber ein Netz zur Verfgung ge- muss er sich um Skalierbarkeit oder Da-
Software-Schicht. So lassen sich unter- stellt. In diesem Sinne ist die Cloud die lo- tenhaltung kmmern.
schiedliche Server auf einem beziehungs- gische Konsequenz der Virtualisierung.
weise mehreren Rechnern transparent Rechenzentren
zusammenfassen oder aufteilen oder ein In der Cloud werden folgende Servicety- verschwinden in der Cloud
Betriebssystem innerhalb eines anderen pen bereitgestellt: Bei Infrastruktur-as-a- Die Cloud sorgt in den Unternehmen fr
Betriebssystems ausfhren. Das sorgt fr Service (IaaS) nutzt der Kunde Server, eine Auslagerung bestimmter Teile des
- Bessere Energieeffizienz. Storage, Netzwerk und die brige Rechen- Rechenzentrums. Unter gewissen Um-
- Optimale Auslastung der vorhandenen zentrums-Infrastruktur als abstrakten, vir- stnden knnen kleinere Firmen auf der
Rechenkapazitten. tualisierten Service ber das Internet. Die Basis von ffentlich angebotenen Cloud-
- Effektivere Administration und War- Abrechnung der bereitgestellten IaaS-Leis- Diensten vollstndig auf eigene IT ver-
tung vorhandener Komponenten. tungen erfolgt typischerweise nutzungs- zichten. Auch werden in der Cloud bereits
- Hochverfgbarkeit unternehmenskri- abhngig. Plattform-as-a-Service (PaaS) Features und Funktionen auf bestimmte
tischer Systeme: Durch den Einsatz von hingegen liefert neben Hardwareservices Unternehmensfunktionen zugeschnitten,
Server-Virtualisierung ist es mglich, und Betriebssystemen auch hherwertige sodass das Unternehmen sich zumindest
preiswerte und einheitliche Hochver- Dienste. PaaS stellt dabei die Anwen- fr diesen Bereich nicht mehr um Server,
fgbarkeitslsungen innerhalb der ge- dungsinfrastruktur in Form von techni- Storage und Netzwerk kmmern muss.
samten virtualisierten IT zur Verfgung schen Frameworks (Datenbanken und Dies bedeutet jedoch auch, dass je mehr
zu stellen. Middleware) oder die gesamte Entwick- Funktionen in die Cloud verschoben wer-
- Virtualisierung der Desktops. lungsplattform bereit. den, desto weniger Ressourcen vom
Cloud-Nutzer lokal beschafft und betrie-
Demgegenber stellt das Cloud Compu- Und schlielich beziehen Unternehmen ben werden mssen.
ting die Ausfhrung von Programmen, die mit Software-as-a-Service (SaaS) ihre Ap-
nicht auf dem lokalen Rechner installiert plikation ber ein IP-Netz. Dabei werden Gem einer vom Marktforschungsun-
sind, sondern auf einem anderen Rechner, Infrastrukturressourcen und Anwendun- ternehmen Vanson Bourne im Auftrag
der ber das Internet aufgerufen wird, dar. gen zu einem Gesamtbndel kombiniert. von Intel durchgefhrten Marktanalyse
Aus der Cloud werden in der Regel die Der Anwendungsservice wird nach Be- werden innerhalb der kommenden 18
notwendigen IT-Infrastrukturen (zum Bei- darf abgenommen und entsprechend be- Monate circa 80 Prozent der weltweiten
spiel Rechenkapazitt, Datenspeicher, zahlt. Hierbei bringt der Benutzer seine IT-Budgets in die Cloud wandern. Ein

100 Juli 2016 www.it-administrator.de


Neue Aufgaben der IT Schwerpunkt

Grund hierfr ist der stndig zunehmen- Computing in seiner bisherigen Form als Cloud-Anbieter seiner Wahl die entspre-
de Anteil der Digitalisierung in den Un- Systemverwalter zumindest beim An- chenden Dienstleistungen ein. Unter Um-
ternehmen. Natrlich schrecken diese wender-Unternehmen nicht mehr. Die stnden bernimmt ein Cloud-Integrator
Zahlen die klassischen IT-Abteilungen zuknftige IT-Organisation wird wesent- die Funktion eines Untersttzers bei der
auf, aber der Wandel ist seit geraumer lich weniger Zeit darauf verwenden, Integration der Cloud-Lsungen.
Zeit nicht mehr zu bersehen. Technologieressourcen zu erstellen und
zu warten. Vielmehr werden die Service- Der Service eines Cloud-Integrators ist
Aus all diesen Prognosen und Marktein- koordination und die Befhigung des vergleichbar mit dem eines Systeminte-
schtzungen lassen sich der Umbau der Unternehmens, Services effektiv fr den grators, der sich auf den Bereich des
Geschftsmodelle und somit die Trans- Geschftsbetrieb zu nutzen, eine zentrale Cloud-Computings spezialisiert hat. Eine
formation der IT-Organisation bezie- Rolle spielen. Realisierung einer hybriden Cloud erfor-
hungsweise die Anpassung der Betriebs- dert vom Integrator das Zusammenfgen
organisationen ablesen. Die Unterneh- Zuknftige Aufgaben der IT beschftigen einer privaten und einer ffentlichen
men mssen nicht nur den Betrieb und sich primr mit der IT-Architektur, die das Cloud. Die Integration der Unterneh-
die IT-Infrastrukturen anpassen, sondern Design, die Sicherheit und die Anforde- mensanwendungen und anderer Unter-
auch die Aufbau- und Ablauforganisati- rungen an die fr das Geschft genutzten nehmensressourcen kann durch die
on. Nur, wenn auch bei den Mitarbeitern Plattformen definiert. Ein Business-Archi- unterschiedlichen Bereitstellungskombi-
ein Umdenken stattfindet, kann die Or- tekt sorgt fr die Verschmelzung von tech- nationen kompliziert werden. So knnen
ganisation die neuen Cloud-Services agil nologischen und geschftlichen Prozessen sich beispielsweise einige Anwendungen
und dynamisch anbieten und so die Vor- und gewhrleistet den Zusammenhalt der im Besitz des Kunden befinden und an-
teile der Cloud nutzen. Dadurch wird die Fachbereiche. Es handelt sich dabei um dere Anwendungen mssen ber die
Software ganze Industrie-Zweige um- eine um die geschftliche Planung herum Cloud hinzugefgt werden.
krempeln und die eigentliche Arbeits- gebaute Rolle mit der Aufgabe, eine effek-
weise der Mitarbeiter in den IT-Abtei- tivere Nutzung von IT zu ermglichen. Die Dies bedeutet, dass das Unternehmen
lungen durch das Cloud Computing neuen Aufgaben der Prozessentwicklung (der Kunde) nicht ber die direkte Kon-
grundlegend verndern und ein Umden- geben Hilfestellung fr die Geschftsabtei- trolle aller bentigten Ressourcen verfgt.
ken zwingend erfordern. lungen und ihre Mitarbeiter bei der intel- Nach Abschluss der Cloud-Integration
ligenten Nutzung von IT-Services. Hierbei hat der Cloud-Integrator seine Schuldig-
Im Vordergrund bei der Cloud stehen handelt es sich um eine sehr grundlegende keit getan und scheidet aus dem Projekt
wirtschaftliche Vorteile, die sich aus den Aktivitt, die sich auf das gesamte Unter- aus. Allenthalben kann der Cloud-Inte-
Mglichkeiten der flexiblen Bereitstellung nehmen erstreckt. Die IT muss hierbei we- grator noch den Support und die Pflege
und Abrechnung von IT-Kapazitt erge- niger auf die direkte Kontrolle der geschft- der Integrationsleistungen bernehmen.
ben. Daher sollte das IT-Management lichen Aktivitt und strker auf Leitlinien
auch ber ein breites betriebswirtschaft- und Einflussnahme setzen. Das Servicemanagement kmmert sich
liches Verstndnis verfgen. Es geht lngst um das Design und die Konfiguration
nicht mehr nur darum, enorme Daten- Das Anbietermanagement beschftigt sich von Services. Hierfr entwickelt die IT
mengen zu verwalten und fr einen st- mit dem Sourcing von externen Services. entsprechende Servicekataloge, definiert
rungsfreien Ablauf der gesamten IT Sorge Meist wird mit Cloud-Brokern zusam- Service-Levels, ermglicht Self-Service
zu tragen. Neben den betriebswirtschaft- mengearbeitet. Diese agieren als Consul- und managt die Service-Performance, de-
lichen Kriterien sind auch Sicherheits- tant oder als Vermittler zwischen den ren Sicherheit und Compliance.
und Rechtsaspekte zu beachten. Nutzern von Cloud-IT-Services und den
verschiedenen Anbietern dieser Dienst- Skill-Update erforderlich
Die IT wird zum Service Broker leistungen. Die Aufgabe des Brokers be- Die Transformation der Geschfte in die
Fr IT-Organisationen bedeutet die str- steht darin, dem Interessenten Zeit zu Cloud hat erhebliche Auswirkungen auf
kere Einbindung von Cloud-Diensten ein sparen, indem die vom Kunden ge- die Rollen und Fhigkeiten der IT-Mitar-
verndertes Aufgabenspektrum. Der IT wnschten Services eingehend berprft beiter. Durch die Cloud werden einzelne
kommt zunehmend die Rolle eines Ver- und in dessen Unternehmensziele optimal Berufsbilder verndert oder gar berfls-
mittlers und Managers von IT-Services integriert werden. Der Broker arbeitet da- sig. Manche Rollen, wie beispielsweise ein
zu, der Fachbereiche mit intern erbrach- bei eng mit seinem Kunden zusammen Cloud-Architekt, ergeben sich der Logik
ten als auch extern bezogenen Dienstleis- und identifiziert die notwendigen Ar- der Geschftsprozesse folgend vollkommen
tungen versorgt. Dies verschiebt den T- beitsprozesse, die Art der Realisierung, neu. Einzelne Funktionen in der IT werden
tigkeitsschwerpunkt der IT in Richtung die Kosten und die Anforderungen an das um neue Aufgabengebiete erweitert und
der Vermittlung von IT-Services. Datenmanagement. Im Idealfall stellt der bekommen so eine grere Bedeutung.
Broker eine Liste der in Frage kommen-
Wie beim Outsourcing existiert der klas- den Cloud-Anbieter zusammen. Diese Die zentrale Vernderung betrifft jedoch
sische Systemadministrator beim Cloud kontaktiert der Kunde und kauft beim die meisten IT-Mitarbeiter: Sie mssen

www.it-administrator.de Juli 2016 101


S ch we rp unk t Neue Aufgaben der IT

ihre Fhigkeiten ausbauen und strker gigen Untersuchungen wurde festgestellt, Cloud-Angebote versprechen als Werbe-
funktionsbergreifend arbeiten. Ihre Auf- dass viele IT-Mitarbeiter ber domnen- botschaft die drastische Reduzierung der
gabenbereiche werden eine grere An- bergreifende Kenntnisse verfgen, aber Kosten. Bei genauer Analyse dieser An-
zahl an Technologien, Servicekomponen- nur 20 Prozent der befragten IT-Verant- gebote lsen sich diese Werbeversprechen
ten sowie Informationsquellen und wortlichen verfgen ber das Wissen meist in Luft auf.
Nutzungsmglichkeiten fr Informatio- und Erfahrung in allen wichtigen Fach-
nen umfassen, und sie werden mit mehr bereichen. Der Wandel betrifft zunchst Natrlich verndern die Virtualisierung
Geschftsbereichen in Kontakt stehen. hauptschlich den Bereich der Infra- und die Cloud die Arbeitsfelder der IT.
strukturservices, doch die IT-Leitung Zu den wichtigsten Aufgaben der IT ge-
Je weniger die Rollen auf eine Funktion muss sehr genau berprfen, welche hren zuknftig die Aggregierung von
beschrnkt sind, desto mehr kommt es neuen Fhigkeiten bentigt werden. Services und das Plattformmanagement.
auf die individuellen Kernkompetenzen Die extern bereitgestellten Services ms-
jedes einzelnen Mitarbeiters an. Es wer- Fazit sen gemanagt und im Fehlerfall analysiert
den Fhigkeiten zur Kommunikation, zur Bei jedem technologischen Umbruch werden. Allerdings werden Unternehmen
Zusammenarbeit und zum Networking wird spekuliert, dass die IT-Organisatio- nach wie vor IT-Dienste selber erbringen.
innerhalb und auerhalb des Unterneh- nen in absehbarer Zeit berflssig werden Die der IT verbleibenden Rollen werden
mens gefordert, damit die IT fr jedes und bis hin zur Nicht-Existenz schrump- dadurch herausfordernder und abwechs-
Projekt das erforderliche Fachwissen he- fen. Dies wird durch die breite Nutzung lungsreicher und bieten den Mitarbeitern
ranziehen kann. IT-Mitarbeiter bentigen der Cloud-Dienste noch verstrkt. Viele neue Mglichkeiten. (jp)
auch greres geschftliches Know-how
und mssen sich zutrauen, in Gesprchen
Neue Berufsfelder in der IT
ber Business-Services und ihre Nutzung
ihr Fachwissen einzubringen. Berufsfeld Aufgabe

Eine Neuausrichtung der Fhigkeiten fin- Definiert das Design, die Sicherheit und die Anforderungen an die fr
das Geschft genutzten Plattformen. Sorgt fr die Verschmelzung
det zuerst bei denjenigen Mitarbeitern
Cloud-Architekt von technologischen und geschftlichen Prozessen, gewhrleistet
statt, die mit dem Aufbau und dem Be- den Zusammenhalt der Fachbereiche und sorgt fr die Weiterent-
trieb der Cloud-Plattform befasst sind. wicklung der Cloud-Plattform.
Mit der zunehmenden Virtualisierung Gibt Hilfestellung fr die Geschftsabteilungen und ihre Mitarbeiter
von Ressourcen und der damit einherge- bei der intelligenten Nutzung von IT-Services. Hierbei handelt es sich
henden Integration und Automatisierung um eine sehr grundlegende Aktivitt, die sich auf das gesamte Unter-
Prozessentwicklung
des Ressourcenmanagements in der nehmen erstreckt. Die IT muss hierbei weniger auf die direkte Kon-
Cloud muss sich die IT in bisher nie da- trolle der geschftlichen Aktivitt und strker auf Leitlinien und Ein-
flussnahme setzen.
gewesener Weise technisches Breitenwis-
Sorgt fr die Bereitstellung von technologiebergreifender Integrati-
sen erarbeiten. Nur so kann es gelingen, Automations-
on, automatisiertem Ressourcenmanagement, Self-Service-Provisio-
ber herkmmliche Technologiedomnen management
ning und Nutzungstransparenz in der Cloud-Umgebung.
hinweg zu arbeiten, Helpdesk- und Sup-
Management von Konfiguration, Betrieb und Performance von Cloud-
port-Services zu integrieren und das Ser- Anbietermanagement
Umgebungen fr spezifische geschftliche Zwecke und Services.
vicemanagement strker zu etablieren.
Management von Design, Sourcing, Ressourcen, Bereitstellung und
Die IT bentigt daher zuknftig mehr Servicemanagement
Service-Levels eines bestimmten Serviceangebots.
Generalisten, ohne dass dabei das tech- Agiert als Vermittler zwischen den Nutzern von Cloud-IT-Services und
nische Fachwissen verloren geht. den verschiedenen Anbietern der Dienstleistungen. Ein Cloud-Broker ist
Cloud-Broker
also jemand, der mit zwei oder mehreren Parteien die Verhandlungen
Die IT hat sich in der Vergangenheit aufnimmt und hnlich wie ein Immobilienmakler als Vermittler auftritt.
hufig darauf verlassen, dass ihre Mit- Ein Cloud-Aggregator ist eine modifizierte Version eines Cloud-Brokers.
arbeiter sich selbst darum kmmern, ih- Cloud-Aggregator Dieser bernimmt jedoch eine grere Verantwortung und kombiniert
re Kenntnisse auf dem neuesten Stand beziehungsweise integriert mehrere Cloud-Services zu einer Lsung.
zu halten. Dies gengt jedoch nicht mehr Ein Cloud-Integrator bernimmt die Funktion eines Untersttzers bei
der Verhandlung und der Integration von Cloud-Lsungen. Der Service
und die Unternehmen mssen fhige Cloud-Integrator
eines Cloud-Integrators ist vergleichbar mit dem eines Systemintegra-
Mitarbeiter zielgerichtet weiterentwi- tors, der sich auf den Bereich des Cloud Computings spezialisiert hat.
ckeln beziehungsweise solche anwerben.
Der Begriff "Cloud-Services-Brokerage" (CSB) versucht das Ge-
Fundierte Kenntnisse in den herkmm- schftsmodell der Bereitstellung von Cloud-Diensten neu zu definie-
lichen Aufgabenbereichen und Techno- Cloud Service ren. Dieser bietet alle Dienste (Aggregation, Integration und Anpas-
logien sind nach wie vor unabdingbar. Brokerage sung) an und agiert quasi als Mittler zwischen mehreren (ffentlich
Diese Basis muss durch eine breite Wis- oder privat) Cloud-Services. Seine Dienste knnen im Auftrag von ei-
sensbasis erweitert werden. In einschl- nem oder mehreren Marktteilnehmern erbracht werden.

102 Juli 2016 www.it-administrator.de


Buchbesprechung

Monitoring mit Zabbix


Das berwachen Nach einem Abriss ber die Anforderungen voll, veranschaulichen zahlreiche Screen-
von Servern gehrt an das Monitoring an sich und die Neue- shots die Ablufe. Konkrete Anwendungs-
zum Kerngeschft rungen in Zabbix 3 folgt die Installation des beispiele wie die berwachung von Sys-
von Admins. Seit Servers. Der Autor geht die Setup-Prozedur temupdates runden die Kapitel ab. Da
nunmehr 15 Jahren fr Debian, Ubuntu, Red Hat und CentOS virtuelle Server eine bedeutende Rolle in
bietet sich hierfr samt Kommandos durch. Den Vorzug fr Unternehmen spielen, widmet Kramm der
die Open-Source- eine bestimmte Distribution gibt Kramm berwachung von VMware-Umgebungen
Software Zabbix nicht. Die Schritte sind nachvollziehbar und ein eigenes Kapitel. Andere Virtualisie-
an. Derzeit in Ver- verstndlich dargestellt und sollten die Leser rungsumgebungen wie auch Cloud-Server
sion 3.0 erhltlich, vor keine berraschenden Hindernisse stel- etwa in Azure bleiben auen vor und ms-
deckt Zabbix zahl- len. Nicht weniger detailliert folgt das Setup sen gegebenenfalls mit der fr physische
reiche Plattformen wie Windows, Linux, der Zabbix-Agenten fr Linux- wie auch Server beschriebenen Vorgehensweise in
OpenBSD, FreeBSD oder Solaris ab. Windows-Systeme. Kramm gibt zwar fr die berwachung eingegliedert werden.
Letztere an, dass 32- und 64-Bit-Varianten
Dabei kann die Umgebung sowohl agen- ab NT 4.0 untersttzt werden. Ob das auch Fazit
tenbasiert als auch agentenlos via SNMP, das aktuelle Windows 10 einschliet, muss Leser erhalten mit dem Buch eine umfas-
IPMI, WMI oder schlicht per Ping den der Leser jedoch mutmaen. Danach ste- sende und gut nachvollziehbare Anleitung
Status von Rechnern abfragen. Ein Web- hen das Sammeln und Auswerten der Da- fr das Monitoring mit Zabbix, die selbst
interface erlaubt die Verwaltung und die ten auf der Agenda. weniger Kommandozeilen-affine Admins
berwachung der Status. In seinem Buch nicht im Regen stehen lsst.
"Monitoring mit Zabbix" beleuchtet der Kramm geht in allen Kapiteln sehr struk- Daniel Richey
Autor Thorsten Kramm die berwa- turiert vor, fngt bei den theoretischen
chungsumgebung von allen Seiten. Er- Grundlagen des jeweiligen Teilaspektes Autor Thorsten Kramm
fahrung mit Zabbix hat er allemal und wie etwa SNMP an und fhrt dann ber Verlag dpunkt.verlag
die Software selbst in verschiedenen Fir- zur Nutzung von Zabbix in Form von Preis 38,90 Euro
ISBN 978-3864903359
men eingefhrt. Schritt-fr-Schritt-Anleitungen. Wo sinn-

Cloud Computing als neue


Herausforderung fr Management und IT
Hufig findet die arbeiten muss, darf niemand erwarten. Schnelldurchlauf in Sachen IT-Sicherheit
Cloud-Nutzung im Hierfr ist die Thematik ohnehin viel zu und die Interoperabilitt verschiedener
Unternehmen oh- komplex. Vielmehr bietet das Bchlein Cloud-Dienste das Buch abschlieen.
ne Plan oder gar zahlreiche Denkanste fr IT-Leiter und
ohne das Wissen das Management. Fazit
der IT-Abteilung Mit ihrem Buch wagen die Autoren den
und Geschftslei- Nach der Definition der verschiedenen Blick aus der Vogelperspektive auf die
tung statt. Mit dem Cloud-Anstze Infrastructure- (IaaS), Plat- Cloud im Unternehmen. An keiner Stelle
Buch "Cloud Com- form- (PaaS) und Software-as-a-Service gehen sie wirklich ins Detail, werfen dafr
puting als neue (SaaS) wgen die Autoren Chancen und aber zahlreiche Fragen auf, die beim
Herausforderung Risiken der Cloud-Nutzung im Allgemei- hemdsrmeligen Einfhren von Cloud-
fr Management und IT" mchten die Au- nen ab. Danach beginnt der eigentlich Diensten schnell in Vergessenheit geraten.
toren Gerald Mnzl, Michael Pauly und spannende Teil: Das Andocken der Cloud Verstndlich geschrieben und bersichtlich
Martin Reti IT-Verantwortlichen und Ge- an die IT-Strategie des Unternehmens. Da- gegliedert richtet sich das Buch vor allem
schftsfhrern einen Leitfaden an die Hand bei zeichnet das Autorenteam den mgli- an Cloud-Laien.
geben, der die ganzheitliche und planvolle chen Weg in die Cloud auf, samt dessen Daniel Richey
Einfhrung von Cloud-Services vorberei- Auswirkungen auf die IT-Abteilung. Be-
tet. Gerade einmal 53 Seiten zhlt das Werk sonders ausfhrlich wird die Frage nach Autor Gerald Mnzl,
aus der "essentials"-Reihe mit dem Ziel, der Wirtschaftlichkeit behandelt. Vier Sei- Michael Pauly, Martin Reti
Wissen kompakt zu vermitteln. Eine voll ten Tabellen und Checklisten stellen Kos- Verlag Springer Vieweg
ausgearbeitete Cloud-Strategie, die das Un- teneffekte und Aufwnde bersichtlich Preis 9,99 Euro
ISBN 978-3662458310
ternehmen nur noch Schritt fr Schritt ab- und umfassend dar, bevor noch der

www.it-administrator.de Juli 2016 103


Fa c h a r t i k e l o n l i n e

Besser informiert:
Mehr Fachartikel auf
www.it-administrator.de
Unser Internetauftritt versorgt Sie jede
Woche mit neuen interessanten Fachartikeln.
Als Heftleser knnen Sie ber die Eingabe des Link-Codes
schon jetzt exklusiv auf alle Online-Beitrge zugreifen.

Management-Werkzeuge Effizienter Schutz


fr heterogene Infrastrukturen vor Locky & Co.
IT-Infrastrukturen werden zunehmend komple- Die aktuelle Welle an Kryptotrojanern sorgt
xer. Virtualisierungstechnologien, Hybrid- derzeit fr Aufsehen. Sowohl Endanwender
Cloud-Modelle und die IT der zwei Geschwin- als auch Unternehmen frchten sich davor,
digkeiten tragen dazu entscheidend bei. Fr dass die Daten ihrer Rechner ungewollt ver-
das Management heterogener Architekturen schlsselt werden. Neben Tesla-Crypt kommt Was tun bei Datenverlust
sind deshalb neue Werkzeuge gefragt, die zu vermehrt der Trojaner Locky bei Erpressungs- im Rechenzentrum?
einer Homogenisierung der Administration viren zum Einsatz. Besonders heimtckisch:
fhren. Im Fachbeitrag auf unserer Webseite Die Angreifer entwickeln tglich zwei bis drei Neue Technologien drngen vermehrt in be-
zeigen wir auf, was eine Management- und neue Versionen. Welche Gefahr von derarti- triebseigene Rechenzentren oder die von ex-
Automatisierungs-Plattform fr neue agilitts- ger Schadsoftware ausgeht und mit welchen ternen Cloud-Anbietern. Waren es in den
optimierte und herkmmliche effizienzorien- Sicherheitsmanahmen sich Firmen davor letzten Jahren RAID-Arrays oder die Virtuali-
tierte Infrastrukturen bieten muss. schtzen knnen, erklrt unser Online-Artikel. sierung, stoen jetzt deutlich komplexere
Link-Code: G7W51 Link-Code: G7W52 Anstze hinzu: Software-definierter, konver-
genter oder hyperkonvergenter Storage. Wel-
che Auswirkungen diese neuen Speicherkon-
zepte auf die Datenrettung haben und wie
sich Firmen bereits im Vorfeld vor Datenver-
Leistungsfhige Controller-Architekturen beim Storage lust schtzen knnen, beleuchtet unser Arti-
kel im Web.
Bei der Implementierung von Speichersystemen fr groe Datenmengen und geschftskritische
Link-Code: G7W53
Anwendungen spielt die Zuverlssigkeit des Systems eine wesentliche Rolle. Die Wahl des richtigen
Controllers und der richtigen Controller-Architektur fr ein Speicher-Array ist entscheidend. Unter-
schieden wird zwischen zwei Architekturen: Aktiv/Aktiv-Arrays und Aktiv/Standby-Arrays. Ange-
sichts von Herausforderungen wie Datenintegritt, Performance und kurzen Failover-Zeiten ver-
folgen fhrende Hersteller unterschiedliche Anstze. Online erfahren Sie, welche das sind.
Link-Code: G7W54

Einfhrung in die PowerShell


Mit der PowerShell verwalten Sie nicht nur reine Windows-Server-
dienste, sondern ber zustzliche Module auch andere Server wie
Exchange, System Center, SharePoint und mehr. Der Umgang mit
der Skriptsprache ist bei allen verwalteten Rechnern recht hnlich.
Im exklusiven Online-Workshop fhren wir in die Grundlagen der
PowerShell ein und geben Ihnen Tipps und Anleitungen zur Verwal-
tung von Servern an die Hand. Dabei orientieren wir uns an Ver-
sion 4.0 der PowerShell, die mit Windows 8.1 und Windows Server
2012 R2 Einzug gehalten hatte. Doch auch ltere Systeme unter
Windows 7, Server 2008 R2 und Server 2012 bleiben nicht auen
vor denn hier knnen Sie das Windows Management Framework
4.0 installieren, das ebenfalls die PowerShell 4.0 enthlt.
Link-Code: G7W55

104 Juli 2016 Link-Codes eingeben auf www.it-administrator.de


D a s l e t z t e Wo r t

Die Cloud ist auf der Siegerstrae


Kim Nis Neuhauss ist berzeugt, dass der Siegeszug von Cloud-
Computing rasant weitergeht. Das gab 2014 auch den Ausschlag
fr die Grndung seiner Unternehmensberatung Bright Skies.
Das Hamburger Beratungshaus fokussiert sich auf die Cloud
sowie das End-User Computing und untersttzt Kunden bei der
Konstruktion und Realisierung exklusiver Cloud-Architekturen.

Warum sind Sie IT-Administrator geworden? darddienste aus der Cloud beziehen und
Ich habe mich immer schon fr IT-Infra- fr ihre Geschftsprozesse individuell an-
struktur begeistert und bereits als Schler passen und veredeln. Natrlich gibt es
und als Werksstudent bei verschiedenen nicht jede branchenspezifische Anwen-
greren IT-Unternehmen, beispielsweise dung als SaaS, weshalb sie noch selbst be-
Philips, gearbeitet. Fr mich stand immer trieben werden muss. Aber deren Anteil Kim Nis Neuhauss,
fest, dass ich in diesem Bereich profes- sinkt. Aus meiner Sicht mssen sich Ad- IT-Administrator
sionell ttig werden will. Da ich schon ministratoren im Unternehmen neu po- Geburtsjahr: 1979
ber sehr gute Kenntnisse verfgte, war sitionieren. Ich sehe den Administrator Hobbys: Familie, Segeln
ein Einstieg in die Branche damals fr der Zukunft eher als Architekten, der Admin seit: 18 Jahren
mich einfach mglich. Cloud-Angebote im Sinne seines Unter- Ausbildung und Ttigkeit
Warum wrden Sie einem jungen Menschen nehmens kombiniert und integriert. Hier-
raten, Administrator zu werden? bei wird aber eher die Integration und - Start als IT-Quereinsteiger bei verschiede-
Ich wrde sogar davon abraten. Viel in- Anpassung der Anwendungen im Vor- nen Systemhusern in Norddeutschland.
Im Laufe der Jahre Weiterentwicklung vom
teressanter ist die Jobperspektive eines dergrund stehen, weniger der IT-Betrieb.
System Engineer und Consultant zum Ge-
Beraters. Es gibt stndig neue Herausfor- Welches Netzwerk- und Systemmanagement
schftsfhrer. Danach auf Herstellerseite
derungen, viel mehr Abwechslung, mehr nutzen Sie denn selbst?
ttig bei VMware und Red Hat.
Freiheit und eine kontinuierliche Weiter- Da wir vollstndig auf Cloud-Services
- Heute als Geschftsfhrer fr die strategi-
entwicklung. Da kann keine klassische setzen, haben wir wenig Bedarf fr Sys-
sche Weiterentwicklung der Bright Skies
Administrator-Stelle mithalten. tem- und Netzwerkmanagement-Lsun- GmbH mit 15 Beratern verantwortlich.
Dann erzhlen Sie mal, welche Aspekte Ihres gen. Auf Microsoft Azure nutzen wir
- Daneben Betreuung der internen IT als
Berufs machen Ihnen am meisten Spa? OMS (Operations Management Suite),
Administrator.
Als Geschftsfhrer ziehe ich die grte um die berwachung unserer wenigen
Motivation aus den Kontakten mit den Server in der Cloud durchzufhren. Wei- Betreute Umgebung
Kunden, aus erfolgreichen Cloud-Projek- terhin wacht EMS (Enterprise Mobility - Das Unternehmen verfolgt eine 100-prozen-
ten und der Zusammenarbeit mit meinem Suite) ber die Sicherheit unserer Doku- tige Cloud-Strategie. Daher keine nennens-
Team. Und ich freue mich jeden Tags aufs mente, Identitten und Gertschaften. werte eigene IT-Infrastruktur im Einsatz, son-
Neue, dass wir dank Cloud-Technologien Unsere Netzwerkinfrastruktur ist voll- dern Cloud-Angebote, vornehmlich im
mit unserer internen IT so gut wie keine stndig Cloud-managed auf Basis der Cis- Software-as-a-Service Modell.
Arbeit haben. Diese luft schnell, verfg- co-Meraki-Infrastruktur.
bar und hochperformant. In Summe bietet Hatten Sie schon einmal grere Ausflle des Brokommunikation et cetera kommen
sich fr uns damit eine Qualitt, die wir Cloud-Providers zu verzeichnen? in Zukunft aus der Cloud. Individuelle
mit unserer kleinen Mannschaft in eige- Nein, bisher noch nie. Anwendungen und Services mssen zwar
nen Serverrumen selbst nicht erbringen Und hat Sie die Cloud schon mal vor Datenver- auch weiterhin selbst betrieben werden,
knnten. Weniger Spa habe ich an un- lusten oder Ausfllen bewahrt? aber die darunterliegende IT-Infrastruktur
seren Marktbegleitern, von denen viele Sogar mehrfach. Fiel beispielsweise eine wird wiederum als Cloud-Service bezo-
das Thema Cloud-Computing immer Festplatte aus oder startete ein Rechner gen. Public-Cloud-Anbieter und deren
noch nicht verstanden haben und bei den nicht mehr, griffen wir auf die Cloud-Ko- Angebote werden den Markt der Hoster
Kunden gezielt Zweifel und Bedenken an pien zu. Jeder Anwender konnte sofort und Co-Location-Anbieter bernehmen
Cloud-Diensten streuen. ohne Datenverlust an einem anderen und Regio-Cloud Anbieter aussterben.
Bei all den Clouds, wie denken Sie, arbeitet ein Endgert weiterarbeiten. Auch die Systemhuser mssen sich
Administrator in zehn Jahren? Welche Entwicklungen sehen Sie in den nchsten transformieren und eine neue Rolle im
Ich persnlich glaube, dass der klassische Jahren auf uns zukommen? IT-Universum erarbeiten.
Administrator ein Auslaufmodell ist. Un- Cloud Computing wird sich ganz klar
ternehmen werden mehr und mehr Stan- durchsetzen. Standarddienste wie E-Mail, Das Interview fhrte Petra Adamik.

www.it-administrator.de Juli 2016 105


Vo r s c h a u

Die Ausgabe 08/16 erscheint am 3. August 2016

Infrastruktur & RZ
Im Test: Das lesen Sie in den
nchsten Ausgaben des
Solarwinds Network Configuration Manager
DCIM und Assetverwaltung mit Ralph Die September-Ausgabe des IT-Administrator
dreht sich um den Schwerpunkt Mobile IT &
Wege zu mehr Effizienz im Rechenzentrum Clientmanagement. Darin lesen Sie, welche
Neuerungen System Center 2016 im Clientmanage-
ment mitbringt und worin sich die Methoden der
Mikrosegmentierung mit NSX Applikationsbereitstellung Klassisch, Container und
Volume unterscheiden. Auerdem erlutern wir die
und vRealize Operations Manager Administration mobiler Devices ber Exchange
Server 2016 und werfen einen Blick auf Citrix
XenDesktop 7.8. Im Oktober folgt das
Die Redaktion behlt sich Themennderungen aus aktuellem Anlass vor.
Schwerpunktthema Datensicherheit.

Impressum

Redaktion Produktion / Anzeigendisposition All-Inclusive Jahresabo ISSN So erreichen Sie den Leserservice
John Pardey (jp), Chefredakteur Lightrays: (incl. E-Paper Monatsausgaben, 2 Sonder- 1614-2888 Leserservice IT-Administrator
verantwortlich fr den redaktionellen Inhalt Andreas Skrzypnik, Gero Wortmann, heften und Jahres-CD): 188,00
Moritz Skrzypnik All-Inclusive Studentenabo: 120,50 Urheberrecht Stephan Orgel
john.pardey@it-administrator.de
dispo@it-administrator.de Auslandspreise: Alle in IT-Administrator erschienenen Bei- 65341 Eltville
Daniel Richey (dr), Stellv. Chefredakteur/CvD Tel.: 089/4445408-88 Jahresabo: 150,- trge sind urheberrechtlich geschtzt. Alle Tel.: 06123/9238-251
daniel.richey@it-administrator.de Fax: 089/4445408-99 Studentenabo: 75,- Rechte, einschlielich bersetzung, Zweit- Fax: 06123/9238-252
Titelbild: mamanamsai 123RF Jahresabo mit Jahres-CD: 163,50 verwertung, Lizenzierung vorbehalten. Re-
E-Mail: leserservice@it-administrator.de
Oliver Frommel (of), Leitender Redakteur Studentenabo mit Jahres-CD: 88,50 produktionen und Verbreitung, gleich wel-
oliver.frommel@it-administrator.de Druck All-Inclusive Jahresabo: 203,00 cher Art, ob auf digitalen oder analogen
Brhlsche Universittsdruckerei All-Inclusive Studentenabo: 128,00 Bankverbindung fr Abonnenten
GmbH & Co. Kg Medien, nur mit schriftlicher Genehmigung
Lars Nitsch (ln), Redakteur E-Paper-Einzelheftpreis: 8,99 des Verlags. Aus der Verffentlichung kann Kontoinhaber: Vertriebsunion Meynen
lars.nitsch@it-administrator.de Am Urnenfeld 12
35396 Gieen E-Paper-Jahresabo: 99,- nicht geschlossen werden, dass die be- Postbank Dortmund
E-Paper-Studentenabo: 49,50 schriebenen Lsungen oder verwendeten
Markus Heinemann, Schlussredakteur Vertrieb Jahresabo-Kombi mit E-Paper: 168,- IBAN: DE96440100460174966462
Bezeichnungen frei von gewerblichen
markus.heinemann@email.de Anne Kathrin Heinemann BIC: PBNKDEFFXXX
(Studentenabos nur gegen Vorlage einer Schutzrechten sind.
Vertriebsleitung
Autoren dieser Ausgabe kathrin@it-administrator.de gltigen Immatrikulationsbescheinigung)
Haftung So erreichen Sie die Redaktion
Petra Adamik, Klaus Bierschenk, Tel.: 089/4445408-20 Alle Preise verstehen sich inklusive der Fr den Fall, dass in IT-Administrator unzu-
Mark Borgmann, Adam Dagnall, Florian gesetzlichen Mehrwertsteuer sowie Redaktion IT-Administrator
Abo- und Leserservice treffende Informationen oder in verffent-
Frommherz, Thomas Gronenwald, inklusive Versandkosten. lichten Programmen, Zeichnungen, Plnen Heinemann Verlag GmbH
Vertriebsunion Meynen GmbH & Co. KG
Mathias Hein, Jrgen Heyer, Anton Stephan Orgel oder Diagrammen Fehler enthalten sein Leopoldstr. 87
Hofmeier, Thomas Joos, Martin Loschwitz, Verlag / Herausgeber
Groe Hub 10 sollten, kommt eine Haftung nur bei gro- 80802 Mnchen
Dr. Holger Reibold, Ariane Rdiger, 65344 Eltville Heinemann Verlag GmbH
ber Fahrlssigkeit des Verlags oder seiner Tel.: 089/4445408-10
Thorsten Scherf, Christian Schulenburg, leserservice@it-administrator.de Leopoldstrae 87 Mitarbeiter in Betracht. Fr unverlangt ein-
Tel.: 06123/9238-251 80802 Mnchen Fax: 089/4445408-99
Constantin Sldner, Dr. Guido Sldner, gesandte Manuskripte, Produkte oder
Fax: 06123/9238-252 Tel.: 089/4445408-0 sonstige Waren bernimmt der Verlag E-Mail: redaktion@it-administrator.de
Jens Sldner, Jacco van Achterberg
Vertriebsbetreuung Fax: 089/4445408-99 keine Haftung.
Anzeigen DPV GmbH (zugleich Anschrift aller Verantwortlichen) So erreichen Sie die Anzeigenabteilung
www.dpv.de Manuskripteinsendungen
Anne Kathrin Heinemann, Anzeigenleitung Die Redaktion nimmt gerne Manuskripte Anzeigenverkauf IT-Administrator
lange.guido@dpv.de Web: www.heinemann-verlag.de
verantwortlich fr den Anzeigenteil an. Diese mssen frei von Rechten Dritter Anne Kathrin Heinemann
Erscheinungsweise E-Mail: info@heinemann-verlag.de
kathrin@it-administrator.de sein. Mit der Einsendung gibt der Verfasser Heinemann Verlag GmbH
Tel.: 089/4445408-20 monatlich Eingetragen im Handelsregister des
die Zustimmung zur Verwertung durch die Leopoldstr. 87
Bezugspreise Amtsgerichts Mnchen unter
Heinemann Verlag GmbH. Sollten die Ma-
Es gilt die Anzeigenpreisliste Einzelheftpreis: 12,60 HRB 151585. 80802 Mnchen
nuskripte Dritten ebenfalls zur Verwertung
Nr. 13 vom Inlandspreise: Geschftsfhrung / Anteilsverhltnisse angeboten worden sein, so ist dies anzuge-
01.11.2015 Jahresabo: 135,- Geschftsfhrende Gesellschafter zu ben. Die Redaktion behlt sich vor, die Ma- Tel.: 089/4445408-20
Studentenabo: 67,50
gleichen Teilen sind Anne Kathrin nuskripte nach eigenem Ermessen zu bear- Fax: 089/4445408-99
Jahresabo mit Jahres-CD: 148,50
Studentenabo mit Jahres-CD: 81,00 und Matthias Heinemann. beiten. Honorare nach Vereinbarung. E-Mail: kathrin@it-administrator.de

Bintec elmeg S. 05 Experteach S. 71 Telegrtner S. 25


Inserentenverzeichnis
Buffalo S. 02 Hewlett Packard S. 21 Thomas Krenn S. 108 Die Ausgabe enthlt eine
Teilbeilage der Firma Hackattack.
Computec Media S. 67 Rheinwerk Verlag S. 53 Tuxedo S. 107

106 Juli 2016 www.it-administrator.de