Windows Server 2016 Essentials im Rechenzentrum

Windows Server 2016 Essentials verfügt über eine eigene Verwaltungsoberfläche, die als Dashboard bezeichnet wird.Der Server erlaubt die Anbindung von maximal 25 Benutzern und 50 PCs. Wenn mehr im Einsatz sind, müssen Unternehmen auf die Standard-Edition von Windows Server 2016 wechseln.

Die Essentials-Rolle steht auch in den Editionen Standard und Datacenter zur Verfügung. Diese verfügt ebenfalls über das Dashboard. Installieren Sie die Essentials-Rolle auf einem Server mit Windows Server 2016 Standard oder Datacenter fällt die Limitierung mit maximal 25 Benutzer und 50 Endgeräten weg.CALs sind für die Benutzer beim Einsatz von Windows Server 2016 Essentials nicht notwendig. Der Server darf über maximal 64 GB Arbeitsspeicher verfügen.

Wenn Sie die Essentials-Serverrolle (Windows Server Essentials-Umgebung) in einem bestehenden Active Directory installieren, dann kann der Server auch als Mitgliedsserver betrieben werden. Die Benutzerkonten der Domäne, in der Sie den Server installieren, sind im Dashboard verfügbar. Mit Windows Server 2016 gibt es keinerlei Einschränkungen mehr, wenn Sie die Rolle im Netzwerk als Mitgliedsserver integrieren.

Die chown-Falle

Sind Sie z. B. als Web-Entwickler unterwegs und haben das Problem, dass der User-Account mit dem der Webserver ausgeführt wird einzelne Dateien nicht anlegen oder löschen kann, greifen Sie wahrscheinlich auch zu chown.

Mit chown lässt sich bekanntlich der Eigentümer einer Datei oder eines Verzeichnisses ändern. Doch Vorsicht:

Angenommen sich möchten den Besitzer aller Dateien und Unterverzeichnisses im aktuellen Verzeichnis in „www-data“ rekursiv ändern, sollten Sie dafür NICHT

chown -R www-data *

benutzen, wobei „www-data“ der neue Eigentümer ist.

Dies bewirkt zwar auf dem ersten Blick durchaus, dass sämtliche Dateien und Unterverzeichnisse erfasst werden, auf dem zweiten Blick werden Sie aber feststellen, dass versteckte Dateien (die mit dem vorangestellten Punkt) fehlen.

Dies wiederum liegt daran, dass der Befehl doch nicht so wirkt wie man vermuten würde, bzw. eigentlich genauso wie er definiert ist. Das Kommando wird nur in diesem Fall missverständlich angewendet. Meist funktioniert es ja auch. Dass versteckte Dateien nicht erfasst werden,  fällt oft erst später auf.

Wildcard Expansion

„Schuld“ ist in diesem Fall die Wildcard Expansion der Bash. Die macht nämlich aus dem Asterisk zunächst eine Liste aller Dateien und Unterverzeichnisse im aktuellen Verzeichnis und übergibt sie erst dann an das chown- Kommando. Leider unterdrückt die Expansion aber auch die versteckten Dateien, wie z. B. „.htaccess“ oder das Verzeichnis „.svn“.

Seltsam aber ist dass das Kommando „innerhalb“ von Unterverzeichnissen doch wieder korrekt zu funktionieren scheint und versteckte Dateien durchaus erfasst. Dies liegt dran, dass sich chown bei einer Rekursion in Unterverzeichnissen zwangsläufig selbst um das vorherigen „Sichten“ der Dateien kümmert, wobei keine Shell-Mechanismus irgendetwas anzeigetechnisch unterdrückt.

Die Lösung ist daher viel einfacher als vermutet. Da  nämlich der Punkt „.“ In der Bash als Synoym für das aktuelle Verzeichnis gilt, verwendet man stattdessen …

chown -R www-data .

Hierbei kann die Wildcard-Expansion nicht wirken, die ja zunächst eine Liste der Dateien bilden würde, für die der Eigentümer zu ändern ist, weil die gewünschte Zielmenge hier mit dem „.“ eindeutig identifiziert ist.

Daher hilft es natürlich auch, dem Kommando das gewünschte Startverzeichnis explizit mitzugeben, etwa ….

chown -R www-data /var/www/<my-domain>

Warum entwickelt sich das Internet der Dinge nicht so schnell wie erwartet?

Momentan liegen die Prognosen bei 20 bis 50 Milliarden vernetzten Geräte bis zum Jahr 2020 – also in nur drei Jahren. Diese Schätzungen spiegeln das rasante Wachstum an Objekten wider, die das Internet der Dinge (Internet of Things, IoT) unterstützen – und damit das Potenzial sowie den Einfluss auf künftige Technologien und das Leben im Allgemeinen. Es entstehen  neue Branchen, die Produkte, Netzwerke, Plattformen, Software und Services anbieten. Diese stellen die Wertschöpfungskette des IoT dar und konzentrieren sich darauf, hohe Datenvolumina zu erfassen und zu nutzen.

Dies ist nirgendwo besser zu sehen als bei Produkten für Endkonsumenten – und zwar besonders bei Wearables und Smart Home-Lösungen. Weniger sichtbar für die breite Öffentlichkeit sind die Milliarden an US-Dollar, die in industrielle Anwendungen und Geräte investiert werden, die „Dinge“ messen, identifizieren, warnen, informieren und warten.

Warum wächst das Internet der Dinge also nicht so schnell wie erwartet?

 Das größte Hindernis  ist die Vielzahl der Technologieangebote und -anbieter. Die Analyse und Auswahl der jeweils passenden Technologie ist für Unternehmen extrem zeitaufwändig. Dabei wäre nur eine einfache, weltweit skalierbare Vernetzung notwendig, um die Werte abzuschöpfen, welche die von den Milliarden vernetzten Objekten übertragenen Daten bieten.

Ungefähr 80 bis 90 Prozent aller IoT-Geräte werden allein für Services konzipiert, die hohe Volumina kleiner Datensätze übertragen können. Diese Informationen und ihre Nutzung bieten für Unternehmen und Regierungen auch den größten Anreiz, in die Realisierung des IoT zu investieren. Die anderen 10 bis 20 Prozent der komplexen Geräteangebote werden von ähnlich umfassenden, teuren Lösungen unterstützt, die Daten erfassen, verwalten und ausliefern.

Damit sich das Internet der Dinge allgemein durchsetzt und sein Potenzial realisiert, müssen in erster Linie vier Bedingungen hinsichtlich der Vernetzung gegeben sein: die weltweite Verfügbarkeit, Einfachheit, Energieeffizienz und Kosteneffektivität. Darüber hinaus ist Offenheit über das IoT-Ökosystem hinweg enorm wichtig – dies betrifft beispielsweise Prozessoren, Module, Geräte, Plattformen und Netzwerke. Möglichst einfache Implementierung, Setup oder Aktualisierungen halten den Verwaltungs- und Wartungsaufwand zudem so gering wie möglich.

Die Mehrheit der Vernetzungslösungen ist für medienintensive Geräte konzipiert.

Dazu gehören Bluetooth, Zigbee, Wi-Fi und LTE(m)-/Mobilfunknetze. Manche davon sind kosteneffektiv und energieeffizient, verfügen aber nicht über weltweite Reichweite. Andere sind global verfügbar und einsetzbar, jedoch ist die Interoperabilität der Netzwerke extrem komplex oder sie verbrauchen sehr viel Energie. Die Nachfrage nach solchen Angeboten wird von Lösungen mit hohem Durchsatz vorangetrieben.

Mittlerweile gibt es jedoch auch Low Power Wide Area Network (LPWAN)-Lösungen, die einen weitaus größeren IoT-Markt adressieren. Für Entwickler ist die Nutzung des Schmalband-Spektrums des Netzwerks (und 1 GHz) interessant. Für Anwender hingegen sind sie vor allem interessant, um Daten kostengünstig zu übertragen.

Allerdings erfüllen nicht alle LPWAN-Angebote die vier Schlüsselkomponenten bestmöglich oder arbeiten nicht nahtlos mit anderen Vernetzungsmöglichkeiten zusammen. Eine ideale Kombinationen bietet Folgendes:

  • Energieeffizienz: Dazu gehören besonders ein langes Batterieleben und ein im Voraus planbarer Auf diese Weise können die bestmögliche Anwendererfahrung und niedrige Wartungskosten gewährleistet werden.
  • Globales Netz, transparentes Roaming und Out-of-the-Box-Konnektivität: Eine offene Plattform erlaubt einem Gerät oder Objekt Daten, zu teilen – und zwar weltweit.
  • Einfach und unkompliziert: Die Kosten und Komplexität des benötigten Siliziums lassen sich signifikant reduzieren. Außerdem werden Entwicklung und Implementierung deutlich vereinfacht.
  • Niedrigere Kosten: Ein ideales LPWAN-Angebot ist einfach zu implementieren und zu mangen. Dadurch ist es kostengünstiger als der Wert der Daten selbst.

Diese Aspekte sollten mit weltweit gültigen Vereinbarungen kombiniert werden. Das ermöglicht Qualitätstandards, eine breite Palette an Partnern, um die passenden Hardware-Komponenten und Plattformen zu finden, sowie eine einfache Vernetzung, ohne dass eine spezielle Konfiguration notwendig ist.

Fazit: Die Daten, die Milliarden implementierte Geräte sammeln, können ganze Branchen und das Alltagsleben verändern. Bereits bestehende Anwendungsbeispiele in Sektoren wie der Landwirtschaft, dem produzierenden Gewerbe oder im Gesundheitswesen sowie für Verbraucher, Städte und dutzende weiterer Industrien zeigen die Fortschritte bei der Realisierung des Internet der Dinge. Diese Beispiele sind jedoch erst der Anfang der Digitalisierung, die künftig noch rasanter voranschreiten wird.

Unternehmen sollten sich rüsten, um auf die Revolution vorbereitet zu sein.

Don’t call us, we call you

Angesichts immer komplexerer Produkte, die über einen langen Produktlebenszyklus funktionieren sollen, rückt die Instandhaltung in den Fokus der Unternehmen. Zum einen müssen sie für die eigenen Anlagen eine hohe Betriebsbereitschaft sicherstellen, um ungeplante Unterbrechungen im Produktionsfluss zu vermeiden. Gerade in Just-in-Time-Szenarien, bei kurzen Projektlaufzeiten und engen Terminplänen ist eine hochentwickelte Instandhaltung Voraussetzung für den Erfolg. Zum anderen gehören entsprechende Services mittlerweile auch zu den unverzichtbaren Leistungen, vor allem in Verbindung mit Garantie- und Gewährleistungszusagen, die häufig mit Wartungsvorschriften verbunden sind.

Mit einer Ad-hoc-Wartung nach Augenmaß – „rufen Sie einfach an, wenn was nicht läuft“ – wird man sich in diesem Markt schwerlich behaupten können. Gefragt ist eine Wartung, die sich nicht an festen Zyklen orientiert, sondern die an tatsächliche Betriebszustände anknüpft. Predictive Maintenance, also vorausschauende Wartung, weiß, wann in Bauteilen oder Komponenten eine Störung auftreten wird, und leitet entsprechende Maßnahmen ein; im Idealfall weiß der Hersteller vor dem jeweiligen Anwender, ob und wann es zu einem Störfall kommt. Es heißt nun: „Don’t call us, we call you.“

Die Industrie hat heute einen großen Bedarf an effizienten Wartungsprozessen, und mit den Konzepten von Industrie 4.0 und mit dem Internet der Dinge (IoT) stehen entsprechende technische Antworten zur Verfügung. Seit Maschinen und Anlagen umfassend mit hoch entwickelter Sensorik ausgestattet sind, seit diese einfach in eine überall verfügbare Infrastruktur eingebunden werden kann, stehen Betriebsdaten in Hülle und Fülle zeitnah zur Verfügung. Kein System ist zu klein, keine Einsatzbedingungen sind zu schwierig, um sich nicht für die Erfassung zu eignen.

Mit diesen Betriebsdaten kann man zum einen den Zustand einzelner Anlagen exakt kontrollieren, und so individuelle Fehler rechtzeitig erkennen. Zum anderen fallen durch diese umfassende Datensammlung so viele Daten über alle Systeme und die jeweiligen Einsatzbedingungen an – beispielsweise Umgebungstemperatur oder Luftfeuchtigkeit –, dass eine per­fekte Datenbasis für statische Verfahren entsteht. Damit lassen sich dann mit entsprechenden Algorithmen Wahrscheinlichkeiten für Störfälle ermitteln. Man kann nun zum Beispiel folgern, dass ein Störfall auftreten könnte, weil unter gegebenen Betriebsbedingungen bei einem bestimmten Einsatzprofil in der Vergangenheit 70 Prozent aller Systeme ausgefallen sind; daher führt der Hersteller nun vorsorglich eine Wartungsmaßnahme aus und tauscht vielleicht eine Komponente, die individuell problemlos läuft.

Innovative Wartung

Auf Basis von IoT-Technologien und mit Big-Data-Analytics können Betreiber und Hersteller von Maschinen und Anlagen innovative Lösungen für eine vorausschauende Wartung aufbauen. Dadurch lassen sich ungeplante Ausfallzeiten, aber auch die Maintenance-Kosten deutlich reduzieren.

Ausgangspunkt für einen Predictive-Maintenance-Prozess bildet die Datenerhebung (Data Acquisition), bei der das Sensor-Netzwerk die Betriebsdaten an ein IoT-Gateway, beispielsweise ein Dell Edge Gateway 5000, sendet. Dieses Gateway nimmt gleich vor Ort für die Daten der Sensoren eine Qualitätskontrolle und Integritätsprüfung vor, aggregiert sie und leitet sie an Backend-Systeme weiter. Dort werden Daten aus unterschiedlichen Quellen zusammengeführt (Data Collection and Aggregation). Für die eigentliche detaillierte Auswertung (Data Analytics) sorgen dann Big-Data-Lösungen, die auf den Storage-Systemen laufen. Die Aufbereitung der Analyseergebnisse erfolgt schließlich mit Visualisierungsfunktionen, wie sie Business-Intelligence-Tools bereitstellen.

Die Phasen des Predictive-Maintenance-Prozesses
OEM Dell

Mit einer derartigen Lösung können auch bestehende Anlagen nachgerüstet werden; sie können auch zunächst nur für einzelne Maschinen oder Prozessschritte implementiert werden. Eine inkrementelle Strategie ist also ohne weiteres möglich. Wichtig ist dabei, dass sich das IoT-Gateway softwaremäßig anpassen lässt, denn so können die Betreiber über individuelle Applikationen festlegen, welche Daten aus dem Produktionsprozess welche Maintenance-Aktionen auslösen sollen.

Wie verwundbar ist Ihre Software?

Wo beginnt man mit dem Einsatz statischer Analysetools im Rahmen von Security-Audits?

Wie bei jedem automatisierten Softwaretool ist es auch hier wichtig zu wissen, wonach man eigentlich sucht. Geht es um das Aufdecken der Sicherheitslücken in einem System ist ein Security-Audit sinnvoll. Hierzu müssen allerdings vorab einige manuelle Hausaufgaben gemacht werden: Sollte es zum Beispiel für das System keine formelle Bedrohungs-Analyse geben, ist es nun an der Zeit, eine solche durchzuführen, denn für ein Security-Audit ist es entscheidend, dass man über das Bedrohungsumfeld und die Angriffsoberflächen des eigenen Systems Bescheid weiß.

Bedrohungsmodell und Angriffsoberfläche

Die Wahrscheinlichkeit dafür, dass ein Gerät von einer Cyber-Attacke betroffen wird, hängt von den potenziellen Auswirkungen einer Attacke ebenso ab wie davon, ob eine solche Attacke möglich ist. Man nimmt nunmehr eine Beurteilung der Bedrohungslage vor, um ein Bedrohungsmodell zu erstellen und die Angriffsoberfläche zu ermitteln. Zu betrachten sind hierfür die Motivationen und Absichten potenzieller Angriffe ebenso wie die Wege, über die sie das System angreifen, und die Wahrscheinlichkeit für erfolgreiche Attacken:

  • Angriffsquellen und Motivationen – Insider, Aktivisten, Terroristen, Kriminelle, staatlich finanzierte Akteure oder auch Konkurrenten stellen potenzielle Bedrohungen dar. Kennt man die Quellen von Angriffen und ihre Motivationen, lässt sich leichter verstehen, welche Ziele eine Attacke haben kann, und ob eine solche Gruppe mit einem Angriff durchkommen könnte.
  • Rollen und Privilegien autorisierter Nutzer – Die Identifikation von Benutzern und ihren Zugriffsrechten ist entscheidend für die Durchsetzung des elementaren Least-Privilege-Prinzip Die Beschränkung der Zugriffsberechtigungen der betrieblichen Nutzer mit dem Ziel, gefährliche Verfahrensweisen oder das Hinausschleusen sensibler Daten zu unterbinden, hindert Insider und Angreifer am Zugang zu mehr, als ihnen gemäß ihren Zugriffsberechtigungen zusteht.
  • Identifikation potenzieller elektronischer Angriffsvektoren – Meist sind es Netzwerkverbindungen und andere I/O-Ressourcen, die Angreifern den Zugang eröffnen. In einigen Fällen kann der Angriffsvektor intern von einem lokalen Zugang zur Benutzeroberfläche oder einem lokalen Netzwerk ausgehen, während in anderen Situationen sogar der Zugriff per WAN oder Internet möglich sein kann.
  • Beurteilung der Schwierigkeit eines Angriffs – Aus der Verlustabschätzung lässt sich ersehen, welche Dienste und Funktionen von einer Attacke am meisten beeinträchtigt würden. Die relative Schwierigkeit dieser Angriffe muss auf der Grundlage der Angreifer und ihres Angriffsvektors beurteilt werden.
  • Zuweisung einer Bedrohungsmetrik – Jeden Angriff vorherzusehen, ist unmöglich. Ineffizient ist auch der Versuch, sich gegen jeden möglichen Angriff zu wappnen. Angriffen von außerhalb des zu verteidigenden Netzwerksegments etwa, die große Folgewirkungen hätten und einen geringen Schwierigkeitsgrad haben, würde eine hohe Bedrohungsmetrik zugewiesen. Jede Kombination aus Quelle und Motivation, Angriffsvektor und Schwierigkeitsgrad des Angriffs muss eine Bewertungsziffer erhalten.

 

Eine gründliche Bedrohungs-Analyse vermittelt ein Verständnis dafür, welche externen Schnittstellen die größten Angriffsrisiken bergen. Gleichzeitig macht diese Information deutlich, welche Schnittstellen und welche Arten von ‚Tainted Data‘ (vom Eingang) das Ausnutzen von Sicherheitslücken erlauben. Fortschrittliche statische Analysetools eignen sich insbesondere zum Aufdecken von Schwachstellen im Quellcode, darunter auch potenziell gefährliche Datenflüsse. Wenn man weiß, welche Schnittstellen analysiert werden müssen (z. B. das Netzwerk), lässt sich der Umfang der durchzuführenden Analyse bereits eingrenzen.

 

Die Konfiguration statischer Analysetools

Fortschrittliche statische Analysetools wie CodeSonar von GrammaTech bringen in ihrer Grundausstattung eine ganze Reihe von Warn- und Fehlermeldungen mit. Damit werden zwar die entscheidendsten und sinnvollsten Qualitäts- und Security-Defekte abgedeckt, die die Kunden benötigen, doch handelt es sich dabei nicht unbedingt immer um diejenigen Defekte, die für den Einzelfall am relevantesten sind. Bei der Durchführung frühzeitiger Security-Audits kommt es vielmehr auf das Eingrenzen der Analyse an, damit sich der Umfang der auszuwertenden Fehler- und Warnmeldungen auf ein sinnvolles Maß reduziert. Dies geschieht durch Anpassung der folgenden Parameter:

  • Warnungsklassen: Bei den meisten statischen Analysetools lassen sich Checker und Warnungen einzeln ein- und ausschalten. Da die Voreinstellungen für ein Security-Audit möglicherweise nicht ideal sind, wird empfohlen, die wichtigsten Fehlerklassen zu aktivieren, die weniger essenziellen Klassen dagegen zu beschränken.
  • Tainted-Data-Typen: Nicht alle Datenquellen sind potenzielle Angriffsvektoren oder in allen Systemen vorhanden. Zum Beispiel sind Netzwerk-Datenquellen bei vernetzten Geräten die Regel, während es Anwender- oder Dateieingaben nicht sind. Wichtig sind hier die Bedrohungsanalyse und die Angriffsoberfläche aus dem vorigen Schritt. Durch Beschneiden der analysierten Quellen reduziert man die Zahl der Falsch-Positivmeldungen und der Reports.
  • Uninteressanter Code: Subsysteme lassen sich so einschränken, dass unerwünschter Code aus der Analyse herausgehalten wird. Da die Tools die Intention der Software nicht verstehen, lässt sich durch manuelles Beschneiden des Codes die Analyse gezielt auf die wichtigen Abschnitte des Systems richten.
  • Abwägung zwischen Gründlichkeit und Zeitaufwand: Gelegentlich ist die Tiefe der Analyse einstellbar. Hier sollte für ein Security-Audit der höchstmögliche Wert gewählt werden. Es kommt darauf an, dass die Analyse so vollständig wie möglich ist, bevor hinsichtlich der aufgedeckten Schwachstellen irgendwelche Maßnahmen ergriffen werden.

Das Eingrenzen der Analyse auf die wichtigsten Schwachstellen ist wichtig, um einen ersten Überblick über die Sicherheitslage zu bekommen. Mit der Zeit lassen sich diese Parameter für ein umfassenderes Audit verändern, wie die folgende Grafik zeigt:

 

Grammatech
Grammatech

Auswertung der Ergebnisse

Mit den im vorigen Schritt konfigurierten, eingegrenzten Ergebnissen kann die eigentliche Analyse beginnen. Indem man die Resultate nach Priorität ordnet, lässt sich die Arbeit auf die wirklich kritischen Schwachstellen fokussieren. Zum Beispiel werden Pufferüberlauf-Fehler als kritischer angesehen als eine Warnung zum Programmierstil. Deshalb wird zu folgender Vorgehensweise geraten:

  • Priorisierung: Ordnen Sie die Fehler nach ihrer Priorität, bevor Sie ihre Gültigkeit analysieren. Es besteht die Möglichkeit, dass sich Falsch-Positiv-Meldungen in die Reports eingeschlichen haben. Um aber Zeit zu sparen, empfiehlt es sich zunächst die Fehler mit der höchsten Priorität zu analysieren. Möglicherweise bedürfen die Reports mit der geringsten Priorität gar keiner Überprüfung (sodass sie wahrscheinlich, wie oben beschrieben, komplett deaktiviert werden sollten).
  • Evaluierung: An dieser Stelle müssen die von den Tools gelieferten Reports in der Reihenfolge ihrer Priorität überprüft werden. Gravierende Fehler und der mit ihnen zusammenhängende Datenfluss sollten detailliert gecheckt werden. Die von Tools wie CodeSonar erzeugten detaillierten Reports helfen bei der Verifikation eines jeden Fehlers mit der Möglichkeit, sie jeweils als wahr oder falsch zu markieren und gegebenenfalls Bemerkungen anzufügen.
  • Kommentierung und Report: Die meisten fortschrittlichen statischen Analysetools liefern Reports zu jedem Analyselauf des Quellcodes. Sind die kritischen Schwachstellen validiert und kommentiert, ist der Security-Audit zum Quellcode fertig.
  • Ein fertiggestelltes Security-Audit kann für das weitere Risikomanagement, Abhilfemaßnahmen und Tests verwendet werden und lässt sich auch für die Gegenüberstellung mit Folgeversionen der Software nutzen. Es kommt darauf an, dass die statische Analyse zum Bestandteil eines iterativen Konzepts zur Verbesserung der Sicherheit wird.

Fazit

Statische Analysetools sind ein wirksames Hilfsmittel zur Verbesserung der Sicherheit. Die Einführung dieser Tools aber und die Festlegung eines Startpunkts für Ihr Team können zunächst schwierig erscheinen. Das Verstehen der Zielsetzungen ihres Security-Audits und Ihrer Bedrohungsbeurteilung kann bei der Einengung des Fokus helfen, wodurch die Analyseergebnisse an Relevanz und Nützlichkeit gewinnen. Durch Konfigurieren der Tools und Gliedern der Resultate nach Wichtigkeit wird der Audit-Prozess gestrafft, sodass er belastbare Ergebnisse hervorbringt.

Serie: Neuerungen in vSphere 6.5 – Teil 5

DRS (Distributed Ressoruce Scheduler) ist ein Cluster-Feature, das den Load zwischen allen zum DRS-Cluster gehörenden Hosts nach Bedarf via vMotion „ausbalanciert“.

DRS muss dazu die Auslastung der involvierten ESXi-Host überwachen und löst bei konfigurierbaren Schwellwerten automatisch vMotion-Operationen aus.
Da vMotion im Zweifel sehr viel Bandbreite beansprucht, empfiehlt sich der automatische Modus nur bei einer passenden unterliegenden Netzwerkinfrastruktur mit 10 oder 40 Gbs. Sind die Voraussetzungen gegeben, ist DRS ein tolles Features, das den Auslastungszustand aller ESXi-Hosts im Cluster ohne Zutun des Admins in Waage hält.

Nachdem es über mehrere ESXI-Versionen hinweg keine Neuerungen bei DRS gab, wartet vSphere 6.5 in dieser Hinsicht gleich mit drei neuen Features  „Predictive DRS“, „Network-Aware DRS “ und „DRS Profiles“ auf. Werfen wir in diesen Beitrag zunächst einen Blick auf PredictiveDRS

Predictive DRS unter der Lupe

An diesem Feature arbeitet das DRS-Team schon eine ganze Weile. Es vereint im Prinzip DRS mit dem vRealize Operations Manager, um Letzterem bei Entscheidungen über das Platzieren, bzw. Balancieren vom VM-Workloads hinzuziehen zu können.

Das Feature hat allerdings noch solange Tech-Preview-Status, bis auch vROps in Version 6.5 vorliegt. Natürlich nutzt DRS weiterhin in erster Linie die vom vCenter bereit gestellten Daten, verwendet aber on top auch VROps-Metriken.  Mit diesen lässt sich voraussagen, wie sich der Ressourcen-Verbrauch auf Basis der historischen Daten in „naher“ Zukunft (60 Minuten) entwickelt.

Angenommen, eine VM nutzt aktuell 2GB Arbeitsspeicher. Aufgrund der Zusammenarbeit mit vROps und der historischen Daten weiß DRS nun aber, dass jeden Tag zur gleichen Zeit ein SQL-Job läuft, der nach 4GB-RAM verlangt.

Solche absehbaren Ressourcen-Spitzen können nun in die Placement/Balancing-Empfehlung von DRS einbezogen werden. Falls aber aus welchen Grund auch immer der Ressourcen-Verbrauch zum Zeitpunkt des SQL-Jobs doch geringer ist, ignoriert DRS die „Vorhersage“ und bezieht selbstverständlich nur den aktuellen Ressourcenverbrauch ein.

 

Open-Source Server-Virtualisierung mit Charme

Sieht man mal davon an, dass mit Oracle Virtual Box und KVM/libvirt/Virt-Manager auch zwei quelloffene Typ-2-Hypervsoren primär Privat-Nutzer adressieren, ist mit der Open-Source-Server-Virtualisierungslösung Proxmox Virtual Envrionment der Wiener Proxmox Server Solutions GmbH auch eine in Europa entwickelte Enterprise-Virtualisierungslösung erhältlich, die eine stetig wachsende Anhängerschaft findet.

PVE

Im Vergleich mit Red Hat Virtualization (Beide setzen im Kern auf KVM) lässt sich Proxmox Virtual Envrionment einfacher in Betrieb nehmen und kostet sofern man keinen Support in Anspruch nimmt kein Geld, sodass interessierte KMUs das Produkt auf Herz und Nieren testen können.

Im Gegensatz zu einer Selbstbau-Lösung auf KVM-Basis aber bietet Proxmox Virtual Envrioment Enterprise-Level-Features aus der Box, verwaltbar in einem ansprechenden Webinterface und stellt neben virtuellen Maschinen auf Container zur Verfügung.

Dashboards für Ceph

Die Version 4.4 von Proxmox Virtual Envrionment ist schon seit Dezember letzten Jahres erhältlich, was aber im Rummel rund um das Erscheinen von vSphere 6.5 und Windows Server 2016 im November etwas untergegangen war. PVE 4.4 bringt wie bei jeder neuen Hauptversion Aktualisierungen UND Verbesserungen, wie z. B. neue Dashboards für Cluster-Features und Ceph.

Letzteres stellt dem Admin eine fassende Übersicht über den Ceph Status, die Ceph-Monitore sowie die Ceph-OSDs zur Verfügung und liefert die aktuelle Performance und Auslastung des Ceph-Clusters. Das neue Dashboard vereinfacht damit die Administration von Ceph.

Container

PVE ist die einzige integriere Virtualisierungsmanagement-Lösung am Markt, die neben klassischen virtuellen Maschinen auf KVM-Basis von Anfang an auch Betriebssystemvirtualisierung mit Linux-Containern ( LXE) bietet. Neu in PVE 4.4 ist, dass sich unprivilegierte Container nun auch direkt an der grafischen Oberfläche erstellen lassen, was bisher nur per Kommandozeile möglich war.

Version 4.4 bringt außerdem neue LXC-Templates für diverse Linux-Distributionen mit. Mit Hilfe der ebenfalls neuen CPU-Core-Limitierung, lässt sich die Rechenleistung nun nach Belieben zwischen Containern aufteilen. Schließlich hilft die ebenfalls neue Container-Restart-Migration bei Wartungsarbeiten am Host.

HA-Stack

Auch beim HA-Stack von Proxmox VE gibt es Verbesserungen, die offenbar größtenteils explizit auf Wünsche vieler Community-Nutzer zurück gehen, ebenso wie eine Reihe von Verbesserungen im Webinterface für das HA-Feature. So haben die Entwickler beispielsweise die beiden Tabs „Ressource“ und „HA Status“ zusammengeführt.

Neu ist auch eine vereinheitliche Ansicht für den aktuellen HA-Status, die zugleich die Möglichkeit zum Bearbeiten und Hinzufügen von HA-Ressourcen bietet. Zudem erlaubt ein neuer Editor für HA-Gruppen jetzt das Setzen von Prioritäten in der GUI. Schließlich unterstützt Proxmox VE 4.4 jetzt ein dediziertes Netzwerk für Live-Migrationen, steuerbar über die Kommandozeile.

Smart Services IoT-Plattformen im Wettstreit

IoT-Plattformen lassen sich selten über Funktions- oder Preisvergleiche differenzieren, dafür ist die Materie zu komplex.

Daher orientieren sich viele Unternehmen an Kriterien wie:

  • den Namen großer Anbieter, beispielsweise Microsoft, SAP, IBM, Siemens und deren Langzeitstrategien,
  • der Bekanntheit bei den Entwicklungsmitarbeitern für eine spezielle (Teil-) Anwendung oder
  • der Eignung der Plattform zur Erreichung kurzfristiger Projektziele.

Ideal – aber selten – wäre eine langfristige Sicht in Stufen bei der alle Funktionen evaluiert werden.

Wie die folgende Grafik sie zeigt wird ein schneller IoT/Remote Service, der weitere Microservices unterstützt aus den Technologiekomponenten IoT-Plattform, Monitoring und Analytics / Big Data, zusammengebaut. Auf dieser technologischen Basis werden dann Serviceprodukte und Businessmodelle aufgesetzt. 

Unterschiedliche IoT-Plattformen müssen zusammenpassen damit die Maschine(the Thing) sicher angeschlossen wird.

Alle am Markt verfügbaren Plattformen sind für internationale Serviceangebote geeignet. Bei der Auswahl sollte man sich daher die Frage stellen: Welche Funktionen werden stufenweise benötigt? Welche Architekturmerkmale und Funktionen sind relevant?

Kommunikationsplattform

Alle Plattformen, die aus dem Remote Bereich kommen und viele weitere IoT-Plattformen schaffen zunächst eine sichere Verbindung. Das bedeutet, Verwaltung von tausenden Maschinen / Geräten (Things).  Der größte Smart Serviceanbieter in Deutschlamd hat 400.000 Geräte/Maschinen über eine IoT-Plattform angeschlossen. Auswahlkriterien sind Zugriffsprotokolle, Benutzerrechte, Freigaben, Leitungsüberprüfung etc. Diese Verbindungen werden zum Fernzugriff für Monitoring und Datensammlung genutzt.

Alle IoT-Plattformen haben Schnittstellen oder Clients, die weitere Technologiestufen erlauben.  Mit Monitoring ist die Überwachung von Grenzwerten möglich. Gesammelte Daten werden mit Analytics Tools auswertbar. 

Sicherheit

Große Unterschiede gibt es zum Thema Sicherheit. Einfache Plattformen haben Passwortschutz, schon mittlere erlauben Nutzergruppen mit speziellen Rechten, Freigabe für Zugriffe, Datenkomprimierung zur Verschleierung von Prozessdaten und mehr. Noch nicht selbstverständlich sind Kriterien wie Zugriffsprotokolle, die Wer, Warum, Wo zugreift und spezielle Autorisierungsmöglichkeiten. Plattformen für Betreiber arbeiten als Digital Doormen.

Erweiterbarkeit und Kombinationsfähigkeit

Basis ist in der Regel eine IoT-Kommunikationsplattform. Ergänzt wird diese dann durch Plattform-Funktionen wie Wissensmanagement, Analytics, Monitoring und Video. Ein frühzeitiger Kombinationstest schützt vor Überraschungen. 

Weitere Auswahlkriterien

 Fehler passieren beim Leistungs- und Preis-Vergleich insbesondere, wenn der Preis pro „Things“-Anschluss, der Preis für Daten und die Entwicklungskosten für Funktionen verglichen werden. Vor allem beim letzten Punkt verschätzt man sich häufig um mehrere 100.000 €.

Neben den technischen Kirtierien liefert natürlich die Businessseite der Projekte wichtige Vorgaben. Entwickelt werden sollte deshalb immer nach Businesscase und nicht nach dem, was technisch interessant erscheint.

Fazit: Kennenlernen ist wichtig

IoT-Plattformen wie Siemens MindSphere, ABB mit Microsoft Azure, Fanuc, ThingWorx, Cumulocity, Worldline, mcDialog, Insys, eWon, Empolis, USU, Trumpf, Beeware, haben als IoT Plattformen unterschiedliche Zielsetzungen.

Auf dem Kongress Connected Service World am 14./15. Feb. 2017 in Karlsruhe werden mehr als 12 wichtige Plattform Anbieter aus unterschiedlichen Sichten mit Vorträgen, Demos und Case Studies verglichen und können in der Ausstellung diskutiert werden.  Daneben gibt es viele Geschäftsmodelle und Präsentationen aus der Praxis.

Weitere Informationen zu IoT-Softwareplattformen finden Sie zusätzlich im Bericht von Forrester „Forrester Wave™: IoT Software Platforms

Mit selbstsignierten Zertifikaten arbeiten

Dazu verwenden Sie zum Beispiel die PowerShell und den folgenden Befehl:

New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname <FQDN des Servers>

In produktiven Umgebungen ist das aber nicht empfohlen. Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern mit denen Sie die selbst signierten Zertifikate erstellt haben, auf beiden Server als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher des Servers. Diesen rufen Sie über certlm.msc auf.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie einen Hyper-V Replica Broker im Clustermanager von Windows Server 2016 erstellen. Dabei gehen Sie vor, wie bei jeder anderen Clusterressource. Zuvor sollten Sie aber ein neues Computerkonto im Snap-In Active Directory-Benutzer und -Computer erstellen. Rufen Sie die Registerkarte Sicherheit des neuen Objekts auf und geben Sie dem Computerkonto des Clusters Vollzugriff auf das neue Konto.

Um SSL zu nutzen, rufen Sie auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf Replikationskonfiguration. Aktivieren Sie die Option Zertifikatbasierte Authentifizierung verwenden (HHTPS) und wählen Sie das Zertifikat aus, welches Sie für die Übertragung verwenden wollen. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein.

OneDrive Admin Center nutzen

Das neue OneDrive Admin Center erreichen Administratoren am schnellsten über die URL https://admin.onedrive.com. Mit diesem Admin Center steuern Siean einer zentralen Stelle alle wichtigen Einstellungen für OneDrive for Business in Office 365.

 

Über den Link Freigabe legen Sie fest, wie Anwender Dateien im Cloudspeicher für andere Anwender, auch externe Benutzer, freigeben können. Deaktivieren Sie die Option „Benutzern das Teilen von SharePoint-Dateien mit externen Benutzern erlauben“, dürfen die Anwender Dateien in OneDrive for Business nur noch für interne Mitarbeiter freigeben.

Haben Sie die Freigabe generell erlaubt, können Sie im Dropdownmenü festlegen, welche Rechte Benutzer für das Freigeben von Dateien aus OneDrive for Business haben sollen. Standardmäßig dürfen Anwender die Daten auch mit anonymen Benutzern teilen, die sich nicht an Office 365 anmelden. Auf Anforderung können Sie aber auch festlegen, dass Benutzer nur für externe Benutzer Daten freigeben können, die sich an Office 365 anmelden. Dazu können diese Benutzer als externe Kontakte angelegt werden, ähnlich wie in Exchange.

In den Einstellungen lässt sich auch festlegen, dass die Links für den Zugriff nach bestimmter Zeit ablaufen. Hier stehen die Zeiträume 90 Tage, 180 Tage und 1 Jahr zur Verfügung. Wenn Sie die Einstellung entsprechend setzen, laufen automatisch alle externen Freigaben nach der hier definierten Zeit ab. Auch das weitere Teilen von freigegebenen Dateien durch externe Benutzer kann hier gesteuert werden.