WLAN: Was es ist und wie es funktioniert

,

WLAN ist die geläufige Abkürzung für „Wireless Local Area Network“ und beschreibt sämtliche drahtlosen Netzwerke. In der Regel sind damit Funknetz-Standards aus einer bestimmten Normreihe gemeint. In manchen Ländern außerhalb Deutschlands werden diese WLAN-Standards unter der Bezeichnung Wi-Fi zusammengefasst. Zum WLAN gehören im Prinzip sämtliche Techniken und Standards, mit denen Sie lokale Funknetzwerke aufbauen können, darunter auch Bluetooth und Home RF.

Warum hat das WLAN sich so deutlich durchgesetzt?

Das digitale Zeitalter setzt nicht nur in der Arbeitswelt eine nachhaltige Mobilität voraus. Selbst wenn es hier in erster Linie um die Verarbeitung und Übertragung von Daten betrifft, nimmt das Funknetz auch im privaten Bereich immer größeren Raum ein. Das Wireless LAN erfüllt dabei gleich wenigstens drei unterschiedliche Anforderungen:

1. Der Zugang zum Netz wird für mobile Endgeräte deutlich vereinfacht.
2. Die Reichweite kabelgebundener Netzwerke kann vor allem an Stellen effektiv erweitert werden, die nur schwer zugänglich sind.
3. Für den provisorischen Aufbau eines Netzwerks auf Funktechnik-Basis ist WLAN eine häufig genutzte Option.

Der IEEE-Standard

WLAN

Mithilfe des WLAN das ganze Haus steuern

Der Begriff WLAN wird ausdrücklich für Funknetzwerke verwendet, die auf der IEEE-Norm aufbauen. Die Abkürzung IEEE steht für „Institute of Electrical and Electronics Engineers. Dieses Institut hat im Jahr 1997 zum ersten Mal den heute noch genutzten IEEE 802.11-Standard verabschiedet.

Der mehr als 20 Jahre alte Standard ist längst überholt und wurde zwischenzeitlich mehrfach ergänzt und aktualisiert. So existiert heute zum Beispiel der 802.11 ad. Er ermöglicht sehr hohe Bandbreiten, erlaubt aber lediglich eine Reichweite von einigen Metern.

Seit der Einführung des Standards 802.11 n kann WLAN häufiger auf ein 5 GHz-Band zurückgreifen. Bis dahin stand lediglich das 2,4 GHz-Band zur Verfügung, die Übertragungsraten lagen unter zwei Mbit/s.

Die so genannten Mesh-Netzwerke sind die neueste Entwicklung und tragen die Bezeichnung IEEE 802.11s. Es handelt sich dabei um vermaschte bzw. sich selbst vermaschende Netzwerke, die niemals aus nur einem Access Point bzw. WLAN-Router bestehen, sondern sich immer aus mehreren Access Points zusammensetzen.

Die unterschiedlichen Modi der Datenübertragung

Hinsichtlich der Art und Weise, wie Sie Daten zwischen den Clients im Netzwerk übertragen möchten, stehen Ihnen im WLAN-Betrieb zwei unterschiedliche Modi zur Verfügung: der Infrastruktur-Modus und der Ad-hoc-Modus.

1. WLAN im Infrastruktur-Modus

Den Datenverkehr koordinieren WLAN-Router oder ein Access Point. Diese stellen die so bezeichnete Basisstation dar und steuern grundsätzlich die Kommunikation. Für die Einbindung von Clients in solche Netzwerke benötigen Sie sowohl den Namen des Netzwerks als auch die verwendete Verschlüsselung.

Im Infrastruktur-Modus können Sie die Reichweite des Funknetzes per WLAN-Repeater jederzeit erweitern.

2. Wireless LAN im Ad-hoc-Modus

Sicherheit spielt hier auch eine Rolle

Im Ad-hoc-Netzwerk können sämtliche Clients direkt miteinander Daten austauschen, ohne dass sie auf einen Access Point oder einen Router zugreifen müssen. Die Einrichtung dieses Netzwerks ist vergleichsweise einfach, außerdem zeichnet sich dieser Modus durch ein hohes Übertragungstempo aus.

Auch hier müssen sich die Teilnehmer über den Netzwerknamen sowie über eine Verschlüsselung identifizieren, um sich einschalten zu können. Aufgrund der direkten Kommunikation der einzelnen Clients ist die Reichweite eines Ad-hoc-Netzwerks allerdings stark eingeschränkt.

Die Grundlagen für ein Ad-hoc-Netzwerk schafft ein Wireless Distribution System (WDS). Dabei handelt es sich um ein Adressierungs-Verfahren, das dem IEEE-Standard 802.11 entspricht und auch anspruchsvolle Netzwerk-Aufbauten ermöglicht.

Sicherheit und Verschlüsselung

WLAN-Netze müssen insofern abgesichert werden, dass weder ein unerlaubter Zugriff von außen noch ein Abfangen der Datenströme möglich ist. Handelsübliche Router ermöglichen dem Nutzer dazu drei unterschiedliche Verschlüsselungs-Varianten:

– WPA
– WPA2
– WPA + WPA2

Die drei Standards wirken sich sowohl auf die Sicherheit des Netzwerks aus als auch auf die Geschwindigkeit der Datenübertragung im WLAN. WPA steht für Wireless Protected Access.

Mit WPA nutzen Sie die Methode TKIP zur Verschlüsselung. TKIP steht für Temporal Key Integrity Protocol. Die Übertragungsgeschwindigkeit ist hier auf 54 Mbit/s beschränkt. Die aktuell sicherste Verschlüsselung erreichen Sie mit WPA2. Diese nutzt die Methode CCMP. Hier sind Geschwindigkeiten von mehr als 150 Mbit/s möglich.

Darüber hinaus gibt es den Mixed Mode, der sich aus WPA und WPA2 zusammensetzt. Damit können Sie sowohl ältere als auch moderne Geräte ins Netzwerk einbinden. Die Geschwindigkeit der Funkverbindung ist allerdings langsamer.

WEP: veraltet und nicht sicher

Das WLAN sollte verschlüsselt sein

WEP steht für Wired Equivalent Privacy. Dieser Verschlüsselungsstandard stammt aus dem Jahr 1999 und entspricht dem Standard IEEE 802.11. Seit 2013 dürfen Access Points die Verschlüsselung per WEP nicht mehr anbieten; seit 2014 dürfen auch WLAN-Geräte wie Sticks und Notebooks kein WEP mehr unterstützen.

Das grundsätzliche Problem liegt darin, dass WEP für die Verschlüsselung, für die Authentifizierung und für die Integritätsprüfung immer die gleichen Schlüssel verwendet. Der WEP-Schlüssel lässt sich verhältnismäßig einfach berechnen, und selbst ein nicht professioneller Hacker hat sich innerhalb weniger Minuten Zugriff zum WLAN verschafft.

Der neue Standard: WPA3

Dieser Standard stammt aus dem Jahr 2018 und kann als Update des WPA2 betrachtet werden. Er enthält neue Funktionen, vereinfacht die Authentifizierung und erhöht die Sicherheit der Verschlüsselung.

Insgesamt bietet der neue Standard folgende Vorteile:

– Die Authentifizierung ist robuster, die Kryptografie deutlich verbessert.
– Jedes einzelne Gerät lässt sich individuell verschlüsseln.
– Die Verschlüsselung der Geräte ohne Bedienelemente lässt sich einfacher konfigurieren.
– WPA3-Geräte können mit WPA2-Geräten zusammenarbeiten.

Optimierung des WLAN durch effiziente Maßnahmen

1. MIMO-Technologie (MIMO = Multiple Input Multiple Output)

WLAN ist kabellos

WLAN-Router arbeiten mit Funkwellen, die gelegentlich interferiert und reflektiert werden. Trifft ein Funkwellenberg auf ein Wellental, löschen die Wellen einander aus, der Funkverkehr bricht zusammen.

Router mit der MIMO-Technik verfügen über mehrere Antennen und können die Reflexionen aktiv für die Datenübertragung nutzen. Aktuell sind Router mit der Multi-User-MIMO-Technik auf dem Markt. Diese Technologie ermöglicht es den Basis-Stationen, bis zu vier Clients gleichzeitig anzufunken. Bei Bedarf können Sie entsprechende Repeater nutzen, um die Reichweite zu verstärken.

2. Band Steering

Das Band Steering ist die aktuellste Entwicklung, mit der sowohl die Stabilität als auch die Leistungsfähigkeit eines Wireless LAN signifikant verbessert werden. Diese Technik konzentriert vor allem auf Dual-Band-Geräte wie Smartphones und Tablets: Entweder werden diese mobilen Endgeräte gleich einer weniger stark belasteten WLAN-Frequenz zugeordnet, oder sie werden bei Bedarf dorthin umgebucht.

Die beiden Frequenzbänder weisen unterschiedliche Reichweiten auf. Nutzen Sie einen Router oder einen Access Point mit integriertem Band Steering, berücksichtigt er dies. Er weist den Dual-Band-Geräten das jeweils optimale Frequenzband zu – auch in Abhängigkeit der jeweiligen Signalstärke.

Azure Active Directory Connect

, ,

Active Directory an Office 365 anbinden

Immer mehr Firmen nutzen auf Basis von Microsoft Azure den Cloud Service Microsoft Office 365. Dabei wird neben dem klassischen Office Produkt (bspw. Office 2016) jedem lizenzierten Benutzer ein Postfach auf Basis von Microsoft Exchange zur Verfügung gestellt. Das ist insofern praktisch, da es auch kleinen Unternehmen mit wenigen Postfächern ermöglicht Microsoft Exchange in Anspruch zu nehmen.

Neben Office 365 haben die meisten Firmen aber nach wie vor lokale Windows-Installationen in Betrieb, für die sie ein Active Directory zur Verwaltung der Benutzer und deren Rechte einsetzen. Der IT-Administrator steht anschließend vor der Aufgabe, daß an zwei Stellen Benutzer verwaltet werden müssen: Einmal im lokalen Active Directory und ein zweites Mal innerhalb des Office 365 Mandanten (engl. Tenant). Das ist insofern unschön, da jeder Benutzer dann einmal im Active Directory als auch in Office 365 gepflegt und verwaltet werden muss.

Microsoft Azure Directory Connect (bzw. Azure Directory Sync) löst dieses Problem, in dem das lokale Active Directory des Unternehmens mit dem Mandanten von Office 365 so verbunden wird, daß die angelegten Benutzer weiterhin nur an einer Stelle verwaltet werden müssen.

Voraussetzungen für den Directory Sync mit Azure

Damit die Synchronisation zwischen Active Directory und Office365 einwandfrei funktioniert, müssen einige Voraussetzungen erfüllt sein:

  • Eigentlich selbstverständlich: Ein Office 365 Mandant muss für die Firma angelegt und vorhanden sein.
  • Die Installation der Synchronisations-Software selbst muss auf einem Member Server innerhalb des Active Directory erfolgen. Die Installation auf einem Domain Controller ist zwar prinzipiell möglich wird aber nicht empfohlen.
  • Der Server auf dem Azure Directory Sync installiert wird, muss ein 64-bit Betriebssystem haben(Windows 2008 R2, Windows Server 2012 oder 2016)
  • Auf dem Server sollten min 70 GB Platz vorhanden sein. Als Mindestanforderung für den Hauptspeicher gibt Microsoft 4 GB RAM an.
  • Ein administrativer (d.h. privilegierter) Account im lokalen Active Directory
  • Ein administrativer Account im Office 365 Tenant (Mandant) bei Microsoft Azure

Eine gern übersehene Voraussetzung für die  erfolgreiche Verbindung zur Office 365 ist, daß die interne Domain des Active Directory (im Internet) routing-fähig ist.

In anderen Worten: keine domain.local oder .intra sondern „domain.com“ oder „domain.de“. Sofern Sie eine (bereits seit Jahre) bestehende interne Domain in ihrem AD haben, die auf eine nicht routing-fähige Endung hört (bspw. *.local), so kann mit einem so genannten Benutzerprinzipalname-Suffix dieser „Fehler“ behoben werden. Mehr dazu am Ende.

Hinweis: Was mit Azure AD Sync nicht geht

Der Wunsch manches Firmenchefs oder IT-Verantwortlichen zum Trotz: Das kostenfreie Verzeichnis von Benutzern bei Office 365 ersetzt nicht ein echtes Active-Directory im eigenen Rechenzentrum bzw. in den Räumen des eigenen Unternehmens. Mit dem reinen Office 365 kann man also keine lokalen Benutzer am heimischen PC authentifizieren.

Wer also den Wunsch nach einer vereinfachten Verwaltung von Computern und Ressourcen im Unternehmens-eigenen Windows Netz hat, der kommt auch weiterhin nicht um ein funktionierendes Active Directory herum.

Übrigens: Der Active Directory Sync muss schon aus Firewall-Gründen ein Push Mechanismus sein, der also vom bestehenden AD aus eine Synchronisation zu Office 365 hin anstößt. Wollte man aus Office 365 heraus einen Sync betreiben (was aber eben nicht geht), so müsste die Firewall des Unternehmens „aufgebohrt“ werden. Das ist aber in 99% aller Fälle weder gewollt noch sinnvoll.

Klappt der Sync denn auch?

Um bei der ersten – hoffentlich erfolgreichen Synchronisation direkt in Office 365 prüfen zu können, ob der Abgleich der Konto einwandfrei funktioniert, haben wir in unserem Active Directory einen Test-Benutzer angelegt, für den es in unserem Office 365 Mandanten noch kein Konto gibt.

In unserem Beispiel habe ich den Anwender „Peter Testmann“ angelegt und ihm ein Passwort vergeben.

Wichtig dabei. Das Feld E-Mail sollte ausgefüllt sein. Es wird später für die Synchronisation und eindeutige Zuordnung benötigt.

Installation von Azure Directory Sync

Nach dem wir nun alle Voraussetzungen geprüft haben und die Kontodaten der beiden notwendigen Accounts (einmal Office365 und einmal Admin aus dem lokalen Active Directory) beisammen haben, können wir auch loslegen.

Das Azure Directory Sync Tool kennt bei zwei Installationsarten:

  • Express und
  • Benutzerdefiniert mit angepassten Einstellungen

Die Express-Installation des Sync-Tools erfragt im wesentlichen „nur“ die Zugangsdaten der beiden Accounts für Office 365 und das lokale AD. Wer mehr Kontrolle über die Einrichtung und die Definition der Synchronisation haben möchte, sollte unbedingt die angepasste Einrichtung wählen. Im nachfolgenden beschreibe ich die benutzer-definierte Installation des Tools.

Starten der Installatoin von Azure Directory Sync

Starten der Azure AD Installation

Starten der Azure AD Installation

Zunächst laden wir das Programmpaket für den Directory Sync herunter:

https://www.microsoft.com/en-us/download/details.aspx?id=47594

Die Installation starten Sie als Administrator mit einem Doppelklick, akzeptieren die Lizenzbedingungen und klicken anschließend unten rechts auf „Weiter“.

 

 

Erforderliche Komponenten für Azure Directory Sync

Die erforderlichen Bestandteile des AC Sync

Die erforderlichen Bestandteile des AC Sync

In der nächsten Maske, können Sie folgende Dinge ändern:

– anderer Installationsort (Default: „C:\Program Files\Microsoft Azure AD Sync“)

– ein bestehender SQL Server (sonst wir ein SQL Express installiert)

– bestehender Account in der AD

– benutzerdefinierte Synchronisierungsgruppen Gruppen (statt Administratoren, Benutzer etc.)

 

Sofern Sie eine der Optionen anpassen möchten, setzen Sie den entsprechenden Haken.

Anschließend klicken Sie unten rechts auf „Installieren“.

 

Azure Sync: Benutzeranmeldung

Die Optionen für „Benutzeranmeldung“ steuert, wie im zukünftigen Sync die Passwörter synchronisiert werden.

Standardmäßig ist die „Kennworthashsynchronisierung“ ausgewählt. Dabei werden die verschlüsselten Hash-Werte der Passwörter vom lokalen AD nach Office 365 übertragen – umgekehrt allerdings nicht.

Für die meisten Anwendungsfälle wird dies allerdings vollkommen ausreichen.

Wer seinen Anwendern die Möglichkeit eines Single-Sign-On (SSO) zur Verfügung stellen möchte, der setzt ganz unten den Haken bei „Einmaliges Anmelden aktivieren“.

Anschließend klicken Sie wieder unten rechts auf „Weiter“.

Sync: Mit Azure AD verbinden

In der nächsten Maske geben Sie die Zugangsdaten eines administrativen Benutzers ihres Office 365 Mandanten an.

Bspw.: admin@<ihr-mandant>.onmicrosoft.com

Bei „Kennwort“ tragen Sie das Passwort ein.

 

Azure Sync: Verzeichnisse verbinden

Azure mit dem lokalen active Directory verbinden

Sofern Ihr Kennwort richtig war, erscheint nun die folgende Übersicht:

Als Verzeichnistyp sollte „Active Directory“ ausgewählt sein.

Darunter können Sie im Dropdown „Gesamtstruktur“ das Verzeichnis auswählen, das Sie synchronisieren möchten.

Klicken Sie dazu auf den günen Button „Verzeichnis hinzufügen“.

 

 

 

Danach sollte die Maske so aussehen:

Klicken Sie nun wieder unten rechts auf „Weiter“.

 

 

 

AD-Gesamtstrutkturkonto in der lokalen Domain

In der Übersicht „AD-Gesamtstrukturkonto“ werden Sie nun nach dem weiter oben erwähnten administrativen Account aus ihrem Active-Directory gefragt.

Dabei können Sie wählen ob für die Synchronisation ein neues Konto in ihrem AD angelegt wird oder ob Sie einen bestehenden Account (AD-Konto) nutzen möchten.

Ich empfehle hier das Programm ein neues AD-Konto anlegen zu lassen. Das dann angelegte Konto sollte wirklich nur zum Zweck der Synchronisierung verwendet werden.

Achtung: Um ein Konto durch das Sync-Tool anlegen zu lassen, müssen Sie um Feld „Benutzername des Unternehmensadministrators“ den Namen des Admin-Kontos in der Form „DOMAIN\Benutzer“ angeben. Das darunter liegende Feld für das Passwort war in unserem Fall mit der Maus nicht zu erreichen. Nur mittels TAB und „blindem“ Eingeben klappte es dann doch. – Klicken Sie anschließend auf „OK“.

Azure AD-Anmeldekonfiguration

In der nun folgenden Maske „Azure AD-Anmeldungskonfiguration“ legen Sie fest, welches Feld aus ihrem Active-Directory genutzt wird, um sicher zu stellen, dass Benutzer eindeutig sind.

Gemeint ist hier der so genannte „User Principal Name“ (kurz UPN). Sie sollten diesen den Wert auf „userPrincipalName“ belassen.

Damit ist die Langform der Anmeldung in der Form benutzer@domain.tld (also etwa: mark.testmann@beispiel.de“ gemeint

Wichtig: Setzen Sie hier bitte den Haken unten bei „Ohne Abgleich aller UPN-Suffixe …“ und klicken anschließend auf „Weiter“.

 

 

Azure Sync: Filtern von Domänen und Organisationseinheiten

In der Maske „Filtern von Domänen und Organisationseinheiten“ können Sie detailliert festlegen, was Sie genau synchronisiert haben wollen.

Es empfiehlt sich in jedem Fall die Benutzer (Users) zu synchronisieren. Ob Sie weitere Elemente synchronisieren möchten, muss jeweils in Ihrem Anwendungsfall entschieden werden.

Klicken Sie nach dem Anhaken der für Sie passenden Kreuze unten rechts auf „Weiter“.

 

 

Active Directory Sync: Ihre Benutzer werden eindeutig identifiziert

In der nun folgenden Maske „Ihre Benutzer werden eindeutig identifiziert“ können Sie vom Standard abweichende Einstellungen angeben, wo und wie das Sync-Tool sicherstellt, dass die Zuordnung von AD-Benutzern zu Office 365 Accounts korrekt erfolgt.

Sofern Sie ihre AD-Benutzer nur einmal angelegt haben, sollten Sie die Einstellungen im Standard so belassen:

Oben: „Benutzer werden nur ein Mail in allen Verzeichnissen dargestellt“.

Unten: „..Quellanker durch Azure verwalten lassen“.

Sofern Sie davon abweichen sollten Sie sowohl oben (im AD) und unten (in Office 365) einen Feld mit möglichst identischem Inhalt wählen – etwa die E-Mail Adresse (da diese immer eindeutig sein muss).Klicken Sie anschließend wieder unten rechts auf „Weiter“.

 

Directory Sync: Benutzer und Geräte filtern

In der Maske „Benutzer und Geräte filtern“ können Sie entscheiden ob Sie ein Alle Benutzer ihres Active Directory synchronisieren lassen möchten, oder ob Sie eine bestimmte Organisationseinheit (engl. OU) innerhalb ihres Directory auswählen.

Wenn Sie etwa mit Subdomains arbeiten, so können Sie hier die für ihren Anwendungsfall passende OU auswählen.

Klicken Sie anschließend wieder auf Weiter.

 

Azure Sync: Optionale Features

In der vorletzten Eingabemöglichkeit „Optionale Features“ können Sie folgende Einstellungen vornehmen:

Anpassungen zur Synchronisierung von Microsoft-Exchange und öffentlichen Ordnern von MS-Exchange.

Hinweis: Diese Option erscheint nur, wenn Sie vorher bereits einen Exchange Server in ihrem Active Directory in Betrieb haben.

Sofern Sie weiter oben die Standard-Option „Kennworthashsynchronisierung“ aktiviert haben, ist diese bereits angekreuzt und ausgegraut.

Klicken Sie nun noch einmal unten rechts auf Weiter.

 

Azure Active Directory Sync: Bereit zur Konfiguration

Herzlichen Glückwunsch: Sie sind nach diesem Options-Marathon auf der finalen Maske angelangt.

Sofern Sie den Haken bei „Starten Sie den Sychronisierungsvorgang, nach dem die Konfiguration abgeschlossen wurde“ gesetzt lassen, wird direkt nach der Installation des Tools der erste Abgleich zwischen dem Active Directory und ihrem Office 365 Mandanten erfolgen.

 

Klicken Sie (diesmal wirklich zum letzten Mal) unten rechts auf den grünen Button „Installieren“.

 

Sie erhalten die allerletzte Maske als Bestätigung, was nun synchronisiert wird.

Klicken Sie unten rechts auf „Beenden“.

 

 

 

 

 

Klappt die Synchronisation mit Azure Active Directory Sync?

Wenn nun alles richtig funktioniert hat, dann sollten wir den eingangs angelegten Testbenutzer „Peter Testmann“ in Office 365 wieder finden.

Um das zu prüfen loggen Sie sich mit einem administrativen Benutzer unter https://portal.office.com ein und klicken dort anschließend auf => Admin => Users => Active Users

Im Screenshot können Sie erkennen, dass „Peter Testmann“ erfolgreich angelegt wurde.

Melden Sie sich nun wieder von Office 365 ab. Anschließend melden Sie sich direkt wieder unter https://portal.office.com an. Diesmal nutzen Sie allerdings die Zugangsdaten ihres Testbenutzers aus dem lokalen Directory ihres Unternehmens.

Sie sollten sich nun mit dem Benutzernamen und dessen Passwort aus dem lokalen Active-Directory bei Office 365 anmelden können.

Troubleshooting und FAQ

Frage: Meine interne Active Directory Domain  hat eine Endung die im Internet nicht routing-fähig ist (z.B. domain.local) . Wie kann ich trotzdem meine bestehende Domain mit Office 365 verwenden?

Antwort: Sie müssen vor der Installation des Directory Sync ein zusätzliches Benutzerprinzipalnamen-Suffix (zu Deutsch: Domain-Endung) für ihre Domain anlegen.

Das geht so:

Auf einem Domain Controller ihrer internen AD öffnen Sie die Management-Konsole für Active Directory Domänen und Vertrauensstellungen. Im obersten Ast (oberhalb ihrer Domain) klicken Sie mit der rechten Maustaste auf „Active Directory-Domänen und –Vertrauensstellungen“ und dann auf Eigenschaften. Fügen Sie nun im Feld „Alternative Benutzerprinzipalnamen-Suffixe“ eine Routing-fähige Endung hinzu.

Bsp.: Wenn ihre bisherige AD-Domain „domain.local“ heißt, dann gehen Sie hier „domain.com“ oder „domain.de“ ein –also alles nach dem @ . Speichern Sie die Veränderungen mit „OK“ ab.

Bei der Anlage bzw. Bearbeitung eines Benutzerkontos können Sie anschließend statt der Endung @domain.local auch die gerade eingegebene Domain-Endung auswählen, die dann später bei Office 365 zur Anmeldung verwendet werden kann.

Wählen Sie dazu rechts neben dem Feld „Benutzeranmeldename“ die gewünschte Domain-Endung aus. Im Beispiel rechts wurden zwei zusätzliche Domain-Endungen vergeben.

Fazit:

Trotz des etwas länglichen Installations-Dialog bei der ersten Einrichtung von Azure Active Directory Sync kann man ein bestehendes Active Directory relativ einfach an Office 365 anbinden. Auf diese Weise erspart man sich die doppelte Administration der Benutzer (und ihrer Passwörter)  und kann so das vorhandene Directory komfortable zur Benutzer-Administration in beiden Welten verwenden.

Quellen:

Links

https://docs.microsoft.com/de-de/azure/active-directory/connect/active-directory-aadconnect-get-started-custom

Bücher:

Das über 1000 Seiten dicke Buch „Microsoft Office 365 – das umfassende Handbuch“ ist Nachschlagewerk und Einführung in einem.

https://www.amazon.de/Microsoft-Office-365-Administratoren-Deutschland/dp/383624473X/ref=pd_lpo_sbs_14_t_0?_encoding=UTF8&psc=1&refRID=AXJX91RQWZAXF5MWKBNJ

 

 

OPSI installieren

,

Einleitung – Software-Verteilung

Software-Installation bzw. Verteilung auf PCs wird in vielen Netzwerken immer noch nach der „Turnschuh“-Methode gemacht. Ein Administrator läuft an den betroffenen Rechner, installiert die gewünschte Software per CD/DVD oder USB-Stick. In den besseren Fällen erfolgt die manuelle Installation remote über Teamviewer oder andere Fernwartungs-Software. – Alles in allem ist die manuelle Installation von Software bzw. Ganzen PCs oder Notebooks vor allem aus zeitlichen Gesichtspunkten nicht effizient.

Besser wäre es einen PC möglichst vollautomatisch zu installieren. Gleiches gilt natürlich für die nachträgliche Installation von Software auf Windows-PCs. Wie lange bräuchte wohl ein IT-Administrator um auf 30 Endgeräten die Aktualisierung der Java-Runtime, des Adobe Acrobat Readers oder einer anderen Software die auf praktisch jedem Endgerät vorhanden ist?

Die Lösung für diesen Zeitfresser sind Software-Tools, die die Inventarisierung und Software-Verteilung im Idealfall vollautomatisch übernehmen. Zum Glück existieren neben kommerziellen Systemen wie SCCM von Microsoft, PDQ-Deploy oder DeskCenter auch Opensource-Kandidaten aus der Gruppe der Software-Deployment-Tools. Eines davon – OPSI (kurz für Open PC Server Integration) – möchten wir heute vorstellen.

OPSI ist Opensource und wird von der deutschen Firma UIB aus Mainz entwickelt. Da OPSI zur Benutzung nicht lizenziert werden muss, kommt die Software oft bei öffentlichen Verwaltungen (Behörden, Schulen, etc.) vor. Aber auch kleinere mittelständische Firmen nutzen OPSI um PCs zu installieren und Software auszurollen.

Was kann OPSI

Der Leistungsumfang von OPSI ist durchaus ansehnlich. Mit dem Software-Deployment-Tool kann der IT-Administrator die folgenden Aufgaben erledigen:

  • Betriebssystem-Installationen (via PXE-Boot oder Boot-CD)
  • Software-Installationen – in der Regel als „Silent“ oder unattended Installation
  • De-Installationen und Updates bestehender Software
  • Betriebssystem-Updates
  • Konfigurationen von Endgeräten (bspw. Domain-Beitritt) etwa in der Registry
  • Inventarisierung von Software und Hardware

Interessant ist hierbei, daß über die Skript-Sprache von OPSI ganz normale cmd Befehle von Windows im Kontext eines Administrators ausgeführt werden können. Damit kann bspw. mit wenigen Zeilen Code etwa die Windows Firewall ein- oder ausgeschaltet werden.

Konzept der Softwareverteiling mit OPSI

OPSI besteht aus einem Linux-Server, auf dem neben mysql (bzw. mariadb) noch Samba installiert sein muss. Der eigentliche Verteilungsmechanismus erfolgt vom Server aus über einen in Java geschriebenen Client, vom den aus der IT-Administrator die Software-Pakete auf die Notebooks und PCs der Anwender verteilt. Auf den Endgeräten muss ein Agent als Dienst für OPSI installiert sein.

Wie auch bei kommerziellen Deployment-Produkten muss zunächst aus der Installations-Datei des jeweiligen Software-Herstellers ein „Paket“ zur automatischen Installation erstellt werden. Diese Paketierung erfolgt bei OPSI in einer Skript-ähnlichen Sprache.

Voraussetzungen

Um OPSI zu testen oder produktiv zu nutzen, benötigt man lediglich einen einfachen Linux-Server. Opsi funktioniert unter allen wesentlichen Linux-Distributionen (Debian, Ubuntu, RHEL, SLES, CentOS, etc.). Für Interessierte stellt der Hersteller UIB auch noch eine fertige virtuelle Maschine für VMWare oder Hyper-V zur Verfügung. Diese kann bereits mit nur einer CPU und 1 GB RAM betrieben werden.

Wer OPSI produktiv einsetzen möchte, sollte eher 2 CPUs und 2-4 GB RAM veranschlagen. Die Größe des Festplatte richtet sich je nach Kundensituation nach

  • Der Anzahl an Endgeräten (diese werden in einer mysql Datenbank gespeichert)
  • Der Summe der Software-Pakete, die später auf der lokalen Freigabe /var/lib/opsi/repository liegen.

Insbesondere die Software-Pakete benötigen Platz. Wer also ein ansehnliches Arsenal an Software hat, die automatisch verteilt werden soll, sollte hier großzügig Plattenplatz einplanen. Hier bietet sich die Installation einer eigenen Partition unter LVM für das Verzeichnis /var/lib/opsi an.

 

Für alles weiter unten Beschriebene nutzen wir ein aktuelles und frisch installiertes CentOS 7 System. Auf diesem haben wir zur Vereinfachung selinx unter /etc/sysconfig/selinux deaktiviert und den firewalld-Daemon deaktiviert. Das Centos selbst bringen wir mit „yum –y update“ und einem Reboot auf den aktuellen Stand.

Installation von OPSI

Der OPSI-Server sollte unbedingt eine statische IP-Adresse erhalten. In unserem Fall hat der Host die IP 10.42.136.89 aus unserem Testnetz.

Wichtig: Hostname und IP müssen einwandfrei im DNS aufzulösen sein. Wer auf Nummer sicher gehen möchte, der trägt in die /etc/hosts Datei die eigene IP und den Hostnamen ein:

1
10.42.136.89 opsiserver2.intern.local

 

Im Test störte dabei noch die per dhcp vergebene IPV6 Adresse. Diese deaktivieren wir wie folgt:

vi /etc/sysctl.conf => dort einfügen

1
2
3
net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

anschließend

1
sysctl -p

Vorbereiten der Installation von OPSI

Zum Betrieb braucht OPSI zwingend eine SQL-Datenbank – hier mariadb – und SAMBA für die Dateifreigaben. Daher installieren wir die Pakete Samba und mariadb:

1
yum -y install mariadb-server samba

Anschließend starten und aktivieren wir Samba, NMB und mariadb

1
2
3
4
5
6
7
8
9
10
11
systemctl start smb.service

systemctl start nmb.service

systemctl start mariadb.service

systemctl enable smb.service

systemctl enable nmb.service

systemctl enable mariadb.service

Mariadb sichern wir anschließend noch ab, setzen ein root-Password für die mysql-Datenbank und unterbrinden außerdem den Zugriff von extern per mysql. Eine ausführliche Anleitung zur Installation von mysql bzw. mariadb finden Sie bei uns im Blog.

1
mysql_secure_installation

Zur Abwärtskompatibilität sollte noch folgendes in die Datei /etc/my.cnf im Abschnit [mysqld] eingefügt werden:

1
sql_mode=NO_ENGINE_SUBSTITUTION

Danach starten wir mysqld bzw. mariadb einmal neu

1
Service mariadb restart

Last but not least installieren wir 5 kleine Helferlein, damit wir gleich OPSI richtig herunter laden und installieren können.

1
yum -y install wget mlocate net-tools yum-utils sysstat

OPSI Installation

Die eigentliche Installation von OPSI erfolgt durch das Herunterladen eines Repositories und dem anschließenden Installieren von zwei Opsi-Paketen, die ihrerseits gut zwei Dutzend Software-Pakete nach sich ziehen.

1
2
3
4
5
6
7
8
9
cd /etc/yum.repos.d/

wget https://download.opensuse.org/repositories/home:uibmz:opsi:4.1:stable/CentOS_7/home:uibmz:opsi:4.1:stable.repo

yum makecache

yum –y install opsi-server opsi-configed

yum –y install opsi-windows-support

Hinweis: Bei den obigen Befehlen werden Sie zwischendurch aufgefordert einen „GPG-Schlüssel 0xD8361F81“ zu importieren. Bestätigen Sie dies mit „j“.

OPSI für den ersten Einsatz konfigurieren

Opsi wird mit wenigen Befehlen für den Einsatz vorbereitet:

1
[root@opsiserver2&gt; opsi-setup --configure-mysql

In der sich öffnenden Maske lassen Sie die ersten beiden Zeilen so wie sie sind. Geben Sie bei “Database admin password“ das root-Passwort des mysql-Benutzers root ein. (Das sollten sie weiter oben bei mysql_secure_installation eingegeben haben).

Sofern Sie das mysql-Passwort des neuen mysql-Benutzers „opsi“ mit setzen möchten, so geben Sie ein entsprechendes neues Passwort in der letzten Zeile ein. Der mysql-Benutzer „opsi“ mit diesem Passwort wird anschließend automatisch angelegt.

Tippen Sie mit der TAB-Taste solange bis SIe auf das Feld “OK” gelangen und drücken Return/Enter.

Die eigentliche Konfiguration von OPSI wird mit dem folgenden Befehl erstellt:

1
2
3
4
5
6
7
8
9
[root@opsiserver2 ~] opsi-setup --init-current-config

(...)

Mit dem folgenden Befehl werden alle notwendigen Berechtigungen gesetzt:

[root@opsiserver2 ~] opsi-setup --set-rights

(...)

Danach werden die beiden Services “opsiconfd” sowie “opsipxeconfd” neu gestartet

1
2
3
[root@opsiserver2 ~] systemctl restart opsiconfd

[root@opsiserver2 ~] systemctl restart opsipxeconfd

Der folgende Befehlt bereitet die für OPSI notwendige Samba-Konfiguration vor.

1
opsi-setup --auto-configure-samba

Anschließend sollten die Samba-Dienste neu gestartet werden:

1
2
3
systemctl restart smb.service

systemctl restart nmb.service

Last but not least benötigt OPSI noch zwei Benutzer (pcpatch und „adminuser“) und passende Berechtigungen

1
opsi-admin -d task setPcpatchPassword

Anschließend legen wir einen neuen Benutzer namens “adminuser” an.

1
useradd -m -s /bin/bash adminuser

Wir vergeben nun Passwörter für Unix:

1
passwd adminuser

Ebenso ein Passwort für Samba für den Benutzer „adminuser“

1
smbpasswd -a adminuser

 

Zum Schluss wird die Gruppenmitgliedschaft für den Nutzer „adminuser“ eingerichtet und getestet. Dies erfolgt mit:

1
usermod -aG opsiadmin adminuser

Der getent-Befehl sollte dann so etwas ausgeben wie:

1
2
3
[root@opsi01 ~] getent group opsiadmin

opsiadmin:x:1001:opsiconfd,adminuser

Alle User, die Software packen (opsi-makepackage), installieren (opsi-package-manager) oder Konfigurationsdateien manuell bearbeiten wollen, müssen zusätzlich in der Gruppe pcpatch sein. Daher fügen wir den neuen Benutzer „adminuser“ der Gruppe pcpatch hinzu:

1
usermod -aG pcpatch adminuser

Anschließend lassen wir OPSI noch zwei Dinge anapssen:

1
2
3
opsi-setup --patch-sudoers-file

opsi-set-rights

Zu guter Letzt starten wir den OPSI-Dienst einmal neu

1
systemctl restart opsiconfd.service

Damit haben wir die eigentliche Installation von OPSI geschafft.

DHCP für OPSI einrichten

OPSI benötigt an sich keinen eigenen DHCP-Server zur reinen Software-Paketverteilung. Lediglich eine funktionierende Namensauflösung mit DNS ist erforderlich. Wer aber mit PXE (Preboot Execution Environment) ganze Betriebssystem-Installationen auf „nackten“ Endgeräten vornehmen möchte, der muss zumindest die PXE-Boot Option mit einem dhcp-Server vornehmen.

Das geht entweder mit einem bestehenden dhcp-Server in dem die next-Server Option passend eingetragen wird. Oder man installiert auf dem OPSI-Server einen dhcp-Dienst, der PCs und Notebooks das PXE-Boot-Image übermittelt, wenn Sie neu installiert werden sollen.

Die gleiche Konfiguration funktioniert übrigens auch mit einer pfsense Firewall und dort aktiviertem dhcpd-Dienst. Hier muss im Abschnitt „Network Boot“ die IP-Adresse des OPSI-Servers im Feld „Next Server“ eingegeben werden. In das Feld „Default Bios file name“ wird „linux/pxelinux.0“ eingetragen

Übrigens: Mit OPSI lassen sich nicht nur Windows 7,8 sowie Windows 10 installieren. Auch die Server-Betriebssysteme Windows 2008 R2, 2012 und Windows 2016 Server lassen sich mit OPSI von der Pike auf installieren.

OPSI Pakete herunter laden.

Um die öffentlich verfügbaren Vorlagen und fertigen Software-Pakete zu nutzen, müssen diese einmalig aus dem Internet herunter geladen werden. Das erledigen Sie mit dem folgenden Befehl „opsi-package-updater“.

Achtung: das dauert je nach Internet-Anbindung zwischen 15 und 30 Minuten – an einer dünnen DSL-Leitung auch gerne länger:

1
opsi-package-updater -v install

Eine bestehende Installation aktualisieren Sie mit:

1
opsi-package-updater -v update

 

Mit der OPSI-Konsole starten

Für den Aufruf der Konsole von OPSI benötigen Sie eine aktuelle Java Runtime (Version 1.8) und einen Browser. Um nun OPSI zu nutzen und die Verwaltungs-Oberfläche aufzurufen, öffnen Sie einen Browser und rufen die nachfolgende URL auf:

Die Java/Web-Konsole von Opsi

Die Java/Web-Konsole von Opsi

https://<servername oder IP>:4447/configed.jnlp

Die Zertifikatswarnung bestätigen Sie. Anschließend wählen Sie die oberste Option „opsi configuration editor (java web start)“ oder direkt über https://<servername oder IP>:4447/configed.jnlp . Es öffnet sich eine Java-Anwendung, die einige Sekunden braucht bis sie vollständig geladen ist. In der anschließenden Maske geben Sie den Admin-User „adminuser“ als Benutzer ein und das vorhin für den Benutzer „adminuser“ vergebene Passwort.

Die Übersicht der Verwaltungskonsole von OPSI sieht dann wie folgt aus. Hier gibt es allerdings im Moment noch nicht viel zu sehen – es fehlen noch die Laptops und PCs.

OPSI-Client Agent einrichten

OPSI Client auf dem PC installieren

OPSI Client auf dem PC installieren

Das Salz in der Suppe jeder Software-Verteilung sind neben den Software-Paketen die Clients (also PCs und Notebooks) die in den Genuss der installierten Software kommen sollen.

Damit Software-Pakete via OPSI auf den Clients automatisch installiert werden können, benötigt jeder PC einen OPSI-Client. Dieser muss einmal installiert werden und stellt anschließend die Verbindung zwischen PC und OPSI-Server her.

Es gibt dabei zwei Möglichkeiten, wie der OPSI-Client installiert werden kann:

  • Vom PC aus über die Freigabe \\<opsiserver>\opsi_depot
  • Vom OPSI-Server aus über die c$ Freigabe des Clients

Installation des Agenten über die „Opsi_depot“ Freigabe

Dazu verbinden Sie von dem PC, den Sie in Opsi einbinden möchten die OPSI-Freigabe \\<opsiserver>\opsi_depot mit einem freien Laufwerksbuchstaben auf dem PC.

Dort wechseln Sie ins Verzeichnis opsi-client-agent und führen die Datei „service_setup.cmd“ aus. Sobald das abgeschlossen ist, rebooten Sie den PC.

1
C:\Users\&gt;net use z: \\opsiserver2\opsi_depot /user:pcpatch

Geben Sie das Kennwort für „pcpatch“ ein, um eine Verbindung mit „opsiserver2“ herzustellen:

1
2
3
4
5
6
7
Der Befehl wurde erfolgreich ausgeführt.

C:\Users\&gt; z:

Z:\&gt;cd opsi-client-agent

Z:\opsi-client-agent&gt;service_setup.cmd (return)

Nach der eigentlichen Installation wird noch der Zugang zu OPSI benötigt. Dazu muss interaktiv am Client der Benutzername (bspw. pcpatch oder adminuser) sowie das dazu passende Passwort eingegeben werden.

Achtung: Direkt danach bootet der PC ohne weitere Rückfragen.

Hinweis: Das Skript „service_setup.cmd“ kann auch mit dem Parameter /u aufgerufen werden und verhält sich dann fast „silent“.

 

Nach dem Reboot sollte der PC mit seinem Clientnamen in der OPSI GUI auftauchen.

Installation des OPSI-Agenten vom Server aus

Mit dem Befehl „opsi-client-agent“ aus dem Verzeichnis „/var/lib/opsi/depot“ können Sie auch vom Server aus einen PC aufnehmen. Voraussetzung ist das Vorhandensein der Datei winexe.exe . Außerdem benötigt der PC eine offene c$ Freigabe. Außerdem brauchen sie ein Benutzerkonto auf dem PC sowie das Passwort dazu.

In unseren Tests hakte es bei der Vorgehensweise deutlich öfter als bei der Installation vom PC aus.

Der Vollständigkeit halber:

1
2
3
[root@] cd /var/lib/opsi/depot/opsi-client-agent

[root@] ./opsi-deploy-client-agent -u boehmichen -p --h

 

Mit OPSI Software automatisiert auf dem PC installieren

Mit OPSI ein Software-Paket auf den Client installieren

Mit OPSI ein Software-Paket auf den Client installieren

Auch wenn in der nackten Installation von OPSI kaum fertige Pakete für Windows vorhanden sind, kann man doch zumindest das Paket zur Hardware-Inventarisierung sowie das für die Software-Inventarisierung installieren.

Um grundsätzlich eine vorhandene Software als Paket zu installieren muss man

– Den Client links auswählen (1)

– Im Reiter „Produktkkonfiguration“ (2) die gewünschte SW auswählen.

– In der Spalte „Angefordert“ (3) der jeweiligen Zeile der Software „Setup“ auswählen (4) – das ist relativ klein geschrieben.

– Anschließend die Zeile nochmal auswählen (1) und rechts-Klick -> Speichern (2)

– Danach kann ebenfalls mit einem Rechts-Klick die „On demand“ (3) Installation starten (Alternativ: booten)

 

Sofern ein Benutzer angemeldet ist, erscheint nur wenige Sekunden danach beim Anwender ein kleines Popup. Danach startet die jeweilige Installation.

 

Sofern kein Benutzer angemeldet ist, so startet die anstehende Software-Installation oder Software-Änderung nach dem nächsten Reboot vor der ersten Anmeldung

 

Schritt 2 der Software-Zuweisung: Speicher und Starten

Schritt 2 der Software-Zuweisung: Speicher und Starten

 

Für den Administrator ist direkt nach der Installation durch ein erneutes Laden der Daten vom OPSI Server sichtbar, ob die Installation erfolgreich war. Falls ja, wird die Versions-Nummer der Software in grün in der betreffenden Zeile angezeigt.

Wer jetzt auf den Geschmack gekommen ist, der sollte nach Möglichkeit den OPSI-Agenten automatisiert per Group-Policy auf den betroffenen Rechnern einrichten.

OPSI – weitere Schritte

Die eigentliche Arbeit besteht bei OPSi wie auch allen anderen Software-Deployment Tools darin, die genutzte Software zu paketieren und testen.

Um diese anstehenden Aufgaben zu vereinfachen, werden bei OPSI zwei Software-Produkte zur Verfügung gestellt. Dies sind zum einen eine Analyse-Software für bestehende *.exe oder MSI-Installer und eine weitere mit der die eigentliche Paketierung und Veröffentlichung erfolgt.

Der OPSI Setup Detector analysiert bestehende MSI und EXE-Installer

Der OPSI Setup Detector analysiert bestehende MSI und EXE-Installer

Der „opsi Setup Detector“ ermittelt aus bestehenden Installern möglichst viele Informationen um anschließend eine möglichst automatische und Bediener-lose Installation zu ermöglichen.

Mit dem OPSI Package Builder werden die Software-Installationen paketiert.

Mit dem OPSI Package Builder werden die Software-Installationen paketiert.

Mit dem  „Opsi Package Builder“ können IT-Administratoren mit relativ wenig Aufwand die Paketierung der notwendigen Software selbst vornehmen.

Ebenso ist es natürlich möglich bestehende, fertige paketierte (freie) Software aus öffentlichen Repositories herunter zu laden und in den eigenen OPSI Server zu integrieren.

An dieser Stelle sei der Hinweis auf das öffentliche Wiki bzw. das Forum von OPSI für die weitere Lektüre erlaubt.

Mehr Infos zu Opsi

Opsi an sich ist sehr gut dokumentiert. Allein die Doku zur Erst-Installation umfasst fast 100 Seiten. Die Dokumentation zur Paketierung ist ebenfalls mehr als ausführlich.

Darüber hinaus finden sich bei Youtube (https://www.youtube.com/watch?v=KW5J3Ymw9NQ&feature=youtu.be ) einige kurze Videos, die interessierten IT-Entscheidern den ersten Überblick erleichtern:

Wer sich intensiver mit OPSI auseinander setzen möchte, dem rate ich zuerst zur Lektüre des „OPSI Getting Started“ PDF . Dort wird nicht nur die Installation von OPSI beschrieben. Im zweiten Teil wird auch exemplarisch beschrieben, wie eine Software-Paketierung abläuft und welche Schritte man als IT-Administrator durchführen muss um eigene bzw. lizenzierte Software zu paketieren.

Im eigentlichen Handbuch zu OPSI 4.1 wird auf knapp 400 Seiten sehr ausführlich erläutert, wie die Verwaltung der PCs sowie Software mit OPSI funktioniert. Die OPSI-Skript-Sprache zur Paketierung selbst ist ebenfalls mit einem separaten über 200 Seiten langen PDF ausführlich dokumentiert.

Fazit zu Opsi

OPSI macht als Software-Verteilungs-System einen sehr robusten und mittlerweile auch ausgereiften Eindruck. Geübte Admins mit Basis-Linux-Kenntnissen sollten in wenigen Stunden in der Lage sein, ein funktionierendes Test-System zu installieren und zu nutzen. Wie hoch der tatsächliche Nutzen im Tagesgeschäft ist, hängt natürlich von Fall zu Fall von der Diversität der eingesetzten Software ab.

IT-Admins, die Netze mit mehr als 30 PCs verwalten, sollten auf jeden Fall OPSI einmal testen. Es lohnt sich.

Was ist Ethernet?

,
Ethernet

Den Begriff Ethernet hat der eine oder andere vielleicht schon einmal gehört. Die meisten wissen allerdings nicht, was sich dahinter verbirgt. Dabei ist es durchaus keine neue Erfindung und gewinnt zunehmend an Bedeutung. Was sich hinter dem Begriff verbirgt und warum es so bedeutend ist, verraten wir hier.

Was ist Ethernet?

Ethernet

Mit dem Ethernet können Daten übertragen werden

Durch ein Ethernet können Daten in einem geschlossenen Netzwerk von einem Gerät zum anderen transportiert werden. Notwendig sind dafür ethernetfähige Geräte und eine Verbindung zwischen diesen. Auf diese Weise lassen sich beispielsweise Fotos vom Computer an einen Smart-TV senden oder Dokumente von einem PC an einen Drucker, eine externe Festplatte oder einen anderen Computer.

Notwendig für diese Übertragung und Verbindung ist ein Ethernetkabel – dieses ist besser unter dem Begriff LAN-Kabel bekannt. Das Kabel ist jeweils mit einem Gerät und mit dem Router verbunden. Der Router dient als Schnittstelle und verbindet die Geräte zu einem geschlossenen Netzwerk. Als Heimnetzwerk ist diese Form bereits relativ weit verbreitet. Deutlich bekannter ist es jedoch in Büros beziehungsweise in Unternehmen.

Wie funktioniert das Ethernet?

Ein Ethernet besteht im Grunde aus zwei Komponentengruppen: dem „Data Communication Equipment“ (DCE) und dem „Data Terminal Equipment“ (DTE).

Zu dem Data Communication Equipment gehören alle Geräte, die Daten empfangen und anschließend weiterleiten können. Also zum Beispiel Router, Hub und Switch. Sie dienen als Schnittstellen und als Verbindung zwischen den einzelnen Elementen des Data Terminal Equipment. Bei diesem handelt es sich um nichts anderes als die Endgeräte, die über das Ethernet die Daten aus dem DCE empfangen und ihrerseits über das DCE an andere Endgeräte versenden können.

Ethernet-Kabel

Vor allem für große Unternehmen ist dies interessant

Damit ein Ethernet funktionieren und die Daten innerhalb eines geschlossenen Netzwerks versandt werden können, muss das Data Communication Equipment mit dem Data Terminal Equipment über ein entsprechendes Kabel verbunden sein. Die korrekte Bezeichnung für dieses lautet Ethernet-Kabel. Die meisten kennen es jedoch als LAN-Kabel – wobei Local Area Network für „Lokales Umgebungsnetzwerk“ beziehungsweise „Lokales Netzwerk“ steht.

Bei den anfänglichen Ethernets handelte es sich hierbei um ein dickes Koaxialkabel. Daher wurde die Form zunächst als „ThickEthernet“ (dickes Ethernet) bezeichnet. Mit der Zeit wurden die Kabel dünner und so erhielt die Form eine neue Bezeichnung: „Thin Ethernet“ (dünnes Ethernet). Mittlerweile haben sich allerdings Telefonkabel aus Kupfer als Transportmedium für die Daten zwischen Verteiler- und Endgeräten bewährt. Für größere Entfernungen werden hingegen Kabel aus Glasfaser verwendet.

Von der Direktverbindung zum Hub

Während der Anfänge des Ethernets waren die Rechner direkt über einen Kabelstrang miteinander verbunden. Dieser durchgängige Kabelstrang machte es einerseits schwierig, Defekte aufzuspüren. Andererseits wurden gesendete Daten an alle verbundenen Geräte verteilt. Das konnte wiederum einen Datenstau nach sich ziehen und erschwerte zudem die Zugangsbeschränkung auf Daten innerhalb des Netzwerks.

Vorteile brachte die Einführung von Hubs. Die Geräte im Ethernet waren nicht mehr direkt untereinander, sondern über eine Schnittstelle miteinander verbunden. Hierdurch lassen sich Defekte entlang der Kabel einfacher aufspüren. Zudem können Daten gezielt von einem Sender zu einem Empfänger transportiert werden – ohne dem gesamten Netzwerk zur Verfügung zu stehen. Hierdurch wird die Sicherung beziehungsweise Zugangsbeschränkung leichter und weniger aufwendig.

Durch die gerichtete Datenübertragung nimmt zudem das Risiko für Datenstaus innerhalb des lokalen Netzwerks ab.

Die Geschichte des Ethernets

Als Erfinder gilt Robert Melancton Metcalfe. Entwickelt wurde es über mehrere Jahre hinweg an dem Xerox PaloAlto Research Center. Metcalfe legte einen wichtigen Grundstein in einem Memo aus dem Jahre 1973 – hier erwähnte er das Ethernet erstmals. Funktion und Aufbau waren jedoch bisher nur als Skizze vorhanden. Die Idee geht auf das ALOHAnet zurück. Ein funkbasiertes Netzwerkprotokoll aus Hawaii.

Bis zum ersten funktionsfähigen Ethernet und seiner Verbreitung vergingen jedoch mehrere Jahre. Erst Ende der 1970er und Anfang der 1980er Jahre wurden vermehrte Bemühungen unternommen, um das Ethernet als Standard zu integrieren.

Verbesserungen folgten durch:

Die richtigen Kabel sorgen für eine sichere Verbindung

Hubs: Die bereits erwähnten Hubs ließen kürzere und separierte Verbindungen zwischen den Geräten zu. Die Datenübertragung kann durch sie gezielter erfolgen. Zudem lassen sich Fehler einfacher finden und beheben.

Switching: Das klassische Ethernet erlaubt mehreren Geräten ein Kabel gemeinsam zu nutzen. Der Erfolg dieser Methode ist erfahrungsgemäß gut, solange das Verkehrsaufkommen – also die Menge der transportierten Daten – vergleichsweise gering ist. Anderenfalls können sich bei dieser Technik Staus bilden. Diese werden auch als Kollisionen bezeichnet. Switching speichert Datenpakete und reduziert damit das Risiko dieser Kollisionen.

Ethernet flow control: Die – zu Deutsch – „Flusskontrolle“ verhindert Kollisionen bei der Datenübertragung durch ein gezieltes Pausieren des Transports. Zu vergleichen ist das System mit einer Ampelkreuzung. Damit alle möglichst sicher und zügig passieren können, wird der Verkehrsfluss kontrolliert. Allerdings ist diese Technik heute nicht mehr weit verbreitet. Optional kann es jedoch noch immer Anwendung finden.

Einführung von Kupfer- und Glasfaserkabeln: Die Einführung von dünneren Kupfer- und Glasfaserkabeln machte die Technologie zum einen verlässlicher. Zum anderen können über spezielle Kupferkabel nicht nur Daten, sondern auch Energie übertragen werden. Die Geräte im Ethernet können darüber also ebenfalls mit Strom versorgt werden. Glasfaserkabel haben vor allem den Vorteil, dass sie einen schnellen und weiten Datentransport ermöglichen. Sie werden daher vorzugsweise in größeren Unternehmen eingesetzt, um weitere Entfernungen zu überbrücken.

Vorteile des Ethernets

Vor allem private Nutzer sind mit dem Ethernet meist wenig vertraut und wundern sich vielleicht, warum dieses nicht schlicht durch ein WLAN ersetzt wird. Immerhin ist dieses kabellos und sehr einfach zu installieren. Das Ethernet hat auch gegenüber dem WLAN (Wireless Local Area Network) aber einige Vorteile zu bieten.

Darunter:

  • Unabhängigkeit: Ob die Internet- und WLAN-Verbindung gerade funktioniert oder nicht, die Technologie erlaubt eine fortlaufende Datenübertragung. Hierdurch zeigt es sich insgesamt verlässlicher und ist vor allem in Unternehmen eine gute Wahl.
  • Sicherheit: da das Ethernet unabhängig von Internet und WLAN funktioniert und auf die Verbindung über Kabel angewiesen ist, kann es sicherer gestaltet werden. Gerade bei sensiblen Inhalten innerhalb von Unternehmen fällt der Schutz leichter.
  • Kostengünstig: Die Implementierung eines Ethernets ist im Vergleich zu anderen Systemen ausgesprochen kostengünstig.
  • Weiterentwicklung: Nicht zuletzt aufgrund seiner zahlreichen Vorteile und weiten Verbreitung wird das Ethernet fortlaufend weiterentwickelt. Auch das ist wiederum ein Vorzug.

Nachteile des Ethernets

Ein potentieller Nachteil des Ethernets ist, dass es trotz der Steuerung des Datenaustauschs noch immer zu Kollisionen kommen kann. Dadurch kann der Datentransfer stocken oder eingeschränkt sein.

Ceph deep scrub error beheben

, ,

Ceph deep scrub error beheben

Wer Ceph produktiv betreibt, wird im Laufe der Zeit immer mal wieder einen „unhealthy“ Zustand des Clusters erleben. Solange es sich dabei um eine noch harmlose „Ceph Warning“ geht, ist der gesunde Zustand des Clusters oft schnell wieder erreicht. Oft sogar ganz von alleine ohne ein Zutun des Linux-Administrators.

Doch was tun wenn „plötzlich“ ein echter Fehler auftritt? Mit „ceph health detail“ erfahren wir auf einen Blick, was das Cluster macht. In unserem konkreten Fall war Ceph ohne Vorwarnung auf unserem frisch installierten Proxmox Cluster in einen „Health Error“ gewechselt.

root@pve02:/var/log/ceph# ceph health detail
HEALTH_ERR 129254/2436848 objects misplaced (5.304%); 1 scrub errors; Possible data damage: 1 pg inconsistent
OBJECT_MISPLACED 129254/2436848 objects misplaced (5.304%)
OSD_SCRUB_ERRORS 1 scrub errors
PG_DAMAGED Possible data damage: 1 pg inconsistent
pg 4.41 is active+remapped+inconsistent+backfill_wait, acting [0,10]

In Folge einer neu eingebauten Platte ergaben sich eine überschaubare Menge (5,3%) von Placement Groups (pg), die nun nicht mehr richtig verteilt waren. In einer normalen Ceph Umgebung wäre das Thema in wenigen Stunden von alleine erledigt gewesen.

Im konkreten Fall haben wir aber eine Placement Group, die ein echtes Problem hat: PG 4.41.

Diese PG liegt sowohl auf OSD.0 als auch OSD.10 – zu erkennen an [0,10] -> hier werden die OSD Nummern aufgelistet.

Ceph deep scrub error analysieren

Um das Problem genauer zu analysieren loggen wir uns also per ssh auf den jeweiligen ceph hosts an auf  denen die osds liegen bzw. die OSD-Prozesse laufen. Pro Ceph-OSD liegt unter /var/log/ceph ein einzelnes Log-File. Wir schauen uns nun genau das Logfile des OSD-Prozesses an, der von Ceph selbst in der obigen Meldung ausgegeben wird.

Pve02# cd /var/log/ceph
(host mit osd.10)
cat ceph-osd.0.log | grep -i 4.41
-> viel output -> suche nach „error“ oder „fail“
=> kein Ergebnis

Da der erste Host keinen Fehler anzeigt, muss also die andere potentielle OSD, auf der die Placement Group liegt, ein Problem haben. Wie loggen uns also auf dem Host ein  auf dem die OSD.0 liegt

root@pve01# cd /var/log/ceph
root@pve01:/var/log/ceph# cat ceph-osd.10.log | grep -i 4.41
(…)
2018-06-21 20:05:48.793010 7fc78b0f3700  0 log_channel(cluster) log [DBG] : 4.41 deep-scrub starts
2018-06-21 20:06:23.380373 7fc78b0f3700 -1 log_channel(cluster) log [ERR] : 4.41 shard 0: soid 4:823a7476:::rbd_data.2862f74b0dc51.0000000000006060:head candidate had a read error <== Hier beginnt das Problem
2018-06-21 20:07:04.032674 7fc78b0f3700 -1 log_channel(cluster) log [ERR] : 4.41 deep-scrub 0 missing, 1 inconsistent objects
2018-06-21 20:07:04.032681 7fc78b0f3700 -1 log_channel(cluster) log [ERR] : 4.41 deep-scrub 1 errors
2018-06-21 20:18:38.424228 7fc7830e3700  4 rocksdb: (Original Log Time 2018/06/21-20:18:38.424147) [/home/builder/source/ceph-12.2.5/src/rocksdb/db/memtable_list.cc:383] [default] Level-0 commit table #451: memtable #1 done

Dem Logfile nach liegt also auf der OSD.10 vermutlich das Problem.

 

Lösungsansatz zur Behebung des Deep Scrub Error

Wir entfernen temporär die OSD.10 aus dem Cluster und „zwingen“ Ceph die Placement Groups neu zu verteilen. Die Lösung dabei ist höchst einfach:

Befehl: ceph osd out osd.<OSD_ID>

 

root@pve01:/var/log/ceph# ceph osd out osd.10
root@pve01:/var/log/ceph# ceph osd df
ID CLASS WEIGHT  REWEIGHT SIZE   USE   AVAIL  %USE  VAR  PGS
8   hdd 1.81929  1.00000  1862G  485G  1377G 26.05 0.80  51
9   hdd 1.81929  1.00000  1862G  677G  1185G 36.38 1.12  72
10   hdd 1.63730        0      0     0      0     0    0  52
11   hdd 1.63730  1.00000  1676G  534G  1142G 31.86 0.98  57
12   hdd 1.81929  1.00000  1862G  479G  1383G 25.76 0.79  51

 

Nun ist die OSD 10 ist raus und 52 Placement Groups müssen verschoben bzw. neu auf die restlichen Platten verteilt werden. Mit „ceph –w“ können wir den laufenden Status des Ceph Clusters permanent überwachen. Dort kann man nach einigen Minuten auch anhand der sich verkleinernden Prozentzahl hochrechnen, wie lange der Umverteilungs-Vorgang noch dauern wird.

Weitere Infos zum Deep Scrub Error

 

IPMI Einführung

, ,

IPMI  Einführung

IPMI (Intelligent Plattform Management Interface ) bietet die Möglichkeit per Web-GUI auf einen Server zuzugreifen, selbst wenn der Server ausgeschaltet ist.

Solange die IPMI-Netzwerkschnittstelle mit dem TCP-IP-Netzwerk verbunden ist und der Server im Standby am Stromnetz hängt, kann ein Server via IPMI fern gesteuert werden. Damit ist es etwa möglich, eine komplette Neu-Installation durchzuführen. Oft wird IPMI aber auch dazu genutzt, um einen Soft-Reset eines „hängenden“ Betriebssystems durchzuführen.

Die betreuenden Techniker ersparen sich so die Fahrt ins Rechenzentrum.

IPMI ist bei SuperMicro Mainboards in der Regel standardmäßig installiert. Bei ASUS Mainboards kann es mit Hilfe eines Chips dazu konfiguriert werden. Bei ASUS heißt das IPMI „BMC“.

IPMI einstellen / konfigurieren

Die Netzwerk-Einstellungen – konkret die IP-Adresse für IPMI– werden in der Regel im Bios des Rechners vorgenommen. Hier sind folgende Einstellungen vorzunehmen:

  • IP-Adresse
  • Netzwerkmaske
  • Gateway (Router)
  • DNS-Server

Das IPMI-Interface sollte nach Möglichkeit eine IP-Adresse im OOB (Out of band) Netzwerk des Rechenzentrums erhalten. IT-Administratoren sind gut beraten, dieses OOB-Netzwerk gut gegen äußere Angriffe abzusichern. Die IPMI-IP-Adresse sollte nach Möglichkeit nicht direkt aus dem Internet erreichbar sein.

Zugriff auf IPMI

Der Zugriff auf das Management von IPMI erfolgt über eine Web-Oberfläche. Unter der Adresse https://<IPMI-IP-Adresse/ kann der Server nach der Erst-Konfiguration erreicht werden.

Standard-Benutzer und Passwort

Der standardmäßig eingerichtete Zugang für IPMI lautet:

Username: admin

Passwort: admin

Das sollte man unbedingt nach der Inbetriebnahme ändern.

Wichtig: Die Änderung kann nicht im Bios sondern nur über die Weboberfläche durchgeführt werden.

Neu-Installation des Servers über IPMI

Prinzipiell kann unter IPMI ein CD oder DVD Medium von bis zu 4.7 GB Größe über das Netz gemounted werden und dem mit IPMI verwalteten Server als Boot-Medium zur Verfügung gestellt werden.

Auf diese Weise ist es möglich Betriebssystem-Installationen (Linux, Windows, VMWare) über das Netzwerk auszuführen. Ebenso ist es so möglich Treiber-Updates von eingebauter Hardware vorzunehmen.

IPMI zurücksetzen

Nicht selten wir das Passwort bei IPMI schlecht oder gar nicht gesichert. Was also tun, wenn „admin/admin“ nicht geht und auch das aktuelle Passwort für IPMI nicht (mehr) bekannt ist?

Für diesen Fall hat SuperMicro das kleine Tool IPMICFG erstellt.

Mit diesem kann man unter Linux und VMWare (was letztlich auch ein Linux ist) das Passwort kurz und schmerzlos neu setzen oder auch die Konfig des IPMI ändern.

 

Laden Sie sich dazu unter ftp://ftp.supermicro.com/utility/IPMICFG das dort gespeicherte Zip-File herunter und speichern es auf ihrem PC ab. Entpacken Sie die Zip-Datei mit IPMICFG in einen Unterordner. Kopieren Sie alle Dateien im passenden Unterverzeichnis auf den Linux bzw. VMWare Host.

Die Bits+Bytes für ein 64-bit Linux finden Sie unter „IPMICFG_1.27.1_build.170901\Linux\64bit“.

 

Bsp.: scp /<pfad>/IPMICFG_1.27.1_build.170901/Linux/64bit/* root@<esxi-host>:/tmp/

 

Verbinden Sie sich nun per ssh auf den VMWare oder Linux-Host und wechseln Sie ins Verzeichnis, in das Sie IPMICFG kopiert haben (hier /tmp). Zunächst müssen Sie die Datei „IPMICFG-Linux.x86_64“ ausführbar machen ( chmod +x)

 

Host# cd /tmp/
Host# chmod +x IPMICFG-Linux.x86_64

Hinweis: Mit dem Zusatz „—help“ erhalten Sie eine Übersicht aller Optionen und Befehlsteile von IPMICFG.

./IPMICFG-Linux.x86_64 –help

 

Konkret möchten wir zunächst wissen, welche Benutzer bereits in IPMI angelegt sind:

./IPMICFG-Linux.x86_64 -user list
[root@esxi01:/tmp/ipmicfg] ./IPMICFG-Linux.x86_64 -user list
Maximum number of Users          : 10
Count of currently enabled Users : 1

User ID | User Name        | Privilege Level | Enable

——- | ———–      | ————— | ——

2 | admin            | Administrator   | Yes

Wir sehen, dass der Benutzer „admin“ angelegt ist und die User-ID 2 aufweist. Die User-ID benötigen wir gleich um das Passwort zurück zu setzen.

Mit dem Befehl „-user setpasswd <user-id> <neues Passwort> können Sie nun das Passwort des Users „admin“ neu setzen.

./IPMICFG-Linux.x86_64 -user setpwd 2 <neues Passwort>

IPMI unter Windows

Die gerade beschriebene Vorgehensweise klappt übrigens auch unter Windows. Im Verzeichnis „\IPMICFG_1.27.1_build.170901\Windows\64bit“ finden Sie etwa die 64-Bit Variante der Software für einen Windows-Rechner bzw. Server. Ebenso ist unter „IPMICFG_1.27.1_build.170901\Windows\32bit“ eine 32-bit Version vorhanden.

Zur Benutzung von IPMICFG unter Windows kopieren Sie das entsprechende Verzeichnis auf ihren Windows-Rechner (auf dem IPMI installiert ist) und starten mit „cmd“ ein Kommandozeilen-Fenster.

Weitere Befehle von IPMI

Mit IPMICFG können Sie noch weit mehr als das Passwort zurücksetzen.

Factory default / Standard-Einstellungen setzen

Die Standard-Einstellungen für Netzwerk und Benutzer stellen Sie mit folgendem Befehl wieder her:

[root@esxi:/tmp/ipmicfg] ./IPMICFG-Linux.x86_64 -fd

IP-Adresse abfagen

[root@esxi:/tmp/ipmicfg] ./IPMICFG-Linux.x86_64 -m

Zusammenfassung / Übersicht von IPMI

[root@esxi:/tmp/ipmicfg] ./IPMICFG-Linux.x86_64 -summary
Summary
——————————————-
IP Address             : 10.10.10.20
BMC MAC Address        : 14:EE:A9:D7:B9:4E
Firmware Revision      : 1.07

 

Weiter Informationen und Downloads

Download IPMICFG

ftp://ftp.supermicro.com/utility/IPMICFG/

 

PDF-Handbuch zu IPMI-Konfig:

ftp://ftp.supermicro.com/utility/IPMICFG/Supermicro_Utility_User_Guide_IPMICFG.pdf