Workshop - Bitpipe
Contents
1. klein m ero AV ES N f r bis zu E4 P VD oder Blu Ray e d Ielal A ab 699 i Mehr Infos unter www Linux Onlineshop de und www TUXEDOComputers com2. Display FE Hay Day e Adventure Town Bild 1 ber die Schnelleinstellungen finden Sie Strom fresser und die restliche Akku Laufzeit am schnellsten www it administrator de Funktionen bieten zum Beispiel verlorene Ger te auf den Werkszustand zur ckset zen Das so gel schte Ger t l sst sich erst dann wieder verwenden wenn sich der urspr ngliche Anwender mit seinem Goo gle Konto anmeldet Sperrbildschirm mit mehr Benachrichtigungen Benachrichtigungen von verschiedenen Apps sind in Android 5 direkt auf dem Sperrbildschirm zu sehen Diese Liste kann das Betriebssystem nach Priorit ten sortieren Insgesamt lassen sich die Be nachrichtigungen besser anpassen und zei gen mehr Informationen Durch das dop pelte Antippen einer Benachrichtigung ffnet sich die dazugeh rige App auto matisch Auf diesem Weg lassen sich zum Beispiel E Mails oder der Kalender schnell ffnen Sollen bestimmte Nachrichten Arten zum Beispiel Firmen E Mails nicht auf dem Sperrbildschirm also f r alle les bar angezeigt werden kann der Nutzer dies in den Settings so festlegen Das Konzept Benachrichtigungen auf dem Sperrbildschirm anzuzeigen hat aber auch Nachteile Der Sperrbildschirm ist fest f r Benachrichtigungen reserviert Es ist also kein Platz mehr vorhanden f r das Entsperr Feld mit dem sich das Smartphone durch eine bestimmte Geste entsperren l sst Selbst wenn keine Be nachrichtigungen vorh
3. ExPERIeach Mein neues Cisco IP Phone beherrsche ich perfekt dank ExperTeach UC trainer Sekrelariatr EiniAus Sie sind nun wieder in der CheiiGekrstariai Funktion a erhalten d Anrufe Ihres Chats auf Ihrem Apparai e Multimediale Lernsoftware e F r alle Cisco IP Phones e Jabber WebEx und weitere Applikationen e In elf Sprachen verf gbar e CI CD Anpassung nach Wunsch In Ihr Intranet integrierbar Hier finden Sie eine Demo www experteach de uctrainer Sprechen Sie uns bitte an Pe Sa gerne erstellen wir Ihnen Partner ein Angebot f r Ihr UC Projekt ExperTeach GmbH ITK Training amp Consulting Waldstra e 94 63128 Dietzenbach AIImIln cisco info experteach de Telefon 06074 4868 0 www experteach de SCHWERPUNKT I Exchange 2013 Monitoring DA Monitoring von Exchange 2013 mit Bordmitteln Hintergrundbewegung M anaged Availability MA ist eine neue Funktion die im Hintergrund den Status von Exchange und seinen Kom ponenten permanent pr ft und sich bei Problemen nicht nur meldet sondern gleich eine Fehlerbehebung einleitet Dieses neue Werkzeug ist vor allem Office 365 und der Vielzahl an Servern geschuldet die Micro soft selbst im Blick behalten muss Eine au tomatische Fehlerbehebung auch auf lo kalen Exchange Systemen ist ein wichtiger Schritt um administrative Aufw nde in den Griff zu bekommen und gr ere Umge bungen effizient zu betreuen Der Ad
4. PRAXIS I Tipps Tricks amp Tools mit folgendem Kommando ob IPMI Module des Kernels geladen sind lsmod grep i ipmi Falls hier Module geladen sind und Sie diese nicht ben tigen entfernen Sie die se F hren Sie dann noch einen Neustart Ihres IPMI Microcontrollers durch Nun sollte die Fehlermeldung nicht mehr auftauchen In THZMAS Viele weitere Tipps und Tricks KRENN zum Server Management Vir fualisierung und Linux finden Sie im Tho mas Krenn Wiki unter www thomas krenn com de wiki Hauptseite Hardware Wir sind eine private Multime dia Hochschule mit sechs Standorten in Deutschland und auf Gra fik Web und Kommunikationsdesign so wie Marketing und Kommunikation im All gemeinen spezialisiert Da unsere Studenten das Studium finanziell unterst tzen m ssen erwarten sie den h chsten technischen Standard den eine Universit t bieten kann und es ist unser Anspruch diese hohen tech nischen Standards zu erf llen Unsere IT In frastruktur ist mittlerweile etwas veraltet und wir wollen an unseren Standorten eine neue IT Infrastruktur implementieren die die Be reiche Datenspeicher schnelle Netzwerk Vernetzung sowie performante WLAN An bindung bietet Was raten Sie uns Als moderne und hochgradig technische Bildungsst tte sollten Sie auf die neueste Technik und auf eine Kombination von 10 GBit Ethernet Storage 1OGbE 10 GbE PoE Switches zusammen mit klei neren Gigabit Switches und moderne
5. Unser Standard liegt aktuell bei 60 Se kunden Was sich noch etwas schwieriger gestaltet ist das Monitoring von Rech nern die nicht an eine Dom ne angebun den sind Gibt es dadurch Bereiche die sich Ihrem Monitoring g nz lich entziehen Mir fallen keine ein Soweit ich das ab sch tzen kann haben wir dank unseres Monitorings alles im Griff Wie denken Sie arbeitet ein Administrator in 10 Jahren Ich gehe davon aus dass wir Administratoren von den unterschiedlichen Orten aus wei testgehend remote arbeiten werden 1 Das Interview f hrte Petra Adamik M chten Sie auch einmal das letzte Wort im IT Administrator haben Dann melden Sie sich einfach unter redaktion it administrator de Betreff Das letzte Wort Wir freuen uns auf Sie Was haben Sie zu sagen M rz 2015 105 GE VORSCHAU I April 15 Die Ausgabe 04 15 erscheint am 1 April 2015 Schwerpunktthema Netzwerksicherheit Das lesen Sie in den n chsten Ausgaben des tP Administrator In der Mai Ausgabe des IT Administrator dreht sich alles rund um den Schwerpunkt Servenvirtualisierung amp Cloud Im Praxisteil werfen wir einen Blick auf die zahlreichen Neuerungen in vSphere 6 und gehen darauf ein wie Sie 64 Bit Server mit VirtualBox virtualisieren Au erdem lesen Sie was Sie beim Praxiseinsatz von OpenStack beachten sollten Im Juni besch ftigt sich IT Administrator dann mit dem Thema Backup amp Recovery IMPRESSUM Redaktion John
6. Beim Einsatz der Enterprise Edition mit Active Data Guard und Logical Standby stehen gleich mehrere L sungen f r eine verlustfreie Replikation bei gleichzeitiger Nutzung des Replikats zur Verf gung Die Herausforderung bei der Standard Edition ist jedoch ungleich h her L sungen wie Dbvisit Standby die auf einem Redolog Shipping basieren erlauben zwar eine ele gante und schnell zu realisierende Hoch verf gbarkeit allerdings mit dem Nachteil dass bei einem Fehler ein Datenverlust von mehreren Minuten in der Praxis etwa 15 Minuten in Kauf genommen werden muss und sich das Replikat w hrend des norma len Betriebs nicht nutzen l sst Daher lautet die wohl wichtigste Frage bei der Analyse einer Hochverf gbarkeitsum gebung mit der Standard Edition Wie viel Datenverlust ist tolerierbar Ist die Anzahl der Transaktionen eher gering kommt eventuell eine Standby L sung in Frage bei der die Redolog Dateien alle f nf Mi nuten bertragen werden Aber Vorsicht Bei Batchl ufen oder anderen gr eren www it administrator de Aktionen kann dies schnell zu einem Eng pass werden Das bedeutet wenn der ma ximale Datenverlust unterhalb von 15 Mi nuten liegen muss sollten Sie von einer physischen Replikation absehen Hier spielt die logische Replikation ihre St rken aus denn sie kann den Datenverlust bei einem Failover auf ein Minimum reduzieren Bei der logischen Replikation erfolgt im Gegensatz zum Phys
7. Di eser Bericht basiert auf 218 991 Sitzungen 48 03 der Sitzung en Weit ere Informationen Senti roswiky IP Protokalle rierungsan andara Top TCF Forns Top Intemet access Top SSH Serer lop leinet sener Q Emeiert arcadir packets 10 251 7 55 912 765 57 0 10 3 1 199 574 251 16 02 Bild 2 ber die Personalisierung in GA lassen sich tiefe Einblicke in die NetFlow Daten hier am Beispiel der berwachten Server erstellen namen unkenntlich macht Zuletzt starten Sie den NetFlow Collector als Daemon nfcapd D w 5 T all p 2055 1 tmp I any P var run nfcapd pid Xx usr bin flow ga sh d f Gesammelte Daten auswerten Sobald die ersten Eintr ge bei GA ein treffen wird die Webseite im Bereich Echtzeit farbenfroher und interessanter Die Auflistung der IP Adressen ist hilfreich f r eine schnelle Top 10 bersicht Die Daten f r professionelle Berichte die dem Administrator zus tzliche Einsicht in sein Netzwerk bieten stellt Google erst nach 24 Stunden bereit Nach einigen Tagen sind auch Werte in den Bereichen Verhalten Ergebnisse vorhanden Hier l sst sich nach IP Adres sen Iraff c oder Zugriffen innerhalb von beliebigen Zeitintervallen zum Beispiel letzter Monat sortieren Dabei entspricht die Ereigniskategorie der Ziel IP Adresse und das Ereignislabel ist die Quelladresse Der Hostname wird als Ereignisaktion ge f hrt Der Bereich Personalisier
8. Gesundheitszustand von SSD und RAID berwachen Flash Zellen einer SSD verkraften nur eine begrenzte Anzahl an Schreibzyklen Die endliche Lebensdauer ist auf den internen Aufbau der Speicherzellen zur ckzuf h ren die bei Schreibzugriffen sogenannten Program Erase Zyklen P E unterliegen Das Floating Gate der Zellen das zum Be 42 M rz 2015 schreiben der Zelle verwendet wird nutzt sich mit jedem Zyklus ab berschreitet die Abnutzung einer Zelle einen gewissen Schwellenwert markiert der Controller der SSD diese als Bad Block und ersetzt ihn durch einen aus der Spare Area Zu mindest zwei Indikatoren leiten sich aus dieser Funktionsweise direkt ab 1 Die Abnutzung der Flash Zellen der Media Wearout Indicator 2 Die Anzahl an brigen Spare Blocks auch Available Reserved Space genannt Im optimalen Fall gibt der Hersteller diese beiden Werte ber SMART Attribute an den Nutzer weiter Zur einwandfreien berwachung der Attribute ist eine de tailierte SMART Spezifikation der SSD unerl sslich Denn die Interpretation der Werte ist nicht standardisiert und von Her steller zu Hersteller unterschiedlich Als Beispiel dienen hier Intel und Samsung Deren Attribute unterscheiden sich zwar in ID und Namen der verwendete Wert ist aber zumindest gleich Mit dem Kom mandozeilen Werkzeug smartctl rufen Sie f r eine SSD SMART Attribute ab mit megaraid und sg Devices auch hinter Ava go MegaRAID und Adaptec Controller
9. Einige Linux Distributionen bieten aus diesem Grund spezielle Betriebssystem Images an die auf speziell diesen Einsatz zweck zugeschnitten sind Neben dem heute aktuellen Init System systemd und einigen grundlegenden Kernel Kompo nenten wie beispielsweise SELinux und CGroups enthalten diese nur einen sehr kleinen Software Stack Dazu geh rt na t rlich Docker als Container Engine so wie oftmals Kubernetes 1 von Google als Management und Orchestrierungs Tool f r die Container Ein solches Betriebssystem Image l sst sich zumeist in unterschiedlichen Um gebungen einsetzen So existieren Images f r den Einsatz auf klassischen Bare Metal Systemen aber nat rlich auch f r den Betrieb in ffentlichen und privaten Cloud Umgebungen Dazu z hlen bei spielsweise Google Cloud Engine GCE Management von Thorsten Scherf Wer im Virtualisierungsmarkt auf das Container Schiff aufgesprungen ist hat bald Bedarf nach performanten L sungen zum Management seiner Docker Landschaft Diverse Hersteller bieten hierf r spezielle Betriebssystem Images mit entsprechenden Management Tools an Red Hat setzt in seinem neuen Container Betriebssystem Atomic auf Kubernetes vom Branchenriesen Google Red Hat OpenShift OpenStack Amazon Web Services oder andere Virtualisie rungsumgebungen Wir verwenden in diesem Artikel beispielsweise eine einfa che KVM Installation In dieser Umgebung kommt ein Image aus dem Project
10. Messwerten Im Rahmen des Workshops wird mittels OMD eine vollst ndige Monitoring Um gebung installiert die nicht nur Check _MK sondern auch viele weitere n tz liche Addons enth lt Anschlie end rich ten wir Schritt f r Schritt ein Monitoring von Netzwerkger ten Linux und Wind owsservern Netzwerkdiensten und An wendungen ein Dabei erfahren Sie wie Check_MK funktioniert zum Beispiel Acknowledgements und Downtimes wie man Benachrichtigungen konfiguriert Hosts und Services Benutzern zuweist und vieles mehr Unser Training wendet sich an Linux Windows und Unix Administratoren die mit Open Source Software ihre Um gebung berwachen m chten Die Teil nehmer bekommen dabei einen Einblick in die Installation und Konfiguration von Check_MK Zu jedem der beiden Trainingstermine stehen 25 Pl tze zur Mathias Kettner ist Gr nder der gleichnami ag gen Firma die Schulungen und Beratung rund um Linux und Open Source anbietet Ein Schwerpunkt ist dabei Monitoring f r das die Firma die L sung Check_MK entwi ckelt hat die als Open Source Software un ter der GPl Lizenz zur Verf gung steht Fachliche Leitung IT Administrator Training Open Source Monitoring Zus tzlich zu den beliebten Windows Seminaren bietet IT Administrator auch dieses Jahr eine Reihe von Trainings zu Open Source Monitoring mit Check_MK an An zwei Terminen finden die Seminare in M nchen und Dietzenbach statt Ve
11. aber die Entwickler haben mit einem Ready to Complete Resource type derartigen Vorgehen wohl gerechnet Filter J nes NET 1 1 NET 2 0 MET 3 0 NET 3 5 NET 4 0 Active Directory 2000 Produkt VMware vRealize Hyperic ist eine Komponente von VMware vRealize Operations Sie berwacht Betriebssysteme Middleware und Anwendungen die in physischen virtuellen und Cloud Umgebungen ausgef hrt werden Active Directory 2003 Active Directory 2008 Active Directory 2012 ActiwveMmg 4 0 ActeHO 5 0 Hersteller 1 EN VMware ne www vmware com de Preis Bild 2 Dynamische Gruppen erlauben eine flexible Zuordnung Kommt beispielsweise ein weiterer DC in die berwachung gelten automatisch die gew hlten Richtlinien Auto Discovery an Alle neuen Daten quellen beispielsweise Server oder Ap plikationsmessdaten listet die Software zun chst hier auf und signalisiert so dem II Profi dass diese Daten noch zugeord net werden m ssen Einen Push Befehl zum Ausbringen der Agent Komponente sucht der Administrator jedoch vergeblich Der Agent muss je nach Plattform auf dem Zielsystem unterschiedlich bereitge stellt werden Hierf r gibt es viele ver schiedene Varianten und Parameter mit und ohne Java als Kommando Zeilen Variante oder als klassischer Installer bei spielsweise f r Microsoft Windows Die einfachste Installationsform besteht in der manuellen Installation des Agenten a
12. 13 Plug Ins f r Logstash F3Z5C 14 Octopussy F325D 15 Quellcode von Octopussy F3Z5E Link Codes M rz 2015 81 mE SCHWERPUNKT I Eclipse SCADA A Edipe sca Industrielle Datenverarbeitung von Dr Holger Reibold In produzierenden Unternehmen kommen die unterschiedlichsten Ger te Computersysteme Hard und Software sowie Sensoren zum Einsatz Dabei geht es prim r um die berwachung industrieller und technischer Prozesse Mit Eclipse SCADA schickt sich eine freie L sung an den Markt der Software Produkte f r das berwachen und Steuern dieser Prozesse aufzumischen u D as Akronym SCADA steht f r Supervisory Control and Data Acquisition und markiert in vielen Un ternehmen die Trendwende hin zu einer einheitlichen Umgebung f r das Moni toring und die Steuerung von Industrie prozessen SCADA Systeme geh ren zur Kategorie der Industrial Control Sys tems kurz ICS die der berwachung 82 M rz 2015 MW Quelle onizu3d 123RF und Kontrolle von Industrieprozessen dienen Nun zeigt sich in der Praxis al lerdings dass die klassischen ICS Syste me meist nur f r sehr spezifische Auf gaben konzipiert sind und schon am Monitoring anderer Unternehmensvor g nge scheitern von fehlenden Re mote Control M glichkeiten einmal ganz zu schweigen An diesem Punkt setzt Eclipse SCADA an Vereinfacht ausgedr ckt besteht das prim re Ziel der freien Umgebung in der Verbin
13. die weniger als n GByte freien Speicher besitzen Solche dynamischen Gruppen erleichtern es den II Verantwortlichen schnell den Blick auf kritische Systeme rich ten zu k nnen Die Anlage dieser Gruppen ist mit wenigen Mausklicks erledigt Administratoren definieren auf einzelnen Systemen Applikationen oder auch Grup pen berwachunsseinstellungen entspre VMware vRealize Hyperic ist ein Teil des vRealize Ope rations und wird f r die Auspr gungen Advanced und Enterprise geliefert Lizenzierung pro Prozessor oder pro virtueller physischer Maschine in Paketgr en je 25 Server In der Advanced Variante ist die Suite f r 25 Server ab etwa 15 000 US Dollar verf gbar Technische Daten www itadministrator de downloads datenblaetter So urteilt IT Administrator max 10 Punkte Installation und Bereitstellung C Leistungsumfang Integration in eigene Umgebung Integration in vSphere C u Agenten Verteilung 5 CHENE A Die Details unserer Testmethodik finden Sie unter www it administrator de testmethodik Dieses Produkt eignet sich optimal f r Unternehmen die bereits sehr stark auf den VMware Hypervisor setzen bedingt f r Firmen die sich schon intensiv mit anderen Uberwachungsl sungen auseinander gesetzt haben nicht f r sehr kleine Firmen ohne das Erfordernis zur berwachung VMware vRealize Hyperic www it administrator de VMware vReali
14. nem Active Directory verwaltet kann es mit WorkMail verbinden so dass Anwender mit ihren Login Daten Zugriff auf den Amazon Maildienst haben Amazon bietet selbst als Mail Frontend einen einfachen webbasier ten Client Auch Spam und Viren schutz ist in dem Paket enthalten Security Policys f r Mobilger te ver teilt WorkMail mit dem ActiveSync Protokoll F r den Dienst berechnet Amazon 4 US Dollar pro User und Monat bei einer maximalen Mailbox Grobe von o0 CBee Eine DO Tige g ltige Testsubskription ist auf 25 An wender beschr nkt of Amazon Workmail http aws amazon com de workmail Jetzt wird s schmutzig bintec elmeg gibt mit Modell bintec W1I1003n den Startschuss f r einen neuen Access Point der speziell f r den Einsatz in industriellen Produkti onsst tten und die Maschine zu Ma schine Kommunikation konzipiert ist Das Ger t besitzt die Schutzklasse IP40 und trotzt somit auch rauen und verschmutzten Umgebungen sowie ex tremen Temperaturen der Hersteller nennt hier einen Bereich zwischen 20 und 50 Grad Celsius Der Neuzugang verf gt ber ein Funkmodul nach 802 1labgn mit MIMO 2x2 Technik und erm glicht Bruttodatenraten bis zu 300 MBit s Das Funkmodul l sst sich wahlweise f r den 2 4 GHz oder f r den 5 GHz Bereich ein setzen Neben dem Access Point Be trieb ist es m glich die Netzwerkkom ponente als WLAN Client und als Bridgelink Ger t zum Aufbau draht loser Funkbr cken einzuset
15. sie an die Datei etc modules an Mit sudo nano etc modules ffnen Sie die Datei im Editor nano An schlie end f gen Sie am Ende die Zeilen wl gpio wl therm an speichern mit der Tastenkombination Strg O die Datei und mit Strg X verlassen Sie den Editor wieder Schauen wir uns nun an welche Daten der Sensor liefert Nach der Unix Philo sophie Alles ist eine Datei speichert er seine Daten in einer Datei ab Die finden Sie im Verzeichnis sys bus w1 devices wohin Sie mit www it administrator de Serverraum berwachung I SCHWERPUNKT Bild 1 Temperatursensor mit Kabel ein Funkchip zum Steuern von Funksteckdosen und zwei Kabelbr cken Bauteile f r unter zehn Euro machen den Raspberry zu einem System zur Temperatur berwachung cd sys bus wl devices Is 1 wechseln k nnen Der Befehl Is l listet alle Dateien im aktuellen Verzeichnis auf Darin befindet sich ein Unterordner mit einem etwas kryptischen Namen bei spielsweise 28 0014106c92ff Das ist die digitale Kennung des verwendeten Sen sors die bei Ihnen nat rlich abweichen kann Wechseln Sie in dieses Verzeichnis und sehen Sie sich die dar n enthaltene Datei w1_slave an cd 28 0014106c92ff cat wl_slave Der Inhalt der Datei sieht in etwa so aus 26 01 55 00 7f ff Oc 10 f3 crc f3 YES 26 01 55 00 7f ff 0c 10 f3 t 18375 Uns interessiert die letzte Zahl in der zwei ten Zeile im Beispiel ist das t 18375 Der Sensor misst eine
16. HWR f r Avago MegaRAID Controller mit storcli Eine Unterst tzung f r Adap tec RAID Controller ist geplant RAID 1 RAID 1 ist aufgrund gegebener Ausfall sicherheit sehr verbreitet Bei Lesezugriften profitieren Sie zus tzlich davon dass auf beide SSDs gleichzeitig zugegriffen wird Sowohl SWR als auch HWR best tigen diese Annahme und liefern bei zuf lligem Lesen mit 4K Blockgr e etwa 107 000 40 M rz 2015 und 120 000 IOPS immerhin mehr als das 1 4 fache einer einzelnen SSD Zuf l lige Schreibzugriffe sollte der RAID Ver bund eigentlich so schnell wie eine SSD abarbeiten Die Tests offenbaren jedoch f r SWR und HWR Performance Einbu en von zirka 30 Prozent bei zuf lligem Schrei ben und 50 50 Mixed Workloads Erfreuliche Ergebnisse liefert der Latenz Test f r SWR Die Latenzen liegen bei allen drei Workloads nur minimal ber jener ei ner einzelnen SSD In Bezug auf HWR f gt der RAID Controller Latenzzeit hinzu Ein konstanter Overhead von ca 0 04 ms zeigt sich bei allen Workloads Bild 1 RAID 5 Kennzeichen von RAID Level 5 sind Pa r t tsdaten die beim Schreiben von Daten zus tzlichen Aufwand verursachen Der Mehraufwand spiegelt sich deutlich in den Ergebnissen des IOPS Tests wider Ein RAID 5 mit drei SSDs erreicht bei zu f lligem Schreiben mit 4K genauso viele IOPS wie eine einzelne SSD Wer glaubt das Hinzuf gen einer weiteren SSD zum RAID 5 steigert die Schreibperformance erheblich
17. Manuskripteinsendungen Die Redaktion nimmt gerne Manuskripte an Diese m ssen frei von Rechten Dritter sein Mit der Ein sendung gibt der Verfasser die Zustimmung zur Ver wertung durch die Heinemann Verlag GmbH Sollten die Manuskripte Dritten ebenfalls zur Verwertung angeboten worden sein so ist dies anzugeben Die Redaktion beh lt sich vor die Manuskripte nach eigenem Ermessen zu bearbeiten Honorare nach Vereinbarung So erreichen Sie den Leserservice Leserservice IT Administrator Stephan Orgel 65341 Eltville Tel 06123 9238 251 Fax 06123 9238 252 E Mail leserservice itadministrator de Bankverbindung f r Abonnenten Kontoinhaber Vertriebsunion Meynen Postbank Dortmund IBAN DE96440100460174966462 BIC PBNKDEFFXXX So erreichen Sie die Redaktion Redaktion IT Administrator Heinemann Verlag GmbH Leopoldstr 87 80802 M nchen Tel 089 4445408 10 Fax 089 4445408 99 E Mail redaktion it administrator de So erreichen Sie die Anzeigenabteilung Anzeigenverkauf IT Administrator Anne Kathrin Heinemann Heinemann Verlag GmbH Leopoldstr 87 80802 M nchen Tel 089 4445408 20 Fax 089 4445408 99 E Mail kathrin it administrator de S 02 INSERENTENVERZEICHNIS Software amp Support Media 5 59 Tuxedo 5 108 Die Ausgabe enth lt eine S 13 Xnet Solutions 5 85 Teilbeilage der Firma Hackattack und eine Gesamtbeilage der Firma Minerva www it administrator de 180 Seiten Praxis Know how zu
18. Windows Servern und PCs profitieren und mehr Kontrolle ber die vorhan denen Systeme erhalten Die Appliance bietet zudem eine optionale Integra tion von Server Monitoring Pro tokollen und Warnmeldungen f r Windows Linux und Unix Server Die Version 6 3 unterst tzt dabei auch Chromebook Die neue Version verein facht zudem das Patch Management durch Echtzeit und Roll up Sta tus Reporting Weitere Verbesse rungen umfassen www it administrator de laut Dell den Service Desk die bessere Integration mit dem herstellereigenen Enterprise Mobility Management ber Single Sign On und ein erweitertes Software Asset Management f r die Unterst tzung unterschiedlicher Lizenz typen sowie die Bestandsaufnahme von Anwendungen die mit Microsoft App V installiert wurden Dell KACE K1000 in Version 6 3 steht ab sofort als physische virtuelle oder gehostete Appliance zur Verf gung Die Preise beginnen bei 7 140 Euro f r die physische und virtuelle Ap pliance mit 100 verwalteten Systemen Computer oder Server K1000 as a Ser vice ist f r monatlich 5 Euro pro verwal teten Computer erh ltlich dr Dell www dell com kace Die Dell KACE K1000 unterst tzt nun auch Chromebook News I AKTUELL WE Vachrich ten Good Technology stellt gemeinsam mit Samsung Good for Samsung Knox vor Die L sung kombiniert Goods App Container und App kosystem mit Samsungs KNOX Plattform Dies funktioniert so dass ein von Good abg
19. amp riqua maia Go Ermi ln ET TRAUM DHG Aagi for urn are Bra A i Der 12 201a 34 Dac tA BON 7S1 Des 12 20 115 Dee tE 2014 10 Dec TE 20a 15 Dec TZ 201 Br Der 12 jiii ai ET WER SERVER PHP Possible hips Local F ET OUAMENT_EVENTS Malone Hearnii ETCURRENMT_EWENTE BUSPIOHUIG IRC P Eno A E ET BOAN Beharra Urumi is Terminal Ea Enori s ET TROMM Banerc POST Th php wErlende Broi O E ET MAMMA SOCKS UOP Prony Instant A m Foi E nen ist zudem die Latenz entscheidend mit der neue Meldungen ber das SIEM GUI eingesehen werden k nnen Nahezu Echtzeit f hige SIEM Systeme spielen hier ihre Vorteile gegen ber Produkten aus die neu eingehende Daten lediglich intervall gesteuert im Blockbetrieb abarbeiten Automatisierung vereinfacht das Tagesgesch ft Oft fehlt Administratoren im Tagesgesch ft die Zeit regelm ig proaktiv im SIEM GUI nachzusehen ob neue wichtige Mel dungen vorliegen SIEM Systeme bieten deshalb in der Regel ein konfigurierbares Eskalationssystem an das zum Beispiel mit regelm igen Erinnerungs E Mails ver hindern soll dass wichtige Meldungen un bearbeitet liegen bleiben Wichtig ist auch hierbei dass etwa ber Ausnahmeregelun gen festgelegt werden kann ber welche Vorfallstypen oder betroffenen Systeme keine Alarme generiert werden sollen um E Mail Fluten zu vermeiden Da auf viele Arten von Sicherheitsvorf llen sehr hnlich reagiert werden muss bietet es sich an
20. der WorkMail Administrator ber den AWS Key Management Service ver waltet Zudem k nnen Kunden das zur Speicherung verwendete Data Center auswihlen seit kurzem be treibt Amazon beispielsweise auch in Frankfurt cin Rechenzentrum Derzeit bietet Amazon den Dienst als Preview aber nur in den Data Centern Virginia USA und Irland an Amazon Work Mail ist insbesondere als Exchange 10 M rz 2015 triebssystem Clavister cOS verf gen ber sechs GBit Ethernet Anschl sse und messen im 19 Zoll Rack Format eine H heneinheit Punkten will der Hersteller auch mit einem leicht nachzuvollziehenden Security Service Abonnement das alle Software Upgrades und Next Generation Firewall und Unified Threat Manage ment Funktionen wie True Application Control zur Identifikation und Kontrolle von mehr als 2 300 Anwendungen bein haltet Der Listenpreis f r die Standard Va riante der W20 betr gt 2 030 Euro Ohne zus tzliche Lizenzkosten enthalten ist die Hochverf gbarkeits Funktion beim Kauf einer zweiten W20 lassen sich beide Ger te als Cluster betreiben In Clavister www clavister com Mittels Clavister InControl l sst sich die W20 Firewall von zentraler Stelle aus managen Ersatz konzipiert und unterst tzt bei spielsweise die wichtigsten Microsoft Mailclients wie Outlook 2007 2010 2013 auf Windows Au erdem ist WorkMail kompatibel zu Outlook 2011 auf OS X und Mailclients auf Mobilger ten Wer seine User in ei
21. die Standardausgabe Logstash erlaubt dabei auch Bedingungen So l sst sich etwa per if path error pr fen ob der Dateiname eines Logs die Zeichenkette error enth lt Besonders n tzlich ist auch der mitgelieferte Grok Filter der unter anderem die angelieferten Daten in ein einheitliches Format presst und berfl ssige Informationen wegschnei det Der Multiline Filter wiederum kann mehrere Zeilen aus einem Log zu einem A migoi EL Q Search results Message fields sii e aki j O ii Tatal marapit 2i Maan DE Se ee Mimin Zur a guaren SIH T Winessage E w i B5 E rari Bild 4 Die hier von Graylog2 gefundenen Ereignisse waren berwiegend als Level 5 klassifiziert www it administrator de Ereignis zusammenfassen Zum Lieferum fang von Logstash geh ren unter anderem auch Input Plug Ins die Ereignisse von RabbitMQ oder Redis entgegennehmen Als Datenspeicher kommt bevorzugt Elas ticsearch zum Einsatz wobei sich Logstash automatisch um dessen Einrichtung k m mert Mitgelieferte Output Plug Ins bin den aber unter anderem auch Nagios Gra phite oder Statsd ein Logstash selbst bringt keine Weboberfl che mit Administratoren k nnen jedoch Ki bana aus dem Elasticsearch Projekt ver wenden 12 Dieses Frontend f r Elas ticsearch setzt jedoch voraus dass Logstash dort die aufbereiteten Daten ablegt Ne ben einer Suchfunktion stellt Kibana ein Dashboard bereit das direkt wichtige Sta
22. fachen Performance Iest Ihrer SSD unter Linux Windows Nutzer m ssen die Para meter libaio und iodepth entfernen RAID 1 RAID 5 und RAID 10 mit SSDs Unsere Analyse von SSDs im RAID Ver bund zeigt wie sich die Performance Werte beim Erh hen der Anzahl an SSDs entwickeln Au erdem gehen die Tests auf M rz 2015 39 PRAXIS I Flash RAIDs optimieren IOPS Measurement Test BEE intelDC53500 EEE MR 9361 13500 R5 3 q ha Fa E e 2 co E T J rd un oO 4 lt lt CO MR 9361 13500 R5 4 BER SW 13500 R5 3 BE SW 13500 R5 4 gt 0 50 R W Workload Bild 2 Auff llig sind die geringen IOPS Zahlen bei zuf lligem Schreiben im RAID 5 Beim Vergleich von HWR mit SWR spielt der Workload eine Rolle die unterschiedlichen Charakteristika der RAID Level ein Das Hardware Setup f r die RAID Tests besteht aus Intel SSDs der DC S3500er Serie einem Avago vormals LSI Mega RAID 9365 RAID Controller und einem Supermicro X9SCM F Mainboard Die Gr e der SSD bel uft sich auf 80 GByte Beachten Sie dass die Performance einer SSD innerhalb einer Serie auch von ihrer Kapazit t abh ngt Ein 240 GByte Modell etwa hat gegen ber einem 80 GByte Mo dell Performance Vorteile Als Performance Software setzen wir TKperf unter Ubuntu 14 04 ein TKperf setzt die PTS der SNIA unter Verwendung von FIO um Seit Version 2 0 erstellt es Linux Software RAIDs SWR automa tisch mit mdadm Hardware RAIDs
23. gung dass jetzt der Moment gekommen ist sich zu informieren um die Weichen der IT in Unternehmen neu zu justieren Erleben Sie die bekanntesten K pfe der DevOps Welt in einer neuen und einzigartigen Konferenz und erhalten Sie geballtes Wissen f r Ihren entscheidenden Wettbewerbsvorsprung Pr sentiert von Powered by Veranstalter Business arlinen ET Ninc OR Media entwickler Technology FLHRDE magaz n developer Group ug PRAXIS I Android 5 en DAA Neuerungen in Android 5 Dauverlutscher m auffallendsten an Android 5 ist Au SS S l A das neue Design Dieses Q P I setzt weniger auf dreidi g cS mensionale Effekte ist fla J cher und insgesamt st rker amp d an Google Webdienste ange f glichen Bez glich der Leistung ist erfreulich dass Android 5 64 Bit Pro zessoren unterst tzt Ebenso will Google generell die Hardware Basis erweitert so wie die Zusammenarbeit mit anderen Ge r ten verbessert haben L ngere Akku Laufzeit Eine der wesentlichen Neuerungen ist die weitaus bessere Akku Laufzeit von An droid 5 Das Betriebssystem arbeitet mit der neuen Android RunTime ART die besser mit den Java basierten Android Apps umgehen kann als der Vorg nger Dalvik Nach ersten Messungen l sst sich die Laufzeit um bis zu 40 Prozent erh hen In diesem Zusammenhang ist auch der neue Energiesparmodus interessant Dieser l sst sich automatisiert oder ma nuell aktivieren um
24. hlen Kann eine www it administrator de berwachung mehrere Werte anzeigen wie zum Beispiel die CPU Last in Prozent und den verwendeten Arbeitsspeicher in MByte so zeigt das Liniendiagramm beide Werte an ber Schalter konnten wir die Ansicht einzelner Werte ein und ausschalten Ebenso w hlten wir aus f r welchen Zeitraum wir die Werte sehen wollten Neben voreinge stellten Zeitspannen konnten wir auch ein spezielles Datum zur Anzeige ausw hlen Dies ist sehr hilfreich um im Nachhinein die Daten eines berwachungszeitraumes gezielt zu berpr fen Je nachdem wie viele berwachungen auf einem Register angeordnet sind wird die Ansicht schnell un bersichtlich Daher er laubt Monitis das Anordnen der berwa chungen per Drag amp Drop Auch die An passung des Layouts eines jeden Registers ist m glich Dabei standen das Raster f r die H he sowie die Anzahl der Spalten der dargestellten berwachungen zur Verf gung Wir h tten uns gew nscht dass die Einstellung pro Spalte m glich w re was bei bestimmten Werten sinnvoll ist Solide Erreichbarkeits und Anwendungs berwachung Unter dem Men punkt Betriebszeit berwachung hat der Hersteller die berwachungen zusammengefasst die Online Dienste auf Erreichbarkeit pr fen darunter HTTP und HTTPS sowie Ping DNS FTP TCP SSH SIP und UDP Mailserver pr ft das System ber die Dienste SMTP POP3 und IMAP Zudem gibt es noch berwachungen f r MySQ
25. hren lassen Das setzt nat rlich ein War tungsfenster voraus Getrennte Verwaltung von Shutdown und Startup Die bisherige Beschreibung der Grup pen Anmeldedaten und Kriterien bezieht sich auf das Herunterfahren der Systeme Shutdown Prozess was PowerApp in der Web GUI auch als eigenen Men block behandelt Ein weiterer insgesamt etwas kleinerer Bereich ist die Startup Konfiguration um die Systeme nach ei nem Shutdown wieder koordiniert in Betrieb nehmen zu k nnen F r das Einschalten unterst tzt PowerApp die bei den renommierten Servermodellen blichen Fernsteuerkarten oder anschl sse www it administrator de HP iLO Dell DRAG IBM IMM Oracle ILOM ALOM ELOM sowie das uni verselle IPMI Protokoll und Wake on LAN Auch Bladeserver von HP Dell und IBM lassen sich einschalten sowie andere Systeme sofern sie eine SSH Verbindung unterst tzen wie beispielsweise Cisco UCS Es ist nur erforderlich den korrekten Startbefehl zu ermitteln und im Komman dofeld einzutragen Produkt Virtuelle oder physische Appliance zur berwachung der USVs per SNMP f r einen geordneten Server Shutdown Hersteller iQSol www igsol biz Preis PowerApp VM f r 25 Systeme inklusive einem Jahr War tung kostet 4 560 Euro die PowerApp 500 Appliance f r 100 Systeme mit Erstiahreswartung 10 860 Euro Technische Daten www itadministrator de downloads datenblaetter So urteilt IT Administrator max 10 Punkte Steuerun
26. ile alesforce com ego ta Bild 1 Azure Active Directory dient als SSO Plattform f r weitere Dienste aus der Cloud von unterschiedlichen Herstellern die Konfiguration wird vom ADFS TIeam berwacht und gepflegt Diesen Teil ber nimmt nun das Azure AD als Dienst Die F derierung wird zwischen dem Azure AD und den Online Angeboten erstellt die einzige Relying Party die Sie dann noch pflegen m ssen ist die zwischen ADFS und Azure AD in Bild 1 als hell gr ne Verbindung dargestellt Wir wollen f r unser Beispiel den Dienst Dropbox for Business einrichten Hierf r ben tigen wir ein Dropbox for Business Konto Eine Probeversion f r 14 Tage ist ausreichend solange die for Business Variante zum Einsatz kommt Dropbox verlangt zwischenzeitlich die Angabe einer Kreditkarte um die Probeversion nach Ablauf der 14 Tage zu verl ngern Sie sollten also daran denken das Konto rechtzeitig zu l schen sofern Sie nicht weiter mit dem Dienst arbeiten und nur testen m chten In Dropbox for Business angekommen vollziehen Sie im Admin Portal die ersten Einstellungen Unter Authentication schalten Sie Enable Sin gle Sign On per Klick auf die Checkbox ein Das erlaubt Ihnen weitere Optionen f r Feineinstellungen zu w hlen Unter der Checkbox klicken Sie zun chst auf More Dropbox Abonnement zu erhalten um weitere Details zu Ihrem Interessant ist dabei die von Dropbox zu gewiesene eindeutige Sign On
27. nungssysteme sehr unterschiedlich W h rend manche L sungen Grafiken wie ein menschlicher Anwender als Schemata er kennen und das Anwenderverhalten u Berst detailgetreu simulieren l sen andere bereits bei minimalen Farbschwankungen in der Darstellung einen Fehlalarm aus Daher sollte dieser Schl sselfunktion im Rahmen der Evaluierung hohe Priorit t zukommen berpr fen Sie bei einem sorgf ltigen Proof of Concept welche der Ihnen angebotenen L sungen eine farb tiefen und aufl sungsunabh ngige Iden tifizierung der Bildelemente auf einer Ap plikationsoberfl che erm glicht und eine stabile Highspeed Bilderkennung unter M rz 2015 35 Kir TESTS I Einkaufsf hrer End to End Monitoring Fna a 1 U kaikin ip RE deinen Far Dip 1 ag gran ms E2E Monitoring Werkzeuge wie etwa der hier gezeigte ServiceTracer Client sind in der Lage die subjektive Performance von Web Applikationen zu messen st tzt Der Client sollte dabei in der Lage sein die Maus auch dann noch korrekt zu positionieren und Iastatureingaben vor zunehmen wenn beispielsweise die Posi tion eines Bildes ver ndert wird Unterbrechungen d rfen nicht st ren Pop ups und Security Abfragen Ein weiterer Bereich in dem sich die Spreu der E2E Monitoring Systeme vom Weizen trennt ist der Umgang mit Pop ups und Security Abfragen Da die Monitoring Clients typischerweise wie herk mmliche Desktop Arbeitspl tze konfiguriert sind wer
28. r iOS und Android Die Push Nachrichten sind speziell auf die iOS und Android Apps von PRTG Network Monitor angepasst Die PRTG for iOS App gibt Apple Usern Zugriff auf bersichten und zeigt Details Dar ber hinaus k nnen Nutzer Alarme best tigen das Monitoring pausieren lassen Graphen und bersichtskarten sogenannte Maps sowie die PRTG Logs abrufen Der Admin bleibt ber mehrere PRTG In stallationen auf dem Laufenden Verantwortliche mit Endger ten auf Basis des Google Betriebssystems k nnen auf die PRTG for Android App zur ckgreifen Eine spezielle Dashboard Ansicht macht den globalen Sensorstatus zudem auf Tablets und Android TVs sichtbar Dadurch kann der Zustand der ganzen IT Infrastruktur beispielsweise auf einem Monitor in der Technikabteilung angezeigt werden Die Registrie rung innerhalb der App erfolgt ber einen QR Code Scan ohne aufw ndige Eingabe von IP Adressen Passw rtern oder Nutzernamen gt e Q BENACHRICHTIGUNG Ex NACHRICHT 9 Einmaliger Registrierungsprozess Regul rer Sendungsprozess DI NACHRICHT Option f r Windows Phones und Blackberry F r Nutzer anderer Betriebssysteme hat Paessler au erdem die App PRTG for Windows Phone mit Anlehnung an die Kachel Optik sowie eine PRTG Black berry Anwendung entwickelt die einen hnlichen Funktionsumfang bieten Die Apps stehen unter folgenden Links kostenfrei in den jeweiligen App Stores zum Download bereit
29. ten eine IP Adresse teilen Andernfalls k nnten Angreifer eine Vielzahl von Fake Nodes starten um die Anonymi sierung auszuhebeln Au erdem dauere es bis zu zwei Monate bis ein neu gestartetes Relay seine volle Band breite aussch pfen k nne Man wolle deshalb die Auslastung genau beobach ten und sei gespannt ob auch der Mo zilla Tor Node diesem Muster folge Zum Konfigurationsmanagement ver wenden die Mozilla Admins das Ansi ble Iool f r das es bereits ein ansible tor Profil gibt auf das sie zur ckgreifen konnten Ihre eigene Ansible Konfigu ration stellen sie auf Github zur Verf gung F rs Monitoring und die Visua lisierung des Ressourcenverbrauchs setzen die Mozilla Admins auf das Ob servium Paket Die Mozilla Adminis tratoren haben eine Reihe von Ma nahmen ergriffen um ihr Tor Relay abzusichern Neben strikten Firewall Regeln und der Basis H rtung durch das Abschalten berfl ssiger Services ist dies ein gesonderter Schutz der Ma nagement Interfaces durch Pakettfilter Deploying Tor Relays https blog mozilla org it 2015 01 28 deploying tor relays Management aus der Box Dell pr sentiert die neueste Version sei ner System Management Appliance KACE K1000 Neue und verbesserte Funktionen sollen Anwendern helfen Rechner in Multi Plattform Um gebungen zu identifizieren zu konfi gurieren zu sichern und zu verwalten So sollen Anwender von einer neuen agentenlosen Inventarisierung von
30. zumindest unkritische Teile da von ebenfalls zu automatisieren W hrend einige SIEM Produkte analog zu diversen Monitoring Systemen prim r als reine Datensenken fungieren bieten andere die M glichkeit im Kontext des Anlegens ei ner neuen internen Meldung oder beim Eintritt von Eskalationskriterien beliebige Skripte oder Programme anzusto en de nen die individuellen Parameter des Vor falls als Parameter bergeben oder ber eine Programmierschnittstelle zug nglich gemacht werden F llt also beispielsweise ein Mitarbeiter PC im Client Netz durch ein charakteristisches Malware Kommu nikationsverhalten auf k nnte er beispiels O Ton id Bourse IP Resuhs Dy Destination iP Unique Court o ana TADAM ATA Si P Anana T50 AM AnA 150 FMi FEF T Legarra Bm DE gmim r se gan 1 De Bl gern go a ae 3 Bild 3 Ansicht eines SIEM Dashboards mit Quelle und Ziel von Sicherheitsvorf llen M rz 2015 101 I weise parallel zur Alarmierung des zust n digen Administrators per Skript an der Fi rewall des Internet Uplinks oder direkt am Switch Port des entsprechenden B ros gesperrt werden um gr eren Schaden zu verhindern Wie bei allen automati sierten Reaktionen muss jedoch darauf geachtet werden dass ein Angreifer sie nicht gezielt ausnutzen kann um noch mehr Schaden etwa durch Denial of Ser vice zu verursachen als eigentlich verhin dert werden soll Sinnvolle Regels tze erstellen
31. 0 change Server 2013 Nach der Installation verwalten Sie die L sung ber eine Web oberfl che auf Wunsch auch ber das Netz werk Sobald das Tool auf einem Server in stalliert ist wird dieser automatisch vor Spam gesch tzt Nach der Installation ff net sich die Weboberfl che des Tools Hie r ber verwalten Sie den Spamschutz Um die Funktionalit t zu testen k nnen Sie ber Hilfe Diagnostik Spam Mails ver senden und Daten zur Exchange Organi sation abrufen Im Rahmen der Installation wird auch der Dienst mit dazugeh rigem Benutzernamen angelegt dessen Anmel dedaten Sie eingeben m ssen Der Benut zer wird Mitglied der lokalen Administra torgruppe auf dem Exchange Server Es ist keine gro artige Einarbeitung not wendig um mit dem Produkt zu arbeiten Daher eignet sich SPAMfighter auch f r kleine Unternehmen die auf SBS 2011 oder lter setzen Active Sync Troubleshooting Immer wenn neue Updates f r Smart phones ver ffentlicht werden zum Bei spiel neue iOS Versionen f r iPhones und iPads kann es passieren dass sich die Ger te nicht mehr ordnungsgem mit dem Exchange Server verbinden Mit dem kostenlosen Tool Log Parser lassen sich Verbindungsprobleme finden und beheben Um Verbindungsprobleme mit ActiveSync zu l sen helfen die beiden kostenlosen Analysetools Log Parser 2 2 5 und Log Parser Studio 6 Die beiden Tools lesen die Protokolldateien des Web servers IIS auf dem
32. CCM TrustZone based KeyStore Re mote Attestation Biometric Authentication und Common Access Card Authentication Auch Single Sign On SSO und VPN Frameworks Cloud Dienste wie KNOX Enterprise Mobility Management und KNOX Marketplace sind nicht vollst ndig integriert Zus tzliche App Stores wie Ga laxy Apps KNOX Apps Device Theft Re covery und KNOX Customization sind nicht direkt in Android 5 0 integriert son dern m ssen ebenso nachtr glich ber KNOX Enterprise eingebunden werden von Thomas Joos Mit Android 5 Lollipop hat Google sein Betriebssystem f r Mobilger te zahlreichen nderungen unterworfen die auch f r Unternehmenskunden von Bedeutung sind In diesem Beitrag stellen wir die Aktualisierungen vor und zeigen wie Unternehmen von der neuen Version profitieren k nnen Neue Benutzerverwaltung Schon bei Smartphones und Tablets ab Android Version 4 2 2 gab es eine Be nutzerverwaltung Release 5 0 hat diese weiter verbessert und enger in das System integriert Mehrere Personen k nnen mit demselben Ger t arbeiten wobei jeder seine eigene Umgebung erh lt und sich ber den Sperrbildschirm anmelden kann Dies funktioniert jetzt ab Werk auch mit Smartphones und nicht nur mit Tablets Mit Android 5 will Google auch die Funktionen des Ger te Managers im Web anpassen Dieser soll zuk nftig mehr Fi B 09 48 G 68 noch etwa 9 Std 100 0 07 00 12 00 Verbrauch seit letztem vollen Aufladen
33. Durch ma aee A e Bordmitt eln l SSD FAID Optimal Container Abo und Leserservice IT Administrator vertriebsunion meynen Tel 06123 9238 251 2252 shop heinemann verlag de D 65341 Eltville leserservice it administrator de AKTUELL I News Meine erste Firewall Clavister will mit der Firewall Appli ance W20 sein Portfolio um ein kosten g nstiges Einstiegs Gateway erweitern Das Ger t erscheint in zwei Varianten die sich im Leistungsumfang unterscheiden W hrend das Standardmodell etwa auf eine Firewall Performance von 3 GBit s und eine VPN Geschwindigkeit von 250 MBit s kommt kann die Pro Version 6 GBit s und 300 MBit s vorweisen Auch bei der Anzahl der gleichzeitig m g lichen Verbindungen 250 000 versus 500 000 sowie der Menge gleichzeitiger VPN Tunnel 250 versus 500 sowohl IPsec als auch SSL ist hier m glich weisen die Ger te unterschiedliche Leistungsmerkmale auf Beide Varianten laufen unter dem Be Amazon mit neuem E Mail Dienst Unter dem Namen WorkMail hat Amazon einen neuen Cloud Dienst vorgestellt der den E Mail und Ka lenderdienst f r Firmen berneh men kann Damit k nnen Unterneh men auf die Installation eines eigenen Diensts verzichten und stattdessen den vons A mMAa ZON Deret eeste liten Wiese f r ihre Zwecke konfigurieren Sicher heit und Datenschutz werden dabei nach Angaben von Amazon gro ge schrieben Die gespeicherten Daten werden mit Keys verschl sselt die
34. Exchange Server aus Vor allem iPhones haben bei neuen Versionen von 1OS Probleme bei der An bindung an Exchange In der Exchange Verwaltungsshell zeigen Sie zum Beispiel mit Get ActiveSyncDevice where _ Deviceos match ios 8 1 1 OS Ger te mit derVersion 8 1 1 an Tre ten Probleme auf Smartphones auf nach dem Anwender diese auf eine neue Ver s on aktualisiert haben hilft es oft die Synchronisierung mit Exchange neu ein zurichten Um Exchange ActiveSync zu analysieren installieren Sie Log Parser und entpacken das Zip Archiv von Log Parser Studio Starten Sie Log Parser Studio und lassen die Protokolldateien auslesen Um ActiveSync Probleme zu l sen m ssen beide Tools auf dem entsprechenden Server Exchange Environment Report Generated 14 68 2014 13 47 50 az External Names site Erbach Internal Names x2k13sp1 toparis de Mailboxes 3 A2K135P1 Exchange 2013 SP1 Exchange Version EICH E 0S Version Windows Server 2012 R2 Datacenter A2K135P1 Mailbox Database 1777021107 1 56 MB 0 24 GE 0 06 GB Bild 2 Microsoft stellt ebenfalls ein Skript bereit das Berichte zur Exchange Organisation in der PowerShell ausliest und als E Mail versendet www it administrator de M rz 2015 55 PRAXIS I Tools f r Microsoft Netzwerke verf gbar sein Anschlie end erstellen Sie ber File New Query im Log Parser Studio eine neue Abfrage in den IIS Pro tokolldateien die hilf
35. Felix von Eye Wolfgang Hommel und Stefan Metzger 00 00110100 i01 5 ADIO DN TOig d ve id H 150 i Gi nn an a EDIG E in gut organisiertes Monitoring umfasst nicht nur klassische Kenn zahlen wie etwa zur Verf gbarkeit Aus lastung und Antwortzeit von Diensten und Systemen sondern gibt auch Aus kunft ber die aktuelle Lage aus Perspek tive der IT Sicherheit Eine wichtige Voraussetzung daf r ist dass sicherheits relevante Logfile Eintr ge von Applika tionen und dedizierten Sicherheits komponenten wie Intrusion Detection Systemen zentral zusammengef hrt kor reliert und als Ganzes ausgewertet wer den Auf diese Aufgabe haben sich Secu rity Information amp Event Management SIEM Systeme spezialisiert von denen sich inzwischen einige Open Source und zahlreiche kommerzielle Vertreter etabliert haben Wichtige Auswahlkriterien Wie bei anderen Monitoring TIools sind Funktionalit t Skalierbarkeit und Kosten drei offensichtliche Kriterien f r die Auswahl eines SIEM Produkts Funk tional liegen viele Produkte nahezu www it administrator de Security Monitoring WISSEN CE Know how Aufbau und Betrieb von organisationsweiten Security Monitoring Quelle Benoit Daoust 123RF gleichauf und unterscheiden sich ber wiegend durch Features deren Sinn und Notwendigkeit im jeweiligen Einsatz szenario zu pr fen ist Dies trifft leider auch auf fehlende Funktionalit t zu Bei spielsweise ist
36. Microsoft hat daf r jedoch ei 44 Workshop Hochverf gbarkeit mit der Oracle Standard Edition DaN e a A a A direkte Echtzeit berwachung mit dem Namen Managed Availability eingebaut 48 f Workshopserie Azure Active Directory einrichten und nutzen 2 WISSEN Mit dem Azure Active Directory bietet Microsoft seinen Verzeichnisdienst auch in der Cloud an Im zweiten Teil der Workshopserie konfigurieren wir das Azure AD und nutzen es f r Single Sign On 99 ar Know how Aufbau und Betrieb von organisationsweitem Fr Security Monitoring 54 J Workshopserie Toolbox f r Admins 2 Der zweite Teil unserer Workshopserie aus dem kommenden IT Administrator Sonderheft Die gro e 103 Buchbesprechung PowerShell 4 0 f r die Windows Adminis Admin Toolbox stellt n tzliche Exchange Helfer vor tration und CCNA Powertraining 4 M rz 2015 wwv it administrator de VDSL Open Source Tools zum Log _ 0 f IE gt Management unter Linux Schon in kleinen Netzen spucken die laufenden Dienste zahlreiche Log Daten aus Administra toren laufen dann nicht nur Gefahr eine Feh Iermeldung zu bersehen Einem Problem auf die Spur zu kommen hnelt dann auch der Suche nach einer Nadel im Heuhaufen Die Informationsflut b ndigen wollen Fluentd Graylog2 Logstash und Octopussy NEU bintec RS Serie Integrierter Seite 78 mu WEAN Maximale Flexibilit t in der Business VPN Router Klasse Die neue bintec RS Serie erm glicht Highspeed
37. Neben einer m glichst genauen Beschrei bung der eigenen Infrastruktur dem As set Management oder Modeling m ssen Sie entweder die meist zahlreichen bereits vom Hersteller einer SIEM L sung zur Verf gung gestellten Korrelationsregeln auf die eigene Umgebung und ihre Be sonderheiten hin anpassen oder unter nehmensspezifische Regels tze erstellen Korrelationsregeln beschreiben vereinfacht ausgedr ckt Bedingungen die ein von einem Security Monitoring Sensor ge meldetes Ereignis erf llen muss und die sollten alle Bedinungen einer Regel erf llt sein anschlie end automatisch ausgel ste Reaktion der SIEM L sung Als sehr einfache Bedingung kann etwa das Z hlen eines bestimmten Ereignistyps zum Beispiel eine von einem IDS erkannte und an das SIEM weitergeleitete Kom munikation mit einem Command and Control Server eines bekannten Botnetzes von derselben Quell IP Adresse innerhalb eines bestimmten Zeitraumes betrachtet werden bersteigt die gez hlte Ereignis anzahl einen ebenfalls in der Korrelations regel definierten Schwellenwert erfolgt die in der Regel beschriebene Reaktion die etwa in einer E Mail Benachrichti gung des zust ndigen Administrators dem Aufruf eines Skripts dem automatisiert als Parameter die Quell und Ziel IP Adres sen der Zeitpunkt des Auftretens oder der ermittelte Event Counter bergeben wer den oder dem Erzeugen eines neuen Er eignisses das wiederum in die SIEM L sung f r w
38. O Operation weil eben nicht jede Operation einzeln sofort an die SSD geleitet wird sondern erst wenn die Warteschlange voll ist Spare Area Die Gr e der Spare Area hat einen direkten Einfluss auf die Ran dom Write Performance der SSD und damit auch auf die Kombination aus Lese und Schreib Performance Je gr Ber die Spare Area desto seltener muss der SSD Controller intern Daten um strukturieren Der SSD Controller hat Flash RAIDs optimieren I PRAXIS s J LAT Measurement Test mm intelDCs3500 Avg LAT ms at 4k Block Size 65 35 E MR 9361 13500 R1 EE SW 13500 R1 R W Workload Bild 1 Der Overhead f r Latenzen im HWR betr gt etwa 0 04 ms RAID 1 als SWR erh ht die Latenzen gegen ber einer einzelnen SSD minimal damit mehr Zeit f r Host Anfragen die Random Write Performance steigt Bestimmen der Baseline Performance Die zuvor genannten Eigenschaften von SSDs erfordern speziell abgestimmte Per formance Tests Konkret erschweren der FOB Zustand Fresh out of the Box und die bergangsphasen zwischen Workloads eine Bestimmung von stabilen Performance Werten Die resultierenden Werte sind daher von folgenden Faktoren abh ngig Schreibende Zugriffe sowie Prekondi tionierung der Zustand der SSD vor dem Test Workload Pattern I O Pattern Read Write Mix Blockgr en w hrend des Tests Data Pattern die geschriebenen Daten Performance Messu
39. PoE f hige Wireless Controller und Wi reless Access Points setzen Folgender Aufbau w re naheliegend An ihre vir tualisierten Server Strukturen an den Standorten binden Sie zum Beispiel per formante 10 GbE NAS Systeme als Da tenspeicher sowohl f r die t gliche Da tenbearbeitung als auch f r die Datensicherung und Datenverteilung ber idealerweise eine Private Cloud L sung auf dem NAS an Diese erwerben Sie je nach Gegebenheit im Rackmount For mat f r Ihren Serverschrank oder auch im Desktop Format Sie k nnen sich hier entscheiden am Hauptstandort einen et was gr eren Datenspeicher anzubinden 72 M rz 2015 auf den die NAS Systeme an den anderen Standorten ihre Daten replizieren das hei t jedes NAS System an einer Zweig stelle sichert zum Beispiel nachts die t g lich bearbeiteten oder erstellten Daten in der Hauptzentrale Die Server und NAS Systeme werden dann ber 10 GbE Swit ches an das restliche kabelgebundene Hochschulnetz und an die Wireless Con troller angeschlossen wor ber der Daten austausch mit den kabelgebundenen und den kabellosen Client Ger ten mit Ge schwindigkeiten bis zu 10 GBit s erfolgen kann An die Wireless Controller binden Sie per Netzwerkkabel die Wireless Access Points an die m glichst fl chendeckend in der gesamten Bildungsst tte angebracht werden Die Stromversorgung der Access Points k nnen Sie mit Power over Ether net PoE realisieren die Energieversor gung e
40. RAM Intel RAID Maintenance Free Backup Unit 22TB RAID 6 SAS Speicher 24x Seagate 2 5 SAS Server Festplatte 1TB KVM over IP mit separatem LAN Port 2x 10Gbit s Netzwerkadapter EUR 9 249 zzgl 19 Ust RECHENZENTRUM IN BERLIN Unterbringung von Serversystemen im Rechenzentrum in klimatisierten 19 Rackschr nken 100 Naturstrom mit USV Absicherung Internetanbindung ber Premium IP Carrier Level3 managed Server Leistungen wie VPN Firewalls Backup etc Servermeile GmbH on intel Technology Mittelbuschweg 6 12055 Berlin Tel 030 2000 50 500 Fax 030 2000 50 555 Email info servermeile com http www servermeile com Provider Gold Advanced Partner a a u LANG OM Systems Das B se ist immer und berall Liebe Leser bestimmt erinnern Sie sich an den Ohrwurm Ba Ba Bank berfall der Ersten Allgemeinen Verunsicherung Gesungen zu Zeiten als Bankr uber noch mit Strumpfmasken in eine Filiale st rmten w hrend ihr Komplize im geklauten Fluchtwagen mit laufendem Motor wartete Die durchschnittliche Beute mehrere Zehntausend Euro Um bis zu eine Milliarde US Dollar soll die Cybergang Carbanak Finanzinstitute weltweit erleichtert haben Eine Milliarde Ihren Weg in die Bankennetze fand sie ber Angestellten rechner die sie per Spear Phishing bernahm Anschlie end arbeitete sie sich in die Video berwachungssysteme vor um die Bildschirme der f r Geldtransfer
41. Regeln in einer Benutzeroberfl che zusammen oder notiert einen regul ren Ausdruck Die gefilterten und aufbereiteten Daten wandern zur Archivierung in eine Datenbank oder aber weiter in andere An m M E ra i Fo R r ir a FaFa i SSR a E Pi Fin A peen aa i di Paa Fa DF Fa lr PE ade st s Ausgesiebt von Tim Sch rmann Schon in kleinen Netzen spucken die laufenden Dienste zahlreiche Log Daten aus Administratoren laufen dann nicht nur Gefahr eine Fehlermeldung zu bersehen Einem Problem auf die Spur zu kommen hnelt dann auch der Suche nach einer Nadel im Heuhaufen Die Informationsflut b ndigen Datenbestand weiter 1 Administratoren d rfen die Ereignisse weder statistisch aus werten noch gezielt durchsuchen Intern wandelt Fluentd die eingehenden Daten wann immer m glich in das JSON Format um 2 Auf diese Weise will das Werkzeug die Weiterverarbeitung vereinheitlichen Die Entwickler bezeichnen Fluentd daher auch als Unified Logging Layer Die einstr menden Daten kann Fluentd sowohl im Hauptspeicher als auch in Da teien puffern sodass im Fall der F lle keine wichtigen Informationen verloren gehen Dar ber hinaus lassen sich mehrere Flu wendungen Die komplette Vorgehensweise veranschaulicht Bild 1 Nach diesem Prin zip arbeiten Fluentd Graylog2 Logstash und Octopussy Alle vier Werkzeuge wer den akt v weiterentwickelt stehen unter einer Open Source Li
42. Replikationsdatenbank vorgenommen wurden Hierf r m ssen Sie einen ent sprechenden Zusgriftsschutz gew hrleisten Die letzte gro e Herausforderung liegt darin die Komplexit t so niedrig wie m glich zu halten und ein praktikables M rz 2015 45 PRAXIS I Oracle HA System zu entwickeln das nicht nur die Anforderungen erf llt sondern auch be herrschbar bleibt Und bei allen berle gungen rund um eine Hochverf gbarkeit d rfen Sie nat rlich menschliches Versagen nicht au er Acht lassen und m ssen f r diesen Fall auch hier eine belastbare Backup Strategie umsetzen Replikation ist ein Projekt Schnell eine funktionierende Replikation einzurichten wird funktionieren in der Regel allerdings nicht sehr lange Als Zeit raum f r ein solches Projekt sollten Sie inklusive Evaluation und Testen mindes tens sechs Monate bis Inbetriebnahme einplanen Nachfolgend beschreiben wir ein Projekt in dem zusammen mit einer Hardwaremigration von einer ehemals Oracle Enterprise Edition 11g mit Data Guard Umgebung auf eine Oracle Stan dard Edition One 11g mit Dbvisit Re plicate migriert wurde Somit waren f r die verantwortlichen Da tenbankadministratoren und Entwickler gleich mehrere Probleme zu bew ltigen Dieser Umbau erfolgte um aus veralteter Hardware mit auslaufendem Support we nig Leistung und hohen Lizenzkosten eine neue Umgebung mit leistungsf higer Hardware erheblich geringeren Lizenz kos
43. SIEM Systems Es bindet ber SIEM Kol lektoren verschiedenste Datenquellen wie Server Netzkomponenten Management systeme Firewalls und Intrusion Detec tion Systeme an und konvertiert deren Si cherheitsmeldungen in ein einheitliches SIEM internes Format SIEM Prozessoren korrelieren diese Meldungen system ber greifend und werten sie regelbasiert aus Das SIEM Frontend ist bei den meisten aktuellen Produkten webbasiert und dient den Administratoren zur interaktiven Kon figuration des Systems und der Auswertung erkannter Sicherheitsprobleme Diese ver walten die meisten SIEM Systeme in einer Art integriertem Ticketsystem und erm g lichen so Drill Down Ansichten auf die ausl senden Meldungen der Datenquellen F r Alarmierungen und automatisierte Re aktionen lassen sich nachgeordnete Systeme ansto en Eine je nach Produkt mehr oder weniger umfangreiche Scripting Schnitt stelle oder API erm glicht das Manage M rz 2015 99 a um wissen Security Monitoring la e Ei kea pah Intrusion Detection Systeme Zentraler Logserwer ea u gt Switches Router Netrkomponenten SIEM Administrator TaN Honeypots Firewall et Dedizierte Sicherheitssysteme ii i a 9 o _ __ zentraler Ty j i u N nt M anagement VPN DS Tlientnetz C SIEM Nutrer Automatische Reaktionen Lopserwer _ Servernetz Bild 1 Architektur eines
44. SIEM Systems mit Datenquellen und nachgeordneten Systemen ment des SIEM Datenbestands durch ei genen Code und erg nzt so die interaktive Arbeit mit dem SIEM System Aufgaben der SIEM Grundkonfiguration Die Voraussetzung daf r ist beispielsweise das Bef llen des SIEM internen Asset Ma nagements idealerweise durch Anbindung an eine vorhandene DCIM L sung oder ein Configuration Management System Daraus erschlie en sich beispielsweise die Kritikalit t einzelner Systeme und grund legende Eigenschaften wie das eingesetzte Betriebssystem und die Position im ber wachten Netz Falls sp ter zum Beispiel ein Intrusion Detection System einen Angriff zur Ausnutzung einer aktuellen Windows Sicherheitsl cke meldet kann das SIEM System anders reagieren wenn das Ziel ein kritischer Windows Server im Produkti onsnetz ist als wenn es um einen Linux Server m Testlabor geht Der Aufwand f r das Einbringen solcher Basisinformationen ist hoch insbesondere wenn die Daten nicht einfach aus bereits vorhandenen Sys temen importiert werden k nnen Viele Produkte enthalten als Alternative eine Au to Discovery Funktion die Sie jedoch nur nutzen sollten wenn Sie sicherstellen k n nen dass sich dadurch keine Inkonsistenzen mit anderen Datenbest nden ergeben Letztere k nnen im laufenden Betrieb mehr Aufwand verursachen als Sie sich durch anderweitigen Import oder manu elles Eintragen ersparen 100 M rz 2015 Ebenso sollten
45. Sie in der Exchange Systemsteuerung ber die Zuweisungsrollenrichtlinie diese den Anwendern zuweisen In Exchange Server 2013 verwenden Sie dazu die Ex change Verwaltungskonsole und den Be reich Berechtigungen Benutzerrollen In den Eigenschaften der Default Role Assignment Policy weisen Sie die neu er stellte Verwaltungsrollengruppe hinzu und best tigen die nderung Haben Sie eine zugewiesene Rollengruppe kopiert ent fernen Sie den Haken f r die bereits zu gewiesene und setzen den Haken bei der von Ihnen erstellten Richtlinie sodass die Anwender nur die neuen Rechte erhalten Anschlie end wird ber die Richtlinie allen Anwendern f r die diese Richtlinie gilt die Verwaltungsrollengruppe zugewie sen Sie k nnen f r den Vorgang aber auch den RBAC Manager verwenden Dazu klicken Sie auf die Schaltfl che Show As signment Policies w hlen die Default Role Assignment Policy aus und weisen die von Ihnen erstellte Verwaltungsrollen gruppe zu Durch die Zuweisung an die Richtlinie werden allen Benutzern denen diese Richtlinie zugewiesen ist die Rechte erteilt die Sie der Verwaltungsrollengruppe zugewiesen haben Welche Richtlinie einem Benutzer zu gewiesen ist sehen Sie in den Einstel lungen des Postfachs In Exchange Server 2013 finden Sie die Einstellung ber Empf nger und dann ber das Men Postfachfunktionen Fazit Schwere T ren in Exchange lassen sich erfreulicherweise in v
46. Standby Seite und appliziert diese auf die Standby Datenbank Anpassungen erforderlich Wie bereits beschrieben m ssen wir zu typischen Problemen einer Replikations l sung auch f r diese Umgebung indivi duelle L sungen finden Alle nachfolgen den Aussagen beziehen s ch ausschlie lich auf eine Replikation mit Dbvisit Replicate und k nnen sich von anderen Werkzeu gen unterscheiden Dabei m ssen wir be achten dass es sich bei der replizierten Datenbank um eine eigenst ndige Daten bank handelt Eigenst ndig hei t zun chst dass SYS und SYSTEM Objekte nicht repliziert werden Dies bedeutet weiter dass hier ein entsprechendes Monitoring stattfinden muss Noch entscheidender ist dass dadurch nicht jedes DDL unterst tzt wird und somit beispielsweise das Anlegen eines neuen Tablespaces nicht auf beiden Seiten automatisch erfolgt In unserem aktuellen Setup repliziert Dbvisit grunds tzlich keine Trigger Con straints Sequences ALTER DATABASE und ALTER SYSTEM Kommandos oder Datenbankstrukturen Hierf r schaffen wir einen entsprechenden Ablauf im Betrieb der daf r sorgt dass derartige nderungen auf beiden Seiten angewendet und auf Konformit t hin berpr ft werden Ein weiteres Problem stellen spezielle Daten typen dar die Dbvisit Replicate nicht un terst tzt und daher sofern genutzt an derweitig auf die replizierte Datenbank gebracht werden m ssen In diesem Pro jekt betraf das den XMLTYPE M
47. Temperatur von 18 3 Grad Celsius F r einen Serverraum gar nicht mal so schlecht Jetzt brauchen Sie nur noch ein Bashscript das im Minuten takt die Temperatur mitloggt und Alarm schlagen kann siehe auch Listing 1 Mit cd wechseln Sie ins Homeverzeich nis mit nano temperatur sh legen Sie eine neue Datei an und f gen den Code aus www it administrator de Listing 1 ein Mit Strg O Return und Strg X speichern Sie die Datei unter dem gew nschten Namen ab und verlas sen den Editor In den ersten beiden Zeilen definieren Sie den oberen und unteren Grenzwert der einen Alarm ausl st In Zeile 4 und 5 lesen Sie den Temperaturwert aus Ge gebenenfalls m ssen Sie den Pfad in Zei le 3 28 0014106c92ff anpassen Da die Shell nur Ganzzahlen unterst tzt rechnen Sie den gemessenen Wert mit printf 1d t 1000 in einen ganzzah ligen Wert um der die Temperatur in Grad Celsius angibt Anschlie end wird der Wert in ein Logfile geschrieben und bei Bedarf ein Alarm ausgel st Die zugeh rige E Mail verschicken Sie mit einem Python Skript Damit Sie nicht jede Minute eine E Mail bekommen sondern beispielsweise nur alle f nf Minuten pr fen Sie mit dem Befehl date r home pi mail sent log s wann die letzte Alarm E Mail verschickt wurde Nur wenn das lange ge nug her ist schicken Sie eine erneute E Mail Um diesen Mechanismus erstmalig nutzen zu k nnen m ssen Sie mit touch home pi mailsent lo
48. URL f r Ihr Abonnement in unserem Beispiel www it administrator de https www dropbox com sso 12018794 Speichern Sie die URL in die Zwischen ablage bevor Sie in den weiteren Einstel lungen die Option Required f r die SSO Einstellung f r Dropbox w hlen Die se zwingt die Benutzer dazu ein SSO durch das Azure AD zu vollziehen es gibt keine Passw rter die Dropbox f r Ihre Benutzer speichern soll Keine Sorge administrative Benutzer k nnen sich weiterhin bei Drop box anmelden falls das Azure AD oder hr lokaler ADFS einmal nicht verf gbar sind Online Dienst hinzuf gen Machen wir uns nun an das Erstellen des Dropbox SSO ber das Azure AD Portal Hierzu melden Sie sich als Global Admi nistrator am Azure Management Portal an sehen Sie alle Unter Active Directory registrierten Verzeichnisse W hlen Sie Ihr Verzeichnis aus und suchen Sie im oberen Men anschlie end die Option Appli cations Dort finden Sie alle registrierten Anwendungen aufgelistet Sollten Sie das Directory f r Office 365 nutzen erschei nen dort Exchange Online und SharePoint Online als die ersten beiden Anwendun gen Per Klick auf Add im unteren Me n starten Sie den Assistenten f r neue Anwendungen Best tigen Sie nun Azure AD dass Sie fortfahren m chten mit Add an application from the gallery Die Galerie kennt mehr als 2 400 Anwen dungen die in verschiedenen Kategorien zusammengefasst sind Im rechte
49. Um dem Namensspiel noch das sprichw rtliche I T pfelchen zu verpassen das Programm hie zuvor vCenter Hy peric Wie alle Anbieter dieser Gr en ordnung beginnt auch das Produktmana gement bei VMware seine Kunden durch stetes Umbenennen der L sungen zu qu len dies aber nur am Rande bemerkt In einem Satz Hyperic berwacht Be triebssysteme Middleware und Applika tionen die in physischen virtuellen oder Cloud Umgebungen ausgef hrt werden Laut Produktbeschreibung erh lt der Ad ministrator so leicht den verst ndlichen Einblick in die Verf gbarkeit Performance Auslastung Ereignisse Protokolle und n derungen auf jeder Ebene des Virtualisie rungs Stacks vom vSphere Hypervisor bis hin zum eigentlichen Gastbetriebssys tem Die Integration in vRealize Opera tions Manager bietet dem Kunden die n tige Transparenz und erm glicht ein einheitliches Management von Infrastruk tur Middleware und Anwendungen ber 26 M rz 2015 VMware vRealize Hyperic Der Alles Seher von Thomas B r Umfassende berwachung von Anwendungen Middleware Betriebssystem und Infrastruktur so lautet das erkl rte Ziel von VMware vRealize Hyperic Es verspricht die sofortige automatische Erkennung von ber 120 g ngigen Middleware L sungen und Anwendungen Dabei soll eine vorkonfigurierte Best Practice Sammlung f r Key Performance Indicators f r eine schnellere Einrichtung der berwachung durch den Administ
50. Verbin f dungen im Netzwerk und passt sich dank individueller Au uU un Beirie Nutzung als Desktop oder 19 Rack Ger t perfekt an jede Applikation an von organisationsweitem Nat rlich sicher und backdoor free S if M it VDSL2 vectoring ready ecuri y oni oring gt Multi Breitband Zugang mehrfach xDSL LTE T glich entstehen im IT Betrieb unz hlige Daten in denen sich sicherheitsrelevante iniegslenies ABULE Da SSSSE DAIUEWIE Informationen verbergen Doch h ndisch ist diesem Datenmeer keine sinnvolle In Robustes Metallgeh use ua formation abzuringen Security Information amp Event Management Systeme sollen H chste Performance durch integrierte Hardware Ri a Verschl sselung helfen die organisationsweite Sicherheitslage der IT abzubilden Dies kann jedoch gt WLAN Controller Funktionalit t nur funktionieren wenn IT Verantwortliche beim Design der SIEM und Sensorarchitektur einige wichtige Grundregeln beachten Wir stellen die wichtigsten Eckpunkte vor die bei der Auswahl eines SIEM Systems und beim Design des Zusammenspiels mit Datenquellen und nachgeordneten Systemen zu ber cksichtigen sind Seite 99 37 Server und on erh I J A j Sicherheit A Weiterbildung J Clientmanagement DD Messaging H Virtualisierung D Storage I Netzwerkmanagement 8 Recht RUBRIKEN 03 Editorial 04 Inhalt bintec elmeg GmbH bintec elmeg S dwestpark 94 Teldat Group u D 70449 N rnber
51. Wer nur f r im Adressbuch als wichtig mar kierte Kontakte erreichbar sein will kann dies ebenfalls hier einstellen Im gleichen Atemzug hat Google dem Nutzer aller dings die Option genommen das Telefon rein durch das Bet tigen des Lautst rke Resglers lautlos zu schalten Vibration ist nun die kleinste Stufe Wer ein wirklich lautloses Handy haben m chte muss nun zwangsl ufig mit den Unterbrechungs Einstellungen arbeiten Den Kalender hat Google ebenfalls ber arbeitet und optisch aufgefrischt Noch immer fehlt f r die Aufgabenverwaltung eine interne App Hier m ssen Anwender weiter auf Dritt Anbieter ausweichen was ein echtes Manko im Vergleich zu Windows Phone 8 1 oder 10S ist Allerdings l sst sich Android 5 weiterhin problemlos an Exchange Office 365 an binden Leider funktioniert auch in der neuesten Android Version das AutoDis covery noch nicht optimal Wird der Post eingangsserver von Office 365 nicht ge funden l sst sich das Problem allerdings l sen wenn outlook office365 com als E Mail Server angegeben wird Die App zur Multi Faktor Authentifizierung f r Office 365 unterst tzt auch Android 5 Hier soll ten Administratoren aber auf regelm ige Updates pr fen Das Wischen von oben nach unten blen det auf dem Home Screen die aktuellen Benachrichtigungen ein ein nochmaliges Android 5 I PRAXIS CIE Wischen f hrt zu den Schnelleinstellun gen Hier sehen Sie auch die WLAN Verbindun
52. X ab Leopard sowie alle g n gigen Linux Distributionen mit Python 2 6 oder h her Die Preise f r die Li Zenzen richten sich nach der Zahl der Arbeitsstationen und sind unabh ngig von der Betriebssystem Plattform ACMP Desktop Automation kostet f r 100 Clients beispielsweise 30 12 Euro pro Lizenz zuz glich ein Jahr Wartung be 0 2 Buro pro Lizenz dr Aagon www aagon de MongoDB 3 0 ver ffentlicht Mit dem Release 3 0 ist nach Aussagen der MongoDB Entwickler ein neuer Meilenstein in der Geschichte der NoSQL Datenbank erreicht So bringt MongoDB 3 0 gleichzeitig bessere Performance und mehr Flexi bilit t Letzteres wird durch eine Ar chitektur erreicht die es erlaubt un terschiedliche Storage Backends zu verwenden Davon macht die im ak tuellen Release enthaltene Storage Engine Wired Tiger Gebrauch die durch den Einkauf der gleichnamigen Firma in den Besitz von MongoDB ge kommen ist Die originale Storage En gine die jetzt den Namen MMAPvI erhalten hat wurde dahingehend ver bessert dass sie gleichzeitige Zugriffe auf der Ebene von Collections erlaubt und effizienteres Journaling bietet WiredTiger implementiert die Kon trolle f r gleichzeitige Zugriffe auf der Ebene von Dokumenten und reduziert durch die Verwendung transparenter Komprimierung den Speicherplatz um bis zu 80 Prozent Zum besseren Ma nagement enth lt MongoDB 3 0 eine neue Software Komponente namens Ops Manager die viele der bisher verwen
53. Zertifikat laden Sie ebenfalls im glei chen Schritt als CER Datei in Dropbox hoch Damit w re Dropbox fertig konfi guriert Was fehlt ist der Abschluss des As sistenten in Azure AD Best tigen Sie die Checkbox im dritten Schritt und beenden Sie den Assistenten Die Checkbox weist Azure AD an das heruntergeladene Zer tifikat f r Dropbox freizugeben Sonst bliebe das Zertifikat pending und wird nicht freigeschaltet Der zweite Schritt findet unter dem Punkt Configure user provisioning statt Der Assistent erm glicht das Provisionieren von Benutzern ber einen einzelnen Schritt Die n tige Erlaubnis Benutzer er stellen modifizieren und l schen zu d rfen erteilen Sie Azure AD dabei in Dropbox Mit einem Klick auf Enable user provi sioning ffnet sich ein neues Dropbox Fenster das um die Autorisierung von Azu re AD bittet Sind Sie mittlerweile nicht mehr bei Dropbox eingeloggt werden Sie erneut aufgefordert sich anzumelden Der dritte Schritt hei t Assign users Der Button wechselt auf die Users and Groups bersicht f r die Anwendung 50 M rz 2015 Von hier aus werden die Benutzer und gegebenenfalls Gruppen f r die Anwen dung aktiviert Abgesehen von einzelnen Testbenutzern sollten Sie hier im Zuge der bersicht nur Gruppen gestatten die Anwendung zu benutzen Hier unterscheidet sich die Ansicht in Azure Active Directory Premium von der normalen Ansicht Haben Sie Azure AD Premium lize
54. Zu stands keine Antwort erh lt ndert sich der Zustand des Monitors in Nicht verf gbar Reparatur Repairing Dieser Status wird vom Administrator definiert um dem System anzuzeigen dass Reparaturma nahmen ausgef hrt werden Den Status eines Monitors k nnen Sie mit dem Be fehl Set ServerMonitor und dem Parameter Repairing auf Reparatur setzen Set ServerMonitor Server LabO1Ex01 Name DatabaseSizeEscalationPro cessingMonitor TargetResource DBO4 Repairing true il Monitor Antwortdienst System Center Operation Manager Bild 2 Diese bersicht zeigt die verschiedenen Komponenten der Managed Availability in Exchange 2013 M rz 2015 95 Sofern MA eine Komponente als unge sund einstuft markiert er diese Kompo nente als Offline oder Inactive Da durch wird keine T tigkeit in dem Bereich ausgef hrt Andere Server sehen den Status einzelner Komponenten und ignorieren diese im Fehlerfall Den Status der ein zelnen Komponenten eines Servers zeigen Sie sich mit folgendem Befehl an Get ServerComponentState Identity LAB01EX01 Monitoring der MA Aktivit ten Pr fen Sie zun chst mit Get HealthReport regelm ig die Integrit t des Servers Da nur fehlerhafte Zust nde interessieren k nnen Sie diese auch direkt abfragen Get HealthReport Server LABOIEXOL where AlertValue ne Healthy Mit Get ServerHealth pr fen Sie als N chs tes welcher Monitor des Health Sets
55. Zudem werden in XML Dateien im Exchange Installationsverzeichnis im Ordner bin Monitoring config Config Ein stellungen f r einige der Test und ber wachungsarbeitsaufgaben abgelegt Weiterhin gibt es noch die Integrit ts postf cher die f r Pr faktivit ten zur An wendung kommen Dabei werden in jeder Postfachdatenbank mehrere Integrit ts postf cher vorgehalten Anzeigen lassen k nnen Sie sich die Postf cher ber Get mailbox monitoring ft Name Database Am wichtigsten ist aber das Ereignispro tokoll da hier s mtliche Tests und Ergeb nisse zu finden sind Da es einige hundert www it administrator de Ereignisanzeige Lokal p gt Benutzerdefinierte Ansichten p Im Windows Protokolle 4 Anwendungs und Dienstprotokolle f Hardware Ereignisse amp Internet Explorer a Microsoft 4 Exchange a ActiveMonitoring E MaintenanceDefinition E MaintenanceResult E MonitorDefinition E MonitorResult ProbeDefinition E ProbeResult E ResponderDefinition E ResponderResult Compliance I Dx5toreHA HighAvailability MailboxDatabaseFailureltems ManagedAvailability E InvokeNowRegquest B InvokeNowResult g Monitoring B RecoveryActionLogs g RecoveryActionResults B RemoteActionLogs E StartupNotification g ThrottlingConfig Bild 1 Das Event Log ist bei MA eine sehr auskunftsfreudige Anlaufstelle die sich am besten ber die PowerShell abfragen l sst Tests gibt fallen die Eintr
56. auch ohne st ndigen E Mail Zugriff zumindest bei Problemen schnelle Nachricht zu erhalten Zus tzlich fiel uns auf dass es Benach richtigungen f r ein Modul Skripte gab Auf R ckfrage best tigte der Hersteller dass es sich hierbei um ein neues Modul handelt das es erm glicht PowerShell Skripte in Syspectr zu hinterlegen und auf dem PC auszuf hren Die Ver ffent lichung dieser neuen Funktion ist f r das erste Quartal dieses Jahres geplant Fazit Die Inbetriebnahme von O amp O Syspectr erfolgt schnell und die Installation bezie hungsweise das Ausrollen der MSI Pakete verl uft ohne H rden Die Weboberfl che ist modern gestaltet und zeigt keinerlei programmiertechnische M ngel oder Aus setzer Die Funktionen selber sind solide umgesetzt und machen das was sie sollen An vielen Stellen macht sich jedoch die junge Geschichte des Tools bemerkbar da uns Einstellungen und Funktionen feh len So w nschen wir uns sowohl detail lierte Optionen bei der USB berwa chung als auch mehr M glichkeiten gerade Windows Einstellungen vorzu nehmen zu denen Syspectr Warnungen ausgibt wie UAC einzuschalten oder das Gastkonto zu deaktivieren Die In stallation von Windows Updates geh rt zur Basis Funktion einer solchen L sung die derzeit fehlende Remote Software installation hingegen w re die K r und ein besonderes Merkmal Aber sie will der Hersteller noch implementieren Gleiches gilt f r das
57. auf 35 Euro Mit Windows 10 f r Raspber Gefahrenabwehr mit Hirn Aus dem Hause TeamViewer kommt mit ITbrain Anti Malware ein webbasier ter Gefahren Schutz f r kleine und mit telst ndische Unternehmen auf den Markt ber eine cloudbasierte Management Konsole k nnen Firmen alle Endpunkte in Echtzeit zentral berwachen unabh n gig vom Mix an eingesetzten Windows Desktops und Servern Ein Dashboard bietet dabei eine Status Momentauf nahme aller verwalteten Clients in Echtzeit W hrend Administratoren alle wesentlichen Rechte besitzen haben An gestellte keinen Zugriff auf bergreifende Sicherheitsregeln und Einstellungen Mehrmals am Tag aktualisiert sich das Werkzeug selbst wobei die neuesten Signaturen heruntergeladen werden a u Entdeckte sch dliche Dateien werden auto matisch in Quarant ne verschoben ohne dass Mitarbeiter daf r aktiv werden m ssen Bei Bedarf kann der An wender diese Dateien auch wiederherstellen Unternehmen k nnen 8 M rz 2015 Die neue Generation des Raspberry Pi ist gegen ber dem Vorg nger bis zu sechsmal schneller ry Pi 2 will Microsoft seine Aktivit ten im Bereich Internet of Things IoT weiter ausbauen Vorher gab es bereits eine Win dows Version f r das Galileo Board von Intel Bislang wird der Raspberry Pi vor allem mit Linux Distributionen betrie ben etwa mit einer speziellen Debian Dis tribution namens Raspbian of Raspberry Pi
58. berwachung zu integrieren www it administrator de ste Search Project Infrastrocture Editor Run Window aea 0 9 15 Br Package Explorer NS Resource Sei E world esim H a iP en a platformy resourceftest world esim a D customization a Word E archweselectorisel js 3 default iem_js a gt global a deploymentantormation esc A giobal securidy g helserver customization profile master customizstion profiles S targetPlatform esd E output L ntegration recipe nodehappings esc produchne rechpe ga workd escn P weorkd esim D platformani 4 System Node nodet Extermal Driver null node i Run Configurations type Folter text a Eclipse Application Hew_confhguration 1 En Java Applet 8 lIl sted Create manage and run configurations s mser launch cond guratecn i Name Mew_confeguraton Hive Configuration Eporer Configuration workspace _loc test platforma EI Java Application platform platform platformc p Fu Amt Ju Writ Plug in Test m Maven Build 0561 Framework ed SCADA Driver A Hew_configuration Joj Task Context Test Selection Parent Ha consoles to disp Bild 3 Das SCADA Plug In erlaubt die lokale Simulation von Konfigurationen die beispielsweise Daten ber Modbus beziehen frastruktur und dem Komponentenmo dell Das Infrastrukturmodell ist in Form der Datei world esim implementiert Diese
59. d rfte den Arbeitsprozess der Benutzer allerdings mitunter st ren In den Einstellungen hat ten wir noch die Auswahl die Automa tische Defragmentierung im Hinter grund zu aktivieren sowie Optimieren wenn Benutzer abwesend ist wenn Bild schirmschoner aktiv einzuschalten Ge rade letztere Option ist sicher sinnvoll um ein m glichst ungest rtes Arbeiten der User sicherzustellen In den weiteren automatischen Optimierungen w hlten wir SSDs regelm ig mit TRIM opti mieren sowie Freien Speicherplatz auf Festplatten regelm ig l schen Weiter zeigten uns die Punkte Hardware die verbundenen Komponenten und Software die installierten Programme an Die Installation zus tzlicher oder die Deinstallation vorhandener Software war nicht m glich ber Festplatten sahen wir eine bersicht der Partitionen sowie eine grafisch aufbereitete Darstellung des verwendeten Speicherplatzes Passend dazu zeigte uns das O amp O DriveLED die Temperatur und Laufzeit der Festplatten an wobei diese Angaben auf S M A R T Werten basieren Weitere Details kamen nach dem Aufklappen des Eintrags zum Vorschein Warnmeldungen versendet das Modul nach allgemeinen Grenzwerten die sich nicht ndern lassen Zugriff auf USB Speicher deaktivieren Auf der Seite USB Speicher listete Sys pectr auf ob und welche USB Speicher O amp O Syspectr I TESTS gu angeschlossen waren ber die Einstel lungen konnten wir festlegen
60. dazu angebotenen Zusatzsoftware sicher schneller zum Ziel als mit PowerApp Wer jedoch den Anspruch erhebt keine vor gefertigte L sung zu nutzen sondern alle Regelwerke inklusive Konzept selbst defi nieren will der ist bei PowerApp richtig auf gehoben Dann muss er aber bereit sein auch wirklich von Grund auf zu beginnen Ge nerelles Optimierungspotenzial sehen wir bei PowerApp in der Dokumentation die zwar die Funktionen grundlegend beschreibt aber diverse L cken aufweist dr ir NA und ogone wurde Ingenico Payment Services ingenico http payment services ingenico com M rz 2015 17 NEXT GENERATION 1 amp 1 CLOUD SERVER Easy to use ready to cloud Die neuen 1 amp 1 Cloud Server bieten Ihnen die perfekte Kombination aus der Leistungsst rke dedizierter Hardware und der Flexibilit t der Cloud FLEXIBEL amp G NSTIG EINFACH amp SICHER ALLES INKLUSIVE Individuelle Konfiguration 1 amp 1 Cloud Panel Top Performance m SSD RAM und CPU sind unabh ngig m NEU Die innovative nutzerfreund m NEU Bereitstellung Ihres Cloud voneinander flexibel einstellbar und liche Oberfl che mit Smart Admi Servers in weniger als 1 Minute lassen sich so genau an Ihre Anforder nistration erleichtert die Verwaltung m NEU Premium SSD mit virtual ungen anpassen Ihres Servers unlimited Performance a m NEU Private Netzwerke Kostentransparent Sicherheit professionelles API Load Balancers m NE
61. de downloads software Download der Woche M rz 2015 73 Workshop M eh der Active Directo ferbu Vertrauen ist besser mit Kontrolle von Klaus Bierschenk Die Active Directory Verbunddienste spielen in Unternehmen eine immer wichtigere Rolle insbesondere f r darauf basierende Vertrauens stellungen zu Office 365 oder zu Partnerunternehmen Daher sollte der IT Verantwortliche die Farm stets im Auge behalten denn St rungen im Betrieb werden dem Anwender mitleidlos quittiert und der Zugriff auf die gew nschte Webseite verweigert Unser Workshop zeigt Wege diesen Dienst zu berwachen sei es nun mit der gro en L sung System Center oder kostenlosen Skripten und Bordmitteln D ie Implementierung der Active Directory Verbunddienste AD Federation Services ADFS unterliegt zahlreichen Abh ngigkeiten die den Be trieb in unterschiedliche Weise st ren k nnen Da ist zum einen das Active Di rectory in dem sich das Dienstkonto un ter dessen Kontext der jeweilige ADFS Service l uft befindet Das Konto hat zwar keine speziellen Berechtigungen die es zu berwachen gilt aber ein ge sperrtes Konto kann dennoch f r Unmut sorgen Gleiches gilt f r die im AD ver walteten Service Principal Names SPN L uft hier etwas schief weil etwa ein SPN doppelt registriert wurde dann ist die Fehlersuche meist schwierig Eine bis da to intakte ADFS Farm sorgt dann aus heiterem Himmel und scheinbar ohne A
62. der Benutzer eingeladen wird und einen Link f r die Aktivierung Nach der Aktivierung ist Single Sign On f r die Configure single sign on at Dropbox for Business Dropbox for Business requires configuration to enable federated single sign on Uze the following files or values when required by the instructions CERTIFICATE Download certificate SIGN IN PAGE URL httpss login windows net aafc chd I22b 6 76 ba gt l 38cC1efbs ik T Lonfirm that you have conhgured single sign on as described above Checking this will enable the current certhcate to Start wor ng for this application Bild 3 F r die F derierung von Anwendungen mit Azure AD m ssen die Anmelde URLs und ein Zertifikat ausgetauscht werden www it administrator de dropbox for business db Dass USERS AND GAOUPS DIRPLAT MAMII UBER BA a TITLE Amiha Geir Orage m Ameba Harme Amalka Pik ala 2 PT hA SCH Araba Lauter een Aabe GR SLEPOHT EHGINEER est a DE Azure Active Directory I PRAXIS Amelie DEPAATMIERNT ALERT BT LIFUHTESCHFHREN Jrszegnei Unassarned Inhalte AAD Dropin Bus ar Bild 4 Zugriffe auf SaaS Angebote werden zentral gesteuert und entweder direkt an Benutzer zugewiesen oder ber die Mitgliedschaft in Zugriffsgruppen Benutzer m glich Am Anmeldefenster geben sie ihren Benutzernamen ein und werden dann von ADFS authentifiziert SSO gelingt also ohne dass der Benutzer erneut das Passwort eingibt Tw
63. die Mensch Maschinen Interaktion und auf der Daten Server Ebene das eigentliche Monitoring statt Die Kommunikation in nerhalb von SCADA Systemen erfolgt auf TCP IP Bas s Doch das gen gt nat rlich nicht um mit den verschiedensten Quel len kommunizieren zu k nnen Welche Protokolle beispielsweise f r den Daten austausch mit Feldbussystemen zum Ein satz kommen ist von Umgebung zu Um gebung unterschiedlich Zwar gibt es Bestrebungen die Kommu nikation insbesondere in der Automatisie rungstechnik zu standardisieren Stich wort OPC OLE for Process Control doch ist die Praxis noch weit davon ent fernt und gekennzeichnet von propriet ren Protokollen Immerhin Offene Protokolle wie Modbus erfreuen sich gro er Beliebt heit ber spezielle Gateways l sst sich zu dem die Kommunikation vereinfachen Damit Eclipse SCADA berhaupt mit den unterschiedlichen Systemen kommuni zieren und deren Daten einsammeln kann ben tigt es Kommunikationsschnittstellen Die werden durch spezielle Treiber reali siert hnlich den Software Treibern auf PCs Bislang gibt es folgende Treiber www it administrator de Eclipse SCADA I SCHWERPUNKT Exec JDBC Modbus SNMP OPC Proxy Eclipse SCADA mit drei Kernfunktionen Das Grundprinzip von Eclipse SCADA ist kein neues im Gegenteil denn Sie begegnen ihm in jeder Netzwerkmoni toring Umgebung das Aggregieren und Konsolidieren von Daten damit
64. die Laufzeit noch weiter zu erh hen Die Schwellenwerte k nnen Anwender in den Einstellungen selbst festlegen Au erdem kann Android 5 mehr Statis tiken und Informationen zum Akku Verbrauch anzeigen Das ist vor allem f r Entwickler interessant und f r Adminis tratoren die einen berblick dar ber er halten wollen welche Apps den Akku von Ger ten am meisten belasten Au erdem informiert das Betriebssystem dar ber wie lange der Akku unter den aktuellen Be 60 M rz 2015 dingungen voraussichtlich noch l uft Beim Aufladen wird auf dem Lock Screen zudem angezeigt wie lange es noch dau ern wird bis der Akku voll aufgeladen ist Sicher wie Fort KNOX Android 5 hat Funktionen von Samsung KNOX im Betriebssystem fest integriert ber diesen Weg lassen sich private und Unternehmensdaten besser voneinander trennen f r Unternehmen mit BYOD Ansatz eine wertvolle Neuerung Es gibt zum Beispiel die M glichkeit Container zu erstellen auf die nur der lokale Anwen der Zugriff hat Zentraler Bestandteil von KNOX in Android 5 sind au erdem MDM APIs das KNOX Standard SDK fr her bekannt unter dem Namen SAFE sowie einige Bereiche von SE for Android Viele KNOX Funktionen lassen sich je doch nicht ohne KNOX Infrastruktur in Android 5 verwenden Dazu geh ren Hardware abh ngige Sicherheitselemente wie ARM TrustZone basierte Integrity Management Architecture TIMA Trusted Boot Client Certificate Management
65. die St rung zu sp t erkannt wurde ist pl tzlich der Server down W hrend sich die Mitarbeiter der anderen Abteilungen fragen was passiert ist k mpft der Administrator gegen die Uhr Dieser Zeitdruck muss nicht sein Eine Netzwerk Monitoring L sung h tte Schlimmeres verhindern k nnen da sie pr ventiv alarmiert Modernes Monitoring geht sogar noch einen Schritt weiter Damit der Administrator nicht nur von seinem Schreibtisch aus sondern auch unterwegs alles im Blick hat bietet PRTG Network Monitor kostenlose Apps f r mobile Endger te Den entscheidenden Informationsvorsprung sichern die neuen Push Nachrichten die direkt auf dem Display den aktuellen Netzwerkstatus anzeigen TOKEN ANFORDERUNG PUSH NACHRICHT 1 TOKEN amp NAME DES GER TS fi a Schematischer Ablauf der Push Benachrichtigungen in PRTG D ie kostenfreien Push Mitteilungen erg nzen SMS und E Mail Benach richtigungen um eine noch schnellere Option Sie werden ber eine ei gene Cloud Infrastruktur bermittelt und informieren direkt ber eventuelle Vor bzw Ausf lle im Netzwerk Ein weiteres Plus Push belastet den Akku des Endger ts weniger als die bisherige Pull Methode Mit einem Finger tipp auf die Push Info kann der Admin die PRTG App anzeigen lassen und Details zu den Warnungen oder Ausf llen einsehen Wann wurde der Alarm abgesetzt wie sieht der Graph dazu aus welche weiteren Ger te sind betroffen Speziell f
66. diese dem Administrator oder Benutzern in einer verst ndlichen Form pr sentiert werden Eclipse SCADA muss nat rlich flexibel ausgelegt sein um mit den unterschied lichen Quellen kommunizieren zu k n nen Das System stellt Ihnen drei Kern funktionen bereit DA Data Access Das Sammeln von Prozessdaten m glichst in Echtzeit AE Alarms amp Events Die berwa chung der DA Informationen deren Auswertung und gegebenenfalls Aus gabe von Warnungen HD Historical Data Das Speichern der gesammelten Daten ber einen l n geren Zeitraum hinweg Die wichtigste Aufgabe des DA Moduls ist das Einlesen von Daten aus unter schiedlichsten Datenquellen die dann der Auswertung und Visualisierung zugef hrt werden k nnen Angenommen die Quell daten stammen von einer Wetterstation und beinhalten Werte ber die Windrich tung und geschwindigkeit und verschie dene weitere m gliche Parameter wie Temperatur oder Luftfeuchtigkeit gene riert das System daraus analoge Werte Die Struktur ergibt sich dabei durch einen Namespace anstelle einer Datenstruktur Das sorgt f r eine deutlich einfachere Ver arbeitung da Sie alle Werte gleichberech tigt behandeln k nnen Ein weiterer Vor teil Ben tigen Sie f r eine Anwendung lediglich einen spezifischen Wert k nnen Sie nur diesen herauspicken Durch die umfangreichen sowie flexiblen Datenzugriffs und Einlesem glichkeiten ist es also recht einfach ein S
67. eine durchg ngige Unter st tzung von IPv6 auch Anfang 2015 immer noch rar Die Skalierbarkeit wird blicherweise in der Anzahl von Sicherheitsmeldungen pro Sekunde die vom SIEM System ent gegengenommen und verarbeitet wer den gemessen Einige Open Source und Community Edition Varianten sind dies bez glich zum Teil k nstlich auf eine zweistellige Anzahl von Events pro Se kunde EPS beschr nkt und eignen sich deshalb nur f r kleinere Umgebungen oder einen sehr selektiven Einsatz Bei kommerziellen Produkten an die bei spielsweise auch NetFlows von Routern als Datenquelle angebunden werden sind sechsstellige EPS Zahlen keine Selten heit aber h ufig auch Bemessungsgrund lage f r die Lizenzkosten T glich entstehen im IT Betrieb unz hlige Daten in denen sich sicherheitsrelevante Informationen verbergen Doch h ndisch ist diesem Datenmeer keine sinnvolle Information abzuringen Security Information amp Event Management Systeme sollen helfen die organisationsweite Sicher heitslage der IT abzubilden Dies kann jedoch nur funktio nieren wenn IT Verantwortliche beim Design der SIEM und Sensorarchitektur einige wichtige Grundregeln beachten Im Folgenden stellen wir die wichtigsten Eck punkte vor die bei der Auswahl eines SIEM Systems und beim Design des Zusammenspiels mit Datenquellen und nachgeordneten Systemen zu ber cksichtigen sind SIEM Architektur Bild 1 zeigt die typische Architektur eines
68. ge folgt von einem Leerzeichen und der Nummer der anzusprechenden Funk steckdose Es kann sein dass diese Num mer auf Ihrer Fernbedienung als Buch stabe gekennzeichnet ist Erst die letzte Ziffer gibt an ob die Steckdose ein oder ausgeschaltet werden soll Nun f gen Sie die entsprechenden Be fehle zum Ein und Ausschalten der Funk steckdose nur noch in das Skript tempera tur sh ein Erg nzen Sie dazu in der Datei temperatur sh den if Zweig der das ber schreiten der Maximaltemperatur regelt um die Zeile sudo home pi rcswitch pi send 10101 31 Achten Sie darauf Ihre individuelle Jum per Einstellung zu verwenden Beachten Sie auch die absolute Pfadangabe die mit home pi beginnt Ohne absoluten Pfad kann das Skript das als Cronjob ausgef hrt wird den Befehl send nicht finden Ab schlie end sollten Sie die Funksteckdose wieder ausschalten sobald die Maximal temperatur wieder unterschritten wird Da zu f gen Sie einen else Zweig ein die ge samte if Anweisung sehen Sie in Listing 3 Fazit Mit nur wenigen Bauteilen im Wert von unter 100 Euro k nnen Sie die Tempe ratur im Serverraum berwachen und au tomatisch Gegenma nahmen ergreifen und das ohne L tkolben oder Schrau benzieher Dabei k nnen Sie an den Raspberry auch noch weitere kosten g nstige Sensoren anschlie en zum Beispiel einen Entfernungsmesser der feststellt ob die T r zum Serverraum oder eines Serverracks ge ffnet wu
69. heinemann verlag de TESTS I Einkaufsf hrer End to End Monitoring CUOCA End to End Monitoring Durchgehende Einsichten a 9 Quelle Edhar Yuralaits 123RF w er in seinem Unternehmen IT Sup port leistet wei Die berwiegende Mehrzahl der Beschwerden dreht sich um die Anwendungs Performance Dem einen Nutzer dauert es zu lange bis eine Webseite aufgerufen wird der andere beklagt die unzuverl ssige SAP Anbindung in der Re mote Niederlassung Als interner Dienst leister muss die II Abteilung in der Lage sein zu all diesen Fragen fundiert Stellung zu beziehen berechtigten Einw nden nachzugehen und unberechtigte Kritik berzeugend zu entkr ften Daf r reicht ein klassisches Rot Gr n Monitoring der Netzwerkkomponenten das nur den Ist Zustand der einzelnen Sys teme berwacht heute jedoch nicht mehr aus Der IT Administrator ist vielmehr da rauf angewiesen proaktiv die End to End E2E Performance der Anwendungen im Blick zu behalten und zwar nicht nur anhand statischer Kennzahlen sondern auf grund der echten subjektiven User Expe rience am Anwender PC Mess Roboter simulieren Anwenderverhalten Kein Wunder also dass der Markt f r End to End Anwendungs Monitoring boomt Interessierte Unternehmen k n 34 M rz 2015 von Christian Hilbert Angesichts der kontinuierlich steigenden Anzahl gesch ftskritischer Business Cloud und Web Anwendung
70. hen allerdings nur zur Verf gung wenn Sie die Richtlinien lokal einsetzen oder mindes tens einen Dom nencontroller auf Windows Server 2012 R2 umstellen Die Anpassun gen lassen sich als Gruppenrichtlinien an mehrere Rechner verteilen oder auf Basis einzelner Settings in der lokalen Richtlinienverwaltung von Windows 8 1 in den Editio nen Pro und Enterprise Wir zeigen Ihnen in unserem exklusiven Online Workshop wichti ge Einstellungen und M glichkeiten die Server 2012 R2 zusammen mit Windows 8 1 bietet Dabei gehen wir beispielsweise auf den Offline Dom nenbeitritt sowie die Fest plattenverschl sselung mit BitLocker ein Neun Punkte f r ein modernes IP Adressmanagement IP Adressmanagement IPAM kann heutzutage in Unter nehmen nicht mehr stiefm tterlich behandelt werden Die Netzwerke werden immer gr er komplexer und dynami scher Gerade die fortschreitende Virtualisierung mit zahl reichen virtuellen Maschinen sorgt hier schnell f r un ber sichtliche Verh ltnisse Umso wichtiger sind moderne IPAM L sungen die Kosten reduzieren Fehler beseitigen und Prozesse beschleunigen In unserem Online Facharti kel gehen wir auf neun wichtige Punkte ein die Sie f r ein erfolgreiches IP Adressmanagement unbedingt ber ck sichtigen sollten Link Code F3W53 Windows 8 1 mit Gruppenrichtlinien verwalten 104 M rz 2015 Link Codes eingeben auf www it administrator de Echtzeitanalysen sind f r das Monit
71. lautet das erkl rte Ziel von VMware vRealize Hyperic Solch vollmundigen Versprechungen lassen 78 gt Workshop Open Source Tools zum Log Management unter Linux 82 J Workshop Eclipse SCADA Mit Eclipse SCADA schickt sich eine freie L sung an den Markt der Software Produkte f r das das IT Profi Herz aufhorchen und stellen sich unserem Test 30 Im Test 080 Syspectr 34 S Einkaufsf hrer End to End Monitoring berwachen und Steuern industrieller Prozesse aufzumischen Das End to End Anwendungs Monitoring das die Performance am Anwender PC analysiert steht bei 86 J Workshop Serverraum berwachung mit dem Raspberry Pi IT Abteilungen hoch im Kurs Unser Einkaufsf hrer untersucht welche Fragen sich IT Organisationen In diesem Workshop zeigen wir wie Sie einen Raspberry Pi f r die Temperatur berwachung vor einer entsprechenden Investition stellen sollten l im Serverraum nutzen o PRAXIS 90 J Workshop Netflow Reporting mit Google Analytics u Unser Workshop erl utert wie sich Google Analytics zum Speichern und Auswerten von Net Workshop SSD RAIDs mit optimaler Performance betreiben Die speziellen 0 Eigenschaften von SSDs erfordern optimierte RAID Controller und Einstellungen Flow Daten einsetzen l sst Wie Sie Ihr SSD RAID zu optimaler Performance bringen zeigen wir im Workshop 94 E Workshop Monitoring von Exchange 2013 mit Bordmitteln PO _ Mit Exchange 2013 gibt es den Best Practice Analyser nicht mehr
72. liegt falsch Intel analysiert die sen Umstand umfassend im Whitepaper Intel SSD DC S3500 Series Workload Characterization in RAID Configura tions 1 Erst bei acht SSDs im RAID 5 werden beim Schreiben die doppelten IOPS gegen ber drei SSDs erreicht Beim Vergleich von HWR mit SWR liegen bei drei SSDs beide gleichauf Das Setup mit vier SSDs im RAID 5 f llt f r SWR g nstiger aus Mixed Workloads und reines Schreiben bei 4K befinden sich zirka 4 000 IOPS ber HWR Bild 2 fasst die Ergebnisse einer einzelnen SSD von HWR und SWR mit drei und vier SSDs m RAID 5 zusammen Je leselastiger der Workload wird umso weniger machen sich die Parit tsberech nungen bemerkbar HWR liefert mit vier SSDs im RAID 5 fast 180 000 IOPS das ist mehr als das Doppelte einer ein zelnen SSD SWR liegt nicht ganz auf diesem Niveau und berschreitet knapp die 150 000 IOPS Marke Der Latenz Test verdeutlicht den Unterschied bei Le se und Schreib Zugriffen auf ein Weite res Von Lesen ber 65 35 mixed zu Schreiben addieren sich bei HW 0 12 ms hinzu SWR verzeichnet pro Workload einen Anstieg von etwa 0 10 ms Keine Bl e gibt sich RAID 5 beim Le se Durchsatz mit 1 024K Bl cken HWR verarbeitet bei vier SSDs m RAID 5 ber 1 2 GBit s SWR pendelt sich etwas da hinter bei 1 1 GBit s ein Der Schreib durchsatz wird durch das 80 GByte Modell begrenzt der laut Spezifikation beim Schrei ben bei 100 MBit s endet Die vier SSDs i
73. muss Der Dienst l uft vollst ndig auf der Serverfarm des Herstellers Um herauszu finden wie zuverl ssig Monitis arbeitet ha ben wir mit der L sung ber einen Zeit raum von mehr als einem Jahr reale Systeme in einer Produktivumgebung berwacht Um die berwachungen einzurichten loggten wir uns nach einer Registrierung auf der Webseite des Herstellers ein Die Frontpage ist in Dashboards unterteilt die sich individuell zusammenstellen lassen Um die bersicht zu behalten generierten wir mehrere Dashboards die als Register karten angeordnet sind Das Men ist ber sichtlich und unterteilt sich in Monitore Warnungen Statusansichten Berichte Ex tras und Hilfe Monitis unterscheidet zwi schen internen und externen berwa chungen Die internen beziehen sich auf Informationen die das System durch einen auf dem zu berwachenden Server instal lierten Agenten erh lt Externe berwa chungen sind solche die ber das Internet die Verf gbarkeit von Diensten pr fen Unkomplizierte Agenten Installation Wir installierten Agenten sowohl unter Linux als auch auf Windows 2012 Servern Unter Linux loggten wir uns auf der Kon 20 M rz 2015 Quelle bluedarkat 123RF sole ein und luden den Agenten mittels wget herunter Danach entpackten wir das tar gz Archiv im Ordner opt Bevor wir den Agenten konfigurierten stellten wir sicher dass die Bibliotheken libssl libc und libxml2 installiert waren Eb
74. n tzlichen Software Helfern Zahllose freie Tools aus der Community von namhaften Herstellern und Open Source Projekten Zur Optimierung der Systemsicherheit dem reibungslosen Systemmanagement der Virtualisierung und vielem mehr Abo und Leserservice Sonderheft I 15 stra je IP Adm d ofes mi elle system StI Das Magazin f rpr ef f Die gro e Admin Toolbox Er e ne 4 f 5 gt i An ur g fi r ei n i effiz zientes ystem und Netzwerkmanagement aia Mehr Infos und Bestellung unter vertriebsunion meynen Herr Stephan Orgel en http shop heinemann verlag de Fax 06123 9238 252 leserservice it administrator de Hardware im Ma anzug TUXEDO Computers sind individuell gebaute Computer und Notebooks die vollst ndig Linux tauglich sind Windows nat rlich auch eben Hardware im Maf anzug Assemblierung und Installation bei uns im Haus Selbst programmierte Treiber amp Scripte amp Addons Individueller Support amp eigene Repositories Angepasst f r 100 ige Funktionalit t aller Bestandteile Sondertasten Helligkeitsverstellung Fa Stand By Modus Ruhezustand Energiesparfunktionen Flugmodus Taste TRIM Funktionen f r SSDs uvm Andere Betriebssysteme kann jeder wir nat rlich auch Aber wir k nnen auch Linux und das so dass einfach alles funktioniert alles Ea TUXEDO icro Iq XEDO Book U 1403 a ab 349
75. ndlicherweise nur Informationen nut zen die auch als SNMP Objekt bereit gestellt werden und er muss alles selbst entwickeln und testen denn es sind kei nerlei Abl ufe vorbereitet Um das Festlegen von Kriterien f r Aktio nen zu vereinfachen steht in PowerApp ein MIB Browser zur Verf gung Damit lassen sich die MIB analysieren die relevanten SNMP OIDs mit ihren Werten heraussu chen undVergleichsregeln erstellen Im Test hatten wir dies f r die uns zur Verf gung stehende USV umgesetzt mussten aber schnell erkennen dass es recht m hevoll ist und intensiver Funktionstests bedarf Gerade in einer heterogenen Umgebung mit meh reren USV Modellen kann die Umsetzung langwierig und aufw ndig werden Bild 2 Zum Einschalten physischer Server unterst tzt PowerApp die Fernsteuerzug nge verschiedener Hersteller M rz 2015 15 TESTS I iQSol PowerApp m General FA Configuration group mY Seim Yirt zal Machine r Status check 5talus Check Type peormand Coirsrsand Typa Erste mulnisrungs mode EIN T ine Tast Hin Tha uncbansiiy la or porobie rer on whia To b ale 5 tonnad lo Fe VOirsr EI machine y pelni he Dreier iw an Ta ite ae Tha host wii Drejet ars EGN hosii Ta wil mtd i ala m P m irkeranip more Wf wil G ee manual ia eh date he mainenance mod Bild 3 Bei der Aufnahme eines Servers sind diverse Eingaben notwendig um den Anmeldetyp Der Vor
76. oder auch eine bidirektionale Replikation Dies sind jedoch Features die wir f r unsere Zwecke eine HA Umgebung mit der Standard Edition gar nicht ben tigen Jetzt ist es also an der Zeit ber den Tel lerrand zu schauen und uns mit verschie denen Drittanbieter L sungen zu besch f MOTA Hochverf gbarkeit mit der Oracle Standard Edition Einfach dauerhafter Betrieb von Sebastian Winkler Ausfallsicherheit ist f r eine produktive Datenbank nahezu unverzichtbar Strebt der IT Verantwortliche dieses Ziel mit seiner Oracle Datenbank an scheint die Standard Edition daf r ungeeignet und nur der tiefe Griff ins Portemonnaie zum Erwerb der passenden Lizenz hilft weiter Doch so kommt er nicht nur in den Genuss einer hochverf gbaren Datenbank sondern kauft auch zahlreiche Features die er nicht ben tigt Unser Workshop berichtet von Projekterfah rungen bei der Nutzung der Standard Edition f r HA Aufgaben und gibt Hinweise zur eigenen Umsetzung tigen die hier Abhilfe schaften Denn wenn die Standard Edition f r Ihre Zwecke aus reicht Sie aber trotzdem auf einen bezahl baren Schutz vor Ausf llen und Datenver lust nicht verzichten wollen finden Sie hier Ihre L sung Neben dem bekannten SharePlex von Quest respektive Dell hat vor allem Dbvisit mit seinem Standby Pro dukt zuletzt von sich reden gemacht Da neben hat Dbvisit mit Replicate auch eine eigene Replikationsl sung entwickelt Dies stellt ei
77. tistiken liefert und sich vom Administrator an die eigenen Bed rfnisse anpassen l sst Ein eigenes Repository f hrt die Plug Ins von Drittentwicklern 13 Octopussy Octopussy 14 steht unter der GNU GPLv3 der Quellcode liegt auf Github 15 Octopussy erkennt von Haus aus zahlreiche verschiedene Log Formate da runter das des BIND Nameservers des Linux Kernels des Squid Proxys von Post greSQL oder Cisco Ger ten Weitere For mate lassen sich Octopussy nachtr glich beibringen Intern verarbeitet das Werk zeug allerdings nur Syslog Meldungen Die Bedienung von Octopussy erfolgt ber eine Weboberfl che die sich ber Themes optisch anpassen l sst Eine An meldung erfolgt wahlweise mit Benutzer name und Passwort oder aber ber einen LDAP Server Auf Wunsch spricht die Be nutzeroberfl che Deutsch Im Test f hrte ein Umschalten der Sprache jedoch zu fehlerhaften bersetzungen input stdin output Stdout codec gt json Listing 1 Beispiel f r eine einfache Logstash Konfiguration Link Codes eingeben auf www it administrator de Log Management I SCHWERPUNKT In der Weboberfl che legt der Administrator zun chst sogenannte Ger te an von denen Octopussy die Logs einsammeln soll Meh rere Ger te lassen sich dabei in einer Grup pe zusammenfassen Erst in einem zweiten Schritt bestimmt der Administrator welche Log Daten Octopussy von einem Ger t abholen und verarbeiten s
78. und erzeugen Sie eine neue Verbindung Dazu klicken Sie mit der rechten Maustaste auf Systemeinstellun gen und w hlen Neue Verbindung Als URL verwenden Sie da ngp scada eclipse org 2101 Weisen Sie der Verbindung au erdem eine ID zu und speichern Sie diese mit einem Klick auf Finish Nun k nnen Sie mit einem Doppelklick auf den Verbindungseintrag eine Verbindung zu dem SCADA Server herstellen Als Benutzernamen verwenden Sie guest als Passwort guest12 Dann navigieren Sie im Verzeichnisbaum zum Eintrag LUX V Wie Sie der Eclipse basierten Umgebung entnehmen k nnen umfasst das Beispiel Setup vier Knoten scada eclipse org Hierbei handelt es sich um den Hauptserver der die Middle ware und das Wertearchiv hostet demo openscada org Der zweite Server hostet ebenfalls die Middleware und das Archiv Es handelt sich um einen Klon von scada eclipse org ostestl muc ibhmgt de Dieser Server hostet den Arduino Treiber arduino Hierbei handelt es sich um das Arduino Board Die Verbindung von scada eclipse org und seinem Klon zum Server ostest1 findet ber das DA NGP Protokoll und TCP IP statt Die Aufgabe des Arduino Treibers ist es ber die Ethernet Schnitt stelle die Daten von dem Board zu lesen Ein Treiber besteht blicherweise aus zwei Teilen Dem Auffangkorb der Daten und dem Protokoll Exportmechanismus Da in der Industrie Modbus ein weit ver breitetes BUS System ist s
79. und nachvollziehen zu k nnen de ren einzelne Teile auf den einzelnen Syste men ansonsten vielleicht im Grundrauschen untergehen w rden Zur bermittlung der Daten aus der jeweiligen Quelle an das SIEM System stehen in der Regel verschie dene Optionen zur Verf gung von der Konfiguration des SIEM Systems als zen traler Logserver ber die Installation von SIEM Agent Software auf dem Quellsys tem bis zum regelm igen Abruf ganzer Logfiles ber Secure Copy oder SFTP Jedes SIEM System bringt Unterst tzung f r ei nige weit verbreitete Logfile Formate out of the box mit Anders formatierte Logfi le Eintr ge erfordern eine zus tzliche Parser Konfiguration die je nach Hersteller ber eine einfache Regelsprache oder re gul re Ausdr cke erstellt werden kann b licherweise erfolgt die Anbindung von Da tenquellen ans SIEM System hierarchisch kaskadiert Wenn beispielsweise bereits ein zentraler Logserver von diversen Servern und Diensten genutzt wird wird nur dieser ans SIEM System angeschlossen und nicht jeder einzelne Server Auch wenn beispiels weise auf Arbeitsplatz PCs und anderen Clients gefundene Malware ausgewertet werden soll bietet es sich an den zentralen Antivirus Management Server ans SIEM System anzubinden und nicht jeden ein zelnen Client direkt Unabh ngig von den Grenzen die dem auswertbaren Datenvolumen durch Hard ware und SIEM Lizenzierung gesetzt wer den m ssen Sie bei der Einf hrung ein
80. verbetrieb aber untypisch Unsere Emp fehlung lautet daher SSD RAIDs ohne Read Ahead betreiben Over Provisioning Wie bereits erw hnt hat die Gr e der Spare Area einen direkten Einfluss auf die Random Write Performance einer SSD Bereits eine kleine Erh hung der Spare Area kann die Random Write Perfor mance und die Haltbarkeit Endurance einer SSD signifikant erh hen Diese Empfehlung aus den Anfangstagen der SSD Ara hat auch heute noch ihre G l tigkeit Bei aktuellen SSDs ist die Halt barkeit allerdings schon so ausreichend dass eine Vergr erung der Spare Area in erster Linie aus Performance Gr nden sinnvoll ist Die Gr e der Spare Area k nnen Sie durch manuelles Over Provisioning sehr einfach erh hen indem Sie nur einen Teil der Kapazit t der SSD f r das RAID Set LAT Measurement Test EED MR 9361 13500 R5 4 MR 9361 13500 R10 4 65 35 R W Workload Bild 3 Die Performance von RAID 5 und RAID 10 h ngt stark vom Einsatzzweck ab Die IOPS bei zuf lligem Lesen sind bei RAID 5 deutlich h her Je mehr zuf llig geschrieben wird umso besser kommt RAID 10 in Fahrt Latenzen auf SSD Niveau erhalten Sie nur mit RAID 10 www it administrator de M rz 2015 41 PRAXIS I Flash RAIDs optimieren konfigurieren etwa 80 Prozent und den Rest einfach frei lassen Falls Sie die SSD zuvor verwendet haben f hren Sie noch ein Secure Erase durch damit l schen Sie s mtliche Flash Zellen Nur dann ka
81. wenn auch bereits kor reliertes Ereignis Tritt dieselbe Auff lligkeit innerhalb eines bestimmten Zeitintervalls mehrfach oder in Kombination mit ande ren ebenfalls korrelierten Ereignissen auf so ist dies nun der Ausl ser f r eine E Mail oder SMS Benachrichtigung des Systemverantwortlichen ber das Einbe ziehen des Zeitpunktes zu dem die Auf f lligkeit erkannt wurde lassen sich von der Tageszeit abh ngige Reaktionen definieren Beispielsweise erfolgt w hrend der blichen B rozeiten eine E Mail Benachrichtigung des Systemadministrators w hrend die Kommunikation nachts automatisch durch eine Skript gesteuerte Umkonfiguration des Switchports oder Erstellung spezifischer Firewallregeln gestoppt wird Updates genau planen Neben den angebundenen Datenquellen gilt es die SIEM L sung regelm ig ins besondere dann wenn Security Updates oder eine neue Software Version die f r ein Unternehmen interessante Funktionen bietet anstehen zu aktualisieren Neben Fehlerbehebung Schlie en vorhandener Sicherheitsl cken zielt dies auch auf n derungen bei der Verarbeitung neuer oder ge nderter Logformate oder die Unterst t zung einer effizienteren M glichkeit der Anbindung einer Datenquelle F r das Up grade der SIEM L sung sollten Sie sich je doch die Vorgehensweise genau berlegen Ein vor dem Update durchgef hrtes Ba ckup s mtlicher Ereignisse und der aktuellen SIEM Konfiguration sollte g ngige Praxi
82. wir mehrere Mandanten an ar beiteten dann aber letztendlich mit einem M hevolle Systemerfassung Die Erfassung der zu berwachenden phy sischen Server erwies sich im Test als m hevoll weil es keine Suchfunktion im Netzwerk gibt Daher ist jedes System ma nuell einzutragen Bevor jedoch der erste Server erfasst werden kann sind zuerst Konfigurationsgruppen anzulegen Pro Konfigurationsgruppe ist zu definieren wie viele Minuten nach Ausl sen eines Alarms die zu dieser Gruppe geh rigen Server die jeweils hinterlegte Aktion Be fehl ausf hren System herunterfahren Wartungsmodus aktivieren starten sollen www it administrator de Nachdem PowerApp ohne Agenten ar beitet ben tigt es Anmeldeinformationen f r den Zugriff auf die Server und unter scheidet hier zwischen den Iypen Win dows und Linux Anmeldedaten sowie Nutzung eines Linux SSH Schl ssels Po sitiv ist dass sich die Server hinsichtlich der hinterlegten Anmeldeinformationen automatisch regelm ig pr fen lassen um zu erkennen ob sich etwas ge ndert hat was eine Steuerung durch PowerApp ver hindert Weiterhin kennt PowerApp Host gruppen um Server mit gleichen Eigen schaften und identischer Anmeldung zusammenzufassen Neben den Servern muss der Adminis trator die zu berwachenden USVs mit ihrer IP Adresse erfassen Die Kommu nikation zwischen PowerApp und einer USV erfolgt grunds tzlich per SNMP so dass PowerApp alle SNMP f higen
83. 02 en ng MiSExchangelNapnostios MsExchangeRPC MSExchangeHMHost MiSExchange Common Certificate13 08 14 Misexchange 11 15 02 Motitication l berschritten MSExchangeRepl Fehler aufgetre Tools f r Microsoft Netzwerke I PRAXIS K2K135P1 Fehler im Eventlog Der Leistungsindikator N X2K135P1 LogicalDiskiC Free Megabytes hatte w hrend des 15 min tigen sus mit Start bei 14 08 2014 10 25 00 einen Wert von 84 530 00 Weitere Informationen Fehler beim Aktualisieren eines Leistungsindikators Der Indikatorname lautet Number of items in Malware Fingerprint cache der Kategoriename ist MSeschange Anti Malware Datacenter Exchange Server Information Store has encountered an error while executing a full text index query and subject string SearchQueny txProbe m de and folderid string N amp SFarG47C5E7AFADEISDAAFCHE aufzeitausnahme im Arbeitsprozess won AuditLogsearch ervicelet beim Verarbeiten einer Ausnahme Postfach o Toparis ous Ex Microsoft Exchange Data Storage Mallbox ftlineException Das Der EiS Auftrags Manager konnte folgende Auftr ge nicht starten Job TransportSyncHealthHublag Microsoft Exchange RPC Dienst Manager hat beim Starten einen unerwarteten Fehler erkannt IF ehlerdetalls Der Wartevorgang wurde abgebrochen 258 Fehler beim Erstellen des Pretokolbverzeichnisges L MonitoringDiagnosticLogs MSExchangeHMHost aufgrund von Fehler Ein Tell de
84. 08 20 orne dia Bezugspreise Es gilt die Anzeigenpreisliste Einzelheftpreis 12 60 Nr 12 vom 01 11 2014 Jahresabonnement Inland 135 Studentenabonnement Inland 67 50 LAC 2011 Jahresabonnement Ausland 150 lund S 18 19 Ingenico baramundi S 29 Kentix B4Bmedia net 5 25 Kyocera Bintec elmeg 5 05 Monitoring Days Computec Media 5 53 Paessler Experteach 5 93 Rheinwerk 106 M rz 2015 Produktion Anzeigendisposition Lightrays Andreas Skrzypnik Gero Wortmann Im Test macmon Network Access Control Workshop OpenVPN einrichten Workshop So sorgen Sie f r Layer 2 Security Workshop Automatisierung mit Ansible Die Redaktion beh lt sich Themen nderungen aus aktuellem Anlass vor Studentenabonnement Ausland 75 Jahresabonnement Inland mit Jahres CD 144 84 Studentenabonnement Inland mit Jahres CD 77 34 Jahresabonnement Ausland mit Jahres CD 159 84 Studentenabonnement Ausland mit Jahres CD 84 84 Al Inclusive Jahresabo incl E Paper Monatsausgaben 2 Sonderheften und Jahres CD Inland 184 64 Al Inclusive Studentenabo Inland 117 14 Al Inclusive Jahresabo Ausland 199 64 All Inclusive Studentenabo Ausland 124 64 E Paper Einzelheftpreis 8 99 E Paper Jahresabonnement 99 E Paper Studentenabonnement 49 50 Jahresabonnement Kombi mit E Paper 168 Studentenabonnements nur gegen Vorlage einer g ltigen Immatrikulationsbescheinigung Alle Preise ve
85. 2 www raspberrypi org raspberry pi 2 on sale Umfang und Spezifizierung der Scans zentral festlegen und ansto en So l sst sich etwa bestimmen wann vollst ndige Scans zur Gew hrleistung maximaler Si cherheit durchzuf hren sind und wann schnelle Scans w hrend der Arbeitszeit Auch die Intervalle ob t glich w chentlich oder selbstdefiniert sind hier konfigurierbar Laut TeamViewer basiert die Technologie hinter ITbrain auf einem bekannten Anti Malware Werk zeug das bereits tausende von Unter nehmen einsetzen Pro Endpunkt wer den im Abo Modell rund 2 50 Euro pro Monat f llig In Tbrain www itbrain com de ud eu i Hm Die TeamViewer Management Konsole bringt alle von ITbrain entdecken Bedrohungen bersichtlich auf den Schirm Auf in neue Sph ren VMware k ndigt mit VMware vSphere 6 die neueste Version seines Hypervisors an Laut Herstelleranga ben verbergen sich in dem Major Re lease mehr als 650 neue Features VMware vSphere 6 wird erg nzt durch die neuesten Versionen von VMware vCloud Suite 6 VMware vSphere with Operations Management 6 und VMware Virtual SAN 6 Zu den neuen Funktionen und Features von vSphere 6 z hlen unter anderem die breite Anwendungsunterst tzung durch verbesserte Skalierung Perfor mance und Verf gbarkeit Somit soll vSphere 6 als Plattform f r die Vir tualisierung von Anwendungen wie SAP HANA Hadoop Microsoft SOL Server Orice Dainibasc und SAP ER
86. 2015 in unserer Iestumgebung verteilt Voraus setzung war ein bereits installiertes NET Framework 4 Die manuelle Installation mittels Setup Datei l dt bei Bedarf das ben tigte Framework nach um die Ein richtung erfolgreich abzuschlie en Da sich die Setup Datei wie auch das MSI Paket direkt mit unserem Syspectr Konto verkn pften bedurfte es keiner weiteren Konfiguration berhaupt gibt es auf dem lokalen System weder eine Programmverkn pfung noch eine Pro srammoberfl che um Aktionen auszu f hren Stattdessen l uft der Agent als Dienst und liefert dem Server alle not wendigen Informationen Bereits kurz nach der Installation erhiel ten wir eine E Mail die ber die neu angemeldeten Computer informierte Wir loggten uns bei Syspectr ein und das System forderte uns auf einmalig eine vierstellige Syspectr PIN festzulegen Diese fragt das System bei sicherheitsre levanten Funktionen ab Danach zeigte uns das Dashboard die angemeldeten Computer und eine Liste der aktuellen Ereignisse Der Ansicht der Computer Symbole entnahmen wir neben dem Na men und dem Betriebssystem auch den Zusatz ob es sich um einen physischen Rechner oder eine virtuelle Maschine von Sandro Lucifora Mit Syspectr bietet das Berliner Unternehmen O8O Software seit gut einem Jahr einen Cloud Dienst an der Administratoren das Verwalten von Desk top Systemen und Servern erleichtern soll IT Administrator hat sich den Dienst und
87. 64 1226 105 229 192 168 178 18 12 251 240 183 12 251 240 145 12 351 240 219 12 251 240 107 12 23 2012 12 251 240 141 192 160 174 7 Mi Total 333 devices 0 devices selected woh Extreme hetnons Extreme Networke Extreme Networks Dei Dal Shutie I Heudett Packard FewieH Packard Hewieti Packard HewkeilPackare Hewlett Packard Hewieti Packard Fleydeti Piackard Hewieti Packard Heudett Packard Hewkett Packard Flendett Packard Hewieii Fackard Del SuperStack 3 Srii awi Prolurve 254 Prolurve 25i Prolunme 2524 ProCurve 1524 Pone Edge T110 i Link Codes eingeben auf www it administrator de Wiros Serwer 2003 Erir HUKA ILZU anii B il 2U HPU E iL HPN B 11 239 E 1L03 HOSTI HOT S0 H 08 54 F CHC Foo Fos iT F 05 59 Wee E50 5 0 Die JDisc Discovery Starter Edition ermittelt zahlreiche Inventardaten zu allen im Netz vorhandenen Ger ten reich ist jedoch begrenzt auf einfaches Rou ting Sollen umfangreichere Traces profes sionell analysiert werden ist eine Visuali sierung mit einer GUI unumg nglich Diese liefert das freie WhatsUp Visual Traceroute Doch neben der Netzvi sualisierung per GUI kommt dieser praktische Helfer mit einem weiteren gro Ben Vorteil gegen ber der Kommando zeile daher Unterst tzung von ICMP Denn oft blocken Firewalls ICMP Pakete was die Analyse mit den in der Einleitung erw hnten Werkzeugen erschwert bis un m glich macht Gerade in Inte
88. ActionID like ForceReboot ft RequesterName Im CU2 von Exchange 2013 f hrte zum Beispiel eine falsche Active Directory Abfrage in einer Multi Domain Umge bung zu einem Serverneustart der durch eine Ausnahme umgangen und erst mit dem CU3 behoben wurde 1 Auch ei ne falsche DNS Konfiguration kann ei nem schnell zum Verh ngnis werden und zu einem Serverneustart f hren 2 Ausnahmen schaffen Es gibt immer Szenarien in denen in die berwachung eingegriffen werden muss und in denen Einstellungen gezielt anzupassen sind Hierf r gibt es globale und lokale Overrides Lokale Overrides wirken dabei nur auf einen Server w h rend globale mehrere Server betreffen Eine Einstellung wirkt dabei nicht so fort da der Microsoft Exchange Health Management Dienst nur alle zehn Mi nuten Konfigurations nderungen pr ft und bernimmt Durch einen Dienste Neustart wird die Anpassung sofort aktiv Overrides sind nur f r einen bestimmten Zeitraum vorgesehen weshalb eine Lauf zeit beziehungsweise eine Serverversion angegeben werden muss Einen globalen Override legen Sie mit dem Befehl Add GlobalMonitoringOverride an w hrend Sie eine lokale Au erkraft setzungsregel mit dem Befehl Add Ser verMonitoringOverride erstellen Um zum Beispiel die Fern berwachung eines Ex change Servers tempor r zu deaktivieren ist es m glich bei dem zu berwachen den Server eine Ausnahme zu schaffen Welche Serv
89. Atomic 2 zum Einsatz Dieses ist speziell f r den Einsatz von Containern auf Basis von Docker und Kubernetes ausgelegt Project Atomic stellt dabei das Upstream Projekt f r diverse andere Images dieser Art dar So greifen beispielsweise Red Hat 3 Fedora 4 und auch CentOS 5 auf das Project Ato mic zur ck um ihre jeweils eigenen Cloud Images f r den Einsatz von Docker Containern zu erzeugen Es ist wichtig zu verstehen dass diese Ato mic Images einen anderen Aufbau besit zen als man es von solchen RPM basier ten Distributionen gewohnt ist So kommt beispielsweise kein Paket Manager zum Verwalten der Software zum Einsatz Statt dessen greift das Project Atomic hier auf das Tool rpm ostree zur ck Hiermit lassen sich atomare Updates des Atomic Hosts durchf hren Das ist deshalb m glich da sich die komplette Betriebssystem Instanz in einem einzelnen Dateisystem Pfad un terhalb des Ordners ostree deploy befindet www it administrator de Beim Systemstart wird die aktuelle Version des Betriebssystems dann unterhalb der Dateisystemwurzel eingeh ngt wobei le diglich die Ornder etc und var be schreibbar sind Alle anderen Ordner un terhalb von ostree sind lediglich lesbar Bei einem Update wird nun einfach eine komplett neue Betriebssystem Instanz von dem Update Server nach ostree deploy kopiert und die nderungen an den Kon figurationsdateien unterhalb von etc auf die neue Betriebssystem Instanz an
90. D genutzt Wir wollen typischerweise Anwendungen nicht f r ein zelne Benutzer freigeben sondern f r Gruppen und steuern so ber die Mitglied schaften den eigentlichen Zugriff Abh ngig von der Unternehmensstrategie und der Existenz eines Identity Management Sys tems sollten Sie sich berlegen ob Sie die Verwaltung des App Zugrifts in Azure AD Gruppen oder Windows AD Gruppen ab bilden Im Verlauf des Workshops nutzen wir eigens erstellte Cloud Gruppen Die Szenarien lassen sich gleicherma en mit Gruppen aus dem lokalen Windows AD realisieren der Unterschied liegt in der Synchronisation Die nderungen m ssen dann im Windows AD stattfinden und durch AADSync in die Cloud getragen werden was einige Zeit dauern kann Saa Angebote einrichten Microsoft versucht das Einrichten der F derierung mit Cloud Software aus dem Azure AD heraus so einfach wie m glich zu gestalten Bislang mussten Angebote wie etwa Salesforce com mit der lokalen ADFS Infrastruktur f deriert werden um ein Single Sign On SSO f r Benutzer zu erm glichen Die lokale F derierung verlangte dass eine manuelle Synchroni sation von Benutzer Accountdaten zu Salesforce com erstellt wurde und die Zer tifikate und SSO Einstellungen manuell get tigt wurden Salesforce wurde dabei als Relying Party in ADFS eingerichtet www it administrator de AADSyYrC A y It ar Office 365 Azure Active Directory I PRAXIS Arure AD b
91. EIBEN SIE BEIM I VON KYOCERA Lassen Sie sich nicht von g nstigen Gelegenheiten verf hren sondern bleiben Sie dem Originaltoner von KYOCERA treu Denn der ist CO neutral Mit jedem Originaltoner von KYOCERA unterst tzen Sie ein Klimaschutzpro jekt in Afrika f r unsere Umwelt und Ihre Klimabi lanz Also schauen Sie nicht auf billigen Ersatz denn Fremdgehen gibt nur dicke Luft KYOCERA Document Solutions Deutschland GmbH Infoline 0800 187 187 7 www originaltoner kyocera de KYOCERA Document Solutions Inc www kyoceradocumentsolutions com Nur bei Vertrieb durch KYOCERA Document Solutions Deutschland GmbH und KYOCERA Document Solutions Austria GmbH KYOCERA Document Solutions TESTS I Monitis andic lecima i area de Warnungiiejel beaibodten Lanskun der Agen ie nung ausw hlen Wang bei 5 Fehlen Bis Befssung berischwichigien 7 Are rare ae Zafelar kr Warmangen l 247 T glicher Zeiigian hur sen gewahie Tage Abb reiien Bild 4 Jeder Kontakt erh lt individuelle Einstellungen der Warnregeln Dazu richteten wir Kontakte ein die wir der jeweiligen Gruppe zuordneten Dabei definierten wir bei einem Kontakt neben dem Vor und Zunamen auch die Art der Kontaktaufnahme Zur Auswahl standen E Mail SMS und Ielefonanruf Weiterhin bietet Monitis die Benachrichtigung via Google Chat und Twitter an Es war ferner m glich eine URL mit Parametern im JSON Format aufzurufen um so zum Bei sp
92. FS Farm W hrend auch diese Option zu einer SSO Beziehung zu Dropbox f hrt w rden wir einige Vorteile von Azure AD verlieren die automatische User Provisionierung in die Cloud An wendung das Monitoring der F derie rungsbeziehung und Azure AD als zentrale SSO Schnittstelle Die zweite Seite des Assistenten verlangt nun die Sign On URL von Dropbox Hier f gen Sie die URL ein die Sie von der Dropbox Administrationsseite kopiert haben Azure AD m chte die komplette URL https www dropbox com sso 12018794 Auf Seite 3 erhalten Sie zwei letzte wichtige Informationen die eigent M rz 2015 49 PRAXIS I Azure Active Directory Toore eB Lami Leite Draca Lami Aep Directory bazai Asih Dictar ban Acier Drectory Lani Aiie Dietary Windrar Aura Arma Deer Local keiten D nactory Lani rien Careca pan kre Draca Lomi deti D rsrtor Lors Artie Dreco Bild 2 Gruppen in Azure AD werden manuell am besten im Azure Management Portal verwaltet liche Sign In URL f r Azure AD und ein Zertifikat mit dem die F derierungsbe ziehung erstellt wird Kopieren Sie nun die Sign In URL f r Azure AD die typischerweise mit https login windows net beginnt in die Zwischen ablage Anschlie end laden Sie das ange botene Zertifikat herunter Sowohl die URL als auch das Zertifikat verwenden Sie nun f r die Einrichtung von Dropbox Zur ck im Dropbox Adminportal f gen Sie die Sign In URL f r Azure AD ein Das
93. Gateway und DNS Server abgefragt F r einige weitere Angaben wie die Zeitzone macht das Setup Vorschl ge die wir allesamt bernehmen konnten Nach den Abfragen dauerte der weitere Ablauf einige Minuten mit Neustarts derVM das Setup empfiehlt eine Kaffeepause Anschlie end steht dem Administrator ei ne Web GUI zur Verf gung direkt auf der Konsole der VM sind keinerlei Ein gaben zu machen sie wird allenfalls im Supportfall von iQSol genutzt Betreuung mehrerer Rechenzentren inklusive F r die weitere Konfiguration ist es not wendig die Mandantenf higkeit bezie hungsweise das Client Konzept von PowerApp zu verstehen Auch dieses ist im erw hnten Installationsleitfaden nicht umfassend beschrieben was uns den Ein stieg erschwerte So ist nach der Installation nur eine An meldung als sogenannter Superadmin m glich um globale Einstellungen vor zunehmen Zeiteinstellungen nderung der Netzwerkparameter SMTP und LDAP Konfiguration Einspielen der Li zenzdatei Au erdem kann der Superad min Updates einspielen und muss als wichtigste Aufgabe Clients also Mandan ten anlegen Ein Client kann beispiels weise ein Rechenzentrum sein oder eine Au enstelle Unter der Superadmin An meldung ist eine Erfassung der genutzten USVs und Server nicht m glich erst in nerhalb eines Clients Da die Lizenzierung auf Basis der erfassten Server erfolgt muss der Superadmin jedem Client aus dem Gesamtliz
94. Host bei der Installation zur Ver f gung stellen Im Anschluss an die In stallation sollten Sie auch dieses System aktualisieren und neu starten Sind Master und Minion auf dem aktu ellen Stand sind die beiden Rechner in der Datei etc hosts einzutragen und die Kubernetes Konfigurationsdatei etc ku bernetes config anzupassen Dort tragen Sie auf beiden Systemen ber die Variable KUBE_ETCD_SERVER den Master Server ein In der aktuellen Version von Kubernetes wird lediglich ein einzelner Master unterst tzt was sich aber in zu k nftigen Releases ndern soll Auf dem Master sind dann zus tzlich die beiden Dateien etc kubernetes apiserver und etc kubernetes controller manager anzupas sen Hier definieren Sie den Hostnamen und den Port des API Services sowie den Hostnamen des Minion Servers Im An schluss starten Sie auf dem Master alle notwendigen Dienste und berzeugen sich anschlie end davon dass alles fehler frei geklappt hat systemct start etcd kube apiserver kube controller manager kube sche duler systemctl enable etcd kube apiserver kube controller manager kube sche duler systemct status etcd kube apiserver kube controller manager kube sche duler Auf dem Minion Host ist neben der Datei etc kubernetes config auch noch die Konfi gurationsdatei des Minion Agents anzu passen Tragen Sie hierf r in der Datei etc kubernetes kubelet den Hostnamen den Port und die IP Adresse auf der der Servic
95. Infrastrukturen wachsen stetig und durchdringen alle Bereiche der Wirtschaft sowie des t glichen Lebens IT Infrastrukturen egal ob gross oder klein sind heute Lebensadern von Unternehmen und Organisationen und somit kritische Funktionseinheiten die mit h chster Priorit t gema nagt werden m ssen Ohne spezialisierte Produkte und Konzepte ist es fast unm glich die Anforderungen an Sicherheit und Service zu erf llen Genau hier liefert die MONITORING EXPO das ben tigte Expertenwissen um als IT Verantwortlicher seine Organisation weiter zu entwickeln Die EXPO Die MONITORING EXPO bietet erstmals eine umfassende Platt form zur Information rund um das Ihema I Monitoring und zum Austausch mit den Spezialisten der Branche Schwerpunkt ist die Vermittlung von Information und Wissen als Entscheidungsbasis f r IT Verantwortliche Entsprechend der Konferenzidee Inform Inspire Interact gibt es Sessions mit Experten zu allen wichtigen Schwerpunkten und der direkte Austausch mit den f hrenden Herstellern Die Konferenz garantiert jedem Teilnehmer einzigartiges Expertenwissen Komm als Spezialist gehe als Experte Wof Aussteller Network Monitoring Monitoring Infrastructure Monitoring Internet of Things DCIM Data Center Open Source Monitoring Information Management Monitoring of Things Environmental Monitoring Industrie 4 0 Media Partner ECO Administrator funkschau IANline sis Kommunikationst
96. Invoke MonitoringProbe erneut gestartet wird In der R ckmeldung erken nen Sie auch m gliche Fehler Invoke MonitoringProbe Server LABOLEX01 OutlookMapiHttp Out lookRpcCtpProbe fl Die genaue Beschreibung des Testmoduls fragen Sie ebenfalls ber das Event Log ab Get winEvent ComputerName LABOIEX01 LogName Microsoft Ex change ActiveMonitoring Probedefi nition xML _ toxmlO event userDa ta eventxml where Name like OutlookRpcctpProbe Sollten Sie w hrend dieser Schritte un erwarteter Weise einen Blue Screen be ziehungsweise einen ungeplanten Neustart feststellen pr fen Sie die Initialisierung eines durch Exchange ausgel sten Re boots mit folgendem Befehl Healthset Outlook LastIransitionT Monitorlount ine Healthy m i Pr e E HealthSet Outlook HealthSetName Alertlalu amp Out look Healthy LogNane MNMicrosoft Exchange ActiveMonitoring Monitord iz lt IXMLI15_ tofnlC d event userData eventXinml i i i Where Nane like OutlookRpceCtpMonitor if health is not impacted by alertable issues Server LABALEX I Out look Out lookRpeCtpProbe if 3a121614 b 21 4856 855f bia67963f3f d da62e3 9262 4ffe b4dd c7ec893a2034 Bild 3 Die aufgef hrten Befehle unterst tzen Sie im Fehlerfall bei der Lokalisierung eines Problems 96 M rz 2015 Get winEvent LogName Microsoft Ex change ManagedAvailability XML _ toXm event userDa ta eventXm where
97. L nach dem SOAP Protokoll Monitis I TESTS Im Regelfall pr fen die berwachungen nur ob die Dienste antworten Das hei t sie fragen die jeweiligen Ports ab und tes ten ob diese erreichbar sind Ein Funk tionstest wie zum Beispiel das Einloggen auf einem POP3 Konto oder das Login ber FTP oder SSH erfolgt nicht Ledig lich die berwachung eines DNS Servers erwartet bei der Einrichtung neben der URL auch den erwarteten R ckgabewert sowie den abzufragenden Nameserver Mit diesen Daten berpr ft Monitis nicht nur ob ein DNS Server erreichbar ist sondern ob er f r eine konkrete Domain die rich tigen Daten zur ckliefert Um die korrekte Funktion zu pr fen gibt es auf Basis von Agenten die Anwen dungs berwachungen Diese beschr nken sich leider nur auf die klassischen Inter net Dienste wie Tomcat Java Oracle und MySQL Neu hinzugekommen sind An wendungs berwachungen f r node js und die E Mail bertragung Gerade Win dows Services wie Exchange MSSQL oder SharePoint lassen sich aber nicht mit dieser Funktion im Auge behalten F r den Test richteten wir eine Anwen dungs berwachung f r MySQL ein Dazu riefen wir den entsprechenden Monitor auf und w hlten den Agenten aus Im Dia log trugen wir die IP Adresse des My SQL Servers ein sowie den Port und ga ben neben Nutzernamen und Kennwort auch eine abzufragende Datenbank an Die Webseite pr fte die Angaben und nach erfolgreicher Verbindung sahen w
98. L gt EXEC DBMS_SERVICE START_SER VICE PRODUSER Es gibt noch ein weiteres Problem das die Replikation verursacht Da Sequences nicht repliziert werden m ssen wir diese vor dem Freischalten f r die Produktion an den aktuell h chsten Wert anpassen Zur Sicherheit empfiehlt es sich den h chsten Wert zu ermitteln und noch bei spielsweise 100 zu addieren um ganz sicherzugehen dass keine Konflikte ent stehen Dieser Umstand l sst oft Diskus sionen aufkommen die in Richtung Buchhaltung und Finanzamt f hren die f r Rechnungen unbedingt eine fortlau fende Nummer einfordern Die Ursache f r das Problem sind Se quences die nicht unter allen Umst nden eine fortlaufende Nummerierung garan tieren Ein einfacher Test mit einem Roll back zeigt dass eine einmal verwendete Sequence weg ist und sofort eine L cke verursacht Die Aufgabe f r die Entwick ler ist an dieser Stelle also einen anderen Weg zu finden denn eine Sequence ist nicht das geeignete Mittel eine fortlau fende Nummerierung zu garantieren Im Internet finden sich hierzu abh ngig vom erzeugten Overhead gute und we niger gute Alternativen Live Schaltung Es folgte die Live Schaltung der Repli kation Diese lief am Anfang sauber durch doch leider stellten wir fest dass erst mit laufender Produktion und ber eine l ngere Zeitspanne nach und nach weitere Probleme auftraten Das betrifft kleinere Bugs unter Windows und ein gr eres P
99. M Intel RAID Maintenance Free Backup Unit 1 2TB RAID 5 Storage 3x 600GB 12Gb s Seagate Enterprise Performance 15K SAS 128 MB Cache mit 120GB Enterprise SSD Fast Path 1 0 Optimierung 2x 1Gbit s Netzwerkadapter 3 Jahre SLA Enterprise Vor Ort Service EUR 6 799 zzgl 19 Ust IT CONSULTING Analyse und Beratung von bestehenden IT Infrastrukturen Begleitung von zeitkritischen Serverumz gen f r Windowsserver Aufbau von hochverf gbaren Clustersystemen Einf hrung und berwachung von komplexen Backupstrategien ber 20 Jahre Erfahrung mit IT Infrastrukturen ri NetApp silver Partner SERVER Storage Server mit 20 Gbit s Network 1 0 NEW SERVERMEILE ENTERPRISE SESLUTIONS Best Offer Performance meets Capacity IHE Enterprise Server Intel Server System R1304WT2 1 HE Rackserver 750W redundantes Server Netzteil 80 Platin Effizienz Intel Server Board S2600WT mit Intel C612 Chipset 2x Intel Xeon Processor E5 2650 v3 10 x 2 3Ghz 25MB Smart Cache 9 6GT s QPI Turbo Frequency 3 0 Ghz 64 GB DDR4 registered ECC 2133 Mhz 2x Intel i350 Gigabit LAN Adapter EUR 4 699 zzg1 19 Ust Intel Server System R2224WTTYS 2HE Rackserver Intel Server Board S2600WT mit Intel C612 Chipset 2x Intel Xeon Processor E5 2607 v3 6x 1 9Ghz 15MB Smart Cache 32GB DDR4 registered ECC 2133Mhz max 3072GB Intel Integrated RAID Module RMS3CC080 8x SAS 12Gb s 1GB
100. M rz 2015 die Aktion bei Ausfall und die Abh ngigkeiten zu beschreiben App davon ausgeht dass es sich um einen physischen Windows Server handelt Da wir in unserer Iestumgebung die vCen ter Appliance nutzten mussten wir etwas tricksen und die Appliance in PowerApp als physische Maschine definieren An dernfalls lie sie sich nicht als vCenter Server ausw hlen Laut Hersteller ist dies bewusst so realisiert damit der vCenter Server nicht durch eine Eingruppierung als VM bereits ganz am Anfang mit he runtergefahren wird und PowerApp so die Steuerm glichkeit f r die ganze vir tuelle Umgebung verliert Wichtig ist nun noch vor dem VM Im port dass alle Hosts der Virtualisierungs farm in PowerApp erfasst und der rich tigen USV zugeordnet sind damit bei einem Stromausfall eine korrekte VM Host Zuordnung stattfinden kann So be kamen wir nach dem Starten der Import routine f r den vCenter Server alle angelegten VMs zur Auswahl mit dem vCenter als hinterlegtem Host Sollte nun eine USV auf Batteriebetrieb schalten wird ber das vCenter ermittelt auf wel chen Hosts die VMs gerade laufen Ein Shutdown oder eine Migration erfolgen nur f r die VMs die auf einem Host lau fen dessen USV gerade auf Batterie l uft Das stellt sicher dass auch in dynamischen Umgebungen immer die richtigen VMs adressiert werden Ein erneuter Import ist immer dann er forderlich wenn neue VMs erstellt wur den die unter PowerAp
101. Mo nitore anschauen und pr fen ob diese ausreichen F r die berwachung von Online Systemen und Internet Aktivit ten ist Monitis hingegen sehr gut ger stet und liefert eine Vielzahl guter berwa chungsfunktionen In ITA Produkt Webbasierte Plattform zur Server berwachung Hersteller Monitis www monitis com de Preis Ab 30 US Dollar pro Monat abh ngig von der Leistung und den zu berwachenden Servern Technische Daten www itadministrator de downloads datenblaetter So urteilt IT Administrator max 10 Punkte Monitore au Benachrichtigungswege GEBET Erreichbarkeit Datenaufbereitung Warnmeldungen GEBET Die Details unserer Testmethodik finden Sie unter www it administrator de testmethodik Dieses Produkt eignet sich gut zur berwachung von Online Systemen unter Windows und Linux bedingt als Monitoring System f r Windows Application Server im LAN Windows Basis ohne Zugriff aus dem Internet www it administrator de Preise Verf gbarkeit und weitere Informationen auf i D mE TESTS I VMware vRealize a server in den Rechenzentren und D a ein Gro teil aller Applikations Serverr umen durch Administratoren vir tualisiert betrieben wird liegt es in der Natur der Sache dass VMware auch eine eigene berwachungsl sung im Portfolio f hrt VMware vRealize Hyperic als Komponente vonVMware vRealize Ope rations
102. P dienen Neu ist auch die Long Distance Live Migration womit die Live Migration ber gro e Ent fernungen hinweg m glich ist Ein weiteres Novum ist die Multi Prozes sor Fehlertoleranz mit der Anwender von der kontinuierlichen Verf g barkeit von gro en virtuellen Ma schinen mit bis zu vier virtuellen CPUs profitieren Dar ber hinaus er m glicht die Instant Clone Technologie das rasche Kopieren und Bereitstellen von tausenden Container Instanzen und virtuellen Maschinen Diese wer den mit Instant Clone im Arbeits speicher geklont und stellen so eine neue virtuelle Infrastruktur in kurzer Zeit bereit Mit VMware vSphere Vir tual Volumes soll zudem die native Vir tual Machine Awareness f r eine Viel zahl von Storage Systemen von Drittanbietern erm glicht und so die Software definierte Speichersteue rungsebene von VMware erweitert werden Dar ber hinaus erh ht VMwa re die Maximalwerte f r vCPUs und RAM pro Host und VM steigert die Anzahl m glicher Hosts in einem Cluster auf 64 und erh ht weitere Leis tungsindikatoren mindestens um den Faktor zwei VMware vSphere 6 ist im Laufe des ersten Quartals 2015 erh lt lich Die Preise f r vSphere 6 beginnen bei 995 US Dollar pro CPU ip VMware www vmware de www it administrator de or jonelle 37 N A agazin porMagar sucht neugierige M 7ER Administratoren FFadministrator Z aministra tor Eka dmi nist a A si dministrator
103. Pardey ip Chefredakteur verantwortlich f r den redaktionellen Inhalt john pardey it administrator de dispo it administrator de Tel 089 4445408 88 Fax 089 4445408 99 Daniel Richey dr Stellv Chefredakteur und CvD Titelbild Tomasz Wyszolmirski 123RF daniel richey it administrator de Druck Konrad Triltsch Print und digitale Medien GmbH Johannes Gutenberg Stra e 1 3 97199 Ochsenfurt Hohestadt Oliver Frommel of Leitender Redakteur oliver frommel it administrator de Lars Nitsch In Redakteur lars nitsch it administrator de Vertrieb Markus Heinemann Schlussredakteur Anne Kathrin Heinemann markus heinemann email de Vertriebsleitung kathrin it administrator de Autoren dieser Ausgabe Tel 0897444540820 Petra Adamik Thomas B r Klaus Bierschenk Abo und Leserservice Werner Fischer Florian Frommherz Frank Gro e Vertriebsunion Meynen GmbH amp Co KG J rgen Heyer Christian Hilbert Wolfgang Hommel en n ro e Hu Thomas Joos Sandro Lucifora Stefan Metzger 45344 Eltville Dr Holger Reibold Thomas Rose Thorsten Scherf Georg Sch nberger Tim Sch rmann Christian Schulen leserservice it administrator de Tel 06123 9238 251 burg Markus Stubbig Felix von Eye Sebastian Winkler Fax 06123 9238 252 Vertriebsbetreuung Anzeigen DPV GmbH Anne Kathrin Heinemann Anzeigenleitung www dpv de verantwortlich f r den Anzeigenteil lange guido dpv de kathrin it administrator de Tel 089 44454
104. Seiten wird das Thema aber nur auf entsprechend eingesetzte Software lassen kaum Fragen offen und erlauben dem Leser das Netzwerk quas zu erleben Auch wenn sich die f nf Abschnitte des Buches an den Inhalten der CCENT Pr fung orientieren gehen die Inhalte praktischerweise zum bes seren Verst ndnis ber das geforderte Pr fungswissen hinaus Das schlie t insbeson dere in den theoretischen Abschnitten potentielle Wissensl cken was dem Leser erlaubt die Thematik Netzwerk wirklich zu verstehen Neben den theoretischen Aspekten zu Netzwerk Grundlagen findet sich Wis senswertes zu Ethernet und Switching Technologien VLANs sowie VLAN Irun king und die Absicherung eines Switches Die Planung von IPv4 Netzwerken in klusive Subnetting undVLSM fehlt ebenso wenig wie WAN Technologien ACL und NAT Das finale Kapitel konzentriert sich ausschlie lich auf IPv6 und dessen Kon figuration unter Windows Linux und Cis co bis hin zu OSPF und Neighbor Dis covery Dass die Inhalte dabei nicht ausschlie lich auf die knapp 1 000 Seiten grob gestreift Der Aufbau von Remote Sessions mit Azure kommt ebenfalls eher kurz der umfangreiche Satz an Cmdlets zur Konfiguration von Azure Umgebun gen ist nicht Bestandteil des Buches Fazit Der grundlegende Tenor des Buches ist akademischer Natur weswegen sich die Lesbarkeit etwas z hfl ssig gestaltet Den noch sind die Ausarbeitungen gr ndlich und insbesondere die pri
105. Sie vorab festlegen welche Benutzer mit welchen Berechtigungen mit dem SIEM System arbeiten werden An bindungen an zentrale Authentifizierungs instanzen wie LDAP Server oder Active Directory geh ren zum Standardumfang Da ber Drill Down M slichkeiten zum Teil auf sensible Details aus Logfiles und IP Paketen zugegriffen werden kann ent scheidet das Need to Know Prinzip ber individuelle Berechtigungen Viele SIEM Frontends stellen h bsch anzuschauende Dashboards mit bersichten und Statistiken bereit f r die sich auch Vorgesetzte und Entscheider interessieren diese Nutzergrup pe muss aber nicht zwingend mit weiter f hrenden technischen Details und Bear beitungsm glichkeiten irritiert werden Da nachtr gliche gr ere nderungen an Rol len und Berechtigungen m glicherweise unbeabsichtigte Seiteneftekte haben emp fiehlt es sich mit den entsprechenden Ein stellungen vorab in einer Iestinstallation zu experimentieren Die richtigen Datenquellen nutzen Die Anbindung der eigentlichen SIEM Datenquellen verfolgt zwei hnliche auf einander aufbauende Ziele Zum einen sol len die Sicherheitsmeldungen m glichst aller relevanten Systeme an zentraler Stelle zusammengef hrt werden Dies reduziert den Aufwand auf jedem einzelnen System etwa in den Logfiles nach sicherheitsrele vanten Eintr gen suchen zu m ssen Zum anderen soll system bergreifend korreliert werden um komplexere Angriffsmuster er kennen
106. Transport neu gestartet werden damit Anpassungen umgehend umgesetzt werden Anzeige einer Liste lokaler Au erkraftsetzungen auf dem angegebenen Entfernen einer lokalen Au erkraftsetzung von einem bestimmten Server Erstellen einer globalen Au erkraftsetzung f r eine Gruppe von Servern Anzeige einer Liste globaler Au erkraftsetzungen in der Organisation Entfernen einer globalen Au erkraftsetzung Konfiguration des Status einer oder mehrerer Komponenten Anzeige des Status einer oder mehrerer Komponenten Der Exchange Server ist im Anschluss wieder vollst ndig einsatzbereit Pr fen Sie das Ergebnis mit Get HealthReport Be achten Sie dass die Datenbank zwischen den DAG Mitgliedern nicht automatisch zur ckgeschoben wird und Sie dies ma nuell durchf hren m ssen Fazit In Exchange 2013 hat sich bei der Ser ver berwachung durch die neue Funk tion Managed Availability viel ge ndert Der Workshop sollte Ihnen viele n tz liche Informationen geliefert haben um den Umgang mit der neuen Selbst ber wachung von Exchange leichter zu ma chen Die wichtigsten MA Kommandos sind noch einmal in der Tabelle Wich tige Managed Availability Befehle zu sammengefasst In ITA 1 Exchange 2013 restarts frequently after CU2 is installed F3761 1 Exchange Server 2013 restarts with Stop Error F3262 Link Codes Link Codes eingeben auf www it administrator de Wichtiges sehen Gef hrliches bek mpfen von
107. U Minutengenaue Abrechnung m Die 1 amp 1 Hochleistungs Rechenzentren Firewalls und viele weitere Server E uKturierte Kosten bersicht z hlen zu den sichersten in Europa Features einfach konfigurierbar f r effiziente Planung und Kontrolle m Backups und Snapshots vermeiden m NEU Virtualisierung durch die unbeabsichtigte Datenverluste f hrende Technologie von VMware m Die integrierte Firewall wehrt Angriffe m NEU Ready to use Applications auf Ihren Server sicher ab inklusive WordPress Drupal Magento m Parallels Plesk 12 m Unlimited Traffic TEST AUSPROBIEREN LAUFZEIT VERTRAGS EXPERTEN RAT m Bl J Bi i I 1 I Bi Hs HI bi p i xE jn E E i yi Ill jil ri Bari N MA oii r N I Pi DE 02602 96 91 AT 0800 100 668 DOMAINS E MAIL HOSTING SHOPS SERVER ii h t i 1 d i l u a N Inn A 1 amp 1 Cloud Server 1 Monat kostenlos ohne Angabe der Bankverbindung testen Danach ab 15 84 Monat Mindestkonfiguration Keine Einrichtungsgeb hr Preise inkl MwSt 1 u n d1 i nfo E 1 amp 1 Internet AG Elgendorfer Stra e 57 56410 Montabaur TESTS I Monitis onitis geh rt zur TeamViewer Fa milie Der Vorteil des auf Deutsch verf gbaren Tools ist dass ein Unternehmen selbst keine IT zur berwachung vorhalten
108. UMFS2 Snapshat 1 Running qa Date Aktion msthi Fenster lee Z1Aa0F5 D Diena Pr Endpunkt C Zertifikate D Anspruchbescheeibungen p D Vertrauensstellungen A Fehlerereignase Wi Warmersigrusse s hosgoi C Efelgeesizhe Uberpr lungen Fehleruberpnufungen D Autbentifitierungsnchtlinien werden konman t nn Eu T an ru neh gi nnnaenehlee RER j das Deyruprtikol geschneben wer b Wenn Se enai der Kortolkanlchen f r de berpr fung moreen m gsen Sue such de berpr fung ber das Snap in Loseabe skiimeren bevor berpeufungen sufgeseichnei Wertrawerzitellung der Ansprochsanb eter Ver Attributspeicher hinzuf Verbunddensteigensc Ver ffentlichte Ar spr alle Pronys penen Aral Hewes Ferister hier amp ff f Aktualisieren HiHe Bild 2 In den Eigenschaften des Federation Servers l sst sich festlegen was protokolliert werden soll www it administrator de Datei Aktion Ansicht es am Bm E Ereignisanzeige Lokal p I Benutzerdefinierte Ansichten p u Windows Protokolle a A Anwendungs und Dienstproteikelle a D ADF Fl Admin b I Device Registration Service E Hardware Ereignisse jE Internet Explorer p El Microsoft Operstions Manager E Schl ssehrerwaltungsdienst Windows Powershell p I Ablaufverfolgung f r Device Registration Service a O ADFS Ablaufverfolgung fa Pahin 5 T Gespeicherte Protokolldatei ffnen p M Benutzerdef
109. USVs unterst tzt sofern die dazugeh rige SNMP MIB vorhanden ist und bei der Erfassung mit importiert wird Das Ein spielen der MIB ist erforderlich da Power App von Haus aus keine USV Modelle kennt Vielmehr ist alles ber SNMP Ob jekte SNMP OID zu definieren wozu wir sp ter noch kommen Die agentenlose er Te Credenimis Pintos serye Gon guraiion poup BIN vrieme 7 Corramand Command Tempiates Choose a command template Command Choa a HP LO Che DRAC JERA IRAK Drache ILOS Drache ALOA Cracks ELOS Unspeciic IFM HF Blades IBM Elsa Ce Bladeren Wake On LAH iQSol PowerApp I TESTS Arbeitsweise erlaubt es brigens auch be liebige andere Ger te wie Stromleisten und PDUs mit einzubinden sofern eine Anmeldung m glich ist und eine Steue rung ber Befehle unterst tzt wird Kommunikation per SNMP Polling Bei der Kommunikation via SNMP ver l sst sich Power App nicht auf Traps son dern fragt die USVs per Polling mittels SNMP Get ab Das Abfrageintervall l sst sich einstellen und liegt standardm ig bei 70 Sekunden Sofern zus tzliche Sen soren wie Brandmelder oder Temperatur messer eingebunden werden sollen sind diese wie eine USV jedoch in einer ei genen Rubrik anzulegen Auch ist die da zugeh rige MIB n tig Der Administrator muss nun Kriterien definieren die entsprechende Aktionen wie beispielsweise das Herunterfahren von Systemen ausl sen Dabei kann er ver st
110. Umsetzung Seite 30 Seite 44 AKTUELL 60 amp T Systeme Neuerungen in Android 5 Mit Android 5 Lollipop hat Google sein Betriebssystem f r Mobilger te zahlreichen Neuerungen 6 News unterworfen die auch f r Unternehmenskunden von Bedeutung sind 12 IT Administrator Training Open Source Monitoring 62 f Workshop Docker Container mit Kubernetes managen TESTS Das Kubernetes Tool von Google verwaltet auch komplexe virtualisierte Container Landschaften 68 J Workshop Open Source Tipp Die Benutzerverwaltung im 389 Directory Server l sst sich in aktuellen Releases ohne 14 I Im Test iQSol PowerApp 2 1 Zu einer professionell betriebenen IT Umgebung geh ren auch eine oder mehrere USVs samt Admin Rechte delegieren zuverl ssiger Steuerung f r gezieltes Herunterfahren Genau hier setzt PowerApp an 70 Tipps Tricks amp Tools 20 J Im Test Monitis Um gerade bei unterschiedlicher Hardware f r berblick zu sorgen buhlen Monitoring Werkzeuge um 74 Workshop Monitoring der Active Directory Verbunddienste 26 J Im Test VMware vRealize Hyperic Wie sich die Active Directory Verbunddienste berwachen lassen sei es nun mit der gro en L sung System Center oder kostenlosen Skripten und Bordmitteln zeigt dieser Workshop die Gunst des Nutzers Mit Monitis haben wir ein Cloud basiertes Exemplar unter die Lupe genommen 9 Umfassende berwachung von Anwendungen Middleware Betriebssystem und Infrastruktur so
111. a IT Administrator rprofessionelleSystem zwerkadmin berwachung von Exchange 2013 Durchblick mit Bordmitteln Maximale Performance SSD RAIDs o 4 JIE SS Te MAA Container Management h al A A Docker mit Kubernetes administreren ImTest VMWwarewRealize Hyperic www it administrator de ANLA ji i NEW NEW NEW NEW NEW NEW NEW Intel Server System R2312WTTYS 2HE Rackserver Intel Server Board S2600WT mit Intel C612 Chipset 2x Intel Xeon Processor E5 2640 v3 20MB Smart Cache 128GB DDR4 registered ECC 2133Mhz max 3072GB Intel Integrated RAID Module RMS3CCO40 4x SAS 12Gb s 1GB RAM Intel RAID Controller RS3DC080 8x SAS 12Gb s 1GB RAM 2 x Intel RAID Maintenance Free Backup Unit 720GB SSD RAID 5 4x 240GB SM843T Datacenter Performance SSD 28TB RAID 5 SAS Storage 8x Seagate SAS Enterprise Capacity ATB NEW 2x 10Gbit s Netzwerkadapter 5 Jahre SLA Enterprise Vor Ort Service EUR 11 229 zzgl 19 Ust NEW NEW Zu new NEW NEW NEW NEW NEW High SAS 1 0 Performance Tower Intel Server System P4304XXMUXX 750W redundantes Server Netzteil 80 Platin Effizienz Intel Server Board S2600CW mit Intel C610 Chipset 2x Intel Xeon Processor E5 2620 v3 6x 2 4Ghz 15MB Smart Cache 64GB DDR4 registered ECC 2133Mhz max 2048GB Intel Integrated RAID Controller RS3DCO40 4x SAS 12Gb s 1GB RA
112. ach 1 zu 1 mit Hilfe von Bordmitteln Damit haben wir Konflikte die beispielsweise durch ein manuelles Auf setzen der Datenbank und deren Strukturen sowie ein manuelles Laden der Daten ent stehen k nnen vermieden RMAN macht es uns an dieser Stelle recht einfach Nach dem Erstellen und Mounten einer Instanz auf der Standby Seite m ssen wir lediglich ein DUPLICATE absetzen RMAN gt DUPLICATE TARGET DATABASE TO prod FROM ACTIVE DATABASE NO FILENAMECHECK Nach dem vollst ndigen Klonen der Da tenbank beginnen wir mit der Installation und Einrichtung von Dbvisit Replicate indem wir es auf beide Seiten aufspielen Danach verl uft die Konfiguration der Re plikation in vier Schritten Dabei erfolgt die Verwaltung und das Logging der Re plikation ber ein Schema das jeweils auf beiden Seiten f r Dbvisit angelegt wird Die Replikation selbst kann sowohl in eine Richtung als auch bidirektional erfolgen Wobei f r uns zur absoluten Konfliktver meidung nur die Replikation von Primary in Richtung Standby in Frage kommt Wir k nnen genau festgelegen welche Tabellen und oder Schemas wir replizieren Schlie lich konfigurieren wir einen MINE Pro cess auf der Primary und ein APPLY Process auf der Standby Seite Nach dem Start der vorkonfigurierten Services l uft die Replikation bereits Dazu generiert Dbvisit aus den Redo Logs der Datenbank sogenannte PLOGs auf der Primary Seite schiebt diese ber das Netzwerk auf die
113. ach einer kurzen Suche werden gefundene Eintr ge in dem Listenfeld ausgegeben Akt vieren Sie zumindest den Eintrag Eclip se SCADA IDE und klicken Sie auf Next Sie m ssen der Auswahl ein wei teres Mal zustimmen und k nnen an schlie end die SCADA IDE als Eclipse Modul installieren M chten Sie mit einem lokalen Server spielen sollten Sie au erdem die Installation der Server Komponente aktivieren Nach einem Bu Basen Neustart von Eclipse steht Ihnen die Ent wicklungsumgebung samt SCADA Plug In zur Verf gung Damit sind die Vorbereitungen f r das Er stellen eines eigenen SCADA Projektes geschafft Um nun ein Projekt anzulegen f hren Sie in Eclipse den Befehl New Other Eclipse SCADA Configuration Configuration Project aus Weisen Sie dem ersten TIestprojekt eine Bezeichnung zu Um das Erstellen des Grundger stes Ihres ersten SCADA Projekts k mmert sich Eclipse In diesem Beispielsprojekt sind bereits einige grundlegenden Funk tionalit ten implementiert Die Datei nodeMapping esdi kann beispiels weise die IP Adresse von Knoten durch eine andere ersetzen Das ist beispielsweise praktisch um bestimmte Konfigurationen zu testen Die Deployment Artifakte er zeugen Sie in dem Sie eine Recipe Datei productive recipe mit der rechten Maustaste markieren und dann aus dem Untermen Eclipse SCADA Configuration den Be fehl Recipe ausf hren Verbindung zu Modbus Devices Modbus ist in de
114. age prod in die JSON Date aufneh men ber eine entsprechende Abfrage mittels kubectl k nnen Sie dann sp ter sehr leicht Ihre produktiven Apache Ser ver identifizieren und feststellen auf wel chem Minion diese eigentlich gerade lau fen Doch zuerst erzeugen Sie Ihren ersten Pod mit der Datei aus Listing 3 Rufen Sie hierf r das Tool kubectl wie folgt auf kubect create f tmp apache pod json Im Hintergrund wird nun auf dem Mi nion der Docker Prozess aktiv und f ngt an das fedora apache Image herun www it administrator de terzuladen wenn es noch nicht vorhan den ist Das kann durchaus eine gewisse Zeit in Anspruch nehmen Rufen Sie da nach erneut kubectl auf so sollten Sie sehen dass der Container nun aktiv ist Listing 2 Dass der Apache Service innerhalb des Containers wie gewohnt funktioniert berpr fen Sie mit einem einfachen Auf ruf von curl curl http atomic host 001 Apache Wenn mehrere Apache Container in Ihrer Umgebung laufen k nnen Sie die Aus gabe von kubectl get pod anhand der zuvor definierten Labels einschr nken Mittels kubectl get pods name apache stage prod w rde Kubernetes lediglich die Container anzeigen die ber die bei den Labels name apache und stage prod verf gen Wie Sie in Listing 3 sehen enth lt die Definition des Pods auch den Hinweis dass im Fehlerfall ein Container sofort wieder neu zu starten ist restartPolicy al ways Ob das
115. also nochmal deutlich warum wir keinerlei Konflikte tolerieren k nnen Die L sung f r das Trigger Pro blem ist dann auch denkbar einfach Da wir vollst ndigen Zugriff auf das Replikat haben m ssen wir vor Beginn der Repli kation alle Trigger ausschalten SQL gt ALTER TABLE table_name DISABLE ALL TRIGGERS Die letzte Herausforderung der wir uns stellen m ssen ist das Umschalten bei einem Ausfall Den Hauptzweck unserer Hochverf gbarkeitsumgebung den ge ringstm glichen Datenverlust haben wir durch die Replikation realisiert Das gen gt aber nicht denn das Replikat soll te im Zweifel als Produktiv Umgebung nutzbar sein Die H rde die genommen werden muss hei t also Switchover und Failover Als erste Ma nahme um die Replikation vor ungewollten Zugriffen zu sch tzen legen wir auf beiden Seiten einen gleichnamigen dynamischen Da tenbank Service an den wir ber das DBMS_SERVICES Package steuern Damit wird der Zugriff der Anwender PCs ausschlie lich ber diesen Service realisiert den wir jederzeit starten und stoppen k nnen Auf Seiten der Clients sind beide Server eingetragen und eine Anmeldung kann nur auf der Produktionsseite erfolgen auf der der Service gestartet wird Im Falle eines Ausfalls der Produktion geben wir dann den Service auf der Replikations seite frei wenn wir sichergestellt haben dass hier alle produktionsrelevanten Daten bereitstehen www it administrator de SQ
116. an Listing 4 zeigt ein Beispiel Die Datei laden Sie wie gehabt mit Idapmo dify in den Directory Server S mtliche Mitglieder der Gruppe cn pass word_admins sind nun berechtigt die Pass w rter von Benutzern aus dem Container ou People de example de com neu zu setzen Daf r k nnen sie sich mit ihrem ei genen Konto am Directory Server anmel den und m ssen nicht mehr auf das bisher verwendete Konto des Directory Managers zur ckgreifen Listing 5 zeigt ein Beispiel f r die nderung eines Benutzers Passworts mittels einer LDIF Datei Mittels Idapmo dify meldet sich diesmal der Passwort Ad ministrator mit seinem eigenen Konto am Link Codes eingeben auf www it administrator de dn ou People dc example dc com changetype modify add aci aci targetattr userpassword version 3 0 acl Allow password admins to write user pass words allow write groupdn Tdap cn password_admins ou Groups dc exam ple dc com Listing 3 Vergabe von Benutzerrechten dn cn password_admins ou Groups dc example dc com changetype add objectClass top objectClass groupOfuniqueNames cn password admins ou groups uniqueMember cn admin1 ou People dc example dc com dn cn admin1 ou People dc example dc com changetype add objectClass top objectClass person cn adminl sn adminl userPassword password Listing 4 Benutzer in die Admin Gruppe aufnehmen dn cn user1 ou People dc exampl
117. andbreite ein Endger t oder ein Router ben tigt Da r ber hinaus lassen sich ermittelte Werte im Berichtswesen des Tools grafisch auf bereiten Abschlie end sicher noch er w hnenswert Der Spiceworks Network Monitor ist in der Lage Exchange Server detailliert zu berwachen Der Download ist nach einer kurzen Registrierung auf der Herstellerseite m glich ip Link Code F3PE1 Viel zu oft finden sich zu den in kleinen und mittelst ndischen Firmen vorhandenen Com putern nur veraltete und manuell erstellte In ventar Listen Die Folge Niemand wei wirklich so ganz genau welche Komponen ten in den einzelnen Rechnern verbaut sind oder wie aktuell die eingesetzte Software ist Doch vergleichbar mit den Daten mit denen ein professionelles Monitoring ber die Aktivit ten in der IT Infrastruktur infor miert und somit sinnvolle Ma nahmen er m glicht muss f r die Wartung und den Be trieb der Hardware der aktuelle Ist Zustand bekannt sein Nur so ist es beispielsweise m glich die richtige Anzahl der ben tigten Lizenzen einer Software zu ermitteln oder zu budgetieren wie viel im kommenden Jahr in die Client PCs gesteckt werden muss Tipps Tricks amp Tools I PRAXIS Doch sollte ein solches Tool gerade f r kleine Unternehmen am besten kosten los sein denn ansonsten lohnt es sich un ter Umst nden im Zweifelsfall lieber ei ne Lizenz einer Office Anwendung zu viel zu erwerben als einen substantiellen Be
118. anden sind sind drei Schritte n tig um zum Home Screen zu gelangen An Schalter dr cken den Lock Bildschirm nach oben wegwischen Wisch Geste zum Entsperren eingeben Umgehen l sst sich dies nur durch auto matisches Entsperren etwa in der N he eines anderen Ger ts eines NFC Chips oder nun auch ab Werk integriert wenn sich das Telefon an bestimmten Koordi naten befindet Usability mit Licht und Schatten Au erdem hat Google die Tastatur ber arbeitet die von vielen Anwendern nun allerdings als recht klein empfunden wird Neue Wortvorschl ge sollen das Schreiben von Nachrichten beschleunigen Auch die in der Oberfl che integrierte Such funktion wurde aktualisiert und liefert schnellere und bersichtlichere Ergeb nisse Ben tigt ein Suchergebnis eine be www it administrator de stimmte App wird diese automatisch ge ffnet wenn ein Anwender das Sucher gebnis antippt Wer den mobilen Datenverkehr ein schr nken will kann Android 5 so konfi gurieren dass Apps ihre Daten nur noch ber WLAN synchronisieren Auch eine Nicht St ren Funktion in Android 5 Unterbrechungen genannt hat Google eingef hrt So k nnen Anwender steuern wann Sie keine Benachrichtigungen bei neuen Nachrichten oder Anrufen erhalten sollen Der Modus l sst sich manuell ak tivieren oder nach einem Zeitplan Beim Dr cken des Lautst rke Reglers lassen sich die Unterbrechungen manuell ber einen Schieberegler steuern
119. auf die Praxis ausgerichtet was die Vorbe reitung erschwert Autor Eric Amberg hat sich deshalb darauf konzentriert die Theorie anschaulich zu vermitteln und praktische Szenarien der t glichen Arbeitsumgebung im Cisco Umfeld nachzustellen Das ist ihm mittels Workshops samt Schritt f r Schritt Anleitungen ausgesprochen gut gelungen Detaillierte Erkl rungen inklusive Hinweise www it administrator de Buchbesprechung I WISSEN das zentrale Element die Objektpipeline ausf hrlich Das Verst ndnis dieses Ab schnitts ist insbesondere f r Admins aus dem Linux Umfeld oder jene die in erster Linie mit der Windows Befehlszeile arbei ten grundlegend Neben der Bedeutung des Objekts im Allgemeinen stellt Monad jemi auch die Cmdlets vor die speziell f r die Abarbeitung des Pipeline Inhalts zur Verf gung stehen Mit viel theoretischem Background wenn auch fachgerecht aufbereitet arbeitet sich der Leser beim Durcharbeiten der Folge kapitel weiter indem er das Provider Kon zept PowerShell ISE Iesten mit Hilfe des integrierten Debuggers beim Ausf h ren von Skripten die Fehlerbehandlung und Module sowie Snap ins kennenlernt Dazwischen zeigen praktische Beispiele wie Ad hoc Administration der Zugriff auf das Active Directory oder die Verar beitung von Texteingaben erfolgen Seit Windows Server 2012 R2 gibt es mit DSC zudem einen Ausblick auf die Ser verkonfiguration der Zukunft Mit insge samt f nf
120. beiten Wir arbeiten am Aufbau und der Integra tion einer kompletten Test Dom ne in ei ne andere virtuelle Umgebung auf Hy per V Basis Ein weiteres Projekt ist das Netzwerk Performance Tuning Welches IT Problem oder Produkt lie Sie in letzter Zeit verzweifeln Ein richtig l stiges Problem war die An bindung von externen USB ISDN Controllern zur bertragung der Faxe an Tobit David Die Faxtechnologie ist in zwischen einfach veraltet und anf llig Die Treiberprogrammierung war und ist schwierig gerade im Zusammenspiel mit Windows Systemen Wenn Sie sich ein beliebiges Tool w nschen k nnten was w rde dieses leisten www it administrator de Es w rde mir s mtliche Informationen eines Systems frei zusammenstellbar zur Verf gung stellen Dabei machte es keinen Unterschied zwischen Linux Mac OS Windows oder Solaris Mein Wunschtool k nnte ber frei anw hlbare Funktionen selbstst ndig Programme schreiben und w re nat rlich Open Source Und wie berwachen Sie Ihre IT Umgebung in der Realit t Wir nutzen die L sung PRTG Netmon von Paessler Unsere Logdaten werten wir dabei m glichst grafisch aus In erster Li nie weil die erfassten Daten sich so schneller und bersichtlicher darstellen lassen Es gibt aber auch Auswertungen f r die das nicht notwendig ist Welche Applikation verursacht die gr ten Kopfschmerzen Ein Office Plug In f r unser Dokumen ten Management System macht immer wieder S
121. ben tigen Sie kein zus tzliches Tool Sie ben tigen f r den Download des Tools eine Office 365 oder Windows Azure Anmeldung Danach l uft das Tool auch vollst ndig ohne Anbindung an Office 365 oder Windows Azure F r den Download 56 M rz 2015 fighter Allgemein Konfiguration Richtlinien Front Page Toolbars Aktuelle Neuigkeiten SPAMfighter Exchange Module funktioniert durch die Anwendung won Richtlinien Eine Richtlinie enth lt die individuell festgelegten Filtereinstellungen und definiert die Handlungen die ausgef hrt werden sollen wenn eine E Mail zugelassen oder blockiert wird Konfiguration Postf cher Richtlinsen Plugins Benutzergruppen Jedem Posteingang wird eime Richtlinie zugeordnet die den Umgang mit eingehender E Mails definiert 1907117577777 05 Standardm ssige Richtlinie Geltende Richtlinie Standardm ssige Richtlinie Einge gs Ausgehende E Mails Interne E Mails bersicht 2 1 6 Handlungen zulassen Handlungen blockieren Benutzer Filtereinstellungen Posteing nge Letzte 24 Stunden Letzte Woche Letzter Monat Postf cher Statistik E Mail WIRUSfighter Antivirus Filter f r SPAMfighter Exchange Module SPAMfighter Absenderfilter Filter iontigurieren Fiktert E Mails nach ihrem Absender und den White und Blacklisten SPAMfighter Inhaltsfilter Fikert die E Mails nach ihrem Inhalt PS rlanliplo ag jaleie Aktualisierung Erfaszung Erweitert Lizenznummer Maier zum Hinzuf g
122. bt Das Tool erm glicht die Steuerung der Ver waltungsrollen der Zuweisungsrichtlinien und der Verwaltungsrollengruppen Das Iool ben tigt keine Installation son dern besteht aus einer EXE Date und ei ner XML Steuerungsdatei Starten Sie es l uft es im Kontext des aktuell angemel deten Benutzers Sind die Exchange Ver waltungstools auf einer Arbeitsstation in stalliert k nnen Sie RBAC Manager auch von dieser Arbeitsstation aus nutzen Im RBAC Manager lassen sich Rollen anzeigen und die Rechte delegieren So bald das Programm gestartet ist geben Sie den Namen des Servers ein mit dem Sie sich verbinden wollen sowie die Anmel deinformationen Anschlie end verbindet sich der RBAC Manager mit der Ex change Organisation und verwendet die Rechte des angemeldeten Benutzers Sie m ssen dazu auf dem Server NET Fra mework 3 5 installieren ber die Symbolleiste schalten Sie zwischen der Verwaltung von Verwaltungsrollen Ma nagement Roles Zuweisungsrichtlinien Assignment Policies Verwaltungsrollen gruppen Role Groups und Verwal tungsbereichen Management Scopes um Schalten Sie die Ansicht auf Ma nagement Roles um lassen sich Verwal tungsrollen konfigurieren und erstellen sowie die Cmdlets festlegen die in der Verwaltungsrolle integriert sind Verwal tungsrollen stellen die Rechte dar die Ad ministratoren haben Sie k nnen die Ein stellungen dann vollst ndig im RBAC Manager
123. cheme ssha256 add passwordAdminDN passwordAdminDN cn password_admins ou Groups dc example dc com Listing 2 LDIF Datei mit Policy Informationen Alle Listings zum Download unter www it administrator de Die LDIF Datei laden Sie wie folgt in den Directory Server ldapmodify v x a h localhost p 389 D cn Directory Manager w password f tmp pw policy local ldif Der letzte Eintrag in der Datei bestimmt die Gruppe der Passwort Administratoren f r den Container ou People dc exam ple dc com Dieser Gruppe m ssen Sie noch Zugriff auf den Container einr umen In diesem Beispiel bekommen die Mitglie der der Gruppe lediglich das Recht zuge wiesen die Passw rter der Benutzer neu definieren zu d rfen nat rlich k nnen Sie an dieser Stelle auch weitere Rechte zuge stehen Hierf r kommt erneut eine LDIF Datei Listing 3 zum Einsatz die Sie wieder mit Idapmodify in den Server laden ldapmodify v x a h localhost p 389 D cn Directory Manager w password f tmp pw policy admin aci ldif Eine genaue bersicht s mtlicher Poli cy Einstellungen und weitere Informa tionen zu den Access Control Instructions ACI finden Sie in der Dokumentation des 389DS 1 Passwort Administratoren Um einzelne Konten in die Gruppe der Passwort Administratoren aufzunehmen greifen Sie entweder auf das grafische Ad ministrationstool 389 console zur ck oder legen die Benutzer ber eine LDIF Datei
124. chreibperformance etwas eingeschr nkt und liegt etwa auf Festplatten Niveau Folgende Faktoren beeinflussen die Per formance einer SSD Read Write Mix Bei SSDs unterschei den sich Lese und Schreiboperationen auf Hardware Ebene deutlich Aufgrund des h heren Controller Overheads von www it administrator de Schreiboperationen erzielen SSDs ty pischerweise mehr Lese IOPS als Schreib IOPS Besonders hoch ist dieser Unterschied bei Consumer SSDs Bei Enterprise SSDs verbessern die Her steller die Schreibperformance durch eine gr ere Spare Area und optimierte Controller Firmware Random Sequential Mix Die Anzahl an m glichen IOPS h ngt au erdem davon ab ob die Zugriffe zuf llig ber den gesamten Datenbereich LBA Be reich verteilt sind oder sequenziell durchgef hrt werden Bei zuf lligen Zu griffen steigt der Managementaufwand des SSD Controllers und die Anzahl an m glichen IOPS nimmt damit ab Queue Depth Die Queue Depth be zeichnet die L nge der Warteschlange im V O Pfad zur SSD Bei einer gr eren Warteschlange zum Beispiel 8 16 oder 32 fasst das Betriebssystem die konfigu rierte Anzahl an O Operationen zu sammen bevor es diese an den SSD Controller sendet Eine gr ere Queue Depth erh ht die Anzahl der m glichen IOPS da die SSD die Anfragen parallel an die Flash Chips senden kann Sie er h ht aber auch die durchschnittliche La tenz und damit die Wartezeit auf eine einzelne I
125. chwierigkeiten Da die Software zur Zeit noch nicht f r Office 2013 frei gegeben ist die Standard PCs aber alle mit einer Office 2013 Version ausgeliefert werden m ssen wir die Systeme mit Of fice 2010 ausstatten Und Office ist ja nun einmal bekannt daf r bei Deinstallation viele Datenreste auf dem Rechner zu las sen Nur mit speziellen Microsoft S ube rungspaketen bekommen wir das System dazu die beschriebenen Plug Ins ins neu installierte Office 2010 zu integrieren Und was ist die gr te Herausforderung beim Monitoring Eine Herausforderung wenn auch keine richtig gro e sind Echtzeitanalysen Woll ten wir beispielsweise die aktuelle Band breitennutzung von 40 Rechnern abgrei fen dann m sste ich das Monitoring auf den LAN Karten der Rechner in einem Intervall von 1 bis 2 Sekunden abfragen DAS LETZTE WORT WE gt 15 M rz 1971 10 Jahren Kiten Inliner Surfen Natur IT Poker Psychologie und Philosophie Geburtstag Admin seit Hobbys Timo Hermes IT Administrator Ausbildung und T tigkeit Ausbildung im Bereich System Netzwerk und Daten bankadministration davor Personalbearbeitung bei der Bundeswehr Heute System Netzwerk und Datenbankadministrator Betreute Umgebung In den neun Niederlassungen sind f nf verschiedene Dom nen Mehr als 30 Server und 200 Clients Hauptsystem ist eine gespiegelte Datacore VMware Umgebung mit LWI Verbindung auf 2 x 10 TByte SAS
126. d zu durchst bern In der t glichen Praxis und in Bezug auf das Monitoring ist dies aber wenig tauglich Welcher Admin macht schon morgens gerne als Erstes das Eventlog auf um zu pr fen ob alles in Ordnung ist Im administrativen Alltag funktioniert es eigentlich nur automatisiert und zum Gl ck gibt es die PowerShell Ein Cmdlet um auf das Ereignisprotokoll zuzugreifen lautet Get WinEvent Mit den entsprechenden Parametern versehen l sst es sich an beliebige Bed rfnisse an passen Folgender Befehl beispielsweise listet alle Fehler der vergangenen zwei Tage aus dem ADFS Log eines Federa t on Servers Get winEvent FilterHashTable LogName AD FS Admin Level 2 StartTime Get Date AddDays 2 ComputerName adfs2 Der Parameter Level 2 veranlasst das Kommando nur Eintr ge mit Fehlern aus zugeben Level 2 3 listet zus tzlich noch alle Warnungen f r den Zeitraum Mehr Details zu dem Cmdlet finden Sie im TechNet 3 Etwa wie mehrere Com puter abgearbeitet werden um die Logs aller ADFS Server in der Farm einzu sammeln oder auch wie sich Ereignisse z hlen lassen um zu ermitteln ob ber haupt Eintr ge vorhanden sind Das l sst sich beliebig ausbauen Lassen Sie das Skript in Intervallen durch den Zeitplaner ausf hren Sind Events vorhanden kann die Reaktion vielf ltig sein Das Erzeugen einer Datei mit den Events beispielsweise die der Administrator dann auf seinem Desktop findet A
127. d das Fluentd Log einsehen siehe Bild 2 Zugriff auf die Benutzeroberfl che erh lt jeder der den Benutzernamen und das Passwort kennt Fluentd ist in der Skriptsprache Ruby ge schrieben zeitkritische Teile sind hingegen in C implementiert Die Installation erfolgt ber den Ruby eigenen Paketmanager Gem Fluentd steht unter der Apache 2 0 Lizenz der Quellcode liegt auf GitHub 5 Kommerziellen Support f r Fluentd bietet die Firma Treasure Data die derzeit auch ma geblich die Weiterentwicklung finanziert 6 Treasure Data stellt zudem unter dem Namen td agent eine stabile Distribution von Fluentd bereit td agent erh lt weniger h ufig Updates l sst sich aber in Form eines Deb oder RPM Pa kets installieren und enth lt von Haus aus Startskripte sowie Rezepte f r die Kon figurationsmanagement Software Chef Graylog2 Das Werkzeug Graylog2 7 entstand 2010 als privates Projekt zweier Xing Mitar beiter Mittlerweile entwickelt es die TORCH GmbH aus Hamburg weiter Die Entwickler versprechen dass die Ver arbeitung der Log Daten in Echtzeit ge schieht die Suche soll binnen Sekunden www it administrator de Log Management I SCHWERPUNKT die gew nschten Ergebnisse liefern Gray log2 kann zudem mehrere TByte Daten verarbeiten Administratoren bedienen Graylog2 wahlweise ber die komfortable Weboberfl che aus Bild 3 oder aber ber die ebenfalls angebotene REST Schnitt stelle Letztgenannte erlaubt die
128. den berrascht sein wie breit die Leistungskluft in diesem Bereich ist Einige L sungen sind von Haus aus so clever dass sie bei Applikati onsausnahmen Screenshots der jeweiligen Situation erstellen eindeutige Logfiles an legen und alle ge ffneten Applikationen automatisch schlie en oder im Falle des Firefox Updates einfach probehalber auf den Internet Explorer wechseln Diese Evaluierung wird sich im laufenden Be trieb vielfach bezahlt machen Management und Compliance F r die langfristige Usability der E2E Monitoring L sung sollten Sie Ihr Au genmerk bei der Produktevaluierung nicht zuletzt auch auf die Management Features der einzelnen L sungen legen Eine leis tungsf hige zentralisierte oder webbasierte Konsole wird es Ihnen leicht machen s mtliche installierten Monitoring Clients im Blick zu behalten lokal auflaufende Auswertungsdaten in einer zentralen Da tenbank zu b ndeln und die Alarmierung und das Reporting effizient abzuwickeln Hinzu kommt die erhebliche Zeiterspar nis wenn Sie in der Lage sind Workflows f r verteilte Clients einmalig in der Zen trale anzulegen und dann auf die Re mote Systeme zu pushen Unternehmen m ssen heute einer stei genden Anzahl strenger interner und ex terner Richtlinien gerecht werden Ein umfassendes E2E Anwendungs Monito ring kann viel dazu beitragen die Einhal tung von Compliance Vorgaben sicher zustellen und vor allem auch l ckenlos zu dokumen
129. den sie wie diese zentral administriert und mit einer Reihe erforderlicher Se curity Iools AV Scanner Anti Spam Personal Firewall et cetera abgesichert Schlie lich soll das Monitoring System ja nicht zur Sicherheitsl cke werden In der Praxis machen sich die Manage ment und Security Suiten aber immer wieder durch Pop up Fenster Eingabe aufforderungen sowie sonstige R ckfra gen bemerkbar Damit stellen sie f r vie le Monitoring L sungen ein erhebliches Problem dar etwa wenn ein ungeplant aufgehendes Werbefenster im Best Case zur Fehlmessung und im Worst Case zum Absturz des Clients f hrt Kl ren Sie daher rechtzeitig mit Ihrem System integrator wie die zur Disposition ste henden L sungen mit pl tzlich auftre tenden Ausnahmesituationen umgehen 36 M rz 2015 Anwendungsfehlern begegnen Ein spannendes Differenzierungsmerkmal zwischen den E2E Monitoring L sungen ist ihr Umgang mit Ausf llen der zu ber wachenden Anwendungen und Fehlern bei der Datenerfassung So kommt es in der Praxis oft vor dass die berwachte Applikation im Zuge geplanter Update Prozesse heruntergefahren wird oder dass kritische Webanwendungen etwa nach einem Firefox Update nicht mehr ber den Browser verf gbar sind Viele Pro dukte auf dem Markt brechen ihre Mes sung in solchen F llen ohne verwertbares Feedback ab Testen Sie in der Evaluierungsphase wie verschiedene Produkte mit solchen Sze narien umgehen Sie wer
130. denen Cmdlets in Win dows Server 2012 R2 darstellt Beim AD FS Diagnostics Module 5 stand wohl der Eigennutz f r das MS Sup portteam im Vordergrund um wieder kehrende Analyseaufgaben in ADFS durchzuf hren Dem Administrator soll es recht sein erh lt er doch kostenlos einige gute Werkzeuge an die Hand auch wenn es keinen offiziellen Support f r diese Cmdlets gibt Die Befehle zei gen sich stabil auch unter ADFS 3 0 egal ob auf einem deutschen oder auf einem englischen Federation Server Die Kommandos sind darauf ausgelegt einerseits Informationen ber die Umge bung einzusammeln und auch um Health Checks der wichtigsten Komponenten in ADFS durchzuf hren Beispielsweise ersparen Hinweise zu Zertifikaten die in naher Zukunft ablaufen dem Administra tor einiges an rger Eines der n tzlichsten Cmdlets ist Test AdtfsServerHealth Ha ben Sie einen Trust zu Office 365 wird die Verbindung dorthin auch gleich mit getestet Es lohnt sich ein wenig mit den Cmdlets zu spielen sie bieten gutes An schauungsmaterial f r eigene ADFS Powershell Projekte Fazit Verantwortliche f r unternehmenskriti sche ADFS Implementierungen beispiels weise weil die E Mails der Anwender in Office 365 liegen und der Zugriff dorthin ber einen Federation Trust mit Identi t ten aus dem eigenen Active Directory erfolgt sollten sich solide Gedanken ber das Monitoring machen Treten Probleme in der Federation Server Fa
131. dessen M glichkeiten wie auch Schw chen n her angesehen handelt Die Kopfleiste informierte uns ber das Vorhandensein von Warnmel dungen und Hinweisen Nicht alle Fehler lassen sich beheben Wir klickten auf einen Rechner in unse rem Fall ein Windows Server 2012 worauf sich eine detaillierte bersicht zum System ffnete Diese ist in die Kategorien Hard ware Software Windows Sicherheit Windows U pdates Festplatten O amp O Defrag O amp O DriveLED USB Spei cher und Prozesse berwachen unter teilt Gibt es in einem Bereich eine Warn meldung oder einen Hinweis ist dies durch ein rotes beziehungsweise gelbes Symbol direkt zu erkennen Wir begannen die Mel dungen abzuarbeiten indem wir auf die jeweils markierten Gruppen klickten Der Bereich Windows Sicherheit infor mierte uns zum Beispiel dass die Firewall nicht aktiv sei Klappten wir den Hinweis auf konnten wir an dieser Stelle direkt die Firewall einschalten Leider hatten wir keine M glichkeit zu unterscheiden auf welches Netzwerk LAN und oder WAN diese Der Client ben tigt mindestens Windows XP das NET Framework 4 0 und eine Internet Anbindung Systemvoraussetzungen www it administrator de syspectr Bild 1 0 amp 0 Syspectr bietet ein bersichtliches und informatives Dashboard Einstellung greift Syspectr schaltet lediglich die Firewall ein und bernimmt die in der Vergangenheit gesetzten Einstellunge
132. deten Tools f r Provisioning und Automatisierung abl sen soll Gleichzeitig bietet der Ops Manager eine API ber die er sich in bestehen de Management Umgebungen inte grieren l sst of MongoDB www mongodb com Unsere Link Codes ersparen Ihnen m hsame Tipparbeit bei langen URLs Einfach den Link Code aus dem Linkkasten DI Acta Berie mu ur D iie m a Par a a Aa ah O tn y a Te amp und schnell zur gew nschten Webseite gelangen So funktionieren Link Codes www it administrator de Mozilla Projekt startet Tor Relays Wie im Zuge des Polaris Projekts an gek ndigt hat die Mozilla Initiative Relay Knoten zum Tor Netzwerk beigesteuert das anonymisierten In ternet Zugang bietet Daf r setzt sie ausgemusterte Rechner in einem re dundanten Setup ein Es handelt sich um zwei Juniper Switches EX4200 und drei HP Server mit je 48 GByte RAM zwei Xeon Prozessoren und zwei GBit Ethernet Karten Ans Internet ange bunden sind die Tor Relays ber zwei 10 GBit Leitungen Dank des redun danten Setups arbeitet das Relay weiter wenn ein Knoten ausf llt bietet aber dann nur noch 50 Prozent der Kapazi t t In dem Blog Beitrag der das neue Relay ank ndigt erl utert ein Admi nistrator die grundlegenden berle gungen Einschr nkungen und die da hinter liegende Software Infrastruktur Sorist es aus Sicherheitserundenim Rahmen des Ior Projekts gar nicht er laubt dass sich mehr als zwei Ior Kno
133. dienste im Auge behalten Seite 74 und Logdateien unter Linux Seite 78 auswerten Au er dem erfahren Sie ab Seite 99 auf welche Aspekte es beim organisationsweiten Security Monitoring ankommt denn das B se ist immer und berall Viel Spa beim Lesen und einen sicheren Fr hling w nscht 2 5 O pr feela Rabatt auf ein IT Administrator Print Jahresabo Daniel Richey exklusiv f r TechTarget User Stellv Chefredakteur Gutschein Code ITA0315TT25 g ltig nur bei Bestellung bis 31 12 2015 nur im ersten Bezugsjahr und nicht f r Bestandsabonnenten www it administrator de M rz 2014 3 WU INHALT I M rz 2015 Monitoring Im Test O amp O Syspectr Hochverf gbarkeit mit der Mit Syspectr bietet das Berliner Unternehmen Oracle Standa rd Edition 080 Software seit gut einem Jahr einen Cloud Dienst an der Ad Austallsicherheit ist f r eine produktive Datenbank nahezu ministratoren das Verwalten unverzichtbar Strebt jedoch der IT Verantwortliche dieses von Desktop Systemen und Ziel mit seiner Oracle Datenbank an scheint die Standard Servern erleichtern soll Edition daf r ungeeignet und nur der tiefe Griff in Porte IT Administrator hat sich monnaie zum Erwerb der entsprechenden Lizenz hilft den Dienst und dessen weiter Der Workshop berichtet von Projekterfahrungen M glichkeiten wie auch bei der Nutzung der Stundard Edition f r HA Aufgaben und Schw chen n her angesehen gibt Hinweise zur eigenen
134. dmin vergleicht vorher noch die Bedingungen von GA mit der eigenen Unternehmenspolicy An schlie end erstellen Sie innerhalb von GA ein Konto und eine Property Danach gibt Google die Tracking ID beispielsweise UA 12345678 1 bekannt Diese wird Ein NetFlow Paket 3 beinhaltet bis zu 30 unidirektione le Verbindungseintr ge je nach Version und Paketgr e Zum Beispiel beinhaltet jeder Eintrag von Version 5 Quell und Zie HPv4 Adresse Quell Ziel Portnummer P Protokoll zum Beispiel TCP UDP oder ICMP Eingehendes und ausgehendes Routerinterface Anzahl der transportierten Bytes und Pakete Beginn und Ende der Verbindung Type of Service Priorit tsbits Neuere Implementierungen mit NetFlow Version 9 bie ten zus tzliche Infos ber Multicast IPv6 BGP und MPLS Die Informationsf lle des Pakets kann beliebig gew hlt werden so dass keine leeren Felder und unin teressanten Eintr ge versendet werden NetFlow im Skript flow ga pl siehe n chster Ab schnitt eingetragen und verbindet die be richteten NetFlow Daten mit dem Goo gle Account Die Property ben tigt noch Benutzer definierte Definitionen die die Feldna men von NetFlow darstellen und h ndisch angelegt werden Hierbei ist die Reihen folge und Schreibweise wichtig Dazu z h len zun chst die Benutzerdefinierten Di mensionen alle vom Umfang Hit 1 srcaddr 2 dstaddr 3 srcport 4 dstport 5 protocol 6 export
135. dministrator de ben wiederum an wer bei einem Ausfall zu benachrichtigen ist Unter Windows berwachten wir auf diesem Wege unter anderem Dienste f r Exchange Acronis Backup und MSSQL Server Unter Linux pr ften wir ob Prozesse wie Cron FTP Postfix und Apache liefen G nzlich vermissten wir eine M glich keit im Unternehmen laufende und nicht aus dem Internet erreichbare Peripherie zu berwachen So wollten wir zum Bei spiel per SNMP einen Drucker abfragen und uns benachrichtigen lassen sobald der Ioner eine F llstandmenge unter schreitet Dies war nur m glich wenn wir den Zugriff auf den Drucker per NAT und einer eigenen externen IP Adresse erm glichten Andere Monito ring L sungen bieten f r einen solchen Fall eine Software als internen Daten sammler an die innerhalb des Netzwerkes installiert ist die Daten sammelt und an die berwachungsl sung sendet Benachrichtigungswege mit unflexibler Zeitplanung W hrend des Einrichtens der berwa chungen trafen wir immer wieder auf die Auswahl der Monitor Gruppe Wie ein gangs erw hnt handelt es sich dabei um eine Konfiguration der Alarmeinstellun gen die Ansicht der Widgets und mehr Diese Gruppen konfigurierten wir im Laufe der Testphase sodass wir separate Alarmmeldungen erhielten Taimi DICT N GIBT NUR DICKE LUFT ZZ a s e HANNOVER 16 20 M RZ 2015 Halle 3 Stand B20 PRINT CREEN TONER CO NEUTRAL Es BL
136. dung unterschiedlicher indus trieller Ger te ber ein einheitliches Kommunikationssystem um die darauf ausgef hrten Prozesse zu steuern und die Daten zu visualisieren Konzeptionell ist Eclipse SCADA sehr flexibel ausgelegt F r die Umgebung macht es prinzipiell keinen Unterschied ob die Daten von einem einfachen Sensor oder einer kom plexen Produktionsanlage stammen Zum Einsatz kommen berwiegend skalare Werte anstelle komplexer Datenstruktu ren berall dort wo es notwendig ist werden Datenstrukturen in mehrere ska lare Werte gesplittet Dadurch beschleu nigt sich die Datenverarbeitung und all gemeine Verarbeitungsmechanismen k nnen eingesetzt werden Stammen die Daten beispielsweise von einer Wetterstation k nnte diese als Rohdaten die Temperatur und die Son nenscheindauer liefern Dabei handelt es sich um zwei Flie kommawerte die un abh ngig voneinander verarbeitet wer den Dennoch l sst sich auf beide das gleiche Alarmschema anwenden Den Werten kann dann beispielsweise eine Qualit tsinformation und oder ein Hin weis zugewiesen werden die bei Errei chen bestimmter Grenzwerte an den Be nutzer ber eine Schnittstelle ausgegeben wird Dabei l sst sich das identische Vi sualisierungsschema nutzen Nach diesem Prinzip verarbeitet Eclipse SCADA die verschiedensten Quelldaten Zwei Ebenen einer SCADA Umgebung In der Industrie sind SCADA Systeme l ngst Realit t Als Netzleitsysteme dienen Sie v
137. durchf hren und m ssen nicht die webbasierte Exchange Verwaltungs konsole verwenden ber Assignment Policies legen Sie fest welche Verwaltungsrollen in den ver schiedenen Verwaltungsrollenzuweisun gen integriert sind also welche Rechte die Benutzer haben sollen Und mit Role Groups steuern Sie die Mitglieder und die Verwaltungsrollen sowie die Rol lenzuweisungen Hier lassen sich eigene Rollengruppen erstellen oder vorhande ne anpassen ber das Kontextmen las sen sich einfach neue Mitglieder hinzu f gen Bei der Erstellung einer neuen Verwaltungsrollengruppe legen Sie im Bereich Select Management Roles die Verwaltungsrollen also Rechte fest die Mitglieder der Verwaltungsrollengruppe erhalten sollen Sind in der Organisation auch Verwal tungsbereiche festgelegt zum Beispiel f r einzelne Benutzerdatenbanken Ex change Server oder Dom nen lassen sich die Rechte auf diese einschr nken Diese Management Scopes lassen sich auch im RBAC Manager steuern Haben Sie eine neue Rollengruppe erstellt teilen Sie dieser ber das Kontextmen Mit glieder zu Dazu kann RBAC Manager nat rlich auch das Active Directory durchsuchen Nach dem Erstellen einer Verwaltungs rollengruppe sind anschlie end rechts in der Mitte im Fenster die ausgew hlten Verwaltungsrollen zu sehen oben die da M rz 2015 57 PRAXIS I Tools f r Microsoft Netzwerke zugeh rigen Verwaltungsrollenzuweisun gen und ga
138. e Docker und Kubernetes I PRAXIS und nicht etwa manuell Mittels rpm ostree update f hren Sie ein Update des Systems durch Hat dieser nicht so funk tioniert wie Sie es sich vorstellen ver setzen Sie das System mittels rpm ostree rollback wieder in den urspr nglichen Zustand Anstelle von rpm ostree k n nen Sie auch einfach das Tool atomic aufrufen Es verweist ber einen Softlink ebenfalls auf rpm ostree Arbeiten mit Docker Containern Wenn Sie mit Docker Containern ver traut sind wissen Sie dass sie ebenfalls auf Images basieren Diese beziehen Sie entweder von einem zentralen oder lo kalen Docker Registry Server oder er zeugen Sie mit Hilfe eines Dockerfile selber ber den Aufruf von docker run starten Sie dann die gew nschte Appli kation innerhalb eines Containers Das folgende Beispiel zeigt das bekannte Hello World innerhalb eines Fedora Containers docker run fedora bin echo hello world Ist das Image mit dem Namen fedora zu diesem Zeitpunkt noch nicht lokal vor handen l dt docker es selbstst ndig vom voreingestellten Registry Server herunter und f hrt dann das Kommando bin echo hello world innerhalb der Fedora Instanz aus Im Anschluss wird der Container be endet Der Aufruf docker ps a zeigt alle gestarteten Container auf dem Host an Anstelle des echo Befehls k nnten Sie an dieser Stelle nat rlich auch ein Skript aufrufen das einen vorkonfigurierten Webserver startet Nu
139. e Media und Web 2 0 Anwendungen leben ausnahmslos davon dass eine hohe User Zahl in Echtzeit auf die gleichen Applika tionen zugreift Daf r ist es entscheidend dass die Anwendungs Performance durch gehend stabil bleibt und die User Experi ence selbst in Spitzenzeiten einwandfrei ist E2E Monitoring ist die geeignete Tech nologie um Flaschenh lse und Qualit ts einbr che fr hzeitig zu erkennen und pro aktiv zu beheben Sollten die Wartezeiten zu lang sein oder garVerbindungsabbr che drohen alarmiert die L sung automatisch die zust ndigen Administratoren und tr gt so dazu bei teure Umsatzeinbr che zu ver meiden Pr fen Sie daher bei der Auswahl einer E2E Monitoring L sung unbedingt ob diese auch f r anspruchsvolle Weban wendungen und Multi Link Umgebungen geeignet ist denn fr her oder sp ter wird dieser Einsatzbereich mit hoher Wahr scheinlichkeit in jedem Unternehmen auf der Agenda nach oben r cken E2E Monitoring bietet ber die reine An wendungs berwachung hinaus eine ganze Reihe weiterer spannender Einsatzfelder Besonders interessant f r Enterprise Um gebungen ist das Qualit tsmanagement bei Updates und Migrationen tief inte grierter Business Anwendungen etwa von ERP PPS oder CRM L sungen Wer sichergehen will dass solche an spruchsvollen und hochgradig risikobe hafteten Changes reibungslos vonstatten Die meisten zeitgem en E2E Anwendungs Monitoring L sungen sind rela
140. e sicherten Bereich innerhalb einer Android Installation mit Samsung KNOX erzeugt wird Hier lassen sich dann s mtliche Good Apps mit Good abgesicherte Apps oder ma geschneiderte Apps nutzen die durch die Good Dynamics Secure Mobility Plattform gesichert werden Good will zudem umfassenden Support f r das Mobile Device Management APl Set von KNOX bieten In Link Code F3A1 1 SolarWinds gibt den Startschuss f r Version 11 5 seines Network Performance Monitor Das Tool zur Netzwerk berwachung verf gt nun ber spezielle Karten zur Draht Iosabdeckung mit denen sich die Signalst rke entspre chend den Grundrissen anzeigen l sst Eine Funktion zur Client Standortnachverfolgung erlaubt es dem Administra tor nach Drahtlosger ten im Netzwerk zu suchen und Endbenutzer und Rogue Ger te visuell aufzusp ren Av Berdem bietet das Werkzeug dem Nutzer eine Kapazit ts prognose zur Planung der Netzwerkanforderungen In Link Code F3A12 Cisco hat sein Managed IT Werkzeug Meraki erweitert Die Cloud basierten Services dienen nun nicht mehr nur zum Management von drahtlosen mobilen Netzwerken sondern auch von Switches und Sicherheitsfunktionen So z hlt zu den Neuerungen unter anderem ein umfassendes Unified Threat Management zur Identifikation und Abwehr von Bedrohungen basierend auf der integrierten Source fire Technologie Auf Basis von MX Security Appliances will Cisco zudem die WAN Funktionalit t bei Public und Hybrid Clouds
141. e lauschen soll ein Anschlie end starten Sie auch hier die notwendigen Dienste k8s_master 39902450_apache default etcd_37e66e65 8454 11e4 b2be 5254008d3d8e_e8c7bae6 Alle Listings zum Download unter www it administrator de systemct start kube proxy kubelet docker systemctl enable kube proxy kubelet docker systemct status kube proxy kubelet docker Zu diesem Zeitpunkt sollten Sie den Mi nion Host auf dem Master sehen Zur Kommunikation mit dem API Server kommt das Tool kubectl zum Einsatz kubect get minion NAME atomic host 001 Im n chsten Schritt k nnen Sie Ihren ers ten Pod erzeugen Zur Erinnerung hier bei handelt es sich um einen oder mehrere Container die auf einem der zur Verf gung stehenden Minion Hosts bereitge stellt werden Die Definition des Pods er folgt ber eine Datei im JSON Format in der Sie s mtliche Informationen zu dem Pod festlegen Dazu geh ren bei spielsweise das zu verwendende Docker Image der Port der Services und ein optionales Port Mapping zwischen Con tainer und Host Sie k nnen hier auch Dateisysteme des Hosts bestimmen die Sie an den Container binden m chten Dies ist besonders wichtig da s mtliche Daten die Sie innerhalb des Containers ndern nach dem Beenden des Contai ners verloren sind Jeder Pod l sst sich mit einem oder meh reren Labels versehen Beispielsweise k nnten Sie f r alle Apache Server in Produktion die Label name apache und st
142. e virtuelle Appliance zum Einsatz kom men soll und wie der Netzwerkzugriff zu erfolgen hat Insgesamt dauerte der Vorgang der Grundeinrichtung nur ein paar Minuten und erforderte keinerlei Spezialkenntnisse Nach dem Upload der virtuellen Appli ance entdeckt der Administrator in der Baumstruktur des vSphere Clients zwei neue Server die in einer vApp Gruppe gemeinschaftlich ein und ausgeschaltet werden k nnen Beim Einschalten startet der vFabric PostgreSQL Datenbankserver innerhalb weniger Sekunden es folgt der vCenter Hyperic Server Sowohl die Post greSQL Datenbank als auch der Hyper ic Server zeigen den notwendigen Log in Link in der Konsole an Es kommt das Passwort zum Einsatz welches der Admi nistrator im Zuge der Installation angelegt hat Die wichtigsten Eigenschaften der vApp wie IP Bereiche Port Adressen oder Login Namen kann der II Profi im Eigenschaftendialog des vSphere Clients anpassen In der Standardkonfiguration ist der neue Hyperic Server unter der Port Adresse 7080 zu erreichen VMware vRealize I TESTS Minutaa wr Ein erster Blick auf das Dashboard Das erste Login auf der Port Adresse 7080 ffnet das vRealize Hyperic Dashboard f r den Benutzer HQ Hier unterschei det sich VMware kaum von anderen An bietern von berwachungsprogrammen und bietet eine hohe Anpassbarkeit durch den Benutzer Jeder Anwender ein Ab gleich mit einem LDAP Verzeichnis als Quelle ist m glich kann sic
143. e Online Dienste erreichen zu k nnen Dabei steht nat rlich die Steuerung des Zugriffs auf die Cloud Dienste ber Gruppen im Mittelpunkt Gelingt der Zu griff auf externe Online Dienste schauen wir uns die Sicherheitsberichte in Azure genauer an und wollen mehr ber m g liche Gefahren wissen eine Funktion die Azure AD in der Premium Variante anbietet F r administrative Benutzer rich ten wir im Anschluss dann eine weitere Authentifizierung ein und nutzen dazu die Azure Multifaktor Authentifizierung Gruppen in Azure AD bilden F r das Erteilen von Zugriffsrechten und die Steuerung der Berechtigungen auf Anwendungen bedient sich Azure AD ei nes bekannten und erprobten Mittels Gruppen W hrend das Windows Active Directory generell zwischen Sicherheits und Distributionsgruppen unterscheidet 48 M rz 2015 mE PRAXIS I Azure Active Directory akati da Azure Active Directory einrichten und nutzen 2 Gewusst wer von Florian Frommherz Mit dem Azure Active Directory bietet Microsoft seinen Verzeichnisdienst auch in der Cloud an Im ersten Teil unserer Workshopserie haben wir die Grundlagenarbeit geleistet und die Verzeichnis Infrastruktur mit Azure Active Directory Sync und ADFS aufgesetzt Im zweiten Teil der Artikelreihe konfigurieren wir das Azure AD und nutzen es um Single Sign On ber Microsofts Dienste hinaus zu Dropbox und Twitter zu erm glichen und diese weiter in verschiedene G ltig keitsbereich
144. e Tools sind vom glei chen Entwickler und stehen kostenlos zur Verf gung Es gibt Versionen f r Exchange Server 2010 und f r Exchange Server 2013 SP1 54 M rz 2015 von Thomas Joos Exchange Server halten f r Administratoren t glich zahlreiche Aufgaben bereit Dazu z hlen un ter anderem das Monitoring der Exchange Organisa tion die Spambek mpfung die Verwaltung mobiler Exchange Reporter verschickt Status E Mails ber den Zustand Ihrer Exchange Server Datenbanken und anderer Objekte in der Exchange Organisation Nachdem Sie sich die passende Version f r Ihren Ex change Server 2010 oder 2013 herun tergeladen haben m ssen Sie das Skript zun chst an Ihre Umgebung anpassen Danach erstellen Sie eine Windows Auf gabe die den Bericht startet Exchange Monitor ist das zweite Skript des Entwicklers Dieses sendet Test E Mails zu einem externen Server wartet auf die automatische Antwort und stellt damit si cher dass der E Mail Fluss der Exchange Organisation in das Internet funktioniert Sie k nnen auch hier das Skript anpassen und wie beim Exchange Reporter gibt es auch f r dieses Tool eine umfangreiche Hilfedatei Klappt der E Mail Fluss nicht kann das Tool Administratoren benachrich tigen zum Beispiel ber eine SMS Sie k nnen den gleichen Test auch in der Exchange Verwaltungsshell vornehmen Devices und auch die Rechteverwaltung Dabei stellt Exchange f r einige dieser T tigkeiten nur un
145. e dc com changetype modify replace userPassword userPassword SSHA aMZzZ1DZsBXZ FZAL5FTAXQi Phmuke D Listing 5 nderung eines Benutzerpassworts Directory Server an um die Datei in den Server zu laden ldapmodify v x a h localhost p 389 D cn admin1 ou People dc example dc com w password f tmp user password change Idif Fazit Die hier dargestellte Methode stellt eine M glichkeit dar um beispielsweise Help desk Mitarbeitern den Zugriff auf Benut zer Passw rter zu gestatten ohne ihnen die Kontrolle ber den kompletten Server ein zur umen Wie das Beispiel zeigt funktio niert dies auch in Kombination mit zuvor eingerichteten Passwort Regeln JB 17 1 389 Dokumentation F3PO Link Codes Administrator Wor ber Administratoren morgen reden Sichern Sie sich den E Mail Newsletter des IT Administrator und erhalten Sie Woche f r Woche die gt neuesten TIPPS amp TRICKS gt praktischsten TOOLS gt interessantesten WEBSITES gt unterhaltsamsten GOODIES sowie einmal im Monat die Vorschau aufdie kommende Ausgabe des Administrator _ u Jetzt einfach anmelden unter u www it administrator de newsletter Jr Microsoft ME Windows Manchmal f nde ich es u erst praktisch den Nutzer eines bestimmten Rechners schon beim Anmelden an Windows 8 mit einer kurzen Nachricht auf etwas aufmerk sam zu machen etwa ein bevorsteh
146. e f r lokale globale und do m nenlokale Zwecke unterteilt existieren in Azure AD einfach nur Gruppen Liegen die Sicherheitsgruppen im Bereich der Azure AD Synchronisierung werden diese inklusive der Gruppenmitgliedschaft nach Azure AD synchronisiert Die Gruppen mitgliedschaft umfasst dabei alle Windows AD Benutzeraccounts und weiter ver schachtelte Gruppen sofern die Mit glieder ebenfalls im Scope der Synchro nisation liegen Wie auch bei Benutzerkonten unterschei det Azure AD zwischen Gruppen die im lokalen AD erstellt wurden und Cloud basierten Gruppen Es gelten sogar die selben Regeln Gruppen aus dem lokalen Windows AD k nnen nur durch die Syn chronisation aus dem Windows AD heraus ge ndert werden Cloud basierte Gruppen hingegen lassen sich durch das Azure Ma nagement Portal und das Office 365 Por tal verwalten Im Office Portal gibt es vom Dashboard aus im linken Men die die zur bersicht der bekannten Gruppen f hrt Im Azure Por Option Groups tal navigieren Sie zuerst zu Active Di rectory im linken Men w hlen das richtige Verzeichnis aus und nutzen im oberen Men Groups Das Azure Ma nagement Portal ist f r Modifikationen von Gruppen derzeit die geeignetere Va riante Die Benutzeroberfl che zeigt deut licher welche Gruppen ge ndert werden k nnen und woher sie stammen Die Gruppen werden sp ter f r den Zugriff auf freigegebene und f derierte Anwen dungen im Azure A
147. earch Projektes und steht unter der Apache 2 0 Lizenz 11 Das Werkzeug ist in JRuby geschrie ben und ben tigt daher eine m glichst aktuelle Java Laufzeitumgebung Intern delegiert Logstash jede einzelne Aufgabe an ein entsprechendes Plug In So liest Graylog Search results Marilla Firefox Graylogz Searchresults HE Siaaris GRAYLOG 2 EI gold some Input Fear Q Search results Found 24 meanma A 1 Total result histogram d Quick value breakdosmn of level Rewslution Tri Carter Morih Wer Timantar p If etwa ein Plug In die Log Daten aus einer Sqlite Datenbank w hrend ein weiteres anhand der IP Adressen noch Geo In formationen hinzuf gt bevor ein drittes die so aufbereiteten Daten in eine CSV Datei schreibt Die Plug Ins teilen sich abh ngig von ihrer Aufgabe in vier Grup pen ein Input Plug Ins lesen Daten ein Codec Plug Ins wandeln Daten in andere Formate um Filter ndern oder reduzie ren die Informationen w hrend Output Plug Ins die Log Daten speichern oder an andere Stellen weiterleiten Wann welche Plug Ins zum Einsatz kom men bestimmt der Administrator ber ei ne Konfigurationsdatei Ein einfaches Exemplar zeigt Listing 1 Mit ihr nimmt zun chst das Input Plug In stdin Daten von der Standardeingabe entgegen Dann wandelt ein weiteres Plug In jede Zeile in das JSON Format um codec gt json Schlie lich schreibt das Output Plug In stdout diese Daten wieder auf
148. echnik f r Profis IT Netze Infrastruktur monitoring expo com A TESTS iQSol PowerApp Quelle neyro2008 123RF n kleineren Umgebungen mit we nigen Servern und USVs lassen sich diese meist direkt miteinander koppeln um einen koordinierten Shutdown bei ei nem Stromausfall zu realisieren Sobald es aber etwas komplexer wird und Abh n gigkeiten zu ber cksichtigen sind bedarf es einer zentralen Steuerung aller Aktionen durch ein Tool wie PowerApp von der sterreichischen Programmschmiede iQSol Hierbei handelt es sich um eine L sung in Form einer physischen oder vir tuellen Appliance die die Zust nde der USVs sowie gegebenenfalls weitere Um gebungssensoren berwacht und auf dieser Basis die angeschlossenen Server herun terf hrt oder auch virtuelle Maschinen in ein anderes Rechenzentrum verschiebt F r unseren Test nutzten wir die virtuelle Appliance PowerApp VM die funktional mit den physischen Appliances vergleich bar ist Sie unterst tzt die Kontrolle von bis zu 1 500 Servern Die beiden physi schen Modelle PowerApp 1000 und PowerApp 500 sind f r bis zu 1 500 be ziehungsweise 250 Server geeignet PowerApp arbeitet bei den Zugriffen auf die Server ohne Agenten und nutzt aus schlie lich SNMP zur Abfrage der USVs Die L sung ist von bestimmten USV Mo dellen unabh ngig und damit universell einsetzbar Sie steht im Mitbewerb zu di versen berwachungstools die die gro en USV H
149. ecks Klarer Vor teil ist dass der MSM unter Windows Linux und VMware ESXi l uft Die Sektion Controller f hrt zum Reiter Schedule Consistency Check Dort definieren Sie wann und wie oft ein Check laufen soll 3 Das Adaptec Kommandozeilen Werkzeug erm glicht Consistency Checks per da tascrub Kommando Data Scrubbing wird oft im Zusammenhang mit Consistency Checks verwendet da es den Vorgang der Fehlerkorrektur bezeichnet Das folgende Beispiel richtet einen regelm igen Check im Abstand von 30 Tagen ein arcconf datascrub 1 period 30 Fazit Aktuelle RAID Controller haben keine Probleme mit SSDs Sie brauchen au erdem den Performance Vergleich mit Linux Soft ware RAID nicht zu f rchten Die Wahl der RAID TIechnologie wird daher vor al lem eine Frage des eingesetzten Betriebs systems und pers nlicher Vorlieben sein Li nux hat mit aktuellen Kerneln und mdadm jedenfalls alle Werkzeuge f r SSD RAIDs an Board Freunde von RAID Controllern brauchen sich ber das Betriebssystem keine Gedanken machen Eines ist aber klar Con troller Cache und Read Ahead haben bei SSD RAIDs nichts verloren Die BBU oder Flash basierte Cache Schutzl sungen sparen Sie dann gleich mit ein Die Entscheidung f r das richtige RAID Level kann Ihnen niemand abnehmen Hier m ssen Sie selbst Hand anlegen und Ihre Applikationen beziehungsweise Ihre Systeme analysieren Schreiben oder lesen Sie vor wiegend von Ihrem O System Steh
150. edigt diesen Job auf einem bestehenden Linux Server oder einer schlanken virtu ellen Maschine F r die VM sind ein Beispielkonfiguration eines Cisco Router 1921 mit IOS 15 2 interface GigabitEthernet0 1 ip flow ingress ip flow export version 5 ip flow export destination 10 10 1 1 2055 Beispielkonfiquration HP 9300 Serie interface ethernet 1 1 ip route cache flow ip flow export enable ip flow export version 5 ip flow export destination 10 10 1 1 2055 1 NetFlow Konfiguration www it administrator de CPU Kern 256 MByte RAM und eine 2 GByte Festplatte ausreichend Die In stallation erfolgt auf CentOS Fedora oder Red Hat Systemen ber den Paket manager yum Das Paket nfdump ist im EPEL Repository verf gbar yum install nfdump Vor dem Start erweitern Sie die lokale Fi rewall noch um eine Regel f r eingehen de Pakete auf Port 2055 SELinux ben tigt keine Anpassung iptables I INPUT p udp m state State NEW m udp dport 2055 j ACCEPT ipt6ables I INPUT p udp m state State NEW m udp dport 2055 j ACCEPT A Zum Testen der Installation wird der Col lector mit nfcapd E T all p 2055 1 tmp I any gestartet Nach kurzer Zeit sollten die ers ten NetFlow Daten in der Linux Konsole sichtbar sein Google Analytics vorbereiten Zur Nutzung von Google Analytics 4 muss ein Google Konto vorhanden sein das Sie um den Analytics Dienst erwei tern Der vorsichtige A
151. ehler www it administrator de ber das optionale Network Data Ma nagement Protocol NDMO sollen sich NAS Speicher von EMC und NetApp besonders einfach sichern und wieder herstellen lassen Die neuen Appliances erlauben weiterhin ein Backup in die Cloud was sowohl mit einem hersteller eigenen Angebot als auch mit den ent sprechenden Diensten von Amazon Goo gle oder Dropbox funktioniert F r Unternehmen mit kleinem TI Budget eignen sich die Recovery 602 oder Re covery 603 Varianten mit einer H hen einheit die ab 3 400 Euro beziehungs weise ab 5 100 Euro erh ltlich sind Unternehmen mit hohen Speicheranfor derungen haben die Wahl zwischen zwei neuen 3 HE Modellen die Recovery 933S mit einer Brutto Kapazit t von 37 TByte oder die Recovery 936S mit ei nem Brutto Fassungsverm gen von 73 Tools erledigen Das neue Xen Release bietet f r Windows VMs einen Virtual ma chine generation identifier VM Genera tion ID der es erm glicht Domain Controller mit Windows 2012 oder neuer zu migrieren Au erdem ist jetzt die Remus Technologie unterst tzt die kontinuierliche Live Migration und darauf aufbauende Hochverf gbar toleranz und Link Aggregation f r erh h ten Datendurchsatz Drei USB 3 0 Ports komplettieren die Anschlussm glichkeiten Mit Apps wie der neuen Notes Station 2 0 erstellen Anwender digitale Notizen in ihrer privaten Cloud die sie zur gemeinsamen Nutzung an aus gew hlte Kontakte weiter
152. ei ner Als Richtwert empfiehlt Microsoft 2 beispielsweise f r 15 000 zu authen tifizierende Benutzer lediglich zwei ADFS Server Etwas anders sieht es zwar aus wenn Office 365 ins Spiel kommt trotzdem wird die Infrastruktur ber schaubar bleiben und da bieten s ch die Windows Server 2012 Bordmittel an Server Manager als Schalizentrale Ein ADFS Server protokolliert alle re levanten Ereignisse im AD FS Proto koll in den Anwendungs und Dienst protokollen der Ereignisanzeige Um nicht auf allen Servern in der Farm die Protokolle hinsichtlich m glicher Pro bleme anschauen zu m ssen kann es sinnvoll sein s mtliche Server der Farm von einem zentralen Ort aus zu verwal ten Der Server Manager bietet hier viel mehr als nur das simple Installieren von Serverrollen und Funktionen Wurden alle Server im Server Manager hinzu gef gt gibt das Dashboard gesammelte Statusinformationen wieder Ein praktisches Beispiel k nnte so ausse hen ber das Kontextmen lassen sich gezielt Server von der Ferne aus adminis trieren und nach Wartungsarbeiten zum Alte Warnungen i i Pfad E Ermitteiben imanta 35 Task tet s Hi URDU empate HT Verteiie Anwendungen 5 Er Windowicamoue a ig Attie Directory Federman Sernces 2012A HI AD Fi Setumangicht a ig Verbundene LH Verbundene Enignin ET Veribundserer sirius S Verbunderan Warnangen a g Verbundene Leistung Artbeats ungsarnandenungen ded Fender bi enearl nd
153. eichnender Produktreife bleibt als Wermutstropfen dass die Ansteuerung nachgeordneter Systeme noch weitgehend mit eigenen Skripten im plementiert werden muss Es bleibt zu hof fen dass sich die Produkte auch in diesem ITA Bereich noch weiterentwickeln jp www it administrator de PowerShell 4 0 f r die Windo ws Administration Das vorliegende Buch ist bestrebt alle n tigen theo retischen Aspekte f r den Einsatz der PowerShell zu liefern den PowerShell 4 0 f r die Windows Administration administrativen Alltag zu auto matisieren und vereinfachen so wie einen Ausblick auf Desired State Con figuration DSC der Zukunft geplanten Standard in Sachen dem von Microsoft in Server Konfiguration zu liefern Die historische Entwicklung und die ersten Schritte mit der PowerShell nehmen knapp zehn Prozent des Buchumfangs ein und gen gen bereits um den elementaren Ein satz der PowerShell zu bew ltigen Nach einem kurzen Abriss ber die PowerShell Cmdlets analysiert Autor Peter Monadjemi r Powertraining Die Zertifizie rungen von Cis co gelten nach wie vor als die anspruchsvolls ten Aus diesem Grund m chte das vorliegende a Powertraining ICND1 CCENT 100 101 Buch die n tige Hilfestellung ge oz ben und sowohl auf die Anforderungen an die Zertifizie rungen als auch auf die Pr fungen op t mal vorbereiten Die ICNDI1 Pr fung ist zu gro en Teilen
154. eichtgewichtig und auf Hochverf gbarkeit ausgelegt Im Ge genzug bietet es keinerlei Analyse Iools Es eignet sich daher als flinker Daten sammler in gr eren Netzen der die ge filterten Informationen einem weiteren Tool zukommen l sst Die Weboberfl che dient im Wesentlichen nur als h bscher Editor f r die Konfigurationsdatei Graylog2 lockt mit einer schnellen Instal lation und einer schicken Weboberfl che nimmt die Log Daten standardm ig aber nur via TCP oder UDP entgegen Die Datenabfrage erfolgt zudem mit einer ei genen Sprache Im Gegenzug ist eine recht flexible Auswertung und Suche m glich Logstash gl nzt dank des erh ltlichen Buchs mit umfangreicher Dokumentati on Komplexere Konfigurationsdateien wirken jedoch etwas un bersichtlich Als Teil des Elasticsearch Projekts arbeitet es besonders gut mit den anderen dort ent wickelten Komponenten zusammen Nutzer von Octopussy ben tigen mangels Dokumentation Experimentierfreude Die Weboberfl che wirkt veraltet und ist um st ndlich in der Bedienung Immerhin kann Octopussy zeitgesteuert Reports erstellen of ITA 1 Fluentd F325 2 Wikipedia Eintrag zu JSON 2 3 Fluentd PlugIns F3253 4 Fluentd Ul F3754 5 Quellcode von Fluentd F3755 6 Treasure Data Inc F3256 7 Graylog2 F3257 8 Apache Lucene F3758 9 Elasticsearch F359 10 Support f r Graylog2 F3250 11 Logstash F3Z5A 12 Kibana F3Z5B
155. eim Zugriff auf die Anwendung die Logon Daten einspeist F r den Internet Explorer bittet Microsoft beim ersten Klick auf die Anwendung im MyApps Portal um die Installation eines MSI Paketes F r Firefox reicht die Installation des Plug Ins Einmal aktiviert funktioniert der Single Sign On f r alle Anwendungen mit hinterlegten gesch tzten Passw rtern immer wieder Unter dem Tab Profile finden Benutzer Informationen ber ihren Benutzerac count in Azure AD Au erdem stehen dort weitere Funktionen wie AD Passwort n derung zur Verf gung falls der Azure AD Admin diese aktiviert hat E gt https account activedirectary windowsazure com applications defaultaspx Access Panel Applications Microsoft Azure r ln le elgi applications Ehosweng 3 083 Bild 5 Das MyApps Portal zeigt die bersicht ber die dem Benutzer freigegebenen Anwendungen und vollzieht auf Knopfdruck den Logon transparent M rz 2015 51 PRAXIS I Azure Active Directory Multifaktor Authentifizierung Microsoft erweitert derzeit seine Online Dienste um Multifaktor Authentifzierung MFA Das erschwert nicht nur den Ac countdiebstahl beim Zugriff auf Online Ressourcen sondern sichert auf Wunsch auch den Zugriff auf lokale Anwendungen oder auf das F rmen VPN ab Zwei neue Angebote sind gerade f r Online Abo nennten interessant Kunden von Office 365 k nnen MFA f r alle Benutzer akti vieren Azure und Azure AD K
156. einen einzelnen oder auch mehrere Container enthalten blicherweise enth lt ein Pod Container f r Dienste die man auf herk mmlichen Systemen gerne zusammen installieren w rde Eine Datei im JSON Format ent h lt alle hierf r notwendigen Informatio nen Beispielsweise welches Image f r die Container des Pods zum Einsatz kommen soll und auf welchem Port die Dienste in nerhalb der Container lauschen sollen Auf den Minion Hosts l uft ein Agent Service mit dem Namen kubelet und empf ngt Anweisungen des Masters Als Kommunikationsbus kommt der etcd Service zum Einsatz Hierbei handelt es sich um eine verteilte Key Value Daten bank 6 die mittels einfacher HTTP GET und PUT Anweisungen bedient wird Diese h lt Konfigurations und Sta STATUS Running M rz 2015 63 PRAXIS I Docker und Kubernetes tus Informationen des Kubernetes Clus ters vor und liefert diese bei Bedarf im JSON Format zur ck Der kubelet Ser vice auf einem Minion Host fragt diese Datenbank st ndig nach nderungen ab und f hrt sie gegebenenfalls aus Beispiels weise kann die Datenbank eine Liste s mtlicher Minion Hosts des Clusters ent halten Diese Information wird dann vom app service dazu verwendet um zu ent scheiden auf welchen Hosts ein neuer Container erzeugt werden kann Installation des Atomic Hosts Um in die Welt von Kubernetes einzu tauchen laden Sie sich eines der unter 3 4 5 bereitgestellten Images her
157. einfache Einbindung in Skripte selbst geschriebene Anwendungen oder Monitoring Tools Graylog2 verdaut von Haus aus Log Da ten im Syslog Format gem den Stan dards RFC 5424 und RFC 3164 sowie dem eigenen Graylog Extended Log For mat GELF Wer ein anderes Format ein lesen m chte muss dessen Aufbau erst de finieren Die Log Daten m chte Graylog2 per TCP oder UDP angeliefert bekom men Dateien kann das Werkzeug nicht einlesen Wer Letzteres ben tigt soll laut Graylog2 Homepage einen Konkurrenten wie Logstash einspannen und dann dessen Ausgaben an Graylog2 bergeben Die eintrudelnden Meldungen leitet Graylog2 in sogenannte Streams um Ad ministratoren d rfen nicht nur beliebig viele dieser Streams erstellen sondern auch ber Regeln festlegen welche Mel dungen in welchen Streams landen sollen So lie e sich etwa ein Stream erstellen in den s mtliche Fehler der Datenbank Server wandern Eine Nachricht landet Add Source and Output Fluentd UI Mozilla Firefox Add source and Output Ea localhost dabei in allen Streams zu deren Regeln sie passt Die Regeln kann der Adminis trator recht komfortabel im Webinterface zusammenklicken Die in die Streams ge leiteten Nachrichten lassen sich durch suchen und k nnen zudem einen Alarm Alert ausl sen Die eingegangenen Daten durchsucht der Administrator mithilfe der Search Query Language die sich an die Syntax der Such maschine Lucene 8 anleh
158. eise in verschiedenen Containern verwalten die einzelne Abteilungen oder Standorte widerspiegeln Somit k nnen Sie dann f r jeden Container eine eigene 68 M rz 2015 o aswe Schl ssel bergabe von Thorsten Scherf In den meisten Unternehmen kommt zur Verwaltung der Benutzer ein Directory Server zum Einsatz Der 389DS aus dem Fedora Projekt ist ein weniger bekannter Vertreter aus der Open Source Welt Die letzten Releases haben einige wesentliche Vereinfachungen f r das Gruppe von Passwort Ad ministratoren definieren die nur Zugriff auf Konten des jeweiligen Containers haben Damit der Zugriff funk tioniert muss die Gruppe nat rlich auch ber die entsprechenden Rechte f r den Container verf gen in dem sich die Be nutzer Objekte befinden Der 389DS regelt diesen Zugriff ber sogenannte Access Control Instructions ACIs Passwort Policy blicherweise besitzt jeder Container eine bestimmte Passwort Policy die die Eigen schaften der Benutzer Passw rter defi niert Das Tool ns newpwpolicy pl aus dem Software Repository des 389DS k nnen Sie dazu verwenden um die be n tigten Attribute und Objekte f r eine usr 1ib64 dirsrv slapd Idap ns newpwpolicy pl D cn Directory Manager w password S ou people dc example dc com adding new entry cen nsPwPolicyContainer ou people dc example dc com adding new entry cn cn nsPwPolicyEntry ou people dc exam ple dc com cn nsPwPolicyContai
159. eitere Korrelationsschritte eingespeist wird bestehen kann ber das einfache Z hlen hinaus lassen sich auch komplexe und verschachtelte Bedingungen zu einer Regel zusammenfassen 102 M rz 2015 u wissen Security Monitoring Dabei l sst sich um einer E Mail Flut zu begegnen ber einen Limitierungspara meter die Anzahl der verschickten Benach richtigungs E Mails auf beispielsweise eine pro Minute basierend auf der Ziel IP Adresse begrenzen In der Praxis weisen jedoch derart auf Signaturen basierende Er kennungsmethoden die den w hrend der Kommunikation zwischen zwei I Syste men bertragenen Inhalt auswerten eine Reihe von Schw chen auf Typischerweise findet die Kommunikation zwischen einem mit einer Malware infizierten I I System und den CC Servern verschl sselt statt Die hierbei bertragene Payload ist also im Klar text nicht sichtbar und das sicherheitsrele vante Ereignis l sst sich nicht einfach erkennen Als L sung bietet die NetFlow basierte Korrelation einer SIEM L sung eine Erkennungsm glichkeit bei der ent weder die berschreitung eines vom SIEM Administrator definierten Schwel lenwertes oder die Abweichung von einem durch die SIEM L sung selbst erlernten typischen Kommunikationsverhalten zu ei ner Alarmierung des Systembetreibers f hrt Auch die Alarmierung kann dabei in meh reren Stufen erfolgen So erzeugt das erste Auftreten einer bestimmten Auff lligkeit nur ein weiteres
160. en bietet mit benutzerdefinierten Berichten den tiefsten Einblick in die NetFlow Daten Neben den blichen Top Talkers ermit teln Sie hier unerw nschte Protokolle beispielsweise Telnet WINS oder Server Begrenzte M glichkeiten Leider ist nicht alles Gold was gl nzt denn Google setzt dem Nutzer klare Grenzen Google Analytics limitiert die Anzahl der Samples auf 200 000 Hits pro User und Tag Das sind circa 700 Samples pro F nf Mi nuten Interval Wenn tats chlich mehr Net Flow Samples anfallen gibt es verschiedene L sungsm glichkeiten Neben der Anschaf fung eines eigenen NetFlow Servers liessen sich anhand von Stichproben weniger Sam ples versenden Wenn der Routerhersteller keine Funktion zum Reduzieren der Da tenmenge anbietet hilft unser Tool flow ga pl ber die Variable sampling_rate_N versendet das Skript nur noch jeden N ten NetFlow Eintrag Alternativ sendet jeder Router ber einen separaten NetFlow Col lector Daemon an unterschiedliche GA Properties Google empfiehlt in dieser Si tuation nat rlich das Upgrade auf den kostenpflichtigen Dienst Google Analytics Premium der auch ohne Sampling arbei ten kann wenn gew nscht Beim Einsatz der Sampling Rate sind die GA Daten nicht mehr 100 Prozent exakt aber die allgemeine Irend Analyse oder Reporte zum Aufdecken von unbekannten 1 Cisco IOS NetFlow F377 2 NFDUMP F3272 3 NetFlow Export Datagram Formats F3273 4 Go
161. en ausw hlen H lla f SPAMfighter Community Filter Filter kont h i T aa Filtert E Mails basierend auf fr heren Blockserungen von anderen SPAMfighter Community Mitgliedern ff SPAMfighter Sprachfilter Fikert die E mails nach der Sprache Bild 3 SPAMfighter ist eine kosteng nstige L sung f r den Spamschutz in kleinen Unternehmen k nnen Sie aber auch eine Testlizenz mit Office 365 nutzen Um den BPA f r Ex change Server 2013 herunterzuladen rufen Sie die Iools Seite im Office 365 Portal auf und klicken auf Ihren lokalen Ex change Server mit Office 365 Best Practices Analyzer testen Nach dem Download installieren Sie das Tool auf Ihrem Exchange Server Im ers ten Schritt m ssen Sie f r einige Voraus setzungen des BPA die Lizenzbedingun gen best tigen Office 365 Best Practices Analyzer for Exchange Server 2013 l dt die notwendigen Erweiterungen danach automatisch aus dem Internet und instal liert sie auf dem Server Microsoft Online Services Sign in As sistant NET Framework 3 5 SP1 Windows Azure Active Directory Mo dule for Windows PowerShell Sind die Voraussetzungen installiert und auch der BPA auf dem Server integriert starten Sie ihn ber die Startseite in Server 2012 2012 R2 Beim ersten Start best tigen Sie die Lizenzbedingungen Lassen Sie Ihre Exchange Organisation scannen erhalten Sie nach kurzer Zeit ein Ergebnis Hier sehen Sie die durch gef hrte
162. en finden Sie ebenfalls im Event Log unter Microsoft Ex change ActiveMonitoring Respon derResult Die verschiedenen Komponenten wer den in einer Integrit tssammlung Health Set logisch zusammengefasst die den Zustand des Server wiederspiegelt Mit Get ServerHealth k nnen Sie sich den Sta tus der einzelnen Health Sets anzeigen Mit dem Befehl Get HealthReport grup pieren Sie die einzelnen Health Sets auch gleich und Sie erhalten einen besseren berblick Die einzelnen Komponenten eines Health Sets listen Sie mit dem Befehl Get Moni toringItemIdentity auf Das folgende Beispiel betrachtet die Eintr ge zum Outlook Protokoll n her Get MonitoringItemIdentity Identity Outlook Protocol Server LABOIEX01 Managed Availability ft Name ItemType Targetresource AutoSize Als Zustand zeigt ein Health Set das Er gebnis der enthaltenen Monitore an Die Monitore befinden sich grunds tzlich im Status Healthy fehlerfrei oder Unhealthy fehlerhaft Dar ber hinaus k nnen auch weitere Zust nde auftauchen Beeintr chtigt Degraded Befindet sich ein Monitor im Fehlerzustand wird er in den ersten 60 Sekunden als Beein tr chtigt betrachtet bevor dieser in den Zustand Fehlerhaft wechselt Deaktiviert Disabled Bei diesem Zu stand wurde der Monitor vom Admi nistrator deaktiviert Nicht verf gbar Unavailable Sofern der Microsoft Exchange Integrit ts dienst bei der Abfrage des Monitor
163. en gewinnt das Monitoring der Anwendungs Performance in Unternehmen jeder Gr e an Bedeutung Wer als IT Administrator interne und externe Kunden optimal betreuen will muss jederzeit wissen wie es um die Service Qualit t seiner Anwendungen bestellt ist Moderne L sungen 4 f r das End to End Anwendungs Monitoring die die Perfor mance am Anwender PC mithilfe von Mess Robotern und Bilderkennungsverfahren analysieren stehen bei den IT Abteilungen daher hoch im Kurs Unser Einkaufsf hrer untersucht welche Fragen sich IT Organisationen vor nen heute zwischen einer Vielzahl soft warebasierter L sungen gro er und klei ner Hersteller w hlen In der Regel wer den dabei zun chst die zu berwachenden Anwendungen auf einem dedizierten Client System im Netzwerk implemen tiert Anschlie end simuliert ein auf dem Client laufender Mess Roboter m glichst akkurat das Verhalten eines menschlichen Anwenders etwa indem er Daten in Datenbanken eingibt Webformulare aus f llt oder E Mails verschickt Die Abl ufe auf dem Client Bildschirm werden durchgehend mit einer leistungs f higen Bilderkennungssoftware analysiert und ausgewertet um objektive Daten zu Performance Verf gbarkeit und Latenz an einem typischen Client Arbeitsplatz zu erhalten Die so gemessenen Daten werden auf einem zentralen Management Server gesammelt evaluiert und mit hinterlegten Grenzwerten abgeglichen um proaktiv auf qualitative Einbr che reagier
164. en und deren aktuelle Zust nde fehlerfrei oder fehlerhaft Get HealthReport Abruf einer zusammenfassenden Statusinformation einzelner Health Sets mit deren aktuellen Stati Get Monitoringltemldentity Health Set Get MonitoringltemHelp Add ServerMonitoringOverride Anzeige der Tests Monitore und Responder f r einen bestimmten Anzeige von Beschreibungen einiger Eigenschaften von Tests Monitoren und Respondern Erstellen einer lokalen serverspezifischen Au erkraftsetzung eines Tests Monitors oder Responders Get ServerMonitoringOverride Server Remove ServerMonitoringOverride Add GlobalMonitoringOverride Get GlobalMonitoringOverride Remove GlobalMonitoringOverride Set ServerComponentState Get ServerComponentState Active Requester Maintenance Resume Clusternode LAB01EX01 Set MailboxServer LABOIEX01 Data baseCopyActivationDisabledAndMove Now false Set MailboxServer LABOIEX01 Data baseCopyAutoActivationpolicy Un restricted Zum Abschluss aktivieren Sie wieder den Transportdienst damit E Mails wieder bermittelt werden Set ServerComponentState LABOLEX01 Component HubTransport State Active Requester Maintenance Nun starten Sie den Iransportdienst neu Restart Service MSExchangeTransport Restart Service MSExchangerrontEnd Transport Bei einem reinen CAS ist der erste Befehl zum Beenden des Wartungsmodus aus reichend Auch hier muss der Transport dienst MSExchangeFrontEnd
165. en unter einer gemeinsamen Benutzer oberfl che Stellt sich beispielsweise auf Bas s der Kommunikation mit einem bekannten Command and Control Server m Internet heraus dass ein System kompromittiert und mit Malware infiziert wurde l sst sich schnell zusammenstellen welche weiteren ungew hnlichen Kommunikationsziele der Maschine es gegeben hat die auf einen Missbrauch zum Sprung ins eigene inter ne Netz oder beispielsweise eine Beteili gung an DDoS Angriffen auf Dritte im Internet hindeuten Neben dem eher passiven Empfangen oder Abrufen von Sicherheitsmeldungen von den Datenquellen sind in viele SIEM Sys teme auch aktive Mechanismen zur In formationsakquise integriert oder k nnen modular nachger stet werden Das Spek trum erstreckt sich von relativ einfachen Portscannern wie nmap bis zu kompletten Vulnerability Management L sungen bei denen die berwachten Systeme regelm Big oder auf Knopfdruck Scans mit Tools wie OpenVAS unterzogen werden k n nen Die dabei gewonnenen Ergebnisse k nnen nicht nur bei der Aufkl rung ge meldeter Sicherheitsvorf lle helfen sondern werden in der SIEM internen Asset Da tenbank gespeichert und k nnen bei nach folgenden Analysen und Korrelationen und insbesondere bei zur Priorisierung vorgenommenen Bewertung von Alarm meldungen herangezogen werden Eine h bsche Oberfl che ist nicht alles Einsatzschwerpunkt aktueller SIEM Pro dukte ist die interaktive Auswertung der
166. en zu k nnen und das I Service Management nach haltig zu optimieren Angesichts der breiten Palette verf gbarer Produkte tun sich allerdings viele Unter nehmen schwer eine L sung zu finden die optimal auf ihre Bed rfnisse abge einer entsprechenden Investition stellen sollten stimmt ist und ihnen das volle Potenzial des Anwendungs Monitorings bietet Wir untersuchen im Folgenden wichtige Ent scheidungskriterien f r den Erwerb eines E2E Werkzeuss Anforderungen an Flexibilit t und Skalierbarkeit Die meisten Unternehmen implementieren E2E Monitoring zun chst f r wenige aus gew hlte Anwendungen zum Beispiel den gesch ftskritischen Webshop oder die eben so wichtige ER P Installation Hat sich das System aber einmal bew hrt und einge spielt werden mit hoher Wahrscheinlichkeit sukzessive weitere Applikationen hinzu kommen Daher lohnt es sich bei der Aus wahl der L sung darauf zu achten dass diese flexibel skaliert und erweitert werden kann beispielsweise f r zus tzliche interne oder remote gehostete Linux Windows und Mac Anwendungen sowie f r Cloud Ter minalserver und VMware basierte Appli kationen Je offener die Plattform ist und je mehr Schnittstellen sie unterst tzt desto sicherer ist die Investition Eines der wichtigsten Einsatzfelder von E2E Monitoring ist das Management der Service Qualit t von Web Anwendungen Webshops Online Portale sowie Social www it administrator d
167. endes Wartungsfenster Gibt es irgendeine M g lichkeit vor dem Logon Screen eine Mittei lung einzublenden deren Inhalt ich frei be stimmen kann Wenn Sie lokalen Zugriff auf den ent sprechenden Rechner haben oder eine Remote Verbindung starten k nnen f hrt Sie der Weg ber die Sicherheits richtlinien Geben Sie nach dem Dr cken von WIN R secpol msc ein Nach we nigen Sekunden ffnet sich das Lokale Sicherheitsrichtlinie getaufte Fenster wo Datei Aktion Ansicht am DE Bm B Sicherheitseinstellungen TA Kontorichtlinien a U Lokale Richtlinien T berwachungsrichtlinie Da Zuweisen von Benutzerrechten Ta Sicherheitsoptionen I Windowes Firewall mit erweiterter Sicherheit O Netzwerklisten Manager Richtlinien E Richtlinien f r ffentliche Schl ssel D Richtlinien f r Softwareeinschr nkung Richtlinie ws Anwendungssteuerungsrichtlinsen 4 IFP 5icherhetsnchiinien auf Lokaler Computer D Erweiterte berwachungsnchtlinienkonfiguration Ger te Anwendern das Installieren von Druckertreibem nicht erlauben o Ger te Entfernen ohne vorherige Anmeldung erlauben Ger te Formatieren und Auswerlen von Wechselmedien zulassen Gerste Zugnff auf D ROhM Laufwerke auf lokal angemeldete Benutzer beschre Ger te Zugriff auf Dickettenlaufwerke auf lokal angemeldete Benutzer keschr n Herunterfahren Auslagerungscatei des virtuellen Arbeitspeicher l schen Herunterlahrene Herunterfahren des Systems ohne Anme
168. enso ffneten wir in der Firewall den ausgehenden Port 443 f r Monitis Danach starteten wir die Konfiguration mittels monits sh conf wo rauf uns das Skript neben den Credentials nach einer Bezeichnung f r den Server fragte die sp ter in der Weboberfl che zu sehen war Der Start ber monits sh start verlief problemlos Ein Agent war jedoch selbst nach einiger Zeit nicht im Dashboard zu sehen Daher berpr ften wir mit monits sh log die entsprechenden Eintr ge und stellten fest dass das System unser Kennwort nicht ak zeptiert hatte Um dieses noch einmal ein zutragen starteten wir die Konfiguration erneut best tigten alle Angaben und tru gen nur das Kennwort neu ein Danach war auch dieser Agent angemeldet Unter Windows verlief die Installation problemlos Nachdem das Setup die Soft ware installiert hatte ffnete sich das Pro gramm Fenster in dem wir wieder unsere E Mail Adresse unser Kennwort und den Namen f r den Agenten festlegten Da nach klickten wir auf Start Monitoring und nach kurzer Zeit stand dieser Server in der Liste aktiver Agenten TER Moni Online Auge von Sandro Lucifora St ndig ber den Zustand der betreuten IT Bescheid zu wissen ist die Erwartungshaltung an den Administrator Um auch bei einem gro Ben Fuhrpark unterschiedlicher Hardware f r berblick zu sorgen buhlen zahlreiche Monito ring Werkzeuge um die Gunst des Nutzers Mit Monitis haben wir ein Cloud bas
169. enungkaniseoe G Fehlerirei sl paper corm kd Tokmunlordenungen Sei Werbundmetsdetenanioncerungen Lg Answendungs beranchung g Ausnamerbtaraschueg ohne Aperti j Data Warehouse g Microsoft berwachungssammeidierie a Microsoft Windows Client a ihg Microsof Windes terse Actie Alerts B Ansichten rege eben BU berwachung Konfiguration Detailansicht AUFS jssper com ADFSljerper com adisi japer com ADFS2 jnper gom Suche starten L schen Authentiizi g Zertiikatver G Wertraserset WIO Syrechranisienung A Wamung D Fehlerfrei y Fehlerfrei D Fehlern Q Fehlerirei g Feilerfnei g Fehlertrei Ua Yebundsenryrr bigensihanen von ADIS per som ADS per onm AS per om AD po A Verweikung GAISRLIETH Gerun ye Tre wG BEL Arbeitsbereich Gerondantomperer jt Dalaran langarm Bild 1 Die zentrale Statusansicht im SCOM fasst alle wichtigen ADFS Informationen zusammen M rz 2015 75 SCHWERPUNKT I ADFS Monitoring Beispiel neu starten Ist der Server wieder online wird innerhalb des Dashboards dann ersichtlich dass der Remote Server zwar gestartet worden ist der ADFS Ser vice aber h ngt Wiederum ber das Kon textmen l sst sich nun der Dienst von hier aus direkt neu starten und die rot markierten Warnhinweise aus dem Ser ver Manager verschwinden Das Dashboard bietet auch die M glich keit auf die erw hnten ADFS Ereignis protokolle der Server zuzugreifen S
170. enzpool eine ge Eine virtuelle Maschine mit den Anforderungen Dual Core CPU 4 GByte RAM 60 GByte HDD www it administrator de i E Dashboard 3 Gyslem EINE Winckrws voender Ling x Previous 1 Mei gt B arb n Mhanuis 272 Remaining daya A7 Windows Liri Cregeniais Bild 1 F r den agentenlosen Serverzugriff sind die Anmeldeinformationen f r Linux und Windows getrennt zu hinterlegen wisse Anzahl an Lizenzen zuweisen Die Verteilung kann er jederzeit ndern sofern Lizenzen noch nicht genutzt sind Jeder Client besitzt eine eigene Benutzerver waltung wobei bei der Anlage des Clients ein Admin Benutzer erstellt wird F r ein zelne Au enstellen zust ndige Adminis tratoren k nnen PowerApp dadurch prak tisch eigenst ndig nutzen Auch sind innerhalb jedes Clients wieder eigene SMTP und LDAP Einstellungen vorzu nehmen wobei wir uns wunderten dass die globalen Einstellungen bei der Client anlage nicht als Standard mit bernommen werden Das k nnte in den meisten F llen diverse Mehrfacheingaben ersparen Neben der Nutzung eines LDAP Verzeich nisses ist jeder Client wiederum mit einer eigenen lokalen Benutzerverwaltung aus gestattet ber Gruppen k nnen die Be nutzer zusammengefasst und mit verschie denen Rechten ausgestattet werden Sofern eine Aufteilung der Umgebung in mehrere Clients nicht gew nscht ist l sst sich nat r lich alles unter einem Dach verwalten Im Test legten
171. er SIEM L sung berlegen welche Daten quellen berhaupt sinnvoll sind Faustregel ist dass Sie nur solche Quellen anbinden sollten deren Meldungen durch Analyse und Korrelationsregeln automatisch ausge wertet werden oder die regelm ig bei der manuellen Pr fung und Bearbeitung von Sicherheitsvorf llen relevant sind Insbeson dere bei SIEM Produkten von Herstellern aus dem Netzbereich geh rt es zum guten Ton neben verschiedensten Logfiles von Servern und Netz sowie Sicherheitskom ponenten auch NetFlow Informationen von IP Routern einzuspeisen Mehrere Hersteller kombinieren ihr SIEM System mit Deep Packet Inspection f higen In trusion Detection Systemen und k nnen somit auch Layer 7 Auswertungen vorneh www it administrator de Griauh 105 2 PS Al Top Alarm Signaturen Event Giuni F Legni TGA DH ramad e er GFL WER SERNER A Forster BET ALNARI gi Lee Age 1 space BET WALWARE Maria jur Agari ori 0 niuni Liny Fai WET WALAARE apena Mania Ian Age Liny Faha Miasta D Mefa Cisia Aa baaria D e Pate kij m F Ii IE L Lapana ia Bien Man Mi iA a rc ee Erin a Security Monitoring WISSEN Un Pimi Ra Kat N m D Lat Minute IH Lis z m T Lager Beady ee y in Wara in Mior chat Fics Bian Total yirs Yes in Log Aimy Bild 2 Typische SIEM Dashboardansicht mit Fokus auf beobachtete Signaturen men Als Vorteil erweist sich dabei die In tegration verschiedener Security Funktio n
172. er Inone 7 eE E Information Rights Management Joumaling Legal Hold LegalHoldApplication Mail Enabled Public Folders Mail Recipient Creation Mail Recipients Mail Tips Mailbox Import Export Mailbox Search Mailbox SearchApplication Message Tracking Migration Monitoring Move Mailboxes My Custom Apps My Marketplace Apps MyBase ptions ni MyContactinformation Er MyDiagnostics bi MyDistributionGroup Membership MyDistributionGroups MyMailbox Delegation E MyProfilelntormmation F ROLE ENTRIES E Get Recipient ll Update Distibutiongroup Member E Set Group El Set DynamicDistnbutionGroup E Set DistibutionGroup mf Out Vanable El Remove Distibutionaroup Member mW Femove DistrbutionGroup E New DistibutionGroup Y Get Group E Get DistnbutionGroupMember El Get Distnbutionfaroup El Add DistnbutionGroupMember ROLE ASSIGNMENTS El 3 My Distibudiorroups Organization Management Delegating RoleAssigneeName Organization Management RoleAssignee Type RoleGroup EfectivellserName Alle Gruppenmitglieder Assignment Method Direct RoleAssignment Delegation Type Delegating rgWide Confirm E EmorAction El EmorWariable El Identity E OutBuffer F WamingAction Vl Waming Variable 9 Whatif Bild 4 Die Verwaltung der Exchange BETEN mit dem RBAC Manager macht es Administratoren einfacher den berblick in der Organisation zu behalten more
173. er des Widgets seinen Code nicht anpasst Um K 9 weiterhin nutzen zu k nnen m ssen S e bis auf weiteres also leider das Widget vom Smartphone werfen Das gleiche Problem ist brigens von Kalender Widgets bekannt die auf die integrierte Kalender App zugreifen F r K 9 Mail gibt es unter Link Code F3PE4 brigens ein recht annehmbares Hilfe Forum bei Google Groups ln Linux Wir nutzen das Intelligent Platform Management In terface IPMI um einen Li nux Server zu warten und automatische Berichte ber auftretende Feh ler zu erzeugen Beim Abfragen der IPMI Sensoren ber das Netzwerk mit Hilfe des IPMI Sensors FreelPMI kommt es manch mal zur Fehlermeldung Internal IPMI Er or Haben Sie eine Idee was die Ursache hierf r sein k nnte und wie wir das Problem beheben k nnen ber die standardisierten IPMI Schnitt stellen zu gehen ist an sich eine sehr gute M glichkeit Hardware im Auge zu be halten Es kann aber auch zu Problemen kommen wenn solche Abfragen bei spielsweise vom IPMI Sensor Monitoring Plug In check_ipmi_sensors ausgef hrt werden Eine m gliche Ursache sind gleichzeitige IPMI Zugriffe die direkt lokal am Server zur Ausf hrung kom men zum Beispiel wenn Linux am be troffenen Server l uft und der Kernel IP MI Treiber geladen ist Wenn es sich wie in Ihrem Fall um ein Linux System han delt f hren Sie folgende Schritte zur Fehlerbehebung durch berpr fen Sie M rz 2015 71
174. er eine berwachung ber nehmen wurde bereits am Anfang des Artikels mit dem Befehl Get ServerHealth beschrieben Die Ausnahme erstellen Sie mit folgendem Befehl Add ServerMonitoringOverride Server LAB01EX01 Identity RemoteMonito ring HealthManagerobserverProbe Persephone schulenburg lab Item Type Probe PropertyName Enabled www it administrator de a PS C x gt G Server LABB1EXE1 LABB1EXB1 s LABB1EXB1 LABB1EXB1 s LABB1EXB1 LABB1EXB1 LABB1EXB1 LABBLEXB1 s LABAI EXOT s LABB1EXB1 s LABBLEXEL LABAI EXI LABB1EXB1 s LABO1EXB1 s LABAI EX I LABB1EXE1 s LABB1EXB1 s LABOLEXBL LABO1EXB1 LABB1EXBL LABAI EX LABOLEXBL LABBIEXBL LABAI EX LABB1EXB1 LABB1EXE1 et ServerConponentState hulenburg hulenburg li hulenburg li Or rE hulenburg lab shu lenburg l shulenhur Ti C i Zi gt c C si C 1 1 1 si s C 1 Ti s hulenburg hulenhbur hulenbur hulenhure hulenburg hulenhur hulenhur hulenhurg hulenhurg hulenhur hulenburg l hulenhburyg 1 hulenhburg li hu lenburg hulenburg hulenhburg l hulenburg li hulenburg hulenburg Identity LABBILEXBI Conponent ServerWideOffF line HubTransport FrontendTransport Monitoring RecoveryfictionsEnabled AutoDiscoverProxy ActiveSyncProxy EcpProxy EusProxy ImapProxy OahbProxy QOuaProxy P
175. er_id 7 input_if 8 output_if 9 tos Dar ber hinaus gibt es die Benutzerde finierten Messwerte Umfang Hit 1 bytes Ganzzahl 2 packets Ganzzahl 3 duration_sec Zeit 4 duration_msec Ganzzahl NetFlow Eintr ge berichten Dummerweise kennt Google Analytics weder NetFlow noch die meisten Net Flow Variablen wie Portnummer oder IP Protokoll Gleichzeitig sind Kategorien wie Seitenaufrufe Ereignisse E Commerce oder Timing vorhanden Die Kunst liegt also in der richtigen Zu M rz 2015 91 SCHWERPUNKT I Netflow Reporting ordnung Als sehr vorteilhaft und flexibel hat sich der Bereich Ereignisse im Zu sammenhang mit Benutzerdefinierte Di mensionen Messwerte erwiesen Diese Bereiche bieten genug Spielraum um alle NetFlow Informationen aufzunehmen Die Umwandlung vom NetFlow Format in das Google Analytics Measurement Protocol 5 und das anschlie ende Be richten erfolgt ber das selbstentwickelte Tool tlow ga 6 Dieses wird vom Net Flow Collector nfcapd nach jedem F nf Minuten Intervall aufgerufen Nach dem Download platzieren Sie die Dateien unter usr bin Eventuell sind weitere Perl Module n tig die Sie ber den Pa ketmanager nachladen yum install perl Time HiRes perl Digest HMAC per DateTime perl 1ibwww per Das Logging erfolgt wie unter Linux b lich ber Syslog echo local5 var log flow ga log gt etc rsyslog conf service rsyslog r
176. ere hure been no alerts in the lssi 7 hours vRealize Hyperic Browse Tingeltangel HO Agent 5 8 4 Ariam to Tingeltangel HU Aperi 314 Desconptige Hypens HO monio Agani Sigar Version 1650 mga Maine Version Ih User Home Map Toots Miena E Baam Inventory Alert Maren Java Wende Urs Java Version 170 7 c a Frans e Fremnnsanen aner HI Adrmenigtraior hradieman Change cie Gorpu er Ager l Hundie Version sgeni s t2en 504 Ageni Wersion 584 bieti Dapkay Range 4 Last 4 w Hr vl Atvancae Settings E sure Dana Show AI Mersi Mo RepT af i ae A Bau ELTE Availability Host Platlarm Tingetarngpel Show Abe o Crienories i Availability Periormange si araso Zi Aun sbirt Is Seren Diset M Thnoaghpui Y periomana ihaw abe rien with Vaine Types Throughput M Dynamik M Trends Lip Utikpatican Eo JVA fiee Mamay Eo JVM Total Memory Tremds Dran nA Siae ad ach o 1 Number ol Metrics Gollecisd per Mimie ii Numba ol Mairika Gen io Sarvar per Mimele ii Total Time Speni Feiching Meines per Minwie Collecborn Inberwal for Sebecieil Bild 1 Hyperic ermittelt aus verschiedensten Plattformen und Applikationen Mess und Kontrolldaten eine Verj ngung PostgreSQL Plug In Support f r Windows 2012 R2 und SQL 9 2 x bessere Erkennung von Speicher ausnutzung und Swapping Verhalten Un terst tzung von Hyper V auf Windows Server 2012 R2 IBM DB2 Plug In f r Version 10 und das O
177. erkannten Sicherheitsprobleme Die SIEM Produkte unterscheiden sich zum www it administrator de Teil stark in ihrer Bedienphilosophie und in der zur Gestaltung der Bedienoberfl che eingesetzten Technologie Der m g lichst intuitive und effiziente Umgang mit dem SIEM GULI ist deshalb aus Adminis tratorsicht meist das wichtigste Akzep tanzkriterium f r ein SIEM Produkt tr ge Weboberfl chen oder die fehlende Unterst tzung f r Kontextmen s ber die rechte Maustaste bei Flash basierten GUIs k nnen dabei schnell zum Produk t vit tskiller werden Neben der Bearbeitung von Sicherheits vorf llen ist ein Hauptaspekt bei der t g lichen Arbeit mit dem SIEM System die kontinuierliche Optimierung der Regel s tze auch unter der Zielsetzung unn tige Meldungen und Fehlalarme False Positi ves zu minimieren damit sich das Secu rity Team auf die wirklich wichtigen F lle konzentrieren kann ber die Ansicht einer Sicherheitsmeldung im SIEM GUI sollten deshalb nicht nur vertiefende Informatio nen im Sinne eines Drill Downs einfach abrufbar sein sondern sich auch hnliche F lle einfach finden und das Zustandekom men der Meldung durch die Analyse und Korrelationsregeln genau nachverfolgen lassen Bei akuten F llen in denen noch laufende Angriffe beobachtet werden k n Top 10 Source IP Roauita iy Cosa Loge FI FEN BR 3 BEH LE IEE 3 Emi 1 en n niis 2 Eii z LIEF m pmm Log Saure Erant Hama riga Doi
178. ersteller selbst im Portfolio haben 14 M rz 2015 iQSol PowerApp 2 1 Unter Strom von J rgen Heyer Zu einer professionell betriebenen IT Umgebung geh ren auch eine oder mehrere USVs zur Notstromversorgung um bei einem Stromausfall nicht im Dunkeln zu stehen Dies wiederum setzt eine zuverl ssige Steuerung voraus denn nur durch gezieltes Herunterfahren l sst sich die Besch digung von Ger ten vermeiden und Datenverlust vorbeugen Genau hier setzt PowerApp an das sogar rechenzentrums bergreifend einsetzbar ist und als Erg nzung anbieten Sicher sind diese Tools jeweils in erster Linie auf die eigenen USVs zugeschnitten unterst tzen teilweise aber auch Fremdger te Daher stellten wir uns die Frage wie sich Power App von diesen Tools abgrenzt Installation mit kleineren H rden PowerAppVM kommt nicht als fertig vor bereitete Appliance f r VMware sondern als ISO Datei Ein Leitfaden zur Installation und Konfiguration beschreibt die notwen digen Schritte leider nur sehr grob So erh lt der Administrator den Hinweis dass er eine leere VM auf Basis einer 64 Bit Vorlage von Ubuntu erstellen muss Es fehlen jedoch in diesem Leitfaden Hinweise zum genaueren Sizing Diese fanden wir dann im umfang reicheren Benutzerhandbuch sowie auf der Hersteller Webseite Einmal angesto en l uft die Installation voll geskriptet auto matisch ab Dabei werden die Sprache und die IP Parameter IP Adresse Subnetz
179. esehen von einem sch nen Widget f r die Startseite aber hier kann man sich ja durch Drittan bieter behelfen Mein gro es Problem ist nun jedoch dass K 9 seit dem Update auf Android 5 st ndig Zertifikatsprobleme mel det Laut Hersteller l sst sich dies durch ein Update beheben doch das Update bricht immer mit der Fehlermeldung 505 ab Als ich nun versucht habe K 9 zu deinstallieren und neu aufzuspielen funktioniert auch das nicht mehr und die App findet gar nicht mehr den Weg auf mein Smartphone Was kann ich hier tun Auch wenn es f r die beschriebene Feh lermeldung viele Gr nde geben kann tippen wir stark auf einen Konflikt mit einer anderen installierten App Da Sie es schon indirekt erw hnt haben vermuten wir dass Sie ein Mail Widget f r den Homescreen benutzen etwa das beliebte MailListWidget for K9 Mit Android 5 kann es hier aufgrund einer ge nderten Berechtigungspolitik zu Problemen kom men Unter Lollipop ist es nicht mehr m glich dass zwei Programme auf den exakt gleichen Berechtigungs String eines Programms zugreifen etwa die Funk tion E Mails zu l schen was bisher so wohl aus K 9 als auch aus dem Widget m glich war Wenn Sie nun unter Lolli pop K 9 aktualisieren oder neu installie ren wollen meldet das Betriebssystem dass ein anderes Programm den exakt gleichen Berechtigungs String anspricht und verweigert die Installation Im Mo ment gibt es daf r keine L sung solange der Anbiet
180. esktop auf Vollbild gr e Grunds tzlich skalierte die Re mote Funktion die Anzeige Wir schalteten die Skalierung aus wodurch wir eine 1 1 Ansicht erhielten Bei der Fernbedienung eines Computers mit mehreren Monitoren schalteten wir in der Ansicht zwischen den Monitoren um Des Weiteren standen uns die blichen Funktionen wie das Sen den von Strg Alt Entf oder die Windows Taste zur Verf gung Ebenso meldeten wir den Benutzer ab und sperr ten den Computer aus der Ferne Beendeten wir die Sitzung hatten wir die M glichkeit den Computer zu sperren und dem Anwender eine Nachricht zu hinterlassen Meldete er sich lokal wieder an zeigte ein Syspectr Dialog Informa tionen zur Remote Verbindung und gab die Nachricht aus 32 M rz 2015 Benachrichtigung per E Mail Damit sich der II Verantwortliche nicht immer wieder einloggen und den Zustand der Computer pr fen muss hat O amp O Software auch eine Benachrichtigungs funktion implementiert ber den gleich namigen Men punkt stellten wir im Test ein in welchen F llen wir eine E Mail erhalten wollten Dabei unterscheidet der Dienst zwischen Informationen War nungen und Probleme und listet die verschiedenen Bereiche auf Wir w hlten per Mausklick aus zu welchen Ereignissen uns das System benachrichtigen sollte Ver misst haben wir erg nzende Benachrich tigungswege wie Google Chat SMS WhatsApp oder eine iOS und Android App um
181. esse die immer laufen sollten eine entspre chende Liste die Auswahl erleichtert Auch dies ist laut Hersteller in Arbeit und soll bald umgesetzt sein Fernbedienen von Konsole und Desktop Zwei weitere Funktionen dienen mit Remote Console und Remote Desk top der Fernbedienung des Computers Beide verlangten vor dem Start die Ein gabe der zu Anfang festgelegten PIN Die Remote Console startete eine webba sierte Eingabeaufforderung ber die wir genauso arbeiteten wie in der lokalen M rz 2015 31 Bd TESTS I O amp O Syspectr asyspectr Bild 2 Die Remote Konsole dient der Administration ohne den Desktop des Anwenders zu blockieren Konsole Die Verbindung baute das System ber SSL auf sodass die bertragenen Da ten vor fremden Blicken gesch tzt sind Um ber Syspectr einen webbasierten Remote Desktop aufzurufen klickten wir auf den gleichnamigen Eintrag wo raufhin das System die Verbindung her stellte Auf der Gegenseite fragte eine Dialogbox den Benutzer ob er die Re mote Verbindung zulassen will Als wir diese best tigten sahen wir kurze Zeit sp ter den Desktop in unserem Browser mit einer nur leichten Zeitverz gerung Beim Zugriff auf einen gesperrten Rech ner in unserem Fall der Windows Ser ver 2012 baute sich die Verbindung oh ne diese Benutzer Interaktion auf und wir sahen den Anmeldebildschirm F r die bessere Bedienbarkeit erweiterten wir den Remote D
182. estart Vor dem Start ist ein Blick in die Funk tionen _anonymizelp und get_host name von flow ga pl sinnvoll Dort soll ten Sie eine Form der Anonymisierung aktivieren um nicht zu viele Informatio nen ber das eigene Netzwerk auszuplau dern Voreingestellt ist eine einfache Ano nymisierung die das zweite Oktett der IP Adresse invertiert und den Rechner Google Analytics beschr nkt die Nutzung seines Diens tes keinesfalls auf Webseiten oder Webdienste In der offiziellen Dokumentation sind Anwendungsbeispiele angegeben die Installationen einer iPhone Android App z hlen In App K ufe ermitteln oder Zeitmessungen protokollieren Die Schulungsmaterialien bezeichnen diese web freien Anwendungen als digital environ ment oder offline business data Ein Zitat aus der Analytics Academy Lektion 1 2 Sie k nnen Google Analytics auf richtig kreative Weise nutzen um Unter nehmensdaten offline zu sammeln wie beispielsweise Finanzums tze in Ladengesch ften solange Sie eine M glichkeit finden die Daten zu sammeln und an Ihren Analytics Account zu senden Duldung durch Google 92 M rz 2015 ME Server rosty Coogle X id iie ma google caT E m Google Analy tenuizerde niane Berichte Server roswtky bersicht Ben beien E Mail Exp n Personallsleren Yorwallen res mei hip nic meicde Zum Dashboard hinzufingen T Rt ur au Cia Pond a 07 11 2014 06 12 2014 Wek miun
183. feh lerhaft ist Get ServerHealth Server LABOLEXO1 Healthset Outlook Die Details zum fehlerhaften Monitor fin den Sie im Event Log die Abfrage ber die PowerShell ist der schnellere Weg Get winEvent ComputerName LABOLEX01 LogName Microsoft Ex Ga PS C gt Get HealthReport Server LABBIERBI Server State HealthSet LABAI EX 1 Notfipplicable Outlook ServerHealth Server LABBLEXBI Server State Name LABAI EX I NotfApplicable S C gt lt CGet WinEvent efinition CIX t SampleMask ScenarioDescription ConputerName LABB1EXB1 AutoSize SanpleMask ScenarioDescription DutlookRpeCtpProbe Validate RPCClientfccess GC gt Invoke HonitoringProbe Runspac eld Server Monitorldentity Requestlid FxecutionStartlTime 17 81 2815 13 85 38 ExecutionEndT ime 17 81 2815 13 85 38 Error Exception LABBLEXB1 Qutlook Out lookRpcCtpProbe PoisonedCount Executionld SanpleUa lue ExecutionContext 6 17262584 1508 0651 FailureContext Extensionfm l Resulti ype Succeeded lertVa lue TargetResource Out lookRpcCtpMonitor F SCHWERPUNKT I Exchange 2013 Monitoring change ActiveMonitoring Monitorde finition xML _ toxmlO event userDa ta eventxml where Name like OutlookrRpcctpMonitor Hier sehen Sie nun eine genauere Beschrei bung unter dem Punkt ScenarioDescrip tion In den Eigenschaften finden Sie auch das Iestmodul das zur Anwendung kommt und das ber
184. ffnen Sie in Eclipse Innerhalb der Struktur erzeugen Sie mit Hilfe der rechten Maustaste einen neuen Knoten New Child Externe Node Weisen Sie diesem neuen Knoten wieder mit einem Rechtsklick ein Modbus Device zu Als N chstes bearbeiten Sie dessen Einstellungen und weisen diesem eine Bezeichnung zu Sie sollten au erdem einen 16 Bit Integerwert und eine Va riable angeben Der nachfolgende Schritt dient dem An legen eines Slave Knotens Modbus ver wenden wir in diesem Beispiel dazu um von diesem Knoten Daten abzurufen Es gibt ein Startregister und Sie k nnen festlegen wie viele weitere Register ab gerufen werden sollen In der Eclipse SCADA Terminologie sind dies die so genannten Blocks Sie k nnen f r je den dieser Bl cke festlegen wie h ufig sie abgerufen werden Typische Werte sind 250 und 10 000 Millisekunden f r den Timeout Wert Das SCADA Plug In stellt Ihnen au er dem ber das Kontextmen der rechten Maustaste verschiedene Standardtreiber Link Codes eingeben auf www it administrator de zur Verf gung Der muss noch dem zu berwachenden Knoten zugewiesen wer den Um die angelegte SCADA Konfi guration auszuf hren markieren Sie die Datei productive receipe und f hren den Be fehl Run As Run Configurations aus Im gleichnamigen Dialog finden Sie die zuvor angelegte Konfiguration Markieren Sie diese und starten Sie die Ausf hrung mit einem Klick auf Run Die Ausgabe der Modbus S
185. funktioniert l sst sich sehr leicht berpr fen Melden Sie sich hierf r mittels SSH auf dem Minion Host an und weisen Sie docker an die gerade aktiven Container anzuzeigen Listing 4 Beenden Sie den Container manuell indem Sie ihn mittels docker stop a9548 bd9ecb1 anhalten werden Sie nach kurzer Zeit feststellen dass Docker ihn automa tisch wieder neu startet Achten Sie hier auf den Wert in der Spalte CREATED in der Ausgabe von docker ps bevor und nachdem Sie den Container manuell gestoppt haben Services und Replication Kubernetes kennt zwei weitere sehr in teressante Features die bisher noch nicht erw hnt wurden Mittels eines sogenann ten Replication Controllers k nnen Sie Pods in der Breite skalieren Anhand eines Pod Labels k nnen Sie Kubernetes an weisen diesen Pod x fach zur Verf gung zu stellen Kubernetes erzeugt dabei die gew nschte Anzahl von Instanzen der Container und stellt sie auf den vorhan ADMIN IT Praxis amp Strategie NEWSLETTER jetzt abonnieren TH Ten Ti Er na n KET n Paa T A rrna Dirain Ra iai s EER Mr i iraniar e i ADLA Tip a Ari herser ai FUN iu Tebois En k EL U h p er ia Wi Tipe iiai upra Cinej r ar Borir Far F knik ACH r a ee Fi le Te Propaan Artioeeg r ATENA uriia ir a i 5 Segre rg a u ee dr s Pa PT2 ST Buch iri an j N itha UR 7 I icale t 7 PR Match ar such Al var P a Pe j Dk F ker en a ii D
186. g Telefon 49 911 96 73 0 www bintec elmeg com 104 Fachartikel online 105 Das letzte Wort 106 Vorschau Impressum Inserentenverzeichnis www it administrator de AKTUELL I News Treffsicher testen Mit der Version 2 01 seiner PC Test software toolstar testLX bietet tool haus Supportern zahlreiche neue Features Dazu z hlen vollst ndig erneuerte Spei chertests die mit direkteren Zugriffen auf das RAM eine bessere Quote der Fehlererkennung bieten sollen Neu in toolstar testLX ist die Akku Analyse f r Notebooks die Daten wie Herstel lichen Sektoren wie zum Beispiel Re serve Sektoren bei SSDs erm glicht An derseits lassen sich nunmehr mehrere Fest platten im Dauertest gleichzeitig testen oder shreddern In den Iestumfang der Soft ware hat der Hersteller die neuesten Main boards Chips tze CPUs Controller sowie LAN Grafik Devices integriert ip toolhouse www toolhouse de ler Modell Serien fr Te nummer Typ aktu E elle Spannung und mehr ermittelt Auch l sst sich die Soft ware jetzt direkt mit aktivem SecureBoot booten UEFI Se cureBoot muss nicht deaktiviert werden Bei der Datenver waltung bringt die Version 2 01 einer seits ein verbessertes L schen von Daten indem es Shred dern auch in an sonsten unzug ng Neue Software Zentrale Aagon pr sentiert die Client Manage ment Suite ACMP in Version 5 0 Eine komplett berarbeitete Ober f
187. g eine Datei anlegen Anhand des Zeitstem pels wann diese Datei zuletzt angefasst touch wurde legen Sie fest ob das Sys tem eine erneute E Mail verschicken soll oder nicht Abschlie end m ssen Sie na t rlich mit dem Befehl chmod 755 tempe ratur sh das Skript noch ausf hrbar machen Alarm E Mail mit Python verschicken Jetzt kennt der Raspberry zwar die Tem peratur im Serverraum aber Sie als Ad ministrator wissen davon noch nichts Mit hilfe der Programmiersprache Python verschicken Sie nun die bereits erw hnte Alarm E Mail Python ist auf Raspbian vorinstalliert und kann sofort genutzt wer den Legen Sie mit nano mail py eine Datei an und kopieren Sie das Listing 2 hinein F gen Sie anschie end Ihre eigenen SMTP Zugangsdaten in die Zeilen 11 bis 14 ein und bestimmen Sie in Zeile 43 wer die Alarm E Mail bekommen soll Jetzt m ssen Sie nur noch mit einem Cronjob das Bashscript regelm ig starten Tippen S e dazu crontab e und f gen Sie am Ende die Zeile er kA S home pi temperatur sh ein Mit Strg O Return und Strg X verlassen Sie den Editor und in stallieren die Crontab neu Die ersten f nf Sternchen bedeuten dass der Cron job zu jeder Minute in jeder Stunde an jedem Tag des Monats in jedem Monat und an jedem Wochentag das Skript tem peratur sh ausf hren soll Der Raspberry bin bash min 15 max 16 lastmai1 300 temp cat sys bus wl devices 28 0014106c92ff wl_slave g
188. g physischer Server CZT Integration in VM Umgebungen USV Kommunikation ar Die Details unserer Testmethodik finden Sie unter www it administrator de testmethodik Dieses Produkt eignet sich optimal f r Umgebungen mittlerer Gr e wenn es f r die verwendeten USVs keine geeigneten Steuerwerkzeuge vom Hersteller gibt Agenten auf den Servern nicht gew nscht sind oder eine individuelle Steuerung ben tigt wird bedingt f r homogene Umgebungen mit einfachen Standardanforderungen an die Steuerung Hier sollten die Tools der USV Hersteller im Vergleich betrachtet werden N U Server unabh ngigen Dauerschutz bieten Notstrom iQSol PowerApp 2 1 www it administrator de hnlich zur Shutdown Konfiguration sind f r den Startup Anmeldedaten zu hinter legen und Konfigurationsgruppen f r eine zeitliche Koordination zu definieren Die Konfigurationsgruppen sind ber eine Lis te in die gew nschte zeitliche Reihenfolge zu bringen Dass zuerst die physischen Server hochzufahren und erst anschlie Bend die virtuellen Maschinen zu starten sind versteht sich von selbst Bez glich derVMs kann der Administra tor hinterlegen welche im Rahmen eines Startups gestartet werden sollen und ob Abh ngigkeiten untereinander zu beach ten sind Standardm ig ist der automa tische Start deaktiviert und es ist sicher sinnvoll diesen auf die wichtigen Systeme zu beschr nken Da die Einstellung sta tisch ist sollte
189. g und mit welchem WLAN das Ger t aktuell verbunden ist Tippen Sie auf den Namen des WLAN springt Android direkt in die WLAN Konfigu ration in den Einstellungen Den Task Manager hat Google ebenfalls berarbei tet Er kann im neuen Karteikarten Look nicht nur zwischen einzelnen Apps wech seln sondern teilweise auch deren Funk tionen ansteuern Die APIs dazu hat Google zur Verf gung gestellt Fazit Android 5 bringt Verbesserungen im Be trieb bei der Sicherheit und bei der Ak kulaufzeit Selbst wenn es bei einigen Ge r ten in der Startphase zu Problemen kam und Google schnell auf 5 0 1 gesprungen ist sollte es sich mittlerweile lohnen Ge r te auf die neue Version zu aktualisieren brigens ist es sauberer und effizienter Android 5 komplett neu zu installieren und nicht nur die alte Version zu aktua lisieren Zuletzt bleibt ein altbekanntes Android Problem Nur wenige auf dem Markt befindlichen Ger te lassen sich auf die j ngste Android Version hochstufen jeder Hersteller hat seinen eigenen Fahrplan In IT 09 41 Mittwoch 3 Dezember 1 69 entladend lt O oO Bild 2 In den Schnelleinstellungen sind die WLAN Verbindung ersichtlich M rz 2015 61 mE PRAXIS I Docker und Kubernetes NEE Docker Container mit Kubernetes managen Container W71 D ie eigenen Applikationen in Con tainern zu betreiben wird immer popul rer und bietet im Vergleich zum Betrieb auf herk mmlichen vi
190. ge wendet Das Verzeichnis var wird zwi schen allen Instanzen geteilt da sich hier beispielsweise auch das Home Verzeichnis der Benutzer befindet Der Ordner home ist lediglich ein symbolischer Link auf var home Um die neue Instanz des Be triebssystems zu starten ist somit ein Neu start des Host Systems notwendig Der ganze Vorgang erinnert ein wenig an das Versionskontroll System Git und in der Tat basiert ostree die Basis von rpm ostree auf diesem Tool Wollen Sie zus tzliche Software auf ei nem Atomic Host installieren klappt das nicht auf die gewohnte Weise mit rpm oder yum Stattdessen wird empfohlen die Software entweder in einem eigenen Container auf dem Atomic Host zu be treiben oder aber sie in einen Ordner unterhalb von var zu kopieren In die sem Fall sollte es sich um statisch ber setzte Programme handeln S mtliche nderungen an den einzelnen Betriebs system Instanzen in diesem Ordner neh men Sie ber das Tool rpm ostree vor mkdir tmp atomic cd tmp atomic cat gt meta data lt _eof instance id Atomic0 local hostname atomic 00 _eof cat gt user data lt _eof cloud config password atomic chpasswd expire False ssh_pwauth True ssh_authorized_keys ssh rsa AAA SDvz centos atomic example com _eof genisoimage output cloud init config iso volid cidata joliet rock user data meta data Listing 1 Meta Dateien zur Konfiguration www it administrator d
191. ge sehr umfang reich aus Schauen Sie hierzu in die Punkte Microsoft Exchange ActiveMonito ring und Microsoft Exchange Ma nagedAvailability des Event Logs Aufbau Managed Availability MA besteht aus den drei Komponenten Testmodul Monitor und Antwortdienst die folgende Aufgaben haben Testmodul Probe Das Testmodul ist f r die Durchf hrung von Messungen und das Sammeln von Daten verant wortlich Die Konfiguration ist im Event Log unter dem Punkt Microsoft Ex change Active Monitoring Probe Definition einzusehen Monitor Die gesammelten Daten flie Ben in den Monitor der die Logik zur Definition des fehlerfreien Zustandes enth lt Anhand verschiedener Muster entscheidet die Komponente ob eine Serverkomponente fehlerfrei oder feh lerhaft ist Antwortdienst Responder Der Dienst ist f r die Wiederherstellungs und Wei terleitungsaktionen verantwortlich Dabei wird auch versucht fehlerhafte www it administrator de Exchange 2013 Monitoring I SCHWERPUNKT Komponenten wiederherzustellen was den Neustart von Diensten oder des Servers bedeuten kann Erst wenn die Wiederherstellungsaktionen keinen Er folg verzeichnen erfolgt eine Ereignis protokollbenachrichtigung Damit Wie derherstellungsversuche nicht immer wieder angesto en werden beschreiben Throttling Eintr ge in der Responder Definition wie h ufig eine Aktion aus gef hrt werden darf Informationen zu aktuellen Vorg ng
192. gen gegen ber Al leine vom bekannten Monitoring System Nagios gibt es diverse Ableger aber auch Forks wie Shinken und Icinga die mit den Altlasten des Systems aufr umen m chten Als Nagios Modul ist auch die Neu Entwicklung Check_MK entstan den die sich mittlerweile als eigenst ndige L sung etabliert hat die sich besonders leicht mit der Open Source Monitoring Distribution in Betrieb nehmen l sst In unserem Training erfahren Sie wie Sie mit Check_MK ein professionelles Mo nitoring aufbauen k nnen um Netzwerk Server Betriebssystem und Anwendungen im Blick zu behalten Dabei ben tigen Sie explizit keine Linuxkenntnisse Die Arbeit auf der Kommandozeile wird bei Check_MK auf ein Minimum reduziert da mit WATO ein m chtiges webbasiertes Konfigurationsmodul vorhanden ist mit dem Sie problemlos auch gro e und kom plexe Installationen meistern In diesem Training verwenden wir als Un terbau die Open Monitoring Distribution Karl Deutsch ist freiberuflicher Linux Berater und Trainer F r Mathias Kettner ist er seit mittlerweile sechs Jahren als Dozent in Deutschland sterreich und der Schweiz t tig Er leitet unter anderem die f nft gige Schulung Systemmonitoring mit Nagios und Check_MK 12 M rz 2015 OMD die Installation und Update des Monitoring Systems vereinfachen Darin enthalten sind viele beliebte Addons wie NagVis grafische Visualisierung und PNP4Nasgios Langzeitaufzeichnung von
193. gruppen sollten Sie nicht an passen Besser ist es wenn Sie eine neue Verwaltungsrollengruppe erstellen und dieser die entsprechenden Mitglieder und Rechte zuweisen In der Exchange Ver waltungsshell verwenden Sie f r die Ver waltung von Verteilergruppen zum Bei spiel den Befehl New ManagementRole Parent MyDistributionGroups Name Contoso MyDistributionGroups 58 M rz 2015 Sie erstellen mit dem Befehl eine neue Gruppe und weisen dieser die Rechte der bergeordneten Gruppe hinzu Im RBAC Manager klicken Sie die ent sprechende Gruppe mit der rechten Maus taste an und w hlen New Role from Here Anschlie end geben Sie einen Namen ein Sie k nnen f r die neue Gruppe Rechte anpassen indem Sie die Haken bei den Rechten der bergeordneten Rollengruppe aus der untergeordneten Gruppe entfernen Sie k nnen die Rechte daf r auch in der Exchange Verwaltungsshell steuern Wol len Sie zum Beispiel verhindern dass die Anwender zuk nftig Verteilergruppen an legen und l schen d rfen verwenden Sie die beiden Befehle Get ManagementRoleEntry Identity Contoso MyDistributionGroups New DistributionGroup Remove ManagementRoleEntry und Get ManagementRoleEntry Identity Contoso MyDistributionGroups Remove DistributionGroup Remove ManagementRoleEntry Auf diesem Weg entfernen Sie auch von anderen Verwaltungsrollengruppen alle Art gew nschter Rechte Haben Sie die Rechte konfiguriert k n nen
194. h Modell kommen zwischen zwei und 16 Prozessorkerne zum Einsatz bei den Memory und RAID Funktionen sowie den Kompressionsm glichkeiten ber Unitrends Bridge ist es zudem m g lich gesicherte physische Server als vir tuelle Maschine wiederherzustellen Startschuss f r Xen 4 5 Mit dem Mitte Januar vorgestellten Re lease 4 5 haben die Entwickler die XM Management lools aus der Hypervisor Distribution Xen entfernt In vielen F llen sind die jetzt aktuellen XL Iools kompatibel mit dem Vorg nger aber sie bieten keine M glichkeit zur Netzwerk konfiguration Dies muss der Administrator k nftig mit den betriebssystemeigenen NAS mit Notizfunktion Zuwachs in der NAS Familie von QNAP gibt es mit der neuen Turbo NAS Serie TS x31 Die Tower Modelle verf gen ber zwei TS 231 oder vier TS 431 Festplatteneinsch be und einen 1 4 GHz ARM Cortex A15 Doppelkern prozessor Dank neuer VFPv4 Gleitkom ma Einheit und 1 GByte DDR3 RAM mit systemeigener Unterst tzung f r 6 GBit s SATA Laufwerke sorgt die Reihe f r einen maximalen Durchsatz von bis zu 200 MByte s Dank Hardware be schleunigter Verschl sselung sollen die Ger te auch mit AES 256 Bit Full NAS Volume Verschl sselung noch auf ber tragungsgeschwindigkeiten von ber 150 MByte s kommen Mit zwei GBit LAN Anschl ssen bieten die Netzwerkspeicher zudem zwei IP Einstellungen und Modi zur Portb ndelung Damit erm glichen sie Nutzern die Einrichtung einer F
195. h seine Um gebung selbst anpassen beispielsweise Messwerte oder Ereignisse Neben dem Dashboard gibt es Register f r Ressourcen Analyse Management und die Administration der Software Zu jeder Information auf dieser Intranet Seite kann sich der I Profi ber New Feed eine direkte Benachrichtigung zukommen las sen Alle hinsichtlich der Plattform ben tigten Einstellungen beispielsweise un terschiedliche Benutzergruppen definiert der Anwender ber das Register Admi nistration Dort legt der Administrator beispielsweise die Standard Parameter f r den Datenzugriff SNMP Anbindung oder die LDAP Kommunikationsdaten fest Wer schon einmal mit Monitoring L sungen gearbeitet hat wird sich recht schnell zurechtfinden Agenten aufspielen und gruppieren Dass noch keinerlei Messdaten von ir gendwelchen Servern eingetroffen sind zeigt ein Informationsbereich namens M rz 2015 27 TESTS I VMware vRealize chend einer klassischen Alarm Definition Das Dialogfenster hierzu ist gl cklicherweise selbsterkl rend und bietet zahlreiche Aus Dynamic Groups wahlm glichkeiten Zun chst sorgten wir uns im Test dahingehend ob eine Alarm Select the resource criteria to be united for this group Name and Description Policy Assignment Regel weniger als 1 5 GByte verf gbarer ri ee ii Speicher wirklich funktioniert da wir die Einheit GByte von Hand eingetippt hat Role Assignment i in si ten
196. ibetal kind Pod id apache dev namespace default Tabels name apache stage dev desiredState manifest version vlbetal id apache dev volumes null containers name master image fedora apache ports containerPort 80 hostPort 80 protocol TCP Ilg ll restartPolicy always Listing 3 Definition eines Pods Haben Installation und Konfiguration so weit funktioniert k nnen Sie sich im An schluss daran an dem virtuellen System anmelden um ein Update durchzuf hren Wie zuvor beschrieben wird in diesem Falle eine neue Instanz des Systems he runtergeladen und beim n chsten Sys temstart aktiviert ssh centos atomic example com rpm ostree upgrade systemct l reboot Da es sich bei diesem System um den Master Host handelt k nnen Sie direkt im Anschluss an dessen Konfiguration einen zweiten Host mit dem gleichen Image installieren Dieser wird im Fol genden als Minion Host dienen auf de nen die Container Pods laufen Nat rlich steht es Ihnen an dieser Stelle frei be liebig viele Minions zu installieren Um die grundlegende Funktion von Kuber netes zu verstehen reicht allerdings ein STATUS PORTS NAMES Up 9 minutes ago einzelner Minion Host aus Erzeugen Sie hierf r eine zweite virtuelle Maschi ne und wie in Listing 1 beschrieben ei ne zus tzliche ISO Datei die Sie dem Minion
197. ical Standby kein Recovery der archivierten Redolog Da teien sondern die DML und DDL Be fehle werden direkt aus den Redolog Da teien wiederhergestellt und auf dem Standby Server ausgef hrt Data Guard geht hier inzwischen noch andere Wege und schreibt direkt per Logwriter von der prim ren Datenbank parallel in eigene Standby Redo Logs auf der Zielseite In der Physical Standby Variante wird dann hieraus ganz normal recovert und beim Logical Standby eben per SQL Apply bei ge ffneter Datenbank Der minimale Da tenverlust bei einer logischen Replikation beschr nkt sich auf Iransaktionsdaten die bis zum Failover noch nicht von der Pri m rseite zur Replikationsseite verschickt wurden Das hei t alles was in den Re dolog Files gelandet ist und appliziert wurde befindet sich auch in der replizier ten Datenbank Bei der bertragung der Daten gibt es zwei konzeptionelle Un terschiede SharePlex und Dbvisit Repli cate bertragen die Daten bevor das Commit erfolgt w hrend GoldenGate die Oracle HA I PRAXIS Daten gemeinsam mit dem Commit bertr gt Im Fehlerfall k nnte also ein einzelnes Commit noch durchgef hrt worden sein w hrend gr ere Transak tionen die als Gesamtheit bertragen wur den wahrscheinlich nicht erfolgreich sind Herausforderungen der HA Umgebung W hrend ein Physical Standby schnell auf gebaut ist und generell neben einem Mo nitoring kein weiterer Aufwand n tig ist handelt es s
198. ich bei einer logischen Repli kation um eine eigenst ndige Datenbank die Sie separat verwalten und bei produk tiver Nutzung auch sichern m ssen Letz teres sollte kein unl sbares Problem sein Mehr Schwierigkeiten bereitet die Tatsa che dass nderungen in den SYS und SYSTEM Schemas bei der logischen Re plikation nicht erfasst werden Gleiches gilt f r ROWIDs Weitere Probleme k nnen sich aus speziellen Datentypen ergeben die von einer Repli kationsl sung nicht unterst tzt werden wie beispielsweise XMLTYPE Eine weitere Aufgabe stellen Trigger dar die jetzt vielleicht zweimal feuern Und das Problem bei den Sequences die von einigen Anwendungen gerne als eindeutige IDs verwendet werden ist dass mit und ohne Replikation eine ununterbrochene Zahlenfolge mit Sequen ces nicht garantiert werden kann Ein ein facher Rollback einer Transaktion erzeugt bereits eine L cke Trotz dieses Umstands verlassen sich viele Anwendungen f r die Nummerierung von Rechnungen auf Se quences beziehungsweise den Primary Key der zwar garantiert eindeutig ist aber nicht garantiert fortlaufend Bei einem Failover kann es hier zu Diskrepanzen kommen Ein weiteres unbedingt zu vermeidendes Problem betrifft Konflikte die entstehen k nnen wenn Constraints auf der Repli kationsseite verhindern dass Daten von der Prim rseite eingef gt werden k nnen Dieses Problem kann aber nur auftreten wenn nderungen von Dritten in der
199. iden Ger ten gem der mitgelieferten Bedienungsan leitung Sie k nnen die Jumper zwar in eine beliebige Position bringen diese muss aber in Sender und Empf nger identisch sein Merken Sie sich die Posi tion der einzelnen Jumper denn Sie be En E E E E SE E E E E E CEE SE a SE S a E a OES S E E E o E E E CEE EE DE SE EE SE E EE E O O BE E BE BE E CE u E E BE o u BE Ze Du BE E SEE Bu Zu u Be BE zu Cn DEE BEE EEE DEE EEE EEE u Ze wanna ne CEE E E E E E o a E E ann ne E E TE BE BE u De Bu zu u nennen he EN E E E E E E a a u a a E C zu E a aag L E E Zu me es nn AAU LOE S BE GE E u EE E E E if temp gt max then lastmail date s date r home pi mail sent log s if lastmail gt neuemail then python mail py temp touch home pi mailsent 1og fi sudo home pi rcswitch pi send 10101 3 1 else sudo home pi rcswitch pi send 10101 3 0 Listing 3 if Zweig in temperatur sh n tigen sie sp ter f r die Programmie rung des Raspberry Der Funkchip wird anders als der Tem peratursensor nicht mit 3 3 Volt sondern mit 5 Volt betrieben Deswegen bekommt dieser den Strom aus einem anderen GPIO Stift Den Datenstift schlie en Sie an GPIO 17 an das ist der sechste Stift von links in der unteren Reihe Den ge nauen Aufbauplan sehen Sie in Bild 2 Nun haben Sie alles vorbereitet und k n nen sich an die Tastatur setzen und
200. iel Daten in eine externe Datenbank zu schreiben oder ber einen externen Diens te Anbieter SMS zu versenden Nicht zu letzt verf gt Monitis noch ber Schnitt stellen zu PagerDuty und VictorOps beides freie Benachrichtigungsdienste Im n chsten Schritt stellten wir f r jeden Kontakt Warnregeln ein F r schon vor handene Monitore bearbeiteten wir die Warnregeln Dazu klickten wir auf Be arbeiten und definierten bei wie vielen erkannten Fehlern wir eine Meldung w nschten Das ist einstellbar da gerade bei Online Systemen Verbindungsproble me auftreten k nnen die sich nach einer Weile von selbst erledigt haben Dann legten wir fest ob der Kontakt auch bei einer Behebung zu benachrichtigen ist und ob Monitis Meldungen bei anhal tenden Warnungen verschicken soll so genannte Reminder In den erweiterten Meldungen legten wir den Zeitplan f r die Warnmeldungen fest Neben 24 7 hatten wir zur Auswahl einen t glichen Zeitplan zum Beispiel von 7 bis 22 Uhr und einen f r ausgew hlte Tage 24 M rz 2015 Leider sind beide Zeitpl ne relativ unfle xibel da sich zum Beispiel nicht mehrere Perioden an einem Tag einstellen lassen Auch der Zeitplan an ausgew hlten Tagen erlaubt es lediglich aufeinander folgende Tage auszuw hlen zum Beispiel von Dienstag bis Freitag von 8 bis 15 Uhr Einzelne Tage und unterschiedliche Zeiten konnten wir nicht einrichten Fazit Um im Testverlauf die berwachungs fu
201. ielen F llen mit klei nen Schl sseln kostenlosen Tools ft nen Die vorgestellten Werkzeuge erleich tern in vielen F llen die Administration und sparen so wertvolle Zeit Die kom plette Sammlung an T r ffnern f r Ex change Windows Server und Client so wie VMware und mehr finden Sie im kommenden IT Administrator Sonderheft Die gro e Admin Toolbox jp ITZ 1 Exchange Reporter F r Exchange Server 2013 F3P2 F r Exchange 2010 F3P22 2 Exchange Monitor F3P23 3 Generate Exchange Environment Reports using Powershell F3P24 4 SPAMfighter F3P25 5 Log Parser 2 2 F3P26 6 Log Parser Studio DOPE3 7 Microsoft Office 365 Best Practices Analyzer for Exchange Server 2013 F3P27 8 RBACManager F3P28 Link Codes Link Codes eingeben auf www it administrator de DevOpsCon 1 3 JUNI 2015 nhow Berlin RETHINK II Die Konferenz f r Docker Infrastruktur as Code Continuous Delivery Cloud und Lean Business Das Thema DevOps ver ndert unsere IT Welt K rzere Lieferzyklen schnellere Wechsel der Funktionalit t und mehr Qualit t in den Auslieferungen erfordern ein Umdenken Der Einsatz neuer Pro zesse und der Containertechnologie Linux Kernel Virtualisierung Netzwerke Microservices und Clouds sind eine gro e Herausfor derung Wir wollen mit der DevOpsCon einen Platz f r aktiven Erfahrungs und Wissensaustausch bieten Wir sind der berzeu
202. iertes Exemplar unter die Lupe genommen das nicht jede ber wachungsanforderung umsetzen konnte Schnelles Einrichten einer berwachung Als N chstes legten wir interne berwa chungen an Dazu greift Monitis auf die zuvor installierten Agenten zur ck und fragt bei diesen die gew nschten Infor mationen ber den Server ab Das hat den Vorteil dass auch mehrere berwachte Server per NAT und einer IP Adresse mit dem Internet verbunden sein k nnen Zu dem m ssen nicht alle m glichen Ports f r die Abfragen ge ffnet sein Die Kom munikation zwischen Monitis und dem Agenten erfolgt ber eine sichere SSL Verbindung und den Port 443 Wir riefen ber das Men Monitore den Punkt Server Ger te berwachung auf und erhielten eine Liste allgemeiner berwachungen Darunter die Eintr ge CPU Arbeitsspeicher Laufwerk Linux Auslastung Datentr ger E A Bandbreite SNMP Objekt Ping sowie HTTP und HTTPS Um unter Linux definierte Pro ber einen der verbreiteten Browser l sst sich Monitis von nahezu jedem Computer nutzen Die zur Server berwachung ben tigten Agenten liefert der Hersteller f r die Linux Distributionen Debian Ubuntu Red Hat SuSE Fedora und CentOS sowie f r Windows ab XP F r OS X sind keine Agenten erh ltlich und laut Hersteller auch nicht geplant Systemvoraussetzungen www it administrator de AGENT PROTI SS ra u Te it PiN ehr Bild 1 Das Dashboard von Monitis ist klar stru
203. iewer F r den Einsatz dieser Tools wird ein Server mit ausreichend Speicherplatz und Disk V O ben tigt Die Installation erfordert Linuxkenntnisse und passt m glicherweise nicht in eine ho mogene Windowsumgebung Das Problem der lokalen Speicherung von NetFlow Infor mationen ist die gro e Datenmenge Diese Herausforderung bergeben wir an Google Analytics leider auf Kosten der zeit nahen Bereitstellung Ein Hinweis zum Datenschutz Bei den Worten Google Analytics klingeln bei vielen kritischen Admins die Alarmglocken Wie bei allen externen Diensten muss vor der Nutzung stets gepr ft werden ob die Daten ber tragung mit der firmeninternen Richtlinie und dem Datenschutz harmoniert GA bietet Anonymisierungsroutinen f r IP Adressen an die zus tzlich im flow ga pl Skript enthalten sind Es verlassen folglich nur die Informationen das Unternehmen die gew nscht und anonymisiert sind Fazit Die Verwendung von Google Analytics als NetFlow Analyzer erm glicht die Auswertung und berwachung des eigenen Netzwerks ohne die Bereitstellung eines ausgewachsenen Servers Nach mehreren Tagen stehen genug Informationen bereit um sinnvolle Berichte ber Nutzung und Missbrauch der I I Infra struktur zu erkennen Auch wenn keine 100 prozentig exakten Werte zu verwendeter Bandbreite oder Paketen m glich sind berwiegen dennoch die Vorteile und der Reiz eines NetFlow Analysers aus der Cloud jp ITA wwv it administrator de
204. imulation finden Sie an schlie end im Output Verzeichnis Fazit Mit Eclipse SCADA steht Unternehmen eine interessante und vielversprechende Entwicklungsumgebung f r das Erstellen von typischen SCADA Applikationen zur Verf gung Bislang befindet sich das Tool noch in einer sehr fr hen Entwicklungs phase doch unter dem Dach der Eclipse Foundation stehen die Zeichen gut dass die Weiterentwicklung in gro en Schrit ten erfolgen wird dr ITA 1 Edipse SCADA Admin Client F311 2 WIX Toolset BAR Link Codes XnetSolutions Firewall e Encryption Archive Security Komplettl sungen f r Web und E Mail Virtualisierungs plattformen Beratung Online Pr sentation 07032 955 96 0 UTM Firewall v Deutsches Produkt ohne Backdoor E Mail Verschl sselung 4 userfreundlich V Verschl sselung per Mausklick E Mail Archivierung rechtskonform v manipulationssicher Schutz vor Datenverlust www xnetsolutions de m Deutscher IT Security Spezialist seit 2003 SCHWERPUNKT I Serverraum berwachung un chst ben tigen wir f r unser berwachungssystem einen Rasp berry Pi Diesen gibt es in den Varianten A B B und 2 In diesem Workshop ver wenden wir das Modell B Sie k nnen die Anleitung aber problemlos auch f r die Modelle B und 2 verwenden da alle ver wendeten GPIO Anschl sse bei diesen Modellen identisch sind Zudem ben tigen Sie eine SD Karte mit m
205. in einer einheitlichen Oberfl che zusammenzu f hren Daher sollte sich Ihre End to End Monitoring L sung nahtlos in Ihre vorhandenen TI Management Systeme integrieren lassen Achten Sie vor allem auf die Unterst t zung von Standard Interfaces wie SNMP SMTP und ODBC Connect Viele Un ternehmen nutzen alternativ die Logfile Analyse Module ihrer Netzwerkmonito ring L sung um die E2E Monitoring Daten einfach zu bernehmen Ganz egal f r welchen Weg Sie sich schlussendlich entscheiden Ber cksichtigen Sie bei der Produktauswahl auf jeden Fall die Schnitt stellenproblematik Anbindung von Remote Standorten Aufgrund der rasant zunehmenden Zen tralisierung von Anwendungen und Da tenbest nden sind die Filialen Niederlas sungen und SoHos vieler Unternehmen darauf angewiesen remote auf zentral vor gehaltene Applikationen und Informatio nen zuzugreifen E2E Monitoring ist eine probate Technologie um in dezentralen Infrastrukturen gleichbleibend hohe Dienstg te zu garantieren Evaluieren Sie daher bereits bei der Produktauswahl ob es m glich ist die E2E Monitoring Clients auch in abgesetzten Standorten zu betrei ben und ber die vorhandenen WAN be ziehungsweise VPN Links an den zentralen Monitoring Server anzubinden Komplexit t von Konfiguration und Management Die Effizienz einer Monitoring L sung h ngt ma geblich davon ab wie einfach und flexibel die Konfiguration ist Achten Sie bei der Produktau
206. in vielen F llen wahrscheinlicher soll ei ne Absicherung gegen einen m glichen Datenverlust erfolgen So kommen wir dann auch zu den technischen Unterschie den zwischen RAC und Data Guard Denn allein mit dem Aufbau eines RACs haben Sie keinerlei Absicherung gegen ei nen Ausfall des Rechenzentrums beispiels weise durch einen Brand Dazu bedarf es einer Standby L sung f r die Sie eine Da ta Guard Konfiguration aufbauen Leider l sst sich aber gerade Data Guard aus 44 M rz 2015 L ng m eN 2 gt 5 o Je 5 D P 2 o gt SS schlie lich in der Enterprise Edition nut zen In der Data Guard Dokumentation findet sich neben dem Hinweis darauf auch eine nette Anmerkung So ist es zwar m glich mit der Standard Edition selbst eine Standby Datenbank Umgebung ma nuell aufzusetzen indem archivierte Re dolog Files per OS Befehl auf die Stand by Seite verschoben und anschlie end per Skript eingespielt werden aber nat rlich nicht mit den berwachungs und Ver waltungsfunktionen die Data Guard bietet Standard Edition und Hochverf gbarkeit Ist Hochverf gbarkeit also nur mit der En terprise Edition realisierbar Schauen wir uns Oracle GoldenGate an das auch mit der Standard Edition nutzbar ist stellen wir fest dass es im Vergleich mit Data Guard eine Reihe zus tzlicher Features bie tet Dazu z hlen etwa plattform bergrei fende und versions bergreifende Nutzung
207. indestens 4 GBy te Speicher f r das Betriebssystem eine Stromversorgung via Mini USB sowie ein Ethernet Kabel Bei einschl gigen H nd lern gibt es Raspberry Starter Kits f r um die 80 Euro die auch eine Steckplatine und Drahtbr cken beinhalten die wir sp ter noch brauchen werden Installation des Betriebssystems Als Betriebssystem f r den Raspberry ver wenden wir das auf Debian basierende Raspbian Laden Sie sich ein Raspbian Image unter 1 herunter und klonen Sie es mit Hilfe der Software Win32Disk Imager auf eine SD Karte Sobald sich das Betriebssystem auf der Karte befindet f gen Sie alle Komponenten zusammen die SD Karte kommt in den Slot und ein Ethernetkabel in die entsprechende Buch se Weil der Raspi ber keinen Ein und Ausschalter verf gt bootet er automatisch sobald Sie ihn ber die Mini USB Buchse 86 M rz 2015 mit Strom versorgen 50 Sekunden sp ter ist das System hochgefahren ber die Routersoftware in Ihrem Netz werk finden Sie die IP Adresse des Raspi heraus und verbinden sich erstmalig ber Putty oder ssh mit ihm Als Benutzername ist pi voreingestellt das Passwort lautet raspberry Dieses Standardpasswort soll ten Sie nat rlich umgehend ndern Dazu ben tigen Sie den Befehl passwd Noch sicherer wird der Remote Zugang zum Raspberry brigens mit einem SSH Key den Sie in wenigen Minuten selbst erstel len k nnen Unter 2 finden Sie im Netz die entsprechende An
208. ine Art Abstraktionslayer ber bestimmte Pods vom gleichen Typ und weist diesem Service eine IP Adresse zu Der Zugriff auf die einzelnen Instanzen eines Pods erfolgt dann ber diese Service IP Daf r wird die Anfrage an die Service IP an die einzelnen Minions weitergeleitet und der Dienst kubelet proxy auf den Mi nions ist daf r zust ndig die Anfrage an die richtigen Container weiterzuleiten Man kann sich einen solchen Service als eine Art Load Balancer f r ein bestimmtes Set an Pods vorstellen siehe Bild Damit das funktioniert muss jeder Minion Host 66 M rz 2015 ber eine einzelne IP Adresse funktioniert ber ein zus tzliches Netzwerk Segment verf gen aus dem der Pod dann eine IP Adresse zugewiesen bekommt Die kube let proxy Dienste leiten die Anfrage dann genau an diese IP Adresse weiter Der ein zige Cloud Anbieter der eine solche Netz werkkonfiguration von Haus aus anbietet ist jedoch die Google Cloud Platform Bei allen anderen Anbietern auch beim Einsatz des hier verwendeten Atomic Images in einer lokalen Virtualisierungsumgebung ist eine manuelle Konfiguration des Docker Dienstes erforderlich Diese hier zu be schreiben w rde jedoch den Umfang des Artikels sprengen weshalb der Autor an dieser Stelle auf die entsprechende Doku mentation 9 zu dem Thema verweist In den neuesten Releases des Atomic Images wurde das Tool flannel 10 mit in das Image aufgenommen Hiermit lassen sich
209. inierte Ansicht erstellen p EM Benutrerdefimerte Ansicht importieren Fh Abon Protokoll l schen Aktuelles Protokoll Altern i Speichern Sie die analytischen debugbezogenen ADFS Monitoring SCHWERPUNKT Nach oben Debug Setel deaktiviert Gespeicherte Protokolldatei f Benutzerdefinierte Ansicht ent Datum und Uhrzest Benutzerdefinierte Ansicht im Protokoll l schen t Aktuelles Protokoll filtern Eigenschaften Allgemein Details Protokoll aktivieren H Suchen Alte Ereignisse speichern unter Aufgabe an dieses Protokoll a Ansicht j Aktualisieren Hilfe Irotokellname Eigenschaften Juelle Protokoll aktreieren _Prtchoakiiioen 5 Ereignis Suchen Alle Ereignisse speichem unter en Aufgabe an dieses Protokoll anf gen Ansicht Jenutzer Iplode Nertere Informationen nlinehilfe Aktualisieren Hilfe X Protokoll aktnieren Bild 3 Der letzte Schritt der Konfiguration der Ablaufverfolgung ist die Aktivierung des Protokolls Detaillierte Ereignisprotokollierung Suchen Sie die Ursache f r ein Problem und werden in der Ereignisanzeige nicht f ndig kann eine Option sein das Mo nitoring aufzumotzen und dem ADFS Server noch mehr Informationen zu ent locken Eine M glichkeit besteht darin die Ablaufverfolgung einzuschalten Dazu ffnen Sie auf dem Verbunddienstserver die Datei Microsoft IdentityServer Servicehost exe config i
210. ir das berwachungs Widget auf dem Dashboard Als Informationen erhielten wir nun die Zugriffszeit einer Standard abfrage durch den Agenten E Mail berwachung per Weiterleitung Ein spezieller Anwendungsmonitor ist die berwachung f r E Mail bermittlun gen Er berwacht den gesamten E Mail Prozess um sicherzustellen dass die ein gehenden und ausgehenden E Mails ordnungsgem transportiert werden Da bei pr ft das System die gesamte ber mittlungskette indem es eine E Mail an eine definierte Adresse schickt Um si cherzustellen dass diese auch wirklich an gekommen ist und vor allem wie lange M rz 2015 21 TESTS I Monitis es gedauert hat muss der Mailserver diese E Mail an Monitis weiterleiten So kommt die versendete E Mail an Monitis zur ck und der Monitor kann messen wie lange die bertragung dauerte Um diese berwachung einzurichten er wartete der Dialog die Eingabe der Test E Mail Adresse Diese richteten wir auf unserem E Mail Server ein und aktivier ten die Weiterleitung von E Mails an die vorgegebene Monitis Adresse Auch hier erschien nach der Best tigung das Widget auf dem Dashboard In der berwachung des E Mail Roundtrips stellten wir die maximal erlaubte Zeit ein die vom Ver senden bis zum Empfangen der Test E Mail erlaubt ist Da der Versand derzeit ausschlie lich aus den USA erfolgt hat dieser Weg bei uns zwischen 35 und 42 Sekunden gedauert Das Pr fintervall
211. it Hilfe von TOAD und einem DB Compare lie Ben sich Unterschiede an dieser Stelle am schnellsten aufdecken und je nach Bedarf auf die andere Seite anwenden Da unsere Entwickler h ufig Trigger nut zen trat bereits bei den ersten Tests das Pro blem auf dass diese nun auf beiden Seiten feuerten Zu diesem Zeitpunkt des Repli kations Setups wurden Trigger Komman dos noch repliziert Das bedeutet dass ein durch einen Trigger ausgel stes DML Kommando auf der Prim rseite einmal durch die Replikation eingetragen wird und der Trigger selbst durch die Replika tion ein zweites Mal auf der Standby Seite ausgef hrt wird Durch den doppelten Ein trag beziehungsweise den Versuch diesen durchzuf hren entsteht sofort ein Konflikt und die Replikation steht still weil sie so www it administrator de lange einen retry durchf hrt bis der Konflikt aufgel st ist Dbvisit bietet dazu einen Conflict Handler der uns generell zwei M glichkeiten gibt den Konflikt ignorieren und das Statement zur ckrollen oder einen Overwrite und die Zieldaten unter Missachtung der WHERE Klausel einfach berschreiben Keine der Metho den verschafft die Gewissheit dass wir am Ende eine Datenkonsistenz erreichen und sicher sein k nnen dass auf beiden Seiten der gleiche Inhalt geschrieben wurde Was f r eine Test Umgebung vielleicht tolerabel ist muss f r die Sicherung einer Produk tionsdatenbank ausgeschlossen werden An dieser Stelle wird
212. itter f r das Unternehmen einrichten Wir wollen mit Twitter eine weitere Web anwendung per SSO anbinden Anders als bei Dropbox wird nicht f r alle zugriffs berechtigten Mitarbeiter ein eigenes Kon to erstellt stattdessen m ssen Sie mehreren Mitarbeitern Zugriff auf ein gemeinsames Twitter Konto geben Unser Corporate Communications Team beispielsweise soll Zugriff auf den Iwitter Account erhalten um Tweets f r die Leser absetzen zu k n nen Twitter kennt allerdings kein Mehr benutzersystem sodass mehrere User mit unterschiedlichen Konten auf denselben Iwitter Kanal zugreifen k nnen Deshalb nutzen wir eine der bereits zuvor be schriebenen SSO Varianten namens Pass word Single Sign On Die ersten Schritte f r das Erstellen der An wendung in Azure AD sind mit unserem Dropbox Beispiel identisch Anstelle von Dropbox erstellen Sie im Azure Manage ment Portal Twitter als neue Anwendung f r das Verzeichnis In der bersichtsseite w hlen Sie f r Configure single sign on die Option Password Single Sign On Da mit fragt Azure AD bei der Zuweisung von Benutzern f r Twitter nach welche Anmel dedaten es nutzen soll Die Anmeldedaten lagern gesichert in Azure AD und sind f r Au enstehende nicht einsehbar auch nicht f r die Mitarbeiter Unter Assign users fil tern Sie nun nach der neu erstellten Gruppe www it administrator de AAD_Twitter_Access W hlen Sie die Gruppe aus und klicken Sie auf A
213. kalati ons Workflows k nnen Administratoren doppelte oder irre levante Warnmeldungen sowie Fehlalarme in Hyperic re duzieren indem sie pr zise Bedingungsdefinitionen f r Warn meldungen f r eine Vielzahl von Performance Werten fest legen Die Warnmeldungen k nnen entweder klassisch als E Mail Benachrichtigungen rausgehen oder der Administrator w hlt Kontrollaktionen zur automatischen Behebung g ngiger Probleme aus Dank der Rollenverwaltung erlaubt die L sung auch die rol lenbasierte Benachrichtigungsfunktion mit Zuweisung von Pro blemen an die entsprechenden Expertenteams beispielsweise f r Anwendungsserver DBAs Entwicklung oder Netzwerkad ministratoren F r eine Bearbeitung rund um die Uhr durch Mitarbeiter an unterschiedlichen geografischen Standorten sorgen in der Software entsprechende Warnmeldungskalender Fazit VMware Hyperic ist eine ausgewachsene Monitoring L sung f r Netzwerk und Server Umgebungen mit allen g ngigen Va riationen von Darstellungs und Auswertungsformen Dank der Plug In Technik bietet es die M glichkeit spezifische Anwen dungs berwachungen nachzur sten oder bei Bedarf gleich selbst zu entwickeln Hyperic eignet sich f r die Optimierung der t glichen Abl ufe und die Verringerung von Risiken durch menschliche Fehleinsch tzungen oder Vers umnisse Ein Blick ist die Software in jedem Fall wert und weitaus bequemer in der Benutzung als beispielsweise Nagios jp www it administ
214. kel Neuigkeiten coole Knoppix Tricks und die Installation San Au gsus me auf USB Stick oder Festplatte a A ZAA A Ban Sl ck u TCP Stealth im Kernel und in Bier SSH nu Go Interpreter Oder bequem on O zix 7 5 orld s gredtest Live distro ar R Komplett berarbeitete Horovan Erkennung i 7 am Kiosk line bestellen www linux magazin de Android App steuert Bequem online bestellen shop linux magazin de Doppelseitiger Datentr ger S 41 PRAXIS I Tool f r Microsoft Netzwerke Workshopserie Toolbox f r Admins 2 Auch eine schwere T r braucht nur einen kleinen Schl ssel Quelle Corina Rosu 123RF D en Auftakt bei den wertvollen Hel fern f r Exchange bilden nicht klas sische Tools sondern drei kostenlose Power Shell Skripte Diese m chtigen Werkzeuge zeigen dergestalt auch die zunehmende Bedeutung der Microsoft eigenen Skript umgebung f r die Verwaltung der Kom munikationsinfrastruktur Monitoring mit PowerShell Skripten Der Vorteil der Skripte ist die schnelle in stallationsfreie Integration Sie passen le diglich die Skripte an Ihr Netzwerk an erstellen eine geplante Aufgabe und lassen die Skripte arbeiten Alle drei Skripte er stellen grafische Berichte und informieren Sie ber Probleme Die beiden bekannteren Skripte sind Ex change Reporter 1 und Exchange Monitor 2 Beid
215. kturiert und bersichtlich zesse und unter Windows spezielle Dienste abzufragen gibt es noch die jeweils gleich namigen Punkte zur Auswahl Als Erstes w hlten wir den Eintrag CPU worauf sich ein Fenster mit der Liste aller angemeldeten Agenten ffnete aus denen wir einen ausw hlten Im nachfolgenden Fenster trugen wir Grenz und Warnwerte ein Danach konnten wir auch direkt wei tere berwachungen hinzuf gen und mussten dazu nicht wieder ber das Men gehen Weiterhin gaben wir ein zu welcher Warngruppe die berwachungen geh ren Unter einer Warngruppe versteht der Her steller die Konfiguration wie und an wen Warnmeldungen zu versenden sind Darauf kommen wir noch im Detail zur ck Nach der Best tigung fragte ein Dialog an wen die Warnungen zu versenden sind Dabei standen zur Auswahl Alle aktiven Kontakte Benutzerdefinierte Auswahl und Keine Warnungen senden Wir ent schieden uns f r den ersten Punkt da wir die Warnungen selber in der Warngruppe festlegten Danach definierten wir die Warnregeln beziehungsweise w hlten eine bereits hinterlegte aus Damit gaben wir an an welche Kontaktgruppe und in wel chen F llen zu warnen ist Dashboard nicht nur bersichtlich Nach diesem Dialog erschien das neue Wid get der gerade erstellten berwachung auf dem Dashboard Beim Widget konnten wir zwischen Listenansicht in der die erfassten Werte als Tabelle zu sehen waren und einem Liniendiagramm ausw
216. l che samt neuen Icons und ber schriften soll die Bedienung der Suite erleichtern Verbesserte Performance Einstellungen erh hen laut Aagon zu dem die Stabilit t w hrend die neue Version eine deutlich h here Arbeitsge schwindigkeit mitbringen soll Ebenso wurden die Automatisierungsm g lichkeiten f r administrative Auf gaben erweitert Zu den wesentlichen Neuerungen von ACMP 5 0 geh rt das OS Deployment das ein einfaches Be triebssystem Rollout inklusive des neuen Windows 10 direkt aus ACME heraus erm glicht Die Antwortdateien samt den Installationsdetails der Clients verwaltet ACMP unabh ngig vom Be triebssystem F r die Software Verteilung sind keine Microsoft Bereitstellungs Tools oder Windows Deployment Ser vices WDS erforderlich Die Software 6 M rz 2015 ie 07 ngra Eee u o ar u sel 1 mel Die Version 2 01 von toolstar testLX erlaubt jetzt den parallelen Dauertest mehrerer Festplatten Verteilung l sst sich dabei per Timing steuern Auch hat der Hersteller eine Li zenz Key Verwaltung integriert die jederzeit ersichtlich macht wie viele PCs die Lizenzen aktuell nutzen Der Da tenaustausch beziehungsweise die Ver schl sselung zwischen ACMP Agent Server und der Konsole findet nun durchgehend Ende zu Ende statt Auch die bertragung per Internet ist per SSL verschl sselt ACMP 5 0 ist ab sofort verf gbar und unterst tzt neben Win dows 10 Windows 8 1 und 8 7 auch MacOS
217. l sst sich relativ frei einstellen Schnell zur eigenen Webseiten Statistik In der Gruppe Endbenutzer berwachun gen gibt es neben der Ladezeit berwa chung auch einen Transaktionsmonitor sowie den Real User Monitor RUM Dieser erlaubt es die Besucherstr me auf einer Internetseite zu erfassen und aus zuwerten Um diesen Monitor einzurich ten ben tigten wir Zugang zum Quell code der zu berwachenden Internetseite Neben dem Domain Namen w hlten wir die zugeh rige berwachungsgruppe aus Nun erstellte Monitis einen neuen Reiter mit einem vollfl chigen Widget Danach f gten wir ein vom System vorgegebenen Java Skript Aufruf in die Seiten ein die wir mit RUM erfassen wollten F r Seitenbetreiber die keinen Zugriff auf den Quellcode haben aber mit einem CMS wie Wordpress Joomal oder Drupal arbeiten stellt Monitis ein Plug In zur Verf gung das im jeweiligen Backend zu installieren und um die Tracking ID zu erg nzen ist Dieses f gt dann ber das CMS den Aufruf beziehungsweise den notwendigen Quellcode in die Seiten ein Im Ergebnis sahen wir nach einiger Zeit im berblick sowohl die Anzahl der Sei tenaufrufe als auch die mittlere minimale oder maximale Ladezeit Weiter erfuhren 22 M rz 2015 Add Monitor URLAP Interval min Protocol www it administrator de 30 Bild 2 Die iOS App erlaubt das Hinzuf gen externer berwachungen wir die verwendeten Browser und Ger te
218. l mit Turbo von Werner Fischer und Georg Sch nberger Bis vor wenigen Jahren kamen in einem RAID Verbund ausschlie lich Festplatten zum Einsatz Dementspre chend waren bis dahin Hardware RAID Control ler ausschlie lich auf die I O Charakteristiken von Festplatten optimiert Die unterschiedlichen I O Eigenschaften von SSDs erfordern jedoch entsprechend optimierte RAID Controller und RAID Einstellungen Wie Sie Ihr SSD RAID zu optimaler Performance bringen zeigen wir Ihnen in diesem Workshop rund 100 300 IOPS schaffen bieten ak tuelle Enterprise SSDs bis zu 36 000 Write und 75 000 Read IOPS beispielsweise das 800 GByte Modell Intel DC S3700 SSD Latenz beschreibt die Wartezeit in ms bis eine einzelne YO Operation durchgef hrt wurde Die typische durchschnittliche La tenz betr gt bei SSDs zwischen 0 1 und 0 3 ms bei Festplatten zwischen 5 und 10ms Hierbei ist zu beachten dass die Fest platten Hersteller mit der Latenz nur die Zeit einer halben Umdrehung der Scheibe beschreiben Zur echten Latenz also der mittleren Zugriffszeit ist hier noch die Spurwechselzeit Seek Time zu addieren Der Durchsatz schlie lich bezeichnet die Datentransferrate in MByte pro Sekunde MB s Er wird typischerweise mit gr Beren und sequenziellen O Operationen gemessen SSDs schaffen etwa den dop pelten bis dreifachen Durchsatz von Fest platten Bei SSDs mit wenigen Flash Chips SSDs mit geringerer Kapazit t ist die S
219. ldung zulassen Interaktive Anmeldung Anwender wor Ablauf des Kennworts zum ndern des K 5 Tage interaktive Anmeldung Anzahl zusschenzuepeichernder vorheriger Anmeldung 10 Anmeldungen El interaktive Anmeldung Benutrennlormationen anzeigen wenn Sitzung gesper Macht definiert Interaktive Anmeldung Domdnenconirollersuthentifisierung zum Aufheben der Deaktiiert Interaktive Anmeldung Inaktintatsgrenze des Computers Interaktive Anmeldung Kein STAG ALT EMTF erlorder Gch Interaktive Anmeldung Letzten Benutzernamen nicht anzeigen GE PRAXIS I Tipps Tricks amp Tools Sie sich in den Bereich Lokale Richtli nien Sicherheitsoptionen durchklicken Im rechten Teil des Fensters finden Sie nun die beiden selbsterkl renden Eintr ge Interaktive Anmeldungen Nachrichten titel f r Benutzer die sich anmelden wol len sowie Interaktive Anmeldungen Nachrichten f r Benutzer die sich an melden wollen Mit einem Rechtsklick auf den jeweiligen Eintrag und der Op tion Eigenschaften k nnen Sie den Titel und den Inhalt der Nachricht nach Ihren W nschen festlegen Beim n chsten Log in sollte die Mitteilung auf dem Bild schirm erscheinen Das Ganze klappte brigens schon bei Windows 7 Rech nern von den Home Editionen einmal abgesehen Wenn Sie mit einer oder meh reren Dom nen arbeiten k nnen Sie f r diese Einstellungen nat rlich auch die Group Policy Management Console gpmc msc verwenden In Sscherheitseins
220. lei ten k nnen Die App un terst tzt den Import Export von PDF Datei en RSS Live Feeds sowie Snapshots f r die Versions kontrolle Anwender erhal ten eine Online Vorschau auf beigef gte Multimedia Dateien AES 256 Bit Ver schl sselung f r Notizen und die M glichkeit in Evernote aufgezeichnete Notizen zu sichern und zu News I AKTUELL WE TByte oder der 943S Appliance mit vier H heneinheiten und einer Kapazit t von 97 TByte In Unitrends www unitrends com F r jeden etwas Die neuen Appliances der Recovery Serie von Unitrends erscheinen in verschiedenen Modellvarianten keits Set ups erm glicht Bei der Inte gration in die Virtualisierungs Abstrakti ons Bibliothek Libvirt gibt es diverse Ver besserungen etwa Support f r PCI SR IOV Single Root I O der auch Hotplug unterst tzt Auch die Migration von VMs ist mit der Libvirt m glich of Xen 4 5 hitp wiki xenproject org wiki Xen_Project_4 5_Feature_List modifizieren Das QNAP TS 231 ist ab sofort f r rund 240 Euro das TS 431 f r 330 Euro erh ltlich In QNAP www gnap com i de Wie bei NAS Ger ten blich lassen sich die Festplatten auch beim QNAP TS 431 im laufenden Betrieb wechseln M rz 2015 11 LIUEN a Loy GE AKTUELL I IT Administrator Training w er mit Open Source Software sei ne Systemlandschaft berwachen m chte sieht sich einer gro en Auswahl an potenziellen L sun
221. leitung Temperatursensor anschlie en Als Temperatursensor dient ein DS18B20 siehe Bild 1 den Sie f r wenige Euro bestellen k nnen Den Sensor gibt es in verschiedenen Bauformen die Ausf h rung mit Kabel ist besonders praktisch wenn Sie den Sensor an unterschiedlichen Stellen platzieren m chten Der Aufbau der Schaltung ist denkbar einfach Sie be n tigen dazu eine Steckplatine ein paar Steckbr cken m nnlich m nnlich und m nnlich weiblich sowie einen Wider stand von 680 Ohm Stecken Sie die Schaltung dann so wie in Bild 2 darge stellt Das von uns verwendete Raspbian MOA Serverraum berwachung mit dem Raspberry Pi Marke Eigenbau von Thomas Rose Die kleinen und g nstigen Raspberry Pis bestechen durch ihre Flexibilit t Mit einigen grund legenden Programmierkenntnissen lassen sich die Mini Rechner auch im Unternehmen sinnvoll einsetzen In diesem Workshop zeigen wir Ihnen wie Sie einen Raspi f r die Temperatur berwachung im Server raum nutzen Wird es zu hei startet das System einen Ventilator und schl gt per E Mail Alarm hat alle n tigen Treiber bereits an Bord diese sind aber noch nicht geladen Das holen Sie mit den Befehlen sudo modprobe wi_gpio sudo modprobe wI_therm nach Mit sudo geben Sie sich als Superuser Admin zu erkennen der Befehl modprobe l dt die gew nschten Kernelmodule nach Damit diese Module bei einem Neustart automatisch geladen werden h ngen Sie
222. lle Online Beitr ge zugreifen End2End Monitoring mit dem Open Source Tool Sakuli Das Monitoring kritischer Applikationen setzt auf eine Viel zahl von Checks Aus deren Summe l sst sich jedoch kein qualifizierter Gesamtstatus ableiten Hier ist End2End Moni toring gefragt etwa mit dem Open Source Tool Sakuli Es M glichkeiten der Standortvernetzung Von Ethernet bis MPLS Die Wahl einer Standortvernetzung zur Anbindung von simuliert Maus und Tastatureingaben des Anwenders in der Applikation wertet Inhalte aus misst Laufzeiten und integriert die Ergebnisse in Nagios Dabei vereint es die St rken der Test Werkzeuge Sahi und Sikuli Wir beschrei ben im Online Artikel wie Sie mit Sakuli funktionelle und inhaltliche St rungen fr hzeitig erkennen Link Code F3W51 Unternehmensniederlassungen ans Firmennetz oder auch mobiler Mitarbeiter im Home Office stellt jeden Netzwerk administrator vor eine Herausforderung Die Entscheidung zwischen Internet VPN Ethernet Netzwerk oder MPLS VPN ist nicht leicht Der Beitrag auf unserer Homepage zeigt welche Faktoren bei der Wahl der Netztechnologie Sie ber cksichtigen sollten um ein optimales Ergebnis f r das eigene Unternehmen sicherzustellen Link Code F3W52 Office und Produktions LAN sicher verbinden Die unterschiedlichen Anforderungen an das B ro oder Verwaltungsnetzwerk auf der einen Seite und an das Ferfigungs oder Produktionsnetzwerk auf der ande
223. lle System und Netzwerkadministration PRAXIS I Open Source Tipp er 389DS ver wendet als globalen Service Admi nistrator den Account en Directory Ma nager Er bekommt beim Setup ein Passwort zugewiesen danach gelten f r die sen Account keinerlei Einschr nkungen mehr Meldet man sich mit diesem Konto am Directory Server an lassen sich ohne weiteres die Passw rter anderer Benutzer zur cksetzen neu definieren oder der ein gesetzte Verschl sselungsalgorithmus und andere Eigenschaften eines Passworts ndern Dummerweise war es lange Zeit so dass kein anderer Benutzer die soeben aufge f hrten nderungen an Benutzer Passw r tern durchf hren konnte Dies hatte oftmals zur Folge dass das Passwort f r den Directo ry Manager allen Passwort Administratoren bekannt war und sie somit komplette Kon trolle ber den Server hatten Mittlerweile bietet der Server eine neue Funktion an mit der sich eine Gruppe von Passwort Administratoren definieren l sst die nderungen an Benutzer Pass w rtern durchf hren d rfen ohne hierf r die komplette Kontrolle ber das gesamte System zu erhalten Auch das Setzen be reits verschl sselter Passw rter funktioniert ohne Probleme Die Gruppe der Passwort Administratoren k nnen Sie global f r alle Konten des Di rectory Servers definieren oder aber nur f r einen bestimmten Teilbaum des Servers Das ist sehr hilfreich wenn Sie Benutzer beispielsw
224. m r theoretischen Abschnitte zur Objektpipeline dem Pro vider Konzept oder der PowerShell ISE lassen kaum Fragen often Die knapp ber 500 Seiten umfassende Dokumentation wei ihre St rken in der Kompaktheit und Vermittlung der PowerShell Philosophie Frank Gro e Peter Monadjemi Springer Verlag 29 99 Euro 978 3658029630 Bewer tung max 10 Punkte 7 LER beschr nkt sind kommt der Publikation nur zugute F nf Stunden Videotraining zahlreiche pr fungsvorbereitende Fragen und ber 100 Flashcards zum Vertiefen der theoretischen Aspekte sollten nicht nur m gliche Pr fungsangst verbannen Fazit Das CCNA Powertraining ist keineswegs nur ein Buch zur Pr fungsvorbereitung sondern m chte zwei Aspekte abdecken Zum einen soll das Verst ndnis f r die Funktionsweise der jeweiligen Technolo gie geweckt werden zum anderen bieten praxiserprobte Szenarien und deren L sung das R stzeug f r den t glichen Um gang mit Cisco Ger ten was ganz ne benbei eine gelungene Vorbereitung auf die Pr fung darstellt Frank Gro e Eric Amberg mitp Verlag 49 99 Euro 978 3826616945 Bewert ung max 10 Punkte T M rz 2015 103 GE FACHARTIKEL ONLINE Besser informiert Mehr Fachartikel auf www it administrator de Unser Internetauftritt versorgt Sie jede Woche mit neuen interessanten Fachartikeln O N Als Heftleser k nnen Sie ber die Eingabe des Link Codes schon jetzt exklusiv auf a
225. m RAID liefern bei den Tests von HWR rund 260 MBit s SWR schafft 225 MBit s RAID 10 Wie der Name bereits vermuten l sst ist RAID 10 eine Kombination aus RAID 1 und RAID 0 Im Einsatz mit vier SSDs bietet sich ein direkter Performance Ver gleich mit RAID 5 an In puncto Kapa zit t stehen bei RAID 10 zwar nur 50 Prozent der Netto Kapazit t zur Verf gung wer viel zuf llig schreibt wird gegen ber RAID 5 aber gro e Vorteile haben Bild 3 zeigt deutlich die Schreib Schw che von RAID 5 hinsichtlich IOPS Ebenso machen s ch die erh hten Latenzen bei RAID 5 aufgrund der er forderlichen Parit tsberechnungen be merkbar RAID 10 liefert dagegen Laten zen die sich an den Zeiten einer einzelnen SSD orientieren Wem Schreib Perfor www it administrator de mance und Latenzen egal sind kann den noch beruhigt auf RAID 5 setzen Wirksame Tuningma nahmen Beim Einsatz von Hardware RAID Con trollern f r SSD RAIDs gilt folgende Empfehlung m glichst aktuelle RAID Controller verwenden Die Firmware von neueren RAID Controllern ist deutlich besser auf SSDs optimiert als ltere Mo delle Bei den Avago MegaRAID Con trollern haben beispielsweise die neuen 12 GBit SAS Controller das Feature zur Op timierung von SSD RAID Performance FastPath nun standardm ig integriert Zur Performance Steigerung von HDD RAIDs wurden Hardware RAID Con troller schon bald mit einem Cache aus gestattet Aktuelle Controller verf ge
226. m Verzeichnis C Windows ADFS und passen Sie den switch Value wie in der Datei beschrieben an Anschlie Bend m ssen Sie noch in der Ereignisan zeige im Ansicht Men die analytischen Debug Protokolle einblenden und diese ber das Kontextmen aktivieren Das Logging ist auch f r den Microsoft Support hilfreich um bei der Problemana lyse f ndig zu werden Im Regelbetrieb ist es deaktiviert da es Ressourcen des Servers verbraucht Vergessen Sie daher nicht alle Schritte sp ter wieder r ckg ngig zu ma chen um es zu deaktivieren In Umgebungen mit h heren Anforde rungen f r eine berwachung der Si cherheit sollten Sie das Protokoll f r die Sicherheitseinstellungen einschalten Auch das finden Sie in der ADFS Ver Link Codes eingeben auf www it administrator de waltungskonsole unter Eigenschaften im Dialog zu den Eigenschaften des Ser vers Ein paar weitere Handgriffe sind noch vonn ten was genau beschreibt Microsoft in der Technet 4 Nach er folgreicher Konfiguration landen alle Eintr ge im Sicherheitsprotokoll Ge paart mit dem oben beschriebenen Get WinEvent Cmdlet zum Auslesen von Ereignisprotokollen l sst sich eine Liste mit Benutzern die durch den ADFS Server authentifiziert worden sind oder eine bersicht derer bei denen es fehl geschlagen ist erstellen Hilfsmittel zur Diagnose Microsoft hat eine kleine Bibliothek ver ffentlicht die eine sinnvolle Erg nzung zu den vorhan
227. mehr Informationen Hier ffnet sich automatisch die TechNet Seite mit Hinweisen wie Sie das gefundene Pro blem l sen k nnen Klicken Sie auf Save Scan Results spei chern Sie den Bericht als HTML Datei ab Starten Sie Microsoft Office 365 Best Practices Analyzer for Exchange Server 2013 nach der Installation und einem ers ten Test neu m ssen Sie sich nicht erneut an Office 365 anmelden sondern k nnen die Organisation und die installierten Ex change Server auch ohne die Verbindung zu Office 365 scannen lassen Sie k nnen bei jedem Scanvorgang selbst entscheiden ob Sie sich an Office 365 anmelden wol len oder nicht Wenn Sie sich trotzdem an Office 365 im entsprechenden Fenster anmelden dann scannt der BPA nicht nur die lokale Kon figuration Ihrer Exchange Server sondern auch die Office 365 Einstellungen Bre chen Sie in diesem Fall einfach die An meldung an Office 365 ab um nur die lokale Exchange Organisation zu testen Das Tool scannt allerdings keine Einstel lungen und Daten in Office 365 sondern nur die Verbindung des lokalen Exchange Servers zu Office 365 www it administrator de Rechte in Exchange einfacher verwalten Sie verwenden normalerweise den Internet Explorer und die Adresse https Serverna me ecp um auf die Exchange Verwaltungs konsole zuzugreifen Komfortabler wird dies mit dem RBAC Manager 8 der die Bedienung in Windows ohne auf einen Browser zur ckgreifen zu m ssen erlau
228. ministrator bekommt von der Funk tion nur am Rande etwas mit trotzdem soll te ein grunds tzliches Verst ndnis vorhanden sein damit Sie zum Beispiel bei Updates richtig mit MA umgehen oder Dienste nach einem geplanten Deaktivieren nicht einfach wieder starten Auch f r Nutzer des Micro soft System Center Operation Managers SCOM hat diese Funktion Konsequenzen denn das Management Pack f r Exchange 2013 wurde stark abgespeckt und SCOM dient prim r als Dashboard zum Anzeigen von Statusinformationen Das Management Pack greift nur noch die Eskalationsmel dungen ab Anpassungen m ssen Sie direkt am Exchange Server setzen 94 M rz 2015 Implementierung durch neuen Exchange Dienst MA wird ber den Microsoft Exchange Integrit tsdienst MSExchangeHMHlost exe und den Exchange Integrit ts Manager Arbeitsprozess MSExchangeHM Worker exe implementiert Der Integrit tsdienst ist ein Controller Prozess und ist f r die Ver waltung von Arbeitsprozessen zust ndig Hier ber wird der Arbeitsprozess nach Bedarf gesteuert und gegebenenfalls wie derhergestellt sodass dieser nicht selbst zur Fehlerquelle wird Der Arbeitsprozess als zweiter Prozess ist f r die Ausf hrung der Laufzeitaufgaben in der verwalteten Verf gbarkeit zust ndig Wichtig ist es vor allem den Exchange Integrit tsdienst im Blick zu behalten denn sofern dieser nicht gestartet ist ist die ber wachung des Servers nicht aktiv Sofern Sie mehre
229. mit herunterzuladen Diese www it administrator de ADFS Monitoring SCHWERPUNKT ist zuletzt im April 2014 angepasst worden und beinhaltet alle aktuellen Informatio nen zu ADFS 3 0 wie beispielsweise Hin weise zur Installation oder auch welche Quellen berwacht werden Da das Ma nagement Pack nicht abw rtskompatibel zu lteren ADFS Versionen ist m ssen Sie in diesem Fall die jeweils passenden Management Packs hinzuf gen Kostenlose Hilfe Die Liste kommerzieller Monitoring Software ist lang Setzen Sie bereits ein Produkt zur berwachung ein ist es meist ein Leichtes die Server f r ADFS im Sinne einer einheitlichen berwa chung gleichfalls zu integrieren Doch welche M glichkeiten bestehen wenn bislang keine berwachungssoftware zum Einsatz kommt Oder in netzwerktech nisch abgeschotteten Implementierungen wie zum Beispiel in Testumgebungen Auch diese k nnen produktiven Charak ter haben etwa aus Sicht der Entwickler was aber die Lizenzkosten f r die Moni toring Suite nicht unbedingt rechtfertigt In diesem Fall m ssen Sie schauen was die Bordmittel hergeben Bevor wir uns diesen M glichkeiten widmen noch ein wichtiger Aspekt vorweg Eine ADFS Farm hat selten den Umfang wie ihn Administratoren von einer typischen Anisch Gehen Tasks Eras Mille pee i NE Bereich Suchen mi Webserverfarm mit zwanzig oder noch mehr Servern kennen Bei ADFS sind die Kapazit ten architekturbedingt kl
230. mit verbundenen Overhead nur bremst Das best tigen auch unsere Messergebnisse in Bild 4 Bei einem RAID 5 mit vier SSDs sinken die Write IOPS bei aktiviertem Write Back von 14 400 auf 3 000 das sind fast 80 Prozent weniger IOPS Der einzige Vorteil des Schreibcaches sind geringe Schreiblatenzen bei RAID 5 RAID Sets Da diese aber bei RAID 1 oh ne Parit tsberechnungen und ohne Schreib cache noch niedriger sind f llt auch dieser Vorteil schnell weg Daher lautet die Emp fehlung SSD RAIDs ohne Schreibcache betreiben also Write Through statt Write Back Damit k nnen Sie sich die zirka 150 bis 200 Euro f r das BBU oder Flash Schutz Modul sparen Read Ahead abschalten Read Ahead das Lesen von Datenbl cken die hinter den aktuell abgefragten Daten liegen ist ebenfalls eine Perfor BER intelDCS3500 u N un x je 2 co x 7 pa T E 3 g gt lt mance Optimierung die nur mit Fest platten wirkliche Vorteile bringt Beim RAID 5 mit vier SSDs bremst aktiviertes Read Ahead die Lese IOPS in unseren Tests um 20 Prozent von zuvor 175 000 auf 140 000 Read IOPS Beim Durchsatz gibt es beim Lesen mit 64 K oder 1 024 K Bl cken keine Performance Unter schiede Einzig beim Durchsatz mit 8 K Bl cken zeigt Read Ahead in unseren Tests Vorteile Daneben kann Read Ahead nur bei single threaded Lesetests zum Beispiel mit dd unter Linux Vorteile brin gen Beide Zugriffsmuster sind im Ser
231. mitzuteilen wel che Datenbereiche nicht mehr verwendet 38 M rz 2015 und somit gel scht werden k nnen ist TRIM Hier teilt das Betriebssystem dem SSD Controller mit welche Datenbereiche gel scht werden k nnen TRIM l sst sich f r eine einzelne SSD einfach implemen tieren f r Parit ts R AIDs w re die Umset zung aber durchaus aufw ndig Daher un terst tzt bislang auch kein Hardware RAID Controller die TRIM Funktionalit t Dieses Manko l sst sich aber recht leicht umschif fen Die meisten Enterprise SSDs kommen von Haus aus mit einer vergleichsweise gro Ben Spare Area weshalb die TRIM Un terst tzung kaum eine Rolle spielt Und wem die Performance noch nicht reicht der kann zus tzlich noch mit Over Provi sioning arbeiten dazu sp ter mehr Performance IOPS Latenz und Durchsatz Bei der Messung der SSD Performance sind vor allem drei Messgr en entschei dend IOPS Latenz und Durchsatz Der Begriff IOPS Input Output Operations Per Second beschreibt die Anzahl an Ein Ausgabe Operationen pro Sekunde Read IOPS beziehen sich konkret auf Aus gaben pro Sekunde Write IOPS auf Ein gaben Die Gr e einer solchen O Ope ration betr gt 4 KiB sofern nicht anders angef hrt IOPS werden meistens ran dom also mit zuf llig verteilten Zugriffen gemessen um tats chlich Worst Case Wer te zu erfassen W hrend Festplatten nur OOTA SSD RAIDs mit optimaler Performance betreiben Flash Stape
232. n smartctl a dev sda smartctl a d megaraid 6 dev sda smartctl a d sat dev sgl Dies verdeutlicht wie wichtig eine offen gelegte Spezifikation der Hersteller f r eine zuverl ssige berwachung ist Intel ist b rigens bei seinen Data Center SSDs vor bildlich und stellt eine detaillierte Spezifi kation inklusive SMART Attributen bereit Die Integration der SMART berwachung in ein Monitoring Framework wie Icinga ist der n chste Schritt Ein Plug In muss dazu auf die Spezifikation der Hersteller eingehen und die Werte der Attribute rich tig deuten Das Thomas Krenn Team ent wickelte dazu mit check_smart_attr butes 2 ein Plug In das in einer JSON Daten bank die Spezifikation der Attribute abbil det Seit Version 1 1 berwacht das Plug In auch SSDs hinter RAID Controllern Die SMART Attribute bestimmen ein deutig die Abnutzung der Flash Zellen die Haltbarkeit einer SSD leitet sich daraus ab Weitere Attribute komplettieren den Ge sundheits Check f r SSDs im Unterneh menseinsatz Bei Intel ist ein solches Bei spiel das Attribut Power_Loss_Cap_Test f r die Funktionst chtigkeit des integrier ten Cache Schutzes der SSD Der Cache Schutz stellt sicher dass beim Verlust der Stromversorgung keine Daten verloren ge hen Dieses Attribut verdeutlicht wie wich tig die regelm ige Pr fung der SMART Attribute von SSDs ist Stellen Sie daher IOPS Measurement Test EEE MR 9361 13500 R5 4 u ki in B
233. n ber 512 MByte bis 1 GByte Cache Dieser kann sowohl f r Schreib Write Cache als auch Lesezugriffe Read Ahead genutzt werden Bei SSD RAIDs sollten Sie auf den Einsatz dieser Caches jedoch aus den gleich n her beleuchteten Hintergr nden verzichten Write Cache deaktivieren Bei HDD RAIDs bringt der Schreibcache Write Back Policy einen sp rbaren Per formance Schub Vor allem kleine und zuf llige Schreibzugriffe kann der RAID Controller optimal im Cache zwischen speichern bevor er sie auf vergleichsweise tr ge Festplatten schreibt Die Anzahl an m glichen Write IOPS steigt entsprechend von wenigen hundert auf mehrere tausend IOPS Measurement Test CI MR 9361 13500 R10 4 EHE intelDCS3500 EEE MR 9361 13500 R5 4 Avg IOPS at 4k Block Size 50 50 R W Workload Flash RAIDs optimieren I PRAXIS GS J IOPS Zus tzlich sinkt die Latenz sp rbar von 5 bis 10 ms auf unter 1 ms Bei RAID 5 und 6 mit HDDs bringt der Schreibcache einen weiteren Vorteil Ohne Cache w rde die erforderliche Leseope ration f r die Par t tsberechnung Stichwort Read Modify Write n mlich zus tzlich bremsen Dank Cache kann dies zeitversetzt passieren Damit bei einem Stromausfall keine Daten verloren gehen muss ein ver wendeter Schreibcache mit BBU oder Flash Schutz Modul LSI CacheVault oder Adaptec ZMCP gesch tzt werden Bei SSDs ist alles anders Ihre Performance ist bereits so hoch dass ein Schreibcache durch den da
234. n Auf einem anderen Rechner erhielten wir den richtigen Hinweis dass das Windows Gastkonto aktiviert und die Windows Be nutzerkontensteuerung UAC deaktiviert war Korrigieren lie en sich beide Einstel lungen jedoch nicht Im Bereich Windows Updates sahen wir dass einige Aktualisierungen noch auf ihre Installation warteten In der bersicht der anstehenden Updates w hlten wir die Ein tr ge aus die wir installieren wollten und starteten diese durch einen Klick auf den Button Installieren Derzeit ist es nicht m glich Drittanbieter Software zu instal lieren oder vorhandene Software vom Sys tem zu entfernen Auf Nachfrage erkl rte der Hersteller dass die Implementierung dieser Funktion in Arbeit sei und zeitnah zur Verf gung stehen soll ber den Punkt O amp O Defrag bot uns das System an die gleichnamige Software remote auf dem PC zu installieren und dar ber zuk nftig die Defragmentierung zu steuern Defragmentieren von SSD Festplatten m glich Nach der Ferninstallation erhielten wir eine bersicht der Partitionen und lie en den Zustand der Fragmentierung analy sieren Auch wenn es so aussieht defrag mentiert O amp O Defrag logischerweise keine SSD Platten Statt den Inhalt zu sortieren schickt Syspectr den blichen Trim Befehl Bei herk mmlichen HDDs starteten wir die Defragmentierung die www it administrator de im Hintergrund ablief Die daraufhin zu 100 Prozent ausgelastete Festplatte
235. n wenn die erste Passwortabfrage und Authenti fizierung durch ADFS erfolgreich war Das Best tigen des zweiten Faktors geht via Telefonfunktionen wie Anruf oder SMS 52 M rz 2015 oder ber die Multi Factor Auth App f r Windows Phone 1OS und Android Der Benutzer w hlt seine favorisierte Methode aus und konfiguriert sie Bei der Telefon varlante steht ein Anruf und SMS zur Aus wahl au erdem wird eine Mobilnummer hinterlegt Die kostenlose App kann f r ein One Time Password konfiguriert werden oder als Push Nachricht die akzeptiert werden muss Der Unterschied Im OTP Fall ist nicht zwingend Empfang auf dem Mobiltelefon erforderlich f r die Push nachricht schon Verd chtige Aktivit ten berpr fen Ist der Azure AD Administrator mit einer Premium Lizenz ausgestattet existiert eine Reihe von Reporting M glichkeiten um auff llige oder nicht gew nschte Nut zungsverhalten des Dienstes zu berichten Die Berichte werden in drei Kategorien ver ffentlicht und sind unter Reports verf gbar Besonders interessant sind die Berichte f r atypische Anmeldungen am Verzeichnis Wenn Benutzer Anmeldungen an unbekannten Ger ten oder ber nicht zur ck verfolgbare Verbindungen vorneh men generiert Azure AD dazu ein Au dit Ereignis Alle Alarmglocken sollten bei gleichzei tigen Anmeldungen aus verschiedenen Regionen schrillen Entdeckt Azure AD dass sich ein Benutzer aus mehreren Re gionen anmeldet
236. n Tests sowie Informationen War nungen und schwerwiegende Fehler in der Exchange Organisation Markieren Sie einen Bereich und klicken auf View Details zeigt der BPA das Ergebnis aus f hrlich an Klicken Sie auf einen Fehler erhalten Sie durch Auswahl von Learn Ab M rz steht f r Sie unser neves Sonderheft Die gro e Admin Toolbox bereit das auf 180 Seiten n tzli che Software Helfer vorstellt Zahllose freie Tools aus der Community von namhaften Herstellern und Open Source Projekten die Ihnen bei der Optimierung der System Sicherheit dem reibungslo sen Systemmanagement der Virtualisierung und in vielen anderen Bereichen helfen stellt das neue Sonderheft vor Dabei unterst tzt Sie das neue Sonderheft mit detaillierten Anleitungen zu Installation und Betrieb der Tools Zudem erhalten Sie ber unsere Website schnellen Zugriff auf das jeweilige Tool l stiges Suchen nach einer Download Quelle oder Tipps zum Betrieb entfallen Sie k nnen das Sonderheft das im M rz 2015 erscheint ab sofort unter http shop heinemann verlag de vorbestellen Als Abonnent erhalten Sie das Sonderheft zum verg nstigten Preis von 24 90 Euro regul r 29 90 Euro alle Preise inklusive Mehrwert steuer und Versand www it administrator de IT Administrator Sonderheft Die gro e Admin Toolbox B l RBAC Manager R2 Fie View Tools Help Tools f r Microsoft Netzwerke I PRAXIS cmdlet frone Paramet
237. n oberen Suchfeld tippen Sie Dropbox als Such begriff ein wonach Sie Dropbox for Business vorgeschlagen bekommen Ein Klick auf den Best tigungsbutton erstellt das Grundger st f r die F derierung in Ihrem Azure AD Das Azure Portal springt zur bersichtsseite der Anwendung Sie gelangen immer wieder zu dieser ber sicht zur ck wenn Sie im Azure Portal ber Active Directory das richtige Ver zeichnis und dann Applications ausw h len und die gew nschte Anwendung an klicken Die bersicht zeigt drei Schritte die zur Single Sign On Beziehung not wendig sind 1 SSO erlauben 2 Benutzerprovisionierung f r Dropbox aktivieren 3 Die Erlaubnis f r einzelne Benutzer er teilen Dropbox zu nutzen Wir klicken auf Schritt 1 Configure sin gle sign on um den Assistenten zu ff nen Die Verbindung zwischen Dropbox und dem Azure AD kann auf drei Arten geschehen alle als SSO benannt W h len Sie f r diesen Workshop Windows Azure AD Single Sign On und schreiten Sie zum n chsten Punkt des Assistenten fort Die beiden anderen Optionen be dienen weitere Szenarien Die zweite Op tion Password Single Sign On erlaubt Azure AD die Speicherung von Anmel dedaten die beim Logon eines Benutzers transparent an die Zielapplikation ge schickt werden Wir werden diese Option sp ter mit Twitter einsetzen Die letzte Option Existing Single Sign On f hrt durch ein Setup f r die F derierung mit der lokalen AD
238. n schaut auch ob alle Komponenten richtig ticken beispielsweise ob End punkte erreichbar sind oder ob eines der Zertifikate Probleme bereitet Sind Schwellenwerte berschritten erh lt der diensthabende Administrator ber frei de finierbare Kan le rund um die Uhr Nach richten und kann sofort reagieren Die Inbetriebnahme des SCOM Mo nitoring for Federation Server ist denk bar einfach funktioniert sie doch wie in SCOM blich ber produktspezifische Management Packs Jenes mit der Be zeichnung Active Directory Federation Services 2012 R2 1 l sst sich problem los integrieren und die Ermittlung der ADES 3 0 Server verl uft ohne spezielles Zutun Wichtig zu wissen ist an dieser Stelle noch dass das Management Pack versiegelt ist und keine nderungen di rekt darin erfolgen k nnen Ist dies ge w nscht m ssen Sie es duplizieren um zum Beispiel spezielle Regeln oder Mo nitore an Ihre Anforderungen anzupas sen Das ist brigens empfohlenes Best Practice von Microsoft und bietet den Vorteil dass nderungen immer separat von weiteren Management Packs und deren Abh ngigkeiten sind Kopieren Sichern und Transfers aus Testumgebun gen erleichtern sich dadurch brigens ergibt es Sinn das Management Pack ber die Downloadseite herunter zuladen und dann in SCOM zu impor tieren und es nicht direkt innerhalb der SCOM Konsole zu beziehen Dadurch besteht die M glichkeit die Dokumen tation gleich
239. naustausch Plattenspeicher oder Netz werkkomponenten Erreichbarkeit Sollte es f r die eigene Anwendung oder eine spezielle Serversoftware nicht das pas sende Plug In f r Hyperic geben so erlaubt das so genannte HQU Plug In Frame work von Hyperic die Darstellung und Sammlung von Performance Daten f r ei gene Applikationen Das HQU Framework erweitert das Hyperic User Interface und erm glicht es Routineaufgaben zu auto matisieren und Hyperic in andere Manage mentsysteme zu integrieren Die in Groovy einer dynamischen Skriptsprache f r die Java Virtual Machine geschriebenen HQU Plug Ins k nnen bei Bedarf gemeinsam genutzt und aktiven Umgebungen hinzu gef gt werden ohne dass der Administrator hierzu den Hyperic Server stoppen und neu starten m sste Die Namens nderung zu vRealize Hy peric war nat rlich nicht die einzige Ver nderung die mit der Produktversion 5 8 4 im Dezember 2014 Einzug hatte Erstmalig unterst tzt die Software nun andere Sprachvarianten von Microsoft Windows als nur Englisch Java in der Runtime Edition 7u71 wird nun unter st tzt ebenso erhielten einige Plug Ins Sie ben tigen eine aktuelle VMware vSphere Umge bung Je nach gew hlter Variante ist die Installation auf aktuellem Microsoft Windows Server oder aktuel Iem Red Hat Linux Server m glich Alternativ nutzen Sie die virtuelle Appliance von VMware Systemvoraussetzungen www it administrator de Recent Alert Th
240. nd nutzen Sie den folgenden Befehl Get Queue Server LABOIEX01 Select Identity MessageCount Bei DAG Mitgliedern pausieren Sie den Clusterknoten und verschieben die Da tenbanken Dar ber hinaus blockieren Sie die Aktivierung einer DAG Kopie Suspend Clusternode LABOLEXO1 Set MailboxServer LABOIEX01 Data baseCopyActivationDisab ledAndMoveNnow true Set MailboxServer LABOLEX01 Data baseCopyAutoActivationpolicy Blocked Damit zum Abschluss nicht alle Kompo nenten einzeln inaktiv gesetzt werden gibt es die Erweiterung ServerWideOftline Set ServerComponentState LAB01EX01 Component Serverwideoffline State Inactive Requester Maintenance Mit Get ServerComponentState pr fen Sie wiederum ob alle Komponenten auf In aktiv stehen Das Ergebnis mit einem in den Wartungsmodus versetzten Server sehen Sie in Bild 4 Einen reinen CAS Server set zen Sie mit dem letzten Befehl in den War tungsmodus Die anderen Schritte entfallen da der Server weder Warteschlangen noch Datenbank h lt Wartungsmodus beenden Um die Wartung zu beenden aktivieren Sie zun chst alle Komponenten und set zen die DAG Mitgliedschaft wieder fort damit sich Datenbanken wieder in Betrieb nehmen lassen Set ServerComponentState LABOLEX01 Component Serverwideoffline State 98 M rz 2015 K SCHWERPUNKT I Exchange 2013 Monitoring Wichtige Managed Availability Befehle Get ServerHealth Abruf einzelner Integrit tsinformation
241. ne Alternative zu Oracle Stre ams dar die Sie sich vor allem ansehen soll ten weil die Streams mit Datenbank Re lease 12c R1 neben Advanced Replication den Status deprecated erhielten Was be deutet dass das Feature in 12c noch ent halten ist Oracle aber die Entwicklung eingestellt hat Somit ist es nur eine Stufe vor desupported und letztlich neben der eingeschr nkten Nutzbarkeit in der Stan dard Edition auch ein Grund warum es aus unserer Betrachtung herausfallen muss Tolerierbaren Datenverlust definieren Mit Replikation und Standby haben wir verschiedene L sungen denn abseits von gespiegelten Platten ist eine redundante Datenhaltung ber eine Replikation lo gisch oder physisch als Standby m glich www it administrator de Physical Standby Redo Apply Archived Redo Logs Funktionsweise einer manuellen Standby Konfiguration und Dbvisit Standby Physical Standby Redo Apply Die Standby Datenbank befindet sich im Recovery Modus archivierte Redo Logs werden auf die Zielseite verschoben und auf dem Standby Server wiederhergestellt Leider stiften die Begrifflichkeiten und deren Nutzung auch und gerade mit Data Guard gerne Verwirrung Die Unterschie de liegen in der Nutzbarkeit des Replikats W hrend ein Physical Standby aus schlie lich f r den Fehlerfall aufgebaut wird l sst sich bei einer logischen Repli kat on die Zieldatenbank voll nutzen zum Beispiel als Reporting Datenbank
242. ner ou people dc example dc com adding new entry cn cn nsPwTemplateEntry ou people dc exam ple dc com cn nsPwPolicyContainer ou people dc example dc com adding new entry cn nsPwPolicy_cos ou people dc example dc com modifying entry cn config Listing 1 Attribute und Objekte f r eine lokale Passwort Policy Management der Benutzer Passw rter mitgebracht solche lokale Passwort Policy zu erzeugen Listing 1 zeigt einen beispielhaften Aufruf f r den Benutzer Container ou people dc example dce com Im Container cn nsPwPolicyContainer k nnen Sie dann dem Eintrag cn ns PwPolicyEntry die gew nschten Policy Informationen hinzuf gen Dies geschieht am einfachsten ber eine LDIF Datei die Sie mit Idapmodify in den Directory Server laden Listing 2 zeigt ein einfaches Beispiel f r eine solche LDIF Datei dn cn cn nsPwPolicyEntry ou People dc example dc com cn nsPwPolicyContainer ou People dc exam ple dc com changetype modify add passwordMustChange passwordMustChange on add passwordMinAlphas passwordMinAlphas 1 add passwordHistory passwordHistory on add passwordMinDigits passwordMinDigits 1 add passwordMinAge passwordMinAge 0 add passwordMinLowers passwordMinLowers 1 add passwordchange passwordchange on add passwordMinuppers passwordMinuppers 1 add passwordcheckSyntax passwordcheckSyntax on add passwordStorageScheme passwordStorageS
243. neue Modul zur Ausf hrung von PowerShell Skripten dr ITA Produkt Cloud basierter Dienst zur Verwaltung von Windows Clients Hersteller 0 amp 0 Software GmbH www syspectr com de Preis Bis zehn PCs kostenfrei Danach 1 Euro pro PC sowie 5 Euro pro Server Technische Daten www itadministrator de downloads datenblaetter So urteilt IT Administrator max 10 Punkte Fernadministration Funktionsumfang Remote Bedienung Konsole Desktop Funktionsweise der Agenten Die System berwachung Die Details unserer Testmethodik finden Sie unter www it administrator de testmethodik Dieses Produkt eignet sich optimal f r die Fernverwaltung von Windows PCs teilweise f r die tiefergehende Fernadministration von Computern da sich nur wenige Einstellungen remote vornehmen lassen nicht als Monitoring Ersatz f r Server da sich die berwachungsfunktionen auf den Status von Pro zessen beschr nken 080 Syspectr www it administrator de IT Administrator Sonderhefte Sonderheft ija Se d 29 90 ITL EP IE TED MP Administrator TH gt Sonderheft IT Automatisierung Mit der PowerShell Zeit sparen und Ad i Fehler minimieren Bar Magarin f r pre Sonderheft 114 Windows und Winde Administration Virtuali als Applikationsplattfor Sicherheit n s Infrastrukturen egen Angriffe abschirmen Window F Clients Server und RZ Infrastruktur 9 Fr 2012 P und optimierung A http shop
244. ng ber die der Administrator weiteren Personen eingeschr nkten Zu griff auf die Log Daten und Statistiken gew hren kann Die Authentifizierung ge schieht dabei entweder ber einen Be nutzernamen und Passwort oder via LDAP Graylog2 unterscheidet dabei nur zwischen Mitlesern und Admins W hrend erstgenannte Gruppe lediglich ausgew hl te Informationen und Statistiken zu Ge sicht bekommt d rfen Admins auf s mt liche Funktionen zugreifen Die TORCH GmbH 10 stellt fertige Pakete f r Ubuntu Debian und CentOS bereit Zus tzlich gibt es fertige Appliances f r Amazon Web Services und Vagrant so wie Docker Images Dar ber hinaus bie ten die Entwickler Anleitungen f r eine Installation via Puppet und Chef an F r Einsteiger existiert ein Quick Setup Tool mit dem sich Graylog2 samt aller Abh n gigkeiten schnell einrichten und auspro bieren l sst Graylog2 steht unter der GPLv3 Lizenz den Quellcode des Werkzeugs und der Weboberfl che stellen die Entwickler je weils als Archiv zur Verf gung Zus tzlich gibt es noch graylog2 radio das vor Gray log2 geschaltet die eingehenden Log Da ten in einer Queue sammelt Graylog2 ist in Java geschrieben und ben tigt neben 80 M rz 2015 dem erw hnten Elasticsearch zwingend die Datenbank MongoDB Ohne Instal lation ausprobieren l sst sich Graylog2 mit einer Online Demo die jedoch eine Re gistrierung voraussetzt Logstash Logstash ist Teil des Elastics
245. ng mit FIO www it administrator de fio name readIP rw read size 56 bs 1024k direct 1 refill_buffers ioengine libaio iodepth 16 fio name writeTP rw urite size 5G bs 1024k direct 1 refill_buffers ioengine libaio iodepth 16 fio name readlOPS rw randread size 16 bs 4k direct 1 refill_buffers ioengine libaio iodepth 16 fio name writelOPS rw randwrite size 16 bs 4k dired 1 refill_buffers ioengine libaio iodepth 16 fio name mixedlOPS rw randrw size 16 bs 4k direct 1 refill_buffers ioengine libaio iodepth 16 Die Anforderungen an aussagekr ftige SSD Tests hat die Organisation SNIA so gar dazu veranlasst eine eigene Enter prise Performance Test Specification PTS zu ver ffentlichen In den meisten F llen besteht jedoch nicht die M glichkeit in diesem Umfang Tests durchzuf hren Oftmals reicht es m ersten Schritt aus mit einfachen Mitteln eine Baseline Performance der SSD zu be stimmen Dadurch erhalten Sie in Form von MB s und IOPS auf Ihr System zu geschnittene Kenngr en Die Tabelle Performance Messung mit FIO geht n her auf das Performance Werkzeug Flexible IO Tester FIO ein FIO ist vor allem unter Linux verbreitet aber auch f r Windows und VMware ESXi verf gbar Entwickelt vom Maintai ner des Linux Block Layers Jens Axboe steckt einiges an Wissen und Funktionalit t darin Nutzen Sie die Tabelle f r einen ein
246. ni SeT 9 a Fu HESI ar Se rarei e Sinat Dresa l gt Un a T ke Ds Ale hiesaz Sie er Fati Mer me ary Eindics a ET in dar Oraris i ahii ie 1 a er a f A a e U uai aa et f EEE Laung mni e Aam Tiai 3 TA te a irii ng a CiD ija Ei ieii le Gih i a i ru jra een EEE A An Mrasuk u r UDT f eur DEN Eh a EEE BEE Pa minae a ii iih iain w Jede Woche aktuelle News freie Artikel und Admin Tipps ADMIN Newsletter Einmal pro Woche aktuelle News kostenlose Artikel und n tzliche ADMIN Tipps E Jetzt abonnieren L www admin magazin de newsletter PRAXIS I Docker und Kubernetes Minion 1 Minion 2 Master A MASTER BALANCES PODS Minion 3 A SERVICE LOAD BALANCER virtual network Minion 4 Minion n Kubernetes bietet einen Service Loadbalancer an mit dem der Zugriff auf mehrere Pods denen Minions zur Verf gung Kubernetes k mmert sich auch darum die Anzahl der Instanzen aktuell zu halten Haben Sie also beispielsweise definiert dass Sie gerne vier Instanzen Ihres Apache Pods haben wollen w rde Kubernetes automatisch Apache Docker Instanzen starten oder beenden bis die Anzahl der Instanzen der Definition entspricht Auch wenn die einzelnen Container IP Adressen aus einem zuvor in Docker de finierten Netzwerkbereich bekommen erfolgt der Zugriff auf die einzelnen In stanzen eines Pods eher ber sogenannte Services Kubernetes legt hierf r e
247. nktionen zu berpr fen f hrten wir ge zielte berlastungen auf den berwachten Systemen durch oder stoppten Dienste und Services Insgesamt konnten wir feststellen dass Monitis alle Fehler im Rahmen der Zeitintervalle erkannte und die Warnmel dungen verschickte Zu Anfang des Tests erreichten uns vermeintliche Fehlalarme da wir Schwellenwerte oftmals zu niedrig eingestellt hatten Im Laufe der Zeit passten wir die berwachungen auf den jeweiligen Systemen an und konfigurierten die ver schiedenen Gruppen so dass wir m glichst perfekte Warnmeldungen erhielten Dabei stellten wir fest dass uns vor allem die Funktion fehlte berwachungen in Abh ngigkeit zu bringen Meldet ein in terner Monitor zum Beispiel dass der Ser vice Apache nicht l uft reicht eine Warn meldung und weitere Monitore die zum Beispiel die Ladezeit auf dem Server ber wachen m ssten nicht auch einen Ausfall melden Ebenso kristallisierte sich im Test heraus dass sich die angebotenen ber wachungen zum gr eren Teil auf On line Server fokussieren Auf Unterneh mensservern konnten wir mittels Agenten nur den Status eines Dienstes ermitteln nicht aber die richtige Funktionsweise der Anwendung pr fen Der Eindruck von Monitis ist je nach An forderung gemischt Wer das System f r die berwachung von Windows oder interner Unternehmenshardware nutzen m chte sollte sich vorher sehr intensiv die M glichkeiten der vorhandenen
248. nlass f r teilweise massive Probleme Dar ber hinaus sind Zertifikate eine der h ufigsten Fehlerquellen im Federation Server Umfeld Zertifikate sind nicht ewig g ltig und ein Dienst oder eine Vertrau ensstellung die auf einem Zertifikat ba siert ist eben nur solange intakt wie das Zertifikat vorzeigbar ist Die Liste der Ab h ngigkeiten ist aber noch l nger Egal ob die Verbunddienste in einer Farm lau fen also die Konfiguration auf einem SQL Server liegt oder ob eine WID Windows Internal Database ehemals SQL Express zum Einsatz kommt die SQL Datenbank ist in jedem Fall wichtig Zwar speichert ADFS keine Anwender daten sondern nur Konfigurationsdaten und wenn der SQL Server Probleme hat werden trotzdem noch SAML TIoken aus gestellt Haben Sie sich beispielsweise in der Farm f r den Einsatz einer WID ent www it administrator de schieden und der prim re ADFS Server f llt mit einem Defekt aus sind nderun gen an der Konfiguration der Farm nicht mehr m glich ADFS wird aber weiter authentifizieren Das Problem taucht ohne Monitoring somit erst sp ter auf Monitoring mit SCOM Haben Sie in Ihrem Netzwerk mehrere Dienste von Microsoft kann es der System Center Operations Manager SCOM sein dem Sie die berwachung der Fe deration Services anvertrauen Frei defi nierbare Ansichten liefern einen schnellen berblick und dabei greift SCOM nicht nur stupide die Events der Server ab son der
249. nn der SSD Controller diese freien Bereiche auch als Spare Area verwenden Wie Bild 5 zeigt verdreifachen sich beinahe die Write IOPS bei 20 Prozent Over Provisioning am Bei spiel der Intel DC S3500 800 GByte SSD Eine Anmerkung am Rande Over Pro visioning hat keinen Einfluss auf die reine Lese oder sequenzielle Schreib Perfor mance bringt also Performance Vorteile nur bei zuf lligen mixed read write oder reinen write Workloads Unter Linux verwenden Deadline I O Scheduler F r SSDs und SSD RAIDs bringt der Deadline I O Scheduler erfahrungsgem die h chste Performance Ubuntu ver wendet seit Ubuntu 12 10 standardm ig den Deadline Scheduler andere Distribu tionen setzen teilweise noch auf den CFQ Scheduler der vor allem auf Festplatten hin optimiert ist Mit einem einfachen cat sys block sda queue scheduler berpr fen Sie welcher Scheduler in diesem Falle f r das Device sda zum Einsatz kommt Bis zum n chsten Reboot k nnen Sie als root den Scheduler per echo deadline gt sys block sda quene scheduler auf Deadline setzen Informationen zum permanenten ndern des Schedulers entnehmen Sie der Dokumentation der verwendeten Linux Distribution Mit telfristig wird der Linux Multi Queue Block IO Queueing Mechanism blk mag die traditionellen I O Scheduler f r SSDs abl sen Bis blk mq aber auch bei den Long Term Support Enterprise Distributionen zum Einsatz kommt wird es noch etwas dauern
250. nstei genschaften enth lt die rechte Register karte mit dem Namen Ereignisse die gew nschten Einstellungen 76 M rz 2015 Es hat sich im brigen gezeigt dass n derungen an diesen Einstellungen immer nur auf dem prim ren ADFS Server ge speichert werden und nicht f r die Farm gelten Wechseln Sie h ufiger den prim ren Server beispielsweise zu Wartungs zwecken sollten Sie bedenken dass dann die Einstellungen des neuen Servers gelten und Sie eventuell hier nachjustieren m s sen damit das Logging wieder passt Ad ministratoren die lieber in der PowerShell agieren k nnen das Kommando Get AdfsProperties select loglevel nutzen um zu sehen welche Art von In formationen aktuell protokolliert werden Das Get AdfsProperties Cmdlet sollten Sie auch einmal ohne Parameter auspro bieren um sich einen berblick ber die Konfiguration des Verbundservers zu schaf fen Sie werden zahlreiche interessante Optionen finden Das Gegenst ck um den Loglevel zu setzen lautet brigens Set ADFSProperties und l sst sich auch au tomatisiert in einem Skript verwenden Wenn S e h ufiger die Rolle des prim ren Servers in einer Farm per Powershell wechseln und auch den Loglevel dabei an aktuelle Bed rfnisse anpassen ist so ein einheitlicher Stand garantiert Protokolle automatisiert auslesen Suchen Sie konkret nach einer Informa tion oder Ursache eines Problems ist es sinnvoll das Ereignisprotokoll von Han
251. nt Die Such anfrage ssh AND source example org w rde beispielsweise alle Meldungen lie fern in denen der Begriff ssh auftaucht und die von example org stammen Sol che Suchanfragen m ssen Administratoren auch in der Weboberfl che eintippen zu sammenklicken lassen sie sich nicht Um eine m glichst hohe Antwortgeschwin digkeit zu erzielen nutzt Graylog2 im Hintergrund Elasticsearch 9 F r die gefundenen Meldungen generiert Graylog2 auf Wunsch Statistiken und Dia gramme Bild 4 oder exportiert sie als CSV Tabelle Die Statistiken k nnen zu dem sogenannte Widgets anzeigen die sich wiederum auf bersichtsseiten den sogenannten Dashboards gruppieren las sen Auf diese Weise haben Administrato ren die wichtigsten Informationen direkt nach dem Login im Blick Add Source and Output Source bA Fia Current setting 2 Source lonward hite mandor agenl debug agen fluentd p be i Me Ela Bro Output sidoul debug Bild 2 Mit der Fluentd Ul lassen sich schnell neve Quellen und Outputs einrichten M rz 2015 79 Graylogz Sources Mozilla Firefox Graylog Sources E BD 1002 Percentage Welcome Tim Sch rmann 1710 D Messages per source Bild 3 Die Weboberfl che von Graylog2 liefert auch statistische Daten wie hier die Anzahl der von einer Quelle angelieferten Meldungen Graylog2 besitzt eine einfache Benutzer verwaltu
252. nz rechts die Mitglieder Er teilte Rechte lassen sich auf einzelne Be reiche einschr nken Das k nnen zum Beispiel Dom nen Datenbanken oder einzelne Exchange Server sein Auch hierzu gibt es im RBAC Manager einen eigenen Bereich Durchgef hrte nderungen speichert RBAC Manager in einer Protokolldatei Diese l sst sich ber den Bereich Tools ffnen In der Protokolldatei ist das PowerShell Cmdlet zu sehen mit dem RBAC Manager die entsprechende Kon figurationsaufgabe durchgef hrt hat ber den Men bereich Tools Op tions stellen Sie den standardm igen Exchange Server ein mit dem sich das Tool verbindet den Dom nencontroller und den Pfad der Protokolldatei Nor malerweise sind hier keine nderungen notwendig sondern nur wenn es zu Ver bindungsproblemen kommt Ein Beispiel Die Verwaltungsrollengrup pe MyDistributionGroup darf in Ex change Server 2013 nicht nur Mitglieder bestimmter Verteilergruppen hinzuf gen oder entfernen sondern auch Verteiler gruppen selbst entfernen und erstellen Solche Vorg nge wollen Administratoren aber m glichst verhindern Es reicht oft aus wenn bestimmte Anwender die Mit gliedschaften steuern d rfen Welche Rechte die Benutzerrollengruppe My DistributionGroups hat sehen Sie auch in der Exchange Verwaltungsshell wenn Sie diesen Befehl eingeben Get ManagementRoleEntry Identity MyDistributionGroups Die Einstellungen vorhandener Verwal tungsrollen
253. nziert selbst als Trial zeigt die bersicht eine Filterm glichkeit f r Benutzer und Gruppen an Sie k nnen Benutzer und Gruppen ausw hlen und sie der Anwendung zuweisen Ohne Azure AD Premium sind es nur Benutzer Sehen Sie trotz Azure AD Premium nur Benut zer in der bersicht m ssen Sie Ihrem Administrator eine Premium Lizenz zu weisen Im Active Directory Teil des Azure Portals w hlen Sie Ihr Verzeichnis aus und wechseln zu Licenses im oberen Men In der Lizenz bersicht k nnen Sie per Assign eine neue Lizenz zuweisen Haben Sie besonders viele Benutzer im Verzeichnis w hlen Sie den Suchfilter an der rechten oberen Ecke der Tabelle an indem Sie auf das Lupensymbol klicken SSO testen Azure AD provisioniert in zyklischen Ab st nden neue Benutzer in f derierte An wendungen Nach maximal 15 Minuten sollten die neu zugewiesenen Benutzer in Dropbox for Business erscheinen Die Pro visionierung erfolgt dabei von Azure AD aus und ist mit dem Erstellen beziehungs weise dem L schen eines Benutzeraccounts in der jeweiligen Anwendung beendet Sind weitere Schritte f r das Erstellen der SSO Eigenschaft erforderlich werden diese von der SaaS Anwendung aus gesteuert Provisionierte Benutzer in Dropbox for Business erhalten eine Willkommens E Mail in der sie ihren Dropbox Account aktivieren m ssen bevor SSO funktio niert Die E Mail beinhaltet den Namen des Unternehmens das Dropbox Projekt in das
254. nzuf gen Dienste berwachung Monitis unter scheidet dabei den Monitor f r Linux der Prozesse und f r Windows der Dienste berwacht Damit war es uns m glich zu pr fen ob eben ein Prozess oder ein Dienst auf einem Server lief Konkrete Funktionsweisen wie die eines Exchange Servers ermittelte das System dabei nicht Dieser Monitor ist f r die Dienste und Prozesse gedacht die sonst keine ber pr fung ber die IP Adresse und einen Port erlauben Auch hier riefen wir die Monitoreinrich tung auf und w hlten den gew nschten Agenten aus Danach fragte Monitis die auf dem Server laufenden Dienste ab und zeigte sie uns zur Auswahl an Nun trugen wir Grenz und Alarmwerte ein und ga Zu den erw hnten Kontakten bietet der Hersteller in den jeweiligen Stores noch Apps an Nach der Installati on auf dem mobilen Ger t meldeten wir uns mit unse rem Account an Danach zeigte uns Monitis das mobile Ger t als zus tzlichen Kontakt an dessen Warnmel dungen wir wie bei den zuvor beschriebenen Kontakten konfigurierten Sobald eine Warnung vorlag und wir mit dem Tablet oder Smartphone online waren erhiel ten wir eine Systembenachrichtigung Weiter hatten wir die M glichkeit uns den Status der berwachun gen anzuschauen und externe Monitore hinzuzuf gen Die App ist demnach keine vollwertige Benutzeroberfl che sondern dient lediglich dem schnellen Blick von unterwegs und dem Empfang von Warnungen www it a
255. o werden zentral alle Eintr ge der Farm an gezeigt und geben Aufschluss ber den Zustand der Umgebung ber Filter l sst sich die Ansicht einschr nken um bei spielsweise nur Ereignisse mit dem Schwe regrad Kritisch aus einem bestimmten Zeitraum zu suchen Im unteren Bereich der Anzeige findet sich noch der Best Practices Analyser der f r das Monitoring weitere wichtige Informationen liefert Der Server Manager ersetzt kein reinras siges Monitoring System ist aber insbe sondere bei einer geringen Anzahl von Verbundservern durchaus eine Alternative um nach dem Rechten zu schauen Die M glichkeiten des Server Managers bie ten selbst erfahrenen Administratoren Er kenntnisse die sich im Alltag durchaus als n tzlich erweisen Eventlog als Datenbasis Ein Verbundserver ist von Haus aus recht geschw tzig er schreibt zahlreiche Infor mationen in das Eventlog und bietet somit eine gute Basis f r das Monitoring Zwar ist es schwierig bei der F lle an Infor mationen die Spreu vom Weizen zu tren nen doch mit etwas bung und Erfah rung bekommen Sie aber ein Gef hl f r die wichtigen Informationen Grundlegend l sst sich in den Eigenschaf ten des ADFS Servers einstellen welche Art von Events protokolliert werden sol len Navigieren Sie hierf r in der ADFS Verwaltungskonsole mit der rechten Maustaste auf das Element AD FS und w hlen S e die Eigenschaften des Ver bundservers aus In den Verbunddie
256. ob Benutzer an dem Computer USB Massenspeicher verwenden durften Deaktivierten wir die sen Punkt dauerte es wenige Sekunden bis der Agent angeschlossene Ger te ab meldete und sich neue nicht mehr akti vieren lie en Leider haben wir hier eine Differenzierung der USB Speicher ver misst So w re es zum Beispiel w nschens wert USB Speicher nach Marke oder Modell zu erlauben zu bestimmten Zeiten oder sofern ein festgelegter Benutzer an gemeldet ist Prozesse werden bei der Eingabe nicht erkannt In den Einstellungen unter Prozesse berwachen bot uns Syspectr zwei Ein gabefelder an in denen wir zum einen die Namen der Programme Prozesse oder Dienste eintrugen die auf dem Computer nicht laufen und in der anderen Zeile diejenigen die immer laufen sollten Die Eingabe entpuppte sich jedoch als wenig komfortabel Das System verlangte die Angabe des Dateinamens oder des Anzei genamens der Prozesse W hrend der Ein gabe glich Syspectr diese Daten zwar mit dem Computer ab doch egal welchen Eintrag wir vornahmen Syspectr zeigte uns immer nur an dass ein Prozess mit dem Namen nicht zu finden sei Dennoch konnten wir den Eintrag zur berwa chung hinzuf gen und das Tool erkannte trotzdem ob der Prozess lief oder nicht Denn ein nicht existierender Prozess oder das Beenden eines vorhandenen Prozesses erzeugte eine entsprechende Fehlermel dung Besser w re es an dieser Stelle dass zumindest f r die Angabe der Proz
257. obwohl die Zeit zwi schen den Anmeldungen nicht ausreicht um von der einen Region zur anderen zu reisen wird eine Warnung generiert Ein Benutzer kann sich n mlich nicht in M nchen und drei Stunden sp ter in New York anmelden Die Reisezeit ist deutlich h her als die Zeit zwischen den Anmeldungen und w rde in diesem Fall einen kompromittierten Account oder ei ne Mehrfachnutzung eines Benutzerkon tos bedeuten Der Bericht Sign Ins from possible in fected devices gleicht die IP Adressen von Nutzerger ten mit auff lligen IP Adressen aus dem Internet ab Sollten sich Benutzer von Rechnern aus anmelden die das Microsoft Security Research Cen ter durch Beobachtungen des Internets als infiziert erkannt hat wird dies in dem Report aufgelistet Azure AD bezieht also Information aus unterschiedlichen Quel len mit in die Erstellung dieser Berichte ein Nat rlich k nnen hinter diesen er kannten Anomalien auch tats chliche ge w nschte Logons stecken die f lschlich als verd chtig markiert wurden Sie k nnen Berichte auf verschiedene Zeitbereiche fokussieren und so je nach Bericht die letzten 30 Tage genauer be trachten oder einen Zeitraum zwischen zwei Daten fixieren um etwa zwei Mo nate Juli und Dezember miteinander ver gleichen zu k nnen Alle Berichte besitzen im unteren Men einen Download Knopf mit dem Sie die aufgezeichneten Aktivit ten als CSV Date herunterladen k nnen Microsoft versp
258. og Datei var log fluent apache log schreiben deren Tags mit dem Begriff apache beginnen Die Syntax der Muster ist allerdings recht limitiert Wollen Administratoren die Er eignisse mit regul ren Ausdr cken aus Einlesen Verarbeitung Externe parsen amp Filterung g Werkzeuge Bild 1 Die Werkzeuge zum Log Management sind modular aufgebaut und verarbeiten die eingehenden Daten in mehreren Stufen beziehungsweise Schritten Log Daten l www it administrator de w hlen m ssen sie auf ein entsprechendes Filter Plug In zur ckgreifen Weitere be reitstehende Plug Ins heften unter ande rem auch Geo Informationen an oder anonymisieren die Daten Plug Ins k n nen aber nicht nur Daten ver ndern son dern auch Datenquellen und Anwendun gen anbinden Auf diese Weise integrieren Administratoren unter anderem die Ama zon Web Services CouchDB MongoDB MySQL Elasticsearch Statsd oder Gra phite Es gibt sogar ein Plug In das die von Fluentd aufbereiteten Informationen via IRC verbreitet Bislang hat die Com munity bereits ber 300 Plug Ins entwi ckelt die auf 3 zu finden sind Wer Fluentd nicht ber Konfigurations dateien einrichten m chte kann auf die eigens f r diese Zwecke entwickelte Web oberfl che Fluentd UI zur ckgreifen 4 Mit ihr d rfen Administratoren ber ihren Browser bequem die Fluentd Plug Ins verwalten den Fluentd Prozess starten und stoppen an der Konfiguration schrau ben un
259. ogle Analytics F3774 5 Google Analytics Measurement Protocol F32 5 6 Download Skripte F3Z76 Link Codes Link Codes eingeben auf www it administrator de Protokollen Diensten oder Servern sind auch dann noch m glich Lediglich unternehmenskritische Anwendungen wie zum Beispiel Abrechungssysteme sollten diesen Daten fernbleiben Weiterhin sind viele vorgefertigte GA Bereiche auf die Web seitenoptimierung ausgelegt und daher im NetFlow Umfeld nutzlos Interessen Technologie Mobil Demografische Merkmale Conversions AdWords und Kampagnen Alle Informationen die an GA gesendet werden sind erst nach ungef hr 24 Stunden f r die Auswertung bereit Eine Echtzeit berwachung ist nur eingeschr nkt unter Echtzeit verf gbar und sicherheitskritisches Monitoring etwa DoS Erkennung entf llt Eigener NetFlow Analyser als Alternative Professionelle Netflow Analyser bestechen durch ausgefeilte Re porte Unterst tzung bei der Kapazit tsplanung und jede Menge Statistiken mit bunten Diagrammen Allerdings erwarten die Hersteller einen Platz im ohnehin schon zu schlanken TI Budget Beim gelegentlichen Blick in die gesammelten Netflow Daten gen gt meistens auch eine gute Open Source Software Die In stallation Konfiguration und der Pflegeaufwand sind jedoch ge nauso aufw ndig wie bei der vollwertigen Nutzung Es gibt mehrere ausgezeichnete Open Source Produkte f r NetFlow Auswertungen N Top EHNT oder FlowV
260. oll Mit einem Mausklick l sst sich das Einsammeln der Informationen anhalten und fortsetzen Auf Basis der vom Administrator eingerichteten Ger te kann Octopussy eine Karte der Ser ver Architektur erstellen Die von den Ge r ten abgeholten Log Daten lassen sich fil tern und in Reports zusammenfassen Auch hier klickt der Administrator jeweils die entsprechenden Kriterien in der Webober fl che zusammen Reports lassen sich zeit gesteuert auf Basis von Vorlagen Themes erstellen und dann als E Mail verschicken oder aber via FTP und SCP auf einen Ser ver schieben Treten wichtige Ereignisse ein alarmiert Octopussy auf Wunsch seinen Administrator per E Mail Jabber Nagios oder Zabbix_sender Octopussy ist in Perl geschrieben ben tigt neben der Skriptsprache aber noch viele weitere Softwarepakete Dazu z hlen unter anderem Apache MySQL das RRDTool Rsyslog und htmldoc ber die Installa tionsanleitung hinausgehende Informa tionen liefert die Dokumentation nicht die Bedienung m ssen sich Administra toren mit der kargen Online Hilfe selbst beibringen Als Stolperstein erweisen sich Sicherheitsframeworks wie SELinux oder AppArmor die den Betrieb von Octo pussy behindern k nnen Fazit Alle vier Log Management TIools l sen ihr Versprechen ein Sie sammeln aus un terschiedlichen Quellen brav Log Daten filtern diese und reichen sie weiter Die Unterschiede liegen wie so oft im Detail Fluentd ist u erst l
261. opProxy PushNotificationsProxy RpsProxy RusProxy RpcProxy UMCallRouter KropProxy HttpProxyfAvailabilityGroup ForwardS ynceDaemon ProvisioningRps MapiProxy EdgeTransport High vailability SharedCache State Inact ive Inactive Inactive Active Active CE SCIS CESIS CEG S UIS CES UIS CESTI ECES UI Inactive GE SUI CES UI CES CT Inactive CECS US CESU CECS UI CESOS CESOS Inactive Inactive Inactive Inactive Inactive Innovative Security Bild 4 Der Komponentenstatus eines Exchange Servers der in Wartung versetzt wurde Pr fen k nnen Sie die Umsetzung mit Get ServerMonitoring Override Das oben angesprochene Problem bei der Active Directory Abfrage deaktivieren Sie f r alle Server global mit folgendem Befehl Die Konfigurations nderung pr fen Sie wieder im Event Log oder mit dem fol genden PowerShell Befehl Lokale Ausnahmen l schen Sie mit Re move ServerMonitoringOverride und globale Einstellungen entfernen Sie mit Remove ServerMonitoring Override Wartung durchf hren Durch die eingebaute berwachung soll ten Sie MA ber Wartungsarbeiten infor mieren damit MA und die Wartungsar www it administrator de beiten nicht gegenl ufige Aktionen durch f hren und am Ende der Server durch ei nen Blue Screen neu gestartet wird So werden zum Beispiel beim Einspielen ei nes Cumulative Updates Dienste ange halten oder deaktiviert und MA
262. ord lt SMTP PASS gt usetls True e EEEE function to send a mail EHRE E def sendmail recipient subject content generate a RFC 2822 message msg MIMEText content msg From sender msg To recipient msg Subject subject server smtplib SMTP smtpserver if usetls server starttls if smtpusername and smtppassword server login smtpusername smtppassword server sendmail sender recipient msg as_string server quit A E e E E E EE main function a def main sendmai1 lt EMAILADRESSE gt Warnung sys argv 1 Die Temepratur wurde berschritten Im Serverraum hat es sys argv 1 Grad sys exit 0 if _name_ _main_ main Listing 2 Alarm Mails mit Python 88 M rz 2015 SCHWERPUNKT I Serverraum berwachung mumbi f r knappe zehn Euro und ha ben damit gute Erfahrungen gemacht Den Funkchip gibt es schon f r deutlich unter f nf Euro suchen Sie dazu nach 433MHZ Wireless Transmitter oder nach MX FS 03V M chten Sie sp ter auch Funksignale mit dem Raspberry empfangen kaufen Sie sich gleich ein Set aus Sender und Empf nger F r diesen Workshop gen gt aber der Sender Funksteckdosen und ihre Fernbedienun gen sind mit Jumpern ausgestattet mit deren Hilfe verhindert wird dass Sie Ih rem Nachbarn versehentlich die Wohn zimmerlampe ausschalten ffnen Sie die Steckdose und die Fernbedienung und setzen Sie die Jumper in be
263. ordern keine Neu konfiguration beispielsweise von vorge schalteten Loadbalancern of iy 1 Google Kubernetes F3P6 2 Project Atomic F3P62 3 Red Hat Enterprise Linux 7 Atomic Host F3P63 4 Fedora Atomic Host F3P64 5 CentOS 7 Atomic Host F3P65 6 Etcd APl Dokumentution F3P66 7 Setup Anweisungen f r eine Atomic VM F3P6 8 cloudinit Dokumentation F3P68 9 Docker Netzwerk Dokumentation EBP13 10 flannel Overlay Netzwerk F3P60 Link Codes Link Codes eingeben auf www it administrator de Hermis a Barier Basmikerauikong Tsi En mi 3115 2 ee DeEEe Ine cns berwachung von Exchange 2013 FEN berwachung von Exchange 2013 12 Monatsausgaben im Print amp E Paper Format wwwlt adminlstrator de Sanderhefn HF Administrator Sonderheft Die gro e Admin Toolbox Werkzeugsammlung f r ein effizientes System und Netzwerkmanagement 2 Sonderhefte pro Jahr Das Magazin f r professionelle System und Netzwerkadministration AGD d sc Enth lt alle Ausgaben von Januar 2014 bis Dezember 2014 Jahres Archiv CD mit allen Monatsausgaben im PDF Format en Abo und Leserservice IT Administrator Das Abo All Inclusive http shop heinemann verlag de vertriebsunion meynen Herr Stephan Orgel D 65341 Eltville Tel 06123 9238 251 Fax 06123 9238 252 leserservice it administrator de Das Magazin f r professione
264. oring eine Herausforderung Innerhalb von 75 Jahren hat sich die Nietiedt Gruppe vom traditionellen Malerbetrieb zu einem mittelst ndischen Unternehmen der Bau und Oberfl chentechnik entwickelt Das Unternehmen besch ftigt in neun Niederlassungen mehr als 450 Mitarbeiter F r das breite Dienstleistungsspektrum spielt eine funktionierende IT eine ma gebliche Rolle Timo Hermes 44 ist als Administrator f r die Infrastruktur des Unternehmens verantwortlich Warum sind Sie IT Administrator geworden Weil mich die IT einfach begeistert hat und sich f r mich rechtzeitig verschiedene T ren in diesem Bereich ffneten Und warum w rden Sie einem jungen Menschen raten Administrator zu werden Der Beruf bedient verschiedene Felder und ist dadurch sehr abwechslungsreich Zus tzlich tr gt man eine gro e Verant wortung f r die IT Infrastruktur des Un ternehmens und hat gleichzeitig engen Kontakt zu vielen interessanten Men schen Dadurch wird der Arbeitsalltag nie langweilig Au erdem ist es meiner Ein sch tzung nach ein Beruf mit Zukunft Welche Aspekte Ihres Berufs machen Ihnen am meisten Spa Die Arbeit ist sehr vielseitig und abwechs lungsreich Mir gef llt der Kontakt zu den vielen unterschiedlichen Menschen mit denen ich zu tun habe Die meisten mei ner Aufgaben sind anspruchsvoll und ver langen eine verantwortungsvolle Hand habung Das gef llt mir sehr gut An welchem Projekt werden Sie in n chster Zeit ar
265. orm f r alle System und Netzwerkadministratoren www administrator de A ADMINISTRATOR IT FORUM va www it administrator de Tipps Tricks amp Tools I PRAXIS die ec2 run instances API die Instance ID angeben L schen Sie abschlie end mit dem Befehlszeilenprogramm ec2 de lete disk image Ihr Datentr ger Image aus Amazon S3 da es nicht mehr ben tigt wird Bei der zweiten Methode k nnen Sie Ihre virtuelle Maschine mittels einer grafischen Benutzeroberfl che des Amazon EC2 VM Import Connector in Amazon EC2 importieren sofern Sie die VMware vSphere Virtualisierungsplattform ver wenden Zum Start mit dem Connector laden Sie die Amazon EC2 VM Import Connector vApp f r VMware vCenter herunter und installieren die Connector vApp auf dem vCenter Server W hlen Sie mithilfe des VMware vSphere Clients das VM Image das zu Amazon EC2 im portiert werden soll Auf der Registerkarte Import to EC2 Zu EC2 importieren w hlen Sie die Region die Verf gbar keitszone das Betriebssystem die In stance Gr e sowie bei Bedarf VPC Details f r den Import des Images aus und beginnen Sie den Importprozess Starten Sie die Amazon EC2 Instance nachdem der Importprozess abgeschlossen ist AWS In Android l ze Da die integrierte E Mail App ja selbst unter Android 5 doch sehr rudiment r ist nut ze ich schon lange die App K 9 Mail die in meinen Augen so gut wie keine W nsche offenl sst vielleicht einmal abg
266. orwiegend der berwachung aber auch Steuerung und Optimierung von Industrieanlagen Sie kommen bei Wind kraftwerken energieerzeugenden und ver teilenden Anlagen in der Wasseraufberei tung oder in den Smart Grids zum Einsatz Auch werden sie in Telekommu nikationseinrichtungen Chemieanlagen Anlagen f r die Stahlerzeugung oder in der PKW Produktion verwendet Die Steuerung und Regelung vieler Systeme wie beispielsweise einer Windenergiean www it administrator de lage funktioniert automatisiert und ein Eingreifen der Betreiber oder Hersteller ist nur selten notwendig weshalb der SCA DA Fokus auf der berwachung liegt Mit Hilfe von SCADA Systemen k nnen Sie also aus den Quellsystemen relevante Daten in eine Art berwachungszentrale bertragen SCADA Systeme sind in der Lage die gesammelten Informationen nach definierbaren Kriterien zu bewerten und in Falle von Fehlersituationen diese in einem logischen Kontext darzustellen Prinzipiell k nnen SCADA Systeme eine recht einfache Architektur besitzen wenn sie beispielsweise nur die Umgebungs bedingungen eines vernetzten Einfamili enhauses berwachen aber es sind nat r lich auch h chst komplexe Architekturen denkbar mit denen sie beispielsweise ein Heizkraftwerk berwachen Theoretisch kann ein solches berwachungssystem mehrere Hundert bis mehrere Hundert tausend V O Kan le verwenden Eine SCADA Umgebung kennt zwei Ebenen Auf der Client Ebene findet
267. p zu ber cksich tigen sind Die Importroutine unterst tzt dahingehend dass sie optional nur neue VMs oder auch nur laufende Maschinen anzeigt Damit ist es recht einfach bei spielsweise Test VMs die meist ausgeschal tet sind aus Sicht von PowerApp auszu klammern Eine Automatisierung des Imports per Scheduler ist laut Hersteller bereits in Arbeit VMs die nach einem Im port ber l ngere Zeit wieder nicht er reichbar sind k nnen automatisch aus der Serverliste gel scht werden wobei der Administrator dies individuell konfigu rieren kann Was das bereits erw hnte Migrieren von VMs anbetrifft l sst sich als Ziel ein an derer Host angeben Sinnvoll ist dies wenn es ein zweites Rechenzentrum mit eigener Stromversorgung gibt In gr eren Um gebungen mit Ressourcenpools die meh rere Hosts enthalten k nnte es zwar durchaus mehrere m gliche Zielhosts f r eine VM geben was sich aber in Power App nicht in vollem Umfang abbilden l sst Nicht vorhanden ist brigens ein Plug In f r eine vCenter Integration Um einmal erstellte Kriterien f r einen Shutdown m glichst praxisnah zu testen stehen zwei Optionen zu Verf gung So kann sich der Administrator auflisten las sen welche Aktionen beim Zutreffen eines Kriteriums ausgel st werden Da diese Auflistung noch nicht garantiert dass auch alles so klappt beispielsweise aufgrund falscher Anmeldedaten kann er das Herunterfahren auch komplett aus f
268. r hd m r p gF un EL oO 3 lt 20 50 Cg MR 9361 13500 R5 4 AWB EZ MR 9361 13500 R5 4 RA R W Workload Bild 4 Der Avago MegaRAID 9361 liefert ohne Write Cache und ohne Read Ahead die beste IOPS Performance f r SSD RAIDs www it administrator de auf jeden Fall sicher dass detaillierte In formationen zu den SMART Attributen vorliegen bevor Sie SSDs in gr erem Umfang einsetzten Der Pr fung des Ge sundheitszustands Ihrer SSDs steht dann nichts mehr im Weg RAID Konsistenz pr fen Neben der Pr fung von SMAR T Attribu ten sind Consistency Checks weiterer Be standteil eines optimalen RAID Betriebs Hardware RAID Hersteller verwenden f r die Konsistenz Pr fung auch den Begriff Verify Linux Software RAID setzt die Funktionalit t ber ein eigenes Skript na mens checkarray um Egal welche Techno logie Sie einsetzen regelm ige Consistency Checks decken Inkonsistenzen in Daten oder Pr fsummen auf Stellen Sie daher si cher dass auf Ihren Systemen regelm ig Consistency Checks laufen 1 Mdadm richtet in den meisten F llen einen Cronjob in etc cron d mdadm ein Der Job startet jeden ersten Sonntag ei nes Monats einen Consistency Check f r alle eingerichteten Software RAIDs Aber Achtung pr fen Sie nach dem Check unbedingt ob der zugeh rige Counter im sysfs gleich O ist cat sys block mdO md mismatch_cnt 0 Das Skript checkarray pr ft zwar das RAID auf Konsis
269. r te in Echtzeit im Blick Die IT Abteilung er kennt anhand des Tools auf einen Blick wie es um den Zustand und die Verf g barkeit der Ger te bestellt ist Der Spice works Network Monitor l sst sich auf ei nem Windows Server in zehn Minuten installieren und liefert Angaben zur IT Umgebung etwa zur Netzwerkaus lastung und Serveraktivit t ber sichtlich auf einem Dashboard Auch Daten zu Festplatten und CPU Auslas tung Systemspeicher sowie aktiven Ser vices und Prozessen lassen sich abrufen Echtzeit Alerts und Konfigurationsop tionen f r verschiedene Netzwerkkon ditionen sind ebenfalls eingebaut Je nach Schweregrad des Problems und eigenen Pr ferenzen k nnen Administratoren ein stellen ob sie ber das Dashboard oder per E Mail ber Vorf lle benachrichtigt werden wollen Zudem informiert die Software dar ber ob ein Nutzer uner laubterweise eine Software installiert oder sich die Farbpatronen der Netzwerkdru F r ein kostenloses Tool bietet der Spiceworks Network Monitor eine beeindruckende Vielfalt an Monitoring Funktionen www it administrator de cker zum Ende neigen Managen lassen sich solche Ereignisse ber selbsterstellte Kontroll Profile in denen der Admi nistrator Schwellenwerte und Zust nde individuell definiert und bei Abweichun gen entsprechende Hinweise erh lt Dies gilt im brigen auch f r Netzwerk Schnittstellen ber die sich beispielsweise ermitteln l sst wie viel B
270. r Industrie ein weitver breitetes Bus System Mit der zuvor ange legten Entwicklungsumgebung k nnen Sie die Integration eines solchen Systems si mulieren Die praktische Vorgehensweise unterscheidet sich bei realen Modbus Sys temen dabei nicht aber f r ein erstes Ken nenlernen ist das auf jeden Fall ausreichend Eine SCADA Konfiguration besteht im Wesentlichen aus zwei Dateien dem In File Edit Navigate Search Project Infrastructure Editor Run Window Help Fa bauba Mi Ma EE O EA DA A FETTE TOT Tr IS Package Explorer I productive recipe EB 15 Resource Set a gt test a customization s World archiveSelector isel_js bten a m System Con Mas Valu Options Usernan defaulticm js 4 global deployment information esdi A global secunty hdserver customization profile master customization profile targetPlatform esdi output integration recipe nodeMappings esci Passwol Configu a platformi resor W platform plugi productive recipe X platform resot bs world escm 9 world esim x platformu resor x platforms plugi 2 nodeMappings esdi New Child New Sibling p 9 Modbus Device Cut Copy Delete Validate Control world esim 2 a platformi resource test world esim Arduino Device Undo Cut Debug As Run As Validate Bild 2 Mit Hilfe von Eclipse SCADA ist es f r routinierte Anwender einfach Systeme in die
271. racle DB Plug In arbeitet nun mit der Version 12 zusam men Neue Plug Ins haben die Entwickler f r OpenStack vCenter Orchestrator vRealize Automation Appliance vRealize Automation AppServices vRealize Au tomation laaS vRealize Business Standard und vSphere SSO eingef gt Schnelle Installation als virtuelle Appliance Erwartungsgem bietet VMware einen u erst galanten Weg um die Software im eigenen Rechenzentrum in Betrieb zu nehmen Eine Testversion mit einer Lauf zeit von 60 Tagen steht jedem Kunden zur Verf gung Einzige Voraussetzung ist das Login mit einem VMware Konto Neben der vApp die im OVF Format mit 2 3 GByte Volumen heruntergeladen wird und ber den vSphere Client auf einen Hy pervisor geladen wird steht auch ein klas sischer Installer f r Microsoft Windows zur Verf gung Die ben tigte PostgreSQL Datenbank richtet der Installer bei Bedarf mit ein Eine Variante f r RHEL 5 ent deckt der Linux Administrator ebenfalls auf der Download Webseite Wir nutzten in unserer Teststellung die vApp und spielten diese mit dem vSphere www it administrator de Windows Client auf unserem ESX1i 5 5 Testserver ein Nach dem Dialogfenster OVF bereitstellen erscheint direkt ein Software Wizard der die Passw rter f r den Root Zugang und f r den Zu griff auf die Weboberfl che von Hyperic abfragt Weitere Fragen an den Admi nistrator beschr nken sich auf das Ziel system auf welchem ESXi Host di
272. rator de baramundi software AG Behalten Sie alle Ger te im Blick Client und Mobile Device Management mit der baramundi Management Suite N TESTS I O amp O Syspectr oo o Oeo sype Aus allen Wolken LS 5 zZ an Anh o 2 M it Syspectr folgt O amp O Software dem Trend Software in der Cloud anzubieten und lagert das IT Management auf eine webbasierte Plattform aus Dabei soll die Anwendung nicht nur einen um fassenden berblick ber die Windows Infrastruktur geben sondern auch Rech ner berwachen und m gliche Probleme erkennen bevor sie entstehen F r unseren Test richteten wir mehrere Windows Rechner mit Windows 7 und Windows 8 8 1 sowie Windows Server 2008 R2 und 2012 R2 in Syspectr ein Dazu erstellten wir uns auf der Inter netseite einen Account und hinterlegten unsere Lizenz Wer eine aktuelle Soft ware Lizenz eines O amp O Produktes im Einsatz hat kann auch diese Lizenznum mer eintragen da diese bereits einige kostenlose Ger te Lizenzen beinhaltet Um einen Computer verwalten zu k n nen installierten wir anschlie end auf dem lokalen Ger t einen Agenten Dazu luden wir uns die Windows Setup Datei herunter die Syspectr bereits mit unse rem Konto verkn pfte Schweigsamer Client Agent F r das Ausrollen mit einer Softwarever teilung bietet O amp O eine entsprechende MSI Datei an Diese haben wir ber die Gruppenrichtlinien im Active Directory 30 M rz
273. rator sorgen Solch vollmundige Versprechungen lassen das IT Profi Herz aufhorchen und stellen sich unserem Test eine einzige Oberfl che Hyperic von VMware erfasst eine gro e Anzahl von Performance Daten laut Herstelleranga ben rund 50 000 unterschiedliche Mess werte zu mehr als 70 Anwendungstech nologien Eine Erweiterung um beliebige Komponenten der eigenen Anwendungen oder im Middleware Stack zu berwa chen ist laut VMware ebenfalls m glich Monitoring mit und ohne Plug Ins System und Netzwerk berwachung von verschiedensten Komponenten beispiels weise ber Standards wie SNMP geh rt heute zum guten Ion VMware findet f r diese Aufgabe etwas beschwingtere Be schreibungen beispielsweise Komplette Runbook Bereitstellungsautomatisierung mit wiederverwendbaren berwachungs konfigurationen und Benachrichtigungs richtlinien Ressourcen k nnen in we niger als einer Minute in die Manage mentabl ufe einbezogen werden oder Umfassende berwachung von Perfor mance Konfigurations und Sicherheits nderungen korreliert in einer einfach zu lesenden UI f r eine schnelle Ursachen analyse Letztendlich geht es jedoch da rum die wichtigsten Eckdaten der eigenen Anlage im Blick zu behalten um Service Level Agreements SLAs oder Operational Level Agreements OLAs und andere Ver tr ge gegen ber dem Kunden oder dem IT Management einzuhalten Beispielsweise die Datenbank Verf gbarkeit Exchange Date
274. rde Oder Sie werten die Temperaturlogfiles grafisch aus Ihrer Kreativit t sind dabei kaum Grenzen gesetzt dr ITA 1 Raspbian Image herunterladen F374 2 SSH Key selbst erstellen F342 Link Codes t FERRI iji T A aruni 1 Rheinwerk Galileo Pres hei t von jetzt a P Rheinwerk _ Ha D Ds Microsoft Office 365_ j Fur Powwershai k a PT Teen 1 022 Seiten 59 90 Euro ISBN 978 3 8362 2962 3 B cher f r Admins Wenn Sie Exchange SharePoint oder Lync ganz oder teilweise in die Cloud migrieren oder direkt in Office 365 einrichten wollen dann ist dieses Buch Ihr fundierter Begleiter Galileo Press hei t von jetzt an Rheinwerk www rheinwerk verlag de amp Rheinwerk ine wertvolle Informationsquelle f r Systemadministratoren zur tiefen Einsicht in Netzwerkaktivit ten ist Net Flow 1 Bei NetFlow sammeln Router und Layer 3 Switche die Verbindungsin formationen der Clients und senden diese in unregelm igen Abst nden an einen zentralen Server Seit der Einf hrung von NetFlow durch Cisco haben die anderen gro en Hersteller von Netzwerkhardware nachgezogen und ihre eigene oder die RFC basierte Version implementiert Das Grundprinzip ist weitgehend dasselbe Beim professionellen Einsatz vom Net Flow steht der Administrator vor der Wahl zwischen einem kommerziellen NetFlow Analyser mit vielen Features oder einer Open So
275. re Exchange Server einsetzen wird der Dienst automatisch zur Sicherheit von einem entfernten Exchange Server berwacht die Exchange 2013 Server be halten sich also gegenseitig im Auge Wel che Server dies sind bringen Sie mit fol gendem Befehl auf den Bildschirm Get ServerHealth Server LAB01EX01 HealthSet RemoteMonitoring where Name eq HealthManager ObserverMonitor ft Name TargetResource von Christian Schulenburg In vorangegangenen Exchange Versionen war der Exchange Best Practice Analyser stets eine wichtige Anlaufstelle um den Gesundheitsstatus des Servers zu berpr fen Mit Exchange 2013 gibt es ExBPA nicht mehr Microsoft hat daf r jedoch eine direkte Echtzeit berwachung mit dem Namen Managed Availability in Exchange 2013 eingebaut Dieser Workshop bringt Ihnen die wichtigsten Aspekte dieser neuen Funktion n her und beschreibt wichtige Befehle Microsofts Process Explorer offenbart zu dem die Abh ngigkeit zwischen dem Mi crosoft Exchange Integrit tsdienst und dem Exchange Integrit ts Manager Ar beitsprozess etwas genauer Die Konfiguration von MA wird an ver schiedenen Stellen gespeichert Die lokalen Einstellungen wie lokale serverspezifische Au erkraftsetzungen finden sich in der Re gistry unter HKLM SOFTWARE Microsoft ExchangeServer v15 Ac tiveMonitoring Overrides w hrend glo bale Einstellungen in Active Directory Container Monitoring Settings gespeichert werden
276. ren Seite bereiten vielen IT Verantwortlichen Kopfzerbrechen Was f r das eine gut ist muss f r das andere l ngst keinen Nutzen bringen Dem Verwaltungsnetzwerk dienliche Ma nahmen wie Anti Viren Tools oder Netz werk Iests k nnen im Produktionsnetzwerk massiven Schaden anrichten Der Beitrag im Web stellt die Frage inwieweit sich beide Welten sicher miteinander verbinden lassen Link Code F3W54 1 a Datei Aktion Ansicht 7 als Hm Fr I 5 Richtlinien f r Lokaler Computer a B amp Computerkonfiquration C Softwareeinstellungen DI Windows Einstellungen Einstellung Status E Prowrdefinitionen sind verbindlich E Subnetzdefinitionen sind verbindlich Nicht konfiguriert FE Nicht konfiguriert FR Internetpro f r A Nicht konfiguriert C Administrative Vorlagen Re icht konfigu C Drucker E Intranetproxyserver f r Apps Nicht konfiguriert a U Netzwerk dressbersich des privaten Netzwerks f r Apps Nicht konfiguriert E BranchCache 3 DNS Client Experience Einstellungen des Hotspotauthentifizierung E intelligenter Hintergrund be T LanMan Server 3 Microsoft Peer zu Peer Netz O Netzwerkisolation Link Code F3W55 Viele Einstellungen in Windows 8 1 lassen sich mit Gruppenrichtlinien anpassen Das gilt auch f r die Steuerung der Windows Apps Die neuen Funktionen in Windows 8 1 ste
277. rep t awk F print 2 temp awk v t temp BEGIN printf 1d t 1000 echo date temp gt temperatur log if temp gt max then lastmail date s date r home pi mail sent 10og s if lastmail gt neuemail then python mail py temp touch home pi mailsent log fi fi if temp 1t min then echo Minimaltemperatur unterschritten fi Listing 1 Temperatur Bashscript M rz 2015 87 berpr ft nun also jede Minute die Tem peratur im Serverraum und sendet in den von Ihnen definierten F llen eine Alarm E Mail an Sie Als n chsten Schritt m chten wir im Alarmfall nicht nur eine E Mail verschi cken sondern auch einen Ventilator ein schalten der f r frischen Wind sorgt Dazu nutzen wir eine Funksteckdose die wir mit dem Raspberry ansteuern Funksteckdose f r den Raspberry vorbereiten Um mit dem Raspberry Funksteckdosen schalten zu k nnen ben tigen Sie Ger te die auf 433 MHz empfangen k nnen Su chen S e dazu im Web einfach nach Funksteckdose 433 Wir verwenden f r unseren Workshop die g nstigsten von usr bin env python coding utf 8 from email mime text import MIMEText import smtplib import sys HAHHRRHAHR RRHH HARE RRHH RAHE RHH REEE declaration of default mail settings A E sender lt NAME gt lt EMAILADRESSE gt smtpserver lt SMTP SERVER gt smtpusername lt SMTP USER gt smtppassw
278. rf gung die erfahrungsgem schnell vergeben sein werden Alle Details zur Anmeldung finden Sie im Kasten auf dieser Seite IT Die Inhalte des Trainings Von Nagios zu Check_MK Monitoring modular Automatische Erkennung und Einrichtung von Checks Monitoring von Linux Windows und SNMP Ger ten Alarme Acknowledgement und Downtimes Verteiltes Monitoring Termin amp Ort Dietzenbach Dienstag 09 Juni 2015 Experleach Training Center Frankfurt Waldstra e 94 63128 Dietzenbach M nchen Mittwoch 10 Juni 2015 ExperTeach Training Center M nchen Wredestr 11 80335 M nchen Teilnahmegeb hren IT Administrator Abonnenten zahlen 195 90 Euro inklu sive 19 Mehrwertsteuer F r Nicht Abonnenten wird eine Geb hr von 254 90 Euro inklusive 19 MwSt f llig Die Teilnahmegeb hr umfasst das Training inklu sive Dokumentation und das Mittagessen sowie Kaffee pausen am Trainingstag Open Source Monitoring Neben dem Open Source Training bietet der IT Administrator noch Seminare zu Windows Client Management vSphere Tuning und Monitoring sowie Best Practices f r Hyper V an Das Anmeldeformular und ausf hrliche Inhalte zu allen Trainings finden Sie unter www it administrator de workshops Weitere Seminare wwv it administrator de MIOINEEEOI SIENIEH 2 4 10 JUNI 2013 MAINZ NETWORKS INFRASTRUCTURE DATA CENTER Jetzt anmelden Network Monitoring amp DCIM IT
279. rfolgt ber das Netzwerkkabel Zu guter Letzt k nnen Sie noch die einzelnen Seminarr ume mit GBit Switches an die Infrastruktur anbinden damit dortige Client PCs und bungsrechner f r die Studenten einfach und schnell auf Daten zugreifen k nnen Das ganze System l sst auch den Sicherheitsaspekt nicht au er Acht Unterschiedliche Datenbereiche f r Professoren und Studenten werden ber die mit Smart Switchen m gliche VLAN Segmentierung voneinander ab getrennt So hat jeder nur Zugriff auf Daten f r die er berechtigt ist F r das WLAN Netz k nnen Sie eine einfache Login Funktionalit t einrichten Dabei m ssen Studenten ihre Ger te erst ber die Mac Adresse im Hochschulnetz re gistrieren und freigeschaltet werden So mit ist sichergestellt dass erstens kein Eindringen von au en in das Hochschul netz m glich ist und sich zweitens illegale Aktivit ten durch die Studenten im In ternet schnell entdecken und unterbin den lassen Netgear In K t rlich ein freies Werkzeug zur berwa Tools In unserer Schwerpunktausga be zum Monitoring darf na chung der IT nicht fehlen Abgeleitet vom altbekannten Leitspruch Was sich nicht messen l sst l sst sich nicht managen bie tet das Tool unserer Wahl Monitoring in Echtzeit und somit auch ein IT Management in Echtzeit Die Rede ist hier vom Spiceworks Network Monitor Mit der neuen kostenlosen Anwendung behalten TI Pro fis ihre Server und Netzwerkge
280. richt hier k nftig noch weitere Berichte bereitzustellen Fazit Das Azure Active Directory ist mehr als das Active Directory in der Cloud Es w chst allm hlich zum zentralen Verzeich nis f r Authentifizierung mit vielen wei teren Software as a Service Angeboten heran weit ber die Microsoft Grenzen heraus Office 365 ist lange nicht das Ende der Fahnenstange die Software Galerie zeigt das sehr deutlich Wenn Sie bei der Konfiguration der genannten Beispiele achtsam waren haben Sie die Option f r die Einbindung von selbsterstellten An wendungen gesehen Dort sieht Microsoft die n chste gro e Investition Neu ent wickelte Anwendungen werden auf Dauer nicht auf gew hnlicher Infrastruktur lau fen sondern zunehmend f r und in die Cloud hinein entwickelt Auch daf r ste hen Schnittstellen und M glichkeiten zur Integration mit Azure AD bereit Denn ein Vorteil bietet Azure AD gegen ber dem lokalen AD Es skaliert deutlich besser und ist von berall erreichbar Die Grund steine f r weitere Funktionen und einen flexiblen Umgang mit potenziell weiteren Szenarien haben wir in diesen beiden Workshopteilen gesetzt dr ITA 1 MyApps Portal F3P11 Link Codes Link Codes eingeben auf www it administrator de START IN DEN LINUX FR HLING KNOPPIX 5 Prof Klaus Knopper hat exklusiv f rs Linux Magazin 04 2015 seine Cebit Fr hjahrs Version zusammen gestellt Im Heft beschreibt er in einem Arti
281. rkshop auf Net Flow ausgerichtet Netflow Reporting mit Google Analytics Verkehrsanalyse von Markus Stubbig Viele Webmaster setzen zur Nutzungsanalyse ihrer Webseiten das kostenlose Google Analytics ein Mit geringen Modifikationen kann der Dienst auch f r einfache Auswertungen von beliebigen Verkehrsdaten im Unternehmensnetz verwendet werden Unser Work shop zeigt wie sich Google Analytics zum Speichern und Auswerten von NetFlow Daten einsetzen l sst Die vorhandenen Router stellen die Net Flow Funktionalit t meist ohne Mehr kosten bereit und die Konfiguration ist denkbar einfach Bevorzugt werden Router mit NetFlow begl ckt die nahe beim Collector wohnen und noch aus reichend Kapazit ten haben Bei der Aus wahl der Interfaces muss sichergestellt werden dass Netzwerkverkehr nicht dop pelt gez hlt wird eingehend bei Router A und ausgehend bei Router B Die Konfiguration der Ger te l sst meistens schon einen ersten Filter zu sodass unin teressante oder sicherheitskritische Ver kehrsdaten nicht ber cksichtigt werden Im SOHO Bereich ist das NetFlow An gebot d nn ges t aber mit etwas Gl ck besitzen Sie einen Router mit DD WRT oder pfSense Leider bieten die verbrei teten DSL Router von AVM keine Un terst tzung f r NetFlow Aber was passiert wenn die eigenen Router keinen Flow Export anbieten Google Analytics ist ein Webanalyseprogramm das mit NetFlow nur wenig gemeinsam hat Es
282. rm auf und die Benutzer k nnen nicht authentifiziert werden ist kein Zugriff auf Office 365 mehr m glich Gleiches gilt nat rlich auch f r eine Federation mit einem Part nerunternehmen Wie kritisch ADFS f r Ihr Unternehmen ist und auch wie re dundant die Farm ausgelegt ist ist wichtig um zu entscheiden mit welchen Mitteln das Monitoring erfolgt Dass es nicht im mer eine teure Monitoring Suite sein muss haben wir in diesem Beitrag gezeigt Und mit etwas programmiertechnischem Eifer und Kenntnissen in PowerShell las sen sich die gezeigten M glichkeiten noch deutlich erweitern jp ITA 1 System Center Management Pack for Active Directory Federation Services 2012 R2 F372 2 Plan your AD FS deployment F3222 3 TechNet zu Get WinEvent Cmdlet F3723 4 Enabling auditing for AD FS F3224 5 AD FS Diagnostics Module F3225 Link Codes M rz 2015 77 N s _ SCHWERPUNKT I Log Management Open Source Tools zum Log Management unter Linux J3Rr a z 1 n a a Fs r erkzeuge zum Log Management sammeln Log Daten aus zahlrei chen Quellen ein werfen nicht ben tigte Informationen ber Bord und bereiten den Rest zur Weiterverarbeitung auf So lassen sich etwa gezielt die Fehlermeldungen aller im Netz laufenden Apache Webserver he rausfischen Die dabei zugrunde liegenden Filter Kriterien gibt der Administrator vor Je nach Werkzeug klickt er entweder pas sende
283. rnetappli kationen k nnen TCP und UDP Pakete n mlich eine andere Route nutzen als ICMP was wertvolle Informationen ber das aktuelle Netzwerkproblem unzug ng lich macht Auch erlaubt WhatsUp Visual Traceroute zahlreiche Parameter bei der Verbindungsanalyse zu setzen um so das Problem gezielt einzugrenzen Dazu z h len die Definition der Quell und Ziel ports das Setzen der SYN oder FIN Flags in TCP Paketen und vieles mehr Zus tzlich bereitet die Software Netz werklatenzen grafisch auf und zeigt die Qualit t der jeweiligen Verbindungen in einem Ampel System an Eine weitere Vi sualisierung der Latenz als unterschiedlich gro e Kreise rund um ein Netzwerkele ment kl rt den II Verantwortlichen ber die Ver nderung der Performance im Zeit ablauf auf Ein gro er Kreis legt somit ei nen hohen Jitter Wert zwischen der Quelle und dem Ziel nahe Eine solche Information wird auf der Kommandozeile nur zu leicht bersehen Der Download des Tools erfordert eine Registrierung auf der Webseite des Herstellers ip Link Code F3PE3 Software Sr Jownjogas gt A LEORA Auf der Homepage des IT Administrator Magazins stellen wir jede Woche f r Sie ein praktisches Tool zum Download bereit Neben einer Kurzbeschreibung finden Sie System voraussetzungen und alle weiteren wichtigen Informationen auf einen Blick Und k nnen so gezielt Werkzeuge f r Ihren t glichen Administrationsbedarf herunterladen www itadministrator
284. roblem im Zusammenhang mit CLOBs die nicht sauer repliziert wurden Zusammen mit dem Support mussten wir diese Schritt f r Schritt ab arbeiten Da in dieser Zeit nat rlich die Bereitstellung der Hochverf gbarkeits umgebung nicht gew hrleistet war ent schlossen wir uns parallel eine Standby Datenbank mit Dbvisit Standby auf zubauen Sowohl aus Performancege sichtspunkten als auch lizenztechnisch war dies kein Problem Dbvisit stellte uns die Standby Lizenz kostenfrei zur Verf gung solange die Probleme der Repli kation nicht gel st waren Oracle HA I PRAXIS Alles in allem m ssen f r den regelm igen Betrieb einen m glichen Switchover und auch f r den Failover eine Reihe von Checks und Abl ufe geschaffen werden um eine reibungslose Replikation und eine sichere Hochverf gbarkeitsumgebung zu gew hrleisten Schwierigkeiten Komple xit t und Einschr nkungen f hrten in die sem Projekt am Ende zu einer unerwar teten L sung Zusammen mit Dbvisit Standby fuhren wir am Ende sozusagen ei ne Doppelstrategie und machten uns die Vorteile beider L sungen zunutze Mit Dbvisit Standby umgingen wir alle Ein schr nkungen bez glich nicht replizierter DDLs SYS und SYSTEM Schemas sowie Datentypen Mit der Replikation konnten wir Verluste der eigentlichen Produktions daten so gering wie m glich halten Ein weiterer Vorteil ergibt sich aus der einfacheren Handhabung von Dbvisit Standby im Falle eines Switchover
285. rstehen sich inklusive der gesetzlichen Mehrwertsteuer sowie inklusive Versandkosten Verlag Herausgeber Heinemann Verlag GmbH Leopoldstra e 87 80802 M nchen Tel 089 4445408 0 Fax 089 4445408 99 zugleich Anschrift aller Verantwortlichen Web www heinemann verlag de E Mail info heinemann verlag de Eingetragen im Handelsregister des Amtsgerichts M nchen unter HRB 151585 Gesch ftsf hrung Anteilsverh ltnisse Gesch ftsf hrende Gesellschafter zu gleichen Teilen sind Anne Kathrin und Matthias Heinemann S 17 Servermeile ISSN 1614 2888 Urheberrecht Alle in IT Administrator erschienenen Beitr ge sind urheberrechtlich gesch tzt Alle Rechte einschlie lich bersetzung Zweitverwertung Lizenzierung vorbe halten Reproduktionen und Verbreitung gleich wel cher Art ob auf digitalen oder analogen Medien nur mit schriftlicher Genehmigung des Verlags Aus der Ver ffentlichung kann nicht geschlossen werden dass die beschriebenen L sungen oder verwendeten Be zeichnungen frei von gewerblichen Schutzrechten sind Haftung F r den Fall dass in IT Administrator unzutreffende Informationen oder in ver ffentlichten Programmen Zeichnungen Pl nen oder Diagrammen Fehler ent halten sein sollten kommt eine Haftung nur bei grober Fahrl ssigkeit des Verlags oder seiner Mit arbeiter in Betracht F r unverlangt eingesandte Manuskripte Produkte oder sonstige Waren ber nimmt der Verlag keine Haftung
286. rtuellen Maschinen zahlreiche Vorteile Die Con tainer basieren dabei zumeist auf der Do cker Engine die nur einen sehr minima listischen Unterbau zum Betrieb der Container voraussetzt Daher stellt der Einsatz herk mmlicher Betriebssysteme zumeist einen zu gro en Overhead dar wenn bereits im Vorfeld klar ist dass auf den betroffenen Systemen ausschlie lich Container zum Einsatz kommen sollen Zwar lassen sich diese ohne weiteres mit dem Docker eigenen Management Tool erzeugen starten und stoppen jedoch ska liert dieser Ansatz nicht sehr gut Gerade in gro en Enterprise Umgebun gen m chte sich der IT Verantwortliche keine Gedanken mehr dar ber machen auf welchem System ein Container l uft und welche Hardware hierf r zum Einsatz kommt Stattdessen geht es nur noch da rum eine Applikation mit den ben tigten Anforderungen zu definieren und diese dann auf den vorhandenen Ressourcen bereitzustellen Ob die Applikation dann in einem Container auf Hardware A m Rechenzentrum X oder aber auf Hard ware B im Rechenzentrum Y abl uft 62 M rz 2015 Quelle samarttiv 123RF spielt keine Rolle mehr Ausnahmen be stehen nat rlich beispielsweise wenn ein zelne Anwendungen in einer bestimmten geografischen Lokation bereitgestellt wer den m ssen Aber eine solche Information l sst sich nat rlich in den Anforderungen hinterlegen und beim Deployment ent sprechend ber cksichtigen Atomare Host Images
287. s Die Replikation wird solange einfach ausge setzt Bei einem Failover also einem To talausfall des Primary Servers l sst sich nun die Standby Datenbank aktivieren und im Zweifel lassen sich mit einem DB Compare verloren gegangene Daten die per Replikation noch die andere Seite er reicht haben einspielen Fazit Eignet sich also eine logische Replikation dazu eine Hochverf gbarkeitsumgebung zu realisieren Leider lautet die unbefrie digende Antwort Es kommt darauf an Eine Standby Datenbank bietet den Vorteil der engen Integration in die Datenbankarchi tektur ist dagegen statisch aber sehr robust wenn sie richtig aufgesetzt wird Im vor liegenden Fall sehen wir dass eine Reihe von Problemen und eine in all ihren M g lichkeiten genutzte Oracle Datenbank in der Standard Edition die logische Repli kation an ihre Grenzen bringt Je komplexer die genutzte Datenbankstruktur desto we niger empfiehlt es sich allein auf die logische Replikation zu setzen Kommen noch W nsche wie ein bedienungsfreundlicher Switchover hinzu muss sich der IT Verant wortliche zwangsl ufig f r die einfachere Standby L sung mit Zeitversatz entscheiden oder Mehrkosten in Richtung Enterprise Edition und Data Guard oder anderen Pro dukten in Kauf nehmen jp IT M rz 2015 47 E ine Anmeldung an den Active Di rectory Federation Services ADFS und damit an Azure AD soll in unserem Workshop f r den Nutzer gen gen um all
288. s sein Da das Upgrade eine Zeit dauern kann sollten Sie zuvor sichergestellt haben dass die Datenquellen Ereignisse die w h rend der tempor ren Nichterreichbarkeit der SIEM L sung erkannt werden f r ei nen kurzen Zeitraum zwischenpuffern Aber nicht nur auf eine durch ein Update hervorgerufene Unterbrechung sollte zu verl ssig reagiert werden sondern auch wenn etwa in der Software vorhandene Speicherlecks oder ein durch einen Pro grammierfehler verursachter Puffer ber lauf auftreten Insofern sollten Sie auch integrierte Systemmonitoring Mechanis men aber vor allem auch ein entferntes System Monitoring etablieren um zeitnah ber den aktuellen Systemzustand infor miert zu sein und entsprechende Ma nahmen einleiten zu k nnen Fazit Die Bedeutung von SIEM Systemen f r den sicheren Betrieb gro er heterogener und verteilt administrierter Infrastrukturen steigt Mit M glichkeiten zur Korrelation Aufbereitung und automatisierten Verar beitung von Sicherheitsmeldungen ver schiedener Dienste Systeme und Kompo nenten sind sie ein f higes Werkzeug Die Einf hrung und der Betrieb gelingen auf grund der Komplexit t von SIEM Syste men aber nicht einfach nebenher Vielmehr m ssen Sie einiges an Zeit und Sorgfalt in die Produktauswahl Planung Basiskonfi guration Anbindung von Datenquellen und Konfiguration von Analyseregeln und Au tomatismen investieren um das Potenzial auszusch pfen Trotz sich abz
289. s Pfades D konnte nicht gefunden werden Es werde transient failure has occurred The problem may resolve itself Diagnostic Information IMicrosoft Exchange Data Datasource per tion amp xception The request failed Timeout f r Vorgang ictive Manager konnte die Datenbank Mailbox Database 1777021107 nicht auf dem Serwer x2k13sp1 toparis de einbinden Fehler Bei einem Active Manager Vorgang ist ein vor bergehenden Bild 1 Das PowerShell Skript Exchange Reporter liest Informationen zur Exchange Umgebung aus auch Eintr ge der Ereignisanzeigen Microsoft bietet in der TechNet Gallery ebenfalls ein kostenloses Exchange Skript mit der Bezeichnung Generate Exchange Environment Reports using Powershell 3 Dieses erstellt Informationen zu Ex change Umgebungen und kann diese ebenfalls per E Mail zustellen Auch hier erhalten Sie eine grafische Auswertung Spam effizient blockieren SPAMfighter 4 bietet kleinen und mittel st ndischen Unternehmen kosteng nstigen Schutz vor unerw nschten E Mails Das Produkt ist schnell installiert und einfach zu verwalten Der Hersteller bietet eine 30 Ta ge lest Version an die Sie nach dem Test zeitraum freischalten k nnen ohne die Ein stellungen erneut vornehmen zu m ssen SPAMfighter unterst tzt alle aktuell ver f gbaren Exchange Versionen auch Ex Total Mailboxes Total Roles TOi Roles E2035P1 E20135P1 Org CAS EDGE HUB MBX UM 1 3 3 1 0 0 1
290. s zust ndigen Mitarbeiter auszusp hen Der Rest ist Geschichte Aufgedeckt wurde das Komplott unter anderem von Interpol Europol und Kaspersky Lab Nach zwei Jahren Vergleichen wir diesen Fall mit hnlichen Online Einbr chen zeigt sich dass derart motivierte Angreifer Zeit haben und jede L cke f r sich auszunutzen wissen Dabei legen oft weder Unternehmen noch TI Hersteller die H rde berhaupt besonders hoch Aktuelles Beispiel MongoDB In ihrer offenbar gern genutzten Standardkonfiguration lie sich die Datenbank von jedermann abfragen und bearbeiten auch im Internet Millionen Kundendaten lagen offen ganz ohne APTs und Zero Day Exploits Oder der k rzlich gehackte US Kran kenversicherer Anthem dessen Daten von 80 Millionen Kunden unverschl sselt auf dem Pr sentierteller lagen Ein Eldorado f r Cyberkriminelle Nat rlich ist kein Produkt fehlerfrei und jedes Sicherheitskonzept l sst sich mit gen gend Ausdauer und Raff nesse aushebeln Vermeidbare Schwachstellen jedoch machen ein Unternehmen zur unn tig leichten Beute ber 90 Prozent der webbasierten Angriffe lassen sich nach einer Untersuchung der Dennis Technology Labs bereits durch ein aktuelles System abwenden Ebenfalls eine entscheidende Rolle spielt in dem Zusammenhang das fr hzeitige Erkennen von Einbr chen Um einen Beitrag f r mehr Sicherheit in Ihrer II Umgebung zu leisten zeigen wir Ihnen in dieser Ausgabe wie Sie Ihre Active Directory Verbund
291. sehr leicht sogenannte Overlay Netz werke einrichten auf die Docker dann zu r ckgreifen kann Dies erspart eine recht umfangreiche manuelle Konfiguration Fazit Auch wenn Kubernetes aktuell noch tief n der Beta Phase steckt und die Ausrich tung des Tools auf die Google Cloud En gine sichtbar ist so ist der Zugewinn an Flexibilit t im Vergleich zu nackten Do cker Installationen bereits jetzt schon enorm Kubernetes legt ber die vorhan denen Hardware Ressourcen einen zu s tzlichen Abstraktionslayer und stellt sie als gro en Hardware Pool zur Verf gung Auf welchem System ein Container letzt lich l uft spielt keine Rolle mehr Kuber netes sucht sich die hierf r notwendigen Ressourcen selbstst ndig zusammen und startet den Container dort wo die Res sourcen vorhanden sind Durch den Ein satz von Replication Controllern hilft das Framework dabei die vorhandenen Con tainer in der Breite zu skalieren Dies ge lingt innerhalb k rzester Zeit Kubernetes Services helfen dabei den Zugang zu einem Dienst ber eine ein heitliche IP Adresse zur Verf gung zu stel len Somit entf llt das umst ndliche He raussuchen von Container IPs Dies ist gerade auch dann besonders wertvoll wenn man daran denkt dass Container sehr kurzlebig sein k nnen um kurze Zeit sp ter auf einem anderen Host wieder neu gestartet zu werden wodurch sich die IP Adresse ndert Services abstrahieren diese nderungen und erf
292. sich ber putty mit dem Raspberry verbinden Zum Schalten der Funksteckdose ben benennen EE SE SE EE SE a a a a a CE SEE BE BE BE BEE Ze a a a a a o E E or a FE EEE ee CHEESES u u u u Be ee u u ne u u Se u CEE E E E a o a a E o a E a a E CE E E E E o E E o E U a ne LEN SE S E a E a a E E EEE EEE a a a CEE E u E a o E DEE o er BE EEE u u CE E E een E a nenn nm fritzing Bild 2 Mit nur wenigen Handgriffen schlie en Sie einen digitalen Temperatursensor und ein Modul zum Schalten von Funksteckdosen an den Raspberry an Alle Listings zum Download unter www it administrator de tigen Sie die Software rcswitch pi die auf WiringPi aufbaut Beides klonen Sie sich zun chst von github und installieren es im Anschluss cd git clone git git drogon net wiringPi cd wiringPI build cd git clone https github com r10r rcswitch pi git cd rcswitch pi make Mit cd wechseln Sie ins Homeverzeich nis des aktuellen Users und mit git clone laden Sie die gew nschte Software he runter Weil beide Programme in unter schiedlichen Sprachen C und C ge schrieben sind ben tigen Sie die Befehle build und make zum Kompilieren des Codes Nachdem die ben tigte Software nun installiert ist k nnen Sie den ersten Test wagen Tippen Sie sudo send 10101 3 1 Serverraum berwachung I SCHWERPUNKT ein wobei die ersten f nf Ziffern Ihre in dividuelle Jumper Stellung definieren
293. sie regelm ig kontrolliert werden Auch f r den Startup gibt es ei nen Testbereich Fest in PowerApp integriert sind Funk tionen zum Sichern und Wiederherstellen der Konfiguration der Appliance Dabei l sst sich die Konfiguration lokal sowie auf eine CIFS Freigabe sichern und von dort auch wieder laden Bei einem Re store ist es m glich selektiv Objekte aus zuw hlen damit nicht zwingend die ge samte Konfiguration berschrieben wird Um auch im Nachhinein kontrollieren zu k nnen was PowerApp durchgef hrt hat werden drei Protokolle geschrieben Das QSol PowerApp I TESTS AN Audit Protokoll enth lt alle von Benutzern durchgef hrten Aktionen das SNMP Ge r te Protokoll listet alle Statusinformationen zu den USVs und Sensoren auf und im Ser ver Protokoll werden alle Statusinformatio nen bez glich der Server aufgezeichnet Fazit Vom grunds tzlichen Ansatz her ist ein zentrales Mandanten f higes Management werkzeug f r die Verwaltung der USVs in einem Unternehmen eine gute Idee Hin sichtlich der Ausf hrung Funktionalit t und Bedienbarkeit d rfte es bei PowerApp jedoch unter den Administratoren sehr un terschiedliche Meinungen geben Wer eine komfortable GUI sucht mit Agen ten auf den Servern einverstanden ist schnell ohne viel Programmierung sowie umfang reiche Tests zum Ziel kommen will und sich idealerweise f r USVs von einem der gro Ben Hersteller entschieden hat kommt mit der
294. sollte in diesen F llen nicht eingreifen Aus diesem Grund zeigen wir im Folgenden die Schritte wie eine Wartung korrekt ange zeigt wird Das Vorgehen unterscheidet sich dabei zwischen Standalone Servern und DAG Mitgliedern Aufgrund der ho hen Verbreitung gehen wir von einem DAG Mitglied aus Einen einfachen Wartungsmodus gibt es bei Exchange nicht Sie m ssen ver schiedene PowerShell Befehle ausf h ren um alle Komponenten geordnet in die Wartung zu berf hren und wieder zur ckzuholen Damit keine Nachrichten w hrend des Vorganges h ngen bleiben leeren Sie zu n chst die Warteschlangen bevor der Transport deaktiviert wird Diese Aktion ist nur auf Servern mit der Mailboxrolle n tig da ein Client Access Server CAS keine Warteschlangen hat sondern nur als Proxy fungiert Stoppen Sie die Mailzu stellung und sorgen Sie f r die Abarbei tung der Warteschlange Dies erreichen Sie durch den Status Draining MultiSensor LAN mit PoE Erkennt 19 Gefahren WIE SICHER IST IHR SERVERRAUM Online Check ohne Anmeldung kentix com Da es durch erneute Zustellversuche l n ger dauern kann bis eine Nachricht aus der Warteschlange abgearbeitet ist k nnen Sie die Nachricht aus der Warteschlange auf einen anderen Server verlagern damit dieser die Aufgabe bernimmt Redirect Message Server LABOLEXO1 Target LABOLEX02 schulenburg lab Um zu pr fen ob die Warteschlangen leer si
295. ssign im unteren Men Azure AD ffnet darauf hin einen Webdialog in dem Sie auf I want to enter Twitter credentials to be shared among all group members klicken Dann f gen Sie Benutzernamen und Passwort des Iwitter Accounts ein Diese Konfiguration bietet einige Vorteile Sie k nnen Zugriff auf den Iwitter Kanal ber die Mitgliedschaft einer Sicherheits gruppe steuern Au erdem haben Sie das Twitter Konto so gesichert dass keinem Ihrer Mitarbeiter das Passwort bekannt ist Diese loggen sich jeweils nur mit ihrem Benutzerkonto aus dem Active Directory ein Scheidet einer der Mitarbeiter aus dem Unternehmen aus aktualisieren Sie die Gruppenmitgliedschaft in AAD_ Twit ter_Access was den Zugriff auf das Konto ndert ohne dass Sie das Iwitter Konto oder das Passwort dazu ndern m ssen Zugang ber MyApps Portal M chten Mitarbeiter nun auf den Twit ter Kanal zugreifen k nnen Sie sich nicht bei Twitter anmelden sie kennen das Passwort f r den Kanal schlie lich nicht Azure AD muss ihnen daher eine M g lichkeit bieten den Logon transparent durchzuf hren Teil des Azure Angebots ist das MyApps Portal 1 ber das Mit arbeiter die ihnen zug nglichen Anwen dungen aufrufen k nnen Alle Anwen dungen sind mit einer Grafik hinterlegt die dann per Klick eine Weiterleitung auf die entsprechende Applikation ausl st Die Transparenz des Logons erm glicht ein Plug In f r den Browser das b
296. swahl daher unbedingt darauf dass sich die Monitoring Clients mit minimalem Aufwand in Ihr Netzwerk integrieren und zentralisiert steuern lassen Eine intuitiv verst ndliche grafische Be nutzeroberfl che und durchdachte ber sichtliche Workflow Editoren machen es Ihnen leicht die an einzelnen Standorten oder Standortgruppen zu berwachen den Anwendungen zu definieren und das gesamte Monitoring gem Complian ce Richtlinien aufzusetzen Auf diese Weise profitieren Sie vom ersten Tag an von der L sung ohne sich gro einar beiten zu m ssen was im Endeffekt zu einer nachhaltigen Reduktion der Be triebskosten f hrt Hinzu kommt dass Sie durch die standardisierte Pflege der Client Systeme viele Fehlerquellen ver meiden und so eine h here Qualit t der Monitoring Ergebnisse gew hrleisten Verfahren der Datenerfassung am Client Ein wichtiges Unterscheidungsmerkmal der verschiedenen E2E Monitoring Pro dukte ist die technische Umsetzung der Datenerfassung auf dem Monitoring Client Bei den meisten der heute ver f gbaren Systeme basiert die Datenerfas sung auf Bilderkennungsverfahren Dies garantiert eine weitgehende Unabh n gigkeit von der Applikationsplattform und deren Programmiersprache und erm g licht so das Monitoring von Terminalser vices Webapplikationen eigenentwickel ten Applikationen und vielen weiteren Software L sungen am selben Client Allerdings ist die Qualit t der Bilderken
297. t ActiveSync Proble me zu finden Die folgende Abfrage ist zum Beispiel geeignet um Fehler zu finden Der Text muss in das untere Feld der Log Parser Studio Gui eingetragen und bereits vor handener Text gel scht werden SELECT Cs username AS User MyDeviceIld AS Deviceld COUNT AS Hits USING EXTRACT_VALUE cS ur1 query DeviceId AS MyDeviceld FROM LOGFILEPATH WHERE cs uri query LIKE Error WrongObjectTypeException GROUP BY Deviceld User ORDER BY Hits DESC Um eine Abfrage h ufiger zu verwenden k nnen Sie diese in Log Parser Studio speichern und jederzeit abrufen Beim Start w hlen Sie die Protokolldateien des IIS aus Die Protokolldateien k nnen in einem beliebigen Verzeichnis abgelegt werden und befinden sich standardm ig im Verzeichnis inetpub logs LogFiles Microsoft Office 365 Best Practices Analyzer Microsoft bietet mit Microsoft Office 365 Best Practices Analyzer for Exchange Server 2013 7 ein Tool an das den ak tuellen Zustand der lokalen Exchange Organisation misst Auch wenn der Name anderes vermuten l sst hat das Tool im Grunde genommen berhaupt nichts mit Office 365 zu tun es ist nur mit Exchange Server 2013 kompatibel Die Hauptauf gabe des Werkzeugs ist es sicherzustellen dass die lokale Exchange Organisation mit Exchange 2013 optimal funktioniert Unter Exchange Server 2010 verwenden Sie einfach den BPA im Bereich Tools der Exchange Verwaltungskonsole Hier
298. t auf dem Server auf eine ver ffentlichte Anwen dung im Seamless Modus zugreifen Mit einer festgelegten Fenstergr e hingegen funktioniert es Ein manueller Refresh der Anwendung hilft leider auch nicht Haben Sie noch einen Tipp Dieses Problem kann neben XenApp 5 0 f r Windows Server 2008 auch die Ver sionen 6 0 und 6 5 f r Windows Server 2008 R2 betreffen Folgende Schritte hel fen das Problem zu l sen Geben Sie zu n chst im Abschnitt wfclient der Datei Appsrv ini Sie finden diese im Verzeichnis SystemR oot system32 ICAPassthrough Directory folgende zwei Werte ein ForceLVBMode 1 DeferredupdateMode True F gen Sie dann f r den Client 10 x unter HKEY_LOCAL_MACHINE SOFT WARE Citrix ICA ClientEngine Configuration Advanced Modules WFClient folgende zwei Keys hinzu ForceLVBMode 1 DeferredupdateMode True Alternativ l sst sich das Problem wie folgt l sen Nutzen Sie ICA Dateien f r den www it administrator de Zugriff auf eine Anwendung m ssen die gleichen Werte die Sie der Datei Appsrw ini hinzugef gt haben auch in den ICA Da teien enthalten sein Deaktivieren Sie dazu Client Info Sync zu finden unter CTX101644 Seamless Configuration Settings Citrix In BILL TE amazon IF webservices Wir nutzen bei uns Amazon EC2 und w r den hier nun gerne eine virtuelle Maschine importieren K nnen Sie in Grundz gen schildern was wir hierbei beachten sollten Die F
299. t zu f lliges Lesen im Vordergrund ist RAID 5 eine gute Wahl bei dem noch dazu die Ka pazit tseinbu en gering sind Der Klassiker RAID 1 kommt auch mit SSDs nicht au er Mode Solide Latenzen und 40 Prozent mehr Lese IOPS als mit einer SSD sprechen f r sich Verluste bei den Schreib IOPS wer den Sie bei RAID 5 und bei RAID 1 vor finden Schaffen Sie sich SSDs im gro en Stil an und m chten ausgewogene Perfor mance erreichen f hrt kein Weg um RAID 10 herum Schreib Performance Latenzen und Lese IOPS lassen bei RAID 10 die Herzen h her schlagen In IT 1 Whitepaper zur Perfmance Messung bei SSDs F3PA 2 Plug In SMART Attributes Monitoring F3P42 Link Codes M rz 2015 43 PRAXIS I Oracle HA 6 eht es im Oracle Umfeld um den Aufbau einer Hochverf gbarkeits umgebung wird Ihnen Oracle seine Ma ximum Availability Architecture beste hend aus RAC Real Application Cluster Data Guard und GoldenGate liefern Doch dieses Paket aus unterschiedlichen L sungen f r unterschiedliche Probleme f hrt zu Fragen hinsichtlich der Notwen digkeit und der Eignung der verschiedenen Produkte f r das eigene Unternehmen Halten wir uns die Definition von Hoch verf gbarkeit vor Augen m ssen wir uns f r unsere Datenbankumgebung fragen Was soll berhaupt abgesichert werden So splittet sich die Hochverf gbarkeit in mehrere Teile Soll prim r der Ausfall einer Anwendung abgesichert werden oder
300. teil liegt aber in einer individuellen Programmierbarkeit Prinzipiell lassen sich alle m glichen Ablaufszenarien realisieren etwa ein zeitiger Lastabwurf durch das schnelle Herunterfahren weniger wichti ger Systeme und ein Abwarten f r die wichtigen Server bis zu einer Restladung der USVs Das Gelingen h ngt allein da von ab welche Informationen sich per SNMP abfragen lassen Nachdem PowerApp nur SNMP Get Kommandos nutzt erfolgt der Zugriff aus schlie lich lesend und auch nur um daraus auf die hinterlegten Kriterien zu pr fen Bis auf eine Ampelanzeige zum Status der USV s liefert die Appliance keine weiteren Informationen F r einen tieferen Einblick in eine USV ist der Administrator letzt endlich auf die jeweils mitgelieferten Werk zeuge angewiesen VM Support in Ma en PowerApp unterst tzt beim Management der Server auch virtuelle Umgebungen un terVMware und Hyper V sowohl ber ein zelne Hosts als auch ber das vCenter oder den SCVMM Zu diesem Zweck muss PowerApp die virtuellen Maschinen ken nen um beispielsweise vor dem Herunter fahren eines Hosts die darauf laufenden VMs in einen definierten Zustand zu bringen Ausschalten Suspend oder auf einen an deren Host zu verschieben Zu diesem Zweck lassen sich dieVMs manuell impor tieren was wir in unserer Iestumgebung mit einem vCenter realisieren wollten Als etwas holprig erwies sich hier die An gabe des vCenter Servers bei dem Power 16
301. tellt die De moversion ein entsprechendes Modul zur Verf gung wobei scada eclipse org als Modbus TCP Slave agiert ber ei nen speziellen Demo Client k nnen Sie die verschiedenen Werte und die Aus wertung des Beispiel Arduino Systems in Echtzeit verfolgen SCADA Projekte selbst entwickeln Das Demo System bietet Ihnen bereits einen unkomplizierten Einstieg in die 84 M rz 2015 Welt von Eclipse SCADA Mit ber schaubarem Aufwand k nnen Sie bei Be darf aber auch eine lokale Entwicklungs umgebung aufsetzen Dabei m ssen Sie zun chst daf r sorgen dass Ihr Rechner ber eine aktuelle Java Installation ver f gt Als N chstes laden Sie sich die Eclipse Entwicklungsumgebung herun ter Dazu laden Sie sich aus dem Down load Bereich der Eclipse Projektseite 1 die aktuellste Programmversion herunter und installieren diese Wenn Sie unter Windows entwickeln m chten ist au Berdem die Installation des WIX Toolsets 2 erforderlich Nach dem Download starten Sie die zugeh rige EXE Datei und f hren ber den WIX Toolset Dia log mit einem Klick auf Install die In stallation durch Der n chste Schritt dient der Installation des SCADA Plug Ins in der Eclipse Umgebung Nach dem Download ent packen Sie das Archiv und starten Eclipse ber den Men befehl Help Install New Software installieren Sie das SCA DA Plug In Dazu geben Sie im Einga befeld Work with die URL zum Eclip se SCADA Repository an N
302. tellung Deaktiviert Aktiviert Hicht definiert Micht definiert Macht definiert Deaktiviert Aktiviert Hicht definiert Hecht definsert beaktniert Interaktive Anmeldung Nachricht f r Benutzer die sich anmelden wollen Intersktinve r Interaktive Anmeldung Schwellenwert f r Computerkontesperrung Interaktive Anmeldung Smartcard erforderlich Interaktive Anmeldung Verhalten beim Entfernen won Smartcards Kanten Administrator umbenennen Kanten Administratorkontostetus Nicht definiert Deaktiviert Keine Aktion Administrada Deaktriert Wer nicht ber Gruppenrichtlinien gehen will oder kann der konfiguriert eine beim Login erscheinende Nachricht einfach ber die lokalen Sicherheitsrichtlinien 70 M rz 2015 In jeder Ausgabe pr sentiert Ihnen IT Administrator Tipps Tricks und Tools zu den aktuellen Betriebssystemen und Produkten die in vielen Unternehmen im Einsatz sind Wenn Sie einen tollen Tipp auf Lager haben z gern Sie nicht und schi cken Sie ihn per E Mail an tipps it administrator de C TRIX Bei uns kommt noch XenApp 5 0 f r Windows Server 2008 zum Einsatz da wir noch Programme mit 16 Bit Anteil verwen den m ssen Hier haben wir leider mit einer schlechten Bildwiederholungsfrequenz und einer daraus resultierenden fehlerhaften Bilddarstellung zu k mpfen Manche Teile der Anwendung erscheinen grau oder ver f lscht Die Probleme treten immer dann auf wenn wir per Passthrough Clien
303. ten und verbessertem Backup Konzept zu machen Wir beschr nken uns im Fol genden auf Einrichtung Probleme und L sungen im Zusammenhang mit der Hochverf gbarkeitsumgebung Auf Seiten der Datenbank umfasst die Datenmenge mehrere 100 GByte mit Zugriffen von internen und externen Mitarbeitern aus verteilten Standorten neben Deutschland aus S d West und Osteuropa Realisiert wurde die L sung mit einem Windows Server 2008 R2 der ber 64 GByte RAM mit zwei Octa Core Pro zessoren und SAS Festplatten mit 6 GBit s bertragungsrate verf gt F r die Hochverf gbarkeitsumgebung wurde der Server entsprechend ein zweites Mal in einem weiteren Rechenzentrum aufge baut Ziel war es mit diesen Vorausset zungen eine HA Umgebung zu schaften die den geringsten Datenverlust gew hr leistet Wie bereits beschrieben sind die M glichkeiten mit einer Physical Stand 46 M rz 2015 by Datenbank dabei auf einen gewissen Zeitfaktor beschr nkt Daher kam eine logische Replikation zum Einsatz und wir w hlten daf r Dbvisit Replicate als Dritt anbieter Produkt aus Replikation konfigurieren Bevor die Replikation beginnen kann muss sichergestellt sein dass auf beiden Seiten die gleiche Datenbank Struktur und In halte bereitstehen Da wir mit einer bereits gewachsenen Datenbank arbeiten setzen wir dies am besten mit einem RMAN Du plicate um Nach der Software Installation auf der Standby Seite klonen wir die Da tenbank einf
304. tenz f hrt aber von selbst keine Korrekturen durch F r die RAID Level 4 5 und 6 sind Mismatches ein Anzeichen auf Hardware Probleme RAID 1 und 10 produzieren unter Um st nden auch Mismatches ohne dass ein Bei HWR aktuellen RAID Controller einsetzen Unter Linux bei HWR und SWR Deadline 1 0 Scheduler verwenden HWR Cache Einstellungen Write Through Kein Read Ahead Over Provisioning bei h heren Random Write Anforderungen SSDs verwenden f r die SMART Attribute ffentlich dokumentiert sind Die Write Endurance bestimmt die Haltbarkeit der SSD SMART Attribute zeigen den aktuellen Status Checkbox f r SSD RAIDs Link Codes eingeben auf www it administrator de Flash RAIDs optimieren I 100 Random AKB Queue 32 Quelle Intel Overprovisioning Level 0 gt 20 Ar 40 50 40 30 20 Reads Bild 5 Bei einer Intel DC S3500 800 GByte SSD steigen mit 20 Prozent Over Provisioning die m glichen Write IOPS von rund 12 000 IOPS auf etwa 33 000 IOPS bei 40 Prozent sogar auf zirka 47 000 IOPS Bei reinen Lesezugriffen bleibt die Performance unver ndert Fehler vorliegt vor allem wenn sich SWAP Devices darauf befinden Im Feh lerfall verschickt mdadm E Mails bri gens nur dann wenn Sie in der Datei mdadm conf unter MAILADDR die richtige Adresse eintragen 2 Der Megaraid Storage Manager MSM ist bei LSI erste Anlaufstelle f r regel m ige Consistency Ch
305. tieren Ziehen Sie diese Funktion bereits bei der Produktevaluierung in Be tracht und pr fen Sie welche der L sun gen beispielsweise im Hinblick auf das Re porting die Mandanten F higkeit und die revisionssichere Dokumentation und Da tenspeicherung Ihren konkreten Anforde rungen am besten gerecht werden Fazit Mit einem zeitgem en End to End An wendungs Monitoring erhalten Unter nehmen jeder Gr e ein leistungsstarkes II Management Werkzeug an die Hand um die Kunden und Mitarbeiterzufrie denheit nachhaltig zu steigern und die l ckenlose Einhaltung von Service Level und Compliance Vorgaben sicherzustel len Der TI Abteilung bleibt damit mehr Zeit das Business des Unternehmens kon struktiv weiterzuentwickeln Zudem k n nen IT Teams in ihrer Rolle als Dienst leister durch verbesserte Service Qualit t berzeugen und sich von externen Wett bewerbern positiv abheben Angesichts der Komplexit t des Themas sind die Un ternehmen aber gut beraten bereits bei der Produktauswahl einen erfahrenen Sys temintegrator hinzuzuziehen um sicher zustellen dass die L sung optimal auf ihre Bed rfnisse zugeschnitten ist jp ITA Christian Hilbert ist IT Management Consultant bei der Controlware GmbH in Dietzenbach www it administrator de ANZEIGE Mobile Apps informieren ortsunabh ngig ber den Netzwerkstatus Vorsprung durch Push Benachrichtigungen H tte ich das doch nur fr her gewusst Weil
306. tiv einfach zu implementieren Erfah rungsgem dauern Implementierung und Inbetrieb nahme im Schnitt zwischen drei und vier Manntagen Auch das Management des laufenden Betriebs ist dank intuitiver Oberfl chen und nahtloser Integration in das IT Management vergleichsweise pflegeleicht Gerade in kleinen und mittelst ndischen Unternehmen binden die L sungen dennoch einen relevanten Teil der knappen IT Ressourcen und erfordern zudem den Aufbau und das Vorhalten von umfangreichem Spezialwissen Vor diesem Hintergrund ist die Implementierung von E2E Monitoring als Managed Service h ufig eine attraktive Alternative Auf diese Weise profitiert Ihr Unternehmen von s mtlichen Vorteilen dieser State of the Art Techno logie und kann budgetschonend mit den wichtigsten Applikationen starten Pr fen Sie am besten fr hzeitig ob ein Quttasking f r Sie attraktiv sein k nnte und wel che Produkte daf r in Frage kommen Betrieb als Managed Service www it administrator de Einkaufsf hrer End to End Monitoring I TESTS gehen kann ihren Ablauf mithilfe des E2E Anwendungs Monitorings vor dem echten Roll out an einem einzelnen Standort testen um sich gegen unliebsame berraschungen zu wappnen Schnittstellen zum vorhandenen Netzwerk Monitoring E2E Anwendungs und Netzwerkmoni toring sind zwar grundverschieden kom men in der Praxis aber h ufig parallel zum Einsatz und erg nzen sich hervorragend wenn es gilt alle Warnmeldungen
307. trag in eine Software zur Inventari sierung zu stecken Passend zu diesem Paradigma ist das kostenlose JDisc Dis covery Starter Edition Das erlaubt Firmen ihr Netzwerk zu dokumen tieren und ermittelt dabei die elemen taren Attribute der Ger te darunter etwa IP und MAC Adtressen Typ Model und Seriennummer Das zeitlich unbeschr nkt nutzbare Werkzeug erfasst zudem die In formationen zu allen im Netzwerk vorhandenen SNMP basierten Ge r ten Dazu z hlen etwa Router Swit ches Drucker und nat rlich auch die Betriebssysteme wie etwa Windows Li nux VMware ESX Mac OS X HP UX AIX und Solaris Dar ber hinaus erkennt das Tool IPv4 und IPv6 Netzwerke sowie Windows Dom nen und Active Directory Installa tionen und ordnet s e den einzelnen Ger ten zu So lassen sich Zusammen h nge ber die Grenzen der einzelnen Ger te hinaus erkennen ip Link Code F3PE2 Fast jedem Admin sind die Kommandozei lenwerkzeuge tracert und pathping im Umfeld des Netzwerk Troubleshootings ein Begriff Mit diesen bew hrten Mitteln lassen sich einfache Verbindungsprobleme im LAN schnell ausfindig machen Der Einsatzbe CEEE he En he bemar a Mii 12 28 04 12 215 106 180 ln a Lern Lemari THAJ Samsung Samsung re Snchaster Thrklentre 451 192 158 178 15 192 168 178 13 191 i68 ALa 192 368 181 3 12 235 1 238 192 168 178 75 12 251 240 215 12 351 240 0 12 251 240 233 12 251 240 18 12 251240 1
308. typen Eine weitere Darstellung listete die geographische Zuordnung der Besu cher IP Adressen auf All diese Angaben konnten wir uns im Detail in Zusatzre gistern ansehen Zudem lie en sich alle Werte in eine Excel Tabelle exportieren Vermisst haben wir die M glichkeit Zu griffe in den Statistiken herauszufiltern Zum Beispiel ist es sinnvoll Zugriffe aus dem eigenen Unternehmen aus der Sta tistik herauszunehmen um so nur die wirk lichen Kundenbesuche zu erfassen Ebenso ist es hier nicht m glich Warnmeldungen zu verschicken beispielsweise wenn die maximale Ladezeit berschritten wird oder die Seitenzugriffe berproportional wach sen etwa bei einem DDoS Angriff Webapplikationen und Dienste im Auge behalten Der Iransaktions Monitor ist f r Webapp likationen interessant um deren Funkti onsweise zu berwachen etwa bei E Com merce L sungen oder Frontends wie Outlook Web Access Hierzu ben tigt Mo nitis ein Skript W hrend der Einrichtung des Monitors konnten wir eine der weni gen vordefinierten Vorlagen ausw hlen oder ein eigenes Skript erstellen Im Test gab es drei Vorlagen Anmelden an Dropbox an Office365 oder an Zendesk Diese Muster dienen mehr der Veranschaulichung der Funktionsweise ber ein Firefox Plug In nahmen wir eine Eingabesequenz auf aus der dann ein Skript entstand Dies luden wir in unseren Monitis Account und w hl ten es f r die berwachung aus Wieder legten wir fest von
309. tzt dieser eine Da tenbank als Backend erzeugen Sie einen zus tzlichen Container mit eben dieser Datenbank und verlinken die beiden In kleinen Umgebungen ist dieser Ansatz sicherlich ausreichend ab einer gewissen Gr e sollte die L sung aber besser ska lieren Beispielsweise sollte es m glich kubect get pods NAME IMAGE S HOST apache dev fedora apache atomic host 001 Listing 2 Kubectl zeigt aktiven Pod LABELS name apache stage dev sein einen Container oder aber auch ein Set von Containern auf entfernten Hosts zu starten Auch ist es w nschenswert einen Status f r die Applikationen zu de fin eren Starten Sie mittels docker einen Container auf einem Host so ist nicht sichergestellt dass im Fehlerfall des Hosts der Container auf einem anderen System wieder neu startet Container Orchestrierung mit Kubernetes Ein Management und Orchestrierungs Tool wie Kubernetes bietet genau solche M glichkeiten Das Tool besteht aus einer ganzen Reihe von Services von denen einige auf einem Steuerungssystem dem Master Host andere auf den einzelnen Docker Hosts den sogenannten Minions laufen Der app service auf dem Master stellt eine RESI API zur Kommunikation zur Verf gung ber die der Service An weisungen von Clients erh lt Eine An weisung k nnte beispielsweise sein einen bestimmten Container auf einem belie bigen Minion Host zu erzeugen in der Kubernetes Welt Pod genannt Dieser kann lediglich
310. uf einem Server Der Administrator muss nur wenige Fragen beantworten beispielsweise nach der IP Adresse des so genannten HQ Servers Login Informationen und ob die Verbindung unidirektional und verschl s selt eingerichtet werden soll Die Installa tion nahmen wir im Test auf einem Micro soft Windows Server 2012 R2 mit aktiven Exchange und Dom nen Diensten vor und auf einer einfachen Windows 7 Work station In der Grundeinstellung erkennt der Agent die wichtigsten messbaren Werte beispielsweise CPU Festplatten und Ser vice Daten automatisch Soll Hyperic wei 28 M rz 2015 tere spezifische Anwendungsdaten abgrei fen so kann der IT Profi durch einen Mausklick aus einer Liste von Plug Ins ausw hlen und diese an den Agenten schi cken So gelang uns im Test die Ermittlung von Leistungs und Messdaten von der Ex change Installation Wie bei vergleichbaren L sungen so ist auch bei Hyperic hier De tailwissen gefragt da die Messdaten teilweise recht kryptische Namen besitzen Gruppieren nach Bedarf Was uns indes recht gut gefiel ist die M g lichkeit zur dynamischen Gruppenbildung Die manuelle Zuordnung von Systemen oder Messdaten zu einer bersicht bei spielsweise Mailserver ist in faktisch jeder Software auch bei Hyperic m glich Die VMware L sung bietet jedoch die De finition von flexiblen Zuordnungen bei spielsweise alle Anwendungen mit einer gewissen Eigenschaft oder alle Systeme
311. unden f r ihre administrativen Konten und das gra tis Selbst wenn also die Azure AD Premi um Lizenzen knapp sind oder nur ein Of fice 365 Abo zur Verf gung steht k nnen Administrator Accounts gesch tzt werden Das Aktivieren f r Administratoren erfolgt dabei in drei Schritten Zun chst erzwin gen Sie MFA f r ein administratives Kon to Sie m ssen dann bei der n chsten An meldung Ihre Pr ferenzen bez glich des zus tzlichen Faktors angeben Telefonat SMS oder Einmalcode durch eine App sowie eine Mobilfunknummer unter der Azure MFA die Kontaktaufnahme versu chen soll Anschlie end ist MFA f r Sie als Administrator eingeschaltet Die Aktivierung von MFA stellen Sie in der Benutzer bersicht des Verzeichnisses ein Wenn Sie einen beliebigen Benutzer des Verzeichnisses ausw hlen k nnen Sie die Option Manage Multi Factor Auth mit dem Vorh ngeschloss Symbol ausw h len Das Portal wechselt dann zur Konfi gurationsseite f r MFA Mit Auswahl des gew nschten Benutzers erscheint die Op tion Enable unter Quick Steps Dort wird MFA f r den Benutzer freigeschaltet Soll MFA erzwungen werden ist ein wei terer Klick auf Enforce f llig Erst dann wird der Benutzer bei der n chsten Anmeldung durch den Assisten ten gef hrt Im Enforced Modus m s sen Administratoren das Setup einmalig durchlaufen bevor sie wieder auf den Dienst zur ckgreifen k nnen Der zweite Faktor wird immer dann aufgerufe
312. unktion VM Import Export bie tet zwei Methoden zum Importieren Ihrer virtuellen Maschine in Amazon EC2 Bei der ersten importieren Sie VM Images mit den Amazon EC2 API Tools Impor tieren Sie daf r die VMDK VHD oder RAW Datei ber die ec2 import in stance API Bei der Instance Importauf gabe werden die Parameter erfasst die er forderlich sind um die Amazon EC2 In stance Eigenschaften ordnungsgem zu konfigurieren Instance Gr e Availability Zone und Sicherheitsgruppen und das Image wird in Amazon S3 hochgeladen Wenn ec2 import instance unterbrochen oder ohne abgeschlossenen Upload be endet wird verwenden Sie ec2 resume im port um den Upload Vorgang fortzuset zen Der Importvorgang findet an der Stelle an der er unterbrochen wurde seine Fortsetzung Nutzen Sie zur berwa chung des Fortschritts des Importvorgangs den Befehl ec2 describe conversion tasks Da durch erhalten Sie die Amazon EC2 In stance ID Sobald der Importvorgang ab geschlossen ist k nnen Sie die Amazon EC2 Instance neu starten indem Sie f r Viele weitere Tipps amp Tricks sowie konkrete Hilfe bei akuten Problemen bekommen Sie auch im Internet bei unserem exklusiven Foren Partner administrator de ber 70 000 registrierte Benutzer tauschen dort in ber 100 Kategorien ihre Erfahrungen aus und leisten Hilfestellung So wie der IT Administrator das praxisnahe Fachmagazin f r Adminis tratoren ist administrator de die Internetplattf
313. unter und installieren es in Ihrer Virtualisierungs umgebung Wir verwenden f r diesen Ar tikel eine lokale KVM basierte Installation auf Fedora 21 mit einem CentOS 7 Do cker Image von 5 Das Image l sst sich hier einfach mittels des Tools virt manager oder virt install installieren Unter 7 fin den Sie Setup Anweisungen f r verschie dene Virtualisierungsumgebungen F r den ersten Start sollten Sie der so er zeugten virtuellen Maschine eine CD ROM in Form einer ISO Datei zur Ver f gung stellen Diese enth lt grundlegende Informationen ber das virtuelle Atomic System beispielsweise den Maschinenna men und das Passwort f r den Default Benutzer Auch einen SSH Schl ssel zum Login auf das System oder die gew nschte Netzwerkkonfiguration k nnen Sie an dieser Stelle bergeben Legen Sie hierf r die beiden Dateien meta data und user data an und erzeugen Sie hieraus im Anschluss die ISO Datei Listing 1 Diese stellen Sie dem Atomic Host dann als virtuelles CD ROM Laufwerk zur Verf gung Beim ersten Start des Systems startet der Dienst cloud init liest die so zur Verf gung ge stellten Informationen ein und konfigu riert anhand dieser das System Unter 8 finden Sie weitere Informationen zum Thema cloud init docker ps CONTAINER ID IMAGE a9548bd9ecb1 fedora apache latest COMMAND run apache sh Listing 4 Docker zeigt aktive Container 64 M rz 2015 CREATED 9 minutes ago apiversion v
314. urce Implementierung zum Nullkostenpreis Dieser Artikel beschreibt eine neue dritte Variante Die Analyse von Verkehrsdaten aus der Cloud Dabei sammelt ein firmenlokaler NetFlow Col lector alle Informationen und sendet sie oder nur einzelne Stichproben an Google 90 M rz 2015 mE SCHWERPUNKT I Netflow Reporting Analytics GA zur wei teren Speicherung und Auswertung Google Analytics bietet mit Dashboards und Benutzerdefinierten Be richten viele M glich keiten die Informations flut bersichtlich anzu zeigen Neben den bli chen Hitlisten der meist frequentierten Server lassen sich uner w nschte Protokolle etwa SIB OpenVPN oder POP3 aufzeigen oder ermitteln welcher Client die meisten Internetzu griffe erzeugt Auch Fragen wie Welche Windows Fileserver werden verwendet und welche Maschinen stellen unerwartet Freigaben bereit oder Welcher Client greift auf die Managementoberfl che der Firewall zu lassen sich mit den verf g baren Reports beantworten Informationen bereitstellen Die Informationen ber IP Verbindun gen erhalten Sie von Routern Multi Layer Switchen Firewalls oder virtuellen Umgebungen Hypervisor vSwitch Alle namhaften Hersteller bieten eine M g lichkeit an diese Informationen zu ex portieren Dazu stehen Protokolle wie NetFlow Cisco JFlow Juniper oder die standardisierten Varianten sFlow und IPFIX zur Verf gung Aufgrund seiner Popularit t ist dieser Wo
315. verbessert haben In Link Code F3A13 Mit Version 8 3 der Firewall genugate will genua f r mehr Sicherheit bei Web Diensten sorgen die auf Basis des verbreiteten Service Oriented Architecture Protocol SOAP via Internet angeboten werden Zu diesem Zweck hat der Hersteller das neueste Release mit einer speziellen Pr f Software ausgestattet Diese analysiert alle Anfragen und Antworten umfassend bis hin zur In haltskontrolle Dabei wird unter anderem gepr ft ob die Anfrage berechtigt ist ob sie den Vorgaben entspricht und ob in den Formularfeldern ausschlie lich zul ssige Zeichen und Werte stehen In Link Code F3A14 Online vorgestellt M rz 2015 7 AKTUELL I News Windows 10 auf Raspberry Pi 2 por tiert Im Rahmen des Windows Devel oper Programms k nnen Entwickler kostenlos eine Version von Windows 10 f r Raspberry Pi 2 herunterla den Das ist das Ergeb nis einer Zusammenarbeit von Microsoft mit der Raspberry P Founda tion die hinter dem beliebten Einplatinen rechner mit ARM Prozessor steht Im Feb ruar wurde die neue Baureihe Rasp berry Pi 2 vorgestellt die ber einen ARM Cortex A7 mit vier Cores und 900 MHz sowie 1 GByte RAM verf gt Ansonsten ist der Raspberry Pi 2 mit dem aktualisierten Vormodell identisch Er besitzt eine erweiterte GPIO Schnittstelle vier USB 2 0 Ports einen 100 MBit Ether net Port und eine HDMI Schnittstelle Preislich bel uft sich der Raspberry Pi 2
316. welchen Orten der Zu griff zu testen ist und welche Benutzer im Fehlerfall zu benachrichtigen sind Als Op tion bietet dieser Monitor lediglich funk tioniert nicht an Das hei t l uft das Skript bis zum Ende durch ist alles ok Bricht es zwischendurch ab erfolgt eine Warnmel dung Wir h tten uns gew nscht bereits hier auch Verz gerungen zu erkennen die in der Regel auf eine hohe Auslastung eines Systems zur ckzuf hren sind Server berwachung top Peripherie Monitoring flop Da sich die bisherigen berwachungen auf Webseiten und applikationen fokus sierten testeten wir noch die Prozess und www it administrator de berwachung f r Serven Ger te hinzuf gen Schritt 2 Agent swi Prozesse spenzwert tur CPU Auslastung Grenzwert f r Speicherauslastung Grenzwert f r Auslastung des virtuellen Speichers Prozesse w hlen AvaRelaxserice exe BACSTray exe DellSystemDeiecLexe LogonUl exe Monitis exe System TiWorker exe TibM unterMonitor YmiApSsrnwexe WmiPrwSE exe arsm exe conhostexe dissvc exe dns exe Aem ca Aatamrmrf Aem za auanimar Uberwachungsgruppe sm Neue Gruppe hinzuf gen DV4TS EXE WManagemenilons x Microsoft AchveDir Controller exe TeamViewer exe x TeamViewer_Servi Trustedinstaller exe UsbelientSenice exe System Process agentexe CSSS eke dist exe dem_om_connsvch dem_om_shrevc d Alunrah owa Awm owa Bild 3 Dienste und Prozesse lassen sich auch im Bulk hi
317. werden Infor mationen ber das Verhalten von Besuchern auf Web seiten gesammelt und ausgewertet Der Fokus von Google Analytics liegt auf Effektivit tsmessung Ver kaufszahlen Webseitenoptimierung und Erfolgskontrol le von Marketingaktionen Sch tzungsweise 50 bis 60 Prozent aller Webseiten verwenden Google Analytics Google Analytics www it administrator de NetFlow Exporter NetFlow Collector Netflow Reporting I SCHWERPUNKT berichten AN rten Google Analytics Bild 1 Schenke berblick der NetFlow Datenanalyse mit Google Analytics Hier k nnen Sie mit einem Workaround arbeiten bei dem ein Linux Rechner ber einen Mirror Port eine Kopie aller Netz werkpakete erh lt und daraus einen Net Flow Export erstellt Passende Open Source Software daf r sind beispielsweise das iptables Modul ipt_netflow oder die Programme pmacct und softflowd Verkehrsdaten sammeln Sobald der erste Router als NetFlow Ex porter konfiguriert ist sendet dieser in unregelm igen Abst nden Informationen ber beendete oder ausgetimte Verbin dungen an die angegebene IP Adresse hinter der sich unser NetFlow Collector befindet Dieser Collector ist ein Linux Dienst und lauscht auf UDP Port 2055 Aus den empfangenen NetFlow Samples werden die Verbindungsinformationen siehe Kasten NetFlow herausgel st und auf der lokalen Festplatte kurz zwi schengespeichert Die Open Source Software nfdump 2 erl
318. www passsler com apps PAESSLER the network monitoring company Paessler AG Bucher Str 79a D 90419 N rnberg Tel 49 911 9 37 75 0 Fax 49 911 9 37 75 409 E Mail info paessler com URL www de paessler com Ansprechpartner Fabian Konitzko PRAXIS I Flash RAIDs optimieren K onventionelle Festplatten speichern ihre Daten auf einer oder mehre ren Magnetscheiben die ber einen Schreib Lesekopf beschrieben und aus gelesen werden SSDs kommen im Ge gensatz dazu ohne mechanische Bauteile aus Die Daten werden hier in Flash Spei cherzellen abgelegt Chips mit SLC Single Level Cell speichern 1 Bit pro Speicher zelle jene mit MLC Multi Level Cell 2 Bits TLC Triple Level Cell speichert 3 Bits Mehrere Speicherzellen sind in einem Flash Chip zu einer Page zum Beispiel 8 KiB organisiert Mehrere Pages bilden dann einen Block etwa 2 M B Auf dieser Ebene kommt auch schon die erste Eigenheit von Flash Speichern ans Tageslicht Neue Daten k nnen zwar in ungenutzte Pages geschrieben werden ein nachtr gliches ndern ist jedoch nicht m glich Das funktioniert erst dann wie der wenn der SSD Controller zuvor den gesamten zugeh rigen Block l scht Damit immer ausreichend ungenutzte Pages be reitstehen verf gen SSDs ber zus tzliche Speicherzellen Spare Area Je nach SSD ist die Gr e der Spare Area zwischen 7 und 78 Prozent der Nennkapazit t Eine M glichkeit der SSD
319. ystem zu im plementieren das beim Erreichen be stimmter Schwellenwerte Alarm schl gt Das Eclipse SCADA System besitzt eine weitere wichtige Komponente dasVI Vi sual Interface das auf Draw2D basiert und die GUI Komponenten f r die Vi sualisierung zur Verf gung stellt Urspr ng lich wurde dieses System als OpenSCADA entwickelt wird aber seit geraumer Zeit unter dem Dach der Eclipse Foundation weiterentwickelt Erste Gehversuche Damit Sie das Eclipse SCADA System bequem kennenlernen k nnen hat das Entwicklerteam ein Demosystem reali siert auf das Sie mit einem lokalen Ad min Client zugreifen k nnen Dazu laden Sie sich zun chst den Eclipse SCADA Ad min Client 1 f r das jeweilige Betriebs Pendosa Heio O Verbindungen 53 Al Connections By Target By URI Benuizereinztellungen DSi Connection Serion IE Mandard Datei Quelle je kermseinellunger Verbindung hinzuf gen D F gen Sie eine neuen Verbindung hinzu UF der Verbindung dengps localhost Hl ID der Verkandhange bt Ei ae ed 07 1 1278 Speicher Verbindungen in Systernbereich der Registry solem m glich Bild 1 Mit dem Eclipse SCADA Admin Client k nnen Sie auf das Demo System zugreifen und so erste Schritte unternehmen M rz 2015 83 SCHWERPUNKT I Eclipse SCADA system herunter Im Download Bereich finden Sie den Client f r Linux Mac OS X und Windows Starten Sie als N chstes den Client
320. ze Hyperic ist f r die Verwendung in gro en Unternehmensumgebungen mit unterschiedlichen Benutzer Rollen gut vorbereitet So konfrontiert die Software nur die ausgew hlten Benutzer und nicht gar alle Anwender der Soft ware mit einem Problem Eine Benachrichtigung per E Mail an externe Dienstleister ist ebenfalls konfigurierbar Wie es f r gro e Monitoring Systeme blich ist gibt es auch bei Hyperic ein Eskalationskettensystem zur Abarbeitung der Meldungen mit entsprechendem Reporting Automatisiert und rollenbasiert auf Alarme reagieren berwachung allein hilft dem Administrator zwar schon in vielen F llen weiter doch automatisierte Reaktionen sind h ufiger besser als erst nachtr glich auf ein Fehlverhalten zu reagieren Sinkt beispielsweise der freie verf gbare Arbeits speicher auf einem Server unter ein kritisches Niveau w re ein Neustart m glicherweise eine hilfreiche Reaktion Droht eine Partition vollzulaufen k nnten tempor re Dateien ge l scht oder Protokolldateien durch einen Skript Job wegko piert werden Derlei Reaktionen kann der Administrator als Reaktion auf einen Alert in Hyperic definieren Aber auch traditionelle administrative Aufgaben wie t gliche w chent liche oder monatliche Ausf hrungen von Jobs mit geplanten Down Times in denen die berwachungssoftware keine Warnmeldungen ausgeben und entsprechend auch nicht Ac tions triggern darf Mithilfe von erweiterten Benachrichtigungs und Es
321. zen Als WLAN Client soll das neue Modell ei ne einfache Anbindung von Maschinen an das Unternehmensnetz erlauben Durch Scannen der relevanten Funk kan le im Hintergrund kann das Ger t laut Hersteller nahezu unterbrechungs frei zum n chsten AP wechseln falls die Maschine sich aus dem Bereich des je weiligen Access Points bewegt Der Ac cess Point l sst sich durch den zentralen bintec WLAN Controller managen F r kleine WLAN Netze bis sechs APs kann die Neuvorstellung selbst die Rol le des WLAN Controllers bernehmen Das Aluminiumgeh use ist konven tionell an die Wand oder mit DIN Hutschienenadapter in eine Schalttafel montierbar Als Preis nennt bintec el meg rund 500 Euro In bintec elmeg www bintec elmeg com de F r den Einsatz in beweglichen Ger ten bietet der bintec W11003n im Client Mode einen Fast Roaming Modus www it administrator de Turbo Restore dank SSD Unitrends l ftet den Vorhang f r die n chste Generation seiner Backup Ap pliances der Recovery Series Das erwei terte Portfolio umfasst Modelle mit Spei cherkapazit ten zwischen 1 und 97 TByte Mit Hilfe von SSDs f r Tiered Flash Storage will der Hersteller neue Ma st be bei der Backup und Recovery Performance setzen Nutzer k nnen Richtlinien zur Flash Cache Nutzung einrichten um die Performance bei wach senden Datenmengen zu optimieren Zu den Merkmalen der berarbeiteten Ap pliances z hlen Verbesserungen bei der CPU je nac
322. zenz k nnen Daten aus mehreren Quellen gleichzeitig anzap fen und lassen sich ber Plug Ins in ihrem Funktionsumfang erweitern Graylog2 Logstash und Octopussy k nnen zudem die Log Daten durchsuchen analysieren und Statistiken erzeugen Fluentd Der Open Source Data Collector Flu entd sammelt lediglich die Log Daten von verschiedenen Quellen ein filtert die In formationen und leitet den bereinigten 78 M rz 2015 entd Instanzen starten und sowohl parallel betreiben als auch hintereinanderschalten Dies erh ht die Ausfallsicherheit und ver teilt Lasten Laut Entwicklerangaben belegt das Werkzeug lediglich 30 bis 40 MByte Hauptspeicher und kann dabei 13 000 Er eignisse in einer Sekunde verarbeiten Jedes eingehende Ereignis erh lt automa tisch ein frei w hlbares Tag Administra Log Daten wollen Fluentd Graylog2 Logstash und Octopussy toren k nnen ber Regeln festlegen wel che Daten mit welchen Tags Fluentd wo hin weiterleiten soll Alternativ lassen sich Ereignisse mit einem neuen Tag versehen und wieder in Fluentd einspeisen Die Auswahl der Tags geschieht ber die An gabe eines Musters So steht etwa apa che f r alle Tags deren erster Bestand teil der Begriff apache ist Alle Ein stellungen nehmen Administratoren in Konfigurationsdateien vor die denen von Apache hneln Mit folgendem Eintrag w rde Fluentd beispielsweise all jene Er eignisse in die L
323. zurei chende oder unkomfortable Bordmittel bereit die die Administration wie eine schwere T r unn tig blockie ren Gut wenn der Admin einen Bund passender Schl ssel in Form von kostenlosen Drittanbietertools bereith lt Der zweite Teil unserer Workshopserie aus dem kommenden IT Administrator Sonderheft Die gro e Admin Toolbox stellt n tzliche Exchange Helfer vor Dazu verwenden Sie das Cmdlet test mailflow SourceMai lboxServer Postfach Server Sie erhalten auch hier das passende Er gebnis und k nnen feststellen ob der E Mail Fluss auf dem entsprechenden Postfach Server funktioniert In diesem Zusammenhang sollten Sie auch die Ab arbeitung der Warteschlangen auf den Transportservern berpr fen Dies er ledigen Sie in der Exchange Verwal tungsshell ber Get TransportServer Get Queue Die einzelnen Ports auf den Servern sollten Sie auch testen Dazu verwenden Sie das Cmdlet test port und den ent sprechenden Port Vor allem die Ports 25 Transport Server 135 Clientzu griff Server und Postfach Server 443 Clientzugriff Server 587 Iransport Server m ssen offen sein und kommu n z eren k nnen www it administrator de Zeitpunkt H ufigkent Meldung 14 08 14 ASExchangelNagnosties anh mn 112 40 09 None ee m _ 14 08 14 11 55 57 MsExchange Common Iperfcount Te Oa 13 08 14 hisexchangels 3 14 08 14 MiSExchange AuditLogsearch xchange AuditLogsearc 11 54
Download Pdf Manuals
Related Search