Hallo ich bin Eugen ein Admin und IT-SEC mit mehr als 25 jährigen Berufserfahrung in fast allen Bereichen der IT. Privat bin ich ein Nerd aus Überzeugung und das seit 1986, zum professionellen IT-Administrator wurde ich 1997.
Das Wissens-Portfolio umfasst alles rund um Hard- und Software, darunter:
- IT-Administration (Planung, Umsetzung, Management mit eigenen Tools oder schnelle Einarbeitung in die Corporate eigenen ITAM CMDB Prozesse und Tools)
- Backup/Recovery Lösungen: Rechner, Server, Netzwerke mit Cloud (AWS, Azure, ownCloud) oder NAS (Synology, Zyxel usw.) oder klassisch Hardware-Backup (Klonen, RAID, Synchronisieren, Hardcopy, Datasette uvm.)
- Virtualisierung (KVM, VMware mit ESXI, Virtuozzo und Plesk, VirtualBox usw.) Rechner, Workstations und Server aufsetzen, einrichten und managen
- Administration von Linux Systemen (auf RHEL von RedHat sowie Ubuntu/Debian)
- Administration von Windows Systemen (Windows Betriebssystem ab Windows 3.11 bis 11 sowie Windows Server ab 2012 bis 2022)
- Disaster-Recovery (auch Rettung von Hardware und Daten z.B.: nach Brand, Malware uvm.)
- Managed-Hosting auf Servern in der EU (nginx, Apache, MySQL, PHP, DNS, IP-Delegation, Cluster-IP, Failover, Mailserver, Webserver, Cloudgateway, SSL-Zertifikate, Verschlüsselung, Intranets, Groupware, Fail2Ban, Modsecurity, Cloudflare)
- Netzwerke (LVL, vLAN, Kupfer, Cluster, Richtfunk, WLAN)
- Webmaster (Webdesign, SEO, WordPress, Concrete5-developer, Typo03)
- Webentwicklung (Planung und Umsetzung von Apps sowie PWA Hosting aktiver Apple-Developer, Google-Developer)
- Extended Support/Nutzung: Durch Upgrades und Tuning von Hardware Verlängerung des Lebenszyklus von Hardware sowie professionelles Refurbishing und sogar Rebuilds von Hardware
- Digitalisierung (Telefonanlagen, Netzwerke, Büro, Geschäft)
- Custom PC-Systeme nach maß kein 08/15.
- Von Home-PC (Gaming, produktive Arbeiten mit Schwerpunkt eigenes Design)
- über spezial PC (z.B Typ: dauerbetrieb, lautlos, Eyecatcher für Messen uvm.)
- für spezielle Kunden (E-Sports, Behörden, Labore, Aufnahmestudios, kritische Einsatzbereiche)
- für besondere Projekte (Roboter)
- Server (Stand oder Rack) alle Arten mit redundanten Komponenten oder Budgetlösungen
- Retro-IT (Reparieren, Bauen (Rebuilds), Wiederaufbereiten von alter Computer Hardware wie Commodore 64, Atari, Amiga, IBM, Amstrad uvm)
Hilfreiche Themen für den IT-Alltag:
- Active Backup for Business von Synology
Active Backup for Business von Synology ist eines der besten Backuptools, die ich kenne. Eine Synology NAS vorausgesetzt ist dieses Tool ein sehr ausgereiftes Sicherungssystem für komplette produktive Umgebung in Unternehmen. Anders als HDP von QNAP ist ABB es ein komplettes Tool für fast alle Arten von Systemen nicht nur VMs, sondern auch Server, Laptops, Desktops und Spezialrechner auf Windows, Linux Basis. Es eignet sich hervorragend für Image-Backup und als Ransomware geschützter Backupspeicher.
Wie bereits beim Start der Reihe beschrieben kreieren wir eine Backup-Umgebung die speziell vor Hacker (physischer / Netzwerkzugriff), Ransomware (Software Zugriff), Desaster (Feuer und andere Katastrophen) eine aktive Infrastruktur schützen soll. ABB von Synology ist unser Herz des Plans.
Meine Erfahrungen mit Active Backup for Business von Synology (ABB) und Disaster-Recovery
Aus eigener Erfahrung kann ich folgendes berichten. Ein Kunde nutzte ABB, um seine Server und Kassen extern zu sichern. Als sein Laden abgebrannt ist hat die Wiederherstellung einwandfrei funktioniert. Einen Tag nach dem Brand waren Systeme wieder online. Da die Originalsysteme zerstört wurden hatte ich bedenken ABER ich konnte die zerstörten Betriebssysteme problemlos auf neue Migrieren. Dabei habe ich Das ABB-Recovery-Interface benutzt, um einen Bootdatenträger zu erstellen und dann das zerstörte System über das neue System draufgespielt. Die Systeme laufen bis heute.
Meine Beiträge aus dieser Zeit:
- Datenrettung nach Brand, neue Serie an Beiträgen.
- IT-Soforthilfe nach Brand
- FritzBox nach Brand wiederherstellen und Daten retten
- Happy-Birthday HP Z420 du König der Workstations
Best-Practice Active Backup for Business von Synology
- Datendienst BTRFS verwenden dieser bietet eine großartige Balance zwischen Sicherheit und Leistung mehr dazu gibt es HIER.
- Bei der Einrichtung nutzt die Verschlüsselung und die Vorgaben des Assistenten für produktive Geschäftsumgebungen.
- Bindet die NAS nicht in die Domain ein und richtet keine Laufwerksfreigaben ein – es sollte ein reiner Backup NAS sein.
- Richtet eine 2FA ein für eure Adminaccounts
- Verwendet nicht den Account Admin sondern überlegt euch einen anderen Benutzernamen
- Ändert die Standard Ports
- Blockiert den Zugriff ins Internet der NAS und aus dem Internet auf die NAS
- KEIN CACHE NUTZEN für Backups
- Optional: Bindet die NAS am besten über 10G ans Netzwerk
- Optional: Verwendet RAID 1 oder RAID 5 je nach Datenmenge
- Optional: Sollte es möglich sein nutzt 2x RAID1 auf einer Synology, um intern ein Snapshot mit zeitlicher Datensynchronisierung der gesicherten Daten einzurichten
Das wichtigste zum Schluss – sichert die VMs über den Hypervisor nicht über das vCenter (wenn Ihr wie in part 2 beschrieben HDP nutzt dann sichert hier die Maschinen über den ESXI nicht über das vCenter).
Die Datensicherung ist aktiv das bedeutet es kann auf dem System ein Tool installiert wird, das die Daten sichert. Dies ist bei standalone Servern und Systemen die beste Wahl. Bei VMs baut ABB eine Verbindung zum Hypervisor auf (dabei wird SSH/CLI aktiviert) und sichert die Daten als Snapshot.
Wie das Zusammenspiel ist, zeige ich im nächsten Beitrag
Mehr Informationen HIER: Quelle Synology
- QNAP Hyper Data Protector: Datensicherung von VM Best Practice Teil 2
Das QNAP eigene Tool “Hyper Data Protector” kann (QNAP NAS vorausgesetzt) für zusätzliche Datensicherung von Virtuellen Maschinen genutzt werden. Als alleiniges Tool für Datensicherung ist es jedoch nicht empfehlenswert. Das Tool wird von QNAP HIER beschrieben also beschränke ich mich rein auf die praktische Anwendung und Nutzung sowie potenzielle Fehler. Es ist ein kostenloses Tool, das im Zusammenspiel mit einer QNAP dem Admin ein zusätzliches Gefühl an Sicherheit bietet.
// TO ENGLISH VERSION HERE
// ZUM TEIL 1 HIER (englisch)
QNAP Hyper Data Protector (HDP): Einrichtung und Funktionsweise
HDP wird auf einer QNAP einfach aus dem AppStore installiert. Das Programm benötigt zusätzlich das Tool Container Station* das, wenn nicht vorhanden gleich mitinstalliert wird. Nach der Installation steht eine zusätzliche Seite zu Verfügung die direkt im Browser aufgerufen werden kann. Mit HDP können Virtuelle Maschinen von Systemen basieren auf VMWARE und HYPERV gesichert werden. Dazu werden bei einem ausgeführten Auftrag Snapshots* der VMs erstellt und in die zuvor eingerichtete Repo des HDP übertragen, anschließend auf dem Hypervisor gelöscht.
Die Repo wird auf der QNAP mit Datendedublizierung* und Komprimierung klein gehalten. Die Oberfläche ist sehr intuitiv erstellt und das QNAP eigene Tutorial ist super beschrieben.
Wenn alles so toll ist…
Wieso ist QNAP Hyper Data Protector für Datensicherung von VMs als Alleinlösung von mir nicht empfohlen?
Habt Ihr die * bemerkt in den oberen Sätzen 😊
Mit dem* markierte ich Fehlerquellen, die nach mehreren Jahren, in denen ich das Tool nutze mehrfach für Fehler und sogar komplettes Versagen des Tools führten. Das Tool ist gut, keine Frage aber macht euch keine schlaflosen Nächte und setzt es mit Bedacht als Zweit-Backup ein.
*Mir bekannte Fehlerquellen
- QNAP Container Station: Ist ein Tool dass nicht nur Docker Container auf deiner QNAP ermöglicht. Es übernimmt auch die Verwaltung der Repo der HDP die selbst quasi ein Container ist. Das Problem ist das, wenn ein Tool von einem anderen abhängt es zu Fehler kommen kann. Mir ist es passiert und ich konnte den Fehler auch reproduzieren. Wenn die Container Station aktualisiert wird die DB zerlegt wird. Das HDP die angelegten Jobs zwar ausführt ABER eure Job Listen werden leer sein und es lassen sich auch keine neuen Jobs einrichten weder Wiederherstellung noch Sicherung. Lösung HSB3 Sicherung und zweite HDP auf anderen QNAP -> migriert die Repo und rettet die Backups.
- SNAPSHOTS: können nicht von allen Virtuellen Maschinen gemacht werden. Maschinen mit Secured-RAM Anwendungen (Bsp..: SUSE Linux Enterprise Secured Core oder ASL) oder aktiven RDP-Speicher (Bsp.: Cisco ISE/ASA) werden natürlich nicht gesichert. Das Erstellen und Übertragen der Snapshots geht schnell vonstatten das Löschen des Snapshots auf dem HOST dauert extrem lange und passiert bei 99% der Datensicherung. Manchmal dauert das verbliebene 1% länger als die 99% davor. Bei einem nicht gelöschten Snapshots ist die gesamte Sicherung auf dem HDP weg, obwohl die Daten übertragen wurden. Auf dem Host können viele Snapshots zu Problemen führen.
- Daten-Dedublizierung: Ist eine tolle Sache. Führt jedoch bei einer Sicherung der HDP Repo via HSB3 oder einem Export auf eine andere QNAP zwecks Wiederherstellung der Repo zum Abbruch des Vorgangs.
Best Practice
- HDP nicht auf der QNAP einrichten die als NFS-Speicher für eure VMs genutzt wird
- Benutzt HDP nur als zusätzliche Sicherung nicht als Hauptsicherung
- Wenn Ihr viel freien Speicher habt, verzichtet auf die Datendedublizierung
- Exportiert eure HDP Repo vor Updates
- Sollte DeDublizierung genutzt werden kauft eine QNAP mit gutem CPU (Minimum 2 Core) und entsprechend RAM
- Richtet euch Benachrichtigungen für Alarme und Warnungen der HDP-Jobs sonst kriegt ihr nicht automatisch mit sollten diese ausfallen
- Sichert die VMs auf VMware Basis am besten via EsXI (schneller, unabhängiger dafür weniger stabil) oder vCenter (stabiler und genauer) nicht beides gemixt.
- Aktivierungsfehlern 0xc004f050 bei Windows Server 2019 Standard Evaluation
Beheben von Aktivierungsfehlern z.B.: 0xc004f050 einer Windows Server 2019 Standard Evaluation Edition.
Startet PowerShell als Admin auf dem Server (wie das geht könnt Ihr HIER nachlesen)
Prüfe zuerst, ob die Evaluierungsversion kompatibel ist mit deinem Schlüssel. Dazu musst du prüfen welche Upgrades möglich sind. Das machst du mit folgendem Befehl:
DISM.exe /Online /Get-TargetEditions
Die Antwort sieht meistens so aus:
Editionen, auf die aktualisiert werden kann:
Zieledition : ServerStandard
Zieledition : ServerDatacenterJetzt vergleiche deinen Schlüssel, wenn es ein Server Standard oder Datacenter sein dann ist alles OK Sollte die Edition des Schlüssels nicht passen brauchst du eine andere Lösung, die viel aufwendiger ist.
Jetzt ändere die Version und den Produkt-Key in PowerShell
Ich gebe einfach den Befehl:
DISM.exe /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEul
Trage anstatt: XXXX-… deinen Produkt-Key ein
Nachdem du ENTER betätigst, wird der Upgrade/Vorgang starten.
Nicht wundern er bleibt bei 10% länger stehen – ruhig warten, es ist alles OK.
Ist der Vorgang fertig wirst du gefragt, ob du neustarten möchtest, wobei du mit Y – ja auswählst. Nach dem Neustart hast du die neue Version des Betriebssystems aktiv und das System müsste bereits aktiviert sein.
- WebDAV auf einem Mac einrichten
Wie man auf einem MAC (auch ältere Geräte) eine Serververbindung über WebDAV einrichtet. in 3 Schritten.
WebDAV auf dem Mac einrichten:
Schritt 1
Gehe im Finder zu den Punkt „Gehe zu“ und wähle unten „Mit Server verbinden...“
Schritt 2
Im nächsten Fenster gib die Zugangsdaten zu deinem Server ein im gleichen Format wie unter Windows also: zuerst Verbindungstyp https:// danach die jew Adresse deines Servers (siehe Bestätigung) hier z.B rit1.myds.mw danach die Portnummer :5006
Optional: Du kannst hinter die Portnummer einen bestimmten Ordner setzen (z.B.: /MeinOrdner) ansonsten wird das jew Stammverzeichniss aufgemacht.
So sieht es dann vollständig aus BEISPIEL: https://rit1.myds.mw:5006
Schritt 3
Im Nächsten Fenster unter „Registrierter Benutzer“ nur deinen Benutzernamen und dein Passwort eingeben. Ob du dein Passwort sichern möchtest ist dir überlassen.
Das war es schon – du bist verbunden.
WebDAV Serververbindung mit anderen Geräten
- In Windows habe ich es bereits ausführlich beschrieben HIER
- Wie man es auf einem Android am geschicktesten einrichtet kannst du HIER nachlesen
- iPhone oder iPad. Hier empfehle ich die Software „WebDAV Navigator“ oder wer etwas mehr haben möchte die App „Documents – Datei-Manager, Musik„
Andere Artikel
- FTP Verbindung mit Windows PowerShell
FTP Verbindung mit PowerShell aufbauen. Schnell und sicher ohne zusätzliche Tools.
PowerShell Starten – wie das gemacht wird könnt Ihr HIER nachlesen
In der PowerShell folgendes eingeben und mit Enter Bestätigen:
ftp IPADRESSE
Danach werdet Ihr aufgefordert den Benutzernamen einzugeben und nach nochmaligem Enter drücken das Passwort.
Ihr seid jetzt drin, die PowerShell zeigt ftp> als beweis an. Ihr könnt jetzt mit einfachen befehlen das Directory bearbeiten, kopieren, herunterladen und p. Drag and Drop Dateien kopieren.
- Mit Rufus einen FreeDos Bootstick erstellen
Benötigte Tools:
- Tool 1: Das kostenlose FreeDOS Version FullUSB Iso von dieser Seite herunterladen HIER
- Tool 2: Rufus kriegt Ihr HIER
- Tool 3: Freier USB Stick ab 2 GB (Formatierung ist egal ab 2GB damit noch etwas darauf passt)
Vorgehensweise:
Rufus Starten und das FreeUSB.iso durch betätigen des Buttons „AUSWAHL“ wählen.
Unter Laufwerk prüfen obe der richtige USB Stick ausgewählt wurde. ACHTUNG: alle Daten und Partitionen auf dem ausgewählten USB-Stick werden gelöscht!
Anschliessend auf „START“ drücken.
Fertig
- Ubuntu 20.04 SSL Zertifikat Import / Änderung
Ubuntu Linux SSL Zertifikat importieren über das Terminal in 2 Schritten. Beschrieben wird der Vorgang unter Ubuntu 20.04
Dazu nehme ich als Beispiel das Zertifikat von SNAP (Ubuntu App Shop) Das Zertifikat heißt api-snapcraft-io.pm im Code ersetze ich den Namen durch die Bezeichnung „DeinZertifikat“.
Ubuntu Linux 20.04 SSL Zertifikat Import Schritt für Schritt Anleitung
Schritt 1: Terminal starten
Mit dem nachfolgenden Befehl das Zertifikat in dem richtigen Ordner verschieben UND in das richtige Format umwandeln: sudo cp DeinZertifikat.pem /usr/share/ca-certificates/api-DeinZertifikat.crt
Schritt 2: Paketkonfiguration ausführen
Jetzt die Zertifikatsverwaltung starten: sudo dpkg-reconfigure ca-certificates
In der Paketkonfiguration die Frage mit „JA“ bestätigen (Pfeiltasten für die Auswahl, Tab zum Springen und Leertaste bzw. Enter zum Bestätigen)
Im nächsten Fenster das Zertifikat installieren (indem ein * gesetzt wird vor dem Zertifikat).
Danach mit OK bestätigen
Paar Links:
- SSH über Windows PowerShell
- VMware vCenter Server Installation – Teil 1
- Alles über TLS Zertifikate und Ubuntu (Quelle: ubuntuusers.de) HIER
- Alles über Zertifikate das SSL 1×1 direkt von Ubuntu (Quelle: ubuntu.com): HIER
- Windows HPET aktivieren / tunen
Genaue Zeit ist aus Sicherheitsgründen für moderne 2FA Anwendungen sehr wichtig.
Windows HPET bedeutet High Precision Event Timer (HPET). Das ist ein hochpräziser Zeitgeber in modernen Computern. Dieser Zeitgeber arbeitet mit einer sehr hohen zeitlichen Auflösung durch Quantelung (Zerteilung einer Einheit).
Wir behandeln hier die drei wichtigsten Fragen:
- Wie aktiviere/deaktiviere ich Windows HPET
- Wie aktiviere/deaktiviere ich den eigenen Taktgeber
- Wie aktiviere/deaktiviere ich „Dynamic Ticking“
Windows HPET aktivieren
Starte PowerShell als Administrator (wie man das macht erfährst du hier)
Gebe folgendes ein:
bcdedit /set useplatformclock yes
Um es wieder zu deaktivieren gebe folgenden Code ein:
bcdedit /set useplatformclock no
In Windows HPET eigenen Taktgeber aktivieren
Bei Problemen mit dem Taktgeber bzw. bei einem infizierten UEFI erscheint die Zeit trotz HPET falsch. Ist der taktgeber in UEFI falsch dann wird auch HPET nicht richtig funktionieren. Um dich abzusichern verändere die Richtlinie „tscsyncpolicy“ für den Takt sowie Synchronisation des Zeitgebers. Stelle sie um von Legacy (der Zeitgeber „vertraut“ der Systemuhr auch wenn diese falsch ist) auf Enhanced (Zeitgeber hat eigenen Taktgeber)
Gebe in der PowerShell folgendes ein
bcdedit /set tscsyncpolicy Enhanced
Abschalten kannst du es mit dem Befehl „Default“ alternativ „Legacy“:
bcdedit /set tscsyncpolicy Default
Dynamic Ticking deaktivieren
Dynamic Ticking sorgt für eine bessere Last/Energieverteilung des CPU. Dafür wird der Taktgeber des HPET automatisch aktiviert oder deaktiviert. Wenn aktiviert und der Taktgeber abgeschaltet wird wird die Hardwareuhr als alleiniger Zeitgeber genutzt dies ist eine potenzielle Fehlerquelle die abgeschaltet werden kann.
Gebe in PowerShell folgendes ein
bcdedit /set disabledynamictick yes
Um die Funktion wieder zu aktivieren gebe dies ein
bcdedit /set disabledynamictick no
- SSH über Windows PowerShell
Endlich kann ich über Windows PowerShell eine SSH Verbindung zu einem Server aufbauen.
Eine SSH Verbindung mit Windows PowerShell aufbauen
Starte Windows PowerShell (wie man das macht, kannst du hier lernen: Wie starte ich PowerShell?).
Gebe in der PowerShell den Befehl ssh gefolgt von dem jew. Benutzernamen, dem @-Zeichen und der Domain oder IP-Adresse des Servers ein. Als nächstes wirst du nach dem Passwort gefragt und fertig.
ssh Benutzer@IP-Adresse
Interessante Links zum Thema:
- Was ist PowerShell (Quelle Microsoft): HIER
- Installieren von PowerShell und plattformübergreifende Anwendungen (Quelle: Microsoft) HIER
- PowerShell aufrufen
- Microsoft unterstützt Ubuntu (nur LTS Versionen) mit umfangreichen Informationen und HowTo (Quelle: Microsoft) HIER
- Datensicherung: Zertifikatsfehler
Prüfen Sie bitte die Einstellungen auf Ihrem System um richtige Funktionsweise Ihrer Datensicherung zu gewährleisten.
Hintergrund: Die Ursache ist ein Fehler bei der Software von Synology die sichere Let’s Encrypt Zertifikate die nach 01 November 2021 ausgestellt wurden nicht automatisch erkennt. Dieser Fehler kann sehr schnell und einfach behoben werden.
Starten Sie das Programm: Synology Active Backup for Business (sollte es bereits laufen klicken Sie mit einem Doppelklick auf das Symbol rechts unten neben der Uhr.
Zeigt das Fenster folgende Warnung:
Machen Sie sich keine Sorgen es ist nur ein kleiner Softwarefehler der sehr einfach behoben werden kann.
Schritt 1:
Prüfen Sie die Serverinformationen rechts – dort müsste dieser Server angezeigt werden: rit1.myds.me und darunter der Benutzername den Sie mit Ihrer Bestätigung bekommen haben. Ist das der Fall dann klicken Sie auf „Zertifikat vertrauen„
Schritt 2:
Die zwei Fenster die als nächstes erscheinen (manchmal ist es nur ein Fenster) immer Bestätigen:
Fertig
Wenn Sie alles richtig gemacht haben sieht das nächste Fenster so aus: