Tag Archives: netzwerk

HP ProLiant Microserver als RODC für kleine Standorte

Posted on by

Mit dem NL37 MicroServer bietet HP einen sehr kompakten und dennoch gut Ausgestatteten Server. Das System kann mit bit zu 8 GB ECC-Ram ausgestattet werden, verfügt über 4 SATA II Einschübe und einen DualCore AMD Athlon II NEO Prozessor mit 1.3 Ghz. Die Leistung reicht problemlos für einen Windows Server 208R2 um die Rollen RODC, Dateiserver, Druckserver und BrancheCache für kleine Standorte bis 20 Personen anzubieten.

Zum Gehäuse:
Das sehr gut gelungene massive Gehäuse ist sehr schnell zu öffnen. Die 4 HDD Einschübe befinden sich hinter einer abschließbaren Fronttür, das passende Werkzeug zum Einbau der Festplatten in die Rahmen fehlt leider genau wie die nötigen Schrauben zum befestigen der Festplatten. Standard Sekkopf-Kreuzschlitzschrauben für Festplatten passen glücklicherweise in die vorgesehenen Bohrungen. Um den Speicher zu erweitern muss das Mainboard aus dem Gehäuse herausgenommen werden. Das unter den Festplatteneinschüben liegende Board befindet sich auf einem Schlitten. Zum Herausziehen sind lediglich 2 Schrauben und einige Stecker zu lösen. Nicht gerade der Komfort eines DL380, aber bei diesen Gehäuseabmessungen immer noch relativ komfortabel gelöst. Das System kommt ohne optisches Laufwerk. Über den Festplatten und der Frontklappe befindet sich ein 5 1/4″ Laufwerksschacht mit vorbereiteter S-ATA Verkabelung.Ein Band oder optisches Laufwerk ist hier durch öffnen der oberen Abdeckung schnell eingebaut. Um unerwünschtes Öffnen dieser Abdeckung zu verhindern, kann ein Schloss an der Rückseite angebracht werden. Ausgestattet mit 2x 2TB Enterprise HDD´s wiegt der Server ohne optisches Laufwerk knapp 5 Kg.

Leistung unter Windows Server 2008R2
Direkt nach der Installation können alle Komponenten mit Standardtreibern angesprochen werden. Es empfiehlt sich aber unbedingt den Grafik-/ Netzwerk-karten Treiber zu installieren. Um Datenredundanz zu schaffen sollte auf Windows Bordmittel zurückgegriffen werden. Der interne Controller realisiert das RAID auch nur über die CPU, allerdings ohne Wissen des Betriebssystems. Bei solchen “Soft-RAID” Treibern sollte immer auf die Betriebssystem Funktionen zurückgegriffen werden. Nach Abschluss der Erstsynchronisierung schreibt das System durchschnittlich 80MB/s auf die Datenträger. Das integrierte Gigabit LAN kann damit zwar nicht gesättigt aber immerhin sehr gut Ausgelastet werden.

Serverrollen/Konfiguration
Um einen Server an einem unsicherem Standort aufzustellen, sollte in jedem Fall ein getrenntes Subnet der Größe /24 oder /25 in einer neuen ActiveDirectory Site angelegt werden. Alle Kommunikation von und zu diesem Standort sollten dann IPSec verschlüsselt werden. Um den Standort an den Firmensitz anzubinden, empfiehlt sich ein getrennter L2 VPN-Router. Damit wird eine 2-Faktor Verbindungsverschlüsselung erreicht. Über diese Verbindung dürfen dann ausschließlich IKE und ESP Pakete der IPSec Verbindungen zugelassen werden. Um die Inhalte der Festplatten zu schützen sollte unbedingt EFS aktiviert werden. Somit sind alle nicht Domänenmitglieder aus dem Netzwerk und dem Dateizugriff ausgeschlossen. Der Server selbst wird als RODC konfiguriert. Ein lokaler DNS Server sowie globaler Katalog stellen die Anmeldefunktionen bei fehlender Netzwerkverbindung sicher. Allerdings sollten auf gar keinen Fall Kennwörter Administrativer Konten an den Standort repliziert werden. Eine Anmeldung am Server mit Administrativen Rechten ist so nur möglich wenn die IPSec Verbindung zum Hauptsitz steht. Um Druckfunktionen zur Verfügung zu stellen, empfiehlt sich zusätzlich die Rolle “Druck und Dokumentendienste”. Auch die Rolle “DHCP-Server” ist nützlich. Zum sichern und abgleichen der Daten kann eine DFS-Replikationsgruppe eingerichtet werden. Somit sind immer alle Daten an mindestens 2 Standorten verfügbar.

Fazit:
Der kleine Server bietet neue Möglichkeiten um kleine Firmenstandorte, Baustellen oder ähnliches mit Servern auszustatten. In Verbindung mit einem L2 VPN-Router (z.B. Cisco oder Astaro) lässt sich der komplette Netzwerkverkehr so absichern, dass selbst ein Sniffer an einem Monitor-Port kein Risiko darstellt. Dank RODC und EFS sind auch die Daten und Benutzerkonten relativ sicher. Der Nutzen eines solchen Servers übersteigt auf jeden Fall das Restrisiko. Alternativ müssten alle Anwender ihre Daten lokal verwalten, fällt eine Festplatte aus ist alles weg. Truecrypt usw. bringen auch nicht viel wenn die Daten per SMB Freigabe zwischen den Systemen kopiert werden. Dank des Server kann die Kommunikation mit IPSec und Kerberos abgesichert werden und Mitarbeitern an Remote Standorten eine sichere Zusammenarbeit im Netzwerk ermöglicht werden.

Mehr zum Server auf der HP Produktwebsite.

Lanparty “cyber-night” in Rudolstadt Kirchhasel findet statt

Posted on by

Wie ich diese Woche erfahren habe, ist die LAN-Party “Cyber-Night” in Rudolstadt-Kirchhasel gesichert. Unter dem Motto “3 Tage – 100 Gamer – Tausend Emotionen” werden vom 05.-07. November 2010 die digitalen Fetzen so richtig fliegen. Gespielt werden Tuniere, aber wer möchte kann auch eigene Spiele im Netzwerk anschubsen.

Apropos Netzwerk, die Netzwerk-Hardware wird von einer regionalen Firma, der EPC Engineering Consulting GmbH gestellt. Ich selbst werde das Netzwerkteam mit Tipps und Hinweisen zur Konfiguration unterstützen und zur Veranstaltung einige Fotos knipsen.

Es gibt noch viele Plätze, doch wer sicher am Getümmel teilhaben möchte, sollte sich bereits vorab registrieren. Es gibt übrigens auch ein Gamer-Taxi, das euch nach Absprache kostengünstig zur Veranstaltung bringt.

Wer einen PC hat und gelegentlich oder öfter gern Spielt sollte sich das nicht entgehen lassen. Weitere Informationen zur Cyber-Night findet ihr auf der offiziellen Website.

Doch Probleme mit MeinVZ / StudiVZ?

Posted on by

Gerade habe ich 5 Versuche gebraucht um mich bei meinVZ einzuloggen. Immer wieder erschien die Fehlermeldung “Oooops!”.
Dazu kommen die in letzter Zeit immer häufiger auftretenden Probleme mit externen “Webapps”.
Diese Aps verwenden zur Kommunikation mit dem VZ Server eine API, die es ermöglicht auf einige Daten des Benutzers von außen zuzugreifen. Der Dienstleister hostet die Anwendung inkl. Spielestand. Manche Anwendungen senden dann Informationen zur Anwendung, wie z.B. den Rang im Spiel zurück an das VZ Profil. Diese “Nachricht” wird dann im VZ direkt unter Apps angezeigt. Genau hier liegt der Hund begraben. Immer wenn eine der Apps im VZ nicht mehr funktioniert hat, und Fehler wie “Server antwortet nicht” erschienen, konnte ich mit einigen Tricks die Anwendung einzeln mit einigen Einschränkungen direkt vom Server des Anbieters starten. Manchmal fehlten auch nur die Fotos der Freunde. Solche Probleme, die sich über alle Apps hinweg beobachten lassen deuten zusammen mit den gelegentlichen Anmeldeproblemen, nicht funktionierendem Ajax im Plauerkasten und “session-kills” schon auf ernsthafte Probleme im System hin. Hoffentlich bekommen die Entwickler das schnell in den Griff.

UPDATE: Und nun fehlen sogar bei VZ eigenen Diensten die Fotos. Alles sehr merkwürdig.

IPv6 Testserver online

Posted on by

Ab sofort betreibe ich einen kleinen Webserver im IPv6 Adressbereich Derzeit gibt es dort noch keine Inhalte, außer einer kleinen Informationsseite. Wer über eine v6 Internetanbindung verfügt, kann den Server über http://www.v6now.anb-networkz.net erreichen. Für alle anderen, hier ein Screenshot:

IPv6 Testserver Startseite

Der Server ist mit hilfe eines Heartbeat-Tunnels über sixxs.net an das Internet angebunden. Mir wurde das Netzwerk 2a01:198:200:7a6::/64 für die Punkt-zu-Punkt Verbindung zum Tunnelbroker zugewiesen. Der Aufbau des Tunnels erfolgt über das “Automatic IPv6 Connectivity Client Utility”, kurz AICCU.

T-Home Entertain IPTV über T-DSL 16000+

Posted on by

Seit einer Woche ist es nun endlich soweit. Am 08.05.2009 Bestellt, ab 01.06.2009 Bezahlt und an 19.01.2010 geschaltet. Nachdem ich meine Fritz!Box 7170 endlich dazu überreden konnte mit dem Anschluss zusammenzuarbeiten habe ich mir die übertragenen Daten etwas genauer angeschaut.

T-Home verwendet 2 getrennte logische Verbindungen auf der DSL-Strecke. Um diese Trennung überhaupt zu ermöglichen, werden die Ethernet-Frames (die wiederum mit LLC Kapselung übertragen werden) mit einer VLAN-ID versehen. Dies ermöglicht dem Router jedes VLAN als getrenntes Netz zu betrachten. Über VLAN 7 wird eine PPPoE Verbindung aufgebaut. Diese Strecke wird auch als Default route verwendet. In VLAN 8 wird über DHCP eine IP-Adresse und einige Routen zu den IPTV Servern der Telekom übergeben. Über dieses VLAN werden auch die Multicast-Pakete des IPTV übertragen. Der Router selbst muss über einen IGMPv3-Proxy verfügen, um die im LAN angeforderten Multicast-Adressen über IGMP auf VLAN 8 anzufordern und lokal zu verteilen.

Wie funktioniert das ganze? Eigentlich recht simpel. Der Mediareceiver registriert sich im LAN als Multicast-Fähiges Gerät und meldet sich per Unicast an den IPTV Servern (xxx.iptv.t-online.de) der Telekom an. Von diesen Servern erhält das Gerät auch eine Liste mit Multicast-Adressen der einzelnen Kanäle. Schaltet man nun auf einen dieser Kanäle, meldet sich der Receiver per IGMP am DSL-Router für die Multicast-Adresse des Kanals an. Der Router sendet ebenfalls eine Anfrage per IGMP über VLAN8 und tritt so der Gruppe bei. Der Datenstrom wird zum Router übertragen (UDP, Port 10000) und dieser leitet die Multicast-Pakete auf dem Ethernet-Port weiter, von dem die Adresse angefordert wurde.

Um keine Verzögerungen durch Multicast-Joins beim Umschalten zu verursachen, wird der Kanal für ca. 10 Sekunden per Unicast (UDP, Port 2297)übertragen.

Alle aktiven Inhalte, wie beispielweise der EPG werden ebenfalls über VLan 8 übertragen.

t-home_iptv_multicast