Nun habe ich nach einiger Recherche im Netz eine Möglichkeit gefunden, Dropbox als Service einzurichten. Das ganze ist im Dropbox-Wiki sehr gut Dokumentiert.

Die dort verwendeten init Script verwenden allerdings Multiuser-Umgebungen. Auf einem Server ist es besser einen getrennten Benutzer anzulegen und Dropbox unter diesem zu starten. Der neue user dropbox mit dem Basedir /data/raid/dropbox soll dazu verwendet werden.Nach dem Anlegen des Benutzers muss der dropboxd einmalig unter diesem Benutzer gestartet und der Account aktiviert werden. Meine Anpassungen am Gentoo Script sehen wie folgt aus:

#!/sbin/runscript
# Copyright 1999-2004 Gentoo Foundation
# Distributed under the terms of the GNU General Public License, v2 or later
# $Header: /var/cvsroot/gentoo-x86/sys-fs/dropbox/files/dropbox.init-1.0,v 1.4 2007/04/04 13:35:25 cardoe Exp $
NICENESS=5
DROPBOX_USER="dropbox"
DROPBOX_HOME="/data/raid/dropbox"
DROPBOX_BINARY="/opt/dropbox/dropboxd"
DROPBOX_LOG="/var/log/dropbox_log"
DROPBOX_ERR="/var/log/dropbox_err"
depend() {
need localmount net
after bootmisc
}
start() {
ebegin "Starting dropbox..."
touch $DROPBOX_LOG
touch $DROPBOX_ERR
chown $DROPBOX_USER $DROPBOX_LOG $DROPBOX_ERR
start-stop-daemon -1 $DROPBOX_LOG -2 $DROPBOX_ERR -b -S -m --pidfile /var/run/dropbox.pid -o -N $NICENESS -u $DROPBOX_USER -v -e HOME=$DROPBOX_HOME -x $DROPBOX_BINARY
eend $?
}
stop() {
ebegin "Stopping dropbox..."
start-stop-daemon --stop --pidfile /var/run/dropbox.pid
eend $?
}
status() {
if [ -e /var/run/dropbox.pid ] ; then
echo "dropboxd running."
else
echo "dropboxd not running."
fi
eend $?
}

Zum Gehäuse:
Das sehr gut gelungene massive Gehäuse ist sehr schnell zu öffnen. Die 4 HDD Einschübe befinden sich hinter einer abschließbaren Fronttür, das passende Werkzeug zum Einbau der Festplatten in die Rahmen fehlt leider genau wie die nötigen Schrauben zum befestigen der Festplatten. Standard Sekkopf-Kreuzschlitzschrauben für Festplatten passen glücklicherweise in die vorgesehenen Bohrungen. Um den Speicher zu erweitern muss das Mainboard aus dem Gehäuse herausgenommen werden. Das unter den Festplatteneinschüben liegende Board befindet sich auf einem Schlitten. Zum Herausziehen sind lediglich 2 Schrauben und einige Stecker zu lösen. Nicht gerade der Komfort eines DL380, aber bei diesen Gehäuseabmessungen immer noch relativ komfortabel gelöst. Das System kommt ohne optisches Laufwerk. Über den Festplatten und der Frontklappe befindet sich ein 5 1/4″ Laufwerksschacht mit vorbereiteter S-ATA Verkabelung.Ein Band oder optisches Laufwerk ist hier durch öffnen der oberen Abdeckung schnell eingebaut. Um unerwünschtes Öffnen dieser Abdeckung zu verhindern, kann ein Schloss an der Rückseite angebracht werden. Ausgestattet mit 2x 2TB Enterprise HDD´s wiegt der Server ohne optisches Laufwerk knapp 5 Kg.

Leistung unter Windows Server 2008R2
Direkt nach der Installation können alle Komponenten mit Standardtreibern angesprochen werden. Es empfiehlt sich aber unbedingt den Grafik-/ Netzwerk-karten Treiber zu installieren. Um Datenredundanz zu schaffen sollte auf Windows Bordmittel zurückgegriffen werden. Der interne Controller realisiert das RAID auch nur über die CPU, allerdings ohne Wissen des Betriebssystems. Bei solchen “Soft-RAID” Treibern sollte immer auf die Betriebssystem Funktionen zurückgegriffen werden. Nach Abschluss der Erstsynchronisierung schreibt das System durchschnittlich 80MB/s auf die Datenträger. Das integrierte Gigabit LAN kann damit zwar nicht gesättigt aber immerhin sehr gut Ausgelastet werden.

Serverrollen/Konfiguration
Um einen Server an einem unsicherem Standort aufzustellen, sollte in jedem Fall ein getrenntes Subnet der Größe /24 oder /25 in einer neuen ActiveDirectory Site angelegt werden. Alle Kommunikation von und zu diesem Standort sollten dann IPSec verschlüsselt werden. Um den Standort an den Firmensitz anzubinden, empfiehlt sich ein getrennter L2 VPN-Router. Damit wird eine 2-Faktor Verbindungsverschlüsselung erreicht. Über diese Verbindung dürfen dann ausschließlich IKE und ESP Pakete der IPSec Verbindungen zugelassen werden. Um die Inhalte der Festplatten zu schützen sollte unbedingt EFS aktiviert werden. Somit sind alle nicht Domänenmitglieder aus dem Netzwerk und dem Dateizugriff ausgeschlossen. Der Server selbst wird als RODC konfiguriert. Ein lokaler DNS Server sowie globaler Katalog stellen die Anmeldefunktionen bei fehlender Netzwerkverbindung sicher. Allerdings sollten auf gar keinen Fall Kennwörter Administrativer Konten an den Standort repliziert werden. Eine Anmeldung am Server mit Administrativen Rechten ist so nur möglich wenn die IPSec Verbindung zum Hauptsitz steht. Um Druckfunktionen zur Verfügung zu stellen, empfiehlt sich zusätzlich die Rolle “Druck und Dokumentendienste”. Auch die Rolle “DHCP-Server” ist nützlich. Zum sichern und abgleichen der Daten kann eine DFS-Replikationsgruppe eingerichtet werden. Somit sind immer alle Daten an mindestens 2 Standorten verfügbar.

Fazit:
Der kleine Server bietet neue Möglichkeiten um kleine Firmenstandorte, Baustellen oder ähnliches mit Servern auszustatten. In Verbindung mit einem L2 VPN-Router (z.B. Cisco oder Astaro) lässt sich der komplette Netzwerkverkehr so absichern, dass selbst ein Sniffer an einem Monitor-Port kein Risiko darstellt. Dank RODC und EFS sind auch die Daten und Benutzerkonten relativ sicher. Der Nutzen eines solchen Servers übersteigt auf jeden Fall das Restrisiko. Alternativ müssten alle Anwender ihre Daten lokal verwalten, fällt eine Festplatte aus ist alles weg. Truecrypt usw. bringen auch nicht viel wenn die Daten per SMB Freigabe zwischen den Systemen kopiert werden. Dank des Server kann die Kommunikation mit IPSec und Kerberos abgesichert werden und Mitarbeitern an Remote Standorten eine sichere Zusammenarbeit im Netzwerk ermöglicht werden.

Mehr zum Server auf der HP Produktwebsite.

Das ganze funktioniert ganz einfach. Die Domain ähnlich wie in einer Suchmaschine eingeben und übermitteln. Es werden die Besucher, Kategorie, Einstufung, Backlinks und andere Daten zur Seite zusätzlich zum geschätzten Wert angezeigt. Meinj Blog kahm s auf etwas über 2.000,- EUR, Facebook hingegen auf über 4 Milliarden Euro. Aber probiert es einfach selbst was welche Seite im Moment wert ist. Unter http://bizzinformation.de könnt ihr das tun. Viel Spaß .

Dank an planbindustries.de für den Tipp.

Auch musste ich feststellen, dass Prozesse (speziell Apache) langsamer reagierten (HTTP Response von 52ms auf 320ms). Bei starker Auslastung des Servers kann das schonmal zum Problem werden.

Also, letzter Ausweg, AppArmor deaktivieren. Aber wie geht das? Die Deaktivierung der Prozese audit und apparmor verhindern zwar das Laden der Profile, das ganze Framework startet aber trotzdem. Auch das Kernelmodul kann nicht ohne manuelles neukompilieren entfernt werden, da OpenSuSE apparmor statisch in den Kernel kompiliert hat. Was nun? Bootoptions.

Die Parameter “audit=0″ und “apparmor=0″ verhindern die Initialisierung des Frameworks beim Start. Auch die Latenz des Apache-Servers ist nun wieder eigermaßen normal (100ms).

Für alle die gern Kernelbugs auswerten, hier der Bug der bei aktiviertem AppArmor auf meinem System auftrat:

------------[ cut here ]------------
kernel BUG at /usr/src/packages/BUILD/kernel-default-2.6.34.7/linux-2.6.34/kernel/cred.c:518!
invalid opcode: 0000 [#1] SMP
last sysfs file: /sys/devices/system/cpu/cpu1/cache/index2/shared_cpu_map
CPU 1
Modules linked in: xt_tcpudp xt_pkttype dme1737 hwmon_vid ip6t_REJECT nf_conntrack_ipv6
ip6table_raw xt_NOTRACK ipt_REJECT xt_state iptable_raw iptable_filter
ip6table_mangle nf_conntrack_netbios_ns nf_conntrack_ipv4 nf_conntrack
nf_defrag_ipv4 ip_tables ip6table_filter ip6_tables x_tables xfs exportfs
loop dm_mod container i2c_nforce2 sg forcedeth k8temp serio_raw pcspkr
edac_core edac_mce_amd button raid456 async_raid6_recov async_pq raid6_pq
async_xor xor async_memcpy async_tx raid10 raid0 ata_generic pata_amd sata_nv
libata fan sd_mod raid1 arcmsr scsi_mod edd thermal processor thermal_sys
Pid: 2640, comm: httpd2-prefork Not tainted 2.6.34.7-0.7-default #1 D2461-C1/D2461-C1
RIP: 0010:[] [] commit_creds+0x19b/0x1a0
RSP: 0018:ffff88007b891c48 EFLAGS: 00010287
RAX: 0000000000000001 RBX: ffff88007b88d980 RCX: 0000000000000000
RDX: ffff88007d00ca00 RSI: ffffffff812033e0 RDI: ffff88007c067a80
RBP: ffff88007c067a80 R08: 0000000000000000 R09: 0000000000000000
R10: 0000000000000000 R11: 0000000000000246 R12: ffff88007b89c600
R13: ffffffff81a15320 R14: ffffffff81a151a0 R15: 0000000000000001
FS: 00007fd770aab700(0000) GS:ffff880001f00000(0000) knlGS:0000000000000000
CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033
CR2: 00007fd77115d548 CR3: 000000007d308000 CR4: 00000000000006e0
DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000
DR3: 0000000000000000 DR6: 00000000ffff0ff0 DR7: 0000000000000400
Process httpd2-prefork (pid: 2640, threadinfo ffff88007b890000, task ffff88007b89c600)
Stack:
ffff88007d00cac0 ffff88007d89a800 ffff88007c067a80 ffffffff81200396
<0> ffff88007d89a800 ffff88007d00cc00 ffffffff81a151a0 ffffffff812060b0
<0> ffff880001e16a08 ffff88007b891da8 ffffffff81776fe0 0000000000000001
Call Trace:
[] aa_replace_current_profiles+0xc6/0x100
[] apparmor_sysctl+0x140/0x150
[] sysctl_perm+0x2d/0xd0
[] proc_sys_permission+0x4c/0xc0
[] exec_permission+0x28/0xa0
[] link_path_walk+0x80/0xab0
[] path_walk+0x5a/0xd0
[] do_path_lookup+0x4b/0x90
[] user_path_at+0x5a/0xb0
[] sys_faccessat+0xd5/0x1e0
[] system_call_fastpath+0x16/0x1b
[<00007fd76fd61497>] 0x7fd76fd61497
Code: 53 30 48 89 c1 48 89 d6 f7 d2 48 c1 e9 20 48 c1 ee 20 85 c2 0f 85 c0 fe ff ff
f7 d6 85 ce 0f 84 da fe ff ff e9 b1 fe ff ff 0f 0b <0f> 0b 0f 1f 00 55 48 89
fd be d0 00 00 00 53 48 83 ec 08 48 8b
RIP [] commit_creds+0x19b/0x1a0
RSP
---[ end trace 817a31ef734f9acb ]---


Sollte man dann auch noch wie ich das DNS bei einem anderem Anbieter hosten, bekommt man an der Hotline nicht mal die aktuelle IP des Webservers um seine Zonefiles anzupassen. Und nochwas, die physischen Server sind leider extrem unterdimensioniert und der Apache so konfiguriert, dass er sogar noch Verbindungen annimmt wenn absolut keine Systemressourcen mehr zur Verfügung stehen. Kurz, die MPM-Konfiguration passt nicht zur Leistung der Hardware.

Unterm Strich, für das Geld bekommt zwar ordentlich webspace und einige Features die es bei größeren providern nicht gibt, die Stabilität und die Wartungpraktiken machen das Angebot für Leistunghungrige Webseiten oder Seiten mit hohen Besucherzahlen uninteressant. Da hilft auch der SSL-Proxy nichts mehr.

Zur Ausstattung:

Die ersten beiden SATA-II Anschlüsse werden über den Standard 82801GR/GH (ICH7 Family) SATA AHCI Controller bereitgestellt.  Der onboard “Realtek RTL8111/8168B” Gigabit Ethernet Chip ist intern genau wie der von Gigabyte “Gigabyte SATA-II Controller” getaufte “JMicron 20360/20363 Serial ATA Controller” über PCI Express angebungen. Leider wird der am 82801G (ICH7 Family) High Definition Audio Controller angebundene Realtek ALC887 noch nicht von ALSA unterstützt. Alsactl meldet “Unknown hardware: “HDA-Intel” “Realtek ALC887″ “HDA:10ec0887,1458a002,00100302″ “0×1458″ “0xa002″. Anwender, die dieses Board als Multimedia-System einsetzten wollen, sollten dies beachten. Leider kann im BIOS nicht sehr viel Speicher für den “Intel Pineview” Grafikchip” zugewiesen werden, was wieder gegen Multimedia-Einsatz spricht. Für Erweiterungskarten steht ein normaler PCI-Slot zur Verfügung.

Hardware-Monitoring

Das Board verfügt noch über einen it8720-isa-0290 Hardware-Monitoring Chip und den üblichen coretemp-Sensor bei Intel-Prozessoren. Beide werden vom LM-Sensors-Projekt unterstützt und auch richtig erkannt. Es können die üblichen Spannungen, Coretemp und Lüfterdrehzahl problemlos abgefragt und überwacht werden.

Leistung

Die beiden Kerne und die HT Unterstützung machen sich unter Linux bemerkbar. Im Vergleich zu meinem EPIA C7 1Ghz System ist der Atom um das 5-10 Fache schneller. Leider fehlt ihm eine Hardware-AES Engine zur Festplattenverschlüsselung, was den kleinen Prozessor beim Verschlüsseln von Software-Raids an seine Grenzen bringt. In den beiden DDR3 Speicherbänken können maximal 4GB PC3-800 Speicher installiert werden. Für einen Heimserver mehr als ausreichend.

Fazit

Das Mainboard ist in Preis/Leistung fast nicht mehr zu überbieten. Das fast perfekte Mainboard für einen Heimserver. In Verbindung mit einem IDE-Flash Modul für das Betriebssystem stehen 4 SATA-Ports zur Verfügung. Zusammen mit dem Chenbro ES34069 ergibt das einen sehr stromsparenden Heimserver.

Weitere Informationen zum Mainboard bei Gigabyte

Wie man PHP im IIS einbindet werde ich hier nicht beschreiben. Allerdings sollte man das LDAP-Modul auch laden. Dazu entfernt man einfach den Kommentar in der Zeile “;extension=php_ldap.dll”. Aber noch nicht genug. In der Standardeinstellung versucht das LDAP-Modul bei einer Verbindung über SSL das Zertifikat zu prüfen. Dies scheitert meistens und man erhält die Fehlermeldung ” ldap_bind(): Unable to bind to server: Can’t contact LDAP server”. Unschön. Um die Zertifikatsprüfung abzuschalten, erstellt man auf Laufwerk C: des Servers den Ordner  “C:\openldap\sysconf” und legt dort eine Datei namens “ldap.conf” ab. Hier können nun Einstellungen für das OpenLDAP-Modul gesetzt werden. Um die Zertifikatsprüfung abzuschalten, reicht es hier die Zeile “TLS_REQCERT never” einzutragen. Anschließend sollte man den IIS “WWW-Publishingdienst” neustarten.

Eine Verbindung zum LDAP-Server stellt man nun mit PHP wie folgt her:


$ldap->user="user@ad.firma.de"; // Benutzername in form LOGON@DOMÄNE
$ldap->password="12345"; // Passwort des Benutzers
$ldap->server="ad.firma.de"; // LDAP-Server, bei AD-Domänen kann einfach der Domänenname angegeben werden
/* Verbindung mit dem LDAP-Server herstellen */
$ldap->conn=ldap_connect("ldaps://".$ldap->server, 636); // Verbinde mit Server über LDAPS auf Port 636
ldap_set_option($ldap->conn, LDAP_OPT_PROTOCOL_VERSION, 3); // Verwende LDAP Protokoll version 3
ldap_set_option($ldap->conn, LDAP_OPT_REFERRALS, 0); // Referenzen nicht folgen
/* Nun melden wir uns am LDAP-Server an (LDAP-BIND)*/
$ldap->bind=ldap_bind($ldap->conn,$ldap->user,$ldap->password); // Verbindung herstellen

Nun könnte man im LDAP Suchanfragen oder andere Dinge unter den Rechten des Bind-Benutzers starten. Viel Spaß.

Installation unter Gentoo

Kopieren des Download-Links von http://www.imapproxy.org/download.html in die Zwischenablage

cd /usr/src
wget http://www.imapproxy.org/downloads/up-imapproxy-VERSION.tar.gz (vorher kopiert :- )
tar xfz up-imapproxy-1.2.6.tar.gz

Gentoo sollte als Meta-Distribution alle Abhängigkeiten zum Kompilieren erfüllen. Für andere Distributionen sollten die entsprechenden Pakete (GCC, MAKE, usw.) installiert werden.

Konfigurieren und Kompilieren:

./configure --prefix=/usr --sysconfdir=/etc/imapproxy  --localstatedir=/var
make

Installieren:
Ein Blick ins Makefile verrät das von „make install“ nur 2 Dateien nach /usr/sbin kopiert werden.  „make install-init“ sollte man unter Gentoo nicht ausführen, da die scripte unter /etc/init.d abgelegt werden.  Die Konfiguration kann auch per Hand kopiert werden.

make install
mkdir /etc/imapproxy
cp scripts/imapproxy.conf /etc/imapproxy

Nun schnell noch ein für gentoo passendes init-script schreiben und unter /etc/init.d ablegen …

#!/sbin/runscript
#Runscript for imap-proxy under Gentoo Linux
#
opts="checkconfig reload"
depend() {
need net hostname localmount
}
checkconfig() {
if [ ! -e /etc/imapproxy/imapproxy.conf ]; then
eerror "Please create /etc/imapproxy/imapproxy.conf first!"
return 1
fi
}
start() {
checkconfig || return 1
ebegin "Starting imap proxy"
start-stop-daemon --start --quiet --exec /usr/sbin/in.imapproxyd -- -p /var/run/imapproxy.pid -f /etc/imapproxy/imapproxy.conf
eend $? "Failed to start imap proxy"
}
stop() {
ebegin "Stopping imap proxy"
start-stop-daemon --stop --quiet --pidfile /var/run/imapproxy.pid
}
Die Konfiguration erfolgt in der Datei /etc/imapproxy/imapproxy.conf. Die Kommentare sind mehr als ausreichend. Ich empfehle aus sicherheitsgründen den Proxy ausschließlich an das  loopback Interface (127.0.0.1)  zu binden. Sollte sich der IMAP-Server im gleichem Netz (z.B. DMZ) oder gar auf dem gleichem Host befinden, kann auf SSL verzichtet werden.

Nun kann der Proxy gestartet werden.

/etc/init.d/imapproxy start

“tail /var/log/messages /var/log/mail.log” sollten nun folgende Zeilen zeigen:

in.imapproxyd: main(): Using pidfile '/var/run/imapproxy.pid'
in.imapproxyd: main(): Using configuration file '/etc/imapproxy/imapproxy.conf'
in.imapproxyd: Using syslog facility 'LOG_MAIL' for logging.
in.imapproxyd[1957]: Masking syslog priority up to LOG_INFO.
in.imapproxyd[1957]: main(): SELECT caching is disabled
in.imapproxyd[1957]: main(): Internal admin commands are disabled
in.imapproxyd[1957]: main(): Allocating 3072 IMAP connection structures.
in.imapproxyd[1957]: ServerInit(): Using '/var/log/imapproxy_protocol.log' for global protocol logging file.
in.imapproxyd[1957]: ServerInit(): proxying to IMAP server '**********'.
in.imapproxyd[1957]: ServerInit(): Proxying to IMAP port 143
in.imapproxyd[1957]: main(): Binding to tcp 127.0.0.1:1430
in.imapproxyd[1957]: main(): Using global statistics file '/var/run/pimpstats'
in.imapproxyd[1957]: Daemonize(): Configured to run in background mode.
in.imapproxyd[1959]: BecomeNonRoot(): Process will run as uid 65534 (nobody) and gid 65534 (nobody).
in.imapproxyd[1959]: main(): Launched ICC recycle thread with id -1381332080
in.imapproxyd[1959]: main(): imapproxy version 1.2.6 normal server startup.


INIT, “netstat -nlp” und “ps -Al” sollten bestätigen das der Proxy läuft.

netstat -nlp | grep -i imapproxy
tcp        0      0 127.0.0.1:1430           0.0.0.0:*               LISTEN     1959/in.imapproxyd
ps -AlF
5 S nobody 1959 1 0 78 0 - 5067 415801 1176 0 16:37 ? 00:00:00 /usr/sbin/in.imapproxyd -p /var/run/imapproxy.pid -f /etc/imapproxy/imapproxy.conf
/etc/init.d/imapproxy status
* status: started

Abschließend wird der Webmailer zur Verwendung des IMAP-Proxys konfiguriert und fertig.
z.B. Roundcube:

$rcmail_config['default_host'] = 'localhost';
$rcmail_config['default_port'] = 1430;

Anfangs sollte man die “syslog_facility” mindestens auf “LOG_INFO”. Dies hilft bei der Fehlersuche.