NAS im Selbstbau

Wie vieles im Leben muss sich manche liebgewonnene Gegebenheit den Anforderungen der heutigen Zeit stellen. Durch den Kauf eines hypermodernen Curved-Fernseher, kam der Wunsch bei meiner Partnerin, endlich Film- und Musik zu streamen.
Diesem Wunsch komme ich natürlich gerne nach, denn auch mein Arbeitsrechner hat neben einer M.2 SSD Karte für das Betriebssystem auch ein Raid 10 mit 4x 1TB Festplatten eingebaut. Es rattern die Festplatten, die Lüfter heulen fröhlich bei Belastung, somit steigt die Geräuschkulisse deutlich an. Letztlich nur mit Kopfhörer wirklich erträglich…
Ein Server für das Datenmassengrab drängt sich förmlich auf  🙂

Lange rede kurzer Sinn, eine NAS (Network Attached Storage) muss her!

Eine fertige aus Produktionshallen diverser Hersteller kam daher für mich niemals in Frage.
Meine Anforderungen an die NAS sind, ein Windows Betriebssystem mit installiertem Hyper-V. Somit kann ich bei Bedarf problemlos VMs nach eigenen Bedarf hinzufügen. Obwohl es wohl bereits einen VDR im Docker Container gibt? Außerdem brauche ich einen PCIe Slot für meine SAS Karte zum Anschluß eines LTO Bandlaufwerks. Kleines ITX Board mit Gehäuse zur Aufnahme für 6x Festplatten 3,5 Zoll Formfaktor. Der NAS Rechner soll im Keller stehen ohne zusätzlichen Maus, Tastatur und Monitor Anschluss. Daher muss das Mainboard eine Remoteverwaltung mit separatem Managementnetzwerkanschluss zur Verfügung stellen. Außerdem sind 2 Netzwerkanschlüsse sinnvoll aufgrund meines belegten PCIe Slot durch den SAS Controller.
Als Arbeitsspeicher genügen mir erstmals 16GB ECC RAM. Warum ECC Speicher werden sich vielleicht der eine oder andere sich Fragen? Wenn das Board und Prozessor ECC unterstützen, sehe ich keinen Grund es nicht zu kaufen. Es gibt durchaus Markenspeicher zu einem günstigen Kurs. Hier heißt es die Angebote abzugrasen. Richtig ist, befindet sich der Fehler bereits auf dem Client wird dieser mit auf die NAS mit ECC transferiert. Da ich aber überwiegend Daten direkt auf der NAS erzeuge, bietet ECC einen Mehrwert an.

Somit blieb ich bei Microsoft Server 2016 hängen. Aktuell, schnell und mit Storage Spaces bietet das Betriebssystem genau die Anforderungen was ich suchte. Ich wollte weg von diesem statischen Hard- Software Raid Level Klump. Natürlich bieten viele Hersteller gut Raid Controller an die eine Vergrößerung der Datenkapazität dynamisch erlauben. Wieso aber extra Geld, und zwar nicht wenig, für Hardware ausgeben?

Die ausgesuchte Hardware sieht wie folgt aus:
– ASUS P10S-I mit TPM und mit ASMB8 Modul für Fernwartung
– Pentium G4400 (Skylake)
– 16 GB Kingston ECC Speicher (KVR21E15D8/8HA)
– Fortron 200W FSP200-50GSV-5K SFX-Netzteil
– Fractal Design Node 304
– 2x SanDisk Z410 SSD für Betriebssystem (Raid-1)
– diverse Kabel

Das Mainboard war über meine Recherche hinweg preislich extrem schwankend. Als der Gedanke für die NAS aufkam war der Straßenpreis bei ca. 165€ + Versand. Nach einigen Tagen stieg der Preis zwischen 180€ bis 195€ an. Durch eine Preissuchmaschine entdeckte ich zufälligerweise ein Angebot eines ebay Händlers. Dieser bot das Board für 145€ inkl. Versand an. Ein Glücksgriff J, denn nach meinem Kauf änderte der Händler den Verkaufspreis auf 190€.

Die Lieferung ging schnell und zügig. Hierzu einige Impressionen:

Alle Komponenten im Überblick
Alle Komponenten im Überblick
Mainboard, BMC und TPM Modul
Mainboard, BMC und TPM Modul
Intel G4400 Pentium und Kingston ECC RAM (2x 8GB)
Intel G4400 Pentium und Kingston ECC RAM (2x 8GB)
SanDisk SSD Z410 256GB
SanDisk SSD Z410 256GB
Fractal Design Node 304
Fractal Design Node 304

Leider ist der Mainboard USB Header nicht mit dem USB Kabel des Gehäuses konform. Das Mainboard erlaubt lediglich den Anschluß einer USB Buchse. Die zweite USB Schnittstelle liegt somit brach, hätte ASUS wahrscheinlich besser lösen können. Mich stört es nicht sonderlich, ist doch der USB Header ein USB2 Port. Mir genügt 2x USB3 auf der Rückseite des Gehäuses.

Ansonsten verlief der Zusammenbau der Komponenten ohne großartige Komplikationen. Es ist schön wenn alles genormt ist. Aufgrund meiner Auslegung für 6x SATA Geräte bietet mir das Netzteil mit 1x Floppy, 2x Festplatte und 2 x SATA zu wenig Stromanschlüsse. Mein Ziel war alle Stromanschlüsse des Netzteils zu verwenden. Also mußte ein Adapter für Floppy zu SATA und ein SATA Y-Kabel her. Kein größeres Problem, die notwendigen Adapter gibt es alle bei Amazon für einen kleinen Euro Betrag. Das SFX Netzteil läßt sich aufgrund seiner Größe nur mit zwei Schrauben im Gehäuse befestigen. Überlegte mir im Vorfeld lang ob eine Blende von SFX auf ATX Sinn macht. Nach dem verschrauben stellte sich heraus das Netzteil hängt perfekt in Position. Glücklicherweise entfällt somit die ATX Blende! Aufgrund des kleineren Formfaktors erfolgte die Verlegung der Kabel unter das Netzteil.
Das Kabelmanagement ist in den Bildern quasi nicht vorhanden J Sobald alle Komponenten Ihren Stammplatz beziehen, erfolgt die Optimierung. Mein Mainboard hat 2x FAN  und 1x CPU FAN Anschlüsse. Somit fehlt mir ein Anschluss um alle drei Gehäuselüfter anzusteuern. Auf die im Gehäuse integrierte Lüfter Steuerung verzichte ich erstmals. Daher bekommen der Lüfter zum Kühlen der Festplatten und der hintere Gehäuselüfter einen gratis Steckplatz am Mainboard. Somit bleibt der 3 Gehäuselüfter erstmals unbenutzt im Systemkonstrukt.
So, noch ein Wort zu den 6x SATA Ports des Mainboards. Das Board bietet 2x reguläre SATA Anschlüsse, bei Anschluss einer M.2 SSD Karte deaktiviert sich automatisch der graue SATA Port. Die restlichen 4 SATA Anschlüsse sind über ein miniSAS HD Kabel zu verbinden. Wer nicht lange nach der korrekten Bezeichnung suchen will, der findet bei verschiedenen Anbieter ein SFF-8643 auf 4x SATA Kabel. Dieses Kabel belastet Euer Budget mit 10-20€. Preislich ok, wer die 4 regulären SATA Kabel erwerben muss, liegt in ähnlicher Dimension.

Hier noch ein paar Bilder zum Einbau. Erst Prozessor, dann Prozessorkühler, RAM Riegel und zuletzt, falls vorhanden, TPM und BMC.
Hier etwas Hardwareporn 🙂

Intel G4400 Prozessor auf ASUS P10S-I Mainboard
Intel G4400 Prozessor auf ASUS P10S-I Mainboard
Intel Boxed Kühler mit Push Pins
Intel Boxed Kühler mit Push Pins
2x 8GB KVR21E15D8/8HA DDR4-2133 ECC DIMM
2x 8GB KVR21E15D8/8HA DDR4-2133 ECC DIMM
Gehäuse blank
Gehäuse blank
200 Watt Fortron FSP200-50GSV-5K Netzteil eingebaut
200 Watt Fortron FSP200-50GSV-5K Netzteil eingebaut
Stromadapterkabel 1x Floppy, 2x SATA 1x SATA
Stromadapterkabel 1x Floppy, 2x SATA 1x SATA
Netzteil Rückseite, Kabelmanagement unterm Netzteil geführt
Netzteil Rückseite, Kabelmanagement unterm Netzteil geführt
Mainboard eingebaut... TPM Modul fehlt
Mainboard eingebaut… TPM Modul fehlt

Wir sehen uns beim zweiten Teil… Installation Windows Server 2016!

Advertisements

Reparatur Amiga 1200 – MLC RANDY ROM IDE Adapter

Am vergangenen Samstag (15.12.2012) war es wieder soweit… eine Amiga Reparatur Session. Mein Freund hatte einen MLC Randy ROM IDE Adapter falsch aufgesetzt. Dabei blieb eine IDE Reihe frei und zerstörte damit den Adapter. Die Platine selbst besteht aus einem Logik Chip (GAL 16V8), 2 Puffer ICs (SN74LS245), einem 44-pol. IDE Adapter und 2 40-pol. IDE Adapter. Viel Auswahl an Reparaturmöglichkeiten bestehen offensichtlich nicht. Nach einigem Messen stellte sich heraus, dass der 74er parallel zum GAL gelegen Probleme mit der Spannung hat. Da ich zwei neue ICs von Texas Instruments zuhause hatte bot ich an beide ICs zu tauschen. Auch wenn evtl. einer noch in Ordnung schien. Sicher ist sicher…

Bewaffnet mit Lötkolben, manuelle Entlötpumpe und Lötlitze begann ich Beinchen für Beinchen neu zu verzinnen und anschließend vom Lot freizusetzen. Es war allerdings ein richtig hartnäckiger Kampf. Selten bekam ich alles Lot frei und wechselte nach guten 10 Minuten auf die 3mm Spitze. Damit ging es deutlich besser und zügiger voran. Die Beiden 74er von Motorola waren 25 Minuten später freigelegt und ließen sich problemlos entfernen. Anschließend die neuen 74er zurechtgebogen und eingelötet. Mit dem Multimeter alles durchgemessen und das RANDY ROM am vorgeschriebenen Platz aufgesteckt. Mit Sichtkontrolle ob alle PINs richtig saßen 😉
Amiga eingeschaltet und er bootete sofort von seiner CF Karte. Mir gefällt der Adapter recht gut. Vor allem ist kein separates Kabel notwendig sondern die Platine wird direkt auf den IDE Port des Amiga aufgesteckt.

Anmerkung:
Die 3 Jumperblöcke müssen bei Kickstart 3.0 offen und bei Kickstart 3.1 geschlossen sein.
Der Sekundäre Port lässt sich nur mit der IDEfix Software verwenden. Dank IDEfix ist das RANDY ROM deutlicher fixer bei der Sache als der Standard Amiga Port.

MLC RANDY ROM IDE Adapter
MLC RANDY ROM IDE Adapter

MBAM/Bitlocker im Serverumfeld

Einige Blogleser fragten nach ob Bitlocker im Servereinsatz sinnvoll ist.

Pauschal ist dies nicht zu beantworten denn es gibt zu viele Faktoren die es zu berücksichtigen gilt. Schauen wir uns zuerst den Standort des Servers an. Bei den meisten Firmen stellt der Serverraum das Herzstück des Unternehmens dar und wird daher vor unbefugten Zutritt gesichert. Das „Wie“ ist hierbei nicht entscheidend! Wichtig ist dies anhand einer Unternehmensrichtlinie eindeutig zu definieren. Hier macht meiner Ansicht die Bitlocker Verwendungen keinen Sinn.

Angenommen Ihr Serverraum entspricht nicht der obigen Ansicht und die Server stehen evtl. nur in einer Besenkammer.  Prüfen Sie ob Ihr Server ein TPM Modul besitzt. Falls nein, können Sie MBAM nicht verwenden und müssen auf Bitlocker zurückgreifen. Bewahren Sie daher den Wiederherstellungsschlüssel an einem sicheren Ort auf der nicht nur sicher, sondern im Ernstfall schnell erreichbar ist. Für die Erhöhung der Sicherheit ist es anzuraten Bitlocker mit einer Pre-Authentifizierung zu verwenden. Hierbei ist eine PIN, USB Stick oder beides bei Verwendung eines TPM und ohne TPM nur die Verwendung mit USB Stick möglich. Die Verwendung eines TPM only Systems schützt Ihr System nicht. Ein Dieb wird den kompletten Rechner einkassieren und nicht zuvor die Festplatten entfernen.
Die Krux an der Sache ist nun folgende.  Bei einer Pre-Authentifizierung muss der USB Stick im Server stecken bzw. Sie müssen vor der Konsole sitzen und das Passwort eintippen. Beides nicht wirklich prickelnde und Alltagstaugliche Szenarios. Zwar ist seit Windows Server 2008 die Reboot Orgie bei jedem Windows Update größtenteils dahin doch ganz ausschließen lässt es sich nicht. Es ist zudem ärgerlich wenn Sie daheim sitzen und kurz noch etwas auf dem Server einstellen  und wegen Einstellungen den Server neu booten. Wohl dem der eine Management Konsole hat 🙂
Desweiterem liegt es schwer im Magen wenn bei einem Server ein Problem mit der Verschlüsselung auftritt. Versuchen Sie mal einen Server mit mehreren TB an Daten mittels repair-bde zu transferieren! Da kommt ihr definitiv ins Schwitzen wenn hunderte User anrufen und der Vorgesetzte im Genick sitzt!

Wie man sieht handelt es sich um eine schwierige Entscheidung. Ich persönlich empfinde einen gut gesicherten Serverraum als dienlicher als eine Softwareverschlüsselung!

Deneb und Delfina Flipper

Seit mehreren Monaten bin ich am Wiederaufbau meines Amiga 4000. Die Hardware ist verbaut und die Software installiert. Eigentlich ein zufriedenstellendes Ergebnis doch muckt die Delfina Flipper bei der MP3 Wiedergabe ständig und friert den Rechner ein. Zuerst dachte ich an ein Library Problem. Daher alle im Netz auffindbaren Bibliotheken gezogen und installiert. Doch immer fror der Rechner nach wenigen Minuten ein. Unzumutbar, der Ursache muss auf den Grund gegangen werden 🙂

Diese Diashow benötigt JavaScript.

Irgendwann hatte ich die Schnauze voll und begann alles zu dokumentieren. Die Testumgebung wurde Hardwaretechnisch nicht geändert. Die Delfina hing dabei am Clockport der Deneb die mit neuester Firmware ausgerüstet war. Der Testplayer war Amiga AMP mit MHI und die MPEGA Libmad Library. Dazu kam die neuste AHI 6 Version zum Einsatz.
Die MP3s lagen im Ordner HD0:Music/ wobei HD0 die Workbench Platte ist. Die MP3s waren ausschließlich Deep Dance oder Studio 33 Alben. Also zuletzt noch eine Playlist für Amiga AMP angelegt und los gingen die Tests.

Zuerst änderte ich nach jedem einfrieren die Delfina Library. Danach Rechner für 5 Minuten vom Stromnetz getrennt und weiter getestet. Die verschiedenen Library brachten keinen großen Erfolg.

Der nächste Schritt war der Delfina mehr Masse zu geben. Also ein Massekabel direkt mit dem Mainboard verbunden. Als Anschlusspunkt wählte ich an der Delfina die unterste PIN Reihe beim Clockport. Also wieder getestet und gleiches Ergebnis. Immer wieder fror der Rechner ein. Wobei das Massekabel deutlich für mehr Stabilität sorgte. Nun lief Amiga AMP bis zu 60 Minuten am Stück. Ein Rekord, wenn nicht gar ein Weltrekord! Denn solange hielt die Karte nie durch.
Naja, wenn ein zusätzliches Massekabel solch ein gutes Ergebnis lieferte, wieso nicht zusätzlich welche anlegen? Schließlich waren noch 2 Massepunkte auf der Delfina vorhanden. Da ich keine Ösen für das Massekabel mehr hatte, nahm ich einen gewöhnlichen Y-Stromstecker für Diskettenlaufwerke und steckte jeweils diesen an die Massepunkte an (bei mir ein rotes und ein schwarzes Kabel). Durch die zusätzliche Masse war der Klang der Karte deutlich verbessert. Doch bringt es auch die gewünschte Stabilität?

Die Ernüchterung folgte schnell, nach 10 Minuten fror der Bildschirm erneut ein. Also war es zuvor wohl Zufall. Die zusätzlichen Massepunkte brachten nicht die erhoffte Stabilität mit sich. Ziemlich gefrustet schaltete ich die Maschine aus und stellte diese erstmals in die Ecke. Man darf nicht vergessen, diese Tests umfassten eine Zeitspanne von gut und gerne 5 Wochen. Jeden Abend nach der Arbeit Amiga gestartet, Einstellungen gemacht, Librarys getauscht und Ergebnisse dokumentiert. Immer das gleiche Ritual…

Delfina Flipper mit zusätzlichem Masseanschluss
Delfina Flipper mit zusätzlichem Masseanschluss

Einige Tage später erneut den Amiga raus gekramt und erneut getestet. Bereits nach 4 Minuten war der Amiga eingefroren. Anschließend schaute ich mir meine Excel Tabelle an und war ratlos. Alles probiert was möglich war und das blöde Ding lief nicht stabil. Nach gut und gerne 5 Minuten starren kam eine Idee. Die Idee war, sich die MP3s anzusehen. Da diese über Jahre angesammelt wurde, kam für das Encodieren immer ein anderer Codec zum Einsatz. Als Open-Source Anhänger des Linuxforums verwendete ich immer LAME.  Nach guten 3 Stunden konnte ich die Abstürze der Delfina nachstellen und provozieren. Immer wenn eine MP3 mit LAME 3.97 v2 Preset Standard codiert wurde, stürzt der Amiga definitiv innerhalb 30 Minuten ab! Alle Pre- und Post LAME Version funktionieren hingegen tadellos!

Gestern lief das Gerät 11 Stunden durch ohne Absturz und spielte alle MP3s in der Playlist ab! Heute läuft der Amiga 4000 bereits gute 7 Stunden und spielt über Amiga AMP MP3s ab. Zur Nachstellung einer Arbeitsumgebung lade ich die neuen Debian 6 Version als ISO herunter. Ein Skript kopiert dabei Dateien vom USB Stick auf die Platte, entpackt die LHA Archive und kopiert alle Dateien wieder zurück. Anschließend beginnt die Prozedur erneut. Somit wird etwas Last auf dem Zorro-3 Bus, dem SCSI Interface und dem Prozessor generiert.

Delfina Flipper am Clockport der Deneb
Delfina Flipper am Clockport der Deneb

 Achtung:
Mein Massekabel ist ein Y-Verteiler für ein PC Diskettenlaufwerk. Normalerweise führt das Rote und Gelbe Kabel 5V bzw. 12V. Sie müssen das Kabel vorher anders ausrichten ansonsten zerstören Sie Ihre Hardware!
Für kaputte Hardware übernehme ich keine Garantie!!!

Die nächsten Tests beinhalt herauszufinden wie viele Massekabel ich ohne Absturz abziehen kann. Naja, notfalls bleiben alle dran, denn die hauptsache ist, die Kiste läuft stabil.

Bitlocker – MBAM Grundinstallation Teil 2

So, weiter gehts mit der MBAM Installation.

4. Installation der Templates
Der nächste Schritt beinhaltet die Installation der Gruppenrichtlinien Templates. Die Installation dieser erfolgt unter C:\Windows\PolicyDefinitions\ und die Dateien sind die beiden Bitlocker*.admx und im Unterordner en-US sind die Beschreibungen enthalten. Wer möchte kann diese direkt so auf einem AD Controller bzw. auf den zentralen Richtlinienspeicher kopieren.

GPO Templates
GPO Templates

Öffnet den Gruppenrichtlinieneditor und navigiert zu Computerrichtlinien -> Administrative Richtlinien -> Windows Komponenten und wenn ihr alles richtig gemacht habt, erscheint dort der Ordner MDOP MBAM.
Für die Grundkonfiguration sind folgende GPO notwendig:
1. Client Management -> Configure MBAM Services
2. Operating System Drive -> Operating System Drive Encryption settings
Wie man sieht, erlaubt MBAM nur noch die Verwendung von TPM und TPM + PIN. Also ohne TPM kein MBAM 😦

MBAM Gruppenrichtlinien
MBAM Gruppenrichtlinien

5. Clientseitige Anpassungen
Somit wäre dieser Part auf den Servern abgeschlossen. Installiert den MBAM Client auf Eurer Windows 7 Betriebssystem. Nach der Installation passiert erstmals gar nichts, weder Bitlocker noch der MBAM Client machen irgendwas. Dummerweise hat Microsoft versäumt einen Assistenten einzubauen der den Rechner auf die Bitlocker Tauglichkeit prüft. Bei der normalen Bitlocker Installation erzeugt der Assistent automatisch die neue Bootpartition. Bei MBAM muss sich der Admin selbst darum kümmern.
Gebt als Administrator folgenden Befehl ein:
BdeHdCfg.exe -target default -size 300 -quiet
Nach Beendigung des Befehls ist die Festplatte für die Bitlocker Verwendung vorbereitet.
Startet am besten den Rechner neu damit alle Änderungen übernommen werden. Prüft unter Dienste ob die beiden Bitlocker Dienste aktiv sind.

MBAM Client Dienste
MBAM Client Dienste

Sind beide aktiv erscheint innerhalb der nächsten 90 Minuten der MBAM Assistent. Wer dies verkürzen möchten, kann einen Registry Key setzen unter: HKLM\Software\Policies\Microsoft\FVE\MDOPBitlockerManagement\
Dort ein DWORD-32 hinzufügen NoStartupDelay. Der Wert enthält die Minuten in denen sich der MBAM Client rührt. Ein guter Wert hierfür ist die 5 (also 5 Minuten). Sobald der Wert, bei mir jedenfalls, darunter lag, startete der Client nicht und ich musste den Dienst neu starten. Hat der Client die Gruppenrichtlinie übernommen müssen hier bereits zwei Einträge stehen die auf den MBAM Management Server zeigen. Falls dies nicht der Fall sein sollte die Aktualisierung der Richtlinien mit gpupdate /force erzwingen.
Sofern alles richtig konfiguriert ist erscheint nun innerhalb der oben genannten Zeitspanne der MBAM Client. Der erste Schritt für diesen ist die Aktivierung des TPM.

TPM aktivieren
TPM aktivieren

Achtung: Wenn das TPM bereits aktiv sein sollte, evtl. durch ein anderes Programm beispielsweise durch Fingerprintsensor, kann der Assistent die TPM Information nicht in die Datenbank speichern!
Normalerweise ist das TPM im BIOS inaktiv und der MBAM Client kann das TPM aktivieren, den Besitz übernehmen und den Hash in die Datenbank schreiben.

Nach der Besitzübernahme forder der Assistent zum Neustart des Rechners auf. Kurz bevor das Betriebssystem geladen wird, bleibt es stehen mit der Aufforderung um Bestätigung, für das aktivieren des TPM. Den Text durchlesen und die Taste zur Bestätigung drücken (zumeist eine F-Taste). Windows startet nun normal hoch und nach der Anmeldung erscheint automatisch der MBAM Assistent wieder

TPM Aktivierung erfolgreich
TPM Aktivierung erfolgreich

um die restlichen Laufwerke zu verschlüsseln.

Bitlocker Verschlüsselung gestartet
Bitlocker Verschlüsselung gestartet
Geschafft, Laufwerk ist verschlüsselt!
Geschafft, Laufwerk ist verschlüsselt!

Es gibt an dieser Stelle nicht viel zu tun außer den Anweisungen am Bildschirm zu folgen. Lasst den Rechner nun seine Arbeit tun und ihr könnt Euch Euren Aufgaben widmen. 🙂