NAS im Selbstbau – Teil 2

Hallo zusammen,
im Teil 1 schraubten wir die Hardware zusammen. Führten ein BIOS Updaten durch und ersetzen den Intel „Skylake“ gegen einen Intel „Kaby Lake“ Prozessor.

Im zweiten Schritt erfolgte der Ausbau meiner 4 1TB Festplatten aus meinem Arbeitsrechner in das neue NAS ITX-Gehäuse. Das Verschrauben ist gut im Handbuch des Fractal Node 304 Gehäuse beschrieben.

WP_20170528_18_26_27_Pro
Neben den 4 1TB Festplatten werkeln als Systemplatte 2x Sandisk SSD und für Microsoft Storage Spaces eine weitere SSD mit 128GB von Drevo. Diese SSD dient als Pufferspeicher für die Storage Spaces.

WP_20170604_08_20_21_Pro

Im Gehäuse sind somit 7 Geräte verschraubt obwohl nur Platz für 6 Massenspeicher vorgesehen ist. Der Trick ist, gegenüber den 3,5 Zoll Festplatten lassen sich mit etwas Geschick noch ein 2,5 Zoll Datenträger verschrauben.
Die 4 Festplatten sind am Dell SAS 5E Controller angeschlossen. Hierzu ist ein Adapter von SFF8470 auf SATA notwendig.  Die restlichen Geräte am Mainboard Integrierten Intel „Rapid Storage Controller“.

WP_20170528_18_26_27_Pro

WP_20170528_18_29_03_Pro

WP_20170528_18_28_51_Pro

Im Teil 3 kümmern wir uns um die Installation des Windows Servers 2016 Standard Edition. Bis dahin…

Advertisements

Intel Pentium G4560 Kaby Lake im Asus P10S-I

Hallo zusammen,
es dauerte leider länger als gedacht mit dem Update. Die Lieferung des Prozessors war innterhalb 2 Tage abgeschlossen. Selbst der Einbau war einfacher als gedacht. Leider mangelte es an Zeit das Projekt schneller durchzuführen. Doch zumindest kann ich Euch den Status vermelden, mit dem BIOS Update läuft nuch auch Intel´s Kaby Lake G4560 Prozessor auf dem ASUS P10S-I Mainboard. Ob sich im Vergleich zwischen G4400 und G4560 viel an der Leistung getan hat, kann ich momentan nicht beantworten. Laut Benchmarks der einschlägigen Zeitschriften lautet die Antwort: JA!

Hier noch drei kleine Bilder mit dem neuen Prozessor:
WP_20170422_18_12_48_Pro

WP_20170422_18_15_25_Pro

WP_20170422_18_24_40_Pro

NAS im Selbstbau

Wie vieles im Leben muss sich manche liebgewonnene Gegebenheit den Anforderungen der heutigen Zeit stellen. Durch den Kauf eines hypermodernen Curved-Fernseher, kam der Wunsch bei meiner Partnerin, endlich Film- und Musik zu streamen.
Diesem Wunsch komme ich natürlich gerne nach, denn auch mein Arbeitsrechner hat neben einer M.2 SSD Karte für das Betriebssystem auch ein Raid 10 mit 4x 1TB Festplatten eingebaut. Es rattern die Festplatten, die Lüfter heulen fröhlich bei Belastung, somit steigt die Geräuschkulisse deutlich an. Letztlich nur mit Kopfhörer wirklich erträglich…
Ein Server für das Datenmassengrab drängt sich förmlich auf  🙂

Lange rede kurzer Sinn, eine NAS (Network Attached Storage) muss her!

Eine fertige aus Produktionshallen diverser Hersteller kam daher für mich niemals in Frage.
Meine Anforderungen an die NAS sind, ein Windows Betriebssystem mit installiertem Hyper-V. Somit kann ich bei Bedarf problemlos VMs nach eigenen Bedarf hinzufügen. Obwohl es wohl bereits einen VDR im Docker Container gibt? Außerdem brauche ich einen PCIe Slot für meine SAS Karte zum Anschluß eines LTO Bandlaufwerks. Kleines ITX Board mit Gehäuse zur Aufnahme für 6x Festplatten 3,5 Zoll Formfaktor. Der NAS Rechner soll im Keller stehen ohne zusätzlichen Maus, Tastatur und Monitor Anschluss. Daher muss das Mainboard eine Remoteverwaltung mit separatem Managementnetzwerkanschluss zur Verfügung stellen. Außerdem sind 2 Netzwerkanschlüsse sinnvoll aufgrund meines belegten PCIe Slot durch den SAS Controller.
Als Arbeitsspeicher genügen mir erstmals 16GB ECC RAM. Warum ECC Speicher werden sich vielleicht der eine oder andere sich Fragen? Wenn das Board und Prozessor ECC unterstützen, sehe ich keinen Grund es nicht zu kaufen. Es gibt durchaus Markenspeicher zu einem günstigen Kurs. Hier heißt es die Angebote abzugrasen. Richtig ist, befindet sich der Fehler bereits auf dem Client wird dieser mit auf die NAS mit ECC transferiert. Da ich aber überwiegend Daten direkt auf der NAS erzeuge, bietet ECC einen Mehrwert an.

Somit blieb ich bei Microsoft Server 2016 hängen. Aktuell, schnell und mit Storage Spaces bietet das Betriebssystem genau die Anforderungen was ich suchte. Ich wollte weg von diesem statischen Hard- Software Raid Level Klump. Natürlich bieten viele Hersteller gut Raid Controller an die eine Vergrößerung der Datenkapazität dynamisch erlauben. Wieso aber extra Geld, und zwar nicht wenig, für Hardware ausgeben?

Die ausgesuchte Hardware sieht wie folgt aus:
– ASUS P10S-I mit TPM und mit ASMB8 Modul für Fernwartung
– Pentium G4400 (Skylake)
– 16 GB Kingston ECC Speicher (KVR21E15D8/8HA)
– Fortron 200W FSP200-50GSV-5K SFX-Netzteil
– Fractal Design Node 304
– 2x SanDisk Z410 SSD für Betriebssystem (Raid-1)
– diverse Kabel

Das Mainboard war über meine Recherche hinweg preislich extrem schwankend. Als der Gedanke für die NAS aufkam war der Straßenpreis bei ca. 165€ + Versand. Nach einigen Tagen stieg der Preis zwischen 180€ bis 195€ an. Durch eine Preissuchmaschine entdeckte ich zufälligerweise ein Angebot eines ebay Händlers. Dieser bot das Board für 145€ inkl. Versand an. Ein Glücksgriff J, denn nach meinem Kauf änderte der Händler den Verkaufspreis auf 190€.

Die Lieferung ging schnell und zügig. Hierzu einige Impressionen:

Alle Komponenten im Überblick
Alle Komponenten im Überblick
Mainboard, BMC und TPM Modul
Mainboard, BMC und TPM Modul
Intel G4400 Pentium und Kingston ECC RAM (2x 8GB)
Intel G4400 Pentium und Kingston ECC RAM (2x 8GB)
SanDisk SSD Z410 256GB
SanDisk SSD Z410 256GB
Fractal Design Node 304
Fractal Design Node 304

Leider ist der Mainboard USB Header nicht mit dem USB Kabel des Gehäuses konform. Das Mainboard erlaubt lediglich den Anschluß einer USB Buchse. Die zweite USB Schnittstelle liegt somit brach, hätte ASUS wahrscheinlich besser lösen können. Mich stört es nicht sonderlich, ist doch der USB Header ein USB2 Port. Mir genügt 2x USB3 auf der Rückseite des Gehäuses.

Ansonsten verlief der Zusammenbau der Komponenten ohne großartige Komplikationen. Es ist schön wenn alles genormt ist. Aufgrund meiner Auslegung für 6x SATA Geräte bietet mir das Netzteil mit 1x Floppy, 2x Festplatte und 2 x SATA zu wenig Stromanschlüsse. Mein Ziel war alle Stromanschlüsse des Netzteils zu verwenden. Also mußte ein Adapter für Floppy zu SATA und ein SATA Y-Kabel her. Kein größeres Problem, die notwendigen Adapter gibt es alle bei Amazon für einen kleinen Euro Betrag. Das SFX Netzteil läßt sich aufgrund seiner Größe nur mit zwei Schrauben im Gehäuse befestigen. Überlegte mir im Vorfeld lang ob eine Blende von SFX auf ATX Sinn macht. Nach dem verschrauben stellte sich heraus das Netzteil hängt perfekt in Position. Glücklicherweise entfällt somit die ATX Blende! Aufgrund des kleineren Formfaktors erfolgte die Verlegung der Kabel unter das Netzteil.
Das Kabelmanagement ist in den Bildern quasi nicht vorhanden J Sobald alle Komponenten Ihren Stammplatz beziehen, erfolgt die Optimierung. Mein Mainboard hat 2x FAN  und 1x CPU FAN Anschlüsse. Somit fehlt mir ein Anschluss um alle drei Gehäuselüfter anzusteuern. Auf die im Gehäuse integrierte Lüfter Steuerung verzichte ich erstmals. Daher bekommen der Lüfter zum Kühlen der Festplatten und der hintere Gehäuselüfter einen gratis Steckplatz am Mainboard. Somit bleibt der 3 Gehäuselüfter erstmals unbenutzt im Systemkonstrukt.
So, noch ein Wort zu den 6x SATA Ports des Mainboards. Das Board bietet 2x reguläre SATA Anschlüsse, bei Anschluss einer M.2 SSD Karte deaktiviert sich automatisch der graue SATA Port. Die restlichen 4 SATA Anschlüsse sind über ein miniSAS HD Kabel zu verbinden. Wer nicht lange nach der korrekten Bezeichnung suchen will, der findet bei verschiedenen Anbieter ein SFF-8643 auf 4x SATA Kabel. Dieses Kabel belastet Euer Budget mit 10-20€. Preislich ok, wer die 4 regulären SATA Kabel erwerben muss, liegt in ähnlicher Dimension.

Hier noch ein paar Bilder zum Einbau. Erst Prozessor, dann Prozessorkühler, RAM Riegel und zuletzt, falls vorhanden, TPM und BMC.
Hier etwas Hardwareporn 🙂

Intel G4400 Prozessor auf ASUS P10S-I Mainboard
Intel G4400 Prozessor auf ASUS P10S-I Mainboard
Intel Boxed Kühler mit Push Pins
Intel Boxed Kühler mit Push Pins
2x 8GB KVR21E15D8/8HA DDR4-2133 ECC DIMM
2x 8GB KVR21E15D8/8HA DDR4-2133 ECC DIMM
Gehäuse blank
Gehäuse blank
200 Watt Fortron FSP200-50GSV-5K Netzteil eingebaut
200 Watt Fortron FSP200-50GSV-5K Netzteil eingebaut
Stromadapterkabel 1x Floppy, 2x SATA 1x SATA
Stromadapterkabel 1x Floppy, 2x SATA 1x SATA
Netzteil Rückseite, Kabelmanagement unterm Netzteil geführt
Netzteil Rückseite, Kabelmanagement unterm Netzteil geführt
Mainboard eingebaut... TPM Modul fehlt
Mainboard eingebaut… TPM Modul fehlt

Wir sehen uns beim zweiten Teil… Installation Windows Server 2016!

Remotedesktopverbindung SSO

Hallo zusammen,
heute rief ein Kunde an und meldet ein Problem mit seiner RDP Verbindung. Der Kunde verwendet das Remotedesktopgateway und ISA 2006 als Firewall bzw. Reverse Proxy.
Die Meldung beim Starten lautet wie folgt:

RDP Verbindung
RDP Verbindung

Der Herausgeber dieser Remoteverbindung kann nicht identifiziert werden. Möchten Sie die Verbindung trotzdem herstellen?“

Der Administrator hat nun Angst einen Fehler zu begehen. Der Grund dahinter ist ganz einfach. Windows warnt weil versucht wird eine unsichere Verbindung herzustellen. Bei diesem Kunde war aufgrund eines Vertrages notwendig eine SSL Verbindung mit 2-Faktor Authentifizierung für den Remotezugang zu den Entwicklungsservern bereitzustellen. Der Kunde hat aber keine eigene PKI und wollte keine weitere Kosten bzw. weiteren Administrativen Aufwand. Daher würde zum signieren der RDP Datei ein Zertifikat von Thawte verwendet. Dieses lief natürlich gestern ab und heute erscheint zurecht die Meldung. Es genügt nun ein neues Zertifikat zu ordern und die RDP Datei neu zu signieren und den betroffenen Mitarbeitern zur Verfügung zu stellen.
Installiert auf dem Remotedesktopgateway das Zertifikat und kopiert den Fingerabdruck heraus und entfernt alle Leerzeichen. Öffnet nun als Administrator eine Konsole und tragt dort folgendes ein:

rdpsign /sha1 FINGERABDRUCK PFAD_ZUR_RDP_DATEI
http://technet.microsoft.com/de-de/library/cc753982%28v=ws.10%29.aspx

Wenn alles richtig war erhaltet Ihr eine Erfolgsmeldung. Die RDP Datei wäre nun vorbereitet. Problem an der Sache ist, einige interne Mitarbeiter verwenden ebenfalls diese RDP Datei wenn Sie in der Firma sind. Der Auftraggeber wollte hier aber ein Singel-Sign-ON (SSO) verwenden um die doppelte Anmeldung am Client und Server zu vermeiden. Bei einem Windows 7 PC ist dies kein Problem. Damit der Client der signierten Datei vertraut, sind in der GPO 2 Einträge zu setzen.
In der Benutzerkonfiguration sind die beiden Option zu aktivieren:

RDP GPO
RDP GPO

Bei SHA1 Fingerabdrücke kopiert Ihr wiederum den Fingerabdruck des Zertifikates identisch zum Signieren der RDP Datei hinein. Bitte bei der Benutzerkonfiguration eintragen.

Damit SSO funktioniert, muss das Anmelden mit den Default Anmeldedaten am Terminalserver mittels TERMSRV/FQDN des Terminalservers eingetragen sein. Dies ist allerdings eine Computerkonfiguration.

Soweit so gut, weiterhin viel Spaß und bis demnächst…

MBAM Update Prozess von v1.0 zu v2.0

Aufgrund einiger Fragen zum Update von MBAM v1 zu v2.0 fasse ich die wesentlichen Punkte zusammen. Diese beziehen sich allerdings auf die Standalone Installation, also ohne SCCM Integration.

1. Server:

– Deinstalliere die vorherige MBAM Version.
– Die Datenbanken bleiben erhalten. Bei der Neuinstallation unbedingt die DB Namen beibehalten! Somit besteht weiterhin Zugriff auf die Recovery Keys und Compliance DBs!
– Bei verschlüsseltem Netzwerkverkehr unbedingt ein automatisch registrierendes Zertifikat auswählen.
– Gemischter Betrieb zwischen MBAM v1 und v2 ist möglich.
– Update ist im laufenden Betrieb möglich.

2. Client:

– Neuer MBAM Client ausrollen.

3. AD:

– neue ADMX Template ausrollen. Die vorherige Konfiguration notieren da diese überschrieben wird.

Ähnlich aller Projekte ist der Aufbau einer Testumgebung sinnvoll. Vor allem wer bereits Windows 8 Betriebssystem im Einsatz hat sollte genauer hinsehen. Diese bieten mehr Funktionsumfang als Windows 7.
Alles in allem ziemlich easy machbar und die Installationsagenten sind intelligenter als bei der vorherigen Version.
Wer bereits Erfahrungen mit MBAM machte, egal ob positiv oder negativ, darf mir gerne schreiben.

Soviel dazu, vielen Dank und bis demnächst…

Bitlocker – MBAM v2 Grundinstallation Teil 3

Weiter geht es mit dem letzten und vermutlich einfachsten Installationsteil. Es fehlen noch die Gruppenrichtlinien. Leider unterstützen die neuen MBAM Templates kein Windows Server 2008. Daher bleibt nur der Weg über Server 2008R2 und für die Konfiguration die Installation des RSAT Paketes.

Die Installationsroutine beim MBAM ist hingegen schnell durchgeklickt. Es gibt keine Abhängigkeiten für die Templates. Zu finden sind diese nach der Installation unter %WINDIR%\PolicyTemplates

Ablage MBAM Templates
Ablage MBAM Templates
Templates im Ordner US
Templates im Ordner US

Ich werde das SSP noch in den Sharepoint integrieren. Somit können die Mitarbeiter selbst Ihre Recoverykeys generieren. Vielleicht auch über TMG nach extern publizieren… mal sehen was noch kommt.

Damit sind wir bereits am Ende angelangt. Viel Spaß mit MBAM v2

Bitlocker – MBAM v2 Grundinstallation Teil 2

Heute führen wir das Upgrade des MBAM v1 auf MBAM v2 auf dem Frontend Server durch. Im ersten Teil wurden die Datenbanken entsprechend für die neue Version angepasst. Das Frontend kam damit problemlos klar. Wir wollen natürlich alle Features und installieren den Frontend und das Selfservice Portal auf den bestehenden Frontend Server. Hardwareseitig gibt es keine Änderungen. In einer produktiv Umgebung ist mit einer gewissen Downtime zu rechnen. Sprich, Wiederherstellungskeys können während dem Upgrade nicht durch das Webfrontend angefordert werden.

Der erste Schritt auf dem Frontend Server ist die Deinstallation der vorherigen MBAM Version. Sollte es hierbei zu Problemen kommen, liegt dies zumeist am Zertifikat. Das Entfernen erfolgt analog zum beschriebenen Weg im ersten Teil. Nach der Deinstallation ist der Server ziemlich clean. Auch die Webseite wurde ordentlich entfernt.

Bevor wir starten, installieren wir das Selfservice Portal das ASP.NET MVC 2.0 Paket. Download ist unter: http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=22079  möglich.

Nach Starten des Installers begrüßt uns der Willkommensbildschirm, Klick auf Start um zur EULA zu gelangen.

MBAM v2 Willkommensseite
MBAM v2 Willkommensseite

Die EULA, nicht sonderlich spannend 🙂

02MBAM v2 - Eula
MBAM v2 – Eula

Wählt wiederum Eure Topologie aus. Bei mir aufgrund des fehlenden SCCM 2012 „Standalone“.

MBAM v2- Topologie
MBAM v2- Topologie

In der Feature Liste aktivieren wir das Self Service Server und den Frontend Server.

Auswahl der zu installierenden Komponenten
Auswahl der zu installierenden Komponenten

Es folgt eine Prüfung des Systems ob alle benötigten Komponenten installiert sind.

Alles für Installation vorhanden?
Alles für Installation vorhanden?

Aus dem ersten Teil bekannt ist die Netzwerkverschlüsselung mittels Zertifikat. Achtet darauf, dass das Zertifikat automatisch erneuert wird.  Bei einem abgelaufenen Zertifikat stellt der MBAM Writer Dienst auf dem Server seinen Dienst ein.

Zertifikat für Netzwerkverschlüsselung
Zertifikat für Netzwerkverschlüsselung

Wählt den Datenbank Server aus.

Auswahl des Datenbankservers
Auswahl des Datenbankservers
Auswahl des Datenbankservers
Auswahl des Datenbankservers

Gebt nun die URL zum Report Server ein. Für einen verschlüsselten Zugriff muss ein Zertifikat im Report Server hinterlegt sein.

Auswahl des Datenbankservers
Auswahl des Datenbankservers

Im nächsten Schritt gilt es die Konfiguration des Selfservice abzuschließen. Wer bereits eine IIS Struktur hat kann hier ggf. Änderungen vornehmen. Die Registrierung des SPN kann auch manuell erfolgen falls der Benutzer hierzu keine Berechtigung hätte.

Pfad für SelfService Portal
Pfad für SelfService Portal

Gleiche in grün nur für den Monitoring Server.

Pfad für Helpdesk
Pfad für Helpdesk

Sollen Microsoft Updates verwendet werden.

Windows Updates verwenden
Windows Updates verwenden

Zusammenfassung…

Zusammenfassung über alle getroffenen Einstellungen
Zusammenfassung über alle getroffenen Einstellungen

Geschafft…

Job done
Job done

Ob die Installation erfolgreich war zeigt ein Zugriff auf das Selfservice Portal.  Im Internetexplorer trage ich in die URL https://MEIN-SERVERNAME (wer ein SSL Zertifikat verwendet)!
Wichtig: Das SelfService Portal benötigt für den ersten Zugriff eine Internetverbindung um einige Script Dateien herunterzuladen.

Aufruf Selfservice Portal
Aufruf Selfservice Portal
Aufruf Selfservice Portal für Mitarbeiter
Aufruf Selfservice Portal für Mitarbeiter

 

Der Zugriff auf die Helpdesk Seite erfolgt unter: https://MEIN-SERVERNAME/HelpDesk

Aufruf Helpdesk
Aufruf Helpdesk

Soweit so gut, nächstes Mal machen wir das Upgrade komplett. Bis die Tage…