NAS im Selbstbau

12 04 2017

Wie vieles im Leben muss sich manche liebgewonnene Gegebenheit den Anforderungen der heutigen Zeit stellen. Durch den Kauf eines hypermodernen Curved-Fernseher, kam der Wunsch bei meiner Partnerin, endlich Film- und Musik zu streamen.
Diesem Wunsch komme ich natürlich gerne nach, denn auch mein Arbeitsrechner hat neben einer M.2 SSD Karte für das Betriebssystem auch ein Raid 10 mit 4x 1TB Festplatten eingebaut. Es rattern die Festplatten, die Lüfter heulen fröhlich bei Belastung, somit steigt die Geräuschkulisse deutlich an. Letztlich nur mit Kopfhörer wirklich erträglich…
Ein Server für das Datenmassengrab drängt sich förmlich auf  🙂

Lange rede kurzer Sinn, eine NAS (Network Attached Storage) muss her!

Eine fertige aus Produktionshallen diverser Hersteller kam daher für mich niemals in Frage.
Meine Anforderungen an die NAS sind, ein Windows Betriebssystem mit installiertem Hyper-V. Somit kann ich bei Bedarf problemlos VMs nach eigenen Bedarf hinzufügen. Obwohl es wohl bereits einen VDR im Docker Container gibt? Außerdem brauche ich einen PCIe Slot für meine SAS Karte zum Anschluß eines LTO Bandlaufwerks. Kleines ITX Board mit Gehäuse zur Aufnahme für 6x Festplatten 3,5 Zoll Formfaktor. Der NAS Rechner soll im Keller stehen ohne zusätzlichen Maus, Tastatur und Monitor Anschluss. Daher muss das Mainboard eine Remoteverwaltung mit separatem Managementnetzwerkanschluss zur Verfügung stellen. Außerdem sind 2 Netzwerkanschlüsse sinnvoll aufgrund meines belegten PCIe Slot durch den SAS Controller.
Als Arbeitsspeicher genügen mir erstmals 16GB ECC RAM. Warum ECC Speicher werden sich vielleicht der eine oder andere sich Fragen? Wenn das Board und Prozessor ECC unterstützen, sehe ich keinen Grund es nicht zu kaufen. Es gibt durchaus Markenspeicher zu einem günstigen Kurs. Hier heißt es die Angebote abzugrasen. Richtig ist, befindet sich der Fehler bereits auf dem Client wird dieser mit auf die NAS mit ECC transferiert. Da ich aber überwiegend Daten direkt auf der NAS erzeuge, bietet ECC einen Mehrwert an.

Somit blieb ich bei Microsoft Server 2016 hängen. Aktuell, schnell und mit Storage Spaces bietet das Betriebssystem genau die Anforderungen was ich suchte. Ich wollte weg von diesem statischen Hard- Software Raid Level Klump. Natürlich bieten viele Hersteller gut Raid Controller an die eine Vergrößerung der Datenkapazität dynamisch erlauben. Wieso aber extra Geld, und zwar nicht wenig, für Hardware ausgeben?

Die ausgesuchte Hardware sieht wie folgt aus:
– ASUS P10S-I mit TPM und mit ASMB8 Modul für Fernwartung
– Pentium G4400 (Skylake)
– 16 GB Kingston ECC Speicher (KVR21E15D8/8HA)
– Fortron 200W FSP200-50GSV-5K SFX-Netzteil
– Fractal Design Node 304
– 2x SanDisk Z410 SSD für Betriebssystem (Raid-1)
– diverse Kabel

Das Mainboard war über meine Recherche hinweg preislich extrem schwankend. Als der Gedanke für die NAS aufkam war der Straßenpreis bei ca. 165€ + Versand. Nach einigen Tagen stieg der Preis zwischen 180€ bis 195€ an. Durch eine Preissuchmaschine entdeckte ich zufälligerweise ein Angebot eines ebay Händlers. Dieser bot das Board für 145€ inkl. Versand an. Ein Glücksgriff J, denn nach meinem Kauf änderte der Händler den Verkaufspreis auf 190€.

Die Lieferung ging schnell und zügig. Hierzu einige Impressionen:

Alle Komponenten im Überblick

Alle Komponenten im Überblick

Mainboard, BMC und TPM Modul

Mainboard, BMC und TPM Modul

Intel G4400 Pentium und Kingston ECC RAM (2x 8GB)

Intel G4400 Pentium und Kingston ECC RAM (2x 8GB)

SanDisk SSD Z410 256GB

SanDisk SSD Z410 256GB

Fractal Design Node 304

Fractal Design Node 304

Leider ist der Mainboard USB Header nicht mit dem USB Kabel des Gehäuses konform. Das Mainboard erlaubt lediglich den Anschluß einer USB Buchse. Die zweite USB Schnittstelle liegt somit brach, hätte ASUS wahrscheinlich besser lösen können. Mich stört es nicht sonderlich, ist doch der USB Header ein USB2 Port. Mir genügt 2x USB3 auf der Rückseite des Gehäuses.

Ansonsten verlief der Zusammenbau der Komponenten ohne großartige Komplikationen. Es ist schön wenn alles genormt ist. Aufgrund meiner Auslegung für 6x SATA Geräte bietet mir das Netzteil mit 1x Floppy, 2x Festplatte und 2 x SATA zu wenig Stromanschlüsse. Mein Ziel war alle Stromanschlüsse des Netzteils zu verwenden. Also mußte ein Adapter für Floppy zu SATA und ein SATA Y-Kabel her. Kein größeres Problem, die notwendigen Adapter gibt es alle bei Amazon für einen kleinen Euro Betrag. Das SFX Netzteil läßt sich aufgrund seiner Größe nur mit zwei Schrauben im Gehäuse befestigen. Überlegte mir im Vorfeld lang ob eine Blende von SFX auf ATX Sinn macht. Nach dem verschrauben stellte sich heraus das Netzteil hängt perfekt in Position. Glücklicherweise entfällt somit die ATX Blende! Aufgrund des kleineren Formfaktors erfolgte die Verlegung der Kabel unter das Netzteil.
Das Kabelmanagement ist in den Bildern quasi nicht vorhanden J Sobald alle Komponenten Ihren Stammplatz beziehen, erfolgt die Optimierung. Mein Mainboard hat 2x FAN  und 1x CPU FAN Anschlüsse. Somit fehlt mir ein Anschluss um alle drei Gehäuselüfter anzusteuern. Auf die im Gehäuse integrierte Lüfter Steuerung verzichte ich erstmals. Daher bekommen der Lüfter zum Kühlen der Festplatten und der hintere Gehäuselüfter einen gratis Steckplatz am Mainboard. Somit bleibt der 3 Gehäuselüfter erstmals unbenutzt im Systemkonstrukt.
So, noch ein Wort zu den 6x SATA Ports des Mainboards. Das Board bietet 2x reguläre SATA Anschlüsse, bei Anschluss einer M.2 SSD Karte deaktiviert sich automatisch der graue SATA Port. Die restlichen 4 SATA Anschlüsse sind über ein miniSAS HD Kabel zu verbinden. Wer nicht lange nach der korrekten Bezeichnung suchen will, der findet bei verschiedenen Anbieter ein SFF-8643 auf 4x SATA Kabel. Dieses Kabel belastet Euer Budget mit 10-20€. Preislich ok, wer die 4 regulären SATA Kabel erwerben muss, liegt in ähnlicher Dimension.

Hier noch ein paar Bilder zum Einbau. Erst Prozessor, dann Prozessorkühler, RAM Riegel und zuletzt, falls vorhanden, TPM und BMC.
Hier etwas Hardwareporn 🙂

Intel G4400 Prozessor auf ASUS P10S-I Mainboard

Intel G4400 Prozessor auf ASUS P10S-I Mainboard

Intel Boxed Kühler mit Push Pins

Intel Boxed Kühler mit Push Pins

2x 8GB KVR21E15D8/8HA DDR4-2133 ECC DIMM

2x 8GB KVR21E15D8/8HA DDR4-2133 ECC DIMM

Gehäuse blank

Gehäuse blank

200 Watt Fortron FSP200-50GSV-5K Netzteil eingebaut

200 Watt Fortron FSP200-50GSV-5K Netzteil eingebaut

Stromadapterkabel 1x Floppy, 2x SATA 1x SATA

Stromadapterkabel 1x Floppy, 2x SATA 1x SATA

Netzteil Rückseite, Kabelmanagement unterm Netzteil geführt

Netzteil Rückseite, Kabelmanagement unterm Netzteil geführt

Mainboard eingebaut... TPM Modul fehlt

Mainboard eingebaut… TPM Modul fehlt

Wir sehen uns beim zweiten Teil… Installation Windows Server 2016!





MBAM/Bitlocker im Serverumfeld

6 06 2012

Einige Blogleser fragten nach ob Bitlocker im Servereinsatz sinnvoll ist.

Pauschal ist dies nicht zu beantworten denn es gibt zu viele Faktoren die es zu berücksichtigen gilt. Schauen wir uns zuerst den Standort des Servers an. Bei den meisten Firmen stellt der Serverraum das Herzstück des Unternehmens dar und wird daher vor unbefugten Zutritt gesichert. Das „Wie“ ist hierbei nicht entscheidend! Wichtig ist dies anhand einer Unternehmensrichtlinie eindeutig zu definieren. Hier macht meiner Ansicht die Bitlocker Verwendungen keinen Sinn.

Angenommen Ihr Serverraum entspricht nicht der obigen Ansicht und die Server stehen evtl. nur in einer Besenkammer.  Prüfen Sie ob Ihr Server ein TPM Modul besitzt. Falls nein, können Sie MBAM nicht verwenden und müssen auf Bitlocker zurückgreifen. Bewahren Sie daher den Wiederherstellungsschlüssel an einem sicheren Ort auf der nicht nur sicher, sondern im Ernstfall schnell erreichbar ist. Für die Erhöhung der Sicherheit ist es anzuraten Bitlocker mit einer Pre-Authentifizierung zu verwenden. Hierbei ist eine PIN, USB Stick oder beides bei Verwendung eines TPM und ohne TPM nur die Verwendung mit USB Stick möglich. Die Verwendung eines TPM only Systems schützt Ihr System nicht. Ein Dieb wird den kompletten Rechner einkassieren und nicht zuvor die Festplatten entfernen.
Die Krux an der Sache ist nun folgende.  Bei einer Pre-Authentifizierung muss der USB Stick im Server stecken bzw. Sie müssen vor der Konsole sitzen und das Passwort eintippen. Beides nicht wirklich prickelnde und Alltagstaugliche Szenarios. Zwar ist seit Windows Server 2008 die Reboot Orgie bei jedem Windows Update größtenteils dahin doch ganz ausschließen lässt es sich nicht. Es ist zudem ärgerlich wenn Sie daheim sitzen und kurz noch etwas auf dem Server einstellen  und wegen Einstellungen den Server neu booten. Wohl dem der eine Management Konsole hat 🙂
Desweiterem liegt es schwer im Magen wenn bei einem Server ein Problem mit der Verschlüsselung auftritt. Versuchen Sie mal einen Server mit mehreren TB an Daten mittels repair-bde zu transferieren! Da kommt ihr definitiv ins Schwitzen wenn hunderte User anrufen und der Vorgesetzte im Genick sitzt!

Wie man sieht handelt es sich um eine schwierige Entscheidung. Ich persönlich empfinde einen gut gesicherten Serverraum als dienlicher als eine Softwareverschlüsselung!





Bitlocker – MBAM Grundinstallation Teil 3

30 01 2012

Die Installation der Serverdienste, Konfiguration der Gruppenrichtlinien und des Agent beschrieb ich bereits in Teil 1+2. Auf Clientseite gibt es einige Punkte zu beachten die evtl. für Frust sorgen.

Die Client Hardware erscheint im Webinterface und nichts weiter passiert. Eines vorab, die Steuerung des MBAM Agents erfolgt unter HKLM\Software\Microsoft\MBAM\.

Als ersten Punkt muss die Hardware, sofern natürlich geeignet, auf „Compatible“ gesetzt werden. Der Client selbst baut allerdings erst in 24 Std. erneut eine Verbindung zum Server auf. Existiert bereits identische Hardware entfällt natürlich dieser Schritt. Wer nun neue Hardware hat und diese schnell testen möchte hat zwei Möglichkeiten:

  1. Deinstallation MBAM Agent – reboot – Installation MBAM Agent – reboot
  2. Löschen des HWExemtionTimer – reboot

Entsprechend der Vorgabe in den Gruppenrichtlinien bei „Configure MBAM Services“ baut der Client nun die Verbindung zum Server auf. Wer es eilig hat kann einen neuen DWORD-32 Eintrag namens „NoStartupDelay“ erstellen. Die Ziffer gibt die Startverzögerung des Clients an.

Sobald der MBAM Client erneut die Verbindung zum Server aufbaute und den aktuellen Status abfragt, ändert sich der Eintrag HWExemptionType.
Der Wert 1 bedeutet „Incompatible“ und der Wert 2 „Compatible“.

Wer etwas mehr sehen möchte kann unter HKLM\Software\Policies\Microsoft\FVE\ stöbern.

Wie bereits geschrieben sind diese Einstellungen nur für die Testreihe sinnvoll.

Nun zu meinem persönlichem Fazit:

An für sich macht MBAM eine gute Figur. Alle wichtigen Punkte sind enthalten, übersichtliches Management Webinterface (ist ja nicht viel ;)) und Rechteverteilung.

Was mir persönlich nicht gefällt ist die schlechte Integration auf dem Client. Nach Installation des Agents existiert nun die Standalone Bitlocker Umgebung parallel zur MBAM Installation. Schlimmer dabei ist die Standalone Variante ignoriert MBAM Richtlinien. Somit kann ein Mitarbeiter seinen Rechner über die Standalone Bitlocker Umgebung verschlüsseln und die Wiederherstellungsinformationen werden nicht in der DB abgelegt. Der Mitarbeiter kann selbst entscheiden was er mit diesen Schlüsseln macht (Speichern, drucken, etc.). Der MBAM Agent prüft nämlich nur, ob eine Verschlüsselung vorliegt, aber nicht ob der richtige Key in die Datenbank geschrieben wurde! Im Ernstfall steht der Verantwortliche Mitarbeiter im Regen und hat keine Chance jemals wieder an die Daten ranzukommen!

Gleiches Problem besteht mit dem Kommandozeilenprogramm „manage-bde“. Für den Standalone Bitlocker ein starkes Tool. Für MBAM mit TPM Einschränkung empfehlenswert. Ein über manage-bde aktiviertes TPM legt seine Daten nicht in der MBAM
Datenbank ab. Wer es weiß hat einen deutlichen Vorteil und tritt hier nicht in die Falle J

Die sicherste Methode ist die Wiederherstellung zu trainieren und zu dokumentieren. Denke Microsoft wird nachbessern und einige Punkte ausmerzen. Ansonsten taugt das MBAM durchaus auch im Unternehmensnetzwerk da es sich problemlos in eine Softwareverteilung integrieren lässt. Wer SCCM verwendet hat damit keinen Stress. Wer Benutzer mit lokalen Administrator Rechten auf Clients hat sollte umfassend aufklären und die Unterschiede deutlich machen.  In erster Linie geht es um die Sicherheit von Firmendaten.





Bitlocker – MBAM Grundinstallation Teil 2

15 01 2012

So, weiter gehts mit der MBAM Installation.

4. Installation der Templates
Der nächste Schritt beinhaltet die Installation der Gruppenrichtlinien Templates. Die Installation dieser erfolgt unter C:\Windows\PolicyDefinitions\ und die Dateien sind die beiden Bitlocker*.admx und im Unterordner en-US sind die Beschreibungen enthalten. Wer möchte kann diese direkt so auf einem AD Controller bzw. auf den zentralen Richtlinienspeicher kopieren.

GPO Templates

GPO Templates

Öffnet den Gruppenrichtlinieneditor und navigiert zu Computerrichtlinien -> Administrative Richtlinien -> Windows Komponenten und wenn ihr alles richtig gemacht habt, erscheint dort der Ordner MDOP MBAM.
Für die Grundkonfiguration sind folgende GPO notwendig:
1. Client Management -> Configure MBAM Services
2. Operating System Drive -> Operating System Drive Encryption settings
Wie man sieht, erlaubt MBAM nur noch die Verwendung von TPM und TPM + PIN. Also ohne TPM kein MBAM 😦

MBAM Gruppenrichtlinien

MBAM Gruppenrichtlinien

5. Clientseitige Anpassungen
Somit wäre dieser Part auf den Servern abgeschlossen. Installiert den MBAM Client auf Eurer Windows 7 Betriebssystem. Nach der Installation passiert erstmals gar nichts, weder Bitlocker noch der MBAM Client machen irgendwas. Dummerweise hat Microsoft versäumt einen Assistenten einzubauen der den Rechner auf die Bitlocker Tauglichkeit prüft. Bei der normalen Bitlocker Installation erzeugt der Assistent automatisch die neue Bootpartition. Bei MBAM muss sich der Admin selbst darum kümmern.
Gebt als Administrator folgenden Befehl ein:
BdeHdCfg.exe -target default -size 300 -quiet
Nach Beendigung des Befehls ist die Festplatte für die Bitlocker Verwendung vorbereitet.
Startet am besten den Rechner neu damit alle Änderungen übernommen werden. Prüft unter Dienste ob die beiden Bitlocker Dienste aktiv sind.

MBAM Client Dienste

MBAM Client Dienste

Sind beide aktiv erscheint innerhalb der nächsten 90 Minuten der MBAM Assistent. Wer dies verkürzen möchten, kann einen Registry Key setzen unter: HKLM\Software\Policies\Microsoft\FVE\MDOPBitlockerManagement\
Dort ein DWORD-32 hinzufügen NoStartupDelay. Der Wert enthält die Minuten in denen sich der MBAM Client rührt. Ein guter Wert hierfür ist die 5 (also 5 Minuten). Sobald der Wert, bei mir jedenfalls, darunter lag, startete der Client nicht und ich musste den Dienst neu starten. Hat der Client die Gruppenrichtlinie übernommen müssen hier bereits zwei Einträge stehen die auf den MBAM Management Server zeigen. Falls dies nicht der Fall sein sollte die Aktualisierung der Richtlinien mit gpupdate /force erzwingen.
Sofern alles richtig konfiguriert ist erscheint nun innerhalb der oben genannten Zeitspanne der MBAM Client. Der erste Schritt für diesen ist die Aktivierung des TPM.

TPM aktivieren

TPM aktivieren

Achtung: Wenn das TPM bereits aktiv sein sollte, evtl. durch ein anderes Programm beispielsweise durch Fingerprintsensor, kann der Assistent die TPM Information nicht in die Datenbank speichern!
Normalerweise ist das TPM im BIOS inaktiv und der MBAM Client kann das TPM aktivieren, den Besitz übernehmen und den Hash in die Datenbank schreiben.

Nach der Besitzübernahme forder der Assistent zum Neustart des Rechners auf. Kurz bevor das Betriebssystem geladen wird, bleibt es stehen mit der Aufforderung um Bestätigung, für das aktivieren des TPM. Den Text durchlesen und die Taste zur Bestätigung drücken (zumeist eine F-Taste). Windows startet nun normal hoch und nach der Anmeldung erscheint automatisch der MBAM Assistent wieder

TPM Aktivierung erfolgreich

TPM Aktivierung erfolgreich

um die restlichen Laufwerke zu verschlüsseln.

Bitlocker Verschlüsselung gestartet

Bitlocker Verschlüsselung gestartet

Geschafft, Laufwerk ist verschlüsselt!

Geschafft, Laufwerk ist verschlüsselt!

Es gibt an dieser Stelle nicht viel zu tun außer den Anweisungen am Bildschirm zu folgen. Lasst den Rechner nun seine Arbeit tun und ihr könnt Euch Euren Aufgaben widmen. 🙂