ADMIN

2022

01

2022-01-01T12:00:00

Rechenzentrum und Netze verwalten

TESTS

020

Netzwerkinfrastruktur

Netzwerkmanagement

EfficientIP SOLIDserver 8.0

An der richtigen Adresse

von Benjamin Pfister

Veröffentlicht in Ausgabe 01/2022 - TESTS

Die Bedeutung der Infrastrukturdienste DHCP, DNS und IPAM fällt IT-Verantwortlichen meist nur bei Ausfällen oder bei Sicherheitsproblemen auf. EfficientIP möchte mit SOLIDserver 8.0 das Management dieser Dienste vereinfachen und gleichzeitig die Performance und Sicherheit steigern. Der Server ist als Overlay-Lösung ein nützliches Werkzeug in Multicloud- oder Multi-Vendor-Umgebungen.

Neben klassischen Sicherheitsstrategien wie Endpointschutz und Datensicherung sollten Unternehmen weitere, nicht minder wichtige Bereiche schützen. In diesem Zusammenhang meinen wir die Infrastrukturdienste: Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) und Internet Protocol Address Management (IPAM) – bekannt unter dem Sammelbegriff DDI.
SOLIDserver kann sowohl selbst Dienste anbieten als auch als Management-Overlay-System in Multi-Vendor-Netzen zum Einsatz kommen. Mitbewerber auf dem DDI-Markt sind unter anderem die Suites von InfoBlox und Bluecat. Ziel unseres Tests war es, das Management sowie die Leistungsmerkmale von SOLIDserver zu prüfen. Unser Test erfolgte in einem kleinen Multi-VLAN-Netz mit unterschiedlichen Endgeräten: von linuxbasierten Servern, einem gemanagten Switch über IP-Telefone, Windows- und macOS-Rechner bis hin zu IoT-Devices.
Zahlreiche Angebotsformen
SOLIDserver 8.0 baut auf FreeBSD 13 auf und ist in den Ausprägungen Hardware-Appliance, virtuelle Appliance oder Software für eine Bare-Metal-Installation verfügbar. Die Hardware-Appliances bauen auf Servern von Dell auf, wobei zum Zeitpunkt des Tests neun unterschiedliche Varianten in Leistungsstufen bis zu 17 Millionen DNS-Queries pro Sekunde bereitstehen. Als Hypervisor für die virtuellen Appliances können VMware oder Hyper-V zum Einsatz kommen.
Neben klassischen Sicherheitsstrategien wie Endpointschutz und Datensicherung sollten Unternehmen weitere, nicht minder wichtige Bereiche schützen. In diesem Zusammenhang meinen wir die Infrastrukturdienste: Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) und Internet Protocol Address Management (IPAM) – bekannt unter dem Sammelbegriff DDI.
SOLIDserver kann sowohl selbst Dienste anbieten als auch als Management-Overlay-System in Multi-Vendor-Netzen zum Einsatz kommen. Mitbewerber auf dem DDI-Markt sind unter anderem die Suites von InfoBlox und Bluecat. Ziel unseres Tests war es, das Management sowie die Leistungsmerkmale von SOLIDserver zu prüfen. Unser Test erfolgte in einem kleinen Multi-VLAN-Netz mit unterschiedlichen Endgeräten: von linuxbasierten Servern, einem gemanagten Switch über IP-Telefone, Windows- und macOS-Rechner bis hin zu IoT-Devices.
Zahlreiche Angebotsformen
SOLIDserver 8.0 baut auf FreeBSD 13 auf und ist in den Ausprägungen Hardware-Appliance, virtuelle Appliance oder Software für eine Bare-Metal-Installation verfügbar. Die Hardware-Appliances bauen auf Servern von Dell auf, wobei zum Zeitpunkt des Tests neun unterschiedliche Varianten in Leistungsstufen bis zu 17 Millionen DNS-Queries pro Sekunde bereitstehen. Als Hypervisor für die virtuellen Appliances können VMware oder Hyper-V zum Einsatz kommen.
Die Ausstattung der virtuellen Appliances richtet sich nach den Leistungswerten der korrespondierenden Hardware-Appliance. In unserem Test verwendeten wir zwei vCPUs und 8 GByte RAM. Der Hersteller gibt allgemein eine Skalierung ab 200 Anwender bis hin zu großen Telko- und Managed-Service-Provider-Umgebungen an – für kleinere Umgebungen ist das Tool in der Regel zu komplex. Der Vertrieb erfolgt nur indirekt über Partner.
Das Management des Servers findet bis auf die Ersteinrichtung primär über die webbasierte GUI statt. Die Appliances lassen sich zur Erhöhung der Verfügbarkeit in einem Active/Standby-Cluster betreiben. Als zugrundeliegende Datenbank kommt PostgreSQL zur Anwendung. Das DDI bringt zunächst ein IPv4- und IPv6-fähiges IPAM mit.
Dieses ist in die DNS- und DHCP-Dienste integriert, um etwa über DHCP-Leases zugewiesene IP-Adressen direkt im IPAM zu hinterlegen oder beim Löschen einer IP-Adresse aus dem IPAM direkt die zugehörigen DNS Resource Records zu löschen.
EfficientIP SOLIDserver 8.0
Produkt
Werkzeug für das IP-Adressmanagement und zur Absicherung und Gewährleistung der Verfügbarkeit von DNS und DHCP.
Hersteller
EfficientIP
Preis
DHCP, DNS und IPAM sind Bestandteil der Standardlizenz. Die Module Application, Guardian und Netchange benötigen eine gesonderte Lizenz. SOLIDserver ist in der redundanten Softwarevariante inklusive drei Jahre DDI (ohne Guardian und GSLB) und Support ab 20.000 Euro verfügbar.
Systemanforderungen
SOLIDserver ist als Hardware-Appliance, Bare-Metal-Software und virtuelle Appliance für VMware und Hyper-V verfügbar. Die konkreten Systemanforderungen sind abhängig von der genutzten Variante sowie der Anzahl der DNS-Queries und somit sehr individuell.
Technische Daten
Schnelle Erstkonfiguration dank Checkliste
Bei unserem Test ging es nach der Grundinstallation, die über den Konsolen-Wizard leicht und schnell vonstattenging, noch nicht direkt an die Parametrisierung, da im entsprechenden Menü zunächst kein Punkt hierfür vorhanden war. Erst das Einspielen der Lizenz schaltete die einzelnen Module frei, die sich dann in einer übersichtlichen Sidebar am linken Browserrand zeigten. Obwohl eine Installation mit 4 GByte RAM möglich war, ließen sich damit nicht alle Funktionen aktivieren. So benötigten wir für DNS Guardian und GSLB (Global Server Load Balancer) mindestens die zuvor angegebenen 8 GByte RAM, worauf uns jedoch der Hersteller hinwies.
Im Bereich der Konfigurationen leiteten uns meist Wizards mit verständlichen Hinweisen durch die Grundeinrichtung. Positiv erwähnenswert ist die Konfigurationscheckliste auf dem initialen Dashboard, die die Ersteinrichtung erleichtert. Es ließen sich mehrere individuell anpassbare Dashboards anlegen.
IPAM schnell vorbereitet
Für unseren eigentlichen Test starteten wir mit dem IPAM-Modul. SOLIDserver bietet in der getesteten Version IPAM für IPv4 und IPv6. In diesem galt es zunächst, die Struktur zu verstehen: Ein "Space" im IPAM ist ein logisches Element zur Strukturierung, das auch überlappende IP-Adressbereiche in unterschiedlichen Strukturen abbilden kann, wie dies beispielsweise bei Holding-Strukturen oder MSPs der Fall ist. Nachdem wir einen IP-Block mit unterschiedlichen Subnetzen angelegt hatten, war unser IPAM vorbereitet, um im späteren Verlauf über DHCPv4-Leases das IPAM zu füllen. Gleiches bereiteten wir auch für IPv6 vor.
Auch Exports, die in CSV, HTML, XML, Excel und PDF möglich sind, funktionierten problemfrei. Es fiel jedoch auf, dass noch das veraltete XLS-Format beim Excel-Export zur Anwendung kam (anstatt XLSX). Der Hersteller empfohl jedoch auf Nachfrage für den Im- und Export CSV-Dateien und gab an, dass in Zukunft ein Wechsel auf ein moderneres Format wahrscheinlich ist. Positiv war das automatisierte Löschen der zugehörigen DNS Resource Records beim Entfernen einer IP-Adresse aus dem IPAM. Eine Neuerung in Version 8.0 stellt die Synchronisation des IPAM mit Microsoft Azure dar.
Bild 1: Die DNS-Smart-Architecture stellt diverse Modi zur Lastverteilung oder Failover-Szenarien bereit.
DHCP-Management nicht in allen Konfigurationen möglich
Der DHCP-Dienst kann mit SOLIDserver über unterschiedliche Arten realisiert werden – vom reinen Management externer Server zum besseren Überblick bis zur Nutzung des integrierten oder mehrerer SOLIDServer-DHCP-Server. Dabei bietet er sowohl die IP-Adressvergabe für IPv4 als auch Stateful oder Stateless DHCP für IPv6 an. Als Basis dient dabei ein ISC-DHCP in Version 4.3.6 P1.
Wir testeten die sogenannte Smart Architecture (Overlay-Management), um eine redundante Struktur mit unterschiedlichen zugrundeliegenden DHCP-Servern aufzubauen. Dabei gab es grundsätzlich bei DHCPv4 verschiedene Möglichkeiten: einfaches Split Scope, 1-zu-1-Master-Backup oder 1-zu-N-Master-Backup. Dabei erkannten wir, dass 1-zu-1 und 1-zu-N nicht mit Microsoft-DHCP einrichtbar waren. Grundsätzlich erfolgt erfreulicherweise die Einbindung von Microsoft-DHCP-Servern per RPC. Es bedarf also keines separaten Agenten auf den Microsoft-Servern. Die eingerichtete Smart Architecture für DHCPv4 mit dem integrierten DHCPv4-Server erfüllte ansonsten ihren Dienst ohne größere Auffälligkeiten.
Im DHCPv6-Umfeld testeten wir ebenfalls die Smart Architecture. Dabei stießen wir auf einige Einschränkungen, die zum Teil im Unterbau beziehungsweise in den jeweiligen DHCPv6-Servern liegen. So ließ sich dort in der Smart Architecture nur Single-Server, Split Scope und Stateless (nur Optionen) einbinden. Ein Microsoft-DHCP-Server war dort ebenfalls nicht möglich. SOLIDserver beherrscht dafür aber IPv6-Prefix-Delegation. Aufgrund des ISC-DHCP-Unterbaus des integrierten DHCPv6-Diensts war es beispielsweise auch nicht möglich, Leases zu löschen. Auf Rückfrage gab der Hersteller an, dass ein Wechsel des zugrundeliegenden DHCP-Servers auf eine modernere Plattform, wie beispielsweise den ebenfalls vom ISC bereitgestellten Kea, in Zukunft nicht unwahrscheinlich ist. Es bleibt also aktuell festzuhalten, dass der IT-Verantwortliche vor einem Deployment genau prüfen muss, welche Kombinationen zusammen in welcher Architektur integrierbar sind.
Wir testeten auch den CSV-Export und einen späteren Import nach dem Bearbeiten. So lassen sich beispielsweise Massenimports vorbereiten. Beim CSV-Import von DHCP-Scopes wurden die Delimiter direkt korrekt erkannt und wir mussten nur noch die Felder zuweisen. Der Import war im Nachgang erfolgreich.
Bild 2: Die Integration eines Windows-DHCP-Servers in den IPAM- und DNS-Dienst von SOLIDserver gelingt leicht.
Umfassendes DNS-Management
Während es bei DHCP also etwas hakte, zeigte das Produkt beim DNS seine Stärken. Wir legten zunächst den integrierten DNS-Server an und banden ihn in eine neue Smart Architecture für DNS-HA- und DR-Szenarien ein, was sehr einfach gelang. Dabei waren sowohl Master/Slave-, Stealth-, Multi-Master-, Single-Server- als auch Farm-Architekturen möglich, die für weniger geübte DNS-Administratoren auch bildlich per Wizard dargestellt wurden. Grundsätzlich ist diese Architektur mit BIND, Microsoft, Azure DNS Zones und AWS Route 53 kompatibel. Nicht jedes Leistungsmerkmal funktioniert jedoch in allen Kombinationen, was der Hersteller jedoch auch in seinem Administrationsguide ausführlich darstellt.
Neben dem klassischen Anlegen von DNS-Zonen und Ressource Records bietet SOLIDserver auch die Möglichkeit dedizierter Views, häufig auch als Split-DNS bezeichnet, um unterschiedlichen Clients differenzierte Antworten zu geben. Dies funktionierte in unseren Tests mit einem über Access Control Lists identifizierten Gastnetz problemfrei. So lässt sich sicherstellen, dass darüber keine internen FQDNs aufgelöst werden konnten, interne Clients jedoch schon. In Hybrid-DNS-Architekturen mit unterschiedlichen Herstellern anstatt einem reinrassigen BIND-DNS-Setup war dies jedoch nicht möglich.
Zusätzlich verfügt der Server über unterschiedliche DNS-Prozesse für BIND und Unbound/NSD, um bei Zero Day Exploits eine Umschaltung zu ermöglichen. Hierbei muss jedoch Beachtung finden, dass nur mit dem jeweiligen Zieldienst kompatible Konfigurationen zum Einsatz kommen. Beispielsweise unterstützt der zugrundeliegende NSD-Daemon keine Views, diese sind BIND vorbehalten. Um Fehlern bei einer Migration vorzubeugen, bietet EfficientIP einen DNS-Hybrid-Inkompatibilitätsreport an. SolidServer kann dabei selbst über BIND oder Unbound einen rekursiven DNS und mit Bind oder NSD einen autoritativen DNS-Server bereitstellen. Zusätzlich kann auch DNS-over-TLS und DNS-over-HTTPS zum Einsatz kommen.
Wer Bestandsdaten übernehmen möchte, wird den CSV-Import und den Import der BIND-Zonendaten zu schätzen wissen. Wir prüften den CSV-Import im Bereich der Resource Records. Wie auch beim DHCP Import funktionierte dieser zufriedenstellend.
RPZ-Zonen bieten eine Art "DNS-Firewall". Wir konnten darüber festlegen, ob bestimmte Domains umgeleitet oder geblockt wurden. Dies war jedoch wie bei den Views nur mit EfficientIP und BIND möglich. Wir prüften den Redirect einer Domain auf eine andere, was ebenfalls erfolgreich war.
Zusätzlich bot SOLIDserver Nutzungsstatistiken zu Anfragen und Antworten, was einen guten Überblick lieferte und insbesondere bei Angriffen auf DNS sicherlich hilfreich ist. Die Statistiken konnten wir im HTML- und PDF-Format exportieren. Die Konfigurationsdaten für BIND, NSD oder Unbound waren im "Admin Home"-Bereich herunterladbar. Dort bot sich auch die Möglichkeit,
Lease- und Logfiles zu prüfen, ohne die Web-GUI verlassen zu müssen. Das Management erschien in unserem Test teils gewöhnungsbedürftig. Anhand der "Breadcrumbs" im oberen Bereich des Inhalts konnten wir jedoch die jeweilig aufgerufene Struktur immer nachvollziehen.
Neu im DNS-Umfeld in Release 8.0 ist die Unterstützung des Cloud-DNS-Diensts in Azure. Dieser lässt sich nun in SOLIDserver einbinden und kann auch zentral über diesen verwalten, um den Überblick in Multicloud-Umgebungen zu behalten. Zur erweiterten DNS-Absicherung besteht auch die Möglichkeit einer Integration in den Cloud-DNS-Security-Dienst Cisco Umbrella über den integrierten DNSCrypt-Proxy.
Verfügbarkeit und Sicherheit auf hohem Niveau
Das Application-Modul bot auf Basis des Gesundheitszustands, der Performance der überwachten Zielserver sowie des rekursiven und autoritativen Resolver das Loadbalancing per GSLB. Dafür konnten HTTPS-, ICMP- und TCP-Socket-Prüfungen zum Einsatz kommen. Auch dies gelang ohne große Hürden, solang in der virtuellen Umgebung mindestens 8 GByte RAM verfügbar sind. Die Lastverteilung konnten wir entweder gewichtet oder in einer Round-Robin-Verteilung einrichten. Hierzu musste eine Zuweisung der Knoten (einzelne Server) zu einem Pool erfolgen.
Das Guardian-Modul bietet eine weitere Möglichkeit der DNS-Absicherung. Wie auch beim Application-Modul sind 8 GByte RAM sowie eine Intel-E1000-Netzwerkkarte notwendig. Dabei kommt eine Echtzeit-Verhaltensmustererkennung anstatt einer Pattern-basierten Untersuchung zum Einsatz. Der DNS Guardian trennt aus Sicherheitsgründen den Cache von den rekursiven und autoritativen DNS-Funktionen.
Wir konnten in unserem Test Trigger, wie beispielsweise die Anzahl an Anfragen oder andere verdächtige Verhalten, wie massenhafte Anfragen oder Antworten, die zu
einem NXDOMAIN oder SERVFAIL führten, in bestimmten Zeitintervallen definieren. Als Reaktion konnten diese geblockt, rate-limited, umgeleitet oder einfach nur geloggt werden.
Bild 3: Die Darstellung der IPv4-IPAM-Daten zeigt in der Spalte "Type", dass zwei IP-Adressen aus dem DHCPv4-Prozess dynamisch übernommen wurden.
Nur rudimentäre Werkzeuge für aktive Netzwerkkomponenten
Das NetChange-Modul geht über klassische DDI-Systeme hinaus und ermöglicht ein Monitoring von aktiven Netzwerkkomponenten wie Switches und Routern. Hierfür greift der Hersteller auf SNMP zurück. Dazu waren sogenannte SNMP-Profile mit den entsprechenden Versionen und Credentials notwendig, die bei den jeweils zu verwaltenden Geräten beim Hinzufügen referenziert wurden.
Es sei jedoch zu erwähnen, dass dieses Modul nicht den Schwerpunkt des Servers bildet. In unserem Test integrierten wir einen Managed Switch von Cisco und prüften die Möglichkeiten. Der Modelltyp des Cisco SG250X wurde im ersten Schritt bereits nicht korrekt erkannt. Im Nachgang stellte sich heraus, dass diese Komponente nicht mit SOLIDserver kompatibel ist. Dies führte in Folge auch zu dem Fehler, dass das automatisierte Speichern von Changes in den nichtflüchtigen Speicher nicht korrekt funktionierte.
Insgesamt sind in dem Modul eher rudimentäre Möglichkeiten gegeben, wie beispielsweise Ports ein- und ausschalten sowie Descriptions anpassen – dies funktionierte jedoch problemfrei. Für den First-Level-Support kann das Modul jedoch hilfreich sein, um kein Know-how zu den CLI-Befehlen aufbauen zu müssen. Für weitergehende Möglichkeiten bietet SOLIDserver direkt aus der Web-GUI die Möglichkeit, eine SSH-Session zum Gerät zu öffnen, die sich wiederum unter macOS problemfrei im Default-Terminal öffnete.
Die Erkennung von MAC-Vendor-IDs und angebundenen IP-Adressen zu Switchports funktionierte sehr gut. Hingegen war es nicht möglich, die Konfiguration des Switches einzulesen und somit blieb uns auch eine Prüfung der Versionierung und der "Compare Funktion" verwehrt. Auch dies war auf die fehlende Kompatibilität des Switches zurückzuführen. Dafür zeigten sich Routen und VLANs fehlerfrei, doch vollwertige Netzwerkmanagementsysteme bieten in diesem Umfeld mehr Möglichkeiten.
Gute Workflows auf Basis von Rechten
Das Workflow-Modul bietet die Möglichkeit, Serviceprozesse zwischen unterschiedlichen Berechtigungs- und Service-Level-Gruppen abzubilden. Es gliedert sich in eingehende und ausgehende Workflows. So können eingeschränkt berechtigte Benutzergruppen Änderungen zum Anlegen, Anpassen und Löschen im DNS, DHCP und IPAM, wie IP-Adressen, Subnetze oder DNS-Zonen, anfragen.
Wir testeten die Anfrage eines Junior-Admins bezüglich einer neuen IP-Adresse im IPAM für ein IP-Telefon. Ausgehend wählten wir im Wizard den passenden Request aus, wählten den IP-Bereich, aus dem wir die IP-Adresse anfragten, sowie zu guter Letzt die Zielperson, die den Request erhalten soll. Die eingehenden Requests ließen sich durch die "Admin-Gruppe" akzeptieren und freigeben und das Anlegen im IPAM funktionierte problemfrei.
Bild 4: Der gesamte DNS-Unterbau des SOLIDservers lässt sich auf eine andere Engine migrieren, was beispielsweise im Fall von Security Advisories in einer Engine sinnvoll ist.
Ergänzende Module runden das Produkt ab
Der Device-Manager soll über eine Korrelation der Daten aus Netchange und IPAM einen Überblick über die Komponenten im Netzwerk geben. So ist es beispielsweise möglich, den zugehörigen FQDN und die IP-Adresse eines Servers zu einem Switchport zuzuordnen, um eine bessere Sichtbarkeit zu erhalten. Dies funktionierte im Test einwandfrei.
Im VLAN-Manager waren wir in der Lage, die Verwaltung von VLAN-IDs zu prüfen. Hier fehlte uns die automatische Integration der auf den in anderen Modulen verwalteten Switches angelegten VLANs. VLANs und VXLANs konnten je Domain lediglich angelegt werden. Das VRF-Modul bietet lediglich eine statische Dokumentation (Anlegen und Löschen) der virtuellen Routing-Instanzen sowie den Routenaustausch zwischen diesen. Ein dynamisches Lernen ist nicht vorgesehen.
Bei Netzen, die direkt mit öffentlichen IP-Adressblöcken einer RIR (Regional Internet Registry) wie RIPE NCC oder APNIC agieren, kann das SPX-Modul zum Einsatz kommen, um die RIR entsprechend bei Änderungen der Adressallokationen zu informieren. Dies dürfte primär in Providernetzen sowie großen Enterprise-Netzen interessant sein.
Der Identity-Manager bietet die Möglichkeit, aus dem Microsoft Active Directory Authentifizierungs-Events abzufragen, um diese mit den IPAM-Daten zu korrelieren. Hierfür mussten wir zunächst einen Domänenadministrator-Account und die Verbindungsdaten zum Active Directory hinterlegen. Da es sich um personenbezogene Daten handelt, müssen jedoch auch die organisatorischen und rechtlichen Regelungen Beachtung finden.
Die Suche des Systems funktionierte in unseren Tests sehr gut. Sowohl MAC- als auch IP-Adressen sowie A- und PTR-Records ließen sich zügig und erfolgreich finden. Ein Bookmark-Feature bot die Möglichkeit, häufig genutzte administrative Seiten schnell zu erreichen. Wer Anbindungen an eigene Managementsysteme realisieren möchte, kann auf eine REST- oder eine SOAP-API zugreifen.
Gutes Rechte- und Rollenmodell
SOLIDserver bietet ein integriertes Rechte- und Rollenmodell. Zusätzlich kann die Software neben der klassischen lokalen Nutzerpflege auch Active Directory, andere LDAP-Server, RADIUS oder OpenID Connect nutzen. Wir testeten eine Anbindung an einen FreeRADIUS-Server. Nachdem wir den RADIUS-Server vorbereitet hatten, mussten wir lediglich eine zusätzliche Authentifizierungsregel für RADIUS mit dem Zielserver und dem Shared Secret angeben.
Im Nachgang war bereits ein Login möglich. Der Nutzer wurde dann mit "Origin External" angelegt. Jedoch hat er keine Gruppenmitgliedschaft und folglich auch keine Berechtigung. Vendor-spezifische RADIUS-Attribute konnten wir jedoch für das automatisierte Zuweisen heranziehen, um dies zu vereinfachen. Dies ist auch im Nachhinein möglich, erschwert jedoch das Management.
Als vordefinierte Gruppen waren "Admin" und "Junior Admin" vorhanden. Junior-Admins hatten zunächst sehr eingeschränkte Rechte zum Hinzufügen von Inhalten. Sie konnten keine DHCP-Server und Scopes oder selbst DNS Resource Records anlegen. Wie erwähnt ist es allerdings problemlos möglich, über Workflows entsprechende Anfragen zu stellen. Ansonsten besitzt dieser Account vielfältige Leseberechtigungen.
Unterstütztes Troubleshooting
Für das Troubleshooting hält EfficientIP einige Tools bereit. Dies beginnt beim klassischen Syslog, bei dem wir keine Auffälligkeiten feststellten. Im User-Tracking waren Änderungen an der Konfiguration nachvollziehbar. Wir konnten erfreulicherweise auch einen Rollback von Changes im IPAM vornehmen. Über den "Troubleshooting Dump" waren wir in der Lage, gezielt beispielsweise Debug-Informationen von DHCP- oder DNS-Diensten im lokalen Speicher von SOLIDserver bereitzustellen und herunterzuladen.
Für eine tiefere Analyse des Live-Traffic steht auch ein Network Capture, also ein per Web-GUI parametrisierbarer tcpdump bereit. Aber Achtung: Der vorbereitete Filter für DNS funktionierte in der von uns getesteten Version nicht korrekt. Er war auf den Port 67 des DHCP-Servers vorbereitet, was wir dem Hersteller meldeten. Hier lohnt also ein kontrollierender Blick. Im Testrelease des Herstellers war dies nicht der Fall. Ansonsten funktionierten das Bereitstellen und der Down-load zufriedenstellend.
Fazit
Insgesamt überzeugt die SOLIDserver-GUI durch eine gute Performance. Auch die konsequente Dual-Stack-Ausrichtung auf IPv4 und IPv6 hilft Admins bei der Netzverwaltung – auch wenn leider noch einzelne Feinheiten im IPv6-Umfeld fehlen. Positiv hervorzuheben sind die vielfältigen Möglichkeiten der DNS-Absicherung über Views, RPZ-Zonen sowie Guardian-Richtlinien. Nicht jede Konfiguration ist jedoch mit jeder Serverkombination in der Smart Architecture möglich, doch der Hersteller kann hier natürlich nur auf die Funktionen der zugrundeliegenden Serverdienste zurückgreifen.
(jp)
So urteilt IT-Administrator
Bewertung
Skalierbarkeit 7 DNS-Sicherheit 8 DNS für IPv6 6 DHCP für IPv6 5 Troubleshooting-Features 6
Dieses Produkt eignet sich
optimal
für mittlere und große Unternehmen sowie Managed Service Provider, die ihre Resilienz im DNS und DHCP und die Sichtbarkeit von Endgeräten durch ein integriertes IPAM erhöhen möchten.
bedingt
für Firmen, die redundante, aber homogene DHCP- und DNS-Systeme betreiben und über das notwendige Know-how für das integrierte Management verfügen.
nicht
für kleine Infrastrukturen, in denen die hohe Verfügbarkeit und Sicherheit von DNS und DHCP keine Priorität haben.