für den IT-Administrator

Redaktion IT-Administrator

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Monitoring

Wir monitoren unsere IT-Systemumgebungen mit Paessler-PRTG-Produkten und haben die Benachrichtigungen für unsere Admins so angepasst, dass für jeden Bereich automatisch der richtige Ansprechpartner kontaktiert wird. Nun möchten wir die Mitteilungen mit weiteren Details versehen und die Nachrichteninhalte editieren. Wie gehen wir dazu am besten vor?

Nutzen Sie dazu am besten die Vorlagen für Benachrichtigungen in PRTG. Diese definieren die Benachrichtigungsmethoden sowie deren Inhalt und sind umfangreich anpassbar. Sie können entweder eine bestehende Vorlage editieren oder eine neue erstellen. In beiden Fällen gibt es eine ganze Reihe von Variablen. Außerdem können Sie in jeder Vorlage mehr als eine Benachrichtigungsmethode verwenden. Bedenken Sie dabei, dass es normalerweise drei aufeinanderfolgende Versuche gibt, eine Mitteilung zuzustellen. Schlagen alle Versuche fehl, ist die Benachrichtigung verloren. Um also keine Mitteilung zu verpassen, empfehlen wir, immer mindestens zwei Benachrichtigungen mit unterschiedlichen Übermittlungsmethoden einzurichten – also zum Beispiel eine E-Mail und eine SMS. Gelingt die Zustellung per E-Mail nicht, kann PRTG Sie immer noch per Smartphone erreichen. Paessler stellt auf seiner Webseite eine Schritt-für-Schritt-Anleitung [Link-Code: http://it-a.eu/n5pe1/] zur optimalen Konfiguration von Benachrichtigungen bereit. Von dort aus gelangen Sie außerdem direkt zum entsprechenden Kapitel im PRTG-Benutzerhandbuch und finden eine Liste aller verfügbaren Variablen, die sich im Benachrichtigungstext verwenden lassen.

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: http://it-a.eu/m1pe2/] auch einen YouTube-Kanal mit Tutorials an.

Neben der Multifaktor-Authentifizierung wollen wir die Anmeldung in unserem M365-Tenant zusätzlich durch Richtlinien für bedingten Zugriff absichern. Was gilt es bei der Implementierung von Conditional Access zu beachten?

Das Erstellen eigener Regeln für den bedingten Zugriff erlaubt es Organisationen, Kriterien für verdächtige Anmeldungen zu definieren und diese zu blockieren oder strengeren Kontrollen zu unterziehen. Neue Richtlinien lassen sich im Azure-AD-Portal unter dem Punkt "Sicherheit / Bedingter Zugriff" einrichten. Häufig verwendete Richtlinien sind etwa das Blockieren von Anmeldungen aus anderen Ländern, von nichtkonformen Geräten oder häufigere MFA-Kontrollen bei bestimmten Benutzergruppen. Einige Funktionen, etwa risikobasierte Anmelderichtlinien, erfordern die Lizenz "Premium P2". Um Loginszenarien im Vorfeld durchzuspielen und Fehler beim Zugang zu vermeiden, stellt Microsoft das What-If-Tool zur Überprüfung von Richtlinien zur Verfügung.

Damit der Zugang zum Tenant auch bei Notfällen und technischen Problemen gewährleistet bleibt, sollten Sie mindestens ein Admin-Konto von den Richtlinien für MFA und bedingten Zugriff ausnehmen. Um den Missbrauch dieser Konten zu verhindern, gilt es, bei der Einrichtung von Notfallkonten die Empfehlungen von Microsoft zu beachten: Starke Authentifizierungsmethoden, Überwachung von Aktivitäten, regelmäßige Audits. Durch Richtlinien für bedingten Zugriff lässt sich die Anmeldesicherheit in Azure AD deutlich steigern. Für den sicheren Umgang mit Identitäten in der Microsoft-Cloud ist es jedoch ebenso wichtig, Benutzerkonten im Blick zu behalten, nur zwingend notwendige Rechte zu vergeben und alle Zugänge laufend zu kontrollieren. Werkzeuge für das Identity und Access Management versetzen Unternehmen in die Lage, diese zentralen Aufgaben effektiv zu erfüllen.

Weitere Tipps zum Thema Berechtigungsmanagement finden Sie im IAM-Blog von tenfold unter https://www.tenfold-security.com/ratgeber/.

Virtualisierung

Wir bauen eine hybride Cloudinfrastruktur auf. Aus Gründen der Datenkonformität müssen wir Systeme sowohl im eigenen Rechenzentrum als auch in den Clouds von AWS und Azure betreiben. Gibt es eine Möglichkeit, um sie in einer konsolidierten Plattform zu verwalten?

Parallels RAS (Remote Application Server) unterstützt bei der Verwaltung von hybriden Cloudinfrastrukturen. Neben der Integration mit Plattformen wie AWS, Azure und Azure Virtual Desktop ermöglicht Parallels RAS auch die Ausführung Ihrer Ressourcen in jeder privaten Cloud, gehosteten Umgebung oder lokal. Als Administrator lassen sich all diese Umgebungen von einem Fenster aus verwalten. Endnutzer greifen mit Ihrem Client dann transparent auf Ressourcen aus all diesen Umgebungen zu. Dabei bietet Parallels RAS Organisationen jederzeit die freie Wahl ihrer Providerumgebung. Um einen neuen Provider hinzuzufügen, öffnen Sie die Parallels-RAS-Konsole, gehen zu "Farm" und öffnen den Reiter "Provider". Klicken Sie auf das Plus-Symbol und wählen Sie den Provider Ihrer Wahl. Wie bereits erwähnt, kann dies für On-Premises oder für mehrere Cloudplattformen erfolgen.

Unabhängig von der Wahl des Anbieters stellt Parallels RAS dem Administrator einen Assistenten zur Verfügung, der ihn bei der Konfiguration unterstützt. Das Werkzeug erlaubt es, jede beliebige On-Premises-Umgebung zu nutzen, um einen hybriden Einsatz zu erstellen. Das funktioniert alles von derselben Konsole aus und ohne zusätzliche Lizenzgebühren. Unternehmen können so der alleinigen Bindung an einen bestimmten Cloudanbieter aus dem Weg gehen und je nach Bedarf verschiedene Ansätze unterschiedlicher Hersteller kombinieren, wie zum Beispiel Power Management, automatische Skalierung, Bildoptimierung zur Erhöhung der Benutzerdichte und Reduzierung der Kosten.

Hardware

In einigen unserer Server unter Windows Server wollen wir RAID-Controller der Serie Broadcom 93XX mit modernen Karten der 94XX- oder 95XX-Reihe ersetzen. Wie bewerkstelligen wir es, dass dabei die bestehenden RAID-Level und natürlich die Daten erhalten bleiben?

Die 94XX- und 95XX-Serie von Broadcom verwendet unter Windows Server andere Treiber als die vorangegangene. Daher müssen zur Gewährleistung eines fehlerfreien Upgrades Ihres Systems mit der aktuelleren Broadcom-Serie folgende Voraussetzungen gegeben sein: Ihr Server muss einen freien PCIe-3.0-x4- oder PCIe-3.0-x8-Steckplatz haben. Außerdem benötigen Sie die aktuellen Treiber für den neuen RAID-Controller. Führen Sie zur Sicherheit vor Beginn des Umbaus unbedingt ein Backup Ihrer Daten durch für den Fall, dass etwas nicht wie geplant verläuft. Danach sehen die Schritte für einen erfolgreichen Wechsel auf die aktuelle RAID-Controller-Generation so aus:

Fahren Sie den Server herunter und bauen Sie den neuen RAID-Controller zusätzlich in das System ein. Wichtig: Der Vorgänger muss im System verbleiben und die Datenträger bleiben ebenfalls mit dem Vorgängermodell verbunden. Booten Sie den Server wie gewohnt. Prüfen Sie nun, ob Windows Server den RAID-Controller als neues Gerät erkannt hat. Installieren Sie die aktuellen Treiber für die 94XX/95XX-Serie. Nach erfolgreicher Installation der aktuellen Treiber fahren Sie Ihr System erneut herunter. Verbinden Sie die Datenträger mit dem neuen RAID-Controller und entfernen Sie den Controller der 93XX-Serie. Starten Sie den Server erneut. Ihre Datenträger sollten jetzt erkannt werden und Ihr RAID weiterhin vorhanden sein.

Viele weitere Tipps und Tricks zu Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter https://www.thomas-krenn.com/de/wiki/Hauptseite

Cloud

In unserem Unternehmen migrieren wir eine hybride Infrastruktur in die AWS-Cloud, doch unsere standortabhängigen Workloads erschweren die Transformation. Gerade in Bezug auf die Datenresidenz haben wir komplizierte Anforderungen zu erfüllen. Außerdem benötigen wir in Zukunft noch niedrigere Latenzzeiten für Transaktionen in ERP-Anwendungen. Empfiehlt sich hier ein eigener AWS Outpost-Rack oder eine extern verwaltete AWS Local Zone?

Beide Varianten stellen zwei unterschiedliche Herangehensweisen an die Erweiterung Ihrer IT-Struktur dar. AWS Outposts unterstützen hybride Infrastrukturen durch eine physische Präsenz bei Ihnen vor Ort, nutzen aber vollständig verwaltete Lösungen des Cloudanbieters. Dadurch lassen sich manche AWS-Dienste auch lokal ausführen. AWS Local Zones hingegen werden komplett für Kunden verwaltet und betrieben. Um dabei die Latenzzeiten möglichst gering zu halten, sind AWS-Dienste in großen Ballungsgebieten platziert, also näher am Endnutzer. Outposts und Local Zones lösen also ähnliche Probleme, sind aber für unterschiedliche Anwendungsfälle geeignet. Im Folgenden geben wir Ihnen ein paar Anhaltspunkte, worauf Sie achten sollten:

1. Latenz und Verfügbarkeit: Sowohl Local Zones als auch Outposts helfen bei latenzempfindlichen Workloads. Allerdings sollten Sie sich die Anforderungen Ihrer Arbeitslasten genau ansehen und danach entscheiden, welche Variante sich für Sie empfiehlt. Local Zones erreichen Latenzzeiten von wenigen Millisekunden und bieten zentrale Rechen-, Speicher- und Netzwerkdienste in der Nähe Ihrer Endnutzer. Outposts erzielen sogar Latenzen von unter einer Millisekunde und unterstützen unterschiedliche AWS-Dienste in Ihren On-Premises-Umgebungen – beispielsweise Amazon Elastic Compute Cloud oder Amazon Elastic Container Service.

2. Betrieb und Kosten: Die Verwaltung der Infrastruktur ist ein weiterer wichtiger Faktor, den Sie bedenken müssen. Local Zones werden vollständig von AWS betrieben – einschließlich Strom, Netzwerk und Kapazität. Dies reduziert die Betriebsverwaltung und die laufenden Kosten. Dahingegen lassen sich Outposts zwar über AWS bereitstellen, sie müssen aber lokal installiert werden. Für die Stromversorgung und ein stabiles Netzwerk ist das Unternehmen selbst verantwortlich. Außerdem sind AWS Enterprise Support oder On-Ramp-Support erforderlich.

3. Compliance und Datenresidenz: Der Datenschutz und die dazugehörigen Vorschriften können gerade bei hybriden Infrastrukturen kompliziert sein. Die Anforderungen unterscheiden sich außerdem von Branche zu Branche, sodass Sie Ihre Infrastruktur immer auf den konkreten Anwendungsfall zuschneiden müssen. Mit einer Local Zone können Sie in Ihrer Nähe die Datenresidenz erfüllen. Aber wenn keine Local Zone verfügbar ist oder die regulatorischen Compliance-Anforderungen nicht eingehalten werden, sollten Sie einen Outpost direkt bei sich in Betracht ziehen. Ein Outpost-Rack oder -Server lässt sich in einem Rechenzentrum Ihrer Wahl bereitstellen.

Tools

Flatpak ist als modernes Paketformat im Aufschwung. Es stellt dafür eine Sandbox-Umgebung zur Verfügung, in der Anwendungen isoliert vom Rest des Systems laufen. Doch das junge Format hat noch einige Kinderkrankheiten, eine davon ist die Rechtevergabe. Bei der erwähnten Isolierung gibt der Paketierer Flatpak die benötigten Rechte, damit die Anwendung diesen Zweck erfüllt. Dabei hat der IT-Verantwortliche jedoch keine Einsicht darin, worauf ein Flatpak Zugriff hat und ob er diese Rechte ändern oder erweitern kann. Zwar lassen sich die Rechte per Kommandozeile und seit Kurzem auch über die Softwareverwaltung von GNOME anpassen, doch beide Wege sind von eher umständlicher Natur. Mit dem freien Flatseal ist das einfacher, denn es stellt eine GUI zur Berechtigung bereit.

Laut Eigenbeschreibung ist Flatseal ein grafisches Dienstprogramm zur Überprüfung und Änderung grundlegender Berechtigungen von Flatpak-Anwendungen. Das erledigt das Tool in übersichtlicher Weise, indem es in einer Leiste die installierten Flatpaks auflistet und erlaubt, im Hauptfenster die entsprechenden Rechte über einen Schalter zu manipulieren. Nach der Änderung von Rechten muss das Flatpak neu gestartet werden. Sollte etwas schiefgehen, lassen sich die Rechte auf die ursprünglich im Flatpak vergebenen zurücksetzen.

Mit der aktuellen Version 1.8.1 sind nunmehr auch globale Überschreibungen prüf- und änderbar. Zudem visualisiert die Software derlei Anpassungen nun besser, indem sie vorgenommene Änderungen hervorhebt. Parallel ist die Nutzung von Farbschemata auf Systemebene möglich, womit sich Rechtemodifikationen auf Wunsch einfärben lassen.

Link-Code: http://it-a.eu/n5pe7/

Der Windows-Desktop ist nach einer Standardinstallation gewöhnlich nahezu leer. Genug Platz also für den Anwender, um Shortcuts, Links oder Widgets zu platzieren. Im professionellen Umfeld füllen nicht selten Systeminfos den Platz und zeigen CPU-Nutzung oder Softwareversionen an. Doch allzu oft sind dafür unterschiedliche Tool notwendig oder die eingeblendeten Infos lassen sich zu leicht versehentlich löschen oder verschieben. Die kostenlose Anwendung Rainmeter bietet einen Ansatz, den ungenutzten Platz zu füllen, indem es dort Informationen, Designelemente und Schnellstarter anzeigt.

Rainmeter nutzt den idealerweise nicht durch Icons belegten Platz auf dem Windows-Desktop und zeigt dort verschiedene hilfreiche Informationen an. Dies kann etwa der freie Speicherplatz angeschlossener Festplatten, die aktuelle CPU-Auslastung oder der RAM-Verbrauch sein. Das Aussehen lässt sich durch das Herunterladen zahlreicher neuer Skins nahezu beliebig anpassen. Das kostenlose und zugleich quelloffene Tool ist derzeit in der Version 4.5.17 verfügbar, unterstützt alle Windows-Versionen ab 7 und läuft auf 32-Bit- wie 64-Bit-Systemen.

Rainmeter startet mit der Windows-Desktop-Umgebung und interpretiert Konfigurationsdateien ("Skins") in einem speziellen Format. Dabei zeigt üblicherweise jede dieser Dateien ein bestimmtes Element auf dem Desktop an. In der zugehörigen Konfiguration gibt der Nutzer an, welche Informationen aus welcher Quelle die Software auslesen soll, definiert, wie diese anzuzeigen sind und legt zudem Interaktionsmöglichkeiten fest. Die ausgelesenen Daten lassen sich als Text, Graphen, Balken, Bilder und mehr anzeigen. Jedes auf diese Weise erstellte Info-Fenster lässt sich nach Belieben auf dem Desktop anordnen. Für einen schnellen Einstieg liefert das Tool eine ganze Reihe sofort nutzbarer Vorlagen mit, die beispielsweise die Systemzeit und -auslastung oder einen Feedreader auf den Desktop bringen. Weitere Anzeigen sind über Plug-ins verfügbar.

Link-Code: http://it-a.eu/n5pe8/

Der No-Code-Ansatz setzt sich in immer mehr Bereichen durch, da er in vielen Fällen Anwendern in Fachabteilungen erlaubt, komplexe IT-Werkzeuge ohne Programmierkenntnisse zu nutzen. Dieser Trend hat seit geraumer Zeit auch Datenbanken erreicht. So lassen sich beispielweise Daten aus im Unternehmen vorhandener Software unkompliziert in einer DB zusammenführen, die zudem kaum schwieriger zu bedienen ist als Microsoft Excel. Dadurch erhalten Fachteams die Flexibilität, wiederum andere Softwareanwendungen und Geschäftsprozesse mit Daten zu speisen. Das senkt die Kosten für die Verwaltung und macht die manuelle Datenvalidierung und -abfrage überflüssig. Besonders hervorzuheben ist, dass sich solche Plattformen schnell und effizient entwickeln lassen und auch komplexen Anforderungen gerecht werden. Ein neues Werkzeug dieser Art ist Baserow, das in seiner Free-Version für Tests und kleine Unternehmen ausreicht.

Bei Baserow handlt es sich um ein Open-Source-Programm, das zur Eingabe und Anzeige von Daten dient und zudem erlaubt, Formulare zur Dateneingabe zu erstellen. Darüber hinaus lassen sich Daten einzelner Tabellen per REST-API abfragen, hinzufügen und löschen. Die Software bietet sich an, wenn es darum geht, einfach aufgebaute Datenstrukturen (wie zum Beispiel Adressen von Kunden) mit No-Code-Plattformen auszutauschen. Der Vorteil von Baserow gegenüber normalen Datenbanksystemen besteht darin, dass sich die Daten in Tabellen anzeigen und ändern lassen, ohne zusätzlichen Code schreiben zu müssen. Das Tool läuft auf einem Internetserver, wird mit einem Browser konfiguriert und bedient. Eine lokale Installation ist beispielsweise auf einem Intranet-Server gut aufgehoben, die Software steht zudem als SaaS-Dienst bereit (auch für die Free-Variante). Dabei läuft das lokale Setup über Docker und die Quellen stehen auf GitHub bereit.

Für den Datenaustausch mit anderen Programmen steht eine gut dokumentierte REST-API zur Verfügung. Mit einfachen HTTP-Requests lassen sich Daten zu Tabellen hinzufügen, ändern oder löschen. Mithilfe von Webhooks können Anwender HTTP-Requests an andere Programme schicken, wenn sich etwas an den Daten ändert. Fügt jemand zum Beispiel mithilfe eines Formulars einen neuen Kunden zu einer Tabelle hinzu, schickt der Nutzer ein HTTP-Request an ein Marketingprogramm, um den neuen Namen in die Mailingliste aufzunehmen.

Im "Free plan" hat Baserow einige funktionale Einschränkungen, wozu etwa HTML- und JSON-Export, einige DB-Ansichten und Single Sign-on zählen. Zudem hat die kostenlose SaaS-Variante Beschränkungen, was den Umfang der verarbeiteten Daten angeht, diese entfallen jedoch, betreiben IT-Verantwortliche die kostenlose Lizenz lokal.