ADMIN

2023

07

2023-06-29T12:00:00

Optimiertes Rechenzentrum

PRAXIS

058

Tipps, Tricks und Tools

Tipps

Tricks

Tools

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 07/2023 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Der Workload unserer Anwendungen in der AWS-Cloud unterscheidet sich stark – je nach Bedarf unserer Nutzer. Wir benötigen daher in der jeweiligen Situation die genau passende Performance. Ungenutzte Ressourcen möchten wir auf Dauer vermeiden, um Kosten zu sparen. Und eine zu geringe Performance wirkt sich negativ auf die Nutzererfahrung aus. Wie können wir unsere Ressourcen individuell skalieren, sodass wir stets die richtigen Instanztypen finden?
Unternehmen müssen in der heutigen Zeit gerade in der Cloud mit täglichen Veränderungen ihrer Workloads rechnen und diese rechtzeitig erkennen. Nur dann können sie die ideale Menge an Ressourcen bereitstellen. Daher sollten Sie Ihre Metriken genau analysieren und anhand der Ergebnisse den Instanztyp mit dem besten Verhältnis zwischen Kosten und Leistung wählen. AWS-Nutzern hilft an dieser Stelle der Compute Optimizer. Laut dem Cloudanbieter lassen sich damit bis zu 25 Prozent der Kosten senken, während genau die richtige Performance für die Workloads zur Verfügung steht.
Das Tool nutzt maschinelles Lernen, um den Verbrauch der Ressourcen in Ihrem AWS-Konto zu analysieren und Empfehlungen auszusprechen, die auf Ihre Ressourcennutzung optimal zugeschnitten sind. Auf diese Weise vermeiden Sie Überlastung sowie Leerlaufzeiten der Ressourcen auf Grundlage der Nutzungsdaten. Der Compute Optimizer lässt sich einsetzen für EC2-Instanztypen, EBS-Volumes (Elastic Block Store), ECS-Services (Elastic Container Service) auf Fargate und Lambda-Funktionen. Das Werkzeug ist in AWS Organizations integriert, sodass Sie in der Lage sind, sich Empfehlungen für mehrere Konten über Ihr dortiges Hauptkonto anzeigen zu lassen.
Cloud
Der Workload unserer Anwendungen in der AWS-Cloud unterscheidet sich stark – je nach Bedarf unserer Nutzer. Wir benötigen daher in der jeweiligen Situation die genau passende Performance. Ungenutzte Ressourcen möchten wir auf Dauer vermeiden, um Kosten zu sparen. Und eine zu geringe Performance wirkt sich negativ auf die Nutzererfahrung aus. Wie können wir unsere Ressourcen individuell skalieren, sodass wir stets die richtigen Instanztypen finden?
Unternehmen müssen in der heutigen Zeit gerade in der Cloud mit täglichen Veränderungen ihrer Workloads rechnen und diese rechtzeitig erkennen. Nur dann können sie die ideale Menge an Ressourcen bereitstellen. Daher sollten Sie Ihre Metriken genau analysieren und anhand der Ergebnisse den Instanztyp mit dem besten Verhältnis zwischen Kosten und Leistung wählen. AWS-Nutzern hilft an dieser Stelle der Compute Optimizer. Laut dem Cloudanbieter lassen sich damit bis zu 25 Prozent der Kosten senken, während genau die richtige Performance für die Workloads zur Verfügung steht.
Das Tool nutzt maschinelles Lernen, um den Verbrauch der Ressourcen in Ihrem AWS-Konto zu analysieren und Empfehlungen auszusprechen, die auf Ihre Ressourcennutzung optimal zugeschnitten sind. Auf diese Weise vermeiden Sie Überlastung sowie Leerlaufzeiten der Ressourcen auf Grundlage der Nutzungsdaten. Der Compute Optimizer lässt sich einsetzen für EC2-Instanztypen, EBS-Volumes (Elastic Block Store), ECS-Services (Elastic Container Service) auf Fargate und Lambda-Funktionen. Das Werkzeug ist in AWS Organizations integriert, sodass Sie in der Lage sind, sich Empfehlungen für mehrere Konten über Ihr dortiges Hauptkonto anzeigen zu lassen.
Wählen Sie den Compute Optimizer in der AWS-Managementkonsole aus und aktivieren Sie den Dienst. Er beginnt sofort, die Ressourcennutzung und -historie mithilfe von CloudWatch-Metriken zu analysieren. Nach einigen Stunden gibt das Tool auf Ihrem Dashboard die ersten Empfehlungen. Klicken Sie nun etwa auf "Over-provisioned: Instances", um die Details zu sehen. Dort finden Sie unter dem jeweiligen Link einen genaueren Einblick in die Ergebnisse. Überprüfen Sie die Auswirkungen der Empfehlung bis zum Ende der Liste. Details lassen sich auch über die Befehlszeilenschnittstelle abrufen. Sind Sie mit den Empfehlungen zufrieden, nehmen Sie die Änderungen an der jeweiligen Ressource direkt vor. Beachten Sie, dass der Compute Optimizer auf die CloudWatch-Metriken als Grundlage für die Empfehlungen angewiesen ist. Zudem sollten Sie Ihre Anwendungen mit dem empfohlenen Instanztyp gründlich testen, bevor Sie ihn in der Produktion einsetzen.
Das Dashboard des AWS Compute Optimizer gibt erste Empfehlungen für die optimale Nutzung von EC2-Instanzen und Autoscaling-Gruppen.
 (AWS/ln)
Virtualisierung
Wir verwalten veröffentlichte Anwendungen und Desktop in Parallels Remote Application Server und verwenden auch SSL für mehr Sicherheit, doch die Zertifikate laufen ständig ab. Gibt es ein automatisiertes Verfahren, um diese aktuell zu halten?
SSL-Zertifikate sind ein wirksames Mittel, um den sicheren Zugriff auf veröffentlichte Anwendungen und Desktops zu gewährleisten. Doch die relativ kurzen Ablaufintervalle für SSL-Zertifikate erhöhen den Aufwand für die Verwaltung der Zertifikatserneuerungen in der Praxis extrem. In Parallels Remote Application Server (RAS) gibt es Funktionen für die automatische SSL-Zertifikatsverwaltung und -erneuerung.
Sie können dabei nicht nur Ihre eigenen SSL-Zertifikate einbringen. RAS verfügt über eine direkte Integration mit Let's Encrypt, einer globalen Zertifizierungsstelle. Mit dieser Integration fordern Sie einfach und schnell ein kostenloses SSL-Zertifikat an. Sie können auch abgelaufene SSL-Zertifikate über den Dienst adressieren. Der automatische Erneuerungsprozess von Let's Encrypt erneuert die in RAS verwendeten SSL-Zertifikate automatisch, bevor sie ablaufen. So lassen sich kostspielige Geschäftsunterbrechungen durch fehlenden Zugriff auf die Ressourcen vermeiden.
Sie können die Let's Encrypt-SSL-Zertifikate auf dem Parallels High Availability Load Balancer (HALB), dem Secure Gateway (SG) direkt oder dem Loadbalancer von Drittanbietern nutzen. Let's Encrypt stellt SSL-Zertifikate für HALB und SG automatisch zur Verfügung, sodass Sie diese nicht manuell installieren müssen. Es ist nicht erforderlich, den privaten Schlüssel zu speichern, mit Stamm- und Zwischenzertifikaten zu arbeiten oder sich um Zertifikatsketten zu kümmern. Beachten Sie jedoch, dass Let's Encrypt einen offenen Port 80 für das Secure Gateway erfordert. Sie können ihn aber zur Sicherheit auf die Ausstellung von Let's Encrypt-Zertifikaten beschränken.
Der erste Schritt besteht darin, die Endbenutzer-Lizenzvereinbarung von Let's Encrypt zu akzeptieren und eine gültige E-Mail-Adresse für den Erhalt von Benachrichtigungen anzugeben. Als Nächstes konfigurieren Sie, wie viele Tage vor dem Ablaufdatum des SSL-Zertifikats die SSL-Zertifikate erneuert werden sollen. SSL-Zertifikate von Let's Encrypt sind in der Regel 90 Tage lang gültig. Wir empfehlen, die Erneuerung auf alle 60 Tage zu konfigurieren. Sie können dann die Informationen bereitstellen, die für die Ausstellung einer neuen SSL-Zertifikatsanforderung benötigt werden, und angeben, für welche Parallels RAS-Komponenten die SSL-Zertifikate gelten sollen.
Nach dem Ausstellen des SSL-Zertifikats melden Sie sich beim Webclient an und bestätigen, dass die Website als vertrauenswürdig eingestuft und das SSL-Zertifikat sichtbar ist. Das Zertifikat findet nun für den sicheren Zugriff auf veröffentlichte Anwendungen und Desktops Ihrer User-Accounts Verwendung. Das Gute dabei: Es erneuert sich automatisch, bevor es abläuft. Dieser Ansatz bietet eine vollständige Verwaltung des Lebenszyklus von SSL-Zertifikaten mit recht geringem IT-Aufwand.
(Parallels/ln)
Windows
Seit dem Umstieg auf Windows Server 2022 und die Version 21H2 von Azure Stack HCI taucht im Windows Admin Center bei vielen unserer Cluster die Warnung "The storage pool is running out of capacity. The configurable threshold is set to 70% currently" auf. Auch in der PowerShell erscheint nach der Eingabe von Get-HealthFault dieser Alarm. Was ist dessen Ursache und wie lässt sich die Meldung deaktivieren?
Ursächlich für den Alarm ist die Einführung von Thin Provisioning in Azure Stack HCI. Damit kam ein neuer Thresh-old im Storage-Pool mit dazu – dieser nennt sich "ThinProvisioningAlertThresh-olds". Sobald die verbauten Datenträger mit mehr als 70 Prozent der Kapazität belegt sind, erscheint die Meldung. Hierbei muss es sich nicht einmal um die tatsächlichen Daten handeln, die die Kapazität belegen, sondern es reicht schon aus, wenn Fixed-Provisioned-Volumes erstellt werden. Der Tipp zeigt nachfolgend, wie sie den Threshold so anpassen, damit die Meldung erst dann auftaucht, wenn es sich tatsächlich um eine "echte" Warnung handelt. Außerdem erklären wir, welchen zusätzlichen Sie aktivieren sollten, damit Sie sich bezüglich der Reservekapazität in Ihrem Azure Stack HCI oder Storage-Spaces-Direct-Cluster nicht außerhalb der Microsoft-Empfehlung bewegen. Die nachfolgenden Einstellungen lassen sich im laufenden Betrieb durchführen. Nach dem Ändern der Einstellungen kann es aber bis zu zehn Minuten dauern, bis die entsprechende Warnung verschwindet.
Passen Sie "ThinProvisioningAltertThresholds" also so an, damit das System die Warnung erst dann ausgibt, wenn Sie wirklich in den zu reservierenden Bereich kommen. Bei Azure Stack HCI und Storage Spaces Direct empfiehlt Microsoft, die Kapazität eines Datenträgers pro Knoten freizulassen. Dies ermöglicht dem System beim Ausfall eines Datenträgers einen umgehenden Rebuild. Redmond nennt diesen freigelassenen Speicherplatz "Reserve-Kapazität". Im über- tragenen Sinne ist dies mit einer Hot-Spare bei einem RAID-Controller zu vergleichen, jedoch mit dem Unterschied, dass nicht ein kompletter Datenträger unbenutzt bleibt, sondern von jedem Datenträger nur ein kleiner Prozentanteil der Kapazität freibleibt.
Im Windows Admin Center finden Sie unter "Drives" die Kapazität des Storage Pools. Außerdem ist hier ersichtlich, welche Kapazität der gesamte Storage Pool aufweist, welche Kapazität im Storage Pool noch für Volumes zur Verfügung steht (grauer Bereich) sowie welche Reserveempfehlung (grau schraffierter Bereich) Microsoft abgibt. Aus der "Total Size" und der "Reserve Size" lässt sich dann der prozentuale Reserveanteil berechnen. In unserem Rechenbeispiel gehen wir von einer Gesamtkapazität in Höhe von 5,82 TByte und einer Reserve von 1,46 TByte aus. Die Rechnung zur Bestimmung von "ThinProvisioningAltertThresholds" sieht hierfür also folgendermaßen aus:
100 – 1,46 * 100 : 5,82
= 100 – 25,09 = 74,91
Wir runden das Ergebnis auf eine Nachkommastelle, daher ergibt sich als neuer Wert für "ThinProvisioningAltertThresholds" 74,9 Prozent. Diesen Zähler setzen wir in der PowerShell mit dem Kommando
Set-StoragePool -ThinProvisioningAltertThresholds 74,9
Der Wert lässt sich anschließend mit Get-StoragePool gegenprüfen – beachten Sie, dass das System bei der Ausgabe auf Ganzzahlen rundet. Nach ein paar Minuten verschwindet die Warnung im Cluster-Dashboard und auch die HealthStatus-Abfrage in der PowerShell liefert keinen Fehler mehr.
Zusätzlich empfiehlt es sich, eine Warnung für das Unterschreiten der von Microsoft empfohlenen Reservekapazität zu aktivieren – dies ist per Default nicht der Fall. Sollte die empfohlene Reserve unterschritten werden, kann das HCI-System bei einem Datenträgerausfall keinen automatischen Rebuild mehr starten. In diesem Fall kommt es zur Warnung "The storage pool has less than the recommended reserve capacity of one drive per servers. This may limit the ability of volumes to repair after drive failures". Aktivieren Sie den Alarm deshalb mittels
Set-StorageHealthSetting -Name System.Storage.StoragePool.CheckPoolReserveCapacity.Enabled -Value True
und überprüfen Sie dies mit Get-StorageHealthSetting. Nach ein paar Minuten ist im Cluster-Dashboard die Warnung bezüglich Unterschreitung der empfohlenen Reservekapazität zu sehen.
Unter ”Drives” lassen sich im Windows Admin Center die aktuellen Werte bezüglich des Storage-Pools abrufen und die Reservekapazität berechnen.
(Thomas-Krenn/ln)
Viele weitere Tipps und Tricks zu Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite.
Bei der Anwendung von Gruppenrichtlinien in unterschiedlichen Bereichen unserer Active-Directory-Domäne kommt es immer wieder zu Konflikten. Was gibt es bei der Interaktion verschiedener Gruppenrichtlinienobjekte zu beachten?
Um sicherzustellen, dass unterschiedliche GPOs korrekt angewendet werden, ist es wichtig zu verstehen, in welcher Reihenfolge das Active Directory diese ausliest. Grundsätzlich gilt: GPOs, die zuerst zum Einsatz kommen, werden durch darauffolgende GPOs überschrieben. Dabei geht das AD nach der LSDOU-Regel vor:
1. Lokal
2. Standort
3. Domäne
4. Organisationseinheit
Richtlinien für eine AD-Site überschreiben also lokale Einstellungen, domänenweite Richtlinien setzen standortspezifische Richtlinien außer Kraft und GPOs, die mit einer Organisationseinheit verknüpft sind, überschreiben Settings der Domain. Bei verschachtelten OUs werden Richtlinien übergeordneter OUs zuerst angewandt und durch darunterliegende modifiziert. Sind mehrere GPOs mit einer Organisationseinheit verlinkt, lässt sich die Reihenfolge ihrer Anwendung über die Gruppenrichtlinienverwaltungskonsole festlegen. Das Überschreiben von Gruppenrichtlinien betrifft natürlich nur Einstellungen, die in einem nachträglich angewandten Gruppenrichtlinienobjekt explizit festgelegt werden. Settings, für die es in späteren GPOs keinen Eintrag gibt, bleiben erhalten beziehungsweise vererben übergeordnete Organisationseinheiten diese an untergeordnete.
Damit Gruppenrichtlinien korrekt auf alle vorgesehen Objekte im AD Anwendung finden, müssen Unternehmen nicht nur GPOs und OUs korrekt strukturieren, sondern darüber hinaus Benutzer und Geräte laufend den richtigen Organisationseinheiten zuordnen. Als IAM-Werkzeug weist tenfold Konten im Active Directory automatisch den richtigen Gruppen und Organisationseinheiten zu und ermöglicht dadurch die zeitsparende und fehlerfreie Administration des AD.
(tenfold/ln)
Weitere Tipps rund um das Thema Berechtigungsmanagement finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/.
Tools
 Die Ansicht, es gebe weniger Sand am Meer als Open-Source-Helpdesk-Systeme, ist nicht allzu weit hergeholt. Zahllose freie Werkzeuge buhlen um die Gunst der IT-Support-Teams, die dabei oft kaum unterscheiden können, welche Anwendung am besten zu ihren Bedürfnissen passt. Ist jedoch eine der zentralen Anforderungen der Support von externen Kunden, die Waren oder Dienstleistungen über eine E-Commerce-Anwendung erworben haben, dann ist UVdesk vielleicht die richtige Antwort.
UVdesk ist ein Open-Source-Helpdesk-System, mit dem Unternehmen mit ihren Kunden interagieren und rund um die Uhr Support anbieten können. Zu seinen Funktionen gehören Ticketmanagement, Wissensdatenbank, Antwortvorlagen und das automatische Erstellen von Tickets auf der Grundlage von E-Mails. Zudem lassen sich Aktionen auf Basis bestimmter Auslöser automatisieren, um Arbeitsabläufe zu verbessern.
Der zentrale Aspekt, der das Tool hervorhebt, ist jedoch die erwähnte Spezialisierung auf die Interaktion mit führenden CMS- und E-Commerce-Plattformen. Dazu zählen Magento, PrestaShop, WooCommerce, Odoo CRM, Amazon, Shopify, Joomla und WordPress. So fokussiert sich UVdesk eindeutig auf die externe Kommunikation, bietet aber auch alle Features, die für ein internes Supportsystem notwendig sind. Diese Kundenunterstützung basiert auf Workflows, die in zwei Geschmacksrichtungen daherkommen: "condition-based" und "event-based". Beide Sorten erlauben automatische Reaktionen aus dem Helpdesk-System, was den Support deutlich effizienter macht.
UVdesk positioniert sich selbst als System für sehr große Unternehmen, die viel externen Kundenkontakt und große Supportteams haben. Doch durch seine einfache Bedienbarkeit ist es definitiv auch für kleinere Firmen geeignet, die ihren Kundenkontakt optimieren möchten.
 (jp)
Link-Code: https://github.com/uvdesk/
Wer als IT-Verantwortlicher eine professionelle Monitoringumgebung – sei sie proprietär oder quelloffen – betreibt, erwartet und bekommt heutzutage aussagekräftige und übersichtliche Dashboards, die das Überwachen und die Problembehebung deutlich vereinfachen. In Testumgebungen oder im heimischen IT-Labor stehen solche Statusanzeigen meist nicht zur Verfügung, denn solche Landschaften sind oft viel weniger einheitlich, integrieren alte oder exotische Geräte und sind natürlich auch flexibel strukturiert, um neue Hard- oder Software zügig unter die Lupe nehmen zu können. Genau für solche Umgebungen haben sich in den letzten Jahren immer mehr einfach zu konfigurierende Open-Source-Dashboards wie Dashy etabliert.
Dashy ist im Prinzip eine statische Homepage-Anwendung, mit der Admins Daten organisieren und verwalten. Auf dieser statischen Webseite lassen sich Datenquellen nach Wunsch integrieren und so beispielsweise ein Servermonitoring einrichten. Das System ist über die verfügbaren Widgets und Plug-ins sehr flexibel in der Lage, praktisch alle verfügbaren Informationsquellen zusammenzubringen. Nebenbei bemerkt haben wir hier zwar das Beispiel Home Lab gewählt, doch Dashy ist in der Lage, für zahlreiche andere Anwendungsfälle Dashboards an den Start zu bringen.
Das Tool kommt als Docker-Container daher und ist dementsprechend einfach einzurichten – klappt einmal etwas nicht, steht zudem eine sehr gute Dokumentation bereit. In einer bestehenden Docker-Umgebung bringt der Nutzer Dashy mit wenigen Befehlen zum Laufen. Anschließend gelingt der erste Zugriff auf das Webinterface, der in den Werkseinstellungen kein Passwort erfordert. Im Interface findet der Nutzer Kacheln, die künftig die Apps aufnehmen, die hier ihre Informationen präsentieren sollen. Erneut ist die gute Hilfe und Dokumentation zu loben, denn ein Klick auf eine solche Kachel fördert direkt eine Anleitung zutage, die darlegt, was hier zu tun ist. So ist das eigene Dashboard schnell erstellt und es lässt sich in der Folge mit verschiedenen Themes und Layoutoptionen individuell einrichten.
Mit Dashy sind individuelle Dashboards einfach und flexibel aufgesetzt.
(jp)
Link-Codehttps://github.com/uvdesk/
Durch die aktuelle Gesetzeslage ist die Zeiterfassung derzeit in aller Munde. Ob die freie Software Traggo den Ansprüchen der neuen rechtlichen Vorgaben gerecht wird, muss vermutlich ein Anwalt entscheiden, doch für freie IT-Dienstleister oder andere IT-Profis, die genau erfassen wollen, wann sie was wie lang getan haben, ist die Open-Source-Software gewiss einen Blick wert.
Über die Funktionalität einer Zeiterfassungssoftware müssen wir nicht viele Worte verlieren, doch das freie Traggo überzeugt mit der Art und Weise, wie es dabei vorgeht. Denn grundsätzlich erfasst die Software die für einen Job benötigte Zeit nicht als Aufgabe, sondern über einen Tag in einem Kalender. Dies macht die Zeiterfassung sehr flexibel und nachvollziehbar und nachträglich in übersichtlichen Dash-boards darstellbar. Dieses System ist deshalb so clever, weil beispielsweise eine Arbeitsstunde mehrere Tags aufweisen kann: welcher Kunde, welches Projekt, welche Art von Arbeit. So ist es leicht zu ermitteln, wie viele Stunden an einem Projekt gearbeitet wurde, auch wenn beim gleichen Kunden aktuell parallele Aufgaben zu bewältigen sind. Auch ist auf diese Art und Weise schnell sichtbar, wieviel Zeit etwa für die Servereinrichtung in einem Projekt notwendig war und wie viel für die Härtung des Systems. Sind diese Aufgabe unterschiedlich bepreist, gelingt die Abrechnung im Handumdrehen.
In seiner GUI bietet Traggo standardmäßig eine Kalenderansicht, die die vergebenen Tags in unterschiedlichen Farben wiedergibt. Dabei ist die Kalenderansicht sehr flexibel einrichtbar und erlaubt, daraus dann die erwähnten Dashboards zu generieren, die Statistiken zur Arbeitszeit liefern. Ergänzend sei erwähnt, dass die Dokumentation des Tools auch beschreibt, dass sich die Arbeit mehrerer Personen in einem Kalender darstellen lässt. Wie praktikabel das für wie viele Kollegen ist, fand sich im Web jedoch nicht – die meisten Nutzer setzen Traggo anscheinend nur als Einzelplatzlösung ein.
Die Zeiterfassung mit Traggo schlüsselt übersichtlich auf, wieviel Zeit für welches Projekt benötigt wurde.
(jp)
Link-Code: https://traggo.net/