Für diesen Anwendungsfall gibt es den "Paessler PRTG Data Exporter" [Link-Code: https://it-a.eu/o1pe1]. Mit dieser Produkterweiterung für Ihre bestehende(n) PRTG-Instanz(en) haben Sie die Möglichkeit, die PRTG-Rohdaten in Ihre existierende relationale Datenbank zu exportieren und dort zu verwalten. Damit haben Sie die volle Kontrolle über Ihre Überwachungsdaten außerhalb der internen Datenbank. Mit dem Data Exporter können Sie Ihre Informationen bei Bedarf oder in regelmäßigen Abständen extrahieren und in einem Standard-Datenbankformat zur Verfügung stellen. Welche Informationen Sie exportieren möchten, legen Sie einfach über die Benutzeroberfläche des Werkzeugs fest. Auch die Kombination von Daten mehrerer PRTG-Server und anderer Quellen ist möglich. Zusätzlich können Sie die Informationen direkt für Analyse- und Reporting-Tools von Drittanbietern verfügbar machen.

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen YouTube-Kanal mit Tutorials an.

Um jederzeit auf den eigenen Tenant zugreifen zu können, empfiehlt Microsoft, mindestens zwei Konten für den Notfallzugriff (Break Glass Accounts) in Entra ID einzurichten. Diese globalen Admin-Konten sollten Sie durch andere Methoden zur Authentifizierung absichern, die nicht von der Verfügbarkeit derselben Geräte abhängig sind, zum Beispiel Smartphones. Nutzt eine Organisation etwa im Normalfall die Microsoft Authenticator App als zweiten Faktor bei der Anmeldung, kann für ein Notfallkonto ein FIDO2-Sicherheitsschlüssel Verwendung finden. Weiterhin sollten Sie Notfallkonten von Richtlinien für den bedingten Zugriff ausnehmen, damit die Anmeldung im Notfall nicht verhindert wird.

Da Notfallkonten den normalen Anmeldeprozess umgehen, müssen Organisationen strenge Maßnahmen treffen, um eine missbräuchliche Nutzung zu verhindern. Zugangsschlüssel beziehungsweise -daten müssen sicher verwahrt werden. Erfolgt eine Anmeldung, sollte eine Benachrichtigung der Administratoren per E-Mail oder SMS erfolgen. Zudem gilt es, den Notfallprozess regelmäßig zu überprüfen. Die Verwaltung von Cloudzugängen wird mit steigenden Userzahlen zur Herausforderung. Wer Konten und Rechte in M365 sicher und zeitsparend verwalten möchte, greift am besten auf ein spezielles Werkzeug für das Identity- und Access-Management zurück.

Weitere Tipps zur effizienten Verwaltung von Microsoft 365 finden Sie im IAMBlog von tenfold unter https://tenfold-security.com/ratgeber/

Amazon S3 bietet unter anderem die Möglichkeit, verschiedene unstrukturierte Datenbestände zu speichern – beispielsweise für die Verwendung in Analyse-pipelines, für maschinelles Lernen und Business Intelligence. Häufig finden dabei jedoch domänenspezifische Tools Verwendung, die die Objekt-APIs von S3 nicht nativ unterstützen. Stattdessen werden Ein- und Ausgaben als Dateien in einem lokalen Dateisystem benötigt. IT-Verantwortliche können hierfür auf "Mountpoint for Amazon S3" zugreifen. Der durchsatzstarke Dateiclient ist Open Source und hilft beim Mounten und Unmounten eines S3-Buckets als lokales Dateisystem. Er übersetzt die Prozesse automatisch in S3-Objekt-API-Aufrufe, sodass Anwendungen über eine Dateischnittstelle auf den elastischen Speicher und den Durchsatz von Amazon S3 zugreifen können. Auf diese Weise lassen sich Objekte in S3 öffnen und lesen – auch mit nicht-nativen Tools.

Der Download und die Installation unterscheiden sich je nach Linux-Betriebssystem. Eine Anleitung finden Sie im Amazon S3 User Guide [Link-Code: o1pe2]. Grundsätzlich benötigt Ihr Host einen gültigen AWS-Zugang mit Zugriff auf die S3-Buckets, die Sie mounten möchten. Mit Mountpoint können Sie dann folgende Aktionen durchführen:

1. Mounten: Wenn Sie Ihren S3-Bucket einbinden wollen, ersetzen Sie im folgenden Beispiel "DOC-EXAMPLE-BUCKET" durch den Namen Ihres Buckets und "~/mnt" durch das Verzeichnis Ihres Hosts:

Der Mountpoint-Client läuft standardmäßig im Hintergrund, sodass Sie anschließend über das Verzeichnis "~/mnt" auf die Objekte in Ihrem S3-Bucket zugreifen können.

2. Objektzugriff: Nachdem Sie Ihren Bucket lokal gemountet haben, können Sie mit Linux-Befehlen an S3-Objekten arbeiten. Mountpoint ist für Workloads optimiert, die einen durchsatzstarken Lese- und Schreibzugriff auf S3-Daten über eine Dateisystemschnittstelle benötigen, ansonsten aber nicht auf erweiterte Dateisystemfunktionen angewiesen sind.

3. Unmounten: Der Befehl umount ~/mnt lässt sich als Vorlage verwenden. Ersetzen Sie nur "~/mnt" durch das Verzeichnis auf Ihrem Host, in dem Ihr S3-Bucket gemountet ist. Damit beenden Sie den Client und unmounten Ihren S3-Bucket.

Der wichtigste Hinweis zu Beginn: Spielen Sie niemals Updates via ein – dies kann Ihr Proxmox-VE-System unbrauchbar machen, da Abhängigkeiten zwischen den verschiedenen Paketquellen (Repositories) nicht berücksichtigt werden. Korrekt Updates einspielen können Sie bei jedem Proxmox System in der Hostansicht unter "Hostname / Updates". Hier erscheinen alle Pakete, für die es eine neue Version gibt. Auch neue Minor-Ceph-Updates würden hier auftauchen. Mit einem Klick auf "Upgrade" öffnet sich dann eine Kommandozeile und der "apt dist-upgrade"-Befehl wird abgesetzt. Wir empfehlen, nach jedem (Kernel)-Update einen reboot durchzuführen, damit der neue Kernel aktiv werden kann. Updates lassen sich außerdem jederzeit über die CLI durchführen:

Hier noch einmal der Hinweis: Verwenden Sie nie den Befehl

Das Handling der Updates bei Cluster-Systemen gestaltet sich etwas anders, da es Abhängigkeiten zum Proxmox-Cluster (Corosync) gibt und gegebenenfalls auch welche zum Storage. So sollten Sie beispielsweise bei Ceph mit Dreifach-Replikation die folgende Reihenfolge beachten:

- Migrieren Sie zunächst die VMs: Leeren Sie den Host und verschieben Sie die VMs auf einen anderen Host des Clusters (Rechtsklick auf den Host, Bulk-Migration).

- Spielen Sie die Updates ein: Sobald der Host leer ist, installieren Sie wie oben die Updates.

- Starten Sie den Server neu.

- Warten Sie das Recovery von Proxmox VE und auch Ceph ab. Prüfen Sie dazu das Ceph-Dashboard, da der Speicher gegebenenfalls noch einige Dateien recovern muss. Achtung: Wenn Sie zu früh neu starten, kann das Quorum des Storage oder des Proxmox-Clusters unterschritten werden und Sie riskieren eine Downtime.

Außerdem ist es wichtig, dass sie niemals mehr als einen Host gleichzeitig updaten. Des Weiteren bietet es sich an, dass Sie Cluster-Systeme immer innerhalb einer Sitzung aktualisieren. Es ist nicht empfohlen, die Proxmox-Hosts in unterschiedlichen Versionen laufen zu lassen. Das heißt, spielen Sie etwa bei einem Sieben-Node-Cluster Updates ein, dann sollten Sie für denselben Termin auch die anderen sechs Nodes zeitlich einplanen.

Viele weitere Tipps und Tricks zu Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite.

Um CPU-Ressourcen zu entlasten, sollten Sie überdimensionierte VMs vermeiden. Insbesondere in mittleren bis großen Umgebungen kommen die Hardwarespezifikationen virtueller Maschinen häufig von den Applikationsverantwortlichen und beinhalten oft deutlich mehr virtuelle CPUs (vCPUs), als tatsächlich benötigt. Als Grundregel sollten Sie aber nur so viele vCPUs konfigurieren, wie Sie tatsächlich benötigen. VMware Aria Operations (früher vRealize Operations) kann hierbei unterstützen und überdimensionierte VMs proaktiv melden.

Ungenutzte vCPUs verbrauchen virtuelle Timer-Ticks, was zu einem gewissen Overhead führt. Zusätzlich machen viele ungenutzte vCPUs dem Scheduler des ESXi-Hosts das Leben unnötig schwer, was zu den sogenannten Co-Scheduling-Stops führen kann. Ein weiterer Weg, die CPU zu entlasten, besteht darin, grundsätzlich ungenutzte Hardware wie virtuelle optische Laufwerke, Floppy-Laufwerke, serielle Ports et cetera von der VM zu trennen oder ganz aus der Konfiguration zu entfernen. Windows und teilweise auch andere Gastsysteme neigen dazu, solche virtuellen Hardwarekomponenten von Zeit zu Zeit abzufragen, was unnötige CPU-Last verursacht.

Wie schon bei den vCPUs sind VMs häufig überdimensioniert, was die Speicherausstattung (RAM) angeht. Bei einem Speicherengpass kann ESXi solchen virtuellen Maschinen ungenutzten Speicher auch wieder wegnehmen. Ein Mechanismus dazu ist das sogenannte "Ballooning", wobei ESXi mit einem Treiber innerhalb der VM spricht. Dieser fordert vom Gastsystem bevorzugt ungenutzten Speicher an, der dann im ESXi wieder zur Verfügung steht. Hierzu sind allerdings zwei Voraussetzungen zu erfüllen:

1. Der Balloon-Treiber muss im Gastsystem installiert sein. Er ist Bestandteil der VMware Tools, die grundsätzlich in jeder virtuellen Maschine installiert sein sollten.

2. Der Speicher der VM darf nicht garantiert (reserviert) sein.

Überdimensionierte VMs mit einer hohen Speicherreservierung können keinen Speicher durch Ballooning abgeben. Daher kann das Reduzieren dieser Reservierung bei potenziell überdimensionierten VMs deutlich helfen, Speichernot ohne wesentlichen Performanceverlust zu beseitigen. Andererseits leidet natürlich die Leistung von VMs, die ihren Speicher auslasten, wenn sie von Ballooning betroffen sind (zum Beispiel Datenbanken). Diese sollten dann bei drohender Speichernot durchaus eine großzügige Reservierung erhalten.

PrintOnly ist eine Windows-Software, die Output nur auf physischen USB-Druckern erlaubt und gleichzeitig dafür sorgt, dass ein wichtiges Dokument sich weder verändern noch einsehen lässt. Das Tool unterstützt PDF, Word, Excel, JPG/PNG/TIF-Bilder, TXT-Files, PowerPoint, RTF und andere Formate. Dabei konvertiert Print-Only diese in sein eigenes POF-Dateiformat ("PrintOnly File"), was die erwähnten Sicherheitsfeatures im Dokument implementiert. Zusätzlich ist es dem Ersteller der Datei möglich, den Ausdruck zeitlich wie auch in der Anzahl der Kopien zu limitieren sowie ein Wasserzeichen einzubauen. So kann beispielsweise der Finanzvorstand eines Unternehmens ohne Bedenken den neuen Praktikanten damit beauftragen, den vertraulichen Bilanzentwurf des Unternehmens dreimal auszudrucken – die Hilfskraft kann dabei die Inhalte weder einsehen noch verändern oder nach Feierabend noch einmal drucken, um sie mit nach Hause zu nehmen. Für diesen Workflow benötigt der Erzeuger des Dokuments die vollwertige PrintOnly-Anwendung und die mit dem Druck beauftragte Person den zugehörigen Client auf ihren Rechnern. Das Vorgehen beim Deployment beschreibt der Entwickler auf seiner Homepage im Detail. Hilfreich ist für diese sensitive Umfeld gewiss auch, dass die Software in deutscher Sprache zur Verfügung steht, was Bedienfehler reduzieren sollte.

Link-Code: https://printonly.net/

Auf einem Server im Netz installiert, stellt netboot.xyz die erforderlichen Ressourcen zentral bereit und ermöglicht diesen den PXE-Boot auf den Clientrechner über ein Menü im BIOS. Dabei nutzt das Tool das iPXE-Projekt, um dort ein benutzerfreundliches Interface zur Auswahl der gewünschten Software bereitzustellen. Die Software unterstützt 32- und 64-Bit-x86-Architekturen sowie arm64-Systeme. Dabei passt netboot.xyz seine Bedienoberfläche an die jeweils identifizierte Umgebung an.

Für Linux-Systeme, die mit einem aus dem Netz startbaren Installer ausgestattet sind, beschleunigt das Tool die Installation sogar, indem es zunächst einen minimalen Kernel lädt, das System startet und erst dann alle weiteren notwendigen Pakete lädt. Auch für Live-Distributionen, die meist zunächst nur in den RAM einer Maschine fließen, ermöglicht netboot.xyz den Start der PXE. Dafür stellen die Entwickler des Tools speziell angepasste Versionen dieser Systeme bereit, die ab Werk den PXE-Boot nicht immer tadellos beherrschen, nicht zuletzt deshalb, weil dieser Vorgang eine große Netzwerkbandbreite beansprucht.

All dies ist auch mit Windows möglich, erfordert jedoch etwas mehr Handarbeit. Erforderlich ist hierbei ein Clientrechner mit Windows 10/11, und natürlich das gewünschte ISO-File. Doch bevor dies ebenso reibungslos klappt wie bei Linux, muss der IT-Verantwortliche erst das Windows ADK für Windows 10/11 und anschließend das Windows-PE-Add-on für das Windows ADK einspielen.

Darüber hinaus bringt das Tool noch einen Werkzeugkasten für Notfälle mit. Im BIOS findet der Anwender neben den verschiedenen System-Boots auch das Utilities-Menü, das Disk-Cloning, das Löschen von Laufwerken und andere Reparaturmaßnahmen erlaubt.

Link-Code: https://netboot.xyz/

Mit Authentik erhalten IT-Verantwortliche einen Werkzeugkasten für alle Belange der Authentifizierung. Das zentrale Versprechen der Entwickler ist dabei, dass sich alle dafür notwendigen Features und Protokolle ohne Anpassungen an der bestehenden IT-Umgebung einführen lassen. Das beginnt vergleichsweise simple bei Anwenderprofilen und dem Passwortmanagement. So erlaubt Authentik beispielsweise, Credentials für Anwendungen komfortabel einzurichten und auch zurückzusetzen. Als Identity-Provider unterstützt die Software LDAP, OpenID Connect, OAuth2, SAML, WebAuthN, YubiKey, Duo und mehr, sodass für jede Unternehmensapplikation das geeignete Protokoll bereitstehen sollte.

Eine weitere Stärke des Tools sind die flexiblen Authentifizierungs-Workflows. Im Admin-Interface findet sich ein grafisches Werkzeug zum Erstellen derartiger Abläufe. Dies erlaubt das Erzeugen und Management von Usern, Gruppen, Tokens und Credentials. Hier nimmt der IT-Verantwortliche vorhandene Anwendungen in Authentik auf und definiert den jeweiligen Login-Vorgang. Über dieses Interface steht zudem ein Monitoring aller Authentifizierungsvorgänge bereit.

Link-Code: https://goauthentik.io/