In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Wir nutzen mehrere Paessler-PRTG-Instanzen zur Überwachung unserer gesamten IT-Landschaft. Um die Verfügbarkeit der Systeme zu dokumentieren, greifen wir bisher auf das interne Reportingtool zurück. Nun sind wir auf der Suche nach einer Möglichkeit, detaillierte SLA-Berichte basierend auf den Überwachungsdaten zu erstellen. Gibt es dafür eine einfache Möglichkeit?
Neben der Option, Berichte intern mit Paessler PRTG zu erstellen, bietet der Hersteller den SLA Reporter an [Link-Code: https://www.paessler.com/prtg/extensions/prtg-sla-reporter]. Dabei handelt es sich um eine Produkterweiterung, mit der Sie detaillierte SLA-Reports auf Basis der Überwachungsdaten einer oder mehrerer PRTG-Instanzen erstellen können. Die Berichte lassen sich automatisch nach einem Zeitplan oder bei Bedarf erzeugen. Darüber hinaus können Sie die SLA-Reports mit vorhandenen Tools von Drittanbietern anpassen und über die native E-Mail-Funktion direkt an Ihre Stakeholder versenden. Definieren Sie dazu einfach die gewünschten SLAs und weisen Sie ihnen die entsprechenden PRTG Sensoren zu. Verwenden Sie bereits Reportingtools von anderen Herstellern, die Daten in einer SQL-Datenbank speichern, lassen sich diese problemlos in den PRTG SLA Reporter integrieren.
(Paessler/ln)
Monitoring
Wir nutzen mehrere Paessler-PRTG-Instanzen zur Überwachung unserer gesamten IT-Landschaft. Um die Verfügbarkeit der Systeme zu dokumentieren, greifen wir bisher auf das interne Reportingtool zurück. Nun sind wir auf der Suche nach einer Möglichkeit, detaillierte SLA-Berichte basierend auf den Überwachungsdaten zu erstellen. Gibt es dafür eine einfache Möglichkeit?
Neben der Option, Berichte intern mit Paessler PRTG zu erstellen, bietet der Hersteller den SLA Reporter an [Link-Code: https://www.paessler.com/prtg/extensions/prtg-sla-reporter]. Dabei handelt es sich um eine Produkterweiterung, mit der Sie detaillierte SLA-Reports auf Basis der Überwachungsdaten einer oder mehrerer PRTG-Instanzen erstellen können. Die Berichte lassen sich automatisch nach einem Zeitplan oder bei Bedarf erzeugen. Darüber hinaus können Sie die SLA-Reports mit vorhandenen Tools von Drittanbietern anpassen und über die native E-Mail-Funktion direkt an Ihre Stakeholder versenden. Definieren Sie dazu einfach die gewünschten SLAs und weisen Sie ihnen die entsprechenden PRTG Sensoren zu. Verwenden Sie bereits Reportingtools von anderen Herstellern, die Daten in einer SQL-Datenbank speichern, lassen sich diese problemlos in den PRTG SLA Reporter integrieren.
Durch eine Vielzahl an Gruppenrichtlinienobjekten kommt es in unserer Domäne immer wieder zu Unklarheiten und Konflikten. Was gilt es bei der Verwaltung von GPOs zu beachten?
Die Steuerung von Gruppenrichtlinien lässt sich durch die sinnvolle Strukturierung von Organisationseinheiten und GPOs erheblich erleichtern. Zur besseren Übersicht sollten Admins Richtlinien für Computer und Benutzer in getrennten Objekten verwalten. Dazu empfiehlt es sich, je eine übergeordnete Organisationseinheit für alle Computer beziehungsweise Benutzer der Domäne anzulegen, mit denen allgemeine Richtlinien verknüpft werden. Abweichende Richtlinien lassen sich durch verschachtelte OUs steuern, etwa für die Benutzer einzelner Abteilungen oder unterschiedliche Gerätearten wie Desktop-PCs und Laptops.
Anstatt sämtliche Richtlinien über ein Objekt zu steuern, ist eine themenbasierte Aufteilung sinnvoll, etwa Browsereinstellungen, Netzwerkrichtlinien oder Windows-Einstellungen. Die klare Benennung erleichtert spätere Anpassungen und hilft dabei, Probleme bei der Anwendung nachzuvollziehen. Natürlich sollte die Aufteilung in verschiedene GPOs dabei nicht zu kleinteilig geraten. Damit sich Gruppenrichtlinien korrekt anwenden lassen, müssen Admins zudem sicherstellen, dass sämtliche Benutzer und Computer den richtigen Organisationseinheiten zugeordnet sind. Um den Aufwand durch laufende Anpassungen zu minimieren, lässt sich das Erstellen von Konten, Zuweisung zu OUs und Vergabe von IT-Privilegien bequem über ein Identity- und Access-Management-Werkzeug automatisieren.
In unserem Unternehmen nutzen wir für Applikationen und Data Lakes den Amazon Simple Storage Service (S3). Allerdings benötigen unsere interaktiven Big-Data-Analysen noch schnellere Zugriffszeiten und eine minimale Latenz. Dadurch erreichen wir oft unsere Kapazitätsgrenzen und überschreiten sie gelegentlich. Wie können wir die optimale Leistung zur Verfügung stellen?
Organisationen benötigen flexible Speicher, die auch den Anforderungen komplexer Anwendungen gerecht werden. Amazon S3 Express One Zone wurde genau für diesen Zweck entwickelt. Die neue Speicherklasse bietet eine bis zu zehnfach höhere Leistung als die S3-Standard-Speicherklasse. Hunderttausende Anfragen pro Sekunde lassen sich laut AWS mit einer konsistenten Latenzzeit im einstelligen Millisekunden-Bereich verarbeiten. Dadurch wird die Laufzeit datenintensiver Anwendungen erheblich verkürzt.
S3 Express One Zone eignet sich besonders für Applikationen, die viele parallele Rechenknoten nutzen. Dies ist hilfreich, wenn große Datenmengen anfallen, wie zum Beispiel beim ML-Training, der Finanzmodellierung oder beim High Performance Computing. Obwohl die Daten in diesen Use Cases in der Regel nur für kurze Zeit gespeichert werden, erfordern die Anwendungen häufigen und schnellen Zugriff. Im Vergleich zu anderen Speicherklassen von Amazon S3 sind bei Express One Zone die Availability Zones von entscheidender Bedeutung. Beginnen Sie damit, einen S3-Bucket in der Availability Zone Ihrer Wahl zu erstellen. Im folgenden Beispiel verwenden wir die neueste Version der AWS Command Line Interface (AWS CLI) in der Region Frankfurt (eu-central-1).
Nutzen Sie zunächst das Kommando jq, um Ihre ZoneId der Availability Zone (eu-central-1b) anzuzeigen:
Erstellen Sie eine Bucket-Konfiguration (s3express-bucket-config.json) und fügen Sie wie im Listing-Kasten die erhaltene ID aus dem ersten Schritt 1 ein. Erstellen Sie nun Ihren Directory-Bucket mit ihrem selbstgewählten Namen und dem Suffix "--[<ZoneID aus Schritt 1>]--x-s3":
aws s3api create-bucket --bucket [<Name>]--[<ZoneID aus Schritt 1>]--x-s3 \
Nun können Sie den Bucket als Ziel für andere CLI-Befehle verwenden sowie in Ihren Applikationen mit hohen Speicheranforderungen einbinden.
(AWS/ln)
Bucket-Konfiguration für Amazon S3 Express One Zone
{
"Location":
{
"Type": "AvailabilityZone",
"Name": "<ZoneID-aus-Schritt-1>"
},
"Bucket":
{
"DataRedundancy": "SingleAvailabilityZone",
"Type": "Directory"
}
}
Hardware
Wir müssen mittlerweile sehr viele Devices – vor allem auch Mobilgeräte – managen. Das ist mit unserem kleinen Team kaum noch zu bewältigen. Gibt es in GoTo Resolve MDM einen Trick, um uns mit automatisierten Funktionen zu entlasten?
Die Durchsetzung von Unternehmensrichtlinien wäre hier eine passende Maßnahme. Das ermöglicht es Administratoren, die Bereitstellung von Anwendungen, Dateien, Zertifikaten und Konfigurationsprofilen zu automatisieren. GoTo Resolve MDM ermöglicht es IT-Teams, Unternehmensrichtlinien schnell und einfach zu erstellen, zu aktualisieren und geräteübergreifend zu verteilen. Dazu benötigen Sie Administrator- oder Editorrechte für die GoTo-Resolve-MDM-Site. Besitzen Sie diese, erstellen Sie eine Richtlinie, indem Sie im Menü unter "Management" zu "Unternehmensrichtlinien" navigieren und oben auf der Seite auf "Hinzufügen" klicken. Daraufhin öffnet sich ein Assistentenformular zum Erzeugen einer Richtlinie.
Der erste Schritt besteht nun darin, die Gerätegruppe und den Geltungsbereich der anzuwendenden Unternehmensrichtlinie zu definieren. Wenn nur bestimmte Geräte von der Richtlinie betroffen sein sollen, wählen Sie Gerätegruppen aus der Liste der verfügbaren Tags im Fenster aus. Administratoren können zudem eine neue Gruppe erstellen, wenn die gewünschte Gruppe noch nicht vorhanden ist. Beachten Sie jedoch, dass ein Gerät, dem ein für eine Unternehmensrichtlinie erforderliches Tag fehlt, nicht in den Geltungsbereich der Richtlinie fällt und diese nicht ausgeführt wird.
Geben Sie jetzt der Richtlinie einen Namen und eine kurze Beschreibung. Danach öffnen Sie die Richtlinie in der Liste "Unternehmensrichtlinien" wie zuvor unter: "Verwaltung / Unternehmensrichtlinien". Sie können nun Anwendungen, Konfigurationsprofile, Dateien und Zertifikate zu der Richtlinie hinzufügen. Falls erforderlich, können Sie auch Abhängigkeiten zwischen den Elementen der Geschäftsrichtlinie definieren. Diese lassen sich über die Dropdown-Optionen "Hinzufügen" und "Aktion" im oberen Teil des Fensters hinzufügen. Bei Anwendungen enthält die Liste alle verfügbaren Versionen. Wählen Sie diejenige aus, die für die Unternehmensrichtlinie erforderlich ist. Sie können auch mehrere Applikationen aus der Liste auswählen.
Beachten Sie jedoch, dass der Standardstatus der erstellten Unternehmensrichtlinie zunächst "deaktiviert" ist. Um die Richtlinie auf den entsprechenden Geräten bereitzustellen, müssen Sie diese also noch aktivieren. Dazu klicken Sie oben im Fenster einfach auf "Aktivieren“.
Bei einem Interrupt handelt es sich in der Informatik ja um eine kurzzeitige Unterbrechung des normalen Programmablaufs. Interrupts können durch Software oder Hardwarekomponenten ausgelöst werden. Bei Hardware-Interrupts gibt es maskierbare und nicht-maskierbare (non-maskable) Interrupts. Können Sie kurz den Unterschied erklären?
Alle regulären Unterbrechungen, die wir normalerweise verwenden und mit Nummern bezeichnen, werden als maskierbare Unterbrechungen bezeichnet. Ein Interrupt gilt als maskiert, wenn er deaktiviert wurde oder wenn die CPU die Anweisung hat, ihn zu ignorieren. Der Prozessor ist in der Lage, jede Unterbrechung zu maskieren oder vorübergehend zu ignorieren, wenn dies erforderlich ist, um eine andere Aufgabe zu erledigen.
Ein nicht-maskierbarer Interrupt (NMI) lässt sich nicht ignorieren und wird im Allgemeinen nur bei kritischen Hardwarefehlern verwendet. Die Ausgabe von NMIs erfolgt normalerweise über eine separate Interrupt-Leitung. Empfängt die CPU einen NMI, bedeutet dies, dass ein kritischer Fehler aufgetreten ist und das System wahrscheinlich kurz vor dem Absturz steht. Der Prozessor unterbricht auf einen NMI hin alle anderen Aktivitäten und behandelt den NMI. Das NMI-Signal findet normalerweise nur in kritischen Problemsituationen Verwendung, etwa bei schweren Hardwarefehlern wie Paritätsfehlern des Speicher-Subsystems. Solche Probleme müssen sofort behandelt werden, um eine mögliche Datenbeschädigung durch gekippte Bits zu verhindern.
Die Liste täglicher Admin-Aufgaben ist lang und erfordert, sich im Dateisystem umzusehen, über Terminalsitzungen auf entfernte Server zuzugreifen, vielleicht auch solche mit Anwendungen in Containern oder Maschinen in einem Cluster-Verbund. All dies unter einer Oberfläche zu realisieren, verspricht das freie Werkzeug XPipe.
XPipe ist nach Aussagen seiner Entwickler ein neuartiger Shell Connection Hub mit eingebautem Remote-Dateimanager. Der Clou daran ist, dass XPipe auf der Admin-Workstation wie ein Makler arbeitet und alle im Tool angestoßenen Tasks an die im System vorhandenen Kommandozeilenwerkzeuge weitergibt sowie deren Ergebnisse anschließend entgegennimmt. Das macht die Software enorm flexibel, weil sie sich nicht mit APIs, Protokollen oder Bibliotheken auseinandersetzen muss. Zudem bedarf es keinerlei Anpassungen auf den Zielmaschinen. Die Community-Variante des Tools richtet sich der IT-Verantwortliche als Desktopanwendung ein, was unter Windows, Linux und macOS gelingt. Dabei verbleiben alle Daten lokal und XPipe muss sich nicht mit Onlinediensten verbinden und erfordert auch keinen Account. Dies betonen die Entwickler besonders, denn die verarbeiteten Daten sind natürlich in vielen Fällen von sehr sensibler Natur.
Der enthaltene Dateimanager bringt viel Komfort beim Zugriff mit. So lässt sich beispielweise sehr schnell eine Terminalverbindung zu einem entfernten Rechner herstellen. Diese erlaubt die Bearbeitung mit einem lokalen Werkzeug nach Wahl. Hat eine Session zu wenig Rechte für den gewünschten Zugriff, ist diese einfach via sudo-Befehl anpassbar, wobei nicht einmal ein Neustart des Tools erfolgen muss. Zudem gelingt auch der Transfer von Dateien denkbar einfach.
Bei der Remoteverwaltung von Systemen versorgt die Software den Admin mit dem Zugriff auf die Konsole seiner Wahl, ohne erneute Credentials eingeben zu müssen. So eingeloggt, gelingt die Zusammenarbeit mit Bash, ZSH, CMD und PowerShell lokal wie auch remote. Für die Sicherheit sorgt eine umfassende Integration in vorhandene SSH-Werkzeuge, die ebenfalls keine zusätzliche Konfiguration erfordern. XPipe unterstützt in diesem Umfeld zudem Gateways und Jump-Server. Ist auf dem System im Remotezugriff Docker vorhanden (genauer gesagt der Docker-Client für die Kommandozeile), erkennt das Tool dies und ermöglicht die umfassende Verwaltung vorhandener Container. Gleiches gilt für Kubernetes-Cluster, wobei sich XPipe rühmt, alle freien und kommerziellen Kubernetes-Distributionen zu unterstützen. Und als wären all diese Features noch nicht spannend genug, kommt das Werkzeug auch noch mit einer eigenen Scripting-Umgebung daher, die die Arbeit auf entfernten Maschinen umfassend automatisiert.
Traditionelle VPNs gewähren dem Client einen geschützten Zugang zu Unternehmensressourcen, indem sie mit einem zentralen VPN-Server vertrauliche Verbindungen etablieren. Doch diese bewährte Technik hat auch Nachteile: Zum einen kann ein großer Andrang von Clients den zentralen Verwaltungsrechner in die Knie zwingen und zugleich ist diese Maschine ein Single-Point-of-Failure. Denn steht sie still, kann niemand mehr externen Zugriff auf benötigte Informationen erlangen. Zudem erfordert eine solche Umgebung Konfigurationsarbeit und Expertise in Sachen Firewalling, NAT, Single Sign-on und Rechteverwaltung. Das freie NetBird will VPNs mit Punkt-zu-Punkt-Verbindungen deutlich vereinfachen.
NetBird verspricht durch diese Art der Verbindung, das Netzwerk zu entlasten. Dafür setzt die Open-Source-Software auf Signaling-Server, um VPNs zwischen den Clients zu etablieren. Zudem vereinfacht sich durch die NAT-Technologien die Konfiguration und Wartung erheblich. Und schließlich stellt der Client nur Connections zu vertrauenswürdigen Maschinen her. Dafür setzen die Entwickler auf Wireguards Crypto-Routing-Konzept.
NetBird besteht aus einer Sammlung von Komponenten, die sich um die Peer-to-Peer-Verbindungen, das Tunneling, die Authentifizierung und das Netzwerkmanagement (IP-Adressen, Schlüssel, ACLs) kümmern. Dazu haben die Entwickler Open-Source-Technologien wie WireGuard, Pion ICE und Coturn mit selbstgeschriebener Software kombiniert. In der Administration eines solchen Systems zeigen sich die Komponenten als Client-Agent, Management-, Signal- und Relay-Dienste. Im Zusammenspiel sorgen sie für den sicheren Zugriff auf autorisierte Ressourcen, was mit einer Vielzahl von Devices gelingt – vom lokalen oder Cloudserver über Laptops bis hin zum Raspberry PI. Die kommerzielle Variante von NetBird ist ein Clouddienst, doch die Open-Source-Variante lässt sich lokal ohne funktionale Einschränkungen und kostenlos betreiben.
Ähnlich unserem ersten Tool in dieser Ausgabe tritt tmux an, die Arbeit mit mehreren Konsolenfenstern in einer Terminalsitzung zu ermöglichen. Die Option, diese Terminals in separate Fensterbereiche zu unterteilen oder zu trennen, während sich gleichzeitig Shell-Skripte schreiben lassen, vereinfacht die Arbeit des Admins ungemein. Hinzu kommt, das IT-Verantwortliche auf diese Weise sogar parallel und idealerweise per Secure Shell in Remote-Sitzungen mit anderen zusammenarbeiten können.
Dabei ist tmux kein ganz neues Tool, doch viele Admins, die unter Linux Server verwalten, wissen nicht, dass sich dieses wertvolle Werkzeug mit einem einfachen Befehl mit dem Paketmanager der Distribution einspielen lässt. Anschließend ist es möglich, im Terminal einer Linux-Distribution in mehreren Sitzungen und Fenstern gleichzeitig zu arbeiten sowie Fenster in mehrere Bereiche für Multitasking zu teilen und zu konfigurieren. Auf diese Weise können Admins parallele Prozesse und Programme laufen lassen und verschiedene Befehle gleichzeitig ausführen. Auch Remote-Sitzungen und die Zusammenarbeit mit mehreren Nutzern gelingen mit tmux. Darüber hinaus kann der IT-Verantwortliche Prozesse und Sitzungen verlassen, in den Hintergrund verschieben und später dort weitermachen, wo er aufgehört hat.
Das Werkzeug erlaubt Kommandozeilenbefehle, um Linux zu steuern und zu bearbeiten. Dazu zählen beispielsweise Befehle für die Vergabe der Verzeichnisrechte mit chmod oder das "shutdown -h"-Kommando für den einfachen Linux-Shutdown. Während Sie tmux in Ubuntu, Linux oder anderen Linux-Distributionen problemlos einsetzen können, lässt es sich unter Windows nur über das Windows-Subsystem für Linux 2 (WSL2) verwenden.