Juli | 2021 | Windows SBS and Essentials Blog

In der Release Documentation for Windows Server Essentials vom 10.03.2021 kündigt Microsoft Pläne an TLS 1.0 und 1.1 zu deaktivieren und TLS 1.2 für den Windows Server Essentials als zukünftigen Standard für eine Absicherung der Kommunikation vorzusehen.

Ein Überlesen dieser Information und damit das Versäumnis TLS 1.2 zu aktivieren hatte ja schon im März zu dem Blog über den nicht mehr funktionierenden Zugriff mittels <domain>.remotewebaccess.com geführt.

Nun bin ich auf einem SBE über einen nicht mehr funktionierenden Windows Server Essentials Backup Service gestolpert und dessen Abhängigkeit zu TLS 1.1.

Durch den Startup Type = Automatic sollte der Dienst mit einem Neustart des Servers gestartet werden. Was zwar passierte, aber nach ein paar Minuten war der Dienst nicht mehr aktiv.

Ich fasse hier mal die Symptome zusammen:

- Der Windows Server Essentials Backup Service startet und stoppet im Anschluss wieder
- Im Eventlog unter Application and Services Logs / Microsoft / Windows / ServerEssentials / Admin haben wir diese Fehlermeldung:Event 270, ServerEssentials
  API name GetTlsServerCredentials

Der Fehler sieht danach aus, dass der Service sich nicht Authentifizieren kann.

Weder Microsoft selbst, noch die Suchmaschine(n) meiner Wahl lieferten einen wirklich guten Hinweis auf die API GetTlsServerCredentials. Damit dachte ich mir, ich versuche mal IISCrypto von NARTAC Software um mir die aktuelle Konfiguration anzeigen zu lassen.

Auf diesem Server war lediglich Schannel TLS 1.2 (Server / Client Protocols) aktiviert. Ein Vergleich mit einem anderen SBE zeigte aber, dass dieser zusätzlich TLS 1.2, 1.1 und 1.0 aktiviert hatte und auf diesem Server lief der Windows Server Essentials Computer Backup Service.

Nach der Aktivierung von TLS 1.1 (und TLS 1.0, siehe Update unten), sowohl Server als auch Clientseitig (Server Protocols / Client Protocols) und einem damit notwendigen Neustart lief auch der Windows Server Essentials Computer Backup Service auf diesem SBE wieder.

Es existiert also eine Abhängigkeit zu TLS für den Windows Server Essentials Computer Backup Service. Eine Dokumentation dazu konnte ich nirgendwo finden und diese gewonnene Erkenntnis ist auf einen “educated guess” zurück zu führen, hat aber das Problem gelöst. Alle anderen Services auf dem SBE laufen übrigens mit der TLS 1.2 Einstellung problemlos, nur für den Windows Server Essentials Computer Backup Service ist noch TLS 1.1/1.0 notwendig.

Update 25.06.2021:
Nachvollziehen konnte ich dieses Verhalten sowohl mit Windows Server 2016 als auch mit Windows Server 2012R2, allerdings mit einen Unterschied. Während auf einem Windows Server 2016 der Windows Server Essentials Computer Backup Service mit TLS 1.1 wieder funktioniert hat, benötigte es unter Windows Server 2012R2 TLS 1.0.

Interessant ist, dass mit TLS 1.1 unter Windows Server 2012R2 der Service deutlich länger lief, bevor er mit dem Fehler oben (Event ID 270) sich beendet hat.

Update 29.06.2021:
Mit TLS 1.1 und 1.2 läuft auf dem Windows Server 2016 der Windows Server Essentials Computer Backup Service, aber die Clients verweigern das Backup. Welches nach Aktivierung von TLS 1.0 ebenfalls wieder funktioniert hat.

Zusammenfassend kann ich heute folgendes sagen:

Windows Server 2016 und 2012R2 = TLS 1.0, 1.1 und 1.2

Wenn ich nochmals zu neueren Erkenntnisses komme, gibt es dazu wieder ein Update.

Enjoy it, b!

Im Rahmen meiner Suche nach einem möglichen Ersatz für den Windows Small Business Essentials Server von Microsoft, habe ich inzwischen einige Synology NAS Systeme im Einsatz. Vor allem um damit Erfahrungen zu sammeln und ein Gefühl über Stabilität und Qualität im produktiven Einsatz zu bekommen.

Dazu gehört auch, ein Upgrade auf eine höhere DSM-Version, in diesem Fall von 6.x auf 7.x. Die Version 7 war von Synology für den 29. Juni 2021 angekündigt und zuvor gab es eine lange öffentliche Preview-Phase.

Überlegungen

Vor einem Update sollte man sich ein paar Gedanken machen, wie das mit möglichst wenigsten Problemen zu erledigen ist.

Update aller installierten Pakete auf dem NAS.

Update (falls notwendig) der Firmware (momentanes DSM) auf die aktuellste Version, was in diesem Fall 6.2.4-25556 ist.

Das ungefähr 300MB große DSM-Update sollte von einem im LAN vorhandenen PC installiert werden. Während des Updates steht das NAS selbst und eine Reihe von Diensten nicht zur Verfügung. Laut Synology kann das Update mehrere Stunden dauern, da auf den NAS aber nur sehr wenig Pakete installiert hatte war ich nach gut 30min fertig.

Die auf dem NAS installierten Pakete.

Vor dem Upgrade habe ich nochmals die folgenden Punkte abgearbeitet und kontrolliert:

Herunterfahren alles VMs auf dem NAS
Stopp aller Container in Docker
Kontrolle ob die letzte Sicherung gelaufen ist und ob diese alle wichtigen Daten beinhaltet (das ändert sich nämlich erfahrungsgemäß im Lauf der Zeit)
Analyse der Synology Log-Dateien auf Fehler
Beenden aller VPN-Verbindungen

Download des DSM

Der Download von DSM 7.x muss für jedes NAS Modell explizit von der Synology Homepage erfolgen.

Eine Anmeldung bei Synology ist dazu nicht notwendig.

Die Aktualisierung kann im Fall des DS1621+ von diesen beiden Versionen erfolgen.

Als Zielversion wurde die 7.0-41890 angeboten.

Abhängig von der Internetanbindung dauert der Download ein paar Minuten.

Upgrade auf DSM 7.x

Das Upgrade selbst erfolgt durch eine Manuelle DSM-Aktualisierung die als Option in der Systemsteuerung zu finden ist

Systemsteuerung / Aktualisieren & Wiederherst. / DSM-Aktualisierung / Manuelle DSM-Aktualisierung

Mit der Bestätigung durch Drücken von OK wird das neue DSM auf das NAS hochgeladen und es erfolgt im Anschluss der folgende Hinweis für das Update.

Hier sind nochmals die ungefähren Zeiten genannt, die für die Aktualisierung eingeplant werden müssen.

DSM selbst 20 – 40min
Pakete über eine Stunde

Im Update-Hinweis nach unten scrollen und das Update startet mit einem Klick auf Weiter, nachdem man den Haken für die Zustimmung gesetzt hat.

Nun erfolgt erneut ein Hinweis auf die ungefähre Zeit und das Upgrade startet nach der Bestätigung mit Ja.

Zeit für einen Kaffee Smile ~ 10min

Die im Countdown angezeigten 20min musste ich nicht warten. Das NAS war mit dem Upgrade früher fertig und führte selbstständig den Neustart durch.

Gut 10min später steht das NAS mit dem neuen Anmelde-Bildschirm bereit und es sind eine Reihe von Rest-Arbeiten zu erledigen.

Die erste Anmeldung

DSM 7.x begrüßt einem gleich mit der Möglichkeit eine Reihe von neuen Diensten zu konfigurieren. Dazu ist ein Synology-Konto notwendig.

Welchen der Dienste man nutzen will, liegt im eigenen Ermessen. Eine Sicherung der Konfiguration mit dem Synology-Konto halte ich aber für sinnvoll und die Möglichkeiten von Active Insight auf jeden Fall für interessant. Beides lässt sich später wieder deaktivieren oder im Nachgang aktivieren.

Zusätzlich bietet das neue DSM eine Tour durch die Änderungen und Neuigkeiten an.

Restliche Arbeiten

Das Upgrade hat ohne Probleme funktioniert. Lediglich der Virtual Machine Manager erfordert eine Reparatur, die sich aber einfach über die Option Reparieren durchführen lässt.

Dabei wird das für DSM 7.x angepasste Paket heruntergeladen und aktualisiert, was nochmals bestätigt werden muss.

Nach dem Bestätigen des Upgrades geht es weiter und die neuste Version 2.5.4-11440 wird installiert.

Der neu installierte Virtual Machine Manager braucht einige Minuten, bis er alle VMs analysiert hat und diese danach manuell gestartet werden können.

Bis zu diesem Zeitpunkt sind die VMs rot dargestellt, mit der Meldung das die VM nicht reagiert (Status = reagiert nicht). Hier einfach ein wenig Geduld mitbringen und nun den 2ten Kaffee holen 🙂

Fazit

Zusammenfassend kann ich sagen, dass das Upgrade auf DSM 7.x recht problemlos läuft. Bisher habe ich die folgenden Synology NAS Modelle auf DSM 7.x erfolgreich aktualisiert.

DS1621+
DS1517+
RS816

Mal schauen ob zumindest aus meiner Sicht ein Synology NAS den Windows Small Business Essentials Server von Microsoft ersetzten kann. Was denkt Ihr?

Enjoy it, b!

Windows SBS and Essentials Blog

Ein Leben im SBS Wahnsinn :-)

Archiv für den Monat Juli 2021

Windows Server Essentials Computer Backup Service funktioniert nicht (mehr)

Synology DSM 7.x Upgrade