racknex UM-INT-001 | SBE Compute Unit

Langsam muss ich mir doch Gedanken über die Umbenennung dieses Blogs machen, eine Anregung war SBE = Small Business Environments, was mir persönlich sehr gut gefällt. Der SBS (Small Business Server) verliert mit jeder Migration bei meinen Kunden, für mich an Bedeutung und auch aus Sicht des Supports von Microsoft sind seine Jahre gezählt.

Zeit über neue Ansätze nachzudenken und wieder einen Artikel über meine Freunde in Österreich zu schreiben, hiermit beste Grüße an racknex und die erfolgreiche Verwendung der UM-INT-001 als Rackmount für meine SBE Compute Unit.

UM-INT-001

Credits und Copyright liegen bei racknex

“Für was brauchen wir den eigentlich noch die beiden Server?” Fragte mich ein Kunde, nachdem wir seine Datei- und Anmeldedienste (und alles andere, was ein Small Business Server Essentials 2012 R2 so macht) auf zwei Synology NAS Systeme migriert hatten. Sein Szenario sah zu diesem Punkt wie folgt aus:

  • VPN-Server
  • Anmeldedienste (Synology Directory Server) und DNS
  • Dateidienste (SMB/CIFS)
  • DHCP
  • Backup der Arbeitsplätze und virtuellen Maschinen (VMs)
  • Surveillance (für die Videokameras in der Werkstatt) sowie Cloud-Backup
  • Docker Container mit WSUS Offline Update

Das alles verbunden mit einem zweiten Synology NAS welches zusätzlich den Anmeldedienst aktiv absichert und ansonsten für die Replikation von Snapshots und die Sicherung des primären NAS zum Einsatz kommt.

Gut, natürlich wir haben ja immer noch die Server, die inzwischen nicht mehr viel zu tun haben. Dort laufen gerade mal drei VMs (virtuelle Maschinen), eine für das Management der Drucker, die zweite für das ziemlich schrottig programmierte Warenwirtschaftssystem sowie eine dritte mit einem virtuellen Desktop und Windows 11. Die Absicherung der VMs erfolgt zum einen durch das Active Backup von Synology und natürlich über eine Hyper-V Replikation. Aufgefallen sind die beiden Server vor allem, da sie einen besonders hohen Geräuschpegel verursachten, der besonders im Sommer ziemlich auf die Nerven ging.

Darum musste auch hier eine Alternative her und war durch einen Zufall schnell gefunden. Während der Suche nach Treibern auf der Intel Homepage bin ich auf einen Artikel gestoßen, dass Intel NUC Systeme (zumindest einige von ihnen) 24×7 betrieben werden können. Bei fast allen meiner Kunden laufen die PCs ohnehin 24×7 und das nicht nur 3 oder 4 Jahre, insofern hatte ich keine Probleme mit der Vorstellung das sowas auch mit einem Intel NUC möglich wäre und sogar, im Falle von Intel, unterstützt wird. Eine Analyse der auf den Servern vorgehaltenen Kapazitäten ergab, dass zwei Intel NUCs mit dem i5 der 11ten Generation sowie 32GB Hauptspeicher und einer 2TB NVMe ausreichen würden. Das Ganze hat Brutto keine 2.000 € gekostet und konnte mit dem Rackmount von racknex sauber in das Rack eingebaut werden.

UM-INT-001

Nach der Migration der VMs hatten wir (der Kunde und ich) zwei Aha-Erlebnisse.

  • Zum einen reduzierte sich die Temperatur im Serverraum um 5° und die Kühlung musste im Sommer nicht mehr aktiv sein
  • Der Intel NUC mit der NVMe war so schnell, dass die VMs bei einem Neustart des Intel NUCs sogar eine reconnect einer RDP-Session ermöglichten

Die Ausfallsicherheit wird nach wie vor durch die Hyper-V Replica und dem Microsoft Hyper-V Server 2019 sichergestellt und auch hier sichert Synology Active Backup die VMs.

Das Setup läuft nun seit 3 Monaten ohne Probleme, mit Crystaldiskinfo prüfe ich die NVMe Laufwerke und lasse mir einen Alert schicken, wenn sich gravierende Parameter ändern.

Damit stellen sich zum Schluss zwei Fragen.

  1. Wieso hast Du nicht den Synology Virtual Machine Manager und die beiden NAS Systeme verwendet?
  2. Brauchst Du jetzt keine “echten” Server mehr?

Zu 1. muss ich sagen, dass in diesem Fall zwei der drei VMs schon eine ordentliche Rechenleistung benötigen. Nichts mit High-End, aber mehr als üblicher Weise ein Atom oder Celeron-Prozessor von Intel liefern. Ein Setup analog zu den Intel NUCs auf den beiden Synology NAS Systemen hätte deren Kosten und vor allem auch deren Geräuschpegel deutlich nach oben geschraubt. Dazu stellen die Intel NUC Systeme eine einfach Exit-Strategie dar, sollte die Idee aus irgendeinem Grund nicht funktionieren, dann machen wir normale Arbeitsplätze draus und kaufen wieder “echte” Server.

Zu 2. Für genau diese Anforderung des Kunden reichen die Intel NUCs mit Hyper-V Replica definitiv aus, zumal wir ja auch eine ordentliche Datensicherung haben. Richtige und damit vor allem teure und laute Server werde ich nach wie vor verwenden, wenn die Option mit den Synology NAS Systemen und nur zwei bis drei kleineren VMs nicht besteht. Dann machen wir alles wie gehabt, erprobt und solide aber auch deutlich teurer und wärmer. Da wir aber im kommenden Winter nicht wissen, wie kalt es bei uns werden wird, kann der Kunde ja die alten Server als Heizung mitlaufen lassen Smile

Bis bald mal wieder und enjoy it, b!

Synology Directory Server | Passwort beim Zugriff auf ein Netzlaufwerk

image

An dieser Stelle möchte ich auf den vielleicht wichtigsten Artikel im Synology Knowledge Center hinweisen Smile

https://kb.synology.com/en-id/DSM/tutorial/domain_user_not_get_group_permission

Es geht hier um eine nicht korrekte Auswertung von Gruppenmitgliedschaften beim Zugriff auf ein Netzlaufwerk.

Technischer Hintergrund

Einem Benutzer in der Domain wird über ein Anmeldeskript (login.cmd) ein neues Netzlaufwerk verbunden. Die Vergabe der Berechtigungen dazu erfolgt relativ einfach indem der Benutzer Mitglied in einer dafür erstellen Gruppe in der Domain wird. Diese Gruppe hat wiederum entsprechende Berechtigungen auf dem Netzlaufwerk.

  • Sepp (Benutzer) – Mitglied in der Gruppe “_ SN Immobilien Users”
  • Die Gruppe “_ SN Immobilien Users” hat R/W-Zugriff auf den Share \\sn-nas-15\immo

Das Problem

Für das neue Netzlaufwerk, muss auf einmal im Fenster des Anmeldeskript ein Passwort angegeben werden, das funktionale Passwort von Sepp wird hier aber nicht akzeptiert. Es bleibt nur die Möglichkeit das Fenster zu schließen und damit die darauffolgenden Maßnahmen (weitere Laufwerke usw.) abzubrechen.

Das erwartete Verhalten wäre, dass Sepp durch seine Mitgliedschaft in der Gruppe “_ SN Immobilien Users” die entsprechenden Berechtigungen auf dem Netzlaufwerk besitzt. Durch seine neue Anmeldung, wird der Security-Token neu erstellt und die (neue) Gruppen-Mitgliedschaft fließt in diesen mit ein.

Die Lösung

Auf dem Synology NAS müssen die folgenden beiden Änderungen durchgeführt werden.image

https://kb.synology.com/en-id/DSM/tutorial/domain_user_not_get_group_permission

Der Windows Client muss wie folgt behandelt werden, wobei bei mir ein Neustart genügte.

image

Danach war das Netzlaufwerk über die passende Gruppenmitgliedschaft im Zugriff.

Update: Ein defektes Computerkonto, kann ebenfalls den Zugriff auf ein Laufwerk verhindern. Die Symptome sind dabei die gleichen, es wird ebenfalls nach einem Benutzer und Passwort gefragt und dieses nicht akzeptiert. Es genügt dann den PC aus der Domäne heraus- und wieder reinzunehmen.

Enjoy it, b!

Synology DS | Ausführen von WSUS Offline Update unter Docker

Auf dem Windows Small Business Essentials war bei mir immer der WSUS zur Aktualisierung der Server und Clients installiert. Das hat immer ganz gut funktioniert und ja ich gebe zu, es gab hier auf meinem Blog den einen oder anderen Artikel, der sich nicht immer positiv gegenüber dem WSUS gezeigt hat. Aber, letztendlich habe auch immer versucht eine Lösung zu meinem WSUS-Problem zu liefern.

Wird im Netzwerk, als Datenspeicher nur ein NAS, wie zum Beispiel eine Synology Diskstation (DS) verwendet, fehlt erst einmal die Möglichkeit einen WSUS zu betreiben und damit auch das zentrale Update der Server und Clients.
Schon seit langer Zeit habe ich zusätzlich zum WSUS für die Server gerne das WSUS Offline Update verwendet, welches wiederum als Community Edition (CE) auf GitLab verfügbar ist. Darüber hinaus existiert auf GitHub ein Docker Image, mit dem wiederum WSUS Offline Update in einem Docker Container ausgeführt werden kann.

Wie man so etwas angeht, soll dieser Beitrag beschreiben.

Voraussetzungen

  • Synology Disk Station mit der Unterstützung von Docker als Container Host
  • Das aus dem Synology Paket Zentrum installierte Docker-Paket

    image

  • Auf der Diskstation muss nun noch eine Freigabe erstellt werden, mit den folgenden Rechten und Eigenschaften

    image

    Ob man die Freigabe in der Netzwerkumgebung verstecken will oder nicht ist Geschmackssache, ich blende den Ordner immer aus, wenn die Installation der Updates exklusiv durch einen Admin oder automatisiert erfolgt und damit die Benutzer ihn nicht sehen sollen.
    Wird hingegen die Installation der Updates den Benutzern überlassen, dann sollte der Ordner eingeblendet werden.
    Darüber hinaus aktiviere ich die folgenden beiden Erweiterte Einstellungen

    image

    Dazu gebe ich der lokalen Gruppe users das Leserecht (Schreibgeschützt) und den Domain-Users ebenfalls.

    image

    Die Admins (lokal und Domain-Admins) haben ja per Default Lesen/Schreiben als Zugriffsrecht gesetzt.
    Dieser Ordner, also wsusoffline wird später in den Docker Container abgebildet.

Installation des Docker-Images

Nach der Installation von Docker, wird dieser gestartet, um das Image aus der Docker Registry herunterzuladen.

Dazu einfach ins Suchfeld R0gger (das ist der Entwickler des Images, 0 = Null) eingeben und Download klicken.

image

Wichtig ist hier die Auswahl der Community Edition (ce) um die aktuellste Version zu erhalten.

image

Die CE mit Auswählen bestätigen und der Download startet. Unter Image erscheint danach die 1, was den Download von einem Image signalisiert der nach ca. 250MB abgeschlossen ist.image

Konfiguration des Docker-Images

Durch einen Klick auf Starten wird das Docker-Image gestartet und dazu der Dialog zur Konfiguration aufgerufen.

Als Netzwerk verwenden wir die bridge und klicken auf Weiter.

image

Neben einem Automatischen Neustart, sind die Erweiterte Einstellungen interessant.

image

In den erweiterten Einstellungen werden die Laufzeit-Variablen für den Container festgelegt, Änderungen führe ich hier nur an den folgenden Variablen durch:

  • SYSTEM = w100-x64, w63-x64
  • OFFICE – löschen der Variabel, einfach aus dem Grund da alle meine Clients auf Microsoft365 laufen und die Updates aus der Cloud bekommen. Den Speicherplatz spare ich mir damit

image

Mit Speichern und Weiter, geht es dann weiter, wobei wir die Port-Einstellungen zu belassen wie sie sind und nur die Volume-Einstellungen konfigurieren müssen. Dort wird der Inhalt des Docker-Containers in die oben erstellte Freigabe wsusoffline gemounted.

image

  • wsusoffline = /wsus/wsusoffline

Mit dem Klick auf Weiter sind wir fertig und können den Container im Anschluss ausführen.

image

Running the Docker-Image

Damit kommen wir zum spannenden Teil, woher wissen wir eigentlich genau, ob wir alles richtig gemacht haben?

Läuft der Container, dann bietet uns die Option Details einen umfassenden Einblick was im Container vor sich geht.

image

Dort sind unter anderem der Ressourcen-Verbrauch, dass Mapping des Update-Ordners (wsusoffline) und die Laufzeitvariablen zu sehen.

image

Zwei weitere Punkte will ich hier nicht unerwähnt lassen. Zum einen habe ich mich schwergetan herauszufinden, wie den der Pfad lautet auf den der wsusoffline-Ordner gemapped werden soll?

Diesen habe ich in einer Terminal-Session ermittelt, dazu einfach unter Terminal eine Sitzung mit der Bash öffnen und nach dem Verzeichnis wsus im Root suchen.

image

Dort, also unter /wsus/wsusoffline werden die Updates gespeichert und dieser Ordner wiederum auf den wsusoffline-Ordner des NAS abgebildet, um den Zugriff über SMB zu ermöglichen.

Zuletzt habe ich noch mit einer Fehlermeldung gekämpft, und hierzu ein Paket (JSON-Processor) nachinstallieren müssen. Das geht ebenfalls in der Terminal-Session über die beiden folgenden Befehle.

# Installation des Pakets für die JSON-Interpretation
apt-get update
apt-get install jq

So, damit bin ich erstmal fertig und habe einen weiteren Schritt für eine alternative zum SBE beschrieben.

Enjoy it, b!

Synology Active Backup for Business | Hyper-V PowerShell-Module

Die Sicherung von virtuellen Maschinen (VM) mit Synology Active Backup for Business, die auf einem Microsoft Hyper-V Server oder Windows Server Core betrieben werden, setzt die Existenz des Hyper-V PowerShell-Modules voraus.

image

Ist dieses nicht vorhanden, schlägt die Konfiguration in Active Backup fehl und das PowerShell-Modul muss auf dem Host nachinstalliert werden.

image

Der erste Befehl zeigt, ob das Modul vorhanden ist oder nicht.

# current status of the modules on this Hyper-V server
Get-WindowsFeature *hyper-v*

Mit diesem Aufruf wird das fehlende Modul unter PowerShell installiert.

# install the Hyper-V PowerShell module
Install-WindowsFeature -Name Hyper-V-PowerShell

Danach funktioniert auch die Aufnahme des Hyper-V Hosts in das Management von Synology Active Backup for Business.

image

Enjoy it, b!

Synology DS | Snapshots oder Vorgänger Versionen wiederherstellen

Die Möglichkeit für den Benutzer Dateien aus einem Snapshot (Schnappschuss) selbst wiederherzustellen ist eine große Entlastung für den Administrator. Diese Möglichkeit besteht unter Windows Server schon seit der Version 2003 und damit seit fast 20 Jahren. Dieses Feature kann auch auf einer Synology Diskstation (DS) für die Anwender bereitgestellt werden.

In einem ersten Schritt muss das Paket Snapshot Replication auf dem NAS installiert werden.

image

Nach der Installation kann unter Schnappschüsse, die entsprechende Freigabe ausgewählt und ein Zeitplan für die Ausführung konfiguriert werden. Für Freigaben mit wenig Änderungen genügt es den Schnappschuss 1x am Tag zu erstellen, für Freigaben wie die Benutzerverzeichnisse (homes) ist es sinnvoll eine höhere Frequenz von zwei oder auch 3x am Tag in Betracht zu ziehen.

image

Zusätzlich muss noch die Aufbewahrungsrichtlinie definiert werden, sonst erfolgt die Erstellung von Schnappschüssen bis der Speicherplatz aufgebraucht ist. Da die Snapshots nur die geänderten Blöcke sichern, entsteht hier kein großer Speicherbedarf. In der Erweiterten Aufbewahrungsrichtlinie findet sich nach meiner Meinung schon eine sinnvolle Grundeinstellung, bei der ich lediglich die Anzahl der zu behaltenden Schnappschüsse von 5 auf 10 ändere.

image

image

Nachdem der erste Schnappschuss erstellt wurde, erscheint dieser als Vorgänger Version oder Previous Version im Windows Explorer.

image

Natürlich kann auf den Schnappschuss nicht nur auf Ebene der Freigabe selbst, sondern auch auf die darunter liegenden Verzeichnisse und Dateien zugegriffen werden.

image

Für die Bereitstellung ist es notwendig, dass die Synology Diskstation die Software-Funktion Snapshot Replication unterstützt. Darauf muss beim Kauf zwingend geachtet werden.

Enjoy it, b!

Synology NAS | Löschen eines Checkpoints unter Hyper-V

Vor einiger Zeit startete ein Hyper-V Server neu, während ein Backup-Task des Synology Active Backup for Business aktiv war.

Active Backup for Business, sichert unter Hyper-V virtuelle Maschinen (VMs) dadruch, dass ein Checkpoint / SnapShot auf dem Hyper-V Server erstellt und aus diesem die VM konsistent gesichert wird.

Checkpoint-no-delete

Durch den automatischen Neustart des Hyper-V Hosts blieb der Checkpoint bestehen und konnte nicht über den Hyper-V Manager gelöscht werden.

Checkpoint-no-delete-2

Um den Checkpoint zu entfernen musste ich explizit PowerShell verwenden. Unter PowerShell heißt der Checkpoint dann auch wieder Snapshot (Microsoft wird das hoffentlich im Windows Server 2022 korrigieren).

# Löschen des Active Backup Snapshots
Get-VMSnapshot -VMName 'Name der VM' | Remove-VMSnapshot

Enjoy it, b!

Synology DSM 7 | Nacharbeit Windows VM

Der Synology Virtual Machine Manager (VMM) muss im Rahmen des Upgrades auf DSM 7 manuell repariert werden, danach laufen die virtuellen Maschinen (VMs) ohne Probleme.

Bei zwei Windows VMs mit mehr als einer virtuellen Festplatte, fehlte aber das Laufwerk D. Ein Blick in den Disk-Manager von Windows zeigte, dass dieses zwar vorhanden war aber offline angezeigt wurde.

VM-Disk-Offline-1

Die Platte ließ sich ohne Probleme wieder online nehmen und war damit im Betriebssystem verfügbar.

VM-Disk-Offline-2

Alle anderen VMs liefen nach der Reparatur ohne Probleme.

Enjoy it, b!

Synology DSM 7 | Nacharbeiten Active Backup 2

Neben dem in diesem Blog beschrieben Problem mit dem Hyper-V PowerShell-Module und Synology Active Backup for Business, bin ich auf ein weiteres Problem nach dem Upgrade auf DSM 7 gestoßen.

Zuvor muss ich aber klarstellen, dass die Probleme nicht explizit durch das Upgrade verursacht wurden, sondern durch die ebenfalls neue Version von Synology Active Backup.

Active Backup for Business und die “geänderten Blöcke” einer VM

Mit dieser Fehlermeldung konnte ich zuerst einmal Garnichts anfangen.

image

Ein wenig mehr Informationen waren dann in diesem Log zu finden.

image

Der manuelle Start des Tasks brachte dazu das folgende Ergebnis.

Untitled

Im deutschen Synology-Forum habe ich dann ein ähnliches Problem mit VMware gefunden, allerdings aus dem Jahr 2018. Die Lösung war das Vergrößern des virtuellen Datenträgers (VHD) der VM, in diesem Fall von 96GB auf 100GB.

Interessant war dabei, dass alle anderen VMs ohne Probleme gesichert wurden. Lediglich diese VM machte mit der Fehlermeldung oben Probleme. Ob der Grund die noch verwendete Generation 1 war, oder möglicher Weise die initiale Erstellung der VHD kann ich aktuell nicht nachvollziehen. Die Erweiterung auf 100GB konnte das Problem lösen und das Backup funktionierte wieder wie vor dem Upgrade.

Um die Größe der VHD einer Generation 1 VM zu ändern, muss diese heruntergefahren werden. Danach kann mit dem Hyper-V Manager oder PowerShell die Änderung erfolgen.

# Erweitern des virtuellen Datenträgers einer VM
Resize-VHD -Path "D:\Virtual Machines\BaseVHDX.vhd" -SizeBytes 100GB

Enjoy it, b!

Synology DSM 7 | Nacharbeiten Active Backup 1

Das Upgrade meiner Synology NAS Systeme ist nun schon einige Wochen her und ohne größere Probleme erfolgt. Die kleineren Probleme. beziehungsweise Dinge die mir nach dem Upgrade aufgefallen sind, will ich in den folgenden Blogs beschreiben.

Active Backup for Business und das Hyper-V PowerShell-Module

Nach dem Upgrade funktionierten Backups auf einem Microsoft Hyper-V Server nicht mehr. Backups von einem normalen Windows Server 2016 Standard Edition dagegen schon. In dem betroffenen Umfeld kommt das NAS hauptsächlich als Archiv- und Backup-System für auf Hyper-V basierende virtuelle Maschinen zum Einsatz. Dabei werden die VMs von zwei Windows Server 2016 Standard und ein Microsoft Hyper-V Server gesichert.

Active Backup verweigerte seinen Dienst mit der folgenden Fehlermeldung.

active-backup-1

Unter DSM 6.x lief das Backup 8 Monate ohne Probleme. Eine Kontrolle ergab, dass auf dem Microsoft Hyper-V Server das Hyper-V PowerShell-Module nicht installiert war. Da aber das Backup unter DSM 6 funktionierte, vermute ich das mit DSM 7 die Existenz des Modules geprüft, dieses aber nicht zwingend verwendet wird.

image

Das Hyper-V Module for Windows PowerShell (wie der offizielle Name heißt), konnte über die folgenden Befehle installiert werden und damit war dieses Problem auch behoben.

# Installation des Hyper-V Module for Windows PowerShell
Install-WindowsFeature -Name Hyper-V-PowerShell

Der folgende Screenshot zeigt nochmals die Befehle in der PowerShell-Konsole.

image

Die Sicherung der Hyper-V VMs erfolgt über einen auf Hyper-V erstellten Snapshot / Checkpoint. Um diesen zu erstellen ist das PowerShell-Modul nicht zwingend erforderlich, allerdings gibt es innerhalb von Active Backup weitere Sicherungsoptionen die auf das Modul zurückgreifen könnten. Für eine tiefer gehende Analyse hatte ich aber bisher noch keine Zeit, die Lösung oben sollte Euch aber weiterhelfen.

Enjoy it, b!