Jetzt Update auf Arcserve UDP 6.5
Arcserve stellt den Support für Arcserve UDP 6.0 am 1. August 2018 ein. Wer jetzt noch die ältere Version einsetzt, sollte in Anbetracht eines reibungslosen Betriebes zeitnah ein Update auf die Version 6.5 vorsehen. Dieses Update bringt, neben neuen Features, vor allem die Unterstützung für Windows Server 2016 und ESX 6.5 mit. Außerdem lassen sich damit nun auch NAS Shares auf den Arcserve RPS mit sichern, so dass ein Großteil der IT-Welt nun mit Arcserve geschützt werden kann.
Das Update an sich ist eigentlich eher unspektakulär, erfordert allerdings etwas Planung im Voraus, wenn alles gut gelingen soll.
1. Abhängigkeiten klären
Sollen die Arcserve UDP Wiederherstellungspunkte mit Arcserve Backup auf Band geschrieben werden, dann sollte man auch dort ein Update auf die Version 17.5 in Betracht ziehen. Zum Einen kann man es gleichzeitig durchführen, zum Anderen gibt es auch dort Neuerung wie die Online-Sicherung des deduplizierten RPS-Datenspeichers direkt auf Band. Ein Blick auf die Softwarekompatibilitätsliste hilft, Problemen mit eventuell zu alten Systemen vorzubeugen.
2. Rechtzeitig Lizenzen anfordern
Solange das Produkt unter Wartung (Maintenance) steht, hat der Anwender das Recht auf ein Update (übrigens auch auf ältere Lizenzen, falls noch unterstützt) auf eine Version seiner Wahl. Dazu muss eigentlich nur ein Ticket beim Arcserve Support eröffnet werden. Vorher sollten Sie sich beim Arcserve Support registriert haben und anmelden. Außerdem benötigen Sie die Order-ID (OLxxxxxx) Ihres Vertrages (Orginallizenz bzw. Wartungsverlängerung, wenn aktueller).
So könnte es aussehen:
Ticket für Lizenzbeantragung
Wenn alles richtig ausgefüllt wurde, erhalten Sie die neue Lizenz innerhalb von 24 Stunden. Auf der Lizenzurkunde stehen aber keine Lizenzschlüssel mehr, sondern die Lizensierung erfolgt online und Ihre neuen Lizenzen sind in der Arcserve Lizenzdatenbank hinterlegt. Für die spätere Produktaktivierung wird nur die Order-ID und die Fulfillment Number benötigt.
3. Produktaktivierung vorbereiten
Sowohl Arcserve UDP 6.5 als auch Arcserve Backup 17.5 verwenden eine Produktaktivierung über das Internet. (Wenn beide Produkte auf dem gleichen Server betrieben werden, empfehle ich die Aktivierung über UDP durchzuführen, dann ist Arcserve Backup gleich mit aktiviert.)
Es gibt eine Online und eine Offline-Aktivierung. Die Online-Aktivierung ist einfacher, verlangt aber dauerhaften Zugriff des Systems zum Arcserve Lizenz Portal. Wenn im Nachgang der Zugriff entzogen wird, werden die Lizenzen nach 14 Tagen deaktiviert (Time-out des Lizenz-Caches). Erschwerend kommt hinzu, dass die Lizensierung ohne manuelle Anpassung nicht über einen Proxy funktioniert. (In Amerika rechnet eben keiner damit, dass es Systeme gibt, die nicht direkt ins Internet kommunizieren dürfen.) Die Offline-Aktivierung hat den Nachteil, dass man bei mehreren Backup-Servern im Nachgang kaum Anpassungen/Verschiebungen an den Lizenzen vornehmen kann. Von einem Wechsel von Offline zu Online kann ich auch abraten. Das führte bei mir jedesmal zu einem Support-Ticket mit längerer Bearbeitung.
Hilfreich ist hierbei dieses Dokument: Arcserve Licensing Guide (auf der Seite 146 von 148 finden Sie auch Informationen zur Verwendung eines Web-Proxy).
4. Download der Installationsmedien
Da die Installationsmedien mehrere Gigabytes umfassen, sollte man den Download schon mal etwas eher starten. Aktuell ist das Installationsmedium Arcserve UDP 6.5 Update 2 (hier, Anmeldung erforderlich), das Update 3 kann man kurz nach dem Update automatisch installieren lassen.
Entweder man verwendet den Single Installer, dieser bringt gleich die aktuelle Installation von Arcserve Backup 17.5 SP1 mit, oder man verwendet die „Remaster Builds“. Alle anderen Links weiter oben enthalten nur das Update und nicht das komplette Produkt!
Wie geht es dann weiter?
Da sich nahezu alle Datensicherungskonzepte voneinander unterscheiden, kann es hier keine konkreten Empfehlungen geben. Prinzipiell gibt es aber zwei Wege:
- Update stur drüberinstallieren und alles so beibehalten. Alle Jobs und Datenbanken werden beim Update migriert und es geht weiter wie zuvor.
- Das Update nutzen, um sich Gedanken über das Datensicherungskonzept zu machen. Die IT-Umgebung, die Anforderungen an die Verfügbarkeit, aber auch die Möglichkeiten der Datensicherungssoftware entwickeln sich weiter.
In beiden Fällen stehe ich Ihnen gerne mit Rat und Tat zur Seite.
Virtual Switching Framework – Einfaches Stacking für HP Aruba Switche
Mit der Einführung von ArubaOS 16.x.x für die ehemaligen HP (jetzt Aruba) Switche 5400R und 2930F wurden diese Geräte um eine neue Funktion erweitert: Virtual Switching Framework oder kurz VSF. VSF bietet die Möglichkeit, diese Switche zu einem Stack zusammenzufassen, was neue Möglichkeiten für Verfügbarkeit und Administration ermöglicht.
Die beliebten Aruba (ehemals HP Procurve) 5400R zl2 Serie Switche ermöglichen eine Reihe von Redundanzkonzepten. Sowohl redundante Hardware innerhalb eines Chassis (Netzteile, Lüfter und Management-Modul) ist möglich, als auch Switchübergreifende Redundanzkonzepte. Ziel der switchübergreifenden Redundanzkonzepte ist es, dass ein Ausfall eines Switches möglichst wenig Einfluß auf die Funktion des Netzwerkes selbst hat. Das kann man durch herstellerübergreifende Standards wie Spanning Tree (RSTP, MSTP) oder redundantes Routing (VRRP), aber auch durch proprietäre Ansätze erreichen.
Das Virtual Switching Framework (VSF) ist ein proprietärer Ansatz, welcher aber im Vergleich zu anderen Möglichkeiten wie InterSwitch Connects (ISC) oder Switch-Meshing eine deutlich weniger komplexe Administration erfordert. Denn beim VSF werden zwei (Aruba 5400R zl2) bzw. bis zu 8 (Aruba 2930F ab ArubaOS 16.06) Switche zu einem logischen Switch zusammengefasst. Das vereinfacht die Administration enorm, da nur je eine logische Instanz für Spanning Tree, Routing, VLANs etc. verwaltet werden muss. Ausserdem sind so einfache Port-Trunks (LAG) chassisübergreifend zu anderen Geräten möglich. Ein Switch agiert als Master und übernimmt alle diese Aufgaben. Ein zweiter Switch ist der Standby-Master und übernimmt die Aufgaben des Masters im Fehlerfalle (Layer-2 Verbindungen bleiben erhalten, Layer-3 Funktionalität wird neu gestartet.). Alle weiteren Switche (nur bei Aruba 2930F) erhalten den Member Status und übernehmen erst, wenn Master und Standby ausfallen (Dauer 3-15 Sekunden laut Aussage Aruba).
Virtual Switching Framework mit zwei Aruba 5406R zl2
Alle Switche benötigen identische Firmware. Das Update der Firmware regelt der Master und ist immer mit einer Downtime verbunden. Ein Minimum an Ausfallzeit kann über VSF Fast Software Upgrade (FSU) erreicht werden.
Da eine logische Zusammenfassung eine gewisse Homogenität der Hardware voraussetzt, gelten bestimmte Regeln, bevor das Virtual Switching Framework aktiv geschaltet werden kann:
- Nur ünterstützt bei Aruba 5400R (5406R, 5412R) & 2930F
- Nur identische Modelle (Produktnummer) können ein VSF bilden
- keine Mischung von PoE/non PoE oder 24 mit 48-Port Switchen (ab SW Version 16.06 Limitierung teilweise aufgehoben)
- Aruba 5400R
- nur mit v3 Modulen im v3-only Mode (Umschalten erfordert Neustart)
- redundante Management Module sind nicht unterstützt (Redundanz erfolgt durch zweiten Switch)
- limitiert auf zwei Switche (SW Version 16.x.x or später)
- VSF links nur unterstützt über 10G and 40G Ethernet Schnittstellen
- Aruba 2930F
- limitiert auf vier Switche (acht Switche ab SW Version 16.06.x)
- VSF links unterstützt über 1G and 10G Ethernet Schnittstellen
- Nur ein VSF Link per Switch möglich
- VSF Link kann bis aus bis zu to 8 physischen Links bestehen
- Physische Links müssen gleiche Geschwindigkeit haben
- Physische Links können unterschiedliche Medien benutzen (Cu, DAC oder SFP+)
- Physische Links können sich auf unterschiedlichen Modulen befinden
Wenn alle Voraussetzungen erfüllt sind, ist Virtual Switching Framework eine interessante Alternative zu anderen Redundanzkonzepten.
Arcserve Instant-VM, eine unterschätzte Funktionalität
Wie schön wäre es doch, wenn man im Falle eines defekten Servers einfach eine virtuelle Maschine mit der letzten Datensicherung starten könnte. Ganz ohne Ersatzhardware und langwierige Rücksicherung. Ganz ohne Erstellung eines Boot-Mediums und Ärger mit Hardware-Treibern. Und genau das geht mit Arcserve UDP und der Instant-VM Funktion. Verblüffend schnell und verblüffend einfach. Für Windows und Linux Server, egal ob physisch oder virtuell.
Alles, was dazu benötigt wird, ist ein Virtualisierungshost unter Microsoft Hyper-V oder VMWare vSphere mit ausreichend Speicherkapazität für die anfallenden Änderungen. Nicht einmal die komplette Rücksicherung muss auf diese Maschine passen. Weiterhin muss der Zugriff des Virtualisierungshosts auf den Arcserve UDP Wiederherstellungspunkt gewährleistet sein. Am einfachsten ist das mit Microsoft Hyper-V, welches als Zugriffsprotokoll das allgegenwärtige SMB verwendet. Für VMWare vSphere benötigt man degegen NFS, da ist meist etwas Vorbereitung nötig. Bei Windows Servern ist diese Funktion enthalten, muss aber erst installiert (Server für NFS / NFS-Service, je nach Version) werden. (Achtung: Nur für Freigaben mit NTFS. ReFS wird nicht unterstützt.)
Und so funktioniert es.
- Einfach mit Rechtsklick auf den Knoten oder den Wiederherstellungspunkt in der Arcserve UDP Konsole mit Instant-VM erstellen den Arcserve Instant-VM Assistenten starten.
- Den Wiederherstellungspunkt auswählen.
- Den Virtualisierungshost auswählen. Wenn dieser bereits der UDP Konsole bekannt ist, kann man ihn einfach auswählen, ansonsten muss er jetzt hinzugefügt werden. Microsoft Hyper-V benötigt einen installierten Arcserve UDP Agenten.
- Den Speicher auf dem Virtualisierungshost auswählen, wo der Wiederherstellungspunkt eingebunden wird und die geänderten Blöcke abgelegt werden sollen.
- (Nur bei vSphere) Den Wiederherstellungsserver festlegen. Dieser benötigt den Arcserve UDP Agenten und steuert den Vorgang. Im einfachsten Fall ist es der RPS-Server selbst. Bei Hyper-V erledigt das der Agent auf dem Hyper-V Server.
- Die Instant-VM Parameter festlegen. Hier können die Parameter für die virtuelle Maschine angepasst werden. Am wichtigsten ist hierbei die Konfiguration der Netzwerk Parameter. Auch kann hier eine Änderung der IP-Adresse gleich im DNS propagiert werden.
- Instant-VM Job übergeben.
Die Anpassung der Treiber an die neue (virtuelle) Hardware passiert ganz automatisch. Eventuell muss aber manuell eingegriffen werden, um etwa spezielle, hardware-spezifische Dienste (z.Bsp. HP System Agenten) zu deaktivieren. Diese sind meist Ursache von hoher Prozessorlast in der Arcserve Instant-VM.
Funktionsweise von Arcserve Instant-VM
Nach der Verwendung als Notfallsystem kann die Instant-VM genau wie ein normaler Wiederherstellungspunkt als Quelle einer Bare Metal Recovery genutzt werden. So gelangen die aktuellen Daten ohne Verlust auf die neue (oder reparierte) Hardware. Sie können ebenso die Arcserve Instant-VM in eine vollwertige virtuelle Maschine konvertieren. Hier benötigen Sie allerdings den kompletten Platz für diese VM.
Arcserve Instant-VM ist eine schnelle und handliche Lösung, um aus einer Datensicherung eine virtuelle Maschine zu erstellen. Sie können mit wenig Aufwand testen, ob Ihre Datensicherung konsistent ist, oder von ihrem Server einen Klon für Testzwecke erstellen. Wichtig ist, vorher schon mal mit dem Thema beschäftigen, damit man im Ernstfall keine Zeit verliert.
Die Dokumentation dazu finden Sie hier.
Personenbezogenen Daten sicher und DSGVO-konform per Mail versenden
Laut DSGVO und Bundesdatenschutzgesetz sind bei der Verarbeitung und Übertragung personenbezogener Daten technische und organisatorische Maßnahmen zu treffen, um diese Daten zu schützen (Art. 32 DSGVO). Dabei ist die Art und Weise des Schutzes nicht festgelegt, sondern abhängig von Risiko, aktuellem Stand der Technik und den Implementierungskosten. Im Zweifelsfalle sollte man erklären und begründen können, welche Maßnahme man zum Schutz der Daten ergriffen hat und warum. Es besteht also keine generelle Pflicht zur Verschlüsselung von E-Mails solange man stichhaltig begründen kann, warum man es nicht tut. Eventuell ist es dann aber doch einfacher, eine Verschlüsselung der Mails durchzuführen, zumal sich Kosten und Aufwand relativ klein halten können.
Es gibt neben klassichen Verschlüsselungsverfahren wie S/MIME und PGP, die alle den Nachteil haben, dass der E-Mail-Empfänger über eine entsprechende Sicherheitsinfrastruktur und Schlüssel verfügen muss, noch andere Verfahren zur verschlüsselten Übertragung von Daten. Eine davon ist der Austausch von verschlüsselten PDF-Dateien (Secure PDF Exchange oder SPX). Fast jeder Empfänger verfügt über ein Programm, dass verschlüsselte PDF-Dateien mit dem richtigen Kennwort entschlüsseln und lesen kann, so dass die Hürde für den Einsatz dieser Verschlüsselungstechnik sehr gering ist. Die Verschlüsselung der gesamten E-Mail inklusive Anhänge erfolgt automatisch, entweder über festgelegte Regeln, wenn zum Beispiele bestimmte Daten oder Schlüsselwörter in der E-Mail gefunden werden, oder durch die Benutzung eines Plugins (bislang nur für Outlook einsetzbar). Hier sind viele Szenarien der Umsetzung denkbar. Ebenso bei den verwendeten Kennwörtern. Entweder es wird vom Versender angegeben oder das System kann das Kennwort für den Empfänger selbst generieren und schickt es an den Absender. Dieser überträgt das Kennwort über einen sicheren Kanal zum Empfänger, der dann die verschlüsselte PDF-Datei lesen und enthaltene Anhänge speichern kann. Das System kann so konfiguriert werden, dass automatisch für einen Empfänger immer wieder das gleiche Kennwort verwendet wird.
SPX Verschlüsselung ohne eigenen Mailserver
SPX Verschlüsselung mit eigenem Mailserver
Benötigt wird auf Seite des Versenders eine Sophos Firewall (Sophos XG oder Sophos UTM) mit aktivierter E-Mail Protection oder eine Sophos E-Mail Appliance. Da bei ist es unerheblich, ob ein eigener Mailserver oder der Server eines Providers genutzt wird. Deshalb ist diese Lösung auch für kleinere Unternehmen geeignet. Eine kleine Appliance mit einjähriger Subscription ist für deutlich unter 1.000 Euro erhältlich und kann mehrere Hundert Mails pro Tag verarbeiten. Damit ist der Einstieg in eine sichere und DSGVO konforme Datenübertragung auch mit einem kleinen Budget möglich.
Sophos UTM – PCI DSS Konformität
Üblicherweise erfolgt während einer Überprüfung auch eine Überprüfung der Firewall. Die Sophos UTM mit aktivierter RED Funktionalität fällt durch die Überprüfung, weil die Verwendung einer self-signed CA und veralteter Verschlüsselungstechnologien bemängelt werden.
Schuld daran ist die RED Funktionalität, die diese Methode zur Authentifizierung der RED Devices benötigt.
In der Sophos Knowledge Base wird beschrieben, wie man die Einstellungen so abändert, dass diese Mängel beseitigt werden.
Folgendes sollten Sie aber dabei beachten:
- RED Geräte müssen eine Firmware nicht älter als 9.404 aufweisen. Mit älteren Versionen ist keine Verbindung über TLS 1.2 möglich.
- Das Einschränken der Verbindung, wie im Artikel beschrieben, ist nur bei festen WAN IP-Adressen der RED Geräte möglich.