Verwaltungs-Lösung eines Servers in einem externen Rechenzentrum

beitrag-jan Ich weiß nicht ob es schon aufgefallen ist, aber unsere Seiten sind seit Mittwoch deutlich performanter als vorher. Der Grund hierfür ist, dass wir unsere Blogs umgezogen haben, und zwar in ein Rechenzentrum mit einer deutlich performanteren Anbindung als hier bei uns im Haus. Als Hardware verwenden wir einen HP DL160 G5 mit einer E5405-CPU, 16 GB RAM und zwei 300 GB 15K SAS-Festplatten.

Unser Problem ist nun die Sicherung und das Management der Maschine. Da das Rechenzentrum knapp zwei Stunden Autofahrt entfernt ist, ist es natürlich nicht möglich, mal eben wegen Kleinigkeiten in das Rechenzentrum zu fahren. In diesem Artikel möchte ich beschreiben, wie wir die Themen Sicherung, Verfügbarkeit bzw. Management und Sicherheit geregelt haben.

Sicherung:

Für die Sicherung nutzen wir den Data Protection Manager 2010 von Microsoft. Da die Webserver auf mehrere virtuelle Maschinen aufgeteilt sind haben wir mit diesem Produkt eine einfache und gute Lösung zur Sicherung dieser virtuellen Maschine. Da es sich nur um einen Hardware-Server in dem RZ handelt und somit das Thema “Absicherung des Data Protection Manager” zur Sprache gekommen ist, habe ich hier einen eigenen Artikel zu diesem Thema geschrieben.

Neben dem 300GB-RAID1 sind vor Ort noch eine 500 GB sowie eine 2 TB Festplatte. Die 2 TB Festplatte wird von dem DPM 2010 verwaltet, dorthin werden die Daten der einzelnen Speichergruppen kopiert.

Auf die 500 GB Festplatte wird regelmäßig eine DriveSnapshot-Sicherung kopiert, die mit Hilfe der Aufgabenplanung in definierten Abständen gestartet wird. Somit haben wir im Falle eines Ausfalls oder eines Defekts des RAID1 eine Sicherung der kompletten Festplatte. Zum Thema “Rücksicherung” komme ich im nächsten Kapitel.

Verfügbarkeit/Management:

Wenn das System einwandfrei läuft ist es für uns kein Problem auf den Server zuzugreifen. Was aber wenn der Server unerwartet herunterfährt(Bluescreen, längerer Stromausfall usw…) und dann nicht mehr richtig startet? Wir haben zwar die Möglichkeit mit den RZ-Angestellten zu sprechen und diese zu navigieren bzw. telefonisch eine Wartung durchzuführen, aber allein durch unsere tägliche Arbeit wissen wir, wie schwierig es manchmal sein kann, etwas per Telefon zu erklären bzw. etwas zu verstehen, was einem am Telefon gesagt wird. Aus diesem Grund haben wir uns für eine IP-KVM entschieden, um auch bei einem Ausfall/Bluescreen/BIOS-Hänger der Maschine den Überblick zu behalten. Nachdem wir mehrere Geräte herausgesucht haben, haben wir uns letztendlich zu einer Teststellung des Gerätes “Dominion KX II-101” von Raritan entschieden. Das Gerät ist eine 1-Port-Lösung und das Datenblatt der Gerätes las sich gut. Nach kurzer Zeit war die Entscheidung für das Gerät gefallen und wurde nach Rücksprache mit dem Distributor direkt verbaut. Somit sind wir in der Lage den Server zu booten, Änderungen im BIOS vorzunehmen, von CD zu booten oder im abgesicherten Modus zu starten. Was uns besonders positiv aufgefallen ist ist die Möglichkeit, das man an seinem PC oder Notebook ein lokales Laufwerk oder ein ISO-Image bis zum angeschlossenen Server durchreichen kann. Sogar ein Booten von diesem virtuellem Medium ist möglich. Sehr cool :)

Da ich im vorherigen Kapitel angesprochen hatte das ich hier noch einmal auf das Thema “DriveSnapshot” komme, hier noch ein paar Worte zum Thema “Wiederherstellung”. Da man zur Rücksicherung bei einem Ausfall des Windows irgendwie das DriveSnapshot starten muss (eine eigene Rescue-CD wie z.B. bei Acronis ist nicht vorhanden), benötigt man ein bootbares System, in unserem Fall ein “Windows 7 PE”. Ein “Windows XP PE” würde theoretisch auch gehen, hat aber keinen Treiber für den SAS-Controller integriert. Nach einem Start des Win7PE kann man das DriveSnapshot starten und eine Wiederherstellung anstoßen. Als der Server noch bei uns vor Ort war habe ich dieses Szenario erfolgreich durchspielen können.

Sicherheit:

Wir haben vor Ort einen öffentlichen IP-Adressbereich. Da wir unsere Webserver allerdings nicht komplett offen ins Internet gestellt werden sollen, haben wir zusätzlich zu der Windows-Firewall eine Hardware-Firewall vor die Server integriert. Von uns aus bauen wir ein Site2Site-VPN zu dieser Firewall auf. Somit sind wir in der Lage sämtliche Server von unserer Firma aus zu administrieren, ohne das irgendwelche Daten über das Internet fließen. Für die Webserver ist eine Freigabe in der Firewall vorhanden, sämtlicher anderer Datenverkehr wird unterbunden. Das Host-System hat als zusätzliche Sicherheitsmaßnahme kein “Default Gateway” eingetragen, sondern nur eine statische Route in unser Netz.

Jan Kappen
 

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitete bis August 2018 bei der Rachfahl IT-Solutions GmbH & Co. KG. Seit September 2018 arbeitet er als Senior Netzwerk- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Seit 2015 wird Jan Kappen im Bereich "File System Storage" bzw. "Cloud & Datacenter Management" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

Comments are closed