Beiträge von Laurenzis

    Grundsätzlich gebe ich Dir Recht, das Problem ist bloss, derzeit sind meine Luns in Summe 7TB groß. Das bekomme ich nicht wirklich auf die NVMe. Irgendeinen Tod werde ich entsprechend sterben müssen - auch wenn es mir nicht wirklich gefällt. Mir ist durchaus bewusst, dass es besser wäre, mir für den Fall einen NetApp-Filer oder ähnliches hinzustellen - aber für den Heimgebrauch ist mir das dann doch zu sehr mit Kanonen auf Spatzen. Daher der Kompromiss, mit den 2x2TB als Cache.

    Hallo zusammen,


    derzeit denke ich darüber nach, meine TS-453Be durch eine leistungsstärkere NAS zu ersetzen.

    Aufgaben sollen sein:

    - Bereitstellen von performanten iSCSI-LUN für meinen ESXi

    - 2 Dockercontainer (1x Pi-Hole, 1x tv-Headend)

    - Medienstreaming mittels Serviio

    - derzeit noch 1 AD-Backupcontroller


    Gedacht hatte ich an folgende Konfiguration:

    - TS-473A mit 16GB Ram

    - 3x 12TB Ironwolf NAS im Raid 5

    - 1x QNAP QXG-10G2TB (2x 10GBe)

    - 2x Samsung 970Evo 2TB im Raid1 als Read/Write Cache

    - 1x Samsung 870 QVO 2TB für die VM und die Container


    Da die NVMe-Steckplätze in der NAS lediglich mit Gen3 x1 angebunden sind, machen schnellere NVMe in meinen Augen keinen Sinn.


    Die Frage für mich ist, wäre die NAS in dieser Konfiguration schnell genug um entsprechend performant über 10GBe die LUNs zur Verfügung zu stellen?

    Aufgrund der PCIe Gen3 x4 auf den beiden PCIe-Steckplätzen, sollte die Netzwerkleistung zur Verfügung stehen, oder sind auch hier die x4-Steckplätze elektrisch "nur" mit x1 angebunden?



    Danke und Gruß,


    Lauri

    Hallo Maverik26,


    das hört sich für mich schlüssig an. Ich vermute stark, dass der SBS die Domäne schon immer hatte und die NAS additiv als DC in die Domäne aufgenommen wurde.

    Problem: Die AD-Replikation sowie die Sysvol-Replikation funktioniert bei Samba "out of the box" nicht mit einem Windows DC (die Sysvol-Replikation sowieso ausschliesslich per Cron-Job). Sprich, Du musst per Hand mindestens an die SMB.CONF und entsprechend konfigurieren. Des weiteren musst Du zwingend auf einem weiteren (Linux) DC einen eigenen DNS-Server laufen haben, der ebenfalls automatisch mit dem DNS des Windows DC repliziert (ich kann derzeit nicht sagen, ob die Samba-Implementierung auf Deiner NAS im zusätzlichen DC-Betrieb sowohl einen DNS mitbringt als auch die automatische Replikation zum vorhandenen DNS konfiguriert - ich fürchte mal nein).


    Ansonsten passiert Dir exakt das, was Du grade hast: Ist der "echte" AD Controller weg, hast Du mit dem Samba-DC ein Problem. Leider merkst Du das auch unter Windows "erst einmal" nicht, da Windows per se erst einmal die Logins "cached" so lange Du das nicht per Gruppenrichtlinie verhinderst. Du siehst das dann nur im Systemlog (Anmeldeserver nicht erreichbar).


    Wie versuchst Du Dich aktuell auf der NAS anzumelden? Mit einem AD-Account oder mit einem lokalen Account der NAS? Zumindest der lokale "admin" sollte funktionieren, es sei denn, Du hast den bewusst deaktiviert, dann hast Du Dich mit dem Absturz des DC tatsächlich erst einmal von Deiner NAS ausgesperrt. Das ist einer der Gründe, warum man sehr genau wissen muss, was man in einem AD anstellt und vor allem (und das als Tip an Dich): Exakt solche Szenarien (ein DC fällt aus) intensiv testet. Im Fehlerfall ist es leider oft zu spät.


    Gruß,


    Lauri


    PS: Ich drücke Dir die Daumen, dass der Windows DC nach dem Reset wieder läuft...

    Also,


    das Vorgehen dazu ist grundsätzlich exakt das selbe, egal ob Du 2 Windows Rechner als PDC/BDC, 2 Samba-Rechner oder einen Mischbetrieb hast.


    Grundsätzliches Vorgehen:

    1. Richte einen Server als DC Deiner Domäne ein (egal ob Windows oder Samba)

    2. Sorge dafür, dass alle Replikationen mit diesem Server sauber funktionieren

    3. Übertrage alle FSMO-Rollen vom "P"DC auf den (neuen) DC => dadurch wird der DC zum "P"DC

    4. Fahre den "alten" "P"DC herunter


    Danach kannst Du, falls gewünscht, den alten "P"DC auch aus dem AD entfernen (dafür gibt es diverse Tools, da das auch im DNS durchgeführt werden muss)


    Wie gesagt, das Vorgehen ist völlig identisch, egal unter welchem System Deine DCs laufen. Das "P" habe ich jeweils in Hochkomma gesetzt, da dieses "P" nurnoch durch eine FSMO-Rolle definiert wird.



    Gruß,


    Lauri


    PS: Die "Zuweisung" als "P"DC ist nichts anderes als eine der FSMO-Rollen. "Früher" als es "nur" die Windows-Domänen gab, gab es bei der Installation die direkte Zuweisung, ob ein Server der primäre Domänencontroller oder ein Backupcontroller ist. Dies gibt es in der Form im heutigen AD (Active Directory) nicht mehr. Ein "P"DC wird durch die FSMO-Rolle "PDC Emulator Role" definiert. Der Server, der diese Rolle besitzt, ist mit dem damaligen PDC vergleichbar. Diese Rolle kann heute jedoch jederzeit (manuell) auf einen beliebigen DC innerhalb der Domäne verschoben werden - entsprechend "kann" auch jeder DC ganz einfach zum "P"DC erklärt werden. Das ging in dieser Form ursprünglich nicht.

    Entweder versteh ich Dein Problem nicht, oder Du suchst etwas, was sinnlos ist. Relevant für Dich ist zum einen die Anbindung der Festplatten - das ist SATA 6G - das ist genormt. Des weiteren die Anbindung des PCIe-Steckplatz, der hat bei den beiden NAS jeweils PCIe 2.0 mit 2 bzw. 4 Lanes. PCIe 2.0 macht pro Lane "technisch" 500GTexel bei 10!!! Bit. Durch die Umwandlung 8/10 Bit verlierst Du aber schon hier ~20 Prozent der Leistung, dazu kommt dann noch Protokoll-Overhead, etc.


    Hintergrund:

    https://de.wikipedia.org/wiki/PCI_Express

    https://de.wikipedia.org/wiki/8b10b-Code


    Sprich, Du hast zwar eine "technische" Anbindung von theoretischen 500GTexel/Lane, aber "netto" kommt da deutlich weniger an. Das ist technischer Standard und keine Erfindung von QNAP. Du kannst davon ausgehen, dass im absoluten Optimalfall, bei "nicht-Laborbedingungen" über eine PCIe 2.0 Lane ~400MB/s kommen. Das bedeutet, selbst bei 2 Lanes würdest Du niemals auf die Leistung kommen (1.25GByte/s) die Du für 10GBit Ethernet bräuchtest. Das geben 2 PCIe 2.0 Lanes einfach nicht her. Ansonsten haben die NAS noch USB 3.2 Gen 1 Schnittstellen (5GBit/s), ebenfalls genormt.


    Wir halten also fest:

    - RAM ist vollumfänglich angegeben

    - CPU ist vollumfänglich angegeben

    - PCIe-Lanes sind vollumfänglich, samt Spec, angegeben

    - SATA-Anschlüsse sind vollumfänglich, samt Spec, angegeben

    - USB-Anschlüsse sind vollumfänglich, samt Spec, angegeben


    Alle Specs sind Normen, die nicht von QNAP "erfunden" wurden, sondern schlicht standardisiert sind. Von daher sorry, aber ich verstehe Dein Problem wirklich nicht. Mit diesen Daten kann jeder nachvollziehen wie schnell bzw. langsam welche Anbindung bei welcher der beiden NAS sein wird. Von daher, erkläre mir bitte, welche technische Information Dir fehlt bzw. was Du Dir wünschst um besser entscheiden zu können.



    Gruß,


    Lauri

    Sorry, aber was erlaubst Du Dir eigentlich? Du unterstellst mir hier, ich würde einen User "wegschieben bzw. loswerden" wollen? Sorry, aber wenn ein User hier eine Frage stellt, dann schaue ich mir auch die Gründe an und empfehle ihm dann was sinnvolles und nicht einfach "nimm ne dicke NAS und lass mich in Ruhe"! Exakt das wäre nämlich ein "loswerden". Es wäre mir ein leichtes gewesen, ihm einfach eine dicke NAS rauszusuchen und gut. Es ist nicht wirklich schwer, in QTS eine iSCSI-LUN einzurichten und die Einrichtung eines ESXi für den Heimgebrauch ist genauso PillePalle. Unabhängig davon würde ich ihm genauso bei der entsprechenden Einrichtung mit Rat und Tat zur Seite stehen - so wie viele andere hier im Forum auch. Aber mir hier jetzt arrogant an den Karren zu fahren ist das letzte. Aber damit die liebe Seele Ruhe hat, ich halte mich hier jetzt raus, mach Du mal Dein Ding. Für mich ist das Thema damit durch und Du in Zukunft auf ignore.

    Ich möchte hier auch nochmal auf mein erstes Posting verweisen. Meiner bescheidenen Meinung nach, ist es nach wie vor das sinnvollste hier nicht Unsummen in eine NAS zu stecken die dann doch wieder an der ein oder anderen Stelle nicht das bietet was gewünscht ist (alleine schon die Thematik der Steckplätze und die darin verfügbaren PCIe Lanes deutet es ja schon an). Ich denke, der TE wäre wesentlich besser beraten, eine kleinere NAS mit einer 10GBe Anbindung (entweder onBoard oder per Steckkarte) einzusetzen und die VM mittels eines echten Hypervisors (sinnvollerweise ESXi - das ist kostenlos und liegt mittlerweile in der neuen 7er Version vor) zu realisieren. Hier ist man hardwareseitig völlig offen und kann Standardkomponenten einsetzen. Für den ESXi selbst wird nichtmal eine Festplatte benötigt, dieser kann per USB bzw. SD-Karte gebootet werden (dies wird seitens VMWare auch empfohlen und unterstützt).

    Den ESXi per 10GBe an die NAS angebunden ergibt ein sehr performantes System. Wem das nicht reicht, VMWare ist in der Lage, iSCSI-Verbindungen zu bündeln, im Zweifel kann man also auch über 2 10GBe Verbindungen die NAS anbinden. Bevor ich sowas also über die NAS löse, lieber eine anständige und vor allem zukunftsoffene Lösung. Wir sind hier klar an dem Punkt "Ja, grundsätzlich geht das in einer NAS, Sinn macht es aber nicht wirklich".

    Übrigens, auch Backups der VMs lassen sich in der kostenlosen ESXi-Version automatisiert durchführen und dann (z.B. auf der NAS) sichern. Ein Backup des gesamten iSCSI-Storages ist nicht notwendig.



    Gruß,


    Lauri

    Die Protokolle sind dahingehend für mich so verwirrend, dass über Stunden in ca. 1,5-Minuten Abständen die Masse von mehr als 300 fehlgeschlagenden Logins, und dennoch als Aktion "Angemeldet", erscheint. Das lies mich an erfolgreiche Zugriffe zweifeln. Denn ich denke mir, als Angreifer will man doch möglichst unendeckt bleiben und meldet sich nicht in dieser hochfrequenten Taktung immer wieder an.

    Es "könnte" aber auch genauso sein, dass jemand genau damit seinen erfolgreichen Angriff "verschleiert". Niemand kann Dir garantieren "da war keiner drauf" - das selbe Problem hast Du selbst ja auch, deshalb fragst Du ja. Exakt aus dem Grund geben wir Dir ja den Tipp "versuche die NAS möglichst sauber zu bekommen und richte sie dann neu ein". Du hast leider nur die Möglichkeit, Dein bestes zu tun oder eben damit zu leben, dass die NAS sowie die Daten möglicherweise kompromittiert ist/sind. Wie Du damit umgehst, kannst Du nur selbst entscheiden - ich kann Dir an der Stelle letztlich nur sagen, wie ich in diesem Fall vorgehen würde - und das ist tatsächlich die NAS mit allem was mir möglich ist zu säubern und dann neu aufzusetzen. Dazu zählt übrigens auch, die Platten in einem anderen Rechner zunächst mal zu löschen.

    Folgende Verständnisfragen habe ich noch:

    Könnte für Angreifer noch Zugriff über die Backdoor auf die NAS bestehen, obwohl die Portweiterleitung im Router deaktiviert ist?

    Sind die Daten, die ich jetzt auf meine externen Festplatten sichern würde möglicherweise kompromittiert und könnten im nachhinein meine externen Festplatten z.B. verschlüsseln, oder auch nach dem Wiederaufspielen die NAS erneut kompromittieren?

    Das kann Dir leider niemand garantieren. Sobald jemand auf Deiner NAS war, kann man nicht ausschliessen, dass dieser dort eine Software hinterlassen hat, die von sich aus eine Verbindung zu einem CC (Command and Control) Server aufnimmt. Und ja, nicht nur Deine NAS sondern auch Deine Daten sind (leider) zunächst einmal als kompromittiert anzusehen. Genau deshalb solltest Du nicht "einfach nur" die NAS neu aufsetzen sondern zunächst dafür Sorge tragen, dass evtl. hinterlassene Fremdsoftware entfernt ist. Daher der Link den Du erhalten hast. Im Zweifel, wende Dich dafür hier an die absoluten Profis bzgl. dem Aufbau einer QNAP-NAS - diese haben das notwendige KnowHow um Deine NAS "möglichst" sauber zu machen.

    Wichtig ist: Es kann Dir niemand garantieren, dass die Massnahmen die Du jetzt durchführst zu 100% eine Kompromittierung ausschliessen - Du kannst nur versuchen, das menschenmöglichste zu tun, um das auszuschliessen. Dazu gehören, neben der neuen Einrichtung, auch die Bereinigung der auf der DOM enthaltenen Files/Partitionen.

    In Firmen, die Sicherheit hoch ansehen, wird schon "möglicherweise kompromittierte" Hardware schlichtweg entsorgt. Selbst Daten-Forensiker gehen heute davon aus, dass es Möglichkeiten gibt die nicht erkannt werden.


    Vielleicht noch ein Nachsatz dazu:

    Ich möchte Dir sicherlich keine Angst machen, jedoch macht es wenig Sinn, Dir die Tatsachen zu verschweigen. Natürlich ist es immer eine Frage, wie wahrscheinlich ist es, dass jemand hochkomplexe Schadsoftware (die sich in die Firmware von Festplatten oder ähnlich gelagerten Komponenten einnistet) auf Deiner NAS hinterlassen hat. Wichtig ist nur, darauf hinzuweisen, dass dies nicht ausgeschlossen werden kann. Das ist einer der Gründe, warum man sehr genau wissen sollte, was man gerade tut, wenn eine NAS aus dem Internet erreichbar ist. Wie Crazyhorse schon schreibt, hat er selbst für sich eine Option gewählt, die Risiken möglichst minimiert - er sagt aber auch, dass er für sich das Risiko als gering einschätzt aber es ebenso nicht zu 100% ausschliessen kann. Von daher, solltest Du, warum auch immer, die NAS bzw. Teile davon aus dem Internet erreichen wollen, solltest Du Dir fachkundige Unterstützung holen. Spätestens wenn nicht irgendein Script-Kid sondern jemand der wirklich weiß was er tut versucht, Zugang zu Deiner NAS zu erhalten, wird es sehr sehr schwer sich dagegen abzusichern.

    Das "kann" bedeuten, dass zwar der direkte Login fehlgeschlagen, mittels einer Backdoor jedoch Zugriff auf Deine NAS bestanden hat. An dieser Stelle kann ich mich dem aktuellen Rat nur anschließen: Mach ein weiteres (eigenständiges!) Backup Deiner Daten und richte dann die NAS komplett neu ein. Es gibt dazu hier im Forum bereits einige Hinweise, was dafür notwendig ist (ein entsprechender Link wurde ja auch schon von dolbyman gepostet).

    Ein Gerät, dessen Sicherheit nicht zu 100% gewährleistet ist, ist als kompromittiert anzusehen - dazwischen gibt es nichts. Wenn Dir also Deine Daten lieb sind, solltest Du in den sauren Apfel beissen, alles andere ist ein Spiel mit dem Feuer. (D)eine NAS gehört nicht "direkt" ans Internet.

    Ja, das "wurde" gene gemacht, funktioniert "heute" in vielen Fällen aber nicht mehr, da moderne kompilate der Standardfunktionalitäten das mittlerweile ausschliessen. Ich habe erst die Tage dazu wieder einen interessanten Artikel gelesen:


    https://de.wikipedia.org/wiki/Lastverteilung_per_DNS


    Da steht ebenfalls, dass dies bei den meisten aktuellen Browsern und Tools mittlerweile in dieser Form nicht mehr funktioniert.

    Allerdings bewegen wir uns grade ein ganz klein wenig vom eigentlichen Thema weg ;)

    Deshalb hatte ich nach Screenshots gefragt, um mir überhaupt mal ansehen zu können, was er da eingerichtet hat. Gerade das Thema, je nachdem wie er den Client konfiguriert können "hin und wieder" Adressen nicht aufgelöst werden, lassen auf einen massiven Konfigfehler oder tatsächlich eine defekte DNS-Instanz schließen (wobei letzteres mehr als selten vorkommt, zumindest wenn man nicht per Hand über die Shell rumbastelt).


    Unabhängig davon ist eine Domäne ohne BDC und ohne 2nd DNS sowieso immer grosses Bubu und kann, wenn es "dumm" läuft dazu führen, dass sich nach einem Reboot des einzigen Domain-Controllers die Clients nicht mehr verbinden können. Dieser Fall ist zwar selten, aber nunmal nicht ausgeschlossen - ausschliessen kann man es nur dann, wenn es tatsächlich einen 2ten (erreichbaren!) DC gibt. Das ist einer der Gründe, wieso ich Domänen die ausschließlich auf 1 NAS laufen immer kritisch gegenüber stehe. Eine Domäne ist letztlich kein Spielzeug und dahinter steckt viel mehr, als der Standarduser zu sehen bekommt.

    Meine Frage an der Stelle ist eine andere: Warum möchtest Du das in einer NAS machen? Ich mein das völlig ernst. Du läufst an der Stelle in diverse Probleme: Kompatible Grafikkarten, Spannungsversorgung und nicht zuletzt die Tatsache, dass Du dafür ein recht teures NAS benötigst. Unterm Strich ist ein NAS noch immer nichts anderes als das was da steht: Network attached Storage. Was spricht denn dagegen, wenn Du tatsächlich so leistungshungrige VMs betreiben willst, diese auf einem extra Server laufen zu lassen und diesen dann per iSCSI über 10GBe an die NAS anzubinden? All die (teuren bis sehr teuren) Themen (teurer NAS-Ram, Grafikkarten-Kompatibilität, Spannungsversorgung, CPU-Upgrade um nur einige zu nennen) erledigen sich in diesem Moment.

    Ja, man "kann" vieles mit einer NAS anstellen, aber sollte man das, nur weil es "irgendwie" geht? Vielleicht sagst Du uns einfach mal, was Du eigentlich realisieren möchtest, evtl. ergeben sich hier wesentlich sinnvollere (und vermutlich deutlich preisgünstigere) Optionen.



    Gruß,


    Lauri

    Könnte es sein das mein DNS Server nicht sauber funktioniert?

    Davon gehe ich im Moment aus. Irgendwas an Deiner Konfiguration funktioniert aktuell nicht. Generell benötigt eine Domäne (mindestens) 1 eigenen DNS-Server, dieser muss auf allen Clients eingetragen sein. Dieser DNS-Server kann zunächst alle Domänenrelevanten DNS-Anfragen auflösen. Zusätzlich muss in diesem DNS dann wiederrum (mindestens) 1 sogenannter "Forward-DNS" eingetragen werden. Alle Anfragen die der Domänen-DNS nicht auflösen kann, leitet dieser dann an den "Forward-DNS" weiter. Soweit die Technik dahinter.


    Aktuell ist Dein Problem:

    - Wenn Du im Client einen zusätzlichen DNS einträgst, wird "manchmal" ein Domänen-Mitglied nicht sauber aufgelöst

    - Wenn Du im Client nur den Domänen-DNS einträgst, wird "manchmal" ein nicht Domänen-Mitglied nicht sauber aufgelöst


    Entweder grätscht Dir aktuell eine Antivirensoftware dazwischen (es gibt da Software wie z.B. Avast, die meint, sie müsste am DNS-System vorbei selbst auflösen um festzustellen, ob evtl. Anfragen "umgelenkt" bzw. "verfälscht" werden) oder der DNS auf Deiner NAS hat tatsächlich nen Schatten.

    Prüfe bitte mal, ob die Einstellungen bzgl. Forward-DNS bei Dir korrekt sind oder ob evtl. im Fehlerlog irgendwelche Dinge auftauchen die mit Samba zu tun haben (Samba stellt unter Linux sowohl die Domänenfunktionalität als auch den DNS für Domänen zur Verfügung).



    Gruß,


    Lauri

    Innerhalb der Domäne sollten Deine Clients immer nur die innerhalb der Domäne eingerichteten DNS-Server besitzen (diese machen im Zweifel den Forward an die eingerichteten Forward-DNS). Alles andere kann zu den von Dir genannten Problemen führen.



    Gruß,


    Lauri

    Wie gesagt, trennen kannst Du, signifikant "nur für Anwendungen" ist das halt nicht. Wichtig: Die QNAP-NAS schreiben das Betriebssystem sowieso immer auf alle Platten - völlig unabhängig davon, welche Du zuerst einbaust. Legst Du ein neues Volume an, kommt auch da nachträglich auf alle Platten eine Partition mit dem BS. Also auch wenn du das selbst trennen möchtest, QNAP macht Dir da einen Strich durch die Rechnung ;)

    Ansonsten ja, wie schon geschrieben, Du kannst natürlich alle Anwendungen auf den SSD installieren, keine Frage, ausser der "logischen Trennung" hast Du aber keine echten Vorteile. Anders wäre es, wie von Crazyhorse geschrieben, wenn Du VM oder ähnliches auf den SSD installieren willst - dann bringt Dir das was. Ansonsten wäre es einfach "nur" ein teurer Spass ohne echte Vorteile.


    VMs und DBs haben SSDs sehr lieb

    Völlig richtig, aber er hat ausschließlich von Anwendungen geredet - eine DB sowie VMs sind zunächst mal Daten, die Anwendung wäre die DB-Software selbst bzw. die VM-Station. Deshalb hatte ich extra danach gefragt, was genau er denn machen möchte ;) Im Extremfall hieße sein Anwendungsbeispiel, dass er Virtualization-Station auf der SSD installiert und die VMs auf seinem Daten-Volume. Und das macht in meinen Augen einfach keinen Sinn.



    Gruß,


    Lauri

    Hallo MM194,


    grundsätzlich möglich ist das, aber was versprichst Du Dir davon? Du wirst damit die Bootzeit nicht signifikant ändern (das wurde schon in zig Threads besprochen, getestet und bestätigt) und für den reinen Anwendungsstart fällt mir akut erst einmal nichts ein, was ein "verlagern auf teuren SSD-Speicher" rechtfertigen würde. Vielleicht solltest Du kurz erläutern worum es Dir tatsächlich geht, ansonsten schießt Du Geld in den Wind ;)



    Gruß,


    Lauri