Bitlocker auf Servern

[carnivore 10]

Hallo zusammen,

Ich kenne w2k8 bisher hauptsächlich aus der Theorie und mache mir so meine ersten Gedanken:

 

Ist es sinnvoll den Bitlocker auf Servern in Rechenzentren einzusetzen? Wie organisiert man damit Remote-Reboots von mehreren Servern gleichzeitig.

Muss der BitlockerKey vor dem Start manuell auf jedem System eingegeben werden, oder soll in jedem Server ein Memorystick mit seinem Key stecken? Beide Ansätze wären nicht so prickelnd

 

Ist der Bitlocker auch für DCs freigegeben? Wieviel Performance kostet die Verschlüsselung? Welchen Impact hat der Bitlocker auf den DisasterRecovery Prozess?

 

Merci

carni

[LukasB 10]

Damit du Bitlocker auf Servern vernünftig nutzen kannst (d.h. ohne Passwörter eingeben etc.) brauchst du einen Server mit TPM. Ich weiss das IBM sowas noch nicht im Programm hat, vielleicht schauts bei anderen Herstellern besser aus.

 

Microsoft empfiehlt den Einsatz von Bitlocker vorallem in Aussenstellen mit ungenügender physikalischer Sicherheit - auch im Zusammenhang mit RODCs.

 

Auf meinem Laptop habe ich Bitlocker im Einsatz - man merkt halt das die CPU immer ein bisschen mehr zutun hat, sonst konnte ich keine Einbusse feststellen. Für irgendwas das IO heavy ist (z.B. SQL Server oder Exchange Server) währe Bitlocker wohl eh das falsche, aber ansonsten sollte es reichen wenn du eine Quadcore CPU hast.

 

Disaster Recovery kommt halt drauf an wie du die Backups macht - bei normalen Online Backups ist das ganze unverschlüsselt - du müsstest dann nach dem Restore Bitlocker wieder in Betrieb nehmen.

 

(Disclaimer: Ich habe das Bitlocker/RODC Zeug mangels Servern mit TPM bisjetzt nur auf meinem Laptop getestet)

[NilsK 2.938]

Moin,

 

Ist es sinnvoll den Bitlocker auf Servern in Rechenzentren einzusetzen?

 

durchaus. Insbesondere dann, wenn du den unbefugten Zugang zum RZ nicht ausschließen kannst.

 

Wie organisiert man damit Remote-Reboots von mehreren Servern gleichzeitig.

 

Das hängt davon ab, wie du BitLocker einrichtest. Bei Servern ist es am sinnvollsten, es per TPM ohne Key-Eingabe oder externen Key einzurichten - dann bootet Windows ganz normal, solange die Platte im richtigen Rechner steckt. Allenfalls könntest du es mit TPM und PIN einrichten, wenn du einen KVM-Zugang bis auf BIOS-Ebene hast.

 

Ist der Bitlocker auch für DCs freigegeben?

 

Ja.

 

Wieviel Performance kostet die Verschlüsselung?

 

Mit guten Methoden messbar, aber nicht spürbar.

 

Welchen Impact hat der Bitlocker auf den DisasterRecovery Prozess?

 

Man muss es halt berücksichtigen. Details hängen vom Prozess selbst ab, den du ja ohnehin für jedes System und jedes Schadensszenario detailliert festlegen musst.

 

Gruß, Nils

[carnivore 10]

Hallo,

Danke für die Antworten. Ich werde bei unserem Hoflieferanten (HP) anfragen, welche TPM-Lösungen sie für unsere DC-Hardware (DL380 G5) anbieten.

 

Merci

carnivore

[LukasB 10]

Danke für die Antworten. Ich werde bei unserem Hoflieferanten (HP) anfragen, welche TPM-Lösungen sie für unsere DC-Hardware (DL380 G5) anbieten.

 

Wow, was ist denn das für eine Umgebung wo man so eine Maschine als DC braucht?

[NilsK 2.938]

Wow, was ist denn das für eine Umgebung wo man so eine Maschine als DC braucht?

 

??? wenn ich Server verschlüssele, ist der DC doch wohl die erste Wahl, oder? (Oder meinst du die sonstige Ausstattung? Da sagt mir die Modellnummer nichts.)

 

Gruß, Nils

[Daim 12]

??? wenn ich Server verschlüssele, ist der DC doch wohl die erste Wahl, oder?

 

Klar, aber darauf zielte Lukas auch nicht.

 

 

(Oder meinst du die sonstige Ausstattung?

 

Exakto Mundo.

 

HP ProLiant DL380 G5 Server series specifications - HP Small & Medium Business products

 

 

@Lukas

 

Wenn Geld keine Rolex spielt und man soviel davon hat, dass man mit vollen Händen die Kohle aus dem Fenster werfen kann, dann würde ich sogar zwei DL380 G5 Maschinen hinstellen. :p

[carnivore 10]

@Lukas

 

Wenn Geld keine Rolex spielt und man soviel davon hat, dass man mit vollen Händen die Kohle aus dem Fenster werfen kann, dann würde ich sogar zwei DL380 G5 Maschinen hinstellen. :p

 

:confused: willst du den DC dann clustern, oder warum zwei? Welche HW empfiehlst du denn so ganz pauschal ohne Einzelheiten einer Umgebung zu kennen?

[Daim 12]

:confused: willst du den DC dann clustern,

 

Nein und das habe ich auch nicht erwähnt.

 

 

oder warum zwei?

 

Wegen der Ausfallsicherheit sollten in jeder Domäne min. zwei DCs laufen.

 

 

Welche HW empfiehlst du denn so ganz pauschal ohne Einzelheiten einer Umgebung zu kennen?

 

Wenn der Server lediglich ein DC (inkl. DNS) werden soll, dann benötigt er nicht viel an Ressourcen.

Eine Faustregel besagt, je 1 Ghz CPU-Leistung für 800 Benutzer. Im Prinzip reicht eine aktuelle Client-Hardware als reiner DC aus.

Ideal ist es immer, wenn die AD-DB in den RAM passt. Aber in einer aktuellen Client-Hardware wären ohnehin heutzutage min. 1 GB RAM drin.

[martins 11]

:confused: willst du den DC dann clustern, oder warum zwei? Welche HW empfiehlst du denn so ganz pauschal ohne Einzelheiten einer Umgebung zu kennen?

 

Die HPs sind schon recht nett. Was hast du denn für eine Umgebung?

 

Was ich allerdings nicht so schön finde, ist die mangelnde W2K8-Unterstützung; aber das ist ein anderes Thema! ;)

[nerd 28]

Wenn der Server lediglich ein DC (inkl. DNS) werden soll, dann benötigt er nicht viel an Ressourcen.

Eine Faustregel besagt, je 1 Ghz CPU-Leistung für 800 Benutzer. Im Prinzip reicht eine aktuelle Client-Hardware als reiner DC aus.

Ideal ist es immer, wenn die AD-DB in den RAM passt. Aber in einer aktuellen Client-Hardware wären ohnehin heutzutage min. 1 GB RAM drin.

 

Hi,

 

wobei Daim damit sicher nicht sagen wollte, dass du client Hardware einsetzen sollst ;) Server sollten schon auf gescheiter Hardware mit guten Support etc. laufen.

 

Wieviele User sind denn in eurem AD? Die DL380 bzw. u. U. auch die DL385 sind gängige Modelle für DC's in großen Unternehmen - ich finde die auch ganz gut. Wenn es sich bei dir um eine kleinere Umgebung handelt könnte ggf. auch eine ein CPU Maschine (DL360) ausreichen.

[carnivore 10]

Die HPs sind schon recht nett. Was hast du denn für eine Umgebung?

 

wir knacken momentan die 6-stellige Useranzahl, deswegen wäre ich bisserl zurückhaltend so frei von Detailkenntnis mit Ausdrücken wie "Wenn Geld keine Rolex spielt..." zu jonglieren

Aber damit lassen wir es auch wieder gut sein :)

 

gruss

carni

[Daim 12]

wobei Daim damit sicher nicht sagen wollte, dass du client Hardware einsetzen sollst ;)

 

Doch, teils-teils.

Natürlich sollten Server auf vernünftiger Hardware laufen mit entsprechenden SLAs. Aber gerade in KMUs würde ich wegen der Ausfallsicherheit eher auf einer Client-Hardware einen zweiten DC laufen lassen, als das nur ein einziger DC in der Domäne existiert. Denn in Firmen mit 5-20 Benutzern möchte der AG meistens keinen zweiten DC Aufstellen oder hat das Geld nicht dazu.

 

 

Server sollten schon auf gescheiter Hardware mit guten Support etc. laufen.

 

Ja klar, ohne Zweifel.

 

 

@carnivaro

 

wir knacken momentan die 6-stellige Useranzahl, deswegen wäre ich bisserl zurückhaltend so frei von Detailkenntnis mit Ausdrücken wie "Wenn Geld keine Rolex spielt..." zu jonglieren

 

Doch, eben drumm und was ist daran so schlimm?

Wenn in einer Firma viel für die IT investiert wird, würde ich in der Tat zwei DL 380 hinstellen, natürlich immer in Abhängigkeit der Größe des Unternehmens.

 

Aber da keine präziseren Angaben vorhanden waren, finde ich schon, dass man auch jonglieren kann. Das nächste Mal kannst du ja gleich zu Beginn präzisere Angaben machen, dann könnte man konkreter werden. ;)

[nerd 28]

Hi,

 

ok bei 6stelligen Benutzerzahlen würde ich mal davon ausgehen, dass deutlich mehr als ein DC vorhanden ist - alleine schon um die Peaks die vermutlich morgens vorhanden sind abfangen zu können...

 

Viele Grüße