Jump to content
SaschaVolk

Windows Storage Spaces im Trusted und Untrusted Netzwerk

Recommended Posts

Hallo zusammen,

 

ich bin immer noch am überlegen wie ich Daten vom Untrusted in das Trusted Netzwerk bekomme.

 

Scenario

Es gibt zwei Netzwerke - Tusted und Untrusted Netzwerk.

Im untrusted Netzwerk sind Mitarbeiter und teilweise Kunden mit Ihren Geräten die zusammen Arbeiten müssen.

 

Es gibt im Untrusted Netzwerk ein NAS . Ich wollte erst TrueNas nehmen. Bin am Überlegen ob ich ein Windows Server 2019 mit Storage Spaces nehme.

Dort werden Media Daten abgelegt (Filme, Präsentationen usw) Vielleicht ca 100GB / Tag.

Der kann autark laufen. Wäre zwar schön wenn der an die AD angeschloßen wäre aber das ist sicherheitstechnisch nicht so einfach umzusetzen.

 

Diese Daten sollen ins Trusted Netzwerk synchronisiert werden. Also vom Untrusted ins Trusted Netzwerk. Das NAS im Trusted Netzwerk wird wohl auch ein Windows Server 2019 mit Storage Spaces.

DIe Daten sollen vom NAS im trusted Netzwerk abgeholt werden.

 

Lösung

DIe beiden Server über eine Firewall verbinden und zB mit Robocopy die Daten rüberholen ??

Share this post


Link to post
vor 33 Minuten schrieb SaschaVolk:

Es gibt im Untrusted Netzwerk ein NAS . Ich wollte erst TrueNas nehmen. Bin am Überlegen ob ich ein Windows Server 2019 mit Storage Spaces nehme.

Storage Space sind meines Wissens mindestens 3 Server...

Share this post


Link to post

Ich denke du meinst Storage Spaces Direct. Ich meinte einfach nur ein Storage bereit stellen für Daten .

Edited by SaschaVolk

Share this post


Link to post
vor 33 Minuten schrieb Nobbyaushb:

Storage Space sind meines Wissens mindestens 3 Server...

Nö, geht auch mit 2 Servern prima. Es ist aber empfohlen eine witness site zu implementieren (das kann auch ein file share auf einem NAS oder backup-Server sein).

Share this post


Link to post

Moin,

 

@djmaker und @Nobbyaushb, ihr seid auf dem falschen Dampfer.

 

@SaschaVolk man kann das sicher alles machen, aber dazu können wir gar nichts sagen, ohne die Anforderungen zu kennen. Ob man nun einen Windows Server oder ein Appliance-NAS nimmt, hat für die Sicherheit nur sehr indirekt eine Auswirkung. Und wie du den Dateiaustausch organisierst, ist eben eine Frage der Anforderungen.

 

Gruß, Nils

Share this post


Link to post

Naja die Anforderung ist Daten zB auf einem SMB Share von einem Untrusted Netzwerk in ein Trusted Netzwerk zu kopieren. Welche Anforderungen brauchst du den noch ??

 

Share this post


Link to post
vor 2 Stunden schrieb NilsK:

Moin,

 

@djmaker und @Nobbyaushb, ihr seid auf dem falschen Dampfer.

 

@SaschaVolk man kann das sicher alles machen, aber dazu können wir gar nichts sagen, ohne die Anforderungen zu kennen. Ob man nun einen Windows Server oder ein Appliance-NAS nimmt, hat für die Sicherheit nur sehr indirekt eine Auswirkung. Und wie du den Dateiaustausch organisierst, ist eben eine Frage der Anforderungen.

 

Gruß, Nils

Hi Nils, auch wenn es etwas off topic ist - kannst du das kurz erläutern? Ich habe mehrere S2D-Cluster mit w2k16 laufen . . . .  siehe auch:

 

https://techblog.ptschumi.ch/windows-server/storage-spaces-direct/deploy-storage-spaces-direct-on-two-node-cluster-with-windows-server-core/

Share this post


Link to post

Hi,

 

hier geht es (vermutlich) um "Storage Spaces": Storage Spaces overview | Microsoft Docs (Die ersten beiden Links im Links)

Zitat

Storage Spaces is a technology in Windows and Windows Server that can help protect your data from drive failures. It is conceptually similar to RAID, implemented in software. You can use Storage Spaces to group three or more drives together into a storage pool and then use capacity from that pool to create Storage Spaces. These typically store extra copies of your data so if one of your drives fails, you still have an intact copy of your data. If you run low on capacity, just add more drives to the storage pool.

 

Gruß

Jan

Share this post


Link to post
vor 35 Minuten schrieb testperson:

hier geht es (vermutlich) um "Storage Spaces": ....

 

vor 16 Stunden schrieb SaschaVolk:

Ich denke du meinst Storage Spaces Direct. Ich meinte einfach nur ein Storage bereit stellen für Daten .

 

Share this post


Link to post

Ja, ich meinte S2D. Sorry für die Verwirrung. Back2Topic.

 

PS: Eine verrückte Idee . . . S2D-Cluster mit 1 Server im untrusted-NW und 1 Server im trusted NW :-)

Share this post


Link to post

Hier handelt es sich einfach nur um Storage Spaces. Nicht Storage Spaces Direct. Kein Cluster nur eine SMB Freigabe. Also lassen wir Storage Spaces weg und sagen es ist nur eine SMB Freigabe.

Share this post


Link to post

Moin,

 

vor 15 Stunden schrieb SaschaVolk:

Naja die Anforderung ist Daten zB auf einem SMB Share von einem Untrusted Netzwerk in ein Trusted Netzwerk zu kopieren. Welche Anforderungen brauchst du den noch ??

 

ich brauche überhaupt keine. Du brauchst sie. Ohne weitere Angaben ist "nimm einen NAS oder einen Dateiserver pro Seite" eine ausreichende Lösung. Was du da hin- oder herkopieren willst, habe ich nicht verstanden, aber das ist dann eben das, wo die einfache Lösung vielleicht nicht ausreicht.

 

Gruß, Nils

 

Share this post


Link to post

Storage Spaces Direct ist für unterschiedliche Netze sicher nicht sinnvoll bzw. vermutlich nicht möglich weil eine Voraussetzung ein Cluster ist. Da is alles im gleichen Netz sowie AD. Zudem: Viel zu komplizierter Unterbau wenn man es nicht sowieso möchte. Lizenzierung für sowas simples sowieso jenseits von gut und Böse (Datacenter-Lizenz).

Storage Spaces wiederum kann als Basis der Server Sinn machen solange man SSD's nimmt. Mit einem reinen HDD Unterbau wird man mit Storage Spaces nicht glücklich aufgrund des ineffizienten Read und Write Caches. Guten Read-Cache erhält man nur über den Umweg über ein Cluster, selbst wenn es ein Single-Node-Cluster ist. Write-Cache kriegt man für sequentielle Loads (was es hier wohl wäre) so halbwegs sinnvoll hin. Entweder über die Komplexität mit Tiering  oder mit Überlistung (Storage Spaces cached keine sequentiellen Loads über 256KB). Ein Hardware-Raid Controller ist oft die bessere Variante mit HDD's. Das Tiering hat dann auch wieder ein paar Eigenheiten.

Hat aber mit der eigentlichen Replikation wenig zu tun sondern nur wie die Daten in den jeweiligen Bereichen zu Verfügung gestellt werden.

 

Im Endeffekt ist die Art der Replikation und eigentlich auch der Server welche die Daten bereitstellen aber eine Frage der Anforderung (wie eigentlich genannt wurde):

- Reine Einweg oder beidweg Replikation (falls von Untrusted in Richtung Trusted wie beschrieben, wozu dann nicht gleich direkt auf dem Hauptsystem ablegen? Wenn man sich was einfängt, dann landet es ja eh automatisiert im System)

- Braucht es die Daten intern oder dient es nur als Kopie/Backup oder Bequemlichkeit (evtl. besser komplett separat halten)

- Welche Datenmenge soll repliziert werden (Robocopy ist zbsp. Ressourcenintensiv, wenn aber genügend Bums da ist im LAN sowie Plattenmässig auf beiden Seiten gut machbar)

- Wie schnell nach einer Änderung soll repliziert werden (reicht z.Bsp. in der Nacht oder muss es "sofort" sein? Oder auf Abruf oder ....)

- etc

 

Ohne solche Eckdaten (Anforderungen) zu definieren kann man unmöglich einen Tipp geben wie es sinnvoll/weniger sinnvoll gemacht werden könnte. Und das kannst nur Du. Also das was Nils bereits gesagt hat.

Es könnte z.Bsp. ja auch sinnvoller sein, die Leute mit VM's/RDP arbeiten zu lassen auf die man sich mit einem Fernzugriffstool wie für Home-Office (alle Daten + deren Bearbeitung im internen Netz)

 

 

Unter Umständen ist aber nichtmal der technische Aspekt der Stolperstein. Windows-Server benötigt für den Zugriff CAL's. Mit wechselnden Kunden-Systemen ist das etwas schwierig bzw. höchstens geduldet umsetzbar. Weil diese können ja nicht wirklich sauber lizenziert werden, also eine ungefähre Anzahl Zusatz-Cals vorhalten und Prinzip "Hoffnung" bei nem Audit. Geduldet weil in der Praxis für diesen Anwendungszweck nicht wirklich sinnvoll umsetzbar. Mit Windows WebServer ging das noch, den bekommt man aber nicht mehr als 0815-Kunde für On-Premise sondern muss über Umwege gemietet werden und steht dann eher im Internet. (Keine Ahnung ob auch sonst möglich).

Share this post


Link to post

Hi weingeist ,

 

danke dir für die ausführliche antwort. Allerdings denken hier alle zu kompliziert oder ich habe es nicht richtig beschrieben.

 

Mir geht es hier nur um die Speicherpools bei Windows Server. Die nennt man halt Storage Spaces. Ich denke auf was ihr hinauswollt ist Storage Space Direct. Also Speicherpools über mehrere Server verteilen .

Mir geht es nur um einen Ersatz für TrueNAS zu finden da ich im Untrusted Netzwerk einen RODC brauche. Also einfach Daten auf einem Server ablegen - fertig. Kein Clustering - keine Pools über mehrere Server.

Ich habe das bei mir zuhause auf meinem Server 2019 getestet. Läuft soweit ok. Ich habe drei Pools mit jeweils 4 Festplatten (Raid6) eingerichtet dazu noch pro Pool 2x SATA SSDs im Raid1 als Cache.

Die Server in der Firma bekommen pro Pool jeweils 2x Intel Optane M2 SSDs (Cache) mit jeweils 6xSAS 10TB als Raid6.

Das ganze werde ich aufbauen und testen.Einen Server werde ich mit TrueNAS und ZFS einrichten den anderen mit Windows 2019 und Storage Spaces. Mal schauen wie die sich gegeneinander schlagen.

 

Lizenzen sind alle vorhanden. Habe noch 12 andere Windows Server laufen die ich gerade auf 2019 migriere - habe deshalb letztes Jahr alles auf den neusten Stand gebracht mit Lizenzen.

 

Es werden ca 40TB an Festsplattenplatz zur verfügung gestellt. Erfahrungsgemäß werden ca 100GB/Tag an Daten auf das NAS geschrieben. Das inkrementel mit Robocopy zu replizieren sehe ich als kein Problem. Das ganze wird Nachts stattfinden.

Die Daten (Bilder, Videos, Präsentationen,PDFs) sollen als Backup auf das interen NAS geschrieben werden. Von dort werden sie dann irgendwann auf ein LTO Archiviert.

 

Ich kann gerne berichten wie sich die Server schlagen werden falls jemand interesse hat.

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...