WHS 2011: Spiegelung, Verschlüsselung & Schattenkopien

G

GarKing

Experte
Thread Starter
Mitglied seit
27.07.2012
Beiträge
40
Hallo zusammen,

ich hab hier eine kleine Problematik mit einem N40L mit WHS 2011.

Eingebaut sind zwei baugleiche HDDs, die aber nicht per RAID gespiegelt sind, sondern lediglich eine softwareseitige Spiegelung der Datenpartition betreibt.
Dazu werden die Shared Folders auf der Datenpartition in einem Truecrypt-Container verschlüsselt und dann freigegeben.

Das hat leider dazu geführt, dass die Volume Shadow Copies nicht mehr auf diesen Ordnern funktionieren, da es wohl eine bekannte Dysfunktion der Schattenkopien in Verbindung mit TrueCrypt gibt.

Hat jemand eine Idee, wie man das Problem relativ minimal invasiv lösen könnte? Meine bisherigen Recherchen haben leider zu keinerlei zielführenden Ansätzen geführt.

Ziel ist, dass nachher die Ordnerfreigabe wieder tadellos funktioniert, die Verschlüsselung dann greif, wenn der Server vom Strom genommen wird (Diebstahl) und keine extra Identifizierung seitens der Client von Nöten ist, wenn morgens die PCs angeschaltet werden.

Vielen Dank schonmal für Zerbrechen der Köpfe!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
GrafikTreiber schrieb:
Bitlocker ist die einzig brauchbar funktionierende Lösung hier für.
Zum Vergrößern anklicken....

Hatte ich so eigentlich auch auf dem Schirm, funktioniert aber wohl nur mit echtem Hardware-RAID und nicht wirklich mit WHS-Spiegelungen.

Abgesehen davon stellt sich mir noch die Frage, ob die Clients dann jeden Morgen die Ordner/Dateien entschlüsseln müssen oder ob der Server einfach durchlafuen kann und nur bei Neustart oder eben dann, wenn er vom Strom genommen wurde, eine erneute Entschlüsselung notwendig ist.
 
Bitlocker unterstützt leider keine dynamischen Datenträger.
Verwende daher einfach Diskcryptor oder Truecrypt, wie schon gesagt, halt ohne Container sondern nativ.

Ob die On-the-Fly-Verschlüsselung von bestehenden dynamischen Datenträgern damit aber funktioniert weiß ich nicht, für normale Datenträger geht es aber. Wenn es nicht geht musst du die Festplatten vorher leer machen und die Verschlüsselung dort einrichten und den entschlüsselt gemounteten Datenträger deinen dynamischen Datenträger erstellen.

Oder du entsorgst den WHS und installierst dir FreeNAS und nutzt geli+ZFS.
Platten leer machen, FreeNAS Installations-CD brennen, starten, Klick-Klick-Klick. 2h später hast du deinen verschlüsselten Zpool. Wäre sowieso die technisch bessere Lösung.
 
Zuletzt bearbeitet:
Danke schonmal für die Antworten.

Eine Entsorgung des WHS, so sehr ich sie herbeisehnen würde (da es halbgarer nicht mehr geht...), stellt leider keine Option dar.

Ich habe auch schon versucht, mit Truecrypt einfach die ganze Partition zu verschlüsseln und keine Container zu erstellen, aber dann weigern sich die Schattenkopien auch, darauf zuzugreifen. (ich hoffe, das war mit "nativ" gemeint)

Dieses dynamische Datenträger-Gedöns, das sowieso mehr Krankheit als Lösung ist, scheint generell an vielen Problemen Schuld zu sein. Aber wenn ich jetzt auf RAID wechsle und damit die Spiegelung realisiere, ist es mit der Minimalinvasivität dahin. Dann steht der Server einen Tage lang still, bis die Installation vom WHS durch ist.
 
Ja, das meinte ich mit nativ.
Probiere vielleicht noch mal Diskcryptor aus, das ist zwar ein Fork von Truecrypt, allerdings mittlerweile schon sehr sehr anders. Ich kann leider auf die schnelle nicht herausfinden ob damit VSS funktioniert da die meisten Threads dazu in russisch sind und der Google Translator dabei leider nur unverständliches Deutsch/Englisch raus haut.

Und wieso kannst du kein FreeNAS einsetzen?
Eine Alternative wäre noch Server 2012 R2 mit Storage Spaces.
Was meinst du mit "auf Raid wechseln"? Du setzt doch jetzt auch schon ein Raid ein? Meinst du ein lumpiges Hardware-Raid? Das ist doch von gestern und für kleine Fileserver völlig unnötig. ZFS oder Storage Spaces sind Hardware-Raid definitiv vorzuziehen.
 
Zuletzt bearbeitet:
Ok, da schau ich mir doch mal Diskcryptor an, hört sich auf jeden Fall nicht schlecht an. Macht es dabei einen Unterschied, ob ich nur eine Partition der Platten verschlüssle oder muss es hardware-technisch die "ganze" Platte sein? Das Problem mit den russischen Links hab ich auch schon hinter mir :)

Bei WHS soll es aus dem Grund bleiben, damit das System bei Stromausfall o.ä. softwaretechnisch relativ gleich bleiben sollte, da bei meiner Abwesenheit das System zumindest halbwegs benutzbar bleiben soll.

Mit "auf Raid wechseln" meinte ich allerdings ein lumpiges HW-RAID, da ich mir damit diese störrischen dynamischen Datenträger ersparen könnte, die mit bei der Bitlocker-Verschlüsselung im Weg stehen. Bei WHS bleibt mir außer HW-RAID und SW-Spiegelung auch keine andere Möglichkeit der Duplizierung, oder befinde ich mich da auf dem Holzweg?
 
Kann auch eine Partition sein. Geht nur darum dass es kein Container ist.

Die Begründung mit Abwesenheit und Co kann ich nicht wirklich nachvollziehen. Wenn du DAUs im Haus hast ist im Problemfall egal ob da ein WHS, ein Server 2012 R2 oder ein *NIX drauf läuft. Die können mit allem nichts anfangen. ;)
Schau dir doch einfach mal FreeNAS an, es ist wirklich sehr einfach.
Ob sie das Kennwort dann via RDP oder in einem Webinterface eingeben macht wohl keinen großen Unterschied.

Dir bleibt noch die Möglichkeit etwas wie Snapraid einzusetzen, Alternativen dazu wären z.B. Drivepool und Flexraid, ich persönlich würde aber zu Snapraid raten da es Open-Source ist.
SnapRAID - Compare
Wie es allerdings hierbei mit VSS aussieht weiß ich nicht. Ist aber eigentlich auch nicht notwendig weil Snapraid wie der Name schon sagt auch Snapshots machen kann.

Grundsätzlich geht das in Richtung Bastellösung für Heimanwender, ist dadurch aber nicht instabil oder unsicher. Ich persönlich würde so etwas zwar nie einsetzen weil es mir viel zu eingeschränkt wäre, aber wenn du kein *NIX einsetzen willst und daher nicht die Möglichkeit für ZFS hast könnte es eine (Not-)-Alternative sein.
 
Zuletzt bearbeitet:
Vielen Dank für deine Bemühungen! Ich werde mir die Diskcryptor-Geschichte mal näher anschauen und ausprobieren. Vielleicht kann ich ja damit schon die Problematik lösen!
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh