[Sammelthread] ZFS Stammtisch

[you]

Wir haben im Haus so zwischen 4-7 macos Endgeräte, von denen ich regelmässig bootfähige Backups mache. Mittels CCC oder SuperDuper. Bisher auf USB Festplatten.

Gebraucht habe ich solch eine bootfähige USB-Festplatte in den letzten 10 Jahren so drei Mal. Dafür lohnt es sich nicht, die ganzen Platten rumliegen zu haben.

Ergo: Ich möchte die Backups zukünftig auf mein NAS (napp-it-all-in-one) schieben. Und nur im Bedarfsfall mal von so einem Image eine USB-Festplatte betanken.

Machte es für so ein Szenario Sinn, meine napp-it Instanz sowie die Endgeräte (mittels EINES, mobilen Thunderbolt -> 10G Adapters) auf 10G hochzurüsten? Oder gleicht die Performance, aufgrund der hohen Anzahl kleiner Dateien, in diesem Fall eher der einer 1G Netzwerkleitung?

PS: Ich stünde zur Konsolidierung meines USB-Platten-Parks aus Performancegründen (?) ohnehin ggf. vor der Anschaffung neuer USB Platten. Ich kann das Geld aber auch in eine erste 10G Infrastruktur stecken, wenn es performancemäßig Sinn macht. Das tut sich geldmäßig nicht sooo viel.

Merci

 

[martingo]

Hat sich erübrigt, hätte vorher das Repository wechseln müssen: napp-it // webbased ZFS NAS/SAN appliance for OmniOS, OpenIndiana, Solaris and Linux : Solaris



Woher sollte das Executable /usr/sbin/sbdadm kommen?
Mein frisch installiertes Napp-It WebGUI unter Solaris 11.4 beta beschwert sich auf den meisten Websites, dass das Kommando fehlt. Irgendwo hatte ich mal gelesen, dass das Paket storage-server nachzuinstallieren sei unter der 11.4, das schlägt aber mit folgender Meldung fehl:

root@seu-nappit-a:~# pkg install storage-server
Creating Plan (Running solver): -
pkg install: No matching version of storage-server can be installed:
  Reject:  pkg://solaris/storage-server@0.1-0.133
  Reason:  No version matching 'require' dependency storage/storage-server@0.1-0.133 can be installed
    ----------------------------------------
    Reject:  pkg://solaris/storage/storage-server@0.1-0.151.0.1
    Reason:  This version is excluded by installed incorporation consolidation/osnet/osnet-incorporation@11.4-11.4.0.0.0.12.2
    Reject:  pkg://solaris/storage/storage-server@0.1-0.173.0.0.0.1.0
    Reason:  No version matching 'require' dependency group/feature/storage-server@0.5.11-0.173.0.0.0.0.0 can be installed
      ----------------------------------------
      Reject:  pkg://solaris/group/feature/storage-server@0.5.11-0.175.0.0.0.2.1
                 to
               pkg://solaris/group/feature/storage-server@0.5.11-0.175.3.0.0.30.0
      Reason:  This version is excluded by installed incorporation consolidation/osnet/osnet-incorporation@11.4-11.4.0.0.0.12.2
      ----------------------------------------
    ----------------------------------------

 

[morumbinas]

Bis zum Beweis des Gegenteils ist das korrekt was der Hersteller für seinen SSD Controller als Default vorgibt. Der hätte vermutlich 4k oder mehr gewählt wenn das für den verwendeten SSD Controller schneller gewesen wäre. Niemand wird seine SSD künstlich bremsen wollen.

- - - Updated - - -



Keep (Anzahl) und hold (Tage) sind zwei mögliche Werte um festzulegen wie lange oder wieviel Snaps man je Job behalten möchte. Normalerweise setzt man nur einen der beiden Werte als Limit. Setzt man beide so ergibt das eine "UND" Verknüpfung. Man muss das dann so lesen: Lösche die ältesten Snaps wenn die Mindestanzahl überschritten ist und UND diese älter sind als das Mindestalter.

Will man also nur die Anzahl limitieren, gibt man bei hold nichts ein. Man hat dann im Kurzzeitbereich viel mehr Snaps z.B. viertelstündlich in der letzte Stunde als im Langzeitbereich wo es dann für die letzten zwei Jahre nur einen Snap pro Monat gibt.

Hey danke fuer die Erklaerung! Ich habe es glaub ich verstanden. Kannst du vielleicht kurz den kontrollierten Screenshot checken, ob das jetzt richtig eingestellt. Bzgl. every und 0 bei Minuten, Stunden, Tage und Woche bin ich mir auch noch nicht ganz sicher.

Muss ich jetzt z.B. wenn ich stuendlich einen Snapshot erstellen will, bei Minuten 0 eintragen?

Danke gea!

SCREENSHOT:

 

[gea]

Würde AVAIL + ALLOC nicht sinniger sein oder einmal wieder FRES subtrahieren von AVAIL+USED ?

nein, eine Reservierung auf Poolebene ändert weder avail noch used für dieses Dateisystem.
Für den Pool selber ist verfügbar=belegt+frei (egal ob man die Pool-Reservierung auf 0 oder 100% setzen würde)

- - - Updated - - -

Wir haben im Haus so zwischen 4-7 macos Endgeräte, von denen ich regelmässig bootfähige Backups mache. Mittels CCC oder SuperDuper. Bisher auf USB Festplatten.

Gebraucht habe ich solch eine bootfähige USB-Festplatte in den letzten 10 Jahren so drei Mal. Dafür lohnt es sich nicht, die ganzen Platten rumliegen zu haben.

Ergo: Ich möchte die Backups zukünftig auf mein NAS (napp-it-all-in-one) schieben. Und nur im Bedarfsfall mal von so einem Image eine USB-Festplatte betanken.

Machte es für so ein Szenario Sinn, meine napp-it Instanz sowie die Endgeräte (mittels EINES, mobilen Thunderbolt -> 10G Adapters) auf 10G hochzurüsten? Oder gleicht die Performance, aufgrund der hohen Anzahl kleiner Dateien, in diesem Fall eher der einer 1G Netzwerkleitung?

PS: Ich stünde zur Konsolidierung meines USB-Platten-Parks aus Performancegründen (?) ohnehin ggf. vor der Anschaffung neuer USB Platten. Ich kann das Geld aber auch in eine erste 10G Infrastruktur stecken, wenn es performancemäßig Sinn macht. Das tut sich geldmäßig nicht sooo viel.

Merci

Man kann für Backup + Restore auch CloneZilla nehmen. Das bootet von einem USB Stick und kann ein Image der Bootplatte auf NFS/SMB sichern oder wiederherstellen. Booten von einer externen Platte und Sichern/ Wiederherstellen mit CCC wäre eine weitere Option.

- - - Updated - - -

Muss ich jetzt z.B. wenn ich stuendlich einen Snapshot erstellen will, bei Minuten 0 eintragen?

Danke gea!

SCREENSHOT:
Anhang anzeigen 428303

Ja, dann wird für jede Stunde bei Minute=0 ein Snap gemacht.

 

[you]

Man kann für Backup + Restore auch CloneZilla nehmen. Das bootet von einem USB Stick und kann ein Image der Bootplatte auf NFS/SMB sichern oder wiederherstellen. Booten von einer externen Platte und Sichern/ Wiederherstellen mit CCC wäre eine weitere Option.

Danke gea. Du hattest mir etwas Ähnliches weiter oben im Thread schon mal gesagt. Es hat nur nicht gleich Klick gemacht. Deswegen formulierte und fragte ich noch mal anders

Meine Interpretation nun:

Wenn ich - statt die genannten mac-Tools von der laufenden Systemplatte zu nutzen - mit CloneZilla/CCC von USB booten und backuppen würde, dann wäre auch die 10G Aufrüstung eine Überlegung wert. Da dann nicht mehr die einzelnen Dateien, sondern unabhängig vom Dateisystem, "Festplattenblöcke" kopiert werden. Was per se deutlich schneller ist?

 

[CommanderBond]

nein, eine Reservierung auf Poolebene ändert weder avail noch used für dieses Dateisystem.
Für den Pool selber ist verfügbar=belegt+frei (egal ob man die Pool-Reservierung auf 0 oder 100% setzen würde)

Moment aber Verfügbar/AVAIL ist doch nicht belegt+frei. Denn bei mir "fehlen" unter dem Eintrag eben genau die 2GB, die an Daten auf diesem Pool, genauer genommen in einem Dateisystem auf diesem Pool belegt sind.

Nutzbar/Usable können aber letztendlich doch nicht mehr GB sein als physikalisch überhaupt vorhanden sind im Pool. Wie soll ich denn 254GB benutzen können

Dass AVAIL nicht die Reservierung berücksichtig ist ja soweit auch klar, das passt ja auch alles.

Used ändert sich mit der Reservierung aber sehr wohl

NAME USED AVAIL REFER MOUNTPOINT
ssdpool 25.1G 229G 26K /ssdpool

23,1G kommen von der Reservierung, die 2G etwa an Daten im Dataset.

Wenn ich die Reservierung hoch setze dann erhöht sich auch der Usable Wert. Setze ich 100GB mehr an, wird auch Usable 100GB größer.
Beispielsweise 500GB bei nem Mirror Pool aus 4TB Platten ergibt 3.63T/ 4.0TB. Mach ich 600GB bin ich bei Usable 4,1TB. 800GB und ich hab schon 4,3TB. Sehe hier kein Bezug zur Realität, was sagt mir als Admin diese Zahl denn dann letztendlich?
Aber ist nichts Wildes, finde es nur verwirrend so wie es ist weil ich nicht mehr benutzen kann als da ist

 

[gea]

Danke gea. Du hattest mir etwas Ähnliches weiter oben im Thread schon mal gesagt. Es hat nur nicht gleich Klick gemacht. Deswegen formulierte und fragte ich noch mal anders

Meine Interpretation nun:

Wenn ich - statt die genannten mac-Tools von der laufenden Systemplatte zu nutzen - mit CloneZilla/CCC von USB booten und backuppen würde, dann wäre auch die 10G Aufrüstung eine Überlegung wert. Da dann nicht mehr die einzelnen Dateien, sondern unabhängig vom Dateisystem, "Festplattenblöcke" kopiert werden. Was per se deutlich schneller ist?

Egal ob Blöcke oder Dateien
10G ist immer eine Überlegung wert.

- - - Updated - - -

Moment aber Verfügbar/AVAIL ist doch nicht belegt+frei. Denn bei mir "fehlen" unter dem Eintrag eben genau die 2GB, die an Daten auf diesem Pool, genauer genommen in einem Dateisystem auf diesem Pool belegt sind.

Nutzbar/Usable können aber letztendlich doch nicht mehr GB sein als physikalisch überhaupt vorhanden sind im Pool. Wie soll ich denn 254GB benutzen können

Dass AVAIL nicht die Reservierung berücksichtig ist ja soweit auch klar, das passt ja auch alles.

Used ändert sich mit der Reservierung aber sehr wohl

NAME USED AVAIL REFER MOUNTPOINT
ssdpool 25.1G 229G 26K /ssdpool

23,1G kommen von der Reservierung, die 2G etwa an Daten im Dataset.

Wenn ich die Reservierung hoch setze dann erhöht sich auch der Usable Wert. Setze ich 100GB mehr an, wird auch Usable 100GB größer.
Beispielsweise 500GB bei nem Mirror Pool aus 4TB Platten ergibt 3.63T/ 4.0TB. Mach ich 600GB bin ich bei Usable 4,1TB. 800GB und ich hab schon 4,3TB. Sehe hier kein Bezug zur Realität, was sagt mir als Admin diese Zahl denn dann letztendlich?
Aber ist nichts Wildes, finde es nur verwirrend so wie es ist weil ich nicht mehr benutzen kann als da ist

Jetzt bin ich doch selber am Überlegen ob die Res in die Belegung eingeht.
Muss das morgen mal prüfen.

Update
ich muss mich korrigieren. zfs list zeigt unter used nicht den belegten Platz sondern "allocated" an. Für den zur verfügung stehenden Platz muss man daher in der Tat die Reservierung wieder abziehen.

 

[you]

Egal ob Blöcke oder Dateien
10G ist immer eine Überlegung wert.

Hehe ... Das sehe ich im Prinzip auch so.

ABER: Wenn ich bspw. mit SuperDuper meinen laufenden Macbook sichere, dann krebst die Verbindung ganz lange bei wenigen kb bzw. MB pro Sekunde rum. Erst wenn grössere Dateien gesichert werden, geht die Geschwindigkeit hoch. Von daher war die Annahme, das extern gebootet das Ganze per se schneller funktioniert.

Ich werde das einfach mal mit der 1G Leitung testen und hier berichten.

 

[gea]

Externes Booten wird nicht das entscheidende sein.

Beim Lesen oder Schreiben kleiner Dateien brechen Platten massiv ein. ZFS nutzt daher mehrere GB rambasierten Schreibcache um das Schreiben kleiner Dateien zu vermeiden. Da die meisten Kopieroptionen dateibasiert arbeiten, macht es einen großen Unterschied wellche Dateigrößen gerade kopiert werden.

Im Gegensatz dazu sind Programme, die eine Platte per dd einfach dumm clonen (wie Clonezilla bei nicht unterstützten Dateisystemen) schneller, müssen dafür aber die ganze Platte (mit Komprimierung) übertragen. Bei einer relative leeren Platte ist das langsamer, bei einer relativ vollen schneller.

 

[you]

Danke gea. Dann ist der Bottleneck, wie vermutet, eher das Quell-Betriebssystem und die zu lesende Verzeichnisstruktur, und nicht das NAS.

Ich teste das einfach mal wie folgt für einen meiner Rechner (727GB von 960GB SSD belegt):

1) SuperDuper aus dem laufenden Betrieb auf Samba-Share
2) SuperDuper aus dem laufenden Betrieb auf USB-3-SSD
2) CloneZilla als externer Boot auf Samba-Share

Mal sehen, was am Ende die performanteste Variante ist ... to be continued.

 

[martingo]

Kann ich die 30-Tage Testzeitraum von napp-it vorzeitig beenden? Mir geht es darum, dass ich mich nicht an Funktionen gewöhne/darauf verlasse, die nach Ablauf dann wegfallen würden.


Und: hat schon jemand vmware-tools i.V. Solaris 11.4beta mit ESXi 6.5u1 zum Laufen bekommen?
Zunächst mal schlägt /usr/bin/vmware-config-tools.pl fehl mit folgender Meldung:

Package "SUNWuiu8" not found. This package must be installed in order for
configuration to continue.

Execution aborted.

Wenn ich mir die Details dieses Pakets mittel "pkg info -r SUNWuiu8" ansehe, stelle ich fest, dass es durch zwei andere Pakete umbenannt wurde. Wenn ich diesen Paketen nachgehe, lande ich schlussendlich bei drei benötigten Paketen, die alle drei bereits installiert waren:

consolidation/l10n/l10n-incorporation
system/library/iconv/iconv-core
system/library/iconv

Den Check auf SUNWuiu8 nehme ich in den Zeilen 13095-13099 raus, die Konfiguration läuft dann durch. Allerdings kann der System Daemon nicht gestartet werden:

svcprop: Pattern 'application/x11/x11-server' doesn't match any entities
No supported X install found.

Starting VMware Tools services in the virtual machine:
Switching to guest configuration:                                      done
Guest memory manager:                                                  done
Guest operating system daemon:                                        failed
Unable to start services for VMware Tools

Execution aborted.

Während des Versuchs kommt in der Haupt Konsole hundertfach:
vmtoolssd[193]: isalist: no found [No such file or directory]
Hat jemand einen Tip, wie ich die vmware-tools auf 11.4 zum Laufen bekomme? In 11.3 gibt es das Paket SUNWuiu8 noch.

Edit: Testweise habe ich mal einen Symlink von /usr/bin/isainfo (liefert bei mir amd64 i386) auf isalist gelegt. Die VMWare Tools starten damit, z.B. vmxnet3 geht damit ebenfalls, aber die VM lässt sich nicht mehr sauber runter fahren, sondern klatscht jedes Mal in eine Kernel Panic.
Ich denke, es ist besser, erstmal auf 11.3 zu setzen.

Edit 2: Das Problem mit fehlendem Paket SUNWuiu8 besteht wohl schon seit Solaris 11.x und auch noch in der aktuellsten Version 10.2.0 der vmware-tools, ich habe diesbezügliche "Auskommentiertips" schon in Beiträgen von 2010 im Internet gefunden. Neu ist mit 11.4 nur, dass isalist nun fehlt. Allerdings habe ich mir die Wrapperskripte hierfür angesehen und mein Symlink Workaround sollte prinzipiell passen (isainfo liefert "amd64 i386". isalist auf Solaris 11.3 liefert "amd64 pentium_pro+mmx pentium_pro pentium+mmx pentium i486 i386 i86". Nachdem der Guest 64bit ist, sollte das fehlende i86 nicht stören. Evtl. wäre ein Fake "isalist", welches "amd64 i86" liefert, noch besser. Ursache für die Kernelpanic finde ich hier jedoch nicht.

 

[CommanderBond]

Egal ob Blöcke oder Dateien
10G ist immer eine Überlegung wert.

- - - Updated - - -



Jetzt bin ich doch selber am Überlegen ob die Res in die Belegung eingeht.
Muss das morgen mal prüfen.

Update
ich muss mich korrigieren. zfs list zeigt unter used nicht den belegten Platz sondern "allocated" an. Für den zur verfügung stehenden Platz muss man daher in der Tat die Reservierung wieder abziehen.

Du meinst damit used=allocated+reservierter Platz? Weil allocated ist doch nur der Platz der tatsächlich mit echten Daten schon belegt ist, oder?

 

[gea]

Egal wie man es nennt.
Die "used" Ausgabe von zfs list zeigt den tatsächlich durch Daten belegten Platz + Reservierungen (was irreführend ist da eine Reservierung den Platz für das Dateisystem selber nicht verändert sondern nur für andere Dateisysteme entsprechend verringert)

 

[martingo]

Kann man dem Solaris SMB/CIFS Server irgendwie beibiegen, dass er die Liste der Shares nicht-authentifizierten Clients verweigert?
Seit Windows 10 Update 1709 (Enterprise Version only) kann nicht auf Server zugegriffen werden, die diese Liste unauthentifiziert rausgeben. Meist lässt sich nicht einmal ein Share als Netzlaufwerk verbinden, solange ich die entsprechende Einstellung mittels Gruppenrichtlinie nicht überschreibe. Das Problem habe ich sowohl mit Solaris 11.3 als auch 11.4. Nicht existent war das Problem dagegen mit napp-it to-go unter OmniOS.

Dass der anonyme Zugriff auf den Server möglich ist, sieht man auch in der Kommandozeile:

root@seu-nappit-a:~# smbadm show-shares -A localhost
c$                  Default Share
IPC$                Remote IPC
ServerFolders
3 shares (total=3, read=3)

Ich meine damit nicht den Gastzugriff auf einen Share, der ist deaktiviert. Und wenn ich die entsprechende Gruppenrichtline aktiviere, dann kann ich mich auf den Server connecten, sehe ich den Share "ServerFolders". Wenn ich darauf zugreifen will, werde ich dann nach Zugangsdaten gefragt.
Link zum Microsoft Artikel:
https://support.microsoft.com/de-ch/help/4046019/guest-access-smb2-disabled-by-default-in-windows-10-server-2016

Wünschenswert wäre einfach, dass ich beim Browsen (\\192.168.10.10) auf einen Server nach den entsprechenden Daten gefragt werde.

 

[gea]

@martingo

Den Evalkey kann man in Extensions > Register > Edit löschen.

Zu den Tools würde ich mal im Solaris beta Forum fragen
Space: Solaris Beta |Oracle Community

 

[martingo]

Danke Dir, werde ich gleich mal testen.
Nachdem sich unsere Posts zeitlich überschnitten haben: Kannst Du zu meiner letzten Frage bzgl. Solaris CIFS Server auch etwas sagen?

Edit: Ich glaube ich habe es gefunden. restrict_anonymous=true unter Services >> SMB >> properties
Zumindest in der Kommandozeile werden die Shares jetzt nicht mehr mit -A Schalter gelistet. Muss jetzt nur mal noch unter Windows versuchen, dass er sich neu verbindet.

Edit 2: Hmm, nein. Habe versucht, über einen Namen zuzugreifen und er bringt die Fehlermeldung ohne mich nach einem Benutzer zu fragen: "Sie können nicht auf diesen freigegebenen Ordner zugreifen, weil der Zugriff nicht authentifizierter Gäste durch die Sicherheitsrichtlinien Ihrer Organisation blockiert werden. Diese Richtlinien helfen, Ihren PC vor unsicheren oder bösartigen Geräte im Netzwerk zu schützen."
Wenn ich dann die entsprechende Richtlinie aktiviere, komme ich auf wieder den Server ohne nach einem Passwort gefragt zu werden. Dafür ist dann die Shareliste leer. So ein Mist.

 

[CommanderBond]

Egal wie man es nennt.
Die "used" Ausgabe von zfs list zeigt den tatsächlich durch Daten belegten Platz + Reservierungen (was irreführend ist da eine Reservierung den Platz für das Dateisystem selber nicht verändert sondern nur für andere Dateisysteme entsprechend verringert)

Ich find das logisch weil dadurch dass der Platz reserviert ist ist er ja auch "used". Der Platz kann ja durch andere Dateisysteme nicht mehr benutzt werden. Für das andere gibt es doch "allocated" wenn man sich nur für die tatsächlichen/physikalisch belegten Blöcke/Platz interesiert.

 

[martingo]

Ich habe das Problem jetzt mal genauer getestet und vermute folgenden Zusammenhang:
Der CIFS Server scheint so zu laufen, wie ein Samba mit folgender Einstellung:
map to guest = bad user

Wenn es meinen Windows User (martin) auf dem System gibt und ich auf den Server zugreifen will (\\server), dann sagt er falsches Passwort und fragt mich nach meinen Zugangsdaten.
Wenn es den Windows User nicht gibt, dann kommt o.g. Fehlermeldung. Die o.g. Samba Einstellung würde genau das bewirken. Wenn Passwort falsch -> Reject. Wenn User nicht existent -> User wird auf guest gemappt. guest darf zwar auf keinen Share zugrifen, aber die Share Liste einsehen.
Bei einem Samba Server wäre die korrekte Einstellung in meinem Sinne:
map to guest = never

Die Frage ist: Kann ich das irgendwie am Solaris CIFS einstellen?

Viele Grüße
Martin

 

[besterino]

Google sagt: https://docs.oracle.com/cd/E53394_01/html/E54797/mapusergroupidentities.html

Und „man idmap“

Damit würde ich mal starten. Und dann würde ich dein konkretes Problem googeln und da irgendwo „Solaris 11.3“ inklusive Anführungszeichen reinpappen...

Auch noch interessant: hast du ein AD? Ich arbeite nämlich auch nur mit „Workgroups“, Solaris SMB/CIFS Shares (gemischt Public / „no guest“ Zugang) und lokalen Win-/Solaris-Accounts und mir sind deine Probleme völlig fremd...

 

[gea]

Id-mapping dient dazu einen AD Benutzer/Gruppe auf einen Unix Benutzer/ Gruppe zu mappen. Ohne AD macht Usermapping keinen Sinn denn man meldet sich ja mit einem Unix Account an und einen Unix Benutzer auf einen anderen Unix Benutzer zu mappen macht ja wenig Sinn.

Prinzipiell abeitet der Kernel/ ZFS basierte SMB Server so
- SMB Passworte sind anders aufgebaut als Unixpassworte. Nachdem SMB eingerichtet ist erzeugt ein passwd user beide Passwortvarianten

- Ein SMB Share ist eine strikte Eigenschaft eines ZFS Dateisystems. Dinge wie Sharename, Guest oder ABE sind damit ZFS Eigenschaften genau wie aclmode und aclinherit

- Permissions basieren auf Windows-SID und sind inkl Vererbung ähnlich zu ntfs. In einer Domäne werden Domänen SID als erweiterte Dateiattribute gespeichert. Ein Pool-Import auf einem anderen AD Server behält damit die Zugriffsrechte. Neben den Datei/ Ordnerrechten kann man Share Rechte setzen.

Neben den ZFS Eigenschaften und den Datei/Share-Rechten gibt es Eigenschaften des SMB Servers (Dienste > SMB > Properties) um den Service zu konfigurieren. Eine Konfigurationsdatei wie bei SAMBA gibt es nicht.

In einer Domäne oder wenn es auf Windows den gleichen Benutzer/PW gibt ermöglicht den Zugriff (guest=off) ohne Eingabe des Passworts ansonst muss man sich anmelden.

Shares mit Gastzugriff benötigen nie eine Anmeldung.

 

[martingo]

@besterino: dass damit das Usermapping zwischen AD und Unix Usern gemacht wird, hat gea ja ausführlich beschrieben. Ich verwende in der Testsituation ein nackt aufgesetztes napp-it mit einem Share und einem Testuser. Keine AD Anbindung o.ä.
Diese neue Grundeinstellung von Windows betrifft ausschließlich die Enterprise (evtl. Education) Version ab Update 1709. Die Pro- und Home Version sind (noch) nicht betroffen.

@gea: vielen Dank für die ausführliche Antwort. Die ersten Absätze sind in groben Zügen klar soweit. Interessant wird es bei den Eigenschaften des SMB Servers. Auch wenn der nicht mittels Konfigurationsdatei konfiguriert wird, stellt sich mir die Frage, ob es einen ähnlichen Parameter wie bei Samba gibt (map to guest). In der vordefinierten Property Liste in napp-it habe ich nichts gefunden, was darauf schließen lässt.
Wie Du schon schreibst, muss man ja differenzieren, ob auf den SMB Server zugegriffen wird (\\SERVER), oder auf einen Share (\\SERVER\SHARE). Im ersten Fall würde man die Liste der sichtbaren Shares angezeigt bekommen. Die Hook-Properties map= und unmap= werden nur beim Zugriff auf den Share ausgeführt, sonst hätte ich mir darüber etwas gebastelt (bereits getestet).

Lassen wir mal den Gastzugriff auf einen Share außen vor, das ist beim (einzigen) Share auch deaktiviert. Problematisch scheint, dass man die Liste der Shares ohne Authentifizierung bekommt. Und zwar nur dann, wenn der Windows-Username nicht zufällig auf dem System vorhanden ist (den Windows User versucht ja jedes Windows als erstes für den Zugriff). Wenn es den User zufällig gibt und das Passwort nicht übereinstimmt, gibt es korrekterweise die Möglichkeit, korrekte Zugangsdaten einzugeben.
Die BadUser Konfiguration von Samba erklärt genau dieses Verhalten. Bei Never würde die Passwortmaske immer kommen. Bei BadUser fällt er automatisch auf anonymen Zugriff zurück, wenn es den User nicht gibt.
Die Frage ist nun, ob man dieses Verhalten auch am SMB Server irgendwie umstellen kann.

Edit: versuche grad selbst, mich schlauer zu machen und lese z.b. hier die SMB Parameter: https://docs.oracle.com/cd/E86824_01/html/E54775/smb-4.html
restrict_anonymous wäre eigentlich schon das richtige, denke ich. Es verhindert den anonymen Zugriff auf IPC$ und damit das Auslesen der Shareliste. Was dennoch anders ist, als z.b. bei Windows Servern: Der Windows Client fragt dann nicht nach den Zugangsdaten, sondern zeigt einfach eine leere Liste.

 

[gea]

Der Solaris SMB Server braucht kein map to guest. Wenn guestok nicht beim Sharen aktiviert wird gibt es keinen Gastzugriff sondern nur nach Anmeldung.

Frage
Sind unterhalb des Dateisystems das per SMB freigegeben ist weitere ZFS Dateisysteme und diese deshalb sichtbar?

 

[martingo]

Lies mal mein Edit oben drüber. Scheinbar hängt es mit der automatischen IPC$ Freigabe zusammen.

Sonst: nein, nur der Standard Share über das ZFS Volume.
Würde mich aber mal interessieren, wie das geht, wenn der Rest läuft.

 

[martingo]

Nachdem ich das Gefühl habe, dass ich mein Problem nicht wirklich verständlich rüber bringe und Bilder bekanntlich mehr als tausend Worte sagen, hier nochmal einige Screenshots zu dem Thema.
Zwei Server,
einmal Solaris 11.3 mit napp-it: 192.168.10.10 (alles Standard, ein Share mit guestok=off)
einmal Windows Server 2016 Essentials: 192.168.10.11
Der Windows Client wird mit einem Testuser "Test" betrieben, welcher auf beiden Servern nicht als Benutzer angelegt ist. Die automatische Anmeldung mit den Windows Anmeldedaten schlägt also in beiden Fällen fehl.
Die Gruppenrichtline "Unsichere Gastanmeldung aktivieren" im Status "Nicht konfiguriert" oder "Deaktiviert" unterbindet den MSRPC auf den Share IPC$, auch als Null-Session bekannt. Wenn ich die Gruppenrichtlinie auf "Aktiviert" stelle, ist das Verhalten wie vor dem Falls Update 1709. Dieses Verhalten ist nur bei Windows 10 Enterprise und Education Standard. Evtl. kann man es bei Pro/Home einstellen, indem man manuell auf "Deaktiviert" stellt. Bin mir nicht sicher, ob es die Richtlinie unter Pro/Home gibt.

1. Versuch, auf den Server zu kommen und die Shares einzusehen: der Aufruf schlägt fehl, es wird nicht nach Benutzerdaten gefragt.


2. Gruppenrichtlinie aktiviert, Zugriff auf den Server um die Shares zu sehen: funktioniert ohne jegliche Zugangsdaten


3. Aus der Shareliste wird der Zugriff auf den Share ServerFolders versucht: es wird nun erst nach Zugangsdaten gefragt


4. Es wird versucht (bei deaktivierter GPO), einen Share direkt zu öffnen: nicht einmal so kann der Share verbunden werden, es kommt keine Abfrage der Zugangsdaten, sondern sofort die GPO Fehlermeldung


5. Im Vergleich hierzu (bei deaktivierter GPO) der Versuch, die Shareliste auf einem WSE2016 einzusehen: hier haben wir nun das erwünschte Verhalten. Es wird nach den Zugangsdaten gefragt um überhaupt mal die Shareliste zu sehen.


Edit: restrict_anonymous=true ändert bei mir auch nach Reboot nichts erkennbares.
Mit Standard-GPO gleiche Fehlermeldung in allen Fällen.
Wenn die die GPO aktiviere, dann bekomme ich ohne Anmeldung wieder die Share-Liste. (Meine Aussage von weiter vorne war falsch, die leere Share-Liste hatte einen anderen Grund.)
Bei anderen Systemen (Windows, SAMBA) sollte ein Wert von 2 für das erwünschte Verhalten sorgen.

Edit2: Lege ich nun den Benutzer "Test" auf napp-it an (gleicher Name wie Windows-Account, anderes Passwort) und connecte auf den Server, so wird nach dem Passwort gefragt:

Wenn das Passwort auf den gleichen Wert gesetzt wird, connectet er sich ohne Passwortabfrage und ich kann die Shares einsehen.
Daher ja auch meine Assoziation zur Samba Einstellung "map to guest = Bad User". Wenn es den User gibt, den Windows automatisch beim ersten Anmeldeversuch sendet, dann wird dieser verwendet und ggf. nach dem Passwort gefragt. Problematisch ist, wenn es den User nicht gibt. Denn dann wird automatisch auf einen anonymen User zurückgeschaltet, der auf dem Solaris SMB Server ohne jegliche Berechtigung die Share Liste einsehen darf.

Es gäbe serverseitig also zwei Möglichkeiten, das Problem zu verhindern:
1. Das zurückschalten auf anonymen User falls der User nicht exisitert, wird deaktiviert (Bei SAMBA wäre es "map to guest = Never")
2. Der Anonyme Zugriff auf die Shareliste (IPC$) wird verhindert (Bei SAMBA wäre es "restrict anonymous = 2")
Leider finde ich für beides keine Möglichkeit im Solaris SMB Server. Aber ich kann doch nicht der einzige mit solch einem Problem sein?!?

Viele Grüße
Martin

 

[gea]

Mir ist in der Richtung tatsächlich noch nichts aufgefallen. Liegt aber sicher auch daran das ich in der AD Domäne einfach lediglich erwarte dass ein Share aufgeht.

Das Problem ist also nicht der Zugriff auf Daten sondern dass unter bestimmten Umständen auch ohne Zugriffsrechte angezeigt wird, welche Shares vorhanden sind. Direkt habe ich jetzt auch keine Lösung zumal ich produktiv nur OmniOS einsetze. Dessen SMB Server verhält sich leicht anders als der von Solaris 11.3 und der 11.4er wird nochmal etwas anders sein.

Was man noch probieren könnte ist beim Sharen ABE zu aktivieren oder bei den Share ACL jeder zu entfernen und nur eine SMB Gruppe erlauben in der alle User drin sind. Ansonst die Erkenntnis dass der Kernel-SMB Server viele Vorteile gegen SAMBA hat aber nicht ganz dessen Fülle an Einstelloptionen.

 

[layerbreak]

Diese neue Grundeinstellung von Windows betrifft ausschließlich die Enterprise (evtl. Education) Version ab Update 1709. Die Pro- und Home Version sind (noch) nicht betroffen.

@martingo wie kommst du darauf, dass eventl. später die Pro- und Home Versionen von Windows10 auch davon betroffen sein werden? Hast du da mal bitte eine Quelle, damit man nachlesen kann, was da auf uns zukommt - in einer der nächsten Win-Updates.

 

[martingo]

Darf ich Deinen ersten Satz so interpretieren, dass Du in einer Domäne arbeitest? Mein Testserver ist kein Mitglied einer Domäne und vermutlich werde ich mir das auch produktiv sparen, weil der DC wenn dann virtualisiert über den Storage Server hochgefahren würde. Also erst StorageServer Start und DC anschließend. Denke, das wird mir zu unzuverlässig.
Was meinst Du mit "erwarte, dass ein Share aufgeht"? Ich erwarte das auch Wenn er nicht automatisch aufgeht, dann würde ich halt hoffen, dass er zumindest nach Passwort fragen.

Ja, das Problem ist, dass immer (nicht nur unter bestimmten Umständen) eingesehen werden kann, welche Shares vorhanden sind. Und nicht nur das, es gibt dazu einige Angriffe (daher ja auch dsa Bestreben Microsofts das zukünftig zu unterbinden): null session attack - Google-Suche
Ja, OmniOS verhält sich anders. Beim ersten Versuch mit Deiner napp-it to-go VM konnte ich problemlos auf den Share zugreifen, ich bin eben dabei, die VM nochmal zu erstellen und mir das Verhalten dort genauer anzusehen.
Der SMB-Server von Solaris 11.4 mag Unterschiede zum 11.3er haben, aber dieses konkrete Fehlverhalten hatte er leider ebenfalls. Werde ich mir dennoch nochmal ansehen und die smb Manpage wälzen, vielleicht gibt es dort neue Parameter.

Deine beiden letzten Vorschläge kann ich nochmal testen, mache mir aber kaum Hoffnung. Denn dieses Verhalten (Fehlermeldung bei Zugriff auf \\SERVER) gibt es auch, wenn noch kein Share aktiv ist.

Schade Schade Schade.

Mir bleiben also folgende Möglichkeiten (vorausgesetzt, dass ich auch unter 11.4 keinen Weg finde, das Verhalten abzustellen):
1. GPOs auf allen Rechnern
2. Benutzernamen auf dem SMB Server gleich den Benutzernamen aller Clients
3. Nutzung von OmniOS mit dem großen Nachteil, dass es die erhoffte ZFS Encryption mit zfs-v5000 noch nicht gibt.
weitere Ideen?

Grundsätzlich könnte ich ja wahrscheinlich mit Alternative 2 leben und Alternative 1 als Fallback. Aber bißchen Schade ist es schon, wenn ich von Windows Server Freigaben auf ein neues System umsteige und schon die ersten Hürden ohne Aussicht auf Besserung vor mir habe

Vielen Dank für Deine Bemühungen
Martin

- - - Updated - - -

@martingo wie kommst du darauf, dass eventl. später die Pro- und Home Versionen von Windows10 auch davon betroffen sein werden? Hast du da mal bitte eine Quelle, damit man nachlesen kann, was da auf uns zukommt - in einer der nächsten Win-Updates.

Nein, ich habe keine Quelle dafür, das ist nur eine Vermutung meinerseits. Ich denke, dass es irgendwann kommen wird und das aber noch einige Zeit (möglicherweise Jahre) dauern wird, bis es soweit ist.
Grund zur Annahme gab mir ein Artikel der Microsoft Doku, in dem Microsoft (sinngemäß nach meiner Erinnerung) schreibt, dass diese Null Sessions sicherheitstechnisch problematisch sind und man selbst das Problem schon lange im Griff hat (mindestens seit Server 2012, ich denke es war sogar von Server 2008 die Rede) und dass nur irgendwelche Fremd-NAS Systeme diese Sicherheitslücken noch aufweisen.
Auf den ersten Versuch habe ich den Artikel nicht wieder gefunden, aber ich werde nochmal intensiver suchen.

Edit: Ich bin mir nicht sicher, ob es wirklich dieser Artikel war, weil sich das Wort "NAS" bei mir festgebrannt hatte, in diesem Artikel aber nicht vorkommt. Sinngemäß ist es jedoch ähnlich.

Auschnitt aus: https://support.microsoft.com/de-ch/help/4046019/guest-access-smb2-disabled-by-default-in-windows-10-server-2016
Nachdem in diesem Artikel jedoch explizit auf SMB v2 eingegangen wird, Solaris 11.4 jedoch SMB v3 kann, muss ich mir das auf 11.4 nochmal ansehen.

In Windows Technical Previews wurde dieses Verhalten schon 2015 eingeführt: About the error: “The account is not authorized to login from this stationâ€� when you access NAS devices from Windows 10 Technical Preview (build 9926)

 

[martingo]

Die to-go VM "SunOS napp-it-san024-1801 5.11 OmniOS v11 r151024j" verhält sich in der Tat wie gewünscht.

Scheinbar wurde dieses Verhalten mit dem Feature Request 1122 eingeführt:
https://lists.omniti.com/pipermail/omnios-discuss/2016-April/006733.html
Feature #1122: smbsrv should use SPNEGO (inbound authentication) - illumos gate - illumos.org
In OmniOS ist es im Rahmen von SPNEGO seit Release r1501016: https://omnios.omniti.com/wiki.php/ReleaseNotes/r151018

Das Problem existiert leider auch mit Solaris 11.4 noch. Obwohl SMB3 verwendet wird, kann IPC$ anonym geöffnet werden, der User Test existiert auf dem Solaris System nicht:


Edit: Ich bin mit meinem Latein am Ende.
Die scheinbar nur in Solaris 11.4 vorhandene Eigenschaft share_abe scheint grundsätzlich zwar zu funktionieren, aber erst einen Schritt zu spät. Wenn ich share_abe=none setze kommt erstmal der gleiche Fehler. Wenn ich anschließend noch die GPO aktiviere, kann ich dennoch mit dem Test User die Share Liste einsehen, habe aber keinen gültigen Share und bekomme folgende Fehlermeldung:


Der Wert restrict_anonymous hat für mich keinerlei sichtbare Auswirkung, es ändert sich nichts, egal ob true oder false. Bei Microsoft sieht der RestrictAnonymous Wert so aus, 1 müsste eigentlich schon ausreichen: RestrictAnonymous Wobei dieser Wert auf meinem WSE2016 auf 0 steht, lediglich RestrictAnonymousSam steht auf 1.

server_minprotocol=3 hilft ebenfalls nicht. Dachte ich mir aber schon, nachdem die PowerShell ja eine SMB 3.0 Verbindung anzeigt.

 

[martingo]

Juhhuuuuuuuuuuu, ich habe die Lösung. Ich glaube es nicht.

Nachdem man zu Solaris "restrict_anonymous" schon kaum etwas bei Google findet, habe ich kurz vorm Aufgeben noch nach "restrict_anonymous=true" gesucht. Außer diesem Thread EIN Treffer in dem es eigentlich um AD-Anbindung unter opensolaris geht. Trotzdem mal überflogen und beim Teil zu "restrict anonymous access" steht logischerweise, dass man den Wert auf true setzen soll UND einen account guest anlegen sowie mit Passwort versehen.
Eher aus Verzweiflung als aus Zuversicht mal probiert. Und es klappt....
Hatte es unter Solaris 11.4 getestet, also gleich in die 11.3 gebootet und dort schrittweise nochmal probiert.
sharectl set -p restrict_anonymous=true smb # -> funktioniert nicht
useradd guest # -> funktioniert nicht
passwd guest # -> funktioniert
CIFS AD and UNC

Interessanterweise habe ich jetzt den User guest gelöscht, restrict_anonymous=false gesetzt, neu gestartet, Windows Account neu eingeloggt und es funktioniert trotzdem noch
Ich bekomme beim Zugriff auf den Server direkt die Eingabeaufforderung für meine Zugangsdaten.

Egal, ich freue mich und hinterfrage das System nicht weiter
guest User hätte ich vermutlich sowieso irgendwann mal angelegt. Und vermutlich hätte das Problem auch niemand, der bereits ein guest User hat. Bin mir gar nicht sicher, inwiefern der Parameter restrict_anonymous überhaupt eine Rolle spielt. Ich werde es wohl nochmal testen, wenn ich 11.4 frisch aufsetze.

 

[martingo]

Ich habe Solaris 11.4 mit napp-it nochmal neu aufgesetzt und neue Erkenntnisse:
1. Es reicht, wenn man einen guest User anlegt und mit einem Passwort versieht. restrict_anonymous muss nicht gesetzt werden, tatsächliche Auswirkungen weiterhin unbekannt.
2. Scheinbar merkt sich Windows den internen Hostname o.ä. des Systems sobald einmal eine gültige Verbindung hergestellt wurde. Obwohl meine Neuinstallation eine andere IP hat und ich ausschließlich über die IP zugegriffen habe, war für die Verbindung des gestern genutzten Testrechners das Anlegen eines guest Users nicht erforderlich. Erst für die Nutzung eines weiteren Windows 10 Edu Rechners musste ich den guest User inkl. Passwort anlegen.

Es stellt sich die Frage, ob es gut wäre, den guest User standardmäßig mit napp-it anzulegen um zukünftige Verwirrung anderer zu vermeiden. Mit Shell auf /bin/false und ungültigem Passwort sollte das ja kein Problem sein.

Für die Kernelpanic i.V. mit den vmware-tools habe ich mal eine Frage im Solaris Forum eröffnet. Mal sehen, ob es Reaktionen gibt: Solaris 11.4b with vmware-tools -Oracle Community