BSI-TR-03116-4 Beispiel Konfiguration für Webserver (Apache2 + NGINX)

von

Für die Konfiguration von Webservern und Dienste hat das BSI eine entsprechende technische Richtline (BSI TR-03116-4 Kryptographische Vorgaben für Projekte der Bundesregierung Teil 4 Stand 2023) veröffentlicht, die im wesentlichen für einige Behörden Anwendung findet.

Diese regelt welche kryptografischen Verfahren wie z.B. TLS 1.2 / TLS 1.3 und die dazugehörigen Signatur und Ciphers für die Übertragung verwendet werden dürfen.
Wer jetzt denkt: Ich habe doch schon eine A+ Bewertung bei ssllabs.com sollte hier nochmal genauer hinsehen. Die BSI-TR-03116-4 ist leider deutlich strikter. Hier gibt es unter anderem noch die Vorgabe, dass alle Zertifikate (also die komplette Zertifikatskette) mit einem privaten Schlüssel mit mind. 3072bit generiert worden sein. Das ist mit manchen CA-Anbietern wie z.B. Letsencrypt aktuell nicht möglich, da die Root-Zertifikate teilweise noch mit 2048bit erstellt worden sind. Wenn ihr hier kostenfreie funktionierende Alternativen gefunden habt, lasst es mich wissen.

Über die Webseite tls-check.de von Achelos könnt ihr eure Konfiguration schnell und online prüfen. Für rein lokal gehostete Instanzen gibt es Projekte auf Github wie z.B. den tlsassistant.

Für die wesentlichen Webserver wie Apache2 und NGINX liefere ich euch hier jeweils eine Beispielkonfiguration die für TR-03116-4 konform ist. Wenn ihr z.B. noch Apache Tomcat haben solltet, lasst uns gerne austauschen.

Voraussetzungen

  • Ihr braucht eine aktuelle apache2 / nginx Version
    • Manche Features sind nur in neueren Versionen enthalten. Bei Nginx lohnt es sich z.B. von der Ubuntu Version auf die eigene ppa von Nginx zu wechseln.
  • Ihr braucht eine aktuelle openssl Version
    • Speziell die SSLOpenSSLConfCmd Befehle basieren auf der Openssl Version. Ihr braucht hier mind. openssl 1.1.1f oder openssl 3.x+
    • Lässt sich mit „openssl version“ prüfen.

Apache2

<VirtualHost *:80>
    ServerName example.com
    ServerAdmin admin@example.com

    # Redirect all HTTP traffic to HTTPS
    Redirect / https://example.com

    ErrorLog /var/www/html/example.com/logs/error.log
    CustomLog /var/www/html/example.com/logs/access.log combined
</VirtualHost>

# SSL Stapling
# Specify the OCSP cache response location and size
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

<VirtualHost *:443>
    ServerName example.com
    ServerAdmin admin@example.com
    DocumentRoot /var/www/html/example.com/web

    SSLEngine on

    SSLCertificateFile /etc/apache2/ssl/example_com_2025.cer
    SSLCertificateKeyFile /etc/apache2/ssl/example_com_2025.key

    # =========================================================================
    # TLS Protocols
    # Only allow TLS 1.2 and TLS 1.3 (disabling older protocols).
	# BSI-TR-03116-4 recommends using at least TLS 1.2 with secure cipher suites.																				 
    # =========================================================================
    SSLProtocol -all +TLSv1.2 +TLSv1.3

    # =========================================================================
    # Cipher Suites
    # Enforce server-preferred order and specify strong cipher suites.
    # Adjust as new ciphers are recommended or deprecated.
    # =========================================================================
    SSLHonorCipherOrder On

    # For TLS 1.3:
    SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

    # For TLS 1.2:
    SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:\
                   ECDHE-ECDSA-AES128-GCM-SHA256:\
                   ECDHE-RSA-AES256-GCM-SHA384:\
                   ECDHE-RSA-AES128-GCM-SHA256:\
                   ECDHE-RSA-AES256-SHA384:\
                   ECDHE-RSA-AES128-SHA256
    # SSLLABS Reported WEAK Ciphers:  ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256
    # Disable compression to prevent CRIME attacks
    SSLCompression Off

    # Enable or disable session tickets depending on your security stance
    SSLSessionTickets On

    # Named curves for ECDH key exchange (TLS 1.2 & 1.3)
    SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1

    # Signature algorithms for TLS 1.2
    SSLOpenSSLConfCmd SignatureAlgorithms \
      "ECDSA+SHA512:ECDSA+SHA384:ECDSA+SHA256:\
       RSA+SHA512:RSA+SHA384:RSA+SHA256:\
       rsa_pss_rsae_sha512:rsa_pss_rsae_sha384:rsa_pss_rsae_sha256"

    # OCSP Stapling: provides the client with certificate status information
    SSLUseStapling on

    # HTTP Strict Transport Security (HSTS)
    Header always set Strict-Transport-Security "max-age=15768000"

    # Security headers
    Header always set X-Content-Type-Options "nosniff"
    Header set Content-Security-Policy \
      "default-src 'self' data: 'unsafe-inline' 'unsafe-hashes' 'unsafe-eval' *.example.com; \
       frame-ancestors 'self' *.example.com; \
       base-uri 'self' *.example.com; \
       script-src 'self' data: 'unsafe-inline'"
    Header set Referrer-Policy "no-referrer"
    Header set X-XSS-Protection "1; mode=block"

    ErrorLog /var/www/html/example.com/logs/error.log
    CustomLog /var/www/html/example.com/logs/access.log combined
</VirtualHost>

NGINX

server {
    # Listen on port 443 for SSL/TLS connections (IPv4 and IPv6).
    listen 443 ssl;
    listen [::]:443 ssl;

    # Enable HTTP/2 support.
    http2 on;

    # Hostname this server block responds to.
    server_name example.com;

    # SSL certificate and key paths (adjust as needed).
    # The lines below are active ones:
    ssl_certificate     /etc/nginx/ssl/cert.crt;
    ssl_certificate_key /etc/nginx/ssl/cert.key;

    # Uncomment and specify if using custom Diffie-Hellman parameters.
    # ssl_dhparam /etc/ssl/certs/dhparam.pem;

    # SSL session settings: improves performance by allowing session reuse.
    ssl_session_timeout 5m;
    ssl_session_cache   shared:SSL:50m;
    ssl_session_tickets on;

    # Enabled TLS protocols (recommend keeping TLSv1.2 and TLSv1.3).
    ssl_protocols TLSv1.3 TLSv1.2;

    # Prefer server ciphers over client-proposed ciphers.
    ssl_prefer_server_ciphers on;

    # Strong ciphers for TLS 1.2 and also includes TLS 1.3 ciphers.
    # Note that TLS 1.3 ciphers (TLS_AES_*) are negotiated separately in most modern OpenSSL.
       ssl_ciphers "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256";
    # SSL LABS Reported WEAK: ECDHE-RSA-AES256-SHA384 & WEAK:ECDHE-RSA-AES128-SHA256

    # Explicitly define TLS 1.3 cipher suites (for OpenSSL 1.1.1+).
    ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256;

    # Specify curves for ECDH (used in TLS 1.2).
    ssl_ecdh_curve X448:secp521r1:secp384r1:secp256r1;

    # Set Named Groups for TLS 1.3 key exchange.
    ssl_conf_command Curves ffdhe2048:ffdhe3072:ffdhe4096:ffdhe6144:ffdhe8192:secp256r1:secp384r1:secp521r1;

    # Configure signature algorithms for TLS 1.2 and 1.3.
    ssl_conf_command SignatureAlgorithms "ECDSA+SHA512:ECDSA+SHA384:ECDSA+SHA256:RSA+SHA512:RSA+SHA384:RSA+SHA256:rsa_pss_rsae_sha512:rsa_pss_rsae_sha384:rsa_pss_rsae_sha256";

    # Enable and verify OCSP stapling for better SSL performance and security.
    ssl_stapling on;
    ssl_stapling_verify on;

    # Security headers
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;" always;
    add_header Permissions-Policy "interest-cohort=()";
    add_header Referrer-Policy "no-referrer" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Download-Options "noopen" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Permitted-Cross-Domain-Policies "none" always;
    add_header X-Robots-Tag "noindex, nofollow" always;
    add_header X-XSS-Protection "1; mode=block" always;

Exchange RetentionPolicy / Outlook Synchronisation Fehler 0x800406C

von

Eines Tages streikte eines meiner Outlooks mit folgender Fehlermeldung:

Allerdings war mein Postfach keineswegs voll. Das Kuriose: Auf einem anderem Client ging die Synchronisation einwandfrei. Als erstes also das Outlook Profil zurückgesetzt. Das hat allerdings nur kurz geholfen.

Also Prüfen ob für meine Mailbox RetentionHoldEnabled oder LitigationHoldEnabled ist – also die eDiscovery Funktionen.
Get-Mailbox -Identity Constantin.Lotz@domain.de | Select-Object hold

LitigationHoldEnabled : False
RetentionHoldEnabled : False
EndDateForRetentionHold :
StartDateForRetentionHold :
LitigationHoldDate :
LitigationHoldOwner :
ComplianceTagHoldApplied : False
DelayHoldApplied : False
LitigationHoldDuration : Unlimited
SCLDeleteThreshold :
SCLRejectThreshold :
SCLQuarantineThreshold :
SCLJunkThreshold :
InPlaceHolds : {mbx84979c154b2f42519722a12485e9d88d:3}

Obwohl bei uns Onpremise keine derartigen Regel konfiguriert sind, scheint es ein InplaceHold zu geben. Wenn man das ms-Exch-User-Hold-Policies AD-Attribut bei dem Account weglöscht, funktioniert der Sync sofort wieder. Also müssen wir hier schauen.

Eigentlich kann es dann nur noch ein defekter Verwais aus ExchangeOnline sein. Prüfen wir hiermit:
Import-Module ExchangeOnlineManagement
Connect-IPPSSession

Siehe da, es gibt noch eine EXO Policy die warum auch immer greift.
Via Remove-RetentionCompliancePolicy dann einfach löschen und nach einer kurzen Zeit, synchronisiert sich auch die Veränderung ins lokale AD/Exchange.

VMware WorkspaceOne Boxer – Mails als Privat markieren (wie in Outlook)

von

Über die Boxer App lassen sich bequem Nachrichten bequem per S/MIME verschlüsseln oder aber auch entsprechend Klassifizieren.
Was mir im Standard gefehlt hat, war dass man Nachrichten nicht wie in Outlook einfach als „Privat“ markieren kann. Da gibt es erstmal nur die Klassifikation der Wichtigkeit „Hoch“.  In den Assignment Einstellungen im WS1 Portal lässt sich aber auch das Klassifizieren von Nachrichten konfigurieren.

Ich beschreibe hier in kürze, wie ihr die Privat Markierung (für Outlook) nachbauen könnt.

Wie funktioniert in Outlook das „Privat“ markieren?

Um zu verstehen wie Outlook die Privat markierung überhaupt feststellt schauen wir uns den E-Mail Header an:


Date: Thu, 4 Aug 2022 16:48:03 +0200
From: Constantin Lotz &lt;<a href="mailto:Constantin.Lotz@xxxxx">Constantin.Lotz@xxxxx</a>&gt;
To: Constantin Lotz &lt;<a href="mailto:Constantin.Lotz@xxxx">Constantin.Lotz@xxxx</a>&gt;
Message-ID: &lt;4DB995C8-1CD9-4B85-BCB5-2C11388F602F@xxxxx&gt;
Subject: Privat iPhone (Privat)
X-Mailer: VMwareBoxer 22.07.0 DEV BUILD 9139
Sensitivity: private
X-Boxer-MessageId: 4DB995C8-1CD9-4B85-BCB5-2C11388F602F@xxxx
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="62ebdc23_327b23c6_1e3"

Hier seht ihr, dass der Header einen Wert „Sensitivity: private“ enthält. Dies ist das entscheidende Header Element.

In Outlook sieht dass dann so aus:

 

Wie bekommen wir dies nun in WorkspaceOne Boxer konfiguriert?

Beim Zuweisen der Boxer App (für iOS und Android identisch – muss aber separat eingerichtet werden) könnt ihr in den Email Settings die „Email Classification“ auswählen.

Hier besteht die Möglichkeit die Azure Information Protection Labels zu verwenden, was aber nur bei Nutzung von O365 Sinn macht (korrigiert mich, wenn ich da falsch liege).

Wir aktivieren die Email Classification und setzen bei Markings folgenden JSON String ein:


[
{
"Rank": 1,
"DisplayName": "Privat",
"Description": "Diese E-Mail als Privat markieren.",
"Subject": "(Privat)",
"TopBody": "Klassifikation: Privat",
"BottomBody": "Klassifikation: Privat",
"XHeader": "private"
},
{
"Rank": 2,
"DisplayName": "Vertraulich",
"Description": "Diese E-Mail bitte vertraulich behandeln.",
"Subject": "(Vertraulich)",
"TopBody": "Klassifikation: Vertraulich",
"BottomBody": "Klassifikation: Vertraulich",
"XHeader": "Confidential"
}
]

Hier könnt ihr nach belieben eigene Klassifikationen hinzufügen. Wichtig für die Outlook „Privat“ Markierung ist allerdings der Header. Dieser muss auf private stehen. („XHeader“: „private“)
Über „Define x-header“ geben wir an, wie der Header Wert aussehen soll. Dies muss „Sensitivity“ sein, wie ihr gleich sehen werdet.

Anschließend die Konfiguration speichern. Auf dem Mobilgerät müsst ihr die Boxer App einmal de-, und wieder installieren. Das ist der sauberste Weg, bis die Einstellung greift.

Mail in Boxer App nun als Privat kennzeichnen

In der Boxer App habt ihr beim Schreiben einer neuen Nachricht anschließend ein kleines Schild in der unteren Leiste über die ihr die Klassifikation vornehmen könnt.

Leider sieht man bei eingehenden Nachrichten nach wie vor nicht, ob die Mail als Privat markiert ist oder nicht. Allerdings: Wenn Sie Privat markiert ist, sieht man es zwar nicht – beim Antworten bleibt die E-Mail aber Privat. Also die Klassifikation wird dann nicht entfernt.

VMware UAG – SEG Configuration Issues (ERR05_INVALID_SEG_HOST_NAME)

von

Hi there,

i’ve noticed a bug in the UEG 2106.1 when you have specified a wrong SEG Hostname in the first place.

After catching some logs you will see the following error in the installer-script.log of the Archive:


2021-08-23 16:33:03 uag.domain.de Installer jar exited with status 0 for action LOAD_CONFIG_FROM_API
2021-08-23 16:33:03 uag.domain.de Validating SEG SSL configuration.
2021-08-23 16:33:04 uag.domain.de SSL keystore is supplied from API.
2021-08-23 16:33:04 uag.domain.de SEG SSL configuration verified successfully. SEG in UAG is configured with SSL enabled.
2021-08-23 16:33:04 uag.domain.de Kerberos authentication is enabled for this MEM configuration.
2021-08-23 16:33:04 uag.domain.de The file '/opt/vmware/seg/config/seg-jvm-args.conf' exists, Value for property '-Dextract.executable.from.jar' is ''.
2021-08-23 16:33:04 uag.domain.de Validating SEG server hostname from API response against SNI configured hostname
2021-08-23 16:33:04 uag.domain.de The file '/opt/vmware/seg/config/restart-validation.properties' exists, Value for property 'airwatch.server.hostname' is 'cn1108.awmdm.com'.
2021-08-23 16:33:04 uag.domain.de The file '/opt/vmware/seg/config/restart-validation.properties' exists, Value for property 'enable.status.overwrite' is 'false'.
2021-08-23 16:33:04 uag.domain.de Overwriting status file is disabled. Error code: ERR05_INVALID_SEG_HOST_NAME, Error message: The SNI hostname 'cn1108.awmdm.com' does not match with that received from API 'mdm03.domain.de'
2021-08-23 16:33:04 uag.domain.de Running clean up..
2021-08-23 16:33:04 uag.domain.de Exiting the container with FAILED status

So I’ve messed up writing the wrong SEG Host Name, but the wizard is keeping the config file and does not overwrite the hostname with any further names.

How to fix ?

That’s an easy one: Just rename the mentioned restart-validation.properties file and resave the Secure Email Gateway Settings. The docker build process will then recreate the container with the correct settings as entered.


mv /opt/vmware/docker/seg/container/config/restart-validation.properties /opt/vmware/docker/seg/container/config/restart-validation.properties.old

 

Azure Stack HCI – Performance Benchmark 6 Node Dell AX-740XD Cluster

von

Einleitung

Hyperkonvergente Systeme sind immer weiter im Trend und erobern auch die deutschen Rechenzentren. Eher neu ist die HCI Lösung von Microsoft: Azure Stack HCI, die (erst) seit Ende Dezember 2020 auf dem Markt ist. Hierbei handelt es sich um ein eigenes Betriebssystem (auf Basis von Server 2019) welches rein für die Hyper-V Dienste ausgelegt ist und sich funktional von den klassischen Windows-Server Varianten in Zukunft auf die Virtualisierung abheben soll. So gibt es Azure Stack HCI nur als Core-Installation (also ohne GUI) – die Bedienung soll per Windows Admin Center oder rein per Powershell erfolgen. Neu ist auch das Lizenzierungsmodell, wo Microsoft auf eine Gebühr von 10€/Monat pro CPU Kern veranschlagt. Hier möchte man anscheinend ähnlich der Konkurrenz auch am Hypervisor verdienen.

Da die Software relativ neu ist, findet man aktuell leider relativ schwer Benchmarks oder Performancedaten von Systemaufbauten, die nicht rein für Marketingzwecke ausgerichtet sind. Daher habe ich mich entschieden hier einige Ergebnisse als Orientierung zu präsentieren. Getestet wird ein für Azure Stack HCI zertifiziertes System von Dell in Form von AX-740XD Systemen, die nach Best-Practise konfiguriert wurden. Das Betriebssystem der Server war die zum Zeitpunkt aktuellste Azure Stack HCI Version. (Patchstand Mai 2021).

Hardwareaufbau

Als Aufbau dienen 6 Dell AX-740XD Server mit folgender SSD/Fullflash Konfiguration:
Für das OS werden die BOSS Karten verwendet. Als Cache Karten werden je 2 x NVME verwendet. Für den Kapazitäts-Tier werden je 6 x SSD verwendet.

MediaTypeBusTypeUsageModelFriendlyNameKapazitätAnzahl InsgesamtAnzahl  pro Server
SSDSATABoot-DriveSSDSCKKB240G8RDELLBOSS VD223.57 GB122
SSDSASAuto-Select (Capacity)KPM5XRUG3T84TOSHIBA KPM5XRUG3T843.49 TB366
SSDPCIeJournal (Cache)Dell Express Flash NVMe P4610 1.6TB SFFDell Express Flash NVMe P4610 1.6TB SFF1.46 TB122

Herstellerangaben und theoretische max-Werte

Da es kaum Vergleichswerte bei solchen Systemen gibt, ziehen wir als Vergleich die Herstellerangaben heran. So haben wir zumindest einen Richtwert, der uns hilft das System zu validieren. Um nähere Spezifikationen zu den möglichen Schreib/Lesewerten und IOPS zu bekommen, müssen wir uns nun die Modelle etwas genauer anschauen. Die 3,49 TB SSD ist zwar laut Beschreibung von TOSHIBA – hinter dem Namen versteckt sich aber der Hersteller Kioxia und genau folgendes Modell: PM5-R Series. Auf der Herstellerseite finden wir dann auch Angaben zu den theoretischen Werten:

Technische Daten vom Hersteller
Man beachte, dass die Herstellerangaben unter Verwendung von Dual Port 12GB SAS gemessen wurde, was in unserem S2D/Azure Stack HCI Konstrukt nicht der Fall ist und die SSD „lediglich“ über einen SAS Port angeschlossen ist. Daher sind unsere Ergebnisse in der Praxis etwas geringer. Als einzelne SSD eingebunden und Formatiert mit 64k ReFS haben wir mit CrystalDiskMark für die KPM5XRUG3T84 folgende Werte erhalten:

Crystaldisk Benchmark SSD Crystaldisk Benchmark SSD

Für die P4610 von Dell finden wir direkt bei Dell in einem DataSheet die vergleichbaren Daten:

Technische Daten Dell NVME

Netzwerk

Netzwerkseitig sind die Systeme mit 4 x 25GB über 2 Dual Port „Mellanox ConnectX-4 Lx 25GbE SFP28“ Karten mit je einem DELL SF5212F verbunden.
Als Technologie für die Storagereplikation verwenden wir RDMA.

Storageübersicht

Windows Admin Center Storagepool

In Summe haben wir einen Storagepool den wir auf 6 Volumes (1 pro Host) aufteilen. Für alle Volumes verwenden wir einen Three-Way-Mirror, für maximale Performance.

Windows Admin Center Volumes

Testmöglichkeiten

Es gibt 2 verschiedene Testmöglichkeiten um den Cluster auf Herz und Iops zu testen.

VMFleet war früher das gängige Tool und es gibt dazu auch gute Beschreibungen wie von DataOn. Es ist etwas umständlich zu konfigurieren, aber hat es mehrere VM’s erzeugt und in diesen dann diskspd ausgeführt. Dies wäre meiner Ansicht nach zumindest ein Test wo der Realität am nächsten kommt. Laut Microsoft (Azure Stack HCI Support) ist VMFleet allerdings nicht mehr supported was Benchmarks angeht.

Präferierte Variante: StartWorkload.ps1
Hier muss lediglich DiskSpd heruntergeladen werden und keinerlei extra VM’s erzeugt werden. Das Tool verschiebt die ClusterStorage’s und verteilt diese auf die Hosts und startet dann DiskSpd auf jedem Host für sein Cluster-Volume.

Zu Beginn müssen wir erstmal 3 benötigte Tools herunterladen:

watch-cluster.ps1
start-workload.ps1
diskspd.exe

Alle Tools packen wir in einen Ordner, diskspd muss zuvor noch entpackt werden.

Watch-Cluster

In einem Powershellfenster auf dem Host starten wir Watch-Cluster, welches uns die Storagewerte live liefert. Das Tool ist deutlich genauer als z.B. das Windows Admin Center.
Um alle Daten in einem Fenster angezeigt zu bekommen muss man in der Regel die Schriftgröße des Powershellfensters auf 10 oder 11 herabsetzen 🙂

 .\watch-cluster.ps1 -sets *

Start-Workload

Mit Start-Workload können wir nun verschiedene Szenarien durchprobieren. Wenn man diese aufzeichnen möchte, lohnt sich ggf. auch die Aufnahme der Performancecounter .

4K 100% Read with minimal Latency to identify if we have a latency issue

.\Start-Workload.ps1 -DiskSpdpath "C:\Temp\Diskspd.exe"

BenchmarkBenchmark  Benchmark

4K 100% Read (Maximize IOPS), we don’t care too much about Latency:

.\Start-Workload.ps1 -DiskSpdpath "C:\Temp\DiskSpd" -o 32

BenchmarkBenchmark

4K 100% Write  – Expect to have much less IOPS then 100% Read

Die Daten werden bei einem Three-Way-Mirror noch auf 3 weiteren Fault Domains geschrieben, nicht zu vergessen…

.\Start-Workload.ps1 -DiskSpdpath "C:\Temp\DiskSpd" -w 100

BenchmarkBenchmarkBenchmark

128K 100% Read –  Maximize Throughput on Reads

Nun testen wir mit der Blockgröße von 128K und einer Queuetiefe von 32 (Outstanding IO’s). Hier haben wir dann zwar nicht unbedingt viele IO’s jedoch einen sehr hohen Durchsatz.

.\Start-Workload.ps1 -DiskSpdpath "C:\Temp\DiskSpd" -B 128K -o 32

BenchmarkBenchmark Benchmark Benchmark Benchmark

128K 100% Write-  Maximize Throughput on Writes

Gleiches Spiel nur schreibend.

.\Start-Workload.ps1 -DiskSpdpath "C:\Temp\DiskSpd" -B 128K -o 32 -w 100

BenchmarkBenchmark  Benchmark Benchmark Benchmark

Netzwerkauslastung

Kombinierte Auslastung aller 25GbE Ports der beiden Switches (pro Switch):

Benchmark Benchmark

In Summe kommen wir beim Lesen (4k) auf ungefähr 234 Gbit/s über alle Ports gerechnet. Das wären pro Server 39 Gbit/s die dann auf die 4 Karten verteilt werden.

Die Switche & Netzwerkkarten haben wir in Tests nur durch Livemigrationen höher ausgelastet bekommen. Ein guter Test ist eine Blanko VM mit 80% der maximal verfügbaren Ram-Menge des Hosts auszustatten (z.B. 500GB) und dann per Livemigration auf einen anderen Host zu migrieren. Das funktioniert per RDMA ziemlich gut und flott – speziell wenn die SMB Limits korrekt richtig gesetzt sind. In unserem Fall haben sich so VM’s mit 500 GB Arbeitsspeicher in wenigen Sekunden per Livemigration auf einen anderen Host migrieren lassen, was die Netzwerkkarten an ihr Limit bringt 😉

Auffälligkeiten

Bei kleinen Blockgrößen (4K) haben wir es immer geschafft die CPU’s der Hosts auf Vollast (80-100%) zu fahren, was bei 2 Sockel Xeon(R) Gold 6248R Systemen schon ganz ordentlich ist. Die CPU ist in diesem Fall der Flaschenhals – zumal noch kein anderer Workloud (VM’s) auf dem Cluster läuft. Im Realbetrieb ist hier natürlich eine etwas geringere Leistung zu erwarten. Bei den großen 128K Blöcken war die CPU nur zu ca. 20% ausgelastet. Hier haben wir gesehen, dass die SSD’s dann auch an ihre Grenzen gekommen, was sich auch gut an den höheren Latenzen auf SSD Ebene bestätigt hat.

Powershell – Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden…

von

Beim Abfragen von Webservices über Powershell kommt es immer wieder mal zu folgender Fehlermeldung:

PS N:\> Invoke-Webrequest -Uri https://tls-v1-2.badssl.com:1012/
Invoke-Webrequest : Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden..
In Zeile:1 Zeichen:1
+ Invoke-Webrequest -Uri https://tls-v1-2.badssl.com:1012/
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-WebRequest], WebExc
eption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeWebRequestCommand

So wirklich schlau wird man aus der Meldung „Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden..“ jetzt auf den ersten Blick nicht. (In Englisch: The underlying connection was closed: An unexpected error occurred on a send..)
Der Fehler tritt bei Problemen mit der TLS Verschlüsselung auf. Speziell wenn der Client (also die Powershell in diesem Fall) mit einer nicht unterstützten TLS Version beim Server ankommt.
Bei Windows Server 2016, 2012R2 oder älteren Windows Client Betriebssystemen ist die Standard Verschlüsselung TLS 1.1/1.0 welche von vielen Betreibern von Websites mittlerweile wegen der Sicherheit deaktiviert wurde.
Bein Windows Server 2019 und Windows 10 (1909) hatte ich bei Tests mit dem Powershell Invoke-Webrequest standardmäßig TLS 1.2 vorgefunden.

Wie kann man per Powershell die TLS Verschlüsselung ändern?

Über folgende Befehle vor dem Invoke-Webrequest bzw. Invoke-RestMethod kann die TLS Version gesteuert werden.

TLS 1.2

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

TLS 1.1

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls11

TLS 1 ( 1.0 )

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls

Beispiel

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$a = Invoke-Webrequest -Uri https://tls-v1-2.badssl.com:1012/

Dies kann man über folgende URL’s auch direkt testen (Quelle: Stackexchange.com):

This subdomain and port only supports TLSv1.2

https://tls-v1-2.badssl.com:1012/

This subdomain and port only supports TLSv1.1

https://tls-v1-1.badssl.com:1011/

This subdomain and port only supports TLSv1.0

https://tls-v1-0.badssl.com:1010/

Nützliche Links

IISCrypto

Mit dem kostenfreien Tool IISCrypto lässt sich speziell der IIS aber auch die Grundlegenden Systemstandards und TLS Protokolle definieren.

Cipherlist

Unter Cipherlist bekommt man jeweils immer die aktuellen SSL Einstellungen für viele Webserver, wie apache2, nginx, oder auch andere Dienste.

Ähnliche Fehlermeldungen

Auch bei der PowerShell Gallery muss man mittlerweile TLS 1.2 einsetzen. Ansonsten bekommt ihr folgende Fehlermeldung:

Install-Module -Name SqlServer
WARNUNG: Unable to resolve package source 'https://www.powershellgallery.com/api/v2'.
PackageManagement\Install-Package : Für die angegebenen Suchkriterien und den Paketnamen "SqlServer" wurde keine
Übereinstimmung gefunden. Verwenden Sie Get-PSRepository, um alle verfügbaren, registrierten Paketquellen anzuzeigen.
In C:\Program Files\WindowsPowerShell\Modules\PowerShellGet\1.0.0.1\PSModule.psm1:1772 Zeichen:21
+ ... $null = PackageManagement\Install-Package @PSBoundParameters
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (Microsoft.Power....InstallPackage:InstallPackage) [Install-Package], Ex
ception
+ FullyQualifiedErrorId : NoMatchFoundForCriteria,Microsoft.PowerShell.PackageManagement.Cmdlets.InstallPackage

Philips Fernseher – Ins Service Menü gelangen (55PUS6401/12)

von

Wer das Service Menü der Philips sucht, kann folgende Tastenkombinationen über die Fernbedienung ausprobieren:

0 + 6 + 2 + 5 + 9 + 6 + Menu/Info/Status
0 + 6 + 2 + 5 + 9 + 7 + Menu/Info/Status
0 + 6 + 1 + 5 + 9 + 6 + Menu
0 + 6 + 1 + 5 + 9 + 7 + Menu
1 + 6 + 2 + 5 + 9 + 6 + Menu/Status
1 + 2 + 3 + 6 + 5 + 4

Die Menüeinträge können mit CURSOR HOCH/RUNTER angesprochen werden. Die Einträge selbst mit CURSOR LINKS/Rechts verändert werden.
Manche Einstellungen können aktiviert und deaktiviert werden, dazu die OK Taste drücken.
Achtung: Nur anfassen, wenn man weiß was man macht! Falsche Einstellungen können das Gerät beschädigen!

Linux – Recursiv Dateien in Unterordnern entpacken und löschen

von

Entpacken von allen Archiven in ihren eigenen Unterordnern:

find /pfad/Ordner -name '*.rar' -execdir unrar e -o- {} \;

Aufklärung der Parameter für unrar:
e = extract (alternativ x = behält die Verzeichnisstruktur)
-o- = Kein überschreiben von Dateien, wenn diese schon existieren.
Anschließend löschen wir alle Dateien die dem Winrar Dateimuster (.rar; .r01; usw…) entsprechen:

find . -type f -name "*.r??" -exec rm {} \;

Dell Inspiron 3480 – Under the hood

von

Da die Spezifikationen des Dell Inspiron 3480 nicht 100%ig wiederspiegeln, welche Anschlüsse auf dem Mainboard noch frei sind, habe ich mir erlaubt ein paar Screenshots des aufgeschraubten Gerätes zu zeigen.

Wie man sieht gibt es
1 x M.2 Anschluss
1 x 2,5 HDD Sata Anschluss
sowie
2 x SODIMM Bänke für DDR 4 Speicher

den Akku sowie die Mainboard Batterie lassen sich noch eigenständig tauschen und sind zum Glück nicht verklebt.

Schrauben für den Einbau einer 2,5 Zoll Festplatte liegen sogar am Klebeband befestigt bei.

FATA: Module wireguard not found – Kernel modul fixen

von

Ich spare mir die Erläuterung was wireguard ist und macht, das gibt es denke ich zur genüge.

Was man wissen sollte ist: Wireguard ist nicht direkt im Linux Kernel enthalten, und basiert auf einer Erweiterung (Modul) dazu.
Das bedeutet, wenn man Wireguard installiert und anschließend Updates des Kernel macht, kann es sein das Wireguard nicht mehr funktioniert. Dann muss nämlich das Kernel-Modul neu (für die neue Kernel Version) kompiliert werden.

Beim Installieren unter Debian 9 kam ich auf folgende Meldung:

Vorbereitung zum Entpacken von .../12-wireguard_0.0.20190905-1_all.deb ...
Entpacken von wireguard (0.0.20190905-1) ...
make (4.1-9.1) wird eingerichtet ...
sudo (1.8.19p1-2.1) wird eingerichtet ...
linux-headers-4.9.0-11-common (4.9.189-3) wird eingerichtet ...
wireguard-tools (0.0.20190905-1) wird eingerichtet ...
linux-compiler-gcc-6-x86 (4.9.189-3) wird eingerichtet ...
dkms (2.3-2) wird eingerichtet ...
linux-kbuild-4.9 (4.9.189-3) wird eingerichtet ...
Trigger für libc-bin (2.24-11+deb9u4) werden verarbeitet ...
libfakeroot:amd64 (1.21-3.1) wird eingerichtet ...
Trigger für systemd (232-25+deb9u11) werden verarbeitet ...
wireguard-dkms (0.0.20190905-1) wird eingerichtet ...
Loading new wireguard-0.0.20190905 DKMS files...
Building for 4.9.0-4-amd64
Module build for kernel 4.9.0-4-amd64 was skipped since the
kernel headers for this kernel does not seem to be installed.
linux-headers-4.9.0-11-amd64 (4.9.189-3) wird eingerichtet ...
fakeroot (1.21-3.1) wird eingerichtet ...
update-alternatives: /usr/bin/fakeroot-sysv wird verwendet, um /usr/bin/fakeroot (fakeroot) im automatischen Modus bereitzustellen
wireguard (0.0.20190905-1) wird eingerichtet ...

Module build for kernel 4.9.0-4-amd64 was skipped since the
kernel headers for this kernel does not seem to be installed.

  Ein Reconfigure des Modules brachte auch keine Besserung:

# dpkg-reconfigure wireguard-dkms
-------- Uninstall Beginning --------
Module: wireguard
Version: 0.0.20190905
Kernel: 4.9.0-11-amd64 (x86_64)
-------------------------------------
Status: Before uninstall, this module version was ACTIVE on this kernel.
wireguard.ko:
- Uninstallation
- Deleting from: /lib/modules/4.9.0-11-amd64/updates/dkms/
- Original module
- No original module was found for this module on this kernel.
- Use the dkms install command to reinstall any previous module version.
depmod.....
DKMS: uninstall completed.
------------------------------
Deleting module version: 0.0.20190905
completely from the DKMS tree.
------------------------------
Done.
Loading new wireguard-0.0.20190905 DKMS files...
Building for 4.9.0-4-amd64
Module build for kernel 4.9.0-4-amd64 was skipped since the
kernel headers for this kernel does not seem to be installed.

  Testen ob das Wireguard Module geladen ist:

modprobe wireguard
modprobe: FATAL: Module wireguard not found in directory /lib/modules/4.9.0-4-amd64

 Ursache: Die notwendigen Pakete zum Kompilieren waren nicht vorhanden.

Lösung: Fehlenden Pakete installieren und ein Reconfigure des wireguard-modules machen.

apt-get install libmnl-dev libelf-dev linux-headers-$(uname -r) build-essential pkg-config
# dpkg-reconfigure wireguard-dkms
------------------------------
Deleting module version: 0.0.20190905
completely from the DKMS tree.
------------------------------
Done.
Loading new wireguard-0.0.20190905 DKMS files...
Building for 4.9.0-11-amd64
Building initial module for 4.9.0-11-amd64