Starker Zugriff auf VMtools Image schädigt SD Medien

ESXi Installationen benötigen recht wenig Speicherplatz auf dem Bootmedium. Daher wird anstelle einer Festplatte (und SCSI Controller) gerne ein kleines und kostengünstiges Flash Medium zum Booten verwendet. Des kann eine SD-Karte sein, oder ein USB-Flashmedium.

Die Qualität dieser Flashmedien variiert stark. Teilweise sogar von Charge zu Charge des gleichen Herstellers. Starkes Schreibverhalten, aber auch Lesezugriffe können die Lebenszeit dieser Medien deutlich verkürzen. In jüngster Zeit musste ich immer wieder feststellen, daß Bootmedien schon nach weniger als einem Jahr beschädigt waren. So lange der Server läuft ist dies kein größeres Problem, da alle für den Betrieb wichtigen Komponenten ins RAM geladen werden. Nicht jedoch die VMtools-Images. Diese werden von der VM angefragt und vom Flashmedium gelesen. Besonders in VDI Umgebungen kann die hohe Leserate das Medium verbrennen.

VMware hat das Problem erkannt und dafür eine Lösung programmiert. Diese ist seit Version ESXi 6.0 U3 verfügbar, muss aber manuell aktiviert werden. Die Umgehung des Problems liegt darin, daß beim Bootvorgang die Tools-Images auf die RAMDisk gelegt werden. Lesevorgänge schädigen somit nicht mehr das Medium und die Lebenszeit der Medien werden verlängert.

Ich zeige hier, wie man die Option über Web-Client, PowerCLI oder ESXi Shell einstellen kann.

„Starker Zugriff auf VMtools Image schädigt SD Medien“ weiterlesen

Verwendung von Wechselmedien per GPO verbieten

USB Sticks sind ein handliches Werkzeug um Daten offline zu übertragen, oder zu sichern. Dank USB 3 Standard lassen sich in kürzester Zeit mehrere Gigabyte an Daten transferieren. Und genau darin besteht das Problem für Unternehmen. Vorbei an Firewall und Packetfilter lassen sich ungeschützt Daten ins Firmen-LAN bringen, oder sensible Nutzdaten von Dort entwenden. Für  Sicherheitsbeauftragte sind tragbare Speichermedien ein Albtraum. Diese ganz zu verbieten erhöht zwar die Sicherheit, erschwert die Arbeit. Man denke beispielsweise an Personen, die Digitalbilder von einer Kamera übertragen müssen. Auch dies sind Wechselmedien.

Wieder einmal geht die Schere zwischen Komfort und Sicherheit auseinander. Maximale Sicherheit bedeutet minimalen Komfort und umgekehrt. Absolute Sicherheit wird es nicht geben. Und während man vermeintlich einen Zugang durch ein Bollwerk versperrt und so auch die Produktivität behindert, sucht sich der Angreifer einen kleinen, ungeschützten Seiteneingang.

Besser ist ein Kompromiss, bei dem zunächst global allen Nutzern der Gebrauch von Wechselmedien untersagt wird und darüber hinaus gezielt einzelne Anwender autorisiert werden. Diese Schlüsselgruppe kann zuvor über die Risiken geschult werden. „Verwendung von Wechselmedien per GPO verbieten“ weiterlesen

ESXi Treiber Installation ohne LAN

ESXi unterstützt eine großes Portfolio an Hardware und liefert hierfür Treiber mit, die bereits in der Standardinstallation verfügbar sind. Gelegentlich gibt es Hardware, deren Treiber im Standard Image jedoch nicht vorhanden ist. Diese vSphere Installation Bundles (VIB) kann man mit der vSphereCLI auf dem ESXi Server installieren. Ungünstig wird es, wenn ausgerechnet der LAN Adapter keinen Treiber hat. Dann muss man direkt ans Direct-Console-User-Interface (DCUI) und das VIB Paket über USB in den ESXi Server bringen.

„ESXi Treiber Installation ohne LAN“ weiterlesen

ESXi Config export error

Hin und wieder ist es notwendig, die Konfiguration eines ESXi Hosts zu exportieren. Zum Beispiel dann, wenn das Flashmedium getauscht werden muss. Das ist eine Standardprozedur, die in der Regel keine Probleme bereitet. Beim Versuch, die Konfiguration eines ESXi 5.0.0 Hosts zu sichern, der ein von IBM angepasstes Image hatte, scheiterte der Export und ich erhielt die Fehlermeldung:

Restore failed: A general system error occured: Internal error

Zunächst ist verwunderlich, daß hier “Restore faild” steht, denn ich wollte die Konfiguration sichern. Der Rest der Fehlermeldung ist so vielsagend wie die “Allgemeine Schutzverletzung im Modul XYZ”, die wir als der PC Steinzeit noch kennen. 😉 „ESXi Config export error“ weiterlesen