Bundesamt für Sicherheit in der Informationstechnik

M 6.43 Einsatz redundanter Windows-Server

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In Abhängigkeit von den Verfügbarkeitsanforderungen der Daten und Anwendungen ist eine Redundanz zu schaffen, die einem Totalverlust der Daten mit akzeptablem Aufwand vorbeugt. Je nach diesen Anforderungen sind Teile des Datenbestandes oder auch der gesamte Datenbestand parallel auf mehreren Plattenspeichern zu führen, so dass auch bei Ausfall eines Plattenlaufwerks dessen Daten nicht verloren sind und die Benutzer weiterarbeiten können, ohne auf das Wiedereinspielen einer Datensicherung warten zu müssen.

Die Systeme können je nach den definierten Verfügbarkeitsanforderungen so ausgelegt werden, dass bei Ausfall eines Servers dessen Aufgaben von einem oder mehreren anderen Servern übernommen werden können. Dabei muss jedoch dafür gesorgt werden, dass diese verteilten Datenbestände konsistent bleiben, und dies muss auch bei Ausfall einzelner Geräte gewährleistet bleiben. In dieser Beziehung bestehen gravierende Unterschiede hinsichtlich der Leistungsfähigkeit verschiedener Redundanzkonzepte:

  • Eine direkte physikalische Redundanz lässt sich mit RAID-Plattensystemen (RAID: Redundant Array of Independent Disks) erreichen. Zu beachten ist bei der Entscheidung für dieses Verfahren, dass der räumliche Abstand zwischen den einzelnen Platten eines RAID-Systems starken Einschränkungen unterworfen ist, so dass im Falle eines Brandes oder eines ähnlichen Schadens alle Parallelkopien gleichermaßen zerstört werden. RAID-Systeme sind daher kein Ersatz für Datensicherungen.
  • Durch Einsatz von Windows 2000 Clustern können parallele Kopien des Datenbestandes verteilt auf verschiedene Platten und unter Kontrolle verschiedener Rechner geführt werden. Durch die Verwendung leistungsstarker Cluster mit bis zu vier Servern lässt sich die Zahl der Serversysteme reduzieren, was wiederum zu einer Reduktion des Administrationsaufwandes und damit zu einer Verbesserung der Sicherheit führt.
  • Die Replikation einzelner Verzeichnisse erlaubt eine ähnlich weite Verteilung der Daten, doch stehen hier keine Synchronisationsmechanismen zur Verfügung, die es erlauben, auch die aktuell in Bearbeitung befindlichen Dateien konsistent parallel zu führen. Ein Ausfall des primären Plattenlaufwerks führt hier somit immer zu mehr oder weniger großen Datenverlusten. Der Einsatz der Replikatordienste unter Windows 2000 sollte daher auf die Fälle beschränkt bleiben, in denen nur an einer Stelle geändert wird, und er darf keinesfalls als Ersatz für die regelmäßige Durchführung von Datensicherungen angesehen werden.

Um einem Ausfall der Server vorzubeugen, sind diese bei Bedarf redundant auszulegen. Hier stehen mehrere Möglichkeiten zur Verfügung, unter denen, ausgehend von der tolerierbaren Ausfallzeit, eine geeignete Alternative auszuwählen ist:

  • Wenn Ausfälle in der Größenordnung einer halben Stunde tolerierbar sind, ist ein separater Rechner zur Verfügung zu stellen, der bei Ausfall eines Servers dessen Aufgaben übernimmt. Um Zugriff auf die Daten des ausgefallenen Servers zu erhalten, müssen dessen Plattenlaufwerke auf den Ausweichrechner umgeschaltet werden.
  • Wenn Ausfälle von maximal einigen Minuten tolerierbar sind, ist ein Cluster-System mit Zugriff aller Rechner auf alle Platten einzusetzen. Das System ist so zu konfigurieren, dass bei Ausfall eines Servers automatisch auf einen Ersatzrechner innerhalb des Systems umgeschaltet wird.
  • Wenn äußerstenfalls Ausfälle im Sekundenbereich toleriert werden können, ist der Einsatz eines voll redundanten, ausfallsicheren Systems mit parallel arbeitenden mehrfachen CPUs erforderlich. In diesem Fall bleibt ein Ausfall einer CPU oder eines Hauptspeichermoduls für den Benutzer unbemerkbar. Diese Lösung bietet somit die größte Ausfallsicherheit, doch ist sie gleichzeitig auch erheblich aufwendiger und teurer als die beiden anderen Lösungen, so dass man nur bei extremen Anforderungen an die Verfügbarkeit auf sie zurückgreifen wird. Windows 2000 kann derzeit so hohe Anforderungen nicht erfüllen, so dass in diesem Fall Spezialsysteme einzusetzen sind, die unter anderen Betriebssystemen laufen.

Es muss in jedem Fall anhand einer sorgfältigen Analyse festgestellt werden, welche konkreten Verfügbarkeitsanforderungen gegeben sind, und im Rahmen einer detaillierten Planung der System- und Netzarchitektur muss dann eine geeignete Kombination redundanter Rechner und/oder Plattenlaufwerke gefunden werden, die diesen Anforderungen genügt.

Prüffragen:

  • Sind Redundanzen geschaffen, um einem Totalverlust der Daten mit einem akzeptablen Aufwand vorzubeugen?

  • Ist bei verteilten Datenbeständen eine Konsistenz derselbigen sichergestellt?

  • Ist auch bei Ausfall einzelner Geräte eine Konsistenz der Datenbestände gewährleistet?

  • Sind die Verfügbarkeitsanforderungen der Datenbestände mit den Sicherheitsrichtlinien der Organisation abgestimmt?

  • Existiert eine detaillierte Auflistung der System- und Netzarchitektur zur Darstellung der bestehenden Redundanzen?

Stand: 13. EL Stand 2013