SMB Failover, SMB Encryption und CIFS-Netzwerkshares

NFS und SMB werden fit gemacht für Scale-Out Storage

| Autor / Redakteur: Elmar Török / Rainer Graefen

Beispielkonfigurationen, die aufzeigen, dass sich nun neben dem einfachen Netzwerk-Share auch hochverfügbare Multi-Knoten Fileserver mit den neuesten Versionen von NFS und SMB aufbauen lassen.
Beispielkonfigurationen, die aufzeigen, dass sich nun neben dem einfachen Netzwerk-Share auch hochverfügbare Multi-Knoten Fileserver mit den neuesten Versionen von NFS und SMB aufbauen lassen. (SNIA)

In die aktuellen Versionen des SMB- und des NFS-Protokolls sind zahlreiche Verbesserungen gegenüber den Vorgängern eingeflossen. Bei beiden Protokollen gibt es viele Änderungen im Detail, aber auch mindestens eine sehr massive Neuerung. Im Fall von NFSv4.1 gehört der Parallelitätszusatz pNFS dazu, bei SMB 3 sind Transparent Failover, SMB Encryption und SMB Direct wichtig.

In SMB 3 hat Microsoft viele Funktionen erneuert und hinzugefügt, die das Protokoll für den Einsatz im Rechenzentrum aufhübschen. Das ist nicht negativ gemeint, schon SMB 2.1 war eine durchaus brauchbare Alternative zu NFS, doch erst mit den Erweiterungen in Version 2.2, die dann zu SMB 3 umbenannt wurde, erlangte der Veteran der File-Sharing-Welt lange vermisste Features.

Dazu gehören Kleinigkeiten wie Volume Shadow Copy (VSS) für SMB-Freigaben und SMB Powershell. Größere Erweiterungen sind vor allem die neu hinzugekommene Verschlüsselungsfunktion SMB Encryption, SMB Direct und SMB Failover.

Mehr Sicherheit durch Verschlüsselung

Sicherheit wird immer mehr zum Standardmerkmal der IT. Gesetzliche Vorgaben oder schlichtweg Befürchtungen, dass wichtige Daten in die falschen Hände geraten, verlangen einen einfachen Weg, um die Informationen während des Transports zu sichern.

Nun gibt es bereits zahlreiche Wege, um Daten in-Flight zu schützen. Der besondere Reiz von SMB Encryption liegt in der einfachen Anwendung. Administratoren müssen den Dienst lediglich freischalten, die Konfiguration verursacht keinen Aufwand.

Wer schon einmal versucht hat, NFS mit Kerberos abzusichern wird das sehr zu schätzen wissen. SMB Encryption kann über den File Server Manager oder ein Powershell-Kommando nur für einzelne Shares oder einen kompletten Server eingeschaltet werden.

Alte Versionen abschalten

Dass keine zusätzlichen Kosten entstehen, ist ebenfalls verlockend, allerdings – und das gilt für praktisch alle neu vorgestellten Features – funktioniert das nur, wenn Client und Server SMB 3 verstehen. Microsoft rät auch ab diesem Release dringend dazu, zumindest CIFS/SMB 1 abzuschalten wenn irgend möglich.

Sobald die Verschlüsselung eingeschaltet ist, verweigert der Server älteren Clients (vor SMB 3) den Zugriff. Das ist einerseits konsequent, lässt sich aber nur in sehr eng eingegrenzten Umgebungen durchsetzen. Für gemischte Netze, und die werden in den nächsten Jahren die Regel sein, lässt sich die Regel aufweichen, so dass sowohl SMB 3 als auch ältere Clients Zugriff erhalten.

Als Verschlüsselungs-Algorithmus nutzt Microsoft AES-CCM, das auch für den Integrity-Check genutzt wird. AES-CCM lässt sich auf aktuellen CPUs, die die AES-Kommandos unterstützen, erheblich beschleunigen. SMB Encryption und NTFS EFS haben nichts miteinander zu tun und hängen nicht voneinander ab.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37466010 / Remote-Netzwerke)