Storage-Appliances glänzen mit immer mehr Funktionen. Doch viele Features können einander behindern, so dass Anwender genau überlegen sollten, was sie tatsächlich benötigen.
Die Zeiten sind vorüber, da NAS-Filer einfach nur ein Netzwerk-Laufwerk im LAN bereitstellten. Heute packen die Hersteller vor allem in kleine Systeme Unmengen zusätzlicher Funktionen. Das kann im dümmsten Fall zu Sicherheitslücken, inkonsistenten Daten oder verlangsamten Zugriffen führen.
Leider implementieren viele Produzenten gerade bei den einfacheren Systemen die vielen Features nicht richtig oder nur unvollständig – der Anwender soll ja nicht mit Parametern konfrontiert werden, die er nicht kennt. Zum Glück lassen sich die meisten optionalen Funktionen abschalten, so dass der Administrator sehr detailliert auswählen kann, was er braucht und was nicht.
Dieser Buyer's Guide soll einen Überblick darüber liefern, welche Optionen überwiegend in modernen NAS-Filern für kleine und mittelgroße Unternehmen zum Einsatz kommen und wo dabei die Risiken liegen. Bei großen Filern müssen die IT-Verantwortlichen ohnehin von vornherein wissen, welche Features sie benötigen. In der gehobenen Preisklasse verlangt jeder Dienst nach einer eigenen Lizenz.
Unix kontra Windows
In vielen der kleinen NAS-Appliances läuft als Betriebssystem irgendein Linux- oder BSD-Unix-Derivat. Die Hersteller setzen hier gern simple Embedded-CPUs mit ARM- oder Power-Architektur ein, welche für den Zweck völlig ausreichen und im Gegensatz zu IA-Prozessoren günstiger ausfallen und ohne aktive Kühlung klarkommen. Jedes Unix-Dateisystem nutzt Benutzerrechte bereits auf Datei- und Ordner-Ebene.
Diese Rechte haben Vorfahrt vor Benutzerrechten, wie sie ein NAS-Protokolldienst wie Cifs verwendet. So lange ein einzelner Dateidienst arbeitet und die Rechte richtig auf das Dateisystem überträgt, gibt es nichts zu befürchten. Problematisch wird es erst dann, wenn verschiedene Netzwerk-Dateisysteme ans Werk gehen. Die meisten NAS-Units unterstützen sowohl NFS als auch Cifs als Filer-Protokoll.
NFS setzt dabei die Benuzerrechte direkt auf das Dateisystem um. Ändert ein Linux-Anwender die Zugriffsrechte von Dateien, können Cifs-Clients diese unter Umständen nicht mehr beschreiben oder löschen. Da nur wenige NAS-Filer dieses Problem beherrschen, sollten sich die Administratoren auf ein NAS-Protokoll beschränken und im Zweifelsfall auch von Linux und Mac-OS per Cifs auf den Filer zugreifen – selbst wenn das langsamer und umständlicher arbeitet.
Probleme mit Codepages
Müssen die Benutzer der verschiedenen Welten nicht alle Dateien teilen, lassen sich getrennte Shares mit je nur einem Zugriffsprotokoll versehen. Doch auch hier kann es zu Schwierigkeiten kommen. Nicht alle NAS-Hersteller haben die verschiedenen, länderspezifischen Codepages richtig im Griff. Datei- und Ordnernamen mit Umlauten stellen Mac- und Linux-Clients dann unter Umständen völlig anders dar als der Windows-Rechner, der selbige erstellte.
Codepage-Fehler führen bei sehr simplen NAS-Devices auch gern mal zu Komplettabstürzen des Filers oder frieren den Cifs-Client ein. Dieses vermeidlich einfache Problem sollten IT-Verwalter dringend prüfen, bevor sie ein Gerät produktiv einsetzen.
Mehr Lücken als Sicherheit
Gerade die Multiprotokolloptionen machen es den Administratoren sehr schwer, Daten vor unerwünschten Zugriffen zu schützen. Während das Cifs-Protokoll einzelne Benutzer authentisiert, genügt NFS der Name einer Maschine, eine IP-Adresse oder die User-ID-Nummer eines Benutzers.
So kann ein NFS-Zugang die Cifs-Sicherheit untergraben oder umgekehrt. Kleine NAS-Filer kennen zudem gern mal den Cifs-Benutzer »Gast«, der völlig ohne Passwort per Vorgabe auf alle Shares zugreifen darf. Viele Geräte schalten via Default zudem noch einen HTTP-Zugang zu Shares frei, so dass jeder Web-Browser ungehindert auf alle Dateien zugreifen kann.
Mit Authentisierung wird HTTP ein wenig sicherer (WebDAV), jedoch überträgt das Protokoll das Kennwort im Klartext über das LAN. Wer ohne VPN über das Internet auf eine NAS-Appliance zugreifen will, sollte nur mit WebDAV via https oder einem SSH-gesicherten protokoll (SFTP, SCP) arbeiten und alle anderen protokolle für den Internet-Zugriff sperren.
Sicherheitsrisiko Universal Plug and Play
Auch gehören die vielen Multimedia-Protokolle und Discovery-Dienste à la UPnP gern zu den Funktionen, die Sicherheitsbemühungen des Administrators torpedieren. In Office- oder Home-Office-Netzwerken gehören diese Dienste alle samt abgeschaltet.
Immer mehr NAS-Hersteller integrieren ein iSCSI-Target, so dass der Filer auch als SAN-Server in Aktion treten kann. Bei etlichen Filern mit offener Systemarchitektur kursieren diverse iSCSI-Target-Softwarepakete durch das Internet, welche der Hersteller gar nicht offiziell unterstützt.
Die virtuelle iSCSI-Platte eines Clients lagert auf dem Raid-Verband des NAS-Filers als eine große Datei, welche das iSCSI-Target exportiert. Bei fehlerhafter Konfiguration taucht das Plattenabbild dann sichtbar in einer Cifs- oder NFS-Freigabe auf. Damit können NAS-Anwender die SAN-Disk eines anderen Clients im besten Fall auslesen und im Katastrohenfall auch im laufenden Betrieb löschen.
Wer als IT-Verwalter iSCSI-Disks für Server freigeben will, sollte das nicht unbedingt parallel auf einem NAS-Filer tun, der Benutzern zur Verfügung steht. Auch die Performance spielt hierbei eine wichtige Rolle.
Bandbreite platt statt satt
Einfache NAS-Filer setzen lediglich ein einzelnes 1-GBit/s-LAN-Interface ein. Zudem sind die CPUs der Geräte und die Cache-Speicher oft knapp bemessen. Theoretisch sollte die Bandbreite eigentlich für eine Arbeitsgruppe genügen, doch der Teufel steckt im Detail.
Generiert ein einzelner Benutzer viel Verkehr auf dem Filer, kann dessen Durchsatzrate für andere Clients schlagartig ins Bodenlose fallen. Dabei muss der einzelne Client nicht einmal die komplette Bandbreite ausnutzen.
Oft sind es viele sequenzielle Zugriffe auf kleine Dateien, welche dem NAS-Filer das Leben besonders erschweren. Zu den Killer-Applikationen zählen hier plötzlich Dienste wie Foto-Datenbank-Programme (beispielsweise Picasa), die Hunderte von Fotos untersuchen, indizieren und Thumbnails generieren. Administratoren sollten mit einem angemessenen Stress-Test prüfen, ob sich das zu evaluierende NAS-System auf diese Art ausbremsen läßt.
Neuerdings packen diverse Hersteller einen ganzen Haufen Dienste in einen NAS-Filer, die dort eigentlich nichts zu suchen haben. Plötzlich gibt es Mail- und Datenbankserver auf simplen Geräten für das kleine Office. In der Regel reichen leider die CPU und vor allem der Speicher eines kleinen oder mittelgroßen NAS-Filers gar nicht aus, um alle diese Dienste zu bedienen.
So entstehen wiederum Engpässe bei der Performance, und das nicht unbedingt, weil Anwender intensiv die zusätzlichen Dienste nutzen. Oft reicht es schon, dass die Programme überhaupt laufen und Speicher belegen, um die Leistung einer NAS-Appliance zu schmälern.
Fazit
Administratoren, die NAS-Filer für kleine oder mittelgroße Installationen benötigen, müssen vor dem Kauf die gewünschten Funktionen klar festlegen. Bei der Auswahl dürfen dann Kriterien wie Dutzende nutzloser Features keine Rolle spielen.
Im Zweifelsfall ist ein sehr spartanisches Gerät die bessere Wahl, wenn die Funktionen passen und optimal auf die gut dimensionierte Hardware abgestimmt wurden.
Die aktuellen Tipps der Redaktion
Egal welche Art von Software Sie suchen:
Im SoftwareGuide der Network Computing finden Sie detaillierte Informationen und
direkte Downloadmöglichkeiten zu mehr als 7500 Softwarelösungen von über 5200 Herstellern.
© 2008 Network Computing. All rights reserved. Für den Inhalt der Leserkommentare kann CMP-WEKA Verlag GmbH & Co. KG keine Haftung übernehmen.
Jede Haftung ist ausgeschlossen.
