NetApp CIFS vs. Windows Server 2016 – wer ist der besserer File Server ? (Teil 3)

Wilkommen zu Teil 3 meiner Blog Serie - "NetApp NAS oder nativ Windows Server 2016"

 

8) Hochverfügbarkeit / Desaster Recovery Bild 12.png

 

Um Betriebsunterbrechungen aufgrund von Umweltkatastrophen oder menschlichem Versagen zu vermeiden, ist auch im klassischen File Service Umfeld eine effektive Business-Continuity- und DisasterRecovery-Strategie unerlässlich.

 

NetApp clustered ONTAP

Als Desaster Recovery Lösung bietet NetApp heute mit dem sogenannten “SVMDR“ bzw. SnapMirror eine Lösung pro Mandant (sprich auf Basis der Storage Virtual Machine).

Diese Lösung zeichnet sich vor allem durch folgende Eigenschaften aus:

  • Asynchrone Datenreplikation über IP
  • LAN/WAN optimiert d.h.
    • Incremental Forever – nur geänderte Blöcke werden übertragen
    • include storage Efficiency - eingesparte Blöcke durch DeDup/Compression müssen nicht übertragen weden
  • Einfache DR Umschaltung (single command) und Betrieb
  • Flexible definierbare RPO´s
  • Einfache DR Lösung von Remote Standorten in das zentrale Data Center oder Public Cloud (z.B. Azure, Amazon)

 

Für die Business-Continuity Strategie empfehlen wir unseren Kunden i.d.R. den sogenannten MetroCluster. Die Eigenschaften dieser Lösung zeichnet sich wie folgt aus:

  • Unterbrechungsfreier Betrieb mit synchronem Spiegel (RPO = O)
  • Einfacher Betrieb bis hin zum vollautomatisierten Failover im K-Fall
  • bis zu 200km Distanz
  • weltweit mehr als 10.000 Installation

 

Windows Server 2016

In Windows Server 2016 hat Microsoft mit Storage Replica eine Speicherhersteller unabhängige Lösung, zur Replikation der Daten integriert. Diese Funktion zeichnet sich durch folgende Eigenschaften aus:

  • Synchrone oder asynchrone Replication über SMB3
  • Spiegelung von Server-2-Server oder Cluster-2-Cluster
  • Block-Level Replication

Durch die Kombination aus Windows File Server Cluster und Storage Replica lassen sich auch sogenannte „Streched Cluster“ bilden, welche einem NetApp MetroCluster sehr ähnlich kommen. Dennoch gibt es einige Unterscheidungsmerkmale, diese sind:

 

  1. die Replikation bei Storage Replica erfolgt pro Disk, insofern muss auch pro Disk das Setup respektive die Konfiguration erfolgen. Viele Disken bedeuten auch viel zu konfigurieren bzw. zu monitoren. Das Setup in einem MetroCluster hingegen erfolgt auf Basis der Diskpool (Aggregate), d.h. einmal Haken für Spiegelung setzen, fertig.
  2. Storage Replica benötigt für die Replikation eine dedizierte Log Disk an der Quelle und Ziel. Alle Schreibvorgänge werden auf die eigentliche Daten-Disk sowie die Log-Disk geschrieben. Insofern ist dafür Sorge zu tragen, dass die LogDisk nicht zum Bottleneck wird und über ausreichend Schreib-Performance verfügt. Selbiges gilt natürlich für die Log-Disk am Ziel. NetApp MetroCluster hingegen nutzen dazu den internen Schreibcache inkl. NVRam der Controller.
  3. Wie bereits erwähnt, werden alle Filesystemänderungen bei Storage Replica in die Log-Disk geschrieben. Kommt es zu einem Ausfall einer Seite oder zu einer Unterbrechung, muss, um eine erneute Vollsynchronisation zu vermeiden, die LogDisk in der Lage sein, alle Änderungen für X-Stunden/Tage zu puffern.Insofern ist bereits initial auf ausrechend Kapazität zu achten. Nachträgliches vergrößern der Log-Disk scheint nach meinen Recherchen möglich, eine Verkleinerung allerdings nicht. NetApp MetroCluster nutzen hierfür die Aggregates Snapshots, die sich automatisch und beliebig vergrößern sowie verkleinern lassen.
  4. Ein weiteres wichtiges Unterscheidungsmerkmal ist der automatisierte K-Fall. Mit Hilfe der NetApp Tiebreaker Funktion oder der Cluster-Lion Lösung unseres ebenso genannten Technologie Partners führt der MetroCluster eine selbstständige, vollautomatisierte Umschaltung im K-Fall durch. 

 

Ein weiterer Wermutstropfen, die Storage Replica Funktionalität gibt es nur in der Windows Server Datacenter Edition, und nicht in der Standard Edition.

 

Fazit:

NetApp clustered ONTAP als auch Windows Server 2016 bieten verschiedene BC/DR Möglichkeiten. Ein Unterscheidungsmerkmal ist sicherlich das Thema „Komplexität“ bei Storage Replica oder anders ausgedrückt die Einfachheit eines MetroClusters.

 

Desweiteren frage ich mich, inwieweit Storage Replica heute schon produktionstauglich ist. Die aktuelle Known Issues with Storage Replica lassen mich ernsthaft daran zweifeln:

Bild 6.png

 

9) Security Bild1.png

 

Das Thema IT Sicherheit steht sicherlich auf jeder Agenda ganz weit oben. Natürlich reicht es beim Thema IT Sicherheit nicht aus, nur die Windows File Services gegen Viren abzusichern. Heute wird sicherlich ein hoher Prozentsatz von Sicherheitsverletzungen durch Menschen, egal ob bewusst oder unbewusst, verursacht.

Ich denke, Microsoft als auch NetApp gehen sehr bedacht mit diesem Thema um und versuchen möglichst alles zu tun, um Sicherheitsrisiken auszumerzen. 

 

In der folgenden Tabelle habe ich, die aus meiner Sicht relevanten Security Funktionen für das Thema Windows File Server aufgeführt. Welche Security Funktionen noch in clustered ONTAP stecken, finden Sie u.a. hier oder in unserem Security Hardening Guide for NetApp ONTAP 9.

 

 

ClusteredONTAP

Windows Server 2016

SMB3 AES-NI encryption

Yes

Yes

SMB3 Signing und Sealing

Yes

Yes

LDAP over TLS

Yes

Yes

File System Auditing

Yes

Yes

Volume Encryption

Yes

Yes (NTFS only)

Dynamic Access Control

Yes (nur manuelle Classifizierung)

Yes (NTFS only)

Revisionssichere Datei Speicherung (nicht veränderbar bzw. löschbar)

Yes (SnapLock)

No

 

 

An dieser Stelle möchte ich aber noch einmal auf das Thema AntiVirus zurückkommen. Hier ist sicherlich einer der größten Unterscheidungsmerkmale eines Windows Server 2016 vs. einer NetApp zu finden. Bei einem Windows File Server wird die AV Scan-Engine direkt auf den Windows Server installiert. Clustered ONTAP ermöglicht diese Funktion nicht. Hier stellen wir eine Schnittstelle bereit über die unsere Technologie Partner wie TrendMicro, Symantec, McAfee, Sophos, Kaspersky die entsprechenden AntiViren Prüfungen OnDemand oder OnAccess auf separaten Servern oder VMs durchführen können.

 

Meines Erachtens hat beides seine Vor- und Nachteile:

  • Eine lokale installierte AV Scan Engine auf dem Windows Server führt den AV-Scanprozess bereits „inline“ durch und ist i.d.R. schneller fertig, während im Falle der NetApp die Daten erst von dem NetApp Controller auf die dedizierten AV Scanner übertragen werden müssen.
  • Ein weiterer Vorteil ist sicherlich, dass man im Falle eines nativen Windows File Server keine dedizierten virtuellen oder physikalischen Scan Server benötigt. Hier reicht es i.d.R. aus, genügend CPU und RAM Ressourcen im File Server vorzuhalten.
  • Auf der anderen Seite zeigt sich immer wieder, dass Software Probleme – nennen wir diese mal Bugs- der AntiViren Hersteller auch einen Windows File Server schnell mal zum Absturz bringen können und/oder sogar ein zusätzliches Risiko darstellen könnten. Dies war in der Vergangenheit leider immer wieder der Fall. http://www.zdnet.de/88269346/antivirenprodukte-von-symantec-weisen-schwerwiegenden-overflow-bug-auf/

Fazit:

Ich denke, in Bezug auf AntiVirus ist und bleibt es eine Frage der Philosophie, ob man AV Scanning im Server oder mit externen Server durchführt. Beides hat sich letztlich über die Jahre im Betrieb bewährt.

 

10) Windows Server Features und CIFS/SMB Protokoll Support

 

Bild 13.pngEin sicherlich ebenso wichtiges Thema ist der Vergleich der Windows Server Features sowie der CIFS/SMB Protokoll Support. Hier ist der Windows Server 2016 natürlich das „Mass aller Dinge“, denn er gibt letztlich den Funktionsumfang vor. Dennoch sind wir seitens NetApp sehr bestrebt, möglichst alle Funktionen und in vollem Umfang bereitzustellen.

 

Clustered ONTAP – SMB Protokoll Support

 

In der folgenden Tabelle habe ich die von ONTAP 9.1 aktuell unterstützten SMB Protokollversionen sowie deren Funktionen, die wir gegenwärtig unterstützen, aufgeführt.

Mit Ausnahme von SMB Directory Lease sind aus meiner Sicht für das klassische File Service alle relevanten CIFS/SMB Funktionen vorhanden.

 

SMB Funktion:

SMB 1.0

SMB 2.0

SMB 2.1

SMB 3.0

SMB 3.11

Legacy SMB 1.0 functionality

x

x

x

x

x

Durable handles

 

x

x

x

x

Compounded operations

 

x

x

x

x

Asynchronous operations

 

x

x

x

x

Increased read and write buffer sizes

 

x

x

x

x

Increased scalability

 

x

x

x

x

SMB signing

x

x

x

x

x

Large MTU

 

 

x

x

x

Lease oplocks

 

 

x

x

x

Continuously available shares

 

 

 

x

x

Persistent handles

 

 

 

x

x

Witness

 

 

 

x

x

SMB encryption: AES-128-CCM

 

 

 

x

x

Scale out (required by CA shares)

 

 

 

x

x

Transparent failover

 

 

 

x

x

Preauthentication integrity

 

 

 

 

x

Cluster client failover v.2 (CCFv2)

 

 

 

 

x

SMB encryption: AES-128-GCM

 

 

 

 

x

SMB Directory Lease

 

 

 

 

 

SMB MultiChannel

 

 

 

 

 

SMB Direct

 

 

 

 

 

SMB Cluster Dialect Fencing

 

 

 

 

 

SMB shared VHDX

 

 

 

 

 

 

Windows Server Features in clustered ONTAP

 

Natürlich gibt es neben den SMB/CIFS Protokoll Funktionen noch dedizierte Windows Server Features. Einige davon habe ich im Folgenden nur kurz abgehakt.

 

  • Microsoft Previous Versions
  • Access-Based Enumeration
  • GPO security policy support
  • CIFS HomeDirs
  • Roaming Profiles and Folder Redirection
  • Offline Folder
  • CIFS Alias
  • BranchCache Support
  • Windows Workgroup Support
  • Windows PowerShell

 

Auf andere möchte ich etwas detaillierter eingehen:

 

  • Quotierung (Benutzer, Gruppen und Verzeichnisse): NetApp zeichnet sich sicherlich durch das zentralisierte und einfache Management inkl. Reporting über kostenfreie Management Tools wie beispielsweise den OnCommand Unified Manager aus (siehe Blog). Allerdings ist die Quotierung auf Unterordner sowie auf Windows Gruppen bei clustered ONTAP nur mittels Technologie Partnerlösungen von beispielsweise NTP oder Northern möglich. Windows Server 2016 bieten über den FSRM ebenfalls eine native Quotierungslösung allerdings gibt es keinen Support für das ReFS File System und auch in Verbindung mit DeDuplizierung muss man Abstriche machen.
  • Global Name-Space (DFS): Windows Server 2016 (Microsoft DFS) als auch NetApp clustered ONTAP stellen einen eigenen Namespace bereit. Die Erstellung eines DFS-Root auf einem clustered ONTAP System ist aktuell nicht möglich. Allerdings können jederzeit von clustered ONTAP bereitgestellte SMB Shares in ein Microsoft DFS hinzugefügt werden.
  • DFS-R: Mit Hilfe der DFS-R Replikation können Daten zwischen nativen Windows Servern repliziert werden. Allerdings ist auch in Windows Server 2016 kein globales File Locking vorhanden, das bedeutet, wer als letztes den „Save“ Button drückt, gewinnt. Gemeinsam mit unserem Technologie Partner Peer Software haben wir eine Lösung entwickelt, die es erlaubt, Daten per DFR-R+ „Bi-Directional“ zu replizieren und gleichzeitig ein zentrales File Locking zu bieten. Vor allem in Bezug auf „Global File Sharing“ bringt diese Lösung entscheidende Mehrwerte (siehe Blog).
  • Windows Search & Index: Mit Hilfe der Suchfunktion in Windows Server 2016 kann ein entsprechender Index erzeugt und dem Client für eine einfachere Suchfunktion verfügbar gemacht werden. Ich selbst habe in der Vergangenheit die Erfahrung gemacht, dass dies vor allem bei größeren Umgebungen nicht skaliert. Im Zuge der Zusammenarbeit mit der Firma Intrafind (Marktführer für Enterprise Such Lösungen im deutschsprachigen Raum) haben wir eine gemeinsame Lösung entwickelt, große Datenmengen auf einem NetApp System extrem schnell und effizient zu indizieren. Ein weiterer großer Vorteil dieser Lösung ist, dass neben den reinen NAS Daten auch noch weitere Unternehmensdaten z.B. E-Mail, SharePoint oder andere Plattformen mit indiziert werden können. Somit erstreckt sich die Suche nach Informationen über allen Unternehmensdaten hinweg. (Mehr dazu siehe Blog).
  • Work Folder: Mit Windows Server 2016 und den sogenannten Work Folder lassen sich Zugriffe von beispielsweise mobilen Devices wie iPad, iPhone, etc. auf Unternehmensshares einrichten. Aktuell unterstützen wir diese Funktion in clustered ONTAP nicht. Allerdings sehen wir in Bezug auf das Thema „Sync&Share“ bei vielen unserer Kunden eher den Weg in Richtung Office 365 bzw. Onedrive for Business. Hier stellen wir in Kürze mit dem Produkt Cloud Control eine SaaS Lösung bereit, die es Kunden ermöglicht, Daten in Office 365 zu sichern und natürlich wiederherzustellen. (Mehr dazu finden Sie hier)

 

Fazit:

NetApp Clustered ONTAP ist kein Windows Server 2016. Insofern wird es vereinzelt immer wieder zu Unterscheidungsmerkmalen in Bezug auf Protokolle und/oder Windows Features kommen. Ist eine Protokoll Funktion und/oder ein Windows Server Feature in clustered ONTAP nicht vorhanden, diese aber für die Umgebung von unverzichtbarer Bedeutung, bleibt immer noch der Weg, einen Windows File Server, per SAN/iSAN an eine NetApp anzubinden.

 

Zusammenfassung - Warum NetApp ?

 

Bild 14.pngHeute zeichnen folgende Punkte eine NetApp CIFS/SMB Lösung aus:

 

  1. Solides Design
  2. Massive Skalierung
  3. Optimale Speichereffizienz
  4. Integrierte Datensicherung
  5. Partnerschaften zu zahlreichen Technologieherstellern

 

Mit den „just good enough“ SMB Protokoll- als auch Windows Server Funktionen haben wir über viele Jahrzehnte bewiesen, dass wir das Thema Windows File Service sehr gut beherrschen.

 

Kurzum ich würde behaupten: NetApp ist Rock-Solid !

 

Ich hoffe, meine Blog Serie hat Ihnen gefallen und ich konnte Ihnen einige Unterscheidungsmerkmale für klassisches File Service mit NetApp NAS vs. Windows Server 2016 aufzeigen