rhony72
Goto Top

Ordner aus VeraCrypt Container als Netzlaufwerk einbinden

Hallo zusammen.

Kurz zu mir, damit ihr mein Problem einordnen und verstehen könnt. Ich bin KEIN ausgebildeter IT-Administrator, meine Ausbildung
war in der Elektro- und Messtechnik. Zudem hatte ich Schulungen in Netzwerktechnik und Computertechnik auf Hardwarebasis.
Alles was ich in IT und EDV weiß, habe ich mir in den letzten 30 Jahren selbst angeeignet. Und mein Wissen reicht, um in einem
kleinen Büro die EDV zu organisieren und am Laufen zu halten. Aber derzeit kommt mein Chef mit Wünschen und Vorgaben, welche
ich prinzipiell zwar umsetzen kann.. aber bei auftretenden Problemen an meine Grenzen stoße. Vermutlich auch, weil ich nicht mal
eine entsprechende Suche für Google formulieren könnte.

Kurz unser Umfeld:

Windows Server 2008 r2

Windows 10 proff Clients

bisher war unsere Ordnerstruktur für das Netzwerk auf Freigabe - und Rechtebasis.


Vor ein paar Wochen wollte mein Chef, dass ich unsere Datenbank ( RenoStar, wenn jemanden das was sagt ) verschlüssele.
Ich habe ihm mitgeteilt, dass dies vom Hersteller nicht vorgesehen ist und sogar davor gewarnt wird. Irgendein Honk hat ihm
aber scheinbar erklärt, das ich ja keine Ahnung habe und dass das sehr wohl geht. Also hab ich mich ein wenig schlau
gemacht und anschließend einen VeraCrypt-Container erstellt und die Datenbank dorthin umgezogen. Dies hat soweit funktioniert.
Den Container abends zu schließen und vormittags zu öffnen funktioniert auch ohne Probleme.

Nun hat mein Chef gestern abend den Server runtergefahren.. und möchte das in Zukunft jeden abend haben, wegen Stromsparen.
Und heute früh hat er den Server gestartet.. und nach dem einhängen des Containers... ging auf den Clients gar nichts mehr.
Keiner der Clients hatte Zugriff auf das Netzlaufwerk. Den Grund dafür hab ich relativ schnell gefunden. VeraCrypt hängt zwar den Container
auf dem Server ordentlich ein, aber die Freigabe fürs Netzwerk fehlt in Folge.
Nachdem ich die Netzwerkfreigabe manuell gesetzt hatte, ging auch wieder alles.

Und an dem Punkt mangelt es mir an Wissen. Wieso bleibt die Freigabe bestehen, wenn ich den Container abends rausnehme und morgens
wieder einhänge. Wenn ich aber den Server runterfahre und neu starte und den Container dann einhänge, wieso ist dann die Freigabe weg?
Ich vermute, dass beim Start oder beim Runterfahren irgendwas gelöscht oder zurückgesetzt wird.
Gibt es eine Möglichkeit das, wie von meinem Chef gewünscht, zum Laufen zu bringen?


Ich hoffe ich konnte mein Problem nachvollziehbar beschreiben.
Und dann hoffe ich noch, dass mir jemand hier helfen kann.

Danke für die Aufmerksamkeit

CA Rhony

P.S.: sicherheitshalber erwähne ich noch, dass es nur das Netzlaufwerk von VeraCrypt betriff. Alle anderen Freigaben und Netzlaufwerke funktionieren
komplett ohne Fehler und Probleme.

Content-ID: 422619

Url: https://administrator.de/contentid/422619

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

erikro
Lösung erikro 27.02.2019 um 14:59:36 Uhr
Goto Top
Rhony72
Rhony72 27.02.2019 um 15:15:29 Uhr
Goto Top
Erstmal danke. Denke das könnte die Lösung zumindest andeuten.
Wenn ich es recht verstanden habe, werden die Freigaben nicht gesetzt, weil
während dem Start der Dienste dieses Laufwerk noch nicht vorhanden ist.

Zitat von der verlinkten Seite:
Die Erklärung: Die nicht-System-Volumes werden von Truecrypt beim Systemstart verzögert gemounted. Die Verzögerung führt dazu, dass das Volumen zum Zeitpunkt der Netzwerk-Freigabe nicht zur Verfügung steht – und somit die Freigabe auch nicht initiiert wird.

Die Lösung: Per Batch-Datei werden nach dem Systemstart die entsprechenden Dienste resettet. Damit das automatisch geschieht, wird der Aufgabenplaner unter Windows bemüht. Elegant, scheinbar einfach – aber mit Fallstricken. Das folgende HowTo zeigt, wie ich das Problem unter Windows7 x64 und Truecrypt 6.3 gelöst habe.


Dann dürfte es allerdings doch nichts bringen, das Batch automatisch beim Systemstart laufen zu lassen, oder?
Vielmehr macht es doch erst Sinn, wenn der verschlüsselte Container auf dem Server eingehängt ist. Oder habe ich
einen Denkfehler?
Xerebus
Xerebus 27.02.2019 aktualisiert um 15:27:34 Uhr
Goto Top
Such dir schnell eine neue Firma wenn es schon am Strom vom Server hängt.
erikro
erikro 27.02.2019 um 15:34:08 Uhr
Goto Top
Moin,

Zitat von @Rhony72:

Erstmal danke. Denke das könnte die Lösung zumindest andeuten.
Wenn ich es recht verstanden habe, werden die Freigaben nicht gesetzt, weil
während dem Start der Dienste dieses Laufwerk noch nicht vorhanden ist.

Genau. Der Container ist noch nicht gemountet und kann demzufolge auch nicht freigegeben werden.

Dann dürfte es allerdings doch nichts bringen, das Batch automatisch beim Systemstart laufen zu lassen, oder?
Vielmehr macht es doch erst Sinn, wenn der verschlüsselte Container auf dem Server eingehängt ist. Oder habe ich
einen Denkfehler?

Nein, Du hast keinen Denkfehler, sondern nur zu wenig Kenntnis über Aufgabenerstellung und die Trigger. face-wink Du kannst die Aufgabe verzögert starten lassen. Das musst Du dann ausprobieren, wie es denn passt. Da steht ja auch nicht in der Anleitung, dass es beim, sondern dass es nach dem Systemstart ausgeführt werden soll.
aufgabenplanung

Ich würde allerdings eher probieren, das Ganze über GPOs zu steuern. Also kein Skript in der Aufgabenplanung, sondern ein Start-Skript und das mit Powershell und nicht als Batch. Eventuell muss man dann noch das Skript eine Weile schlafen schicken, damit Veracrypt genug Zeit hat, den Container zu mounten.

hth

Erik
erikro
erikro 27.02.2019 um 15:37:06 Uhr
Goto Top
Zitat von @Xerebus:

Such dir schnell eine neue Firma wenn es schon am Strom vom Server hängt.

Der Scheff muss sparen, denn bald ist ja eine neue Serverversion fällig. face-wink
Rhony72
Rhony72 27.02.2019 um 16:08:14 Uhr
Goto Top
Also das hört sich logisch an.
Werde ich morgen nach Feierabend mal in Ruhe austesten.

Danke schon mal für die Hilfe "erikro".

Ich gebe dann noch Rückmeldung, ob und wie es klappt.
erikro
erikro 27.02.2019 um 16:11:03 Uhr
Goto Top
Nach Feierabend? Da hat der Schöff doch den Server schon runtergefahren. face-wink

Viel Glück und vergiss nicht, das Thema als gelöst zu markieren, wenn es klappt.
DerWoWusste
DerWoWusste 27.02.2019 um 16:42:37 Uhr
Goto Top
Kein separater Task. Einfach einen Task erstellen, der mountet und gleich im Anschluss den Serverdienst neu startet. (net stop server & net start server).
Rhony72
Rhony72 27.02.2019 um 18:39:42 Uhr
Goto Top
Zitat von @erikro:

Nach Feierabend? Da hat der Schöff doch den Server schon runtergefahren. face-wink

Eben. Und ich fahr in wieder hoch, häng den Container ein und lass das Batch laufen. Und dann weiß ich ob es funktioniert.


Viel Glück und vergiss nicht, das Thema als gelöst zu markieren, wenn es klappt.

Versteht sich..
StefanKittel
StefanKittel 28.02.2019 um 01:25:52 Uhr
Goto Top
Hallo,

das mache ich mit meiner (verschlüsselten) Kundendatenbank am Server bewusst so.

Es gibt dort ein verschlüsseltes Laufwerk mit VeraCrypt.
Zum öffnen benötigt man einen USB-Stick und ein Kennwort.

Abends wird abgeschlossen (so wie die Haustür) und morgens aufgeschlossen.
Auch beim booten muss man dies manuell machen. Danach noch eine Batch anklicken um die Freigabe zu erstellen.

Stefan
emeriks
emeriks 28.02.2019 um 08:26:17 Uhr
Goto Top
Hi,
Man braucht den Serverdienst nicht unbedingt neu zu starten.
Entweder ein Script, welches diesen Container mounted und danach die Freigabe neu erstellt.
Oder einfach die Freigabe höher ansetzen und das Laufwerk tiefer verbinden. Man muss ein Netzlaufwerk nicht unbedingt mit einer Freigabe verbinden sondern kann das auch mit einem Ordner unterhalb dieser Freigabe tun.

Bsp.
  • Server HDD D:
  • Server-Ordner D:\MountPoints
  • "MountPoints" ist freigegeben als "MountPoints$"
  • Der VeraCrypt-Container wird angehängt als D:\MountPoints\Vera1
  • das Netzlaufwerk wird verbunden mit \\server\MountPoints$\Vera1

E.
Pedant
Pedant 28.02.2019 um 10:56:24 Uhr
Goto Top
Hallo Rhony,

Zitat von @Rhony72:
VeraCrypt hängt zwar den Container auf dem Server ordentlich ein...
eine Nachfrage habe ich dazu:
Wie ist denn der geschlossene Container geschützt und wie automatisierst Du das Einhängen?

Ich mache eigentlich nichts mit Veracrypt, nutze aber VeraCryptPortable und mounte mir damit einen Container als lokales Laufwerk.
VeraCryptPortable.exe /v "Containerdatei.ext" /l K /a /b /c n /h n /w /q /s /p geheim
Die Datei "Containerdatei.ext" wird dann geöffnet und unter dem Laufwerksbuchstaben K: zur Verfügung gestellt.
Zum Öffnen wird das Kennwort "geheim" verwendet.

Wenn ich das automatisieren wollte, müsste ich das Kennwort im Klartext in eine Batch schreiben, was dem Zugriffsicherheitsaspekt eines verschlüsselten Containers zuwiderlaufen würde.

Gruß Frank
emeriks
emeriks 28.02.2019 um 10:58:29 Uhr
Goto Top
Zitat von @Pedant:
Wenn ich das automatisieren wollte, müsste ich das Kennwort im Klartext in eine Batch schreiben, was dem Zugriffsicherheitsaspekt eines verschlüsselten Containers zuwiderlaufen würde.
Ach was. Hauptsache verschlüsselt. Der Chef will es halt so.
Das ist wie Abschließen und Schlüssel unterm Abtreter. Da rechnet doch keiner mit.
Rhony72
Rhony72 28.02.2019 um 16:04:56 Uhr
Goto Top
Soderle. Bin seit einer Stunde allein im Büro und hab schon fleißig runter und hoch gefahren, usw.

Zuerst mal das Wichtigste:
Es funktioniert !!!! YES !!

Hab aber beim Abarbeiten der Batch die Fehlermeldung bekommen, das der Dienst Computerbrowser nicht deaktivert werden kann,
weil nicht vorhanden. --> Es ist so. Der Dienst ist deaktiviert..
Ich denke mal, ich kann diesen Status so lassen, dass dürfte nichts ausmachen. Bitte um Korrektur, wenn ich mich irre.

@Pedant
Wenn ich richtig informiert bin, gäbe es eine Möglichkeit den Container freizugeben mittels einem Script und USB-Stick als Schlüssel.
Aber im Augenblick habe ich den betroffenen Container in Vera-Crypt als "Favorit" angelegt und man muss
zum Einhängen das Passwort eingeben. Und ja, dafür muss man ( meistens ich ) sich als Admin am Server anmelden.
Wie gesagt, dass ist alles noch relativ frisch und sicher noch nicht ausgereift. Aber ich arbeite daran.


Vorerst bedanke ich mich schon mal bei allen, die mir hier mit ihrem Wissen weiter geholfen haben.

Sobald ich das mit dem Computerbrowser sicher weiß, werde ich das ganze als gelöst markieren.

CA Rhony