EDITORIAL
157. AUSGABE
Rainer Huttenloher Chefredakteur
Gehören auch Sie zur “elitären” Gruppe der Netzwerkund Systemadministratoren – unterbezahlt, überstresst und mit den modernsten Neuplanungen wie “Voice over IP” konfrontiert? Nagen auch bei Ihnen die Routinejobs – “Ich hab mein Passwort vergessen, können Sie mir ein neues geben?” – an den Nerven, die ehemals die Stärke von Drahtseilen aufwiesen, in der Zwischenzeit aber deutlich gelitten haben? Dann hilft Ihnen hoffentlich dieses “Administrations-Sonderheft” der LANline weiter. Wir haben uns für Sie in den Bereichen Infrastruktur, Management, Backup & Recovery sowie dem weiten Feld der Sicherheit aktuelle Produkte vorgenommen und getestet. Zudem stellen wir Ihnen neue Techniken vor, die Ihnen in der täglichen Arbeit sicher von Nutzen sein werden. Denn eines ist für das Jahr 2001 sicher: Die Fachleute im Bereich der Netzwerktechnik sind nicht leicht zu finden. Mit anderen Worten: Die Entlastung im Bereich Netzwerk- und Systemadministration muss über Effizienzsteigerungen realisiert werden. Und hier gilt es, die richtigen Tools aber auch die optimalen Konzepte zu finden – etwa um den Übergang zu einer gemeinsamen Infrastruktur für Daten- und Sprachkommunikation sicherzustellen. Denn diese Idee ist definitiv mit massiven Übergangsproblemen behaftet, doch sie allein verspricht eine deutliche Reduktion des Administrationsaufwandes, bleibt für Sie dann doch “nur mehr” eine Infrastruktur zu hegen und zu pflegen.
EIN NETZ FÜR ALLES
www.lanline.de
Rainer Huttenloher (
[email protected])
LANline Spezial Administration I/2001
3
INHALT
Insgesamt drei Network-Attached-Storage-Server bestanden den Vergleichstest in der Redaktion
Das zweite LTO-Bandlaufwerk, die Viper 2oo von Seagate, wusste im Test zu überzeugen
PRODUKTE Inventarisierungs-Software Inspektor im LAN . . . . . . . . . . . . . . . .8
MANAGEMENT Im Test: Netinstall 5.5 Software-Distribution für Profis . . . .58
RUBRIKEN Editorial . . . . . . . . . . . . . . . . . . . . . . . .3
CD/DVD-ROM-Libraries Familiäre Bande . . . . . . . . . . . . . . . .16
Im Test: Unterstützung für Netware Experten analysieren zuerst . . . . . . .66
Fax-Leser-Service . . . . . . . . . . . . . .131
Produktnews Management . . . . . . . .12
Im Test: Scriptlogic 3.0 Professional Login-Management für Windows-Netzwerke . . . . . . . . . . . . .71
Vorschau . . . . . . . . . . . . . . . . . . . . .132
Produktnews Backup . . . . . . . . . . . .16 Produktnews Sicherheit . . . . . . . . . .24 Produktnews Infrastruktur . . . . . . . .30
Inserentenverzeichnis . . . . . . . . . . .130 Impressum . . . . . . . . . . . . . . . . . . . .132
Client-Management Automatisierung angesagt . . . . . . . . .74 Thin- oder Thick Client Auf der Suche nach der perfekten Lösung . . . . . . . . . . . . . . . .77 Einbinden von Legacy-Systemen Bewährtes für die Zukunft . . . . . . . .82
INFRASTRUKTUR Drei NAS-Server im Test Speicher im 19-Zoll-Format . . . . . . .34
Software-Management und W2K Alles eine Frage der Library . . . . . . .84
Im Test: Office-LIC Sicherer Web-Zugang . . . . . . . . . . . .44 Netzwerksimulation Heute schon das Netzwerk von morgen . . . . . . . . . . . . . . . . . . . .48 Ressourcen optimal nutzen Durchgängiges Management . . . . . .52 Entwicklungen bei RAID Hardware-basiertes RAID . . . . . . . . .54
58 6
LANline Spezial Administration I/2001
98 www.lanline.de
INHALT
SICHERHEIT Verschlüsselungsstandard AES Geprüfte Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98 Remote Control und Sicherheit Sichere Fernwartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104 End-to-end-Sicherheit Sicherheits-Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108 USV für den Verbundschutz Server-Farmen schützen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112 VPN und PKI Methoden für den sicheren Datenverkehr . . . . . . . . . . . . . . . . . . . . . . . .116
BACKUP & RECOVERY Wiederherstellungskonsole von Windows 2000 Der Widerspenstigen Zähmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 Im Test: LTO-Bandlaufwerk von Seagate Kampf der Brüder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92 Time Navigator 3.5 Backup für alle Fälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95
PROTOKOLLANALYSE Der richtige Messpunkt Messen mit Protokolldekodern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118 Analyse in Datennetzen Den Überblick behalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122 Übersicht Protokollanalysatoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 Anbieter von Protokollanalysatoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
86 www.lanline.de
LANline Spezial Verkabelung IV/2000
7
PRODUKTE
INVENTARISIERUNGS-SOFTWARE
Inspektor im LAN Als Inventarisierungs-Software wird der Lan-Inspector in zwei Versionen angeboten. In der Grundversion handelt es sich dabei um einen reinen Software-Scanner. Die Enterprise Solution geht darüber hinaus und bietet zusätzliche Finessen wie die Anzeige der OEM-Nummern von Adobe, Macromedia und Microsoft-Produkten. Weitere Merkmale der Enterprise Solution sind Hardware-Inventarisierung, Standortverwaltung sowie Datenbankexport. Die Philosophie des Lan-Inspectors basiert auf der Maxime: Klarheit statt Verwirrung.
Mit der Grundversion des Lan-Inspectors steht dem Administrator ein reiner Software-Scanner zur Verfügung, der sich in NT-Domänen am besten einsetzen lässt. Die Software wird auf einem NTRechner der Domäne installiert und mit Domänen-Ad-
min-Rechten benutzt. Nach der Installation auf diesem Rechner ist der Lan-Inspector bereit für einen “SofortScan“. Die zu scannende Domäne/ Arbeitsgruppe wird abgefragt und schon startet der Scan. Dabei sollen sich im besten Fall (bei einem 100-
Bild 1. Ansicht der Grundversion des Lan-Inspectors
8
LANline Spezial Administration I/2001
MBit/s-LAN) zirka 1000 Rechner in nur zehn Minuten inventarisieren lassen. Gescannt werden alle Mitglieder einer Domäne (Windows NT, Windows 2000, Windows 95, Windows 98 und Millenium). WindowsNT/2000-basierende Rechner werden gescannt, ohne dass ein Client zu installieren ist. Auf Windows 95/98/ME basierenden Rechnern muss dagegen TCP/IP und die Dateiund Druckerfreigabe installiert sein. Außerdem ist auf diesen Rechnern einmalig ein kleiner Client (genauer ein Back-end) zu installieren. Dieses Back-end aktualisiert sich selbst, man muss sich danach nicht mehr darum kümmern. Der Lan-Inspector in der Grundversion kann zeitlich geplante Scans durchführen und auf einem Server im Hintergrund laufen. Außerdem bietet die Grundversion eine Eingabemöglichkeit für die Anzahl erworbener Lizenzen. Wird die Lizenzbetrachtung aktiviert, werden die erworbenen Lizenzen den tatsächlich ges-
cannten direkt gegenüber gestellt. Nach einem Scan stehen drei ausdruckbare Hauptansichten der Datenbank zur Verfügung: Die Gesamtansicht (Bild 1) offenbart die Gesamtanzahl der gefundenen SoftwareProdukte. So erfährt man zum Beispiel, dass bei 100 gescannten Rechnern 70 Mal MS-Office 97 installiert ist. In der Rechneransicht kann die Software und die Typen einzelner Rechner angezeigt werden. Außerdem gibt es eine Möglichkeit, einzelne Rechner manuell im LAN zu scannen. In der Software-Ansicht lässt sich beispielsweise zeigen, auf welchen Rechnern das “Moorhuhn“ installiert ist. Klickt man den Eintrag “Moorhuhn“ an, erhält man eine Liste der betroffenen Rechner. So kann gezielt deinstalliert werden. Wer schnell und vor allem günstig eine komplette Übersicht der Software im Unternehmen braucht, kann hiermit prompte Ergebnisse erzielen. Die Grundversion kostet 900 Mark für 25 Rechner. Gestaf-
Bild 2. In der Enterprise-Version ist der Nachbau des Unternehmens in Standorten und Untergruppen machbar
www.lanline.de
PRODUKTE
felt werden Lizenzpacks (Nodesets) für 50, 100, 200 Rechner etc. angeboten. Die Enterprise Solution bietet eine Fülle an Funktionalität. Die Bedienung ist ähnlich einfach wie bei der Grundversion. Dennoch lohnt sich hier ein Blick ins Handbuch, um alle Funktionen wirklich zu nutzen. Dieser große Bruder ist einsatzbereit für NT-Domänen wie die Grundversion, kann aber auch unter Netware (TCP/ IP erforderlich) unabhängig von Administratorrechten genutzt werden. In einer NTDomäne muss man sich als Domänen-Admin anmelden und die Inventarisierung durchführen – wie bei der Grundversion. Automatisch wird ein Client auf die betroffenen Rechner verteilt, der dann beim nächsten Scan zusätzliche Informationen über die entfernten Rechner liefert (MacAdresse, RAM-Speicher, etc.). Wenn die Software in einem Netware-Netzwerk genutzt werden soll, ist im Moment noch TCP/IP notwendig, allerdings sind die anderen Proto-
kolle für das nächs0te Release vorgesehen. Das Back-end kann über ein Start-Skript auf den zu scannenden Rechnern gestartet werden. Die Enterprise Solution scannt unter Novell IP-Pools und sucht nach installierten Back-ends. Folgende Merkmale zeichnen die Enterprise Solution aus: – Standortverwaltung: Sind die Voraussetzungen für den Einsatz erfüllt (AdminRechte oder Back-ends installiert für Netware), kann nach Rechnern gesucht werden. In der Standortverwaltung kann das Unternehmen in Standorten und Untergruppen nachgebaut werden. Gefundene Rechner lassen sich dann schnell per Drag and Drop zuordnen werden. Jeder Standort und jede Untergruppe kann unabhängig gescannt und ausgewertet werden. Es ist also möglich, sich gezielt anzeigen zu lassen, welche Rechner und Software zum Beispiel die Gruppe “Entwicklung“ im Standort “Hamburg“ im Einsatz hat.
Bild 3. Im Gegensatz zur Grundversion kann die Enterprise Solution auch eigene Software-Entwicklungen oder unbekannte Programme finden
10
LANline Spezial Administration I/2001
Bild 4. Hardware der Rechner wird über die installierten Treiber aus der Registry ausgelesen
– Software-Inventarisierung mit neuen Features: Im Gegensatz zur Grundversion kann die Enterprise Solution auch eigene Software-Entwicklungen oder unbekannte Programme finden. Es besteht die Möglichkeit des “benutzerdefinierten Scannens“ über Registry oder über Dateien. Dadurch kann auch Software gefunden werden, die über ein Verteilungssystem (wie zum Beispiel Netinstall) installiert wurde. Bei allen Microsoft-, Adobe- und MacromediaProdukten wird die OEMSeriennummer mit ausgelesen, sofern es sich nicht um Tryout-Versionen handelt. – Hardware-Inventarisierung: Die Hardware der Rechner wird zugunsten der Geschwindigkeit über die installierten Treiber aus der Registry (analog zum Gerätemanager) ausgelesen. Zusätzliche Informationen (CPU-Typ, RAM, MACAdresse, etc.) werden durch das Backend ausgelesen, sofern es schon installiert ist.
– Datenbank-Export: Die Enterprise Solution bietet einen vollständigen Export der Rechnerdatenbank. Vorbereitet wurde der Export nach MS-Access und nach MSSQL-Server. Die SQL-Statements sind flexibel, das heißt, einer der Benutzer kann sie gemäß des entsprechenden Server-Typs anpassen. So ist der Export nach Oracle oder einer anderen Datenbanken möglich, sofern der entsprechende ODBC-Treiber installiert ist. – Unterstützung mit TeilnetzKit/Lan-Inspector Gateway: Ab Mitte Januar 2000 soll das Release eines Lan-InspectorTeilnetz-Kits verfügbar sein. Der Lan-Inspector kann dann in der Hauptzentrale des Unternehmens betrieben werden. Sind unzugängliche Rechner in Teilnetzen vorhanden, lässt sich über das Teilnetz-Kit mit entsprechender Route zum Hauptrechner dieses LAN scannen. (Norwin Baczako/rhh) Info: VisLogic Web:www.vislogic.de
www.lanline.de
PRODUKTE MANAGEMENT
Web-basierte Fernsteuerung Harmonic präsentiert mit dem Netwatch-Site-Controller und dem Fault-Manager ein neues Netzwerk-Managementsystem. Der Netwatch-Site-Controller ist ein Manager für Basiselemente, mit dem Systembetreiber HFC-Produkte (StandardHybrid-Fiber-Coax) von Harmonic über einen Standard-Web-Browser Remote konfigurieren und steuern können. Die Neuentwicklung ermöglicht den Verzicht auf spezielle Komponenten-Management-Software. Der Site-Controller ist laut Hersteller der erste Manager für HFC-Komponenten, der eine Stand-aloneSchnittstelle für Simple Network Management Protocol (SNMP)-Proxy-Agents bietet. Der Fault-Manager ermöglicht es den Betreibern, die Informationen aus dem Komponentenmanagement von verschiedenen separaten HFC-Netzwerken zusammenzufassen. Ein Fault Manager kann via SNMP über ein IP-Netzwerk mit verschiedenen Site-Controller-Komponentenmanagern kommunizieren, um die Informationen über das Management der HFC-Elemente an einer Managementzentrale zu sammeln. Der FaultManager organisiert die gesammelten Daten und kommuniziert mit dem globalen Managementsystem des Netzwerkbetreibers. Netwatch-Site-Controller und Fault-Manager werden zur Zeit unter Realbedingungen erprobt und sollen im
12
ersten Quartal 2001 erhältlich sein. (mw) Info: Harmonic Europe Tel.: 0033/148629212 Web: www.harmonicinc.com
Telnet-Client für WAP-Handys Webdynamite bietet mit WAPtelnet einen TelnetClient für WAP-Handys an. Mit dem als Servlet implementierten Produkt können
(Log) per E-Mail nach Verbindungsende. Waptelnet entspricht dem WML-(Wireless Markup Language)Standard 1.1. Die Software läuft auf jedem System, das Java-Servlets unterstützt, dazu zählen etwa Apache, Netscape Enterprise Server und Microsofts IIS sowie auf jeder Plattform wie beispielsweise Windows 9.x/NT/2000, Solaris, Linux, HP-UX und MacOS. Verbindungen sind mit allen Datenbanken mög-
Die Architektur des Telnet-Clients für WAP-Handys
Administratoren über WAPEndgeräte eine Verbindung zu Unix-Rechnern, Routern sowie allen anderen Geräten, die das Telnet-Protokoll verstehen, eine Verbindung herstellen. Überflüssiges Tippen soll durch eine integrierte Session- und Kommandoverwaltung vermieden werden. Zudem sind alle über Telnet absetzbaren Kommandos wie etwa ftp, vi und reboot verwendbar. Zu den Features zählen unter anderem eine Benutzerverwaltung mittels WebOberfläche, Unterstützung für CTRL-Tasten, eine Timeout-Funktion für den Verbindungsabbruch von halboffenen Verbindungen, Page-up/Page-down-Funktion zum Blättern sowie ein detailliertes Session-Protokoll
LANline Spezial Administrator I/2001
lich, die über einen JDBCTreiber verfügen. Eine LiveDemo kann unter http://wap. webdynamite.com/ abgerufen werden. (mw) Info: Webdynamite Tel.: 0043/732777810-0 Web: www.webdynamite.com E-Mail:
[email protected]
Verkabelungsmanagement in Echtzeit Rit Technologies hat die Version 2.0 von Patchview for the Enterprise vorgestellt. Das Echtzeit-Managementsystem für die Netzwerkinfrastruktur kann in der neuen Version über die reine Verkabelungsebene hinaus auch für andere Komponenten des Unternehmensnetzwerks eingesetzt werden, von aktiven
Netzwerkkomponenten über angebundene Peripheriegeräte bis hin zu Anschlüssen und den Rechnern der Anwender. Dabei identifiziert und dokumentiert Patchview automatisch und in Echtzeit alle Netzwerkkomponenten und stellt Tools für das Troubleshooting und die Wartung des Netzes zur Verfügung. Schlüsselkomponente der Version 2.0 ist die P-Let (Proactive LAN Equipment Topology) “Erkennungs”-Technologie- P-Let prüft und untersucht die physikalische Schicht des Netzwerks, identifiziert dabei alle Netzwerkkomponenten in Echtzeit und ordnet diese entsprechend zu. Über das Smart-Patchfeld erkennt und dokumentiert P-Let selbstständig alle angeschlossenen Netzwerkkabel und Ausgänge. Anschließend weitet P-Let die Überprüfung auf Netzwerkknoten und Benutzeroberflächen aus, wo angeschlossene Rechner und Peripheriegeräte identifiziert und aktuell aktive IP-Adressen von Benutzern zugeordnet werden. Patchview for the Enterprise 2.0 erstellt mit Hilfe der P-Let-Technologie ein genaues, auf die Minute aktuelles Bild des Netzwerks. Dieses kann dann für die partielle Automatisierung komplexer Prozeduren genutzt werden wie etwa für das Troubleshooting, das Management und die Dokumentation. Patchview for the Enterprise unterstützt CA Unicenter TNG sowie HP Openview. (mw) Info: RiT Technologies Ltd Deutschland Tel.: 0201/79870185 Web: www.rittech.com E-Mail:
[email protected]
www.lanline.de
PRODUKTE MANAGEMENT
Regelbasiertes Management Novell liefert ab sofort Zenworks for Servers 2 aus. Die Managementlösung baut auf dem NDS Edirectory auf und ermöglicht das Server-Management von einem zentralen Punkt aus, um beispielsweise Server-Ausfallzeiten und die Software-Verteilung besser kontrollieren zu können. Zenworks for Servers 2 unterstützt Software- und Datenverteilung zu Netware- und WindowsNT/2000-Servern über das Internet, Extranets und interne Netzwerke. In der Kombination mit Zenworks for Desktops nutzt die Lösung Tiered Electronic Distribution (TED) und ermöglicht so die Software-Verteilung über das gesamte Netzwerk hinweg. Zusammen eingesetzt, erlauben es diese Produkte den Administratoren, Desktop-Anwendungen und beispielsweise Patches von einem zentralen Punkt aus auf verschiedene Server an unterschiedlichen Standorten und von dort aus auf die einzelnen Arbeitsplatzrechner zu verteilen. Darüber hinaus ist nun die Funktionalität von Managewise Bestandteil der Managementlösung. Dies umfasst etwa die Überwachung von Netzwerkressourcen, die Analyse des Netzverkehrs, die automatische Inventarisierung des Netzwerks sowie die Erfassung der Laufzeiten des Netzes. Zudem können Netzwerkadministratoren Regeln für Netware-Server erstellen, um täglich anfallende Routinen der Server-Wartung zu automatisieren. So lassen sich beispiels-
14
weise Server so einrichten, dass sie selbstständig den aktuellen Patch für das Antivirenprogramm ausführen, sobald dieser per Zenworks for Servers verteilt wurde. Eine Lizenz kostet 59 Dollar pro Benutzer, Server-Lizenzen sind für 3000 Dollar pro Server erhältlich. Die Server-basierte Lizenzierung ermöglicht es, Zenworks for Servers 2 für einen Server zu erwerben; diese Lizenz ist unabhängig von der tatsächlichen Anzahl der Nutzer dieses Servers. Unternehmen, die eine vollständige Netzwerkmanagementlösung benötigen, können Zenworks for Desktops und Zenworks for Servers 2 zusammen in einem Bundle für 79 Dollar je Nutzerlizenz erwerben. (mw) Info: Novell Tel.: 0211/5631-0 Web: www.novell.de
eigenständig Probleme löst wie etwa einen ausgefallenen Web- oder FTP-Service neu zu starten. Das Advantedge-IIS-Modul ist Teil der Ehealth-Product-Suite von Concorde, einer End-to-End-Lösung für Applikationen, Netzwerke und Systeme, die es ermöglicht, den Status des gesamten Netzwerks durch Langzeitbeobachtung zu kontrollieren. Die langfristige Trendanalyse in Verbindung mit Echtzeitberichten sowie das Definieren und Überwachen von Schwellenwerten bietet Service-Providern eine proaktive Managementlösung, die als Barometer für das Festlegen und Einhalten von SLAs (Service Level Agreements) eingesetzt werden kann. (mw) Info: Concorde Communications Tel.: 08106/3051-10 Web: www.concordcommunications.de E-Mail:
[email protected]
Proaktives Modul für den IIS Concord Communications hat eine proaktive Managementlösung für Microsofts Internet Information Server (IIS) vorgestellt. Das Produkt Advantedge IIS soll Engpässe erkennen, Fehler in Web-Seiten aufspüren und leistungsschwache Anwendungsdienste isolieren. Durch den Echtzeitalarm sollen Administratoren nun wesentlich besser CPU-Auslastung und Systemressourcen überwachen und somit Probleme erkennen und beheben können, bevor diese einen kritischen Punkt erreichen. Das Managementmodul ist mit einer “Eigenreparaturfähigkeit” ausgestattet, die korrigierend eingreifen und
LANline Spezial Administrator I/2001
WebsiteMonitoring-Lösung Mercury Interactive präsentiert mit Topaz 3.0 eine Suite von Monitoring-Lösungen, die detaillierte Frühwarnungen bei Performance-Problemen ermöglichen soll, indem ausgehend von PerformanceDaten eine Verknüpfung zu den Ursachen innerhalb oder außerhalb der Firewall hergestellt wird. Durch die Nutzung der Prism-Technologie bietet Topaz 3.0 eine neue, zentral implementierbare NetzwerkMonitoring-Lösung. Topaz Prism erfasst jeden einzelnen Server-Aufruf und wertet ihn ohne Auswirkungen auf den
Routinebetrieb für jeden Benutzer, an jedem Ort zu jedem Zeitpunkt, aus. Zusätzlich bietet Topaz 3.0 applikationsbeziehungsweise kundenspezifische Monitore, die Web- und Anwendungs-Server von Allaire, Ariba, BEA, Blue Martini, Broadvision, IBM Websphere und andere unterstützen. Topaz Prism bietet detaillierte Informationen über Performance-Probleme, ohne dass zusätzliche Software oder Agents für die Website installiert werden müssen. Das Produkt wird parallel zur Web-Server-Infrastruktur implementiert und kann so jeden Server-Aufruf mitverfolgen, der von einem ISP oder einem Benutzerstandort an den WebServer geleitet wird. Mit der Webtrace-Technologie von Topaz Prism können Administratoren eine Aufschlüsselung der End-to-End-Netzwerkzeit nach Segment erstellen und gezielt PerformanceProbleme auf dem Netz und im Internet lokalisieren. Somit lassen sich beispielsweise langsame Segmente, fehlerhafte Router oder ISP-Peering-Probleme identifizieren. Des Weiteren erhalten sie alle relevanten Daten, die für die Einhaltung von Service-Level-Agreements (SLAs) nötig sind. Das Produkt soll sehr hohe Verkehrsvolumina bewältigen und verfolgt Aufrufe des Clients an den Server in Echtzeit. Topaz Prism sammelt dabei Web-Transaktionsdaten, analysiert diese in Realtime und gibt diverse Online-Berichte aus. (mw) Info: Mercury Interactive Tel.: 089/613767-0 Web: www.mercuryinteractive.de E-Mail:
[email protected]
www.lanline.de
PRODUKTE SPEICHER
CD/DVD-ROM-LIBRARIES
Familiäre Bande Der Jukebox-Hersteller NSM Storage ergänzt mit der Dataprovider-Familie seine Produktpalette Speicherlösungen um drei CD/DVD-ROM-Libraries, die kostengünstige Lösungen zur Bereitstellung umfangreicher Datenbestände von bis zu ca. 250 CDs in Netzwerken ermöglichen.
ei der Dataprovider-Produktlinie von CD/DVDROM Servern handelt es sich um CD/DVD-ROM-Server – entweder im Tower-Gehäuse oder als 19-Zoll-Einschub. Je nach Ausbaustufe können bis zu 250 CDs über das integrier-
B
von den im NSM DataProvider integrierten Festplatten. Das hat mehrere Vorteile: – Der Zugriff auf die Daten ist komfortabel, da alle publizierten CD-/DVD-ROM Medien gleichzeitig verfügbar sind; zudem erfolgt der Zu-
In drei Varianten kommt die Dataprovider-Familie auf den Markt
te CD- oder zusätzliche DVDROM-Laufwerke sowie über optionale CD-R/W-Laufwerke auf die im NSM Dataprovider integrierten Festplatten kopiert und von dort anschließend als “virtuelle CDs” von jedem Anwender im Netz genutzt werden. Die CD- bzw. DVD-ROM Inhalte werden also nicht nur von den Medien bereitgestellt, sondern auch
16
griff auf die “virtuellen CDs” sehr viel schneller, da die Daten mit Festplattengeschwindigkeit bearbeitet werden können. – Die Inhalte von bis zu 250 CDs sind im Netz unter einem logischen Laufwerks-Buchstaben verfügbar. Der im Dataprovider integrierte Server steuert das CD/DVD-ROM-Laufwerk,
LANline Spezial Administrator I/2001
optionale CD-Recorder und mehrere Festplatten. Das Einlesen der Medien erledigt standardmäßig ein Laufwerk, das DVD-ROMs mit 12facher Geschwindigkeit und CD-ROMs mit 40facher Geschwindigkeit einliest. Optionale CD-Recorder können Kopien von CDROMs erzeugen oder auch zur Archivierung von Daten aus dem Netz genutzt werden. Für den Anschluss an ein beliebiges Netzwerk unterstützt diese Produktfamilie alle gängigen Netzwerke und Client-Betriebssysteme. Als Schnittstelle verfügt der Server über eine 10/100-MBit/s-EthernetSchnittstelle mit Autosensing. Die Administration erfolgt über einen HTML-Browser. Die Zugriffssteuerung unterstützt die Mechanismen aller Windows-Betriebssysteme sowie von MacOS, OS/2, Netware und Unix. Die DHCP-Unterstützung gestattet die Integration in bestehende Netzwerke. Aktualisierte Versionen der Firmware lassen sich direkt über die Netzwerkverbindung auf den Server laden. Die Dataprovider sind in drei Varianten verfügbar; als MiniTower mit Kapazität für 30 oder 90 “virtuelle” CD-ROMs, sowie als Tower und 19-ZollEinschub mit einer Kapazität von 50, 150 und maximal ca. 250 CD-ROM Inhalten. Die Dataprovider-Systeme sind ab sofort europaweit über den Fachhandel zu Preisen ab 4000 Mark verfügbar. Sie werden als “Plug-and-Play”-Lösungen konfiguriert und ausgeliefert. Das integrierte CD/DVD-ROM-Laufwerk unterstützt alle wichtigen CD- und DVD-ROM-Dateiformate. Es werden die Betriebssysteme Windows 3.11/95/98/NT/ 2000,
MacOS, OS/2, Novell und Unix/Linux unterstützt. (rhh) NSM Storage Tel.: 0221/9725552 www.nsmstorage.de
Recovery-Tools für Windows NT/2000 Beim “ERD Commander 2000” handelt es sich um, mit eine Repair & Recovery-Komponente der das Booten eines defekten Windows NT/2000Systems von Floppy-Disketten, einer CD-ROM oder der Harddisk ermöglicht wird. Auf diese Weise kann auf abgestürzte Windows-NT/2000Systeme zugegriffen werden, um diese in wenigen Minuten zu reparieren, ohne dass eine zeitaufwendige Neuinstallation des gesamten Systems notwendig ist. Die Befehlsstruktur von ERD Commander 2000, wie zum Beispiel die Commandline Editing Features, sind denen von Windows NT/2000 ähnlich. Die Befehlsstruktur beinhaltet alle gängigen File-bezogenen Befehle wie COPY, RENAME, DELETE, MOVE und XCOPY und unterstützt die meisten von Windows NT/2000 gebotenen Optionen. Alle Dateisysteme (FAT, NTFS und CDFS) sind erkennbar. Zu beachten ist, dass Windows NT/2000 nicht verfügbar sein muss, um mit ERD Commander 2000 auf die Drives des Rechners zugreifen zu können. Die Software ERD Commander 2000 bietet im Vergleich zur MS Recovery Console erheblich mehr Möglichkeiten und Funktionen. (rhh) Info: Prosoft Software Vertriebs Tel.: 08171/4050 www.prosoft.de
www.lanline.de
PRODUKTE SPEICHER
CD-Jukebox-Software für das Netzwerk Die CD-Utility “Virtual CD” ist in ihrer neuesten Version jetzt auch netzwerkfähig. Diese Software gestattet den festplattenschnellen
Zugriff auf CD-Laufwerke ohne lästiges Einlegen der Medien in das Laufwerk. Hierzu kopiert die Utility die CD mit Kompression auf die Festplatte und richtet virtuelle Laufwerke auf dem Windows-Desktop ein. Die neue Version gestattet den netzwerkweiten Zugriff auf CDs von jedem Windows/Linux/Unix/Novell-Server. Dank Virtual CD erfolgt der Zugriff auf die CD-Medien im Vergleich zum eher trägen CD-Laufwerk mit einer vielfach höheren Geschwindigkeit und ohne lästige CDLaufwerksgeräusche. Nicht zuletzt wird auch der lästige Wechsel von CD-Medien entbehrlich und man erhält
18
somit eine preiswerte Alternative zu einer CD Jukebox. Zu den weiteren zusätzlichen Funktionen zählen Detailverbesserungen in Bedienung und Leistungsumfang. So lässt sich Virtual CD über Kommandozeilenparameter mit einer Batchdatei automatisieren und virtuelle CDs per Hotkey komfortabel per Tastendruck am Arbeitsplatz einlegen. Eine erweiterte Autostartfunktion startet bei Bedarf frei definierbare Applikationen, die zur virtuellen CD zugeordnet werden. Als empfohlene Verkaufspreise (inkl. MwSt.) nennt der Hersteller 89 Mark für die Einzelplatzversion, und als Klassenraumlizenz 499 Mark. (rhh)
als Lösung für die Konsolidierung von Servern und Speichersystemen im Midrange-Bereich oder auf der Ebene von Abteilungen in Unternehmen. Der in Europa über OEM- und Vertriebspartner angebotene Fibre Channel Switch ES-3016 ist inklusive Web-Server-basierten Management ab sofort zum Listenpreis von etwa 24.000 Dollar erhältlich. Mit EFC (Enterprise Fabric Connectivity)-Manager und Server liegt der Preis des 16Port-Switch bei circa 39.000 Dollar. Mit 16 “Generic Ports” ist der Switch, der im Rackmount nur eine Höheneinheit beansprucht, in seiner Leistungsklasse – laut Hersteller – derzeit das Gerät mit der höchsten PortDichte. Die Ports, die im Full-Duplex-Modus eine Bandbreite von je einem Gigabit pro Sekunde zur Verfügung stellen, erlauben “hotplug” den Anschluss von Glasfaserkabeln über Standard LC-Konnektoren im
denen Entfernungen bis zu 500 Metern überbrückt werden können. Für die Einbindung in das Netzwerk verfügt das Gerät über eine 10/100-Base-T-Schnittstelle. Die wesentlichen Komponenten beim ES-3016, wie die Netzteile und die Kühlung, sind redundant ausgelegt und können wie die Glasfaserkabel bei Störungen im laufenden Betrieb “hot-plug” ausgetauscht werden. Das Gerät ist mit Online-Tools für die Diagnose und die Fehlersuche ausgestattet und erlaubt das Aufspielen und Aktivieren von Firmware-Updates, ohne dass das System heruntergefahren werden muss. Für die System-Administration verfügt es über einen Embedded Web Server, der die Überwachung und Konfiguration des Switch via Browser erlaubt. Der Switch unterstützt auch den EFC-Manager, die SAN ManagementSoftware der McDATA Corporation, die eine zentrale
SFF-(Small Form Factor) Format. Unterstützt werden sowohl Single-Mode-Glasfaser mit Distanzen bis zu 10 Kilometern, als auch Multimode-Lichtwellenleiter, mit
Überwachung und Steuerung des Geräts ermöglicht. (rhh)
Info: Microtest Tel.: 089/60768618 www.microtest.de
Datenkonsolidierung in Abteilungen Seine Produktfamilie von Fibre Channel Switches hat McData um das Modell ES3016 erweitert. Das Unternehmen positioniert diesen 16-Port-Switch, der wahlweise in verschiedenen Konfigurationen angeboten wird,
LANline Spezial Administrator I/2001
Info: McData Technology Systems Tel.: 089 / 60 73 97 76 www.mcdata.com
www.lanline.de
PRODUKTE SPEICHER
14fach MO-Laufwerke Plasmon integriert in seine optischen 5,25-Zoll-Bibliotheken der M-Serie sowie in zukünftige automatisierte optische Produkte die neuen magneto-optischen (MO) 14fachMultifunktions-Laufwerke des langjährigen Technologiepartners Sony Corporation. Die unter der Bezeichnung MOD910 angebotenen Laufwerke verfügen über eine Speicherkapazität von 9,1 GByte. Um maximale Integrität zu gewährleisten, liefert Plasmon mit den neuen Laufwerken gemäß ISO-Standard zertifizierte doppelseitig verwendbare Datenträger im wiederbeschreibbaren sowie im WORM-(Write Once Read Many) Format. Die 9,1-GByte-Laufwerke steigern die Kapazität von Plasmons automatisierten 5,25-Zoll-Bibliotheken von 182 GByte beim 20-Slot-Modell auf maximal 4,55 TByte in der 500Slot-Version. Mit den bisher eingesetzten 5,2-GByte-Laufwerken lag der Kapazitätsbereich zwischen 104 GByte und 2,6 TByte. Die ersten PlasmonMO-Bibliotheken mit 14fachLaufwerken von Sony werden ab Januar 2001 verfügbar sein. Das neue MOD910-Laufwerk liest und beschreibt sowohl wiederbeschreibbare oder WORM-Medien mit 9,1 GByte und 8,6 GByte Kapazität als auch frühere Generationen, zum Beispiel 8fachMedien mit 5,2 GByte und 4fach-Medien mit 2,6 GByte. Zudem bietet das Laufwerk zudem Rückwärtslesekompatibiliät bis hinunter zu Datenträgern mit 650 GByte. (rhh) Info: Plasmon Data Tel.: 089/3246390 www.plasmon.co.uk
20
Einstiegslösung für den Midrange Das Storage-Smart-System, eine Fibre Channel (FC-AL) Speichersubsystemlösung, eignet sich als Einstiegslösung für den Midrange-Bereich. Als
Kernelement eines SAN (Storage Area Network) dient das skalierbare 19-Zoll-Profibre Storage Array für bis zu 10 Festplatten und mit Kapazitäten von 9 GByte bis zu 2,8 TByte, das auch als Tower-Kit für die Aufstellung am Arbeitsplatz lieferbar ist. Das Disk Array bietet eine Performance von bis zu 9000 gecachten Ein/Ausgabeoperationen pro Sekunde und bis zu bei freiem Zugriff. Es verfügt über FCAL Host-Anbindung und ist auf Disk-Seite sowohl als FCAL- als auch als SCSI-Variante verfügbar. Da alle Komponenten während des Betriebs austauschbar sind (hot swappable), ist die Verfügbarkeit jederzeit gesichert. Es arbeitet als JBOD (Just a Bunch of Disks) sowie mit Mylex-RAID-Controllern. Diese unterstützen die RAID-Level 0, 1, 3, 5 und 0+1 und bieten bis zu 512 MByte batteriegepufferten Daten-Cache, der für eine weitere Steigerung der Performance und
LANline Spezial Administrator I/2001
Datensicherheit auch gespiegelt werden kann. Das Profibre Storage Array ist besonders geeignet zur Konsolidierung verteilter Speicherkapazitäten in NT- und Unix-Umgebungen und bietet sich etwa für speicherintensive Projekte wie ECommerce, Videobearbeitung und Data-Warehousing an. Da es über Transparent-FailoverTechnologie verfügt und Cluster-Betriebssysteme unterstützt, gewährleistet es höchste Datensicherheit. Durch die Standard-19 Zoll-RackmountTechnik ist es sehr flexibel und kann mit einer großen Bandbreite an Festplatten gefahren werden. Das FF-Modell für FC-AL-HDDs erlaubt eine große Skalierbarkeit bis hin zu Schranklösungen mit acht Rackmount-Einschüben (80 Drives). Das System wird mit IRS- (IBM RAID Specialist-) Software administriert. Mit den Server- und Client-Komponenten sowie mit verschiedenen Assistenten lässt sich das gesamte System der RAIDController und der angeschlossenen physischen und logischen Laufwerke konfigurieren, verwalten, überwachen und warten. (rhh) Info: MCE Tel.: 089/60807283 www.mce.de
Universeller Datenzugriff IBM hat eine neue Technologie-Initiative unter dem Code-Namen “Storage Tank” vorgestellt. Die Technologie wird als universelle Speicherlösung die gemeinsame Nutzung von Daten quer über alle Speicher-Hardware, ServerPlattformen und Betriebssyste-
me hinweg ermöglichen. Diese Technologie wird vor allem die mit dem explosiven Wachstum der e-business-Infrastrukturen einher gehende Komplexität vereinfachen helfen. Storage Tank schafft als ‘Lingua Franca der Datenspeicherung’ die Voraussetzung für die freie Kommunikation von verschiedenen Speicher- und HostRechnersystemen in einem Netzwerk, ungeachtet des Dateiformats. Außerdem können mit der Lösung die Managementkosten für Datenspeicher gesenkt werden, die oftmals die Ausgaben für die installierte Hardware weit übersteigen. Storage Tank ist eine Software-Management-Technologie, die den freien Informationsfluss über ein Netzwerk hinweg möglich macht. Sie bietet nahtlos, transparent und dynamisch den universellen Zugriff auf Datenspeicher quer über das Netzwerk hinweg. Derzeit sind Platten- und Bandspeicher-Subsysteme dafür entwickelt, mit spezifischen Host-Systemen, logischen Volumes oder Dateisystemen zusammen zu arbeiten. In dieser fragmentierten Lösung können die Speicherressourcen eines Netzwerkes jedoch nicht effizient genutzt werden. Im Gegensatz dazu kann mit einem universellen Raster für die Nutzung von Informationen jedes SpeicherSubsystem über das Netzwerk hinweg genutzt werden, wodurch außerdem die Performance und die Datenverfügbarkeit verbessert werden. Tivoli beabsichtigt, eine OpenSource-Version der Technologie für Linux anzubieten. (rhh) Info: IBM Tel.: 0711/7854148 www.de.ibm.com
www.lanline.de
PRODUKTE SPEICHER
Medium bis zu “16fachen Brennen” Das CD-R-Medium Mitsui SG Ultra ist für Brenngeschwindigkeiten von 1x bis zu 16x zertifiziert. Wie alle Mitsui CD-Rs verwendet auch die neue SG Ultra die weltweit patentierte goldene Speicherschicht aus Phthalocya-
genüber allen Umwelteinflüssen, bemerkenswert gute Reflexionseigenschaften, äußerste Zuverlässigkeit und höchste Kompatibilität mit allen Laufwerken und Brennern. Die besonders widerstandsfähige Diamond Coat Schutzschicht gewährleistet die lange Haltbarkeit auch unter widrigen Umwelteinflüssen. So
Unmount Support” macht einen Systemneustart überflüssig. Das parallele Überprüfen mehrerer File-Systeme verkürzt Boot-Zeiten und bietet hohe Datenverfügbarkeit beim Einsatz von Plattformen mit einer großen Anzahl Dateisysteme. Ein weiteres Feature verhindert das Aktualisieren der Zugriffszeiten, was den Datenverkehr durch Schreibprozesse auf die Festplatte minimiert und dadurch die Verfügbarkeit leseintensiver File Systeme erhöht. (rhh) Info: Veritas Software Tel.: 089/94302500 www.veritas.com/de
10.000-rpmHarddisk-Laufwerke nin. Bei hohen Brenngeschwindigkeiten bleibt dem Laser weniger Zeit zum Brennen. Manche Medien fordern daher einfach eine höhere Brennenergie von der Laserdiode des CD-Recorders - mit der unangenehmen Folge, dass der Laser höher beansprucht wird und somit einem größeren Verschleiß unterliegen kann. Nicht so bei Phthalocyanin, das unter dem Laserstrahl des CD-R-Brenners viel leichter und exakter als Azo oder Cyanin verbrennt. Mitsui als Erfinder dieses Speicherfarbstoffes kann daher auch der neuen SG Ultra die hundertprozentige Kompatibilität mit den neuen 16xCD-Recordern bei Brenngeschwindigkeiten von 1x bis zu 16x gewährleisten. Phthalocyanin vereint die entscheidenden Eigenschaften für eine Speicherschicht: extreme Widerstandsfähigkeit ge-
22
kann Mitsui wie allen Mitsui SG CD-Rs auch der SG Ultra eine Lebensdauer von 100 Jahren bescheinigen. (rhh) Info: Mitsui Chemicals Europe Tel.: 02 11/3 55 92 37-0 www.mitsuimedia.de
Datenverfügbarkeit maximiert Die Version 3.4 seines Journaling File Systems präsentiert Veritas. Diese Software bietet laut Herstellerangaben ein schnelles Recovery, erhöht die Verfügbarkeit wichtiger Unternehmensdaten, reduziert Ausfallzeiten nach Systemabstürzen auf ein Minimum und stellt so die Basis für Hochverfügbarkeitsanwendungen dar. Mit der aktuellen Version gehört die Nachricht “File system is busy” der Vergangenheit an: Die Funktion “Forced
LANline Spezial Administrator I/2001
Seagate Technology präsentiert die Cheetah 36XL und die Cheetah 73LP - zwei neue Mitglieder seiner Cheetah-Festplattenfamilie mit Spindelgeschwindigkeiten von 10.000 Umdrehungen pro Minute. Mit schnellen Suchzeiten (5,2 ms), Cache-Optionen von vier MByte oder 16 MBbyte V-Code und einem niedrigen Energieverbrauch liefert Seagate diese Festplattenserie für unternehmenskritische Applikationen. Darüber besitzen die Cheetah-Laufwerke eine Ultra160 SCSI- oder eine 2 Gigabit/s Fibre-Channel-Schnittstelle. Die neuen Cheetahs werden im ersten Quartal 2001 in Stückzahlen ausgeliefert. Die Cheetah 36XL verfügt über eine formatierte Datentransferraten von bis zu 46,1 MBbyte pro Sekunde. Dank des niedrigen Energieverbrauchs von neun Watt bleibt die Cheetah 36XL kühler als die Vorgänger-Modelle. Die
Cheetah 36XL kommt mit Speicherkapazitäten von 9,2 Gigabyte, 18,4 Gigabyte und 36,7 Gigabyte - und erfüllt so die verschiedenen Speicheranforderungen von Anwendern. Die Cheetah 73LP speichert bis zu 73 Gigabyte an Daten. Das Laufwerk verfügt über eine Flächendichte von 18 Gigabit pro Quadratzoll sowie über eine durchschnittliche Suchzeit von 4,6 ms und formatierte Datentransferraten von bis zu 63,9 MByte pro Sekunde. Dabei verbraucht die Cheetah 73LP nur 10,3 Watt (SCSI). Optional ist die Festplatte auch mit einem 16 MByte großen V-Code-Cache aufrüstbar. Das 73Gigabyte-Modell der Cheetah 73LP ist mit einer Ultra160 SCSI- oder einer 2 Gigabit Fibre Channel-Schnittstelle erhältlich. Neu ist an der Cheetah 73LP auch das Rotational Vibration Protection-System: Dieses Feature kontrolliert die Vibrationen der Festplatte im Verhältnis zum Gehäuse oder zum Chassis, auf dem das Laufwerk montiert ist - und leitet diese Informationen an das Servo-System der Festplatte weiter. Das Ergebnis sind geringere Positionierungsfehler durch die Rotationsvibration innerhalb des Gehäuses oder des Chassis. Beide Cheetahs haben eine MBTF-Rate von 1.200.000 Stunden und kommen mit fünf Jahren Garantie zur Auslieferung. Die unverbindliche Preisempfehlung für Testexemplare der Cheetah 36XL liegt bei 245 Dollar für das 9,2 Gigabyte-Modell, bei 365 Dollar für die 18,4 GByteVersion und bei 615 Dollar für die 36,7 Gigabyte-Platte. (rhh) Info: Seagate Technology Tel.: ++33 1 41861000 www.seagate.com
www.lanline.de
PRODUKTE SICHERHEIT
Router für BreitbandVerbindung Intel stellt den neuen Express 8205 VPN-BreitbandRouter vor. Er bietet sicheren Schutz für Small-Office- und Home-Office-Anwender, die per Breitband (DSL) ständig mit dem Internet verbunden sind. “Always-on”-Verbindungen gelten als anfällig für Sicherheitsattacken von außen, und die meisten Anwender sind derzeit gegen dieses Sicherheitsrisiko nicht ausreichend geschützt. Der 8205 bündelt VPN- und FirewallFunktionalitäten in einem Gerät, das unbegrenzt viele Anwender unterstützen soll. Bis zu 50 Standorte lassen sich damit über sichere VPN-Tunnels verbinden. Der Router bringt nach Herstellerangaben einen VPN-Durchsatz von bis zu 1,3 MBit/s und nutzt eine Triple-DES-IPSec-Verschlüsselung. Die Einrichtung soll einfach sein. Mit dem Express-8205-VPN-BreitbandRouter komplettiert Intel seine Reihe von VPN-Produkten mit einer Lösung für kleine Unternehmen, kleinere Zweigstellen und Service-Provider. Das Gerät soll sowohl mit der Intel Netstructure-VPN-Gateway-Familie als auch mit anderen VPN-Produkten kompatibel sein, die den IPSecStandard unterstützen. Intel präsentiert noch einen zweiten Router, den Express8205-Breitband-Router, den Anwender zu einem späteren Zeitpunkt mit der VPNOption für Intel-Express 8200/9500-Router nachrüsten können. Beide Geräte sind ab sofort verfügbar. Die Preise liegen bei 899 Dollar für den Express-8205-VPN-Breit-
24
band-Router und 699 Dollar für den Express 8205 Breitband-Router. (sm) Info: Intel Tel.: 089/99143-0 Web: www.intel.com/network
128-Bit-Verschlüsselung für Modems Für die sichere Datenübertragung per Modem stellt Rohde & Schwarz “SITMinisafe” vor. Das etwa zigarettenschachtelgroße Gerät
gorithmen zur Verfügung. Die gesamte Steuerung, Initialisierung und Schlüsselverwaltung des SIT-Minisafe erfolgt über ein Terminalprogramm, welches unabhängig von Anwenderplattform und Betriebssystem ist. Im Krypto-Modus wird automatisch eine verschlüsselte Verbindung aufgebaut oder die Verbindung bei fehlendem oder falschem Schlüssel abgebrochen. Ein integriertes LC-Display zeigt ständig die eingestellten Parameter, den Modus sowie den Betriebszu-
Der SIT-Minisafe von Rohde & Schwarz bietet 128-Bit-Verschlüsselung für Modems
wird einfach zwischen die COM-Schnittstelle des PCs oder Notebooks und das Modem geschaltet und verschlüsselt alle zu übertragenden Daten automatisch. Durch die geringen Abmessungen, den weiten Einsatzbereich und die einfache Bedienung ist SITMinisafe besonders für den Schutz unsicherer Verbindungen wie Telefonleitungen oder die mobile Absicherung von Modemanbindungen an ein LAN wie bei Telearbeit geeignet. Wahlweise können so alle Daten mit 128 Bit verschlüsselt und sicher vor unberechtigtem Zugriff übertragen werden. Zur Verschlüsselung stehen verschiedene Al-
LANline Spezial Administrator I/2001
stand des Geräts. Das Verschlüsselungsgerät SIT-Minisafe ist ab sofort für 650 Euro bei Rohde & Schwarz erhältlich. (sm) Info: Rohde & Schwarz Tel.:089/4129-0 Web: www.rohde-schwarz.com
VerschlüsselungsSoftware für Dateien Online-Store gibt die Einführung von CryptogramFolder V. 1.4j deutsche Version für den deutschen Markt bekannt. Cryptogram sorgt für die Sicherheit aller relevanten Daten und ist mit Tri-
ple-DES-(128-Bit)Verschlüsselungstechnologie ausgestattet. Nach Definition eines Schlüssels genügt zur Verschlüsselung ein einfacher Mausklick. Nur mit der rechten Maustaste wird der Verschlüsselungsvorgang für die ausgewählten Dateien oder Ordner gestartet. Ebenso ist eine Verschlüsselung “onthe-fly” möglich. Ist ein Ordner als gesicherter Ordner definiert, wird jede in diesem Ordner platzierte Datei automatisch verschlüsselt. Cryptogram sorgt auch für eine automatische Entschlüsselung, wenn ein autorisierter Anwender die Datei öffnet. Durch diese selbstentschlüsselnde Dateien ist Crytogram auf der Partnerseite nicht mehr nötig. Das Verfahren nutzt vor der Verschlüsselung eine Kompressionsfunktion, die es erlaubt, große Dateien oder Gruppen von Dateien sicher und schnell mit einem Transportmedium wie EMail, FTP oder Diskette zu versenden. Beim Ausführen der selbstentschlüsselnden Datei wird der Empfänger zur Eingabe des Entschlüsselungscodes aufgefordert, der ihm über einen anderen Kommunikationsweg mitgeteilt wurde. Eine Sicherheitslöschung verhindert die Wiederherstellung von gelöschten Daten mit entsprechenden Tools. Die Sicherheitslöschung entfernt nicht nur den physikalischen FATEintrag, sondern überschreibt zudem die alte Position der Datei mehrere Male, um jede Spur der Originaldatei zu tilgen. Optional gibt es Entschlüsselungscodes auf Wechselmedien. Hier ist nicht nur die Eingabe eines Passworts er-
www.lanline.de
PRODUKTE SICHERHEIT
forderlich, ehe eine Datei entoder verschlüsselt werden kann, sondern der Anwender muss zudem die Diskette mit den Schlüsseln einlegen. Ohne diese Diskette ist keine Ent- oder Verschlüsselung möglich. Für größere Unternehmen gibt es Cryptogram als Enterprise-Edition. Sie umfasst zusätzlich ein Tool für die zentrale Generierung von Schlüsseln, eine stille Installation, Verteilung von Schlüsseln und eine Funktion zur Wiederherstellung von Schlüsseln und ist für größere Unternehmens-Sites gedacht. Des Weiteren gibt es noch drei Versionen für die Ablage von Schlüsseln auf unterschiedlichen Medien. Die Cryptogram Folder, Professional-Edition erlaubt Anwendern, die Schlüssel auf der Festplatte oder einer Diskette zu speichern. In der Smart-Edition werden die Schlüssel auf Smartcards gespeichert, und auch die Benutzer-Identifikation wird via Smartcard vorgenommen. Diese Edition unterstützt zwei Typen von Kartenlesern (PCMCIA Type 2 für Notebooks und Serial RS/232 für Desktops). Die i-Key-Edition schließlich speichert die Schlüssel und identifiziert die Benutzer mit einem USB-Schlüssel, der gleichzeitig dem Leser und einer Art Smartcard entspricht (sinnvoll, wenn etwa die vorhandenen PCMCIA-Steckplätzen bereits belegt sind). Die Lösung ist ab sofort zu einem Preis ab 260 Mark verfügbar. (sm) Info: Online-Store Telecom-Systeme Tel.: 06074/81049-0 Web: www.onlinestore.de
26
All-inOne-Firewall Conware Netzpartner ergänzt ihr IT-Sicherheitsprogramm Secuware um die Internet-Sicherheitslösung Secuware F1-Wall. Diese Firewall, die auf einer speziellen Hardware mit einer vorkonfigurierten und gehärteten Linux-Distribution basiert, ist für kleine und mittlere Netzwerke gedacht. Das kompakte 19-Zoll-System bietet alle relevante Sicherheitsfunktionen wie Paketfilter (Stateful Inspection), Anti-Spoofing,
automatisch von allen Rechnern im lokalen Netz verwendet werden können. Ein Spam-Blocker verweigert EMails von Mail-Servern, die in der ORBS-Blockliste gelistet sind. Die somit recht umfassend ausgestattete Firewall überwacht permanent die eigenen Funktionen und behebt Störungen automatisch. Alle Anwendungen der Secuware F1-Wall laufen in ChangeRoot-Umgebungen. Somit kann man eine Überwindung des gesamten Systems durch Hacker ausschließen. Die Konfiguration lässt sich aus-
Die Internet-Sicherheitslösung Secuware F1-Wall basiert auf einer speziellen Hardware mit einer vorkonfigurierten und “gehärteten” Linux-Distribution
Portscan-Blocker, Network Address Translation (NAT) oder Application Gateways (Proxies) sowie Virenscan Banner-Filterung. Über seine Proxies sorgt die F1-Wall beispielsweise dafür, dass Verbindungen aus dem lokalen Netz mit Rechnern im Internet nur über Application Gateways (SMTP, HTTP mit Cache, FTP) realisiert werden. Die Application Gateways lassen sich in einen transparenten Modus schalten, sodass sie
LANline Spezial Administrator I/2001
schließlich in einer gesicherten Umgebung über einen Browser vernehmen. Damit wird Plattform- und Standortunabhängigkeit für die Konfiguration und Überwachung der Firewall gewährleistet. Das Gerät schützt beispielsweise Windows-, Macintoshund Linux-/Unix-Netzwerke. Die F1-Wall sorgt dafür, dass der Systemverwalter bei definierten Ereignissen per EMail alarmiert wird. Die Auslastung und weitere wichtige
Kennzahlen werden erfasst und grafisch aufbereitet. Der Basispreis für eine All-inOne-Firewall Secuware F1Wall beträgt 5990 Mark. (sm) Info: Conware Netzpartner Tel.: 0721/9495-200 Web: www.conware.de
VPNs einfach installieren Wick Hill bietet ab sofort für alle Watchguard-VPN-Fireboxes die neue Konfigurations-Software VPN-Manager 2.0 an. Mit VPN-Manager kann der Administrator einen VPN-Tunnel mit wenigen Mausklicks von einer zentralen Stelle aus installieren und verwalten. Der Aufwand für Setup und Überwachung wird somit drastisch verkürzt. Das Instant-VPN-Verfahren verlangt vom Administrator lediglich drei Angaben. Zunächst verbindet er auf seinem Bildschirm per Dragand-Drop die gewünschten Firebox-VPN-Geräte. Dann legt er die Sicherheitsstufe des VPN-Tunnels fest und sendet zuletzt die automatisch generierten Informationen an die entsprechenden Fireboxes. Sofort danach ist der VPN-Tunnel einsatzbereit. Diese Setup-Methode vereinfacht die bisher komplizierte Installation und Wartung von VPNs. Zusammen mit speziell für kleine Netzwerke oder Home-Offices ausgelegten Fireboxes kann nun jedes Unternehmen alle Außenstellen sicher und vor Angriffen geschützt an das zentrale Firmennetz anbinden. Zudem erfolgt die Konfiguration der Außenstellen von einem zen-
www.lanline.de
PRODUKTE SICHERHEIT
tralen Arbeitsplatz aus. Software-Updates tragen dafür Sorge, dass die Fireboxes kontinuierlich über den LiveSecurity-Service gegen unerlaubte Zugriffe geschützt bleiben. (sm) Info: Wick Hill Kommunikationstechnik Tel.: 040/237301-80 Web: www.wickhill.de
Sicherer und kontrollierter Zugriff Axent Technologies hat mit Webthority eine komfortable Internet-Lösung vorgestellt, die den sicheren Zugriff auf Web-basierte Informationen bietet. Webthority ist eines der ersten Werkzeuge für die Einrichtung einer zentralisierten und sicheren Umgebung mit kontrolliertem Zugriff auf Inhalte von Web-Sites. Dabei wird der direkte Datenzugriff verhindert, über den Hacker sich Zugang zu internen Systemen verschaffen und das Tagesgeschäft ernsthaft gefährden könnten. Mit der Anbindung an Intrusion-Detection-Systeme und der Nutzung bestehender Firewalls hebt sich Webthority von anderen verfügbaren Web-Sicherheitslösungen ab. Die meisten Web-Systeme seien nicht in die vorhandenen Sicherheitsfunktionen der unternehmenseigenen Netzwerke integriert und blieben dadurch verwundbar. Webthority hingegen ist eine integrierte Lösung, die sich mit der vorhandenen Infrastruktur einsetzen lässt. Die Risiken, die mit dem Betrieb einer Website über ein Service-Netzwerk verbunden sind, werden durch die Ein-
www.lanline.de
richtung “virtueller Websites” vermieden. Dadurch ist der tatsächliche Speicherort des Web-Content nicht erkennbar. Durch die virtuellen Websites können die Anwender identifiziert und Informationen bereitgestellt werden, ohne dass der direkte Zugang zum internen Netzwerk eines Unternehmens mit vertraulichen Daten möglich ist. (sm) Info: Axent Technologies Tel.: 089/99549-140 Web: www.axent.com
bleibt insofern gewahrt, als Cookies blockiert werden können und so keine unkontrollierbaren “Spuren” des Surfens zurückbleiben. Unerwünschte Werbe-Banner werden vom ebenfalls enthaltenen Werbeblocker nach individuellen Einstellungen ausgeblendet. Die übersichtliche Benutzeroberfläche erlaubt auch ungeübten Anwendern wirksame Sicher-
Anwender können die Norman Personal Firewall im Advanced-Modus individuell konfigurieren. Die Personal Firewall basiert auf der Norman-Technologie und lässt sich auch zusammen mit den Produkten Virus- und Access-Control des Herstellers einsetzen. Mit der Personal Firewall können jetzt auch kleine Unternehmen und Privatanwender sicher und ein-
“Persönliche” Firewall Ab sofort gibt es mit der Norman Personal Firewall Schutz vor Hacker-Attacken aller Art, ob am Client-PC im Firmennetzwerk, zu Hause oder am mobilen Laptop. Die Firewall verfügt über generelles IP-Blocking, Applikations-Blocking sowie Schutz vor Active-Content wie JavaApplets, Active-X-Controls und VB-Script. Die Personal Firewall schützt Daten und PC damit vor Hackern, Viren und Trojanern. Unbekannte Trojanische Pferde, die der Virenschutz nicht erkennt, sollen abgewehrt werden. Distributed Denial of Services-(DDoS-)Attacken soll die Software wirkungsvoll abblocken. Gleichzeitig wird ein Ausspionieren, das heißt das Herausschleusen von wichtigen Daten aus dem PC, verhindert. Persönliche Informationen wie Kreditkartennummern und Passwörter bleiben somit sicher und können nicht in unbefugte Hände gelangen. Auch die Privatsphäre beim Internet-Surfen
Norman Personal Firewall schützt Daten und PC vor Hackern, Viren und Trojanern
heitseinstellungen vorzunehmen. Hohen Komfort in der Handhabung bieten die vordefinierten Sicherheitsstufen “normal”, “strikt” und “niedrig”. Die Einstellung der Firewall-Regeln gliedert sich in “Erlauben”, “Verbieten” und “Assistent”. Ist der “Assistent” aktiviert, führt er den User durch die jeweilige Regelgenerierung bei InternetAnfragen. Fortgeschrittene
fach ihre Daten vor dem Ausspionieren schützen. Die Software läuft auf Intel-Pentium-PCs mit Windows 95/98/ME oder Windows NT/2000. Der Preis liegt bei 68 Mark für ein Einzelplatzsystem, bei etwa 290 Mark für eine Fünf-User-Version. (sm) Info: Norman Data Defense Systems Tel.: 0212/26718-0 Web: www.norman.de/
LANline Spezial Administrator I/2001
29
PRODUKTE INFRASTRUKTUR
Web Server Director mit GE-Ports
HP Procurve mit 9,6 GBit/s Bandbreite
R.K. Data Network bietet jetzt die Radware-Produktpalette für Intelligent TrafficManagement (ITM) an. Diese ist für Unternehmen gedacht,
Hewlett-Packard (HP) stellt vier neue Procurve NetzwerkSwitches auf ASIC-Basis vor. Die Procurve-Switches 2512, 2524, 2312 und 2324 unter-
R.K. Data Networks bietet den Radware Web Server Director Pro+ jetzt mit Gigabit-Ethernet-Ports
welche die Performance für IP-basierende Applikationen ständig optimieren müssen oder wollen. Der neue Application-Switch von Radware kombiniert Switching-Technologie und -Architektur mit Traffic-Management-Software. Ausgestattet mit einem Motorola-750-Prozessor, einer non-blocking 9,6-GBit/sBackplane in Multilayer-Architektur sowie zwei GBit/sEthernet- und acht Fast-Ethernet-Ports soll die neue Plattform für hohe Switching-Kapazitäten, Performance und Skalierbarkeit sorgen. Der Radware Application-Switch Web-Server-Director-Pro+ ist bereits verfügbar. Weitere Application-Switches der Produktfamilien Cache-ServerDirector, Fireproof und Linkproof sollen in Kürze folgen. Der Preis für den neuen Web Server Director liegt bei etwa 53.000 Mark. (sm) Info: RK Data Networks Tel.: 040/73638-0 Web: www.rkdata.de
30
stützen 9,6 GBit/s Bandbreite auf einem einzigen ASIC, also einem Chip, der für eine spezielle Anwendung konzipiert wurde. HP erweitert mit den Transceivern 100/1000T und 100 FX außerdem sein Angebot in diesem Segment. Die HP Procurve-Switches 2512 und 2524 verfügen über zwölf beziehungsweise 24 verwaltete 10/100-Ports, die automatisch 10Base-T oder 100Base-TX erkennen. Sie sind außerdem mit zwei Gigabit-Transceiver-Steckplätzen und der Netzwerk-Verwaltungs-Software HP Toptools ausgestattet. Die Procurve-Switches 2512 und 2524 gehören zu den ersten Ethernet-Switches, die das Link Aggregation Control Protocol (LACP) unterstützen. Bei diesem Protokoll handelt es sich um den IEEE 802.3ad-Standard für die automatische Konfiguration von Verbindungsaggregaten. Außerdem lassen sich die ProcurveSwitches 2512 und 2524 so-
LANline Spezial Administrator I/2001
wie andere HP-Switches (8000M, 4000M, 2424M, und 1600M) unter einer einzigen IP-Adresse zu Stapeln von 16 Switches zusammenfassen und verwalten. Die ProcurveSwitches 2312 und 2324 haben ebenfalls zwei GigabitTransceiver-Steckplätze, ihre zwölf beziehungsweise 24 10/100-Ports sind nicht verwaltet. Alle Switches sind mit HP-Auto-MDIX für automatische Kabelerkennung und -korrektur ausgestattet. Zum Lieferumfang gehören eine lebenslange Gewährleistung mit Austauschservice am nächsten Arbeitstag, kostenlose Software-Upgrades und Telefon-Support für Endkunden. Die Steckplätze aller vier neuen Switchs unterstützen 100/1000T, 1000SX GigabitSX, 1000LXGigabit-LX, Gigabit-Stapelung und die 100FX-Transceiver. Die Preise liegen zwischen 1290 Mark für den Procurve 2312 und 2590 Mark für den Procurve 2524. (sm) Info: Hewlett-Packard Tel.: 0180 / 532 62 22 Web: www.hewlett-packard.de
19-Zoll-SwitchingHub fürs LAN Lindy bringt zwei neue 19Zoll Nway-Switching-Hubs auf den Markt. Diese sind vor
allem für den Einsatz in Unternehmensnetzwerken gedacht. Die neuen Lindy-Hubs erkennen individuell an jedem der 16 oder 24 Autosensing-Ports, ob das angeschlossene Device mit 10 oder 100 MBit/s arbeitet und passen ihre Geschwindigkeit dementsprechend an (Auto-Negotiation). Im Gegensatz zu einfachen DualSpeed-Hubs trennen NwayHubs von Lindy den Datenverkehr der Downlink-Ports von dem des Uplink-Segments. Dazu adaptiert und verwaltet der Hub bis zu 1024 MAC-Adressen der an den internen Ports angeschlossenen Geräte – einschließlich der über sämtliche Hubs kaskadierten – automatisch. Datenpakete zwischen diesen Adressen werden nur an das durch die Downlink-Ports gebildete Netzwerksegment aber nicht an den Uplink-Port weitergeleitet. Damit soll sich die Belastung des LANs an den Uplink-Ports deutlich reduzieren, sodass das gesamte Unternehmensnetz effektiver genutzt werden kann und nicht so schnell an seine Auslastungsgrenzen stößt. Die beiden Lindy-Hubs garantieren Vollduplex-Betrieb für alle Ports. Die 4,2 GBit/s-Backplane sorgt dafür, dass auch mehrere Ports im VollduplexBetrieb simultan über Kreuz kommunizieren können. Die auf der Frontseite angebrach-
Nway-Switching Hubs für 19-Zoll-Gehäuse von Lindy
www.lanline.de
PRODUKTE INFRASTRUKTUR
ten Status-LEDs geben Auskunft über Geschwindigkeit von 10 oder 100 MBit/s, Kollisionen, Duplex-Modus sowie Link-Zustand. Beide Geräte verfügen über ein integriertes Netzteil und sind in einem Rackmount-fähigen Stahlblechgehäuse untergebracht. Zum Lieferumfang gehören neben dem Hub ein Netzanschlusskabel sowie Winkel für die Rack-Montage und ein Benutzerhandbuch. Der Preis für die 16-Port-Version wird mit 799 Mark, für die 24-Port-Version mit 1149 Mark angegeben. Die Hubs sind ab sofort im Fachhandel erhältlich. (sm) Info: Lindy-Elektronik Tel.: 0621/47005-11 Web: www.lindy.de
www.lanline.de
Grafikoptimierte Compaq-Desktops Die neue Deskpro Workstation 300 von Compaq ist für Entwickler gedacht, die für anspruchsvolle 3-D-Anwendungen und ressourcenintensives Web-Design Rechenleistung und GrafikPerformance benötigen. Der Anwender hat bei der Deskpro Workstation 300, die bereits mit einem 1,4-GHzPentium-4-Prozessor ausgestattet ist, die Wahl zwischen einer Ultra-ATA- oder einer SCSI-Festplatte (mit Geschwindigkeiten von bis zu 15.000 Umdrehungen pro Minute). Darüber hinaus bietet Compaq eine große Aus-
wahl an Grafikkarten, die durch das “Compaq Graphics Excellence Programme” zur Verfügung gestellt werden. Dies macht die Deskpro Workstation 300 zur geeigneten Plattform für rechenintensive und grafisch anspruchsvolle Anwendungen. Die enge Zusammenarbeit mit der Independent Software-Vendors-Vereinigung erlaubt es Compaq, die wichtigsten Workstation-Anwendungen zu testen und zu zertifizieren. Anwendungsumgebungen, die beispielsweise mit Applikationen wie Digital Content Creation (DCC), Finanzanalyse, MCAD, EDA oder GIS arbeiten, las-
sen sich auf diese Weise nahtlos eine neue Compaq Deskpro Workstation 300 integrieren. Ingenieure, Designer und Architekten, die mit extrem rechenintensiven Grafikanwendungen arbeiten, werden sich außerdem über den 400-MHz-Front-Side-Bus, Dual-MemoryChannels und den Intel-850Chipsatz freuen. Zusammen mit dem Intel-Pentium-4Prozessor sorgen sie für hohe Produktivität mit der Deskpro Workstation 300. Die Preise beginnen für diese Systeme bei 7410 Mark. (sm) Info: Compaq Tel.: 0180/3221221 Web: www.compaq.de
LANline Spezial Administrator I/2001
31
PRODUKTE INFRASTRUKTUR
Packetshaper mit 100 MBit/s Packeteer bringt die Reihe Packetshaper 6500 neu auf den Markt. Damit erweitert das Unternehmen die Produktreihe Packetshaper um die Übertragung mit Wirespeed von 100 MBit/s. Das Gerät ist für die Anforderungen von Großunternehmen und Service-Providern zugeschnitten, die eine Steuerung des Applikations-Datenverkehrs mit Wirespeed und die Bereitstellung von IP-Bandbreite für sehr viele Verbindungen gleichzeitig im WAN und dem Edge der Rechenzentren verlangen. Entsprechend gehören ausgeklügelte Bandbreitenmanagement- und QoS-(Quality-of-Service-)Funktionen zur Grundausstattung. So handelt es sich bei Packetshaper um eine Policy-basierende Lösung für den ApplikationsDatenverkehr und das Bandbreitenmanagement, die eine vorhersagbare effiziente Performance für Applikationen bringt, die über Unternehmens-WANs und das Internet übertragen werden. Die Lösung entdeckt und klassifiziert den Datenverkehr einzelner Applikationen im Netzwerk, analysiert die Performance, verteilt die Bandbreite nach der Quality-of-Service und erzeugt Reports über die Service-Level. Die skalierbaren Funktionen von Packetshaper zur Bandbreiten-Bereitstellung und zum Management lassen sich im Internet und bei Network-Service-Providern zum Hosting von IP-Mehrwertdiensten einsetzen. Die Notwendigkeit des Bandbreitenmanagements ist nach jüngsten Erkenntnissen vor al-
32
lem in zwei wichtigen Bereichen eklatant: Zum Schutz und der Priorisierung des Datenverkehrs über langsame Verbindungen am Edge eines Weitverkehrsnetzes (WAN) und zum Schutz und der Priorisierung des Datenverkehrs der Rechenzentren, wo sehr viele Anwender konzentriert sind. Während der erste Bereich bislang von mehreren Herstellern abgedeckt wurde, wurde der zweite zumeist ignoriert. Hoch ausgelastete Rechenzentren sollen von dieser Art Technologie profitieren, sobald die Übertragung nach vertraglich festgelegten Service-Leveln immer häufiger verlangt wird. Der Packetshaper 6500 ist ab sofort in einer Standard- und ISP-Version erhältlich. Die US-Listenpreise reichen von 17.000 bis 34.000 Dollar. Die Produkte werden weitweit über den Distributionskanal von Packeteer sowie Wiederverkäufer, Service-Provider und strategische Partner vertrieben. (sm) Info: Packeteer Europe Tel.: 0031-182/634717 (Holland) Web: www.packeteer.com
Module für Hirschmann Backbone-Switch Hirschmann Electronics präsentiert zwei neue optische Medienmodule für den Backbone-Switch Mach 3000. Mit dem M-Fast8MM-MT unterstützt der Mach 3000 anstelle von bisher maximal 40 nun bis zu 160 Glasfaser-Ports für FastEthernet (100Base-FX). Über das Modul M-ETH-
LANline Spezial Administrator I/2001
4MM-ST lassen sich erstmals auch Netzwerkkomponten mit einer Übertragungsrate von 10 MBit/s (10BaseFL) via Glasfaser an den Backbone-Switch anbinden. Mit den beiden neuen optischen Medienmodulen können einerseits die Anschlusskosten pro 100Base-FX-Anschluß reduziert und anderseits ältere Netzwerkkomponenten mit 10BaseFL prob-
ebenfalls bis zu 20 in den Mach 3000 integrieren lassen, bietet vier Ports nach 10Base-FL (Multimode). Über das Modul können bereits installierte Netzwerkkomponenten mit einer Übertragungsrate von 10 MBit/s via Glasfaser an den Backbone-Switch angeschlossen werden. Ein kostspieliger Austausch von Komponenten ist dabei nicht erforder-
Leistungsfähige Fiber-Optic-Lösung für Fast-Ethernet: das neue Medienmodul M-Fast-8MM-MT von Hirschmann
lemlos an den Mach 3000 angebunden werden. Das Modul M-FAST-8MM-MT eignet sich besonders für Fiberto-the-desk- und Fiber-tothe-machine-Lösungen beziehungsweise für Netztopologien, bei denen zahlreiche Fiber-Optic-Uplinks erforderlich sind. Es verfügt über acht Ports nach 100Base-FX (Multimode) mit platzsparender MTRJ-Steckverbindungstechnik. Über die Ausgänge können Entfernungen von bis zu 2000 Metern via Glasfaserkabel sicher überbrückt werden. Insgesamt lassen sich bis zu 20 solcher Module in den Mach 3000 integrieren. Das Modul METH-4MM-ST, von dem sich
lich. Somit lassen sich bestehende Netze zu vernünftigen Kosten kontinuierlich erweitern. Der speziell für den Anschluss von Industrienetzen an das anspruchsvolle Unternehmens-Backbone konzipierte modulare Switch Mach 3000 wurde Anfang 2000 von Hirschmann auf den Markt gebracht. Durch zahlreiche intelligente und schnelle Redundanzmechanismen eignet er sich besonders für den Aufbau von leistungsfähigen und hochverfügbaren Datennetzen für Ethernet, Fast- Ethernet und Gigabit-Ethernet. (sm) Info: Hirschmann Electronics Tel.: 07127/14- 1872 Web: www.hirschmann.com
www.lanline.de
PRODUKTE INFRASTRUKTUR
Kabellose MultipointBridge für draußen Proxim bringt mit Stratum MP eine im lizenzfreien 2,4GHz-Frequenzspektrum arbeitende Multipoint-Bridge auf den Markt. Die neue Lösung ermöglicht ein rasches und wirtschaftliches Einrichten von Netzwerkverbindungen zwischen Antennenmasten, Bürogebäuden, Schulen und Wohngebäuden für Entfernungen bis zu 15 Kilometer. Stratum MP ist eine kabellose Bridge, die nach dem DSSS-(Direct Sequence Spread Spectrum-)Verfahren nach den Bestimmungen des lizenzfreien 2,4-GHzISM-Bands arbeitet. Das Produkt verfügt über eine 10BaseT-Ethernet-Schnittstelle und enthält eine selbstanpassende MAC-Layer-Bridge. Die Bridge bietet 10 MBit/s Halbduplex-Datendurchsatz in Punkt-zu-Punkt- oder Mehrpunkt-Funknetzen. Durch das echte “Point-to-Multipoint Queuing”-Protokoll und den “Channel Access Fairness”Algorithmus kann der Netzbetreiber die Prioritäten für die Verkehrsabwicklung für jeden Knotenpunkt innerhalb einer Multipoint-Zelle festlegen. Die Abhörsicherheit gemäß der militärischen Transec-Spezifikation wird auf der Ebene der Funkübertragung im Direktsequenz-Code implementiert, so dass nichtautorisierte Personen effektiv daran gehindert werden, das Netzwerk zu benutzen oder die Übertragungen zu belauschen. Stratum MP basiert auf patentierten Technologien von Proxim, die für die Spread-Spectrum-Signalisierung bei hohen Übertragungsraten eine wesentliche Rolle spielen.
www.lanline.de
Mit der Einführung von Stratum MP verfügt Proxim jetzt über das umfangreichste Angebot von kabellosen Netzwerkprodukten für ServiceProvider und Netzwerkmanager in Unternehmen. Die Produktlinien Stratum und Stratum MP umfassen eine Reihe
von Bridge-Lösungen für den Einsatz im Außenbereich, während die Produktlinien Harmony und Symphony für die Vernetzung innerhalb von Gebäuden bestimmt sind. Proxim ist Gründungsmitglied des Wireless LAN Interoperability Forum (WLI-Forum)
und Kernmitglied der Home Radio Frequency Working Group. Stratum MP wird zum Einzelhandelspreis von 2195 Dollar pro Zugang angeboten. (sm) Info: Proxim Deutschland Tel.: 030/243102-177 Web: www.proxim.com
LANline Spezial Administrator I/2001
33
INFRASTRUKTUR
DREI NAS-SERVER IM TEST
Storage im 19-Zoll-Gewand Das Angebot im Markt für NAS-Server nimmt ständig zu. Diesmal haben wir drei NAS-Server getestet, die für den Einsatz in 19-ZollRacks konzipiert wurden. ls erstes Gerät kam der Maxstor Max-Attach NAS 4000 zum Einsatz, bei dem die mitgelieferte Dokumentation ausgesprochen dünn ist. Zum Einbinden des Serves, der neben SMB- und NFS-Diensten auch FTP-Zugriffe zulässt, liefert der Hersteller eine WindowsSoftware namens “Max Neighborhood” mit. Diese Lösung durchsucht das Netz und findet die vorkonfigurierte IP-Adresse des Max-Attach-Geräts. Klickt der Anwender darauf, öffnet sich ein Browser-Fenster, und der NAS-Server fragt in einem ersten Konfigurationsschritt die Zeitzone, das Administrator-Passwort, Server-Namen und Workgroup sowie die zukünftige IP-Adresse ab. Liegt die per Default voreingestellte IP-Adresse in einem anderen Subnetz, weist das Gerät ausdrücklich darauf hin (Bild 1). Dieses “Quick-Setup” lief im Test ohne Schwierigkeiten ab, es muss aber an
A
dieser Stelle darauf hingewiesen werden, dass der Max-Attach keine serielle Schnittstelle und auch keinen Tastatur/Monitoranschluss besitzt, es bleibt also keine Alternative zur Konfiguration übers Netz. Nach dem Zuweisen der neuen IPAdresse ist zunächst ein Reboot erforderlich, der zirka fünf Minuten dauert. Positiv fällt auf, dass die Lösung im Shutdown-Dialog anzeigt, welche Verbindungen gerade offen sind, damit wird der Administrator gewarnt, ein Gerät herunterzufahren, das sich noch in Benutzung befindet. Das Verwaltungs-Tool versetzt ihn auch in die Lage, anzugeben, dass der Server vor dem Herunterfahren bis zu zehn Minuten warten soll, damit die Anwender ihre Verbindungen schließen können. Alternativ arbeitet der Max-Attach klaglos als DHCP-Client, ist aber der DHCP-
Bild 1: Der Max-Attach weist bei der IP-Konfiguration darauf hin, dass er in dasselbe Subnetz eingebunden werden muss wie die Clients
34
LANline Spezial Administration I/2001
Server falsch konfiguriert, merkt sich das Gerät seine letzte gültige IP-Adresse nicht und lässt sich nicht mehr ansprechen. Hier hilft nur ein Rücksetzen auf die Default-Einstellungen mit Hilfe der Reset-Taste, die sich auf der Geräterückseite befindet, und zwar unbeschriftet und klein. Ohne einen entsprechenden Hinweis in der Dokumentation hätten wir sie wohl kaum gefunden. Nach dem Reboot steht die NAS-Lösung von Maxtor unter ihrem ServerNamen im Netz bereit und lässt sich über einen Java-fähigen Browser fernwarten. Hier fällt negativ auf, dass für die Konfiguration keine SSL-Verschlüsselung zur Verfügung steht, was das Überwachen der Daten durch Unbefugte deutlich vereinfacht. Das Konfigurations-Tool selbst ist in acht Unterbereiche aufgeteilt. Für alle stehen umfangreiche HTML-Hilfetexte zur Verfügung, die aber teilweise unvollständig sind und außerdem manchmal Unsinn erzählen, zum Beispiel findet sich im Hilfetext zu NFS der Satz “The NFS capability facilitates importing and exporting files from/to Unix workstations via telnet”. Im Bereich “Home” finden sich generelle Infos über den Prozessor, die Betriebssystemversion und Ähnliches. Darüber hinaus kann der Administrator sich an dieser Stelle schnell über die aktuelle Netzwerkkonfiguration und den
Bild 2. Der Max-Attach NAS 4000 unterstützt die Validierung über NTDomain-Server
www.lanline.de
INFRASTRUKTUR
Disk-Status informieren sowie Warnungsmeldungen des Systems einsehen. Unter “Share Folders” zeigt das Tool die vorhandenen Shares an und ermöglicht die Vergabe von Zugriffsrechten nach Benutzer- und Gruppenzugehörigkeit.
dient und führt die WINS-Konfiguration durch. Der Menüpunkt “Manage Disk” wickelt die RAID-Konfiguration ab und ist sehr übersichtlich gestaltet. In unserem Testgerät befanden sich vier Festplatten, die sich als einzelne Laufwerke (Kapazität gesamt 286,42 GByte), als “Pair of Spanned Discs” (ebenfalls 286,42 GByte) oder, falls Redundanz gewünscht wird, als “Mirrored Individual” beziehungsweise als “Mirrored Spanned” (Default) mit jeweils 143,21 GByte konfigurieren lassen. Auch Formatierungen werden hier durchBild 3. Das RAID-Konfigurations-Tool des Max-Attach führt sicher niemanden in die Irre geführt, wobei es übrigens möglich ist, die privaten Die Benutzer und Gruppen selbst User-Directories zu erhalten, allerdings werden schließlich unter “Manage nicht die Daten darin. Immerhin erspart Users” angelegt. Für den Zugriff via dieses Feature das Neuanlegen dieser NFS lassen sich benutzerspezifische Verzeichnisse, das bei einer hohen AnNFS-User IDs vergeben, um den An- wenderzahl sehr mühselig sein kann. wenderdateien auf dem Server die gleiDer Punkt “Configuration” ruft einen chen Rechte zu geben, die sie auf seiner Wizard auf, der für das schnelle Einlokalen Workstation auch hätten. Aller- richten das Servers gedacht ist. Er fragt dings wird nirgends erklärt, wozu man Zeitzone, Administrator-Passwort sodas braucht, ohne Unix-Kenntnisse wie Server-Namen und Workgroup ab. lässt einen der Max-Attach hier im ReDer vorletzte Punkt “Tools” enthält gen stehen. Neben dem Definieren der Werkzeuge für die allgemeine AdminisBenutzer und Gruppen erfolgt an dieser tration. “Date/Time” zeigt einen KalenStelle das Festlegen der Gruppenmit- der an und gestattet das Verändern der gliedschaften sowie der Validierungs- Zeiteinstellungen. “E-Mail” ermöglicht methode: Entweder per Log-in am das Verschicken von Fehlermeldungen NAS-Server oder Authentifizierung via per Mail, und zwar in den Stufen High Domain-Server. (nur die wichtigsten Meldungen), High Unter “Manage Network” legt der and Low sowie None. Über den Punkt Administrator Faktoren wie IP-Adres- “Update” lässt sich eine neue Betriebsse, Subnetmask, Gateway und zu ver- systemversion einspielen. “Shutdown” wendende DNS-Server fest oder gibt umfasst den schon beschriebenen Diaan, dass das Gerät als DHCP-Client ar- log zum Herunterfahren und Neustarbeiten soll. Zusätzlich gibt er Server- ten. Unter “Backup” wird eine SicherNamen und Workgroup an, definiert, ob heitskopie der Konfiguration angelegt, die Lösung als DHCP-Server im Netz was automatisierbar ist. Zum Zurück-
www.lanline.de
LANline Spezial Administration I/2001
35
INFRASTRUKTUR
Bild 4. Auch der Quantum-Snap-Server verfügt über ein übersichtliches RAID-Konfigurations-Tool
spielen der Backups dient die “Restore”-Funktion. Die SNMP-Konfiguration schließt den Bereich “Tools” ab. Die beiden letzten Punkte sind “Help”, was zu der schon beschriebenen Online-Hilfe führt und “Log-out” was selbsterklärend ist. Abschließend sollte noch erwähnt werden, dass ein TelnetZugriff auf den Free-BSD basierten Server möglich ist (allerdings kein SSH), und dass der Hersteller ein Backup-Tool namens “Reflect-IT” mitliefert, das automatische Sicherungen oder Real Time Mirroring der Daten von Clients auf dem Server ermöglicht. QUANTUM SNAP SERVER 4100 Das
Handbuch des Snap-Servers ist ausführlicher als das des Max-Attach und beschreibt die einzelnen Arbeitsschritte etwas genauer. Zum Zuweisen der IPAdresse steht eine Software für Windows und MacOS zur Verfügung, über die ein so genannter Quickstart durchgeführt wird. Dabei fragt das Tool nach dem Administrator-Passwort, den Server-Namen, der Zeit (die sich auch von Client importieren lässt) sowie nach IP-Adresse, Netzmaske und optional Gateway und WINS-Einstellungen. Auch beim SnapServer gibt es keine Alternative zur Konfiguration übers Netz, das Gerät verfügt weder über eine serielle Schnittstelle noch über einen Monitor/Tastaturanschluss.
36
Bild 5. Die Seite mit dem Datenträgerstatus hält den Administrator des Snap-Servers beim Einrichten der Volumes auf dem neuesten Stand
Nach dem üblichen Neustart steht die Quantum-Lösung im Netz bereit, die Administration erfolgt über HTTP. SSL sucht man hier ebenfalls vergebens. Das Konfigurations-Tool ist in fünf Menüpunkte aufgeteilt, der erste nennt sich “Quick Configure” und geht etwas über die Quickstart-Einstellungen hinaus. Neben den allgemeinen Angaben zu Name, Zeit, IP und Netmask kann der Administrator bestimmte Dienste aktivieren oder deaktivieren: Windows File Sharing, NFS sowie Macintosh- und Novell-File-Sharing. Im Anschluss fragt das Tool den Administrator nach Angaben zu Workgroup und Domäne. Danach wird festgelegt, ob nur Administratoren oder alle Benutzer auf die Web-Dienste zugreifen dürfen. Zum Schluss erfolgen noch Hinweise auf Sicherheits- und Datenträgerkonfiguration, die getrennt erfolgen. Der zweite Hauptpunkt befasst sich noch einmal genauer mit den ServerEinstellungen. Neben der Konfiguration von Name und Zeit können die Verantwortlichen Fehlerbenachrichtigungen per E-Mail einrichten und einen Facory Reset durchführen, und zwar getrennt nach Zurücksetzen der IP-Adresse, der gesamten Netzwerkeinstellungen oder der kompletten Konfiguration. Auch ein Neustart wird an dieser Stelle durchgeführt, wobei die Lösung bei Bedarf genau wie der Max-Attach die der-
LANline Spezial Administration I/2001
zeit geöffneten Dateien anzeigt. Ein weiteres Feature in diesem Bereich liegt im Ändern von Sprache und Codepage. Hier ist allerdings Vorsicht geboten: Das Ändern der Sprache führt zum Verlust aller Netz- und Sicherheitseinstellungen, während beim Ändern der Codepage sichergestellt werden muss, dass alle Clients dieselbe Codepage wie der Server verwenden, sonst können sie eventuell nicht mehr auf vorhandene Dateien und Ordner zugreifen. Die Warnungen sind allerdings ausreichend, sodass kaum jemand “aus Versehen” an den Einstellungen herummanipulieren wird. Eine Anzeige der aktuellen Server-Einstellungen schließt diesen Menüpunkt ab. Im nächsten Schritt geht es an die Netzwerkeinstellungen. Zunächst kommen die bekannten Standardeinstellungen wie IP, Netmask, Gateway und WINS an die Reihe, falls kein Betrieb als DHCP-Client gewünscht wird. Anschließend hat der Administrator wieder die Möglichkeit, die einzelnen Dienste, also Windows-, Netware-, MacOS- und Unix-Connectivity ausoder einzuschalten. Bei zwei Diensten gibt es noch zusätzliche Konfigurationsoptionen. Bei Windows-Netzwerken sind das die Angabe von Arbeitsgruppe/Domäne und die Möglichkeit, Netbios über TCP/IP, Netbeu oder beide Protokolle zu transportieren. In Ap-
www.lanline.de
INFRASTRUKTUR
ple-Netzen kann der Administrator Ver- Netz kein Sicherheits-Server zur Verfü- ebenfalls im Menü Sicherheit, das bindungen über TCP/IP zulassen, Zo- gung, können die Administratoren ein- durch eine Anzeige der aktuellen Sinennamen definieren oder auch Server- zelnen Benutzern den Zugriff auf ganze cherheitseinstellungen abgeschlossen Namen zu Gemeinschaftsordnern hin- Datenträger oder auf einzelne Ordner wird. zufügen, damit auf Der letzte Punkt enthält die Datenträden Clients eindeugerdienstprogramme. Hier können die tig angezeigt wird, Verantwortlichen die Dateisysteme um welchen Ordner überprüfen und reparieren. Tauchen daauf welchem Server bei Fehler auf und die automatische Rees sich handelt. paratur ist deaktiviert, nimmt der SnapDer nächste Server die betroffenen Datenträger aus Punkt dient zur dem Netz. Innerhalb des DienstproKonfiguration des gramme-Menüs gibt es darüber hinaus Web-Servers. Hier die üblichen Tools zum Umgang mit gibt es wieder die den Festplatten wie eine Funktion zum Möglichkeit, WebAngeben der Datenträgerbeschreibung Dienste für alle oder einen Formatierungsbefehl. Auch User oder nur für die RAID-Konfiguration findet an dieAdministratoren ser Stelle statt. In unserem Snap-Server freizuschalten. befanden sich, ähnlich wie in der MaxAußerdem lässt Bild 6. Ein Wehrmutstropfen im Test: Der Snap Server stürzt reprodutor-Lösung, vier Festplatten mit jeweils sich das Web-Root- zierbar mit einem Protection Fault ab, wenn man zwei gespiegelte Volu- 27,99 GByte, die defaultmäßig als mes anlegen will Verzeichnis festleRAID-5-Array kommen. Alternativ gen und definieren, sind Spiegelungen, Stripe Sets und die welche Eigenschaften die angezeigte gewähren beziehungsweise verweigern. Definition von Reservefestplatten mögHomepage haben soll. Neben der Op- Die Benutzerverwaltung erfolgt auf die lich. Das dafür gedachte Konfiguration, eine benutzererstellte Seite (etwa übliche Art, mit Nutzern, Gruppen und tions-Tool macht ebenfalls einen ausgefür Intranets) zu verwenden, gibt es reiften und überauch eine automatisch erstellte Homesichtlichen Einpage, die beispielsweise Links zu “Addruck, negtiv fiel ministration” und “Aktiven Benutzern” lediglich auf, dass enthalten kann. Den Abschluss der das Testgerät reWeb-Server-Konfiguration bilden die produzierbar mit Definition von so genannten “Verknüpeinem Protection fungs-URLs”, mit denen ein Web-BeFault abstürzte, als nutzer zu einem bestimmten Ordner wir versuchten, mit innerhalb einer Netzwerkfreigabe geden vier Platten langt, sowie die Definition der Mimezwei gespiegelte Types und die Anzeige der aktuellen Volumes anzuleNetzwerkeinstellungen. gen. Der nächste Der vierte Menüpunkt befasst sich Unterpunkt befasst mit der Sicherheit. Ein übersichtlicher sich mit den Datenund ausführlicher Assistent erklärt zuträgerstarteinstelnächst einmal das Sicherheitskonzept Bild 7: Das Überwachen der Lüfter ist für den Administrator des Prolungen, das heißt, des Snap-Servers und zeigt, wo es bei com Netforce 1500 kein Problem hier wird festgeder Konfiguration Fallstricke gibt. Vor legt, ob der Snapallem für etwas unerfahrenere AdminisServer die Datentratoren ist das eine große Hilfe. Dann NFS-User-IDs. Letztere werden auch in träger beim Start immer prüfen soll oder geht es an die eigentliche Konfigura- der übrigens deutschsprachigen Hilfe- nur dann, wenn Probleme vermutet wertion: In Netzen mit NT-Domain-Server datei erklärt. Die Gruppenverwaltung den. Auch die automatische Reparatur lässt sich die NT-Domänen-Sicherheit hält sich an die bekannten Standards. lässt sich an dieser Stelle ein- und ausverwenden. Vergleichbares gilt für die Die Definition der Shares und der dazu- schalten. Zum Abschluss der KonfiguNetware-Server-Sicherheit. Steht im gehörigen Zugriffsrechte geschieht ration hat der Administrator außerdem
38
LANline Spezial Administration I/2001
www.lanline.de
INFRASTRUKTUR
noch die Möglichkeit, den aktuellen Datenträgerstatus anzuzeigen. Für einen schnellen Überblick über die Server-Nutzung bietet die Homepage des Konfigurations-Tools noch Links zu den aktiven Anwendern, den offenen Dateien und zum System-Log. Anders als die Maxstor-Lösung bietet der Snap-Server
mitgelieferten CD, was für ein HighDas Administrations-Tool selbst wurend-Produkt etwas wenig ist. Auch die de, vergleichbar mit den KonfiguraOnline-Hilfe macht einen relativ dürfti- tionswerkzeugen der anderen Produkte gen Eindruck, die Dokumentation im Test, in eine Menüstruktur unterteilt. scheint also keine Stärke von Procom zu Das erste befasst sich mit der Backupsein. Verwaltung. Hier kann sich der AdmiDer Netforce 1500 verfügt, anders als nistrator über den Status des letzten die beiden zuvor getesteten Lösungen, Backups, des letzten Restores und des über redundante letzten Head-Cleanings informieren Netzteile mit zwei oder auch die laufenden Prozesse anzeiAnschlüssen für gen. Im nächsten Unterpunkt lassen Netzwerkkabel, um sich die Backup-Jobs definieren. Abgedie Ausfallsicher- schlossen wird die Backup-Verwaltung heit zu erhöhen. durch den Bereich “Operation”, wo sich Um Backups durch- die Backup-Logs sowie die Funktionen zuführen, enthält für Restore und das Reinigen der Köpfe das Gerät eine befinden. SCSI-Schnittstelle, Unter “Statistics” finden sich Inforan der sich ein mationen zum Typ des Geräts, zur VerBandlaufwerk an- sion des Betriebssystems, zu Status und Kapazität der installierten Volumes soBild 8. Alternative zum Web-Interface: Procoms Telnet-Administrations- schließen lässt. tool arbeitete teilweise zuverlässiger als die Browser-basierte Lösung Die Inbetriebnah- wie zu CPU- und Speicherauslastung. me ist verhältnismä- Auch Umgebungsvariablen wie Tempeßig einfach, da die ratur, Spannung oder Zustand der Lüfweder FTP-, noch Telnet-Zugang. Quan- IP-Adresse entweder via DHCP oder ter und Netzteile werden an dieser Steltum legt ihm aber ebenfalls eine Backup- über ein Panel direkt am NAS-Server le angezeigt, genauso wie die verbundeSoftware für Clients bei, die “Power eingestellt werden kann. Für die HTTP- nen Client-Rechner. Der wichtigste Punkt ist sicher “AdQuest Data Keeper Snap Edition”, die basierte Administration, die über Javaebenfalls das Sichern der Client-Daten Applets abläuft, sind der Internet Explo- min”, denn er enthält alles zum Verwalauf dem Server automatisiert und Real rer 5.0 beziehungsTime Mirroring ermöglicht. Dieses Tool weise Netscape 4.7 gibt bei der Auswahl des Ziel-Share so- oder neuer erfordergar Sicherheitshinweise, beispielsweise, lich. Um die Erstzu wenn man es so konfiguriert, dass die konfiguration Client-Daten in einem öffentlichen Ord- vereinfachen, stellt ner landen. Zusätzlich kann es bei einem auch Procom einen Server-Ausfall die Dateien in einem lo- Wizard zur Verfükalen Verzeichnis ablegen, um die Siche- gung, der jedoch nicht automatisch rung nicht zu unterbrechen. startet, sondern im NETFORCE 1500 Das nächste Gerät, Menü unter der Procom Netforce 1500, fällt etwas Tools/Setup eingeaus dem Rahmen, da es sich mit einer ordnet ist. Arbeitet Speicherkapazität von bis zu 730 GBy- man sich systemate mit maximal zehn Festplatten und tisch durch die MeRAID-Support der Level 0, 1, 3, 5 so- nüs, taucht der Wi- Bild 9. Das Fenster zur Anzeige des System-Logs ist beim Netforce wie 10 ganz klar an anspruchsvollere zard erst dann auf, 1500 viel zu klein Aufgabengebiete wendet, als die beiden wenn das Setup bereits zum größten Lösungen von Maxstor und Quantum. Zum Lieferumfang gehört kein Hand- Teil abgeschlossen ist. Immerhin steht ten des Servers erforderliche. Dazu gebuch, sondern nur ein “Getting Star- auf dem Handzettel, wo sich der Wizard hören die Sicherheitseinstellungen, die ted”-Zettel, die Handbücher befinden befindet, es lohnt sich also doch, auch das Verwalten der User und Gruppen sowie das Mapping der Rechte zwisich lediglich als PDF-Dateien auf der dürftige Dokumentationen zu lesen.
40
LANline Spezial Administration I/2001
www.lanline.de
INFRASTRUKTUR
schen Windows- und Unix-Maschinen king und WINS einzurichten. Zum kleinen Fenster anzeigt und dass der ermöglichen. Außerdem kann der Ad- Schluss fragt er noch nach den Empfän- Administrator auch spezifische E-Mailministrator hier Host-Accounts einrich- gern von E-Mail-Benachrichtigungen Adressen als Support-Liste anlegen ten und sein Passwort festlegen. und nach der Uhrzeit. kann. Der Bereich Unser Testsystem verfügte über vier “Networking” umPlatten, von denen als Default drei als fasst die IP-KonfiRAID-5-Array konfiguriert waren, die guration, das Einvierte diente als Spare, damit kam das binden in WinGerät auf eine Speicherkapazität von dows-Netzwerke 34124 MByte. Die Volume-Verwaltung via Domain oder funktionierte klaglos negativ fiel aber Workgroup und die auf, dass sich mit der HTTP-basierten Kommunikation im Oberfläche keine Benutzer anlegen lieUnix-Netzwerk. ßen. Ebenso wenig war es möglich, Darüber hinaus Host-Accounts zu löschen. Das funktiostellt das Tool Stanierte nur via Telnet, über dieses Prototistiken über die koll steht alternativ eine textbasierte übertragenen PakeVerwaltungsoberfläche zur Verfügung. te, die NIC-Konfi- Bild 10. Sehen aus wie Zwillinge: Maxstors Max-Attach NAS 4000 und SSL und SSH sucht man auch bei der Quantums Snap Server 4100 guration und das Procom-Lösung vergebens. Routing zur Verfügung. FAZIT Alle drei NAS-Server haben Der Unterpunkt “Software-Update” noch leichte Macken, lassen sich aber Das Anlegen und Löschen von Datenträgern erfolgt unter “File Volume”, das soll den Download von Updates und de- relativ schnell und einfach in Betrieb Menü “Configuration” ermöglicht das ren Installation ermöglichen. Beim Ver- nehmen und erfüllen im Großen und Einrichten von Checkpoints, Quotas such, ein Update zu bekommen, fand Ganzen die Erwartungen. Leider und Segments. Wichtig ist in diesem sich aber nur eine US-Telefonnummer scheint keiner der Hersteller der MeiZusammenhang, dass der Netforce nung zu sein, dass 1500 pro Volume maximal 16 Checkes sich lohnt, Sipoints (bei denen eine Momentaufnahcherheitsfunktiome des Dateisystems gemacht wird) aknen wie SSL oder zeptiert, da diese sehr viele SystemresSSH zu implemensourcen belegen. tieren, was zu einer “SMB/CIFS” dient zum Anlegen und Zeit, in der KryptoVerwalten der Windows-Shares, analog grafielösungen dazu werden unter “NFS” die Exports freigegeben wurfür Unix-Systeme definiert. “Status” den, ziemlich unenthält Informationen zum freien Platz verständlich ist. auf den Laufwerken und das RAID-MaAuch bei der Dokunagement, das auch bei diesem Gerät mentation gibt es grafisch und sehr übersichtlich ist, noch Abstiche, die schließt diesen Menüpunkt ab. allerdings nicht so Bild 1. Blau macht glücklich: Der Procom Netforce 1500 Im letzten großen Unterpunkt sehr ins Gewicht “Tools” finden sich die üblichen Werkfallen, da die Geräzeuge zum Konfigurieren von Zeitzone, auf der Procom-Homepage mit dem te immer selbsterklärender werden. E-Mail-Notification und SNMP. Hier Hinweis “call for further information”. Auffällig ist der Trend, NAS-Server als ist auch der oben bereits angesprochene Abgeschlossen wird das Konfigura- Backup-Lösung für die angeschlosseWizard, der die Konfiguration, wenn tions-Tool durch die selbsterklärenden nen Clients zu verwenden, was sicher man ihn findet, dadurch vereinfacht, Punkte “Shutdown Server”, “Display Sinn macht, wenn die Server mit redundass er den Server-Namen und die System Log”, “E-Mail an Support”, danten RAID-Arrays konfiguriert wurDHCP-Konfiguration abfragt und an- “Enable UPS-Monitoring” und “Lang- den. Ein echtes Backup ersetzt das allerschließend bei Bedarf dabei hilft IP, Ga- uage”. Hierzu ist nur zu sagen, dass der dings nicht. teway, DNS, NIS, Windows Networ- Server das Systemlog in einem viel zu (Götz Güttich)
42
LANline Spezial Administration I/2001
www.lanline.de
INFRASTRUKTUR
IM TEST: OFFICE-LIC
Sicherer Web-Zugang Um Workgroups und kleinere Netze via Standleitung oder ISDN ans Internet anzubinden, eignen sich Plug-and-Play-Lösungen wie der Linux-basierte Office-LIC (LAN Internet Connect) der Twisd AG, der in der Basisversion bis zu 60 Arbeitsplätze vernetzen kann. Wir haben dieses Produkt im Praxiseinsatz unter die Lupe genommen.
ereits beim Auspacken des Office-LIC fiel positiv auf, dass alle Komponenten, die man braucht, wie mehrere Netzwerkkabel, mit zum Lieferumfang gehören. Auch die Dokumentation ist mir ihren zirka 100 Seiten Umfang ausreichend. Zum Zugriff auf das Gerät muss einer Workstation eine IP-Adresse aus dem Subnetz 192.168.0.X zugewiesen werden, denn die werksmäßig voreingestellte Adresse des LIC lautet 192.168.0.1, was in vielen Fällen problematisch sein dürfte wenn das LAN mit einem anderen Adressbereich arbeitet. Immerhin liefert der Hersteller für solche Fälle ein Crossover-Kabel mit, über das der Anwender eine Arbeitsstation direkt an das
B
Gerät anschließen kann. Diese Konfigurationsmethode ist jedoch etwas umständlich, eine bessere Alternative liegt darin, Monitor und Tastatur direkt an die Lösung anzuschließen und zumindest die IP-Konfiguration lokal vorzunehmen. Der Rest lässt sich dann, wie bei solchen Geräten üblich, über ein Browserinterface abwickeln und zwar mit einem Administrations-Tool, das über eine übersichtliche, Explorer-ähnliche Baumstruktur verfügt. Beim Eintragen der wichtigsten Einstellungen hilft “Lola”, der LIC Online Assistant. Er bietet insgesamt vier Wizards und zwar für Netzwerk und Verbindung, Sicherheit und Firewall, Basis- und Dienste-
Die beliebig definierbaren freien Dienste stehen jedem Mitarbeiter im Netz zur Verfügung
44
LANline Spezial Administration I/2001
konfiguration sowie Benutzer und Gruppen. Zum Zugriff auf das Internet verwendet der Office-LIC sowohl eine Standleitung als auch eine ISDN-Verbindung, die sich beide unter Netzwerk/Allgemein einfach konfigurieren lassen. Ein typisches Einsatzgebiet für so eine Kombination wäre beispielsweise eine Anbindung des Unternehmens via Standleitung, für die der ISDN-Anschluss einspringt, wenn sie ausfällt. Das Einbinden des Geräts ins Netz stellte im Test kein Problem dar. Um allen Mitarbeitern unbeschränktes Surfen zu ermöglichen, reicht es, den LIC ins Netz einzubinden und auf den ClientRechnern als Proxy einzutragen. Will das Unternehmen aber den Zugriff der Mitarbeiter auf das Internet beschränken, müssen diese als Benutzer auf dem Office-LIC angelegt werden. Dabei ist nur zu beachten, dass der User-Name mindestens fünf Zeichen lang sein muss, sonst gibt es später einen ungültigen Log-in. Wie unter UnixSystemen üblich, kann der Administrator den Nutzer einer Gruppe mit vordefinierten Rechten zuordnen. Alternativ hat er die Möglichkeit, bestimmten Nutzern individuelle Rechte zuzuordnen, das gleichzeitige Definieren von Gruppen- und individuellen Rechten geht aber nicht, in diesem Fall haben die Gruppenrechte Vorrang. Um den Internet-Zugriff zu steuern, bietet der LIC umfangreiche Filterfunktionen.
Versucht ein Anwender, auf eine gesperrte Seite zu surfen, so macht ihm der Office-LIC eindeutig klar, dass das nicht geht
www.lanline.de
INFRASTRUKTUR
Diese Filter lassen sich für jede Gruppe beziehungsweise jeden Nutzer individuell anpassen. Bei den Online-Zeiten definiert der Administrator, in welchen Zeiträumen der Internet-Zugang freigeschaltet wird, zum Beispiel wochentags zwischen 8 und 17 Uhr. Mit den Zeitlimits kann er die Online-Zeiten begrenzen, beispielweise zwei Stunden am Montag, eine halbe Stunde am Dienstag und eine Stunde am Mittwoch. Der Dienstefilter schaltet nur bestimmte Dienste wie etwa FTP oder SSH für den Anwender frei. Mit dem URL-Filter lassen sich schließlich bestimmte Seiten sperren, beziehungsweise explizit für den User freigeben. Dabei sind Wildcards zugelassen, der Eintrag *game* sperrt alle Seiten, die die Zeichenfolge game enthalten. Unter den Systemeinstellungen erfolgt die eigentliche Konfiguration des OfficeLIC. Dazu gehören die Angaben über den Administrator, die Zeitzone und die Netzwerkeinstellungen. Der LIC bietet an dieser Stelle die Möglichkeit, mehrere Netzwerke miteinander zu verbinden, was für Unternehmen mit getrennten Standorten interessant ist. Das funktioniert sowohl über Standleitung als auch über ISDN. Die Lösung bietet darüber hinaus die Funktion, zusätzlich zu den gängigsten Internet-Diensten, die bereits definiert sind, eigene Dienste unter Angabe von Protokoll und Port einzutragen. Alle Dienste lassen sich dann mit Hilfe der Firewall-Funktion freigeben oder sperren, es besteht aber auch die Möglichkeit, freie Dienste einzurichten, die jeder Mitarbeiter ohne Anmeldung beim LIC nutzen kann. Der Office-LIC stellt folgende ServerDienste zur Verfügung: FTP, DHCP, FAX und Mail. Letzterer Dienst arbeitet in Kombination mit einer Standleitung als eigenständiger Server, der die Mail-Konten alleine verwaltet und macht so einen externen Mail-Provider überflüssig. Die Zusammenarbeit mit externen Konten funktioniert allerdings auch. Was die einzelnen Postfächer angeht, besteht die Möglichkeit, das Fassungsvermögen einzuschränken, eine Abwesenheitsmitteilung zu aktivieren, Aliase hinzuzufügen sowie interne und externe Weiterleitungen zu definieren. Als weiterer Dienst wurde ein VPN-Mo-
46
Im Test kam ein Gerät zum Einsatz, das über einen AMD K6/2 mit 300 MHz, eine 6,5 GByte IDEHarddisk und 128 MByte RAM verfügte. Das zugrundeliegende Betriebssystem ist Debian GNU/Linux 2.2, mit einem Kernel 2.2.17, der vom Hersteller mit zusätzlichen Security-Patches “gehärtet” wurde. Nach Angaben von Twisd lässt sich dank dieser Das Konfigurationsmenü für den Faxdienst des Office-LIC Sicherheits-Patches (“Stealth Shield”) nicht herausfinden, dul, das 3DES verwendet, mit installiert, welches Betriebssystem auf dem LIC läuft, dieses schaltet der Hersteller allerdings nur da die Lösung bei diesbezüglichen Anfragegen eine Zusatzgebühr frei. gen stets unterschiedliche Antworten wie Unter “Netzwerknutzung” stehen dem Solaris oder Amiga zurückmeldet. AußerAdministrator Statistiken über die Surfge- dem setzt der Hersteller die so genannten wohnheiten der Nutzer und Gruppen zur “Deamon-Tools” ein, die abgestürzte ProVerfügung. Auch die einzelnen Verbin- gramme gleich neu starten, damit keine Sidungen kann er detailliert einsehen und bei cherheitslücken entstehen. Das spielt beBedarf trennen. Was die Online-Zeiten an- sonders beim Betrieb an einer Standleitung geht, bietet Office-LIC ebenfalls Statisti- eine große Rolle. NFS-Support befindet ken über das Verhalten der User, was dabei sich zur Zeit in der Beta-Phase. Übrigens hilft, Umfang und Kosten der Internet-Zu- ist Twisd im Gegensatz zu manchem Kongriffe im Blick zu behalten. Darüber hinaus kurrenten nicht bereit, den Kunden das ist der Proxy-Server in der Lage, Statisti- Root-Passwort für ihre Office-LICs mitzuken über bestimmter Domains, Dateitypen teilen, da das Unternehmen den Ansatz und Benutzer anzuzeigen. Die Systemin- verfolgt, eine Art “Black Box”-Plug-andformationen geben Aufschluss über die Play-Lösung anzubieten. tägliche, wöchentliche, monatliche oder Der Office-LIC spezialisiert sich voll und jährliche Auslastung des Geräts in Bezug ganz auf die Aufgabe, LANs ans Internet anauf Systemlast, verfügbaren Arbeitsspei- zubinden. Für zusätzliche Einsatzgebiete cher, Prozessorlast, Speichermedien und wie File- oder Web-Server ist er nicht geeignet. Mit dem Ansatz “weniger ist mehr” Verbindungen. Zu den Systemwerkzeugen gehört eine hinterlässt er einen ausgesprochen guten Backup-Funktion, die lokal oder via Eindruck, das Sicherheitskonzept überzeugt, FTP/SMB auf anderen Rechnern Sicher- die Funktionen, die das Gerät erfüllen soll, heitskopien anlegt, sich automatisieren wurden gut durchdacht implementiert. Silässt und bei Problemen den Administrator cherheitslücken wie Telnet-Zugriffe existieper E-Mail benachrichtigt. Darüber hinaus ren nicht, die Fernwartung erfolgt via SSH. gibt es Tools zum Herunterfahren des LIC, Nur ein ganz kleiner Kritikpunkt fiel im Test zum Zurücksetzen der Konfiguration auf auf: Für ein Gerät, das typischerweise in eiWerkseinstellungen und zum Update der nem Büro steht, ist der Lüfter zu laut. (Götz Güttich) LIC-Software.
LANline Spezial Administration I/2001
www.lanline.de
INFRASTRUKTUR
NETZWERKDESIGN UND KAPAZITÄTSPLANUNG
Heute schon das Netzwerk von morgen Mit Hilfe von Simulations-Software kann der Netzwerkdesigner bereits im Vorfeld sicherstellen, dass sein Netzwerk für die Zukunft gerüstet ist. Dazu muss allerdings die Simulations-Software entsprechende “Freiheitsgrade” beim Erstellen von Modellen sowie bei der Parametrisierung bieten. Auch die Unterstützung der wesentlichen Netzwerkprotokolle ist dabei von ausschlaggebender Bedeutung.
rotz zunehmender Abhängigkeit des Unternehmenserfolgs von der Leistungsfähigkeit und Verlässlichkeit der ITStrukturen ist eine systematische Kapazitätsplanung in vielen Unternehmen hierzulande vielfach unzureichend etabliert. All zu oft werden aus Unwissenheit die Kapazitäten völlig falsch dimensioniert, um eine gewünschte Dienstgüte in Form von Transaktionsdurchsatz und Antwortzeiten zu erreichen. Gerade neuartige, breitbandige (insbesondere multimediale) Anwendungen benötigen allerdings spezifische Dienstgarantien, um für einen realistischen Einsatz in Frage zu kommen.
T
Daraus resultiert der Bedarf für ein Werkzeug, das in der Lage ist, große Netzstrukturen abzubilden und Erkenntnisse über das Verhalten spezifischer Applikationen in kleinen Testumgebungen auch auf das gesamte Firmennetzwerk zu übertragen, um so Schwachstellen vorausschauend zu erkennen. Mit Hilfe einer solchen Kapazitätsplanung sind Leistungsprognosen für zukünftige Konfigurationen und Lastszenarien in Form von Service-Level-Agreements zu treffen. Mit dem IT Decision Guru (ITDG) steht ein Werkzeug bereit, das es Systemund Netzwerkadministratoren sowie An-
Bild 1. Darstellung eines europaweiten Beispielnetzwerks
48
LANline Spezial Administration I/2001
wendungsentwicklern ermöglicht, heute schon fundierte Aussagen über das “Netzwerk von morgen” zu machen. Unter Verwendung von Netzwerkdienstmanagement- und Messdaten kann der ITManager über eine grafische Benutzeroberfläche seine IT-Infrastruktur exakt nachbilden. Der ITDG bietet hierbei die Möglichkeit, bestehende Netzpläne aus Netzwerkmanagementsystemen wie HP Network Node Manager oder Tivoli Netview zu importieren. Innerhalb eines Simulationsprojekts können mehrere Szenarien verwaltet werden. So lassen sich sowohl das bestehende Netz auf Schwachstellen überprüfen als auch mögliche Ausbaustufen simulieren. Der IT-Manager ist somit in der Lage, mit Hilfe von SLOs (Service Level Objectives) Garantien über Dienstequalitäten zu geben und auch durch die Skalierbarkeit der Lasten die Grenzen der einzelnen Szenarien aufzuzeigen. Um eine möglichst realistische Simulation zu erreichen, bietet der ITDG neben einer Vielzahl an Applikationsprofilen die Möglichkeit, mit Hilfe des ACE-Moduls (Application Characterization Environment) das Verhalten von Anwendungen zu messen und hieraus neue Applikationsprofile zu erstellen. Hierbei wird der Paketfluss vom Client zum Server protokolliert, um dann mittels ACE importiert und anschließend parametrisiert zu werden. Auf diese Weise erhält der IT-Manager ein sehr genaues Bild der Anwendung und deren Verhalten. Mit Hilfe des Applikationsprofils lässt sich nun die Anwendung selbst sowie das bestehende Netzwerk für diese Applikation optimieren. Oftmals weisen neben mangelhaften Netzwerkkapazitäten auch die Anwendungen selbst Defizite auf, welche sich kostengünstiger beheben lassen, als die Kapazitäten innerhalb des Netzwerks immer wieder neu zu erweitern. Man denke hier einmal an ein Firmennetzwerk verteilt auf zwei Standorte, welche über eine Standleitung miteinander verbunden sind. Standort B greift mittels firmenintern entwickelter Software auf den Datenbank-Server von Standort A zu. Auf-
www.lanline.de
INFRASTRUKTUR
den Server vielleicht in drei statt früher einmal zehn Paketen abgehandelt werden. Hierdurch werden die Antwortzeiten optimiert und letztendlich auch immense Kosten gespart, die sonst für Kapazitäten investiert worden wären, welche wenig bis gar keine Besserung gebracht hätten. Anhand dieses Bild 2. Übersicht einer Applikationsanalyse mittels ACE kleinen Beispiels lässt sich der Return of Investment segrund schlechter Antwortzeiten des Ser- hen. Verfügt unsere oben genannte Firma vers wird nun erwogen, den Server über eine 64-kBit/s-Standleitung über 80 und/oder die Standleitung aufzurüsten. Kilometer, und hat an beiden Enden der Dies ist aber eventuell gar nicht nötig, Standleitung gemietete Router, so beda die Client-/Server-Kommunikation zahlt sie etwa 1000 Mark im Monat. Die der Software aufgrund von garantierba- Umstellungskosten auf eine 2-MBit/sren Service-Level-Agreements optimiert Leitung mit zwei neuen Routern und eiwerden kann. Im einfachsten Fall können nem Vertragsabschluß über zwei Jahre zum Beispiel die Datenpakete einfach würden sich dann auf etwa 5000 Mark vergrößert werden, da man garantieren pro Monat belaufen, was hochgerechnet kann, dass die Pakete bis zu einer be- auf die gesamte Vertragsdauer immerhin stimmten Größe auf dem Weg zum Ser- schon mit 120.000 Mark ins Gewicht falver nicht mehr in kleinere Pakete aufge- len würde. Ein Betrag, welcher alleine teilt werden. So kann eine Anfrage an schon die Anschaffung eines ITDG mitsamt des ACE-Moduls rechtfertigt. Zukünftig steht der ITDG noch zur Bearbeitung weiteren Fragen zur Verfügung, von denen die Firma auch in den nächsten Jahren (bei der raschen Entwicklung in der ITBranche) profitieren würde. Immer wieder tauchen neue Begriffe wie Voice over IP, Mobile Computing oder VPNs auf, die zwar Bild 3. Service-Level-Agreements und deren Verletzung
www.lanline.de
LANline Spezial Administration I/2001
49
INFRASTRUKTUR
alle fortschrittlich sind und von deren Nutzen man sich auch schnell überzeugen lassen kann, die jedoch auch an Ressourcenfressende Applikationen gebunden sind und nach einem QoS (Quality-of-Service) verlangen, den man nicht immer garantieren kann. Viele Firmen warten dann lieber auf “die nächste Rechnergeneration” welche den Anforderungen “gewachsen” ist, ohne zu wissen, dass sie schon mit kleinen
auch eine Vielzahl an Protokollen (IP, RSVP, OSPF, BGP, IGRP, RIP, EIGRP, ATM, xDSL, TCP/IP etc.), mit denen auch komplexe Netzwerke simuliert werden können. Durch die Möglichkeit, innerhalb verschiedener Szenarien dieselbe Netzstruktur mit unterschiedlichen Hardware-Komponenten zu analysieren und die Resultate direkt zu vergleichen, lassen sich Auf-/
Bild 4. Ein typischer ITDG-Simulationslauf: Erstellung des Netzwerks, Auswahl der erwünschten Simulationsdaten, Simulation und Auswertung der Ergebnisse
Änderungen im bestehenden Netzwerk den Ansprüchen genügen könnten. Der Nachteil wird klar: Man verzichtet auf einen Produktivitätsvorteil durch Unwissenheit. Ein Fehler, den sich heutzutage niemand mehr leisten darf. Neben der Überprüfung eines bestehenden Netzwerks auf Schwachstellen eignet sich der ITDG auch zur Planung und zum Ausbau von Netzwerken. Mit den ausgelieferten Modellbibliotheken verfügt der Anwender über Simulationsmodelle aller gängigen Router, Switches und Links (zum Beispiel Cisco, Lucent/Ascend, 3Com etc.), welche er mit den Client- und Servermodellen des ITDG zu einer realistischen Nachbildung eines Netzwerks kombinieren kann. Hierbei lassen die Modellbibliotheken keinerlei Wünsche offen. Neben der gängigen Hardware unterstützt der ITDG
50
Ausbaukosten genau abschätzen. Gerade bei der Neueinführung von Software-Produkten ist dies ein unverzichtbares Muss, um nicht nach den entstandenen Kosten für Software-Lizenzen und Mitarbeiterschulungen auch noch unerwartet in den Ausbau des Netzwerks investieren zu müssen. Einer Erweiterung oder einem Neuaufbau eines Netzes geht somit endlich eine vorherige Kosten-/Nutzenrechnung voran, die es auch “Nichtfachleuten” ermöglicht, sichere Entscheidungen zu treffen und sich dabei nicht mehr auf Vermutungen verlassen zu müssen. Die aktuellste Neuerung für den Einsatz im ITDG ist das Multi-Protocol Label Switching (MPLS). Dabei handelt es sich um die neueste Routing/ForwardingTechnologie in der Entwicklung rund um das Internet. Dieses Multi-Protocol Label Switching erhält seinen Namen aus dem
LANline Spezial Administration I/2001
ihm eigenen Mechanismus, der den Layer 3 (IP Layer für Routing) in den Layer 2 (Link Layer fürs Forwarding) integriert. Man nutzt MPLS besipielsweise, um Traffic-Management und Virtuelle Private Netze in ISP-Backbones zu implementieren. Die aktuelle Version 7.0 des IT Decision Guru bietet nach Verbesserungen der Simulationsgeschwindigkeit, der Benutzeroberfläche und des “Traffic Loadings” ein umfangreiches Werkzeug. Die modular aufgebaute Benutzeroberfläche macht es dem Anwender leicht, sich einzuarbeiten und relativ schnell auch komplexe Netzwerke übersichtlich darzustellen. Mit Hilfe der zahlreichen Modelle überzeugt der ITDG mit absoluter Realitätsnähe. Die Möglichkeit, Statistiken auch von Einzelkomponenten des Netzwerks abzufragen, lässt Schwachstellen im Netz schnell aufspüren und durch eine Modifikation des Modells zunächst in der Simulation beheben. Das Netzwerk kann so “Step by Step” getestet und ein stufenweiser Ausbauplan mitsamt der daraus entstehenden Kosten erstellt werden. Somit bietet der ITDG eine gelungene Schnittstelle zwischen den IT-Managern und der Geschäftsleitung, da geplante Änderungen exakt visualisiert und Besserungen genau benannt werden können. Die Einführung neuer Techniken, die heutzutage zunächst von der IT-Abteilung in kleinen Testumgebungen unter die Lupe genommen werden, wird vereinfacht. Der Zeit- und auch Wettbewerbsvorteil der Konkurrenz gegenüber ist in unserem heutigen Informationszeitalter enorm, in dem nicht mehr der Große den Kleinen frisst, sondern vielmehr der Schnelle den Langsamen. (Alexander Balsam/rhh) Alexander Balsam (alexander@scien tific.de) ist bei Scientific für den Support der Produkte MKS Toolkit, Talarians Smartsocket und die Opnet-Modeler-Familie zuständig.
Weitere Informationen: Scientific Computers (Dr. Haffer) Web: www.scientific.de
www.lanline.de
INFRASTRUKTUR
RESSOURCEN OPTIMAL NUTZEN
Durchgängiges Management Systemintegrationen im Bereich des Computer-Aided-NetworkFacilities-Managements ermöglichen ein durchgängiges Management für logische Übertragungskanäle und die zugehörigen physischen Netzwerkverbindungen – ein Praxisbericht.
ine typische Aufgabenstellung für Netzbetreiber im WAN-Bereich ist die Forderung nach permanenten Datenverbindungen zwischen zwei Standorten, die durch Qualitätsmerkmale wie Übertragungskapazität, Bandbreite und Nutzungszeitraum charakterisiert werden. Der Betreiber unternimmt dann grundsätzlich folgende Aktivitäten: – Planung und Ausführung der erforderlichen WAN-Zugänge auf Basis einer Analyse zu möglichen Netzzugängen des Kunden, das heißt, ausgehend von den zu verbindenden Standorten, werden Anschlussmöglichkeiten zum Backbone des Netzbetreibers gesucht und aufgebaut, – Bereitstellung eines logischen Datenkanals mit der gewünschten Bandbreite,
E
– Initiierung von Controlling-Maßnahmen zur Gewährleistung einer stabilen Verbindung über den geforderten Zeitraum. Die bei dieser Aufzählung nur ganz kurz genannte Bereitstellung des logischen Datenkanals setzt sich aus einer Reihe von Teilaktionen zusammen, die in ihrer Komplexität nicht vorhersehbar ist. So sind zunächst die aktiven Netzknoten des Betreibers zu konfigurieren und deren Ports zu aktivieren. Darüber hinaus sind neue Patch-Verbindungen sowohl für die Netzzugänge als auch für den Zusammenschluss von bisher ungenutzten Punkt-zu-Punkt-Verbindungen innerhalb des Betreiber-Backbones zu kompletten Signalwegen zu generieren. Bei hoher
Bild 1. Schrank- und Netzansicht im CANFM-System Infocable
52
LANline Spezial Administration I/2001
Nutzungsrate des vorhandenen Netzes müssen aber mitunter aktive und passive Netzknoten erweitert oder sogar neu installiert sowie zusätzliche Kabelverbindungen verlegt beziehungsweise angemietet werden. Zur Unterstützung der hier genannten Aktivitäten werden bei Netzbetreibern verschiedene Software-Systeme eingesetzt. Für das Management der logischen Verbindungen werden spezielle Bandbreitenmanagement-Systeme benutzt. Hier können die verschiedenen logischen Ebenen eines Breitbandnetzes, basierend auf den Technologien PDH- und SDHStrecken (plesiochronous und synchronous digital hierarchy) sowie DWDM (Dense Wavelength Division Multiplexing), geplant, verwaltet und dokumentiert werden. Für die Planung, Verwaltung und Dokumentation der physischen Netzinfrastruktur werden Computer-Aided-Network-Facilities-Management-(CANFM-) Systeme eingesetzt. Diese auf relationalen Datenbanken und kommerziellen CAD-Systemen basierenden Managementwerkzeuge ermöglichen die sehr genaue, rechnerinterne Modellierung beliebiger Kommunikationsnetze. So können alle Verbindungen auf das einzelne Faserpaar und den einzelnen Port genau abgebildet und Signalwege mithin genau dokumentiert werden.
Bild 2. Auffinden optimaler Patch-Verbindungen durch das SignalwegRouting (Prinzipdarstellung)
www.lanline.de
INFRASTRUKTUR
Darüber hinaus werden Stand- und Einbauorte aller Knotenkomponenten (Router, Switches, Multiplexer, Patchund Rangierfelder etc.) sowie Trassenund Kabelverläufe maßstabsgerecht modelliert (Bild 1). Eine integrierte Statusverwaltung unterstützt die Reservierung von Komponenten und deren Ports für bestimmte Planungsvorhaben, die Kennzeichnung von Temporärlösungen oder die Sperrung im Störfall. Auf Basis solcher Online-Dokumentationen wird eine Vielzahl spezieller Planungsfunktionen bereitgestellt. Für das Generieren neuer Verschaltungswege stellen moderne CANFMSysteme Automatismen bereit, mit deren Hilfe optimale Problemlösungen ermittelt werden können. Bei der in diesem Zusammenhang wichtigsten Funktion, dem Signalweg-Routing, wird ein multikriterielles Optimierungsproblem gelöst (siehe auch Bild 2): In einem beliebig vermaschten Netz (das heißt einem Netz, in dem redundante Verschaltungswege zwischen verschiedenen Netzknoten existieren) werden optimale Signalwege nach folgenden Kriterien ermittelt: – Die Anzahl der für die Generierung eines Signalwegs durchzuführenden Patches soll minimal sein. – Der neue Signalweg soll minimale Länge und/oder – minimale Dämpfungswerte haben. Das Ergebnis ist eine vom System automatisch erzeugte Patch-Liste, die den Technikern in Form von Arbeitsaufträgen übergeben werden kann. Durch den Einsatz dieser Funktionalität werden die Planungen neuer Signalwege effektiver gestaltet und die vorhandenen Netzressourcen konsequent ausgenutzt. Wie kommen die beiden Welten des Bandbreitenmanagements und des Network-Facilities-Managements nun zusammen? Die Schaffung eines alles umfassenden Meta-Systems durch umfangreiche Erweiterung des einen um die spezifische Funktionalität des anderen wäre kostenaufwändig und unsinnig. Doch kann die Alternative – die
www.lanline.de
Schaffung einer Schnittstelle – die Lösung sein? Schnittstellen können natürlich helfen, sie sind ein vielfach bewährtes Mittel bei Integration und Komplettierung verschiedener Systemwelten. Voraussetzung ist allerdings, dass der benötigte Informationsfluss zwischen den Systemen sehr genau analysiert wird, sodass die Stärke der Einzelsysteme bestmöglich ausgenutzt, Mehrfacheingaben verhindert und ein flüssiges Arbeiten der Systemanwender unterstützt werden. Eine enge Zusammenarbeit des Anwenders mit dem Software-Hersteller ist hier unumgänglich. In dem hier vorgestellten Anwendungsfall wurde eine bidirektionale
Bild 3. Funktionsweise der Systemkopplung
Schnittstelle geschaffen, die folgendermaßen arbeitet: – Der jeweilige Kundenwunsch nach einer bereitzustellenden WAN-Verbindung wird im Bandbreitenmanagementsystem erfasst, da hier sowohl die Kundenverwaltung als auch die Verwaltung aller logischen Übertragungskanäle erfolgt. – Anforderungsparameter an die zu schaltende Verbindung werden über die Schnittstelle an das Network-Facilities-Management übertragen. Hier erfolgt die Planung der physischen Netzinfrastruktur, die für die Ver-
bindung benötigt wird: Ausbau und Bestückung von Netzwerkknoten sowie das Erzeugen von zusätzlichen Kabelverbindungen und die Generierung von Patch-Verbindungen mit Hilfe des bereits erwähnten Signalweg-Routings. – Schließlich werden alle für die Verbindung notwendigen ZwischenPorts (die durch das Signalweg-Routing ermittelt wurden) an das Bandbreitenmanagement zurückgeliefert, von wo aus unter anderem das Kundenmanagement (zum Beispiel Dienstezuordnung, Wartung, Abrechnung) erfolgt. Die schematische Darstellung in Bild 3 illustriert ganz grob diesen Workflow. Durch die Kopplung von Bandbreitenmanagement und Network-Facilities Management ist es für Netzbetreiber nun möglich, Netzwerke von der logischen Datenverbindung bis zu deren physischer Realisierung durchgängig computergestützt und damit effizienter zu bewirtschaften. Der Kommunikationsdienstleister Firstmark Communications setzt die Systemlösung bereits zur Planung und Dokumentation des Breitbandbetzwerks in Deutschland ein. Im Rahmen des internationalen Netzausbaus wird diese Funktionalität zukünftig ebenfalls eingesetzt. (Silvia Nitz, Fred Behrens/mw) Dipl.-Math. Silvia Nitz ist Bereichsleiterin CAFM/Entwicklungen beim IIEF Institut für Informatik in Entwurf und Fertigung zu Berlin GmbH (www. iief.de). Dipl.-Ing. Fred Behrens arbeitet als Manager Technology and Planning bei Firstmark Communications Europe SA (www.Firstmark.net).
LANline Spezial Administration I/2001
53
INFRASTRUKTUR
ENTWICKLUNGEN IN DER RAID-TECHNIK
Hardware widerlegt Vorurteile Die RAID-Technologie steht vor allem für Ausfallsicherheit. Selbst wenn heutige Einzellaufwerke mit astronomischen MTBF-Werten glänzen, so kommt trotzdem ein Platten-Crash immer wieder vor. Mit RAID-Subsystemen lassen sich dann viele Problematiken umgehen. Der Autor bricht mit diesem Beitrag eine Lanze für das Konzept eines “Hardwaregesteuerten RAID-Systems”.
ie Art und Weise, wie wir Geschäfte machen, hat sich stark verändert. Dies beeinflusst auch die Anforderungen an das Management von Datenspeichern in Unternehmensnetzwerken: Tausende von Anwendern greifen in einem Unternehmen auf die gesicherten Daten zu, speichern Datentypen wie Video- oder Audiodaten ab und sichern diese an verschiedenen Stellen in unterschiedlichen Kontexten. So nimmt es nicht wunder, dass sich die in einem Unternehmen zu speichernden Datenmengen jährlich verdoppeln. Analysten wie IDC gehen sogar noch von einer weiteren Steigerung des Speicherbedarfs aufgrund unvorhersehbaren Datenwachstums aus. Dies hat zur Folge, dass jede heute realisierte Speicherlösung skalierbar sein muss, also dem Administrator die Möglichkeit bieten sollte, die Kapazität bedarfsgerecht und einfach erhöhen zu können. Der Anwender sollte dabei von einer Änderung in den Speichersystemen nichts mitbekommen. Die Entscheidung für eine bestimmte Form der Datensicherung wird aber zusätzlich vom KostenNutzen-Faktor bestimmt. Auch ein anderer Aspekt muss bei einer Entscheidung für oder gegen eine Speichertechnologie unbedingt berücksichtigt werden: Die Implementierung aufwändiger Speicherlösungen in einem Unternehmensnetzwerk ist nur dann sinnvoll, wenn die Daten nicht nur schnell genug, sondern auch
D
54
in höchstem Maße zuverlässig zur Verfügung stehen. Dies spielt eine große Rolle bei Anwendungen, die eine ständige Verfügbarkeit der gesicherten Daten erfor-
Bild 1. Ganze Schränke sind mit Harddisks angefüllt. Hier stellt sich das Problem des Managements von RAID-Subsystemen.
derlich machen. Hierzu gehören E-Commerce, Echtzeitanwendungen, Buchungssysteme oder andere aufgabenkritische Datenbanken.
LANline Spezial Administration I/2001
Eine in den letzten Jahren immer populärer gewordene Lösung für diese Speicheranforderungen ist die Festplattenkonfiguration in RAID-Technologie. Die Abkürzung RAID stand ursprünglich für “Redundant Array of Inexpensive Disks”. Da diese Technologie allerdings recht kostspielig ist, wird statt “Inexpensive” mittlerweile die Terminologie “Independent” gewählt: eine redundante Anordnung unabhängiger Festplatten. Hierbei wird die Arbeit mehrerer Festplatten koordiniert, die sich die Datenlast ebenso wie das Fehler- und Verlustrisiko teilen. Heute wird RAID weltweit eingesetzt und findet sowohl in Einstiegsumgebungen als auch in unternehmensweiten IT-Umgebungen Verwendung. Ziel der RAID-Technologie ist die Erhöhung der Datensicherheit – insbesondere der Verfügbarkeit und Korrektheit der Daten und Systeme durch redundante Speicherung auf mehreren Festplatten. Dabei werden mehrere kleine und kostengünstige Festplatten zu einer logischen Einheit mit verschieden hohen Sicherheits- oder Toleranzgraden kombiniert. Die logische Einheit bietet sowohl die Leistung einer teuren Hochgeschwindigkeitsplatte als auch eine hohe Fehlertoleranz und damit Datensicherheit: Sollte eine Festplatte ausfallen, ist die Datenintegrität dennoch gewährleistet. Man unterscheidet mehrere Stufen der Fehlertoleranz, die so genannten RAIDLevel, die sich in Tempo und Sicherheit unterscheiden. Heutzutage werden die Level 0,1 und 5 am häufigsten realisiert. Die verschiedenen RAID-Level werden den Anwendern im Speichernetzwerk je nach Datenaufkommen und verwendeten Applikationen zugeteilt und bei Bedarf flexibel neu definiert. Die Frage, an der sich bis heute die Geister scheiden, ist die Form der RAIDSteuerung: Sie kann entweder auf Hardware- oder auf Software-Basis durchgeführt werden. RAID-Steuerung per Software hat den Ruf, einerseits billiger als die Hardware-Variante zu sein und einzelne RAID-Level je nach Bedarf flexibel miteinander kombinieren zu können. Andererseits ist diese Lösung deutlich
www.lanline.de
INFRASTRUKTUR
langsamer, da die CPU zusätzlich zu ihren üblichen Aufgaben die Speicherarbeit übernehmen muss. Bei der Steuerung durch Hardware kommen so genannte RAID-Controller zum Einsatz, die ihre Daten Hardware-basiert auf die einzelnen Platten aufteilen und mit einer Prüfsumme versehen. Die CPU wird hier also durch spezielle Schaltkreise von der Speicherung und Paritätsberechnung entlastet. Allerdings wird die Implementierung einer Hardware-RAID-Lösung als insgesamt teure und nur schwer skalierbare Methode angesehen. Bei bisherigen Lösungen mussten die verschiedenen RAID-Level statisch festgelegt werden. Erweiterungen waren nur mit erheblichen Betriebsunterbrechungen möglich. Die Lösung dieser Problematiken wird bei der Entscheidung für das richtige Speichersystem und damit für die adäquate Form der RAID-Steuerung immer
www.lanline.de
wichtiger, da gerade in großen Unternehmen Heterogenität gewährleistet sein muss. Dies bezieht sich sowohl auf die verschiedenen angeschlossenen Betriebssysteme als auch auf die eingesetzten Anwendungen. HARDWARE-RAID ALS PROBLEMLÖSUNG Speicherhersteller wie Storagetek
haben sich auf diese Unsicherheiten bei ihren Kunden eingestellt. Ihre neuen Plattensysteme bieten Hardware-Lösungen für Storage Area Networks (SANs), die flexibel und dynamisch gemanagt werden können und gleichzeitig die geforderten Funktionalitäten in Bezug auf Durchsatz, Performance, Speicherkapazität und Speichermanagement, Datenverfügbarkeit und Investitionssicherheit bieten. Die Vorteile der Hardware-basierten Lösung sind in erster Linie administrativer Art. Da der Plattenzugriff für den Be-
nutzer völlig transparent abläuft, sind keinerlei Eingriffe in das Betriebssystem notwendig. Das Betriebssystem erkennt eine Festplatte, ohne überhaupt mitgeteilt zu bekommen, dass sich dahinter ein RAID-geschütztes System verbirgt. Storagetek bietet mit der “9176 Intelligent Storage Solution” eine Speicherlösung für SANs und somit für heterogene Umgebungen mit mehreren Hosts an. Typische Anwendungen dieser Kategorie sind Data Warehousing, Data Mining, E-Commerce und Internet. Hier sind SAN-Speicherlösungen mit hoher Schnelligkeit und Zuverlässigkeit für einen reibungslosen Betrieb erforderlich. Das Full-Fibre-Channel-RAID-Plattensystem bietet hierfür hochperformante Prozessoren und die Unterstützung moderner Fibre-Channel-Technik. Gleichzeitig werden derzeit die Betriebssysteme Windows NT, HP-UX, AIX und Sun Solaris unterstützt. Das Plattensystem
LANline Spezial Administration I/2001
55
INFRASTRUKTUR
kann auch für die Sicherung und schnelle Wiederherstellung großer Datenmengen wie beispielsweise von Videofilmen, eingesetzt werden. Dies wird durch vier interne unabhängige Fibre-ChannelLoops ermöglicht, die bis zu 58.000 Einund Ausgabeoperationen pro Sekunde und eine akkumulierte Datentransferrate von bis zu 320 MByte pro Sekunde zwi-
dene Produkte eingesetzt werden mussten, kann ein Plattensystem nun für mehrere Aufgabenbereiche genutzt werden. Hierdurch werden natürlich auch die Investitionskosten deutlich reduziert. Ebenso können die weiteren Vorurteile gegenüber einer Hardware-basierten RAID-Steuerung durch die neuen Ent-
Bild 2. Über grafische Tools lassen sich die Plattenkapazitäten elegant verwalten
schen den Host-Rechnern und dem Speicher-Array erlauben. Die Hardware-basierte Lösung bietet gerade unter dem Aspekt der Plattformunabhängigkeit einen wesentlichen Vorteil. Die einzelnen RAID-Gruppen lassen sich viel besser ausnutzen, da sie unabhängig vom angeschlossenen Betriebssystem zur Verfügung gestellt werden. Die 9176 bietet weiterhin die Möglichkeit, RAID-Gruppen zu partitionieren. So kann beispielsweise eine RAID 5-Gruppe, bestehend aus fünf 36GByte-Platten in bis zu 16 Partitionen eingeteilt werden. Somit entstehen bei gleich großen Partitionen statt einer Disk von 180 GByte Kapazität, 16 Disks à 11,25 GByte. Diese 16 Disks können dann mehreren Servern mit unterschiedlichsten Betriebssystemen zugeordnet werden. Wo also vorher für die jeweiligen Heterogenitätsanforderungen verschie-
56
wicklungen entkräftet werden: Die neuen, kombinierten Plattensysteme garantieren hohe Verfügbarkeit und Datensicherheit durch redundante Komponenten. Das RAID-System unterstützt dabei alle RAID-Stufen 0, 1, 1/0, 3 und 5. Weitere Sicherheit bietet die Möglichkeit, globale Ersatzplatten zu konfigurieren. Die RAID-Stufen sind dabei unterbrechungsfrei änderbar. So können bedarfsgerecht Speicher- und Zugriffsgeschwindigkeiten erstmalig auch im laufenden Betrieb erhöht werden, ohne dass der Betrieb unterbrochen werden muss. Die Verwaltung des Plattensystems, das heißt, die Erstellung von RAID-Gruppen, RAID-Group Partitioning, LUN-Masking und Cache-Management, erfolgt von zentraler Stelle mittels einer grafischen Oberfläche. Die neuen SAN-Plattensysteme wachsen mit dem Datenaufkommen im Unternehmen: Das modulare Design der 9176
LANline Spezial Administration I/2001
gewährleistet ein hohes Maß an Skalierbarkeit und bietet damit langfristige Investitionssicherheit. Ein einzelnes Subsystem kann bis zu 200 Fibre-ChannelPlatten mit jeweils 18 GByte, 36 GByte oder 72 GByte Speicherplatz aufnehmen und somit insgesamt bis zu 14 TByte Speicherkapazität bereitstellen. Die neuen SAN-Plattensysteme wachsen mit dem Datenaufkommen im Unternehmen: Das modulare Design gewährleistet ein hohes Maß an Skalierbarkeit und bietet damit langfristige Investitionssicherheit. Ein einzelnes Subsystem kann bis zu 200 Fibre-Channel-Platten mit jeweils 36 GByte oder 72 GByte Speicherplatz aufnehmen und somit insgesamt bis zu 14 TByte Speicherkapazität bereitstellen. Beispielsweise besitzt die Storagetek-Lösung zwei Prozessorkarten mit Intel-Prozessoren. Auf diesen Prozessorkarten ist die gesamte Intelligenz vereint, sodass sie als eigenständiger Rechner zu betrachten sind. Die gesamte Datenverwaltung und die RAID-Bildung laufen hier ab. Dies entlastet den angeschlossenen Server signifikant, der somit nur noch die I/O-Vorgänge zu steuern hat. Der Administrator in einem Unternehmen muss bei seiner Entscheidung, welches Speichersystem für sein Unternehmen am besten geeignet ist, heute also nicht mehr zwischen günstigen Kosten (also RAID-Steuerung per Software) oder hoher Performance (durch Hardware-Steuerung) entscheiden. Mit den neuen Entwicklungen erhält er beides in einem und hat gleichzeitig die Gewissheit, dass seine Speicherumgebung auch langfristig mit den Anforderungen der heutigen Geschäftsprozesse Schritt halten kann. (Jürgen Schelbert/rhh) Der Autor: Jürgen Schelbert, 40, ist Marketing-Manager der Client Server Business Group Central Region Europe bei der Storagetek GmbH in Eschborn. Er ist primär für Speicherlösungen und -Management in offenen Systemumgebungen und in Storage Area Networks verantwortlich.
www.lanline.de
MANAGEMENT
IM TEST: NETINSTALL 5.5 STANDARD
Software-Distribution für Profis Systemverwalter haben es bei der Software-Verteilung nicht leicht. Während es in kleinen Betrieben noch reicht, mit einer CD von Rechner zu Rechner zu laufen, kann der Job schon ab fünf oder mehr PCs schnell zur Vollzeitbeschäftigung werden. Netinstall 5.5 von Netsupport will Administratoren die Wege durch die Flure ersparen und eine zentralisierte Infrastruktur zur Software-Distribution sein. LANline hat sich das Produkt näher angesehen.
ährend die Vorgängerversion Netinstall 5.0 die Verteilung von Software über das Netz bereits gut beherrschte, geht Netsupport mit der neuen Version 5.5 noch einen Schritt weiter: Aus einem reinen Software-Deployment-Tool ist eine universelle Managementlösung für Windows 9x, NT und 2000 geworden. Dies bedeutet für den Administrator die vollständige Kontrolle über Betriebssysteminstallation, Software-Distribution, SoftwareMaintenance und Client-Management. Unter Software-Maintenance versteht der Hersteller dabei die Anpassung und Pflege von installierter Anwendungs-Software. Client-Management besteht aus der Anpassung und Pflege von System-Software wie beispielsweise der Installation von Druckern, Verwaltung von NTFS-Dateirechten und das Benutzermanagement unter Windows NT/2000. Netinstall 5.5 gibt es in zwei Varianten: der Standard- und der Enterprise-Edition. Die Enterprise-Edition (EE) enthält neben der gesamte Funktionalität der StandardEdition zusätzlich weitere Features für den Einsatz in großen und verteilten Netzwerkumgebungen: So kommt beispielsweise in der Enterprise-Version zum ersten Mal die Windows-Terminal-Server-Unterstützung zum Einsatz. Netinstall 5.5 EE unterstützt zudem das Einbinden von selbstgeschriebenen Java- und Visual-
W
58
Basic-Skripten. Damit diese Scripts auf den Zielmaschinen lauffähig sind, bringt Netinstall den Windows-Scripting-Host gleich mit, den der Administrator in einer normalen Umgebung – zumindest unter NT4 – manuell installieren müsste. In großen Netzen ist zudem ein genaues Reporting sehr wichtig, Netinstall 5.5 hat deswegen auch hierfür einige Neuerungen in Form von Add-ons an Bord (siehe Kasten). Das neue Health-Reporting der Enterprise
LANline Spezial Administration I/2001
Edition hilft bei der Überwachung der Netinstall-Server und den Netinstall-Services. Die in diesem Artikel getestete Standardversion unterstützt in der aktuellen Version erstmals Windows 2000 und integriert sich in das Active Directory. Das Programm wurde deswegen auf Windows 2000 Server und mit Windows 2000 Professional als Clients getestet. Zudem enthält die Version 5.5 erstmals den so genannten MSI-Repacker und den Komponentenmanager, die sich ebenfalls dem Test unterziehen mussten. Zur Verteilung von Software im Unternehmensnetz verwendet Netinstall so genannte Installationsprojekte, die der Administrator einmalig anlegt. Diese Pakete können dann entweder automatisch oder bei Bedarf durch den Benutzer auf beliebig vielen Rechnern installiert werden. Die einzelnen Netinstall-Projekte werden in einer zentralen Projektablage gespeichert und bilden damit die Grundlage für ein firmenweites Software-Repository. Diese Projekte legt der Administrator in einem Share auf einen zentralen Fileserver ab, auf den alle Benutzer im LAN Lesezugriff haben. Vor der Installation des Produkts muss der Administrator einige Vorarbeit leisten. Zunächst legt er ein geshartes Ver-
Bild 1. Der Netinstall-Manager enthält schon Beispielprojekte, um dem Administrator den Einstieg zu erleichtern. Im hinteren Fenster sieht man die Konfigurationsdatenbank.
www.lanline.de
MANAGEMENT
zeichnis auf einem Server an, auf dem Netinstall seine Programmdateien, die Konfiguration und die Projekte ablegt. Der Administrator kann Netinstall von jeder NT4- oder Windows-2000-Arbeitsstation aus verwalten. Er benötigt hierzu lediglich den Vollzugriff auf das Netinstall-Share. Für den Test haben wir auf dem Server-Rechner ein Hidden-Share eingerichtet. Dies ist empfehlenswert, um die Projekte vor neugierigen Benutzern zu verstecken. Des Weiteren muss der Administrator Benutzerkonten für die Netinstall-Dienste anlegen. Netinstall verwendet zwei Komponenten, die als Windows-NT/ 2000-Dienste realisiert sind: Der Netinstall-Service ermöglicht die Ausführung von beispielsweise Kopier- oder Registry-Änderungen, für die der angemeldete Benutzer selbst kein Recht hat. Dieser Service muss auf jedem ClientRechner installiert sein. Um dies sicherzustellen, verwendet Netinstall einen zweiten Dienst, den so genannte Service Installation Service (SIS). Dieser sorgt dafür, dass der Netinstall-Dienst automatisch auf den Clients installiert wird, sobald er benötigt wird. Der SIS läuft vorzugsweise auf dem Netinstall-Server, kann aber auch auf jedem anderen Windows-NT/2000-Rechner im Netz laufen. Empfehlenswert ist der Einsatz von zwei SIS-Servern, falls einer der beiden wegen Wartungsarbeiten oder Problemen nicht verfügbar ist. Netsupport rät dem Benutzer, für diese Dienste gesonderte Benutzerkonten zu verwenden. Den NetinstallService haben wir für den Test mit Leserecht für das Netinstall-Share und alle Unterverzeichnisse ausgestattet, der SISBenutzer-Account hat lokale Administratorenberechtigung auf allen Clients, Leserecht auf dem Netinstall-Share und Schreibrecht im SIS-Unterverzeichnis dieses Shares. Sind die konzeptionellen Vorarbeiten abgeschlossen, kann der Administrator die eigentliche Installation starten. Netsupport hat vorgesehen, dass der Verwalter das Produkt von dem Rechner aus installiert, auf dem er später auch die Projekte administriert – die so genannte Ad-
www.lanline.de
ministrator-Workstation. Denn während des Setups werden zur Bedienerfreundlichkeit die Links für die Administrations-Tools im Startmenü angelegt. Das Setup fragt im ersten Schritt nach einem Installationsverzeichnis, wobei hier das Netinstall-Share im UNC-Format angegeben werden muss. Im nächsten Schritt entscheidet der Administrator, ob er die Standard- oder Enterprise Edition installieren möchte – wir haben die Standardversion zum Testen ausgewählt. Danach bestätigt der Administrator die Installation einiger Add-ons. Nachdem das Setup-Programm die Dateien kopiert hat, ist die Installation abgeschlossen. Netinstall selbst besteht aus sechs Einzelkomponenten. Das wichtigste Tool für den Administrator ist der Netinstall-Manager, mit dessen Hilfe er die NetinstallProjektdatenbank verwalten kann. Mit Hilfe des Service-Distribution-Managers wird der Netinstall-Service manuell auf
die Workstations verteilt. Er wird also nur gebraucht, wenn der Administrator sich gegen die Verwendung des SIS entschieden hat. Die Lösung der Verteilung der Dienste per SIS ist jedoch so gut gelungen, dass wir den Einsatz des ServiceDistribution-Managers nicht empfehlen können. Der Netinstall-Monitor ermöglicht dem Administrator den Zugriff auf
Bild 2. Das Workflow-Fenster zeigt den aktuellen Bearbeitungsstand bei der Projekterstellung an
die Protokolldateien, die von Netinstall erstellt werden. Für die Fehlersuche – auch schon während des Tests – ist dieses Tool sehr hilfreich, denn hier hat der Administrator alle Log-Dateien mit wenigen Mausklicks parat. Mit dem Null-Windows-Assistenten können Administratoren mehrere Betriebssysteminstallationen auf einem Rechner verwalten, Sicherungskopien dieser Installationen anlegen und diese auch wiederherstellen. Dies ist beim Erstellen von Software-Paketen besonders nützlich, denn die komplette Neuinstallation eines Systems nach dem Erstellen eines Pakets würde zu viel Zeit in Anspruch nehmen. Wir haben während des Tests einen Test-Client mit der Hilfe von Norton Ghost nach jeder Installation in den Ausgangszustand gesetzt. Der Netinstall-Installer schließlich ermöglicht Benutzern die Auswahl von Projekten und deren Installationsstart, der Netinstall-Uninstaller dient zum Entfernen von installierten Projekten. Nach dem ersten Start des NetinstallManagers führt das Programm den Administrator mit Hilfe eines Assistenten durch die einzelnen Konfigurationsschritte. Zunächst fragt das Programm die Seriennummern für die Komponenten, Add-ons und den Firmennamen ab. Im Anschluss daran kann der Administrator einen so genannten Sicherheitsschlüssel angeben, der verhindert, dass
LANline Spezial Administration I/2001
59
MANAGEMENT
ein Benutzer Projekte aus anderen Datenbanken installiert. Als nächster wichtiger Schritt müssen die Sicherheitsinformationen für den Netinstall-Service angegeben werden. Der Administrator definiert hierbei, inwieweit er den Benutzern Fileund Registry-Zugriffe auf den existierenden Workstations gegeben hat. Netinstall
wird. Falls im Netzwerk alle Benutzer über Administratorrechte auf ihren Workstations verfügen, kann dies der Netzverwalter im nächsten Schritt angeben, denn damit wird der Netinstall-Service überflüssig. Danach definiert er, ob der SIS zur Verteilung des NetinstallDienstes benutzt werden soll, wobei er
Bild 3. In der Projektansicht des Netinstall-Managers erkennt der Administrator auf einen Blick alle wichtigen Eigenschaften eines Projekts
unterscheidet bei den File-Zugriffen zwischen drei verschiedenen Sicherheitsstufen: Vollzugriff auf alle Dateien, Standard-NTFS-Rechte (kein Zugriff auf das System- und Windows-Verzeichnis) oder maximale Sicherheit auf allen Verzeichnissen. Bei den Registry-Zugriffen wird zwischen Standardrechten und erweiterter Sicherheit unterschieden. Diese Angaben verwendet Netinstall zur Klassifizierung der einzelnen Befehle. Hierbei entscheidet die Software automatisch bei der Projekterzeugung, ob ein bestimmter Befehl im Sicherheitskontext des Benutzers ausgeführt werden kann oder ob der Netinstall-Service den Befehl mit seinen erweiterten Rechten ausführen muss. Wir haben im Test bei beiden Abfragen den Dienst auf maximale Sicherheit eingestellt, da diese Einstellung wohl am häufigsten in der Praxis umgesetzt
60
bei dessen Verwendung nach dem Namen und Kennwort des Benutzers gefragt wird, den der Administrator vorher für diesen Dienst definiert hat. Außerdem will die Software den Useraccount für den Netinstall-Dienst wissen. Anschließend macht Netinstall darauf aufmerksam, dass der Dienst in einer Netzwerkumgebung mit geklonten Workstations eventuell Probleme bereiten könne – im Test ist dies jedoch nicht aufgefallen. Nachdem der Administrator die Maschine(n) angegeben hat, auf denen der SIS installiert werden soll, startet das Programm die Konfiguration für weitere, vorher ausgewählte Add-ons. Nach der Konfiguration des NetinstallManagers öffnet das Programm die Projektdatenbank, in der schon einige Beispielprojekte enthalten sind (Bild 1). Die Projekte werden vom Programm in einer
LANline Spezial Administration I/2001
Baumstruktur gespeichert, die dann auch in diesem Format dem Benutzer bei der Auswahl eines Scripts im NetinstallClient dargestellt wird. Neben diesem Übersichtsfenster befindet sich das Konfigurationsfenster mit einer Tabelle, in der ein großer Teil der Einstellungen verwaltet wird. Um diese Einstellungen zu verändern, muss der Administrator die Datenbank erst exklusiv für Schreibzugriffe sperren. Solange die Konfiguration gesperrt ist, kann kein anderer Administrator die Konfiguration ändern – er kann erst alle einstellbaren Werte nach dem Aktivieren des Expertenmodus einsehen. Da die wirklich kritischen und auch nützlichsten Einstellungen erst im Expertenmodus sichtbar werden, empfehlen wir dem geübten Systemadministrator diese Ansicht in der Praxis immer aktiviert zu lassen. Um ein Netinstall-Projekt zu erstellen, haben wir den Netinstall-Manager auf einer Referenzworkstation gestartet. Dies sollte eine reine Workstation ohne Applikationen sein, die genauso wie die im Rest des Unternehmens verwendeten Rechner konfiguriert ist. Anhand des Workflow-Fensters (Bild 2) kann der Administrator erkennen, welche Schritte er bereits bei der Erstellung eines Projekts durchgeführt hat. Zunächst erstellt der Administrator mit Hilfe des NetinstallSpy ein Abbild des Ist-Zustands des Rechners. Bei der Erstellung des Ist-Zustands muss er dabei die Ordner angeben, die während der Installation des gewünschten Programms verändert werden. Danach durchsucht der Spy diese Ordner sowie die Registry und speichert diese Informationen in einem temporären Verzeichnis ab. Im nächsten Schritt installiert der Administrator wie gewohnt die Applikation, für die er das NetinstallProjekt erstellen möchte. Hierbei sollte er darauf achten, dass er nach der Installation dieses Programms benutzerunabhängige Einstellungen noch nicht vornimmt. Hierfür empfiehlt Netsupport, ein oder mehrere “Konfigurationsskripte” anzulegen, um beispielsweise den Anforderungen verschiedener Benutzergruppen im Unternehmen an diese Applikation ge-
www.lanline.de
MANAGEMENT
recht zu werden. Nach der Installation analysiert der Administrator die bei der Installation vorgenommenen Änderungen wieder mit Hilfe des Netinstall-Spys. Diesmal fragt der Spion nach einem Namen und einem Ordner für das neue Projekt im Projektbaum, registriert die veränderten Daten und kopiert sie in einen Ordner in das Projektverzeichnis. Hierbei werden Datei- und Registry-Änderungen sowie erstellte Links und .INI-Dateien berücksichtigt (Bild 3). An dieser Stelle kann der Administrator das generierte Script bearbeiten, indem er es durch einen Doppelklick öffnet. Dabei kann er sich die verschiedenen
wurden, zu entfernen. Im Test wurde beispielsweise eine Aktualisierung des “LastAlive Stamp” in der Registry mitprotokolliert, die bei der Installation nicht benötigt wird. Zur Bearbeitung der Registry-Änderungen enthält Netinstall einen Editor, der sehr stark an den Regedit von Windows erinnert. Das gesamte Installations-Skript ist in Befehle unterteilt, deren Reihenfolge der Administrator ändern kann. Er kann neue Befehle hinzufügen oder überflüssige auskommentieren oder löschen. Der Befehlsvorrat von Netinstall umfasst insgesamt 113 Befehle aus zwölf unterschiedlichen Kategorien. Die Vielfalt der Befehle ist er-
Bild 4. Das Skript-Fenster mit den einzelnen Befehlen für die Installation
Änderungen, die das Programm bei der Installation dieses Projekts vornehmen würde, betrachten und bearbeiten (Bild 4). Es stehen ihm hierzu verschiedene Ansichten zur Verfügung, die in Kategorien unterteilt sind: benutze Variablen, Dateiänderungen, Dateikopiervorgänge, Registry-Änderungen und zu erstellende Links. Als letzte Auswahl kann er sich den gesamten Skript-Ablauf anzeigen lassen. Diese Ansicht hat sich beim Test am besten bewährt. Der Administrator sollte sich jedoch auf alle Fälle das gesamte Skript ansehen, um überflüssige Veränderungen, die trotzdem registriert
62
staunlich: So kann der Administrator innerhalb eines Scripts beispielsweise Benutzer anlegen, Shares erstellen, Dialoge mit Abfragen anzeigen und Drucker installieren. Zu jedem Befehl gibt es einen Eintrag in der Online-Hilfe. Sie ist wegen der Übersichtlichkeit relativ kurz gehalten und hinterließ im Test einen etwas kryptischen Eindruck. Doch hilft hier die Befehlsreferenz, die als Handbuch dem Produkt beiliegt, weiter. Nachdem der Administrator das Skript angepasst hat, fehlen ihm nur noch drei Schritte, um das Projekt installationsreif zu machen: Er muss einige Eigenschaften des Skripts ändern, die
LANline Spezial Administration I/2001
Installationsberechtigungen setzen und den Installationszeitpunkt planen. Zu den Eigenschaften eines Skripts zählen dessen Name, eine interne Versionsnummer und eine Beschreibung. Der Beschreibungstext wird bei der Auswahl des Skripts im Installer angezeigt. Zusätzlich kann der Administrator festlegen, wie die Registry-Befehle auf dem Zielrechner gespeichert werden. Grundsätzlich gibt es hier die Möglichkeit, die Installation des Skripts nur für den im Augenblick angemeldeten Benutzer, auf der Workstation, an der der Benutzer angemeldet ist oder mit der so genannten “Travelling-User”Unterstützung zu konfigurieren. Bei dieser Option werden die Registry-Änderungen im Benutzerprofil gespeichert. Dadurch wandert das Programm mit dem Benutzer mit, wenn er sich auf unterschiedlichen Workstations im Unternehmen anmeldet. Da die Benutzer in vielen Unternehmen keinen festen Arbeitsplatz mehr haben, scheint diese Option sehr hilfreich und sinnvoll. Weiterhin kann der Administrator in den Eigenschaften festlegen, ob und wie Informationen über die Deinstallation des Skripts auf der Zielworkstation gespeichert werden. Er definiert, ob der Benutzer das Programm auch über das Software-Kontrollfeld der Systemsteuerung entfernen kann. Diese Option ist relativ überflüssig, da der Benutzer das Programm ja immer noch mit Hilfe des Netinstall-Uninstallers löschen kann. Falls ihm seine Berechtigungen für das Projekt entzogen werden oder er das Programm für eine bestimmte Zeit nicht aufgerufen hat, kann das Skript sogar automatisch entfernt werden. Dies funktionierte im Test sehr gut, und es wurden auch sämtliche Registry-Einträge entfernt. Die erfolgreiche Installation oder den Abbruch eines Skript-Ablaufs kann Netinstall in verschiedenen Zielen protokollieren. Das Programm verschickt auf Wunsch des Administrators E-Mails oder Netzwerk-Broadcasts (“Popups”), trägt den Installationserfolg oder -misserfolg im Eventlog ein, oder protokolliert den Status via ODBC in eine Datenbank. Die PopupFunktion ist jedoch relativ überflüssig, denn kein Administrator möchte den
www.lanline.de
MANAGEMENT
ganzen Tag lang die störenden Fenster lesen und wegklicken. In der Praxis kommt es immer wieder vor, dass nach der Installation eines Projekts noch andere Projekte nachinstalliert werden müssen. Hier bietet Netinstall den so genannten Komponentenmanager an, der dieses Problem sehr vorteilhaft löst. So definiert der Administrator beispielsweise als Hauptprojekt ein Office-Paket und als Komponente dazu ein Projekt mit firmenspezifischen Anpassungen. Bei der Installation unterscheidet Netinstall auf Projektebene drei verschiedene Arten: die interaktive Installation (“Pull”), die automatische Installation (“Push”) und die Deinstallation. Im unternehmensweiten Einsatz ist die Verwendung der interaktiven Installation sehr nützlich, denn die Benutzer können sich aus dem vorhandenen Projektpool “ihre” Programme aussuchen und installieren. So haben wir im Test beispielsweise die interaktive Installation des Winamp-MP3-Players für die Gruppe “Domain Users” erlaubt, aber den “Domain Guests” untersagt. Für jede dieser Ausführungsarten kann die Berechtigung zur Installation unabhängig definiert werden. Um Berechtigungen zu vergeben, kann der Administrator die Projektausführung an zwei Arten von Bedingungen knüpfen: Zum einen an eine Netzwerkberechtigung, also die Zugehörigkeit einer Gruppe oder Windows-2000-OU, zum an-
dies möglich ist. Er kann getrennt festlegen, ab wann er die interaktive Installation mit dem Netinstall-Installer oder die automatische Installation des Projekts zulassen will. Bei der automatischen Installation hat er schließlich die Möglichkeit festzulegen, wie oft ein Projekt ausgeführt werden soll. So Bild 5. Der Netinstall-Installer mit allen für den Benutzer berechtigten kann er zum BeiProjekten. Im unteren Teil kann der Administrator das Kommentarfeld mit Zusatzinfos füllen. spiel jede Nacht um 3:00 Uhr die Neuinstallation eideren an System- oder Hardware-Bedin- nes Office-Pakets veranlassen. gungen wie beispielsweise den ProzessorNachdem der Administrator die ersten typ oder den freien Speicherplatz auf der Projekte in seiner Datenbank angelegt und Festplatte. Diese Berechtigungen kann das berechtigt hat, können die Benutzer beginProgramm aber nicht nur für einzelne Pro- nen, Netinstall auf den Workstations zu bejekte sondern auch für Ordner in der Pro- nutzen. Im Benutzerhandbuch und auf der jektstruktur unterscheiden. Der Adminis- Installations-CD ist ein Beispiel-Log-intrator kann also hier die komplette Struktur Skript enthalten, das der Administrator bedes Unternehmens nachbilden und dem- nutzen soll, falls er den Netinstall-Service entsprechend die Ordner mit den Projekten nicht per SIS verteilt. Leider fehlen in diefür einzelne Abteilungen berechtigen. sem Skript die Anweisungen, um die Links Damit ein Projekt auf den Clients ausge- zum Netinstall-Installer auf den Workstatiführt werden kann, muss der Administrator ons zu setzen. Für den Test mussten wir alzudem einen Zeitpunkt angeben, ab dem so das Log-in-Skript etwas verändern (siehe Kasten Log-in-Skript). Dem Administrator steht es dabei frei, ob er diese Links schon beim Aufsetzen des Betriebssystems Netinstall-Add-ons anlegt oder sie im Nachhinein per Log-inDie Funktionalität von Netinstall kann durch Add-ons noch erweitert werden. Hierzu Skript installiert. Es kann allerdings auch gehören das ODBC-Reporting-Add-on, das alle Aktivitäten in einer ODBC-kompatiblen notwendig sein, dem Benutzer die manuelDatenbank für weitere Auswertungen protokolliert. In der Enterprise-Edition werden die Rele Installation von Projekten gar nicht zu porting-Funktionen noch ausführlicher durch das Report and Analyse Add-on zur Verfügung gestatten. Der Administrator muss dann algestellt. Dieses Zusatz-Tool kann zusätzlich zum ODBC-Reporting auch über WMI (Winle zu installierenden Projekte per automatidows Management Instrumentation) berichten. Das Konflikt-Manager-Add-on erkennt Konflikte, die bei der gleichzeitigen Installation von mehreren Projekten auf einer Workstation scher Installation auf die Clients bringen. entstehen können. Es warnt beispielsweise, falls zwei Projekte eine DLL-Datei mit gleichem Nachdem der Benutzer den Netinstall-InNamen aber unterschiedlichen Versionen installieren. Somit kann der Administrator schon staller gestartet hat, zeigt ihm das Profrüh Probleme erkennen und diese beseitigen. Des Weiteren unterstützt Netinstall mit Hilfe gramm alle für ihn berechtigten Projekte des WMI-Addons ein noch viel tiefergehendes Client-Management und fügt sich mit dem an (Bild 5). Er kann nun auswählen, ob er SMS-Add-on in die Microsoft-eigene Client-Management-Software ein. Zusätzlich vertreibt Netsupport noch ein eigenständiges Produkt unter dem Namen Netinventory. Mit diesem ein neues Projekt installieren möchte oder Tool ist es dem Administrator möglich, den Überblick über die komplette Hard- und Softein altes Projekt deinstallieren oder repaware-Infrastruktur im Unternehmen zu behalten. Das Operating-System-Deployment-Addrieren will. Bei der Reparatur untersucht on zur Verteilung von Betriebssystemen im Netz werden wir in einer der nächsten LANlineNetinstall, ob alle Komponenten des ProAusgaben testen. jekts auf der Workstation vorhanden sind
64
LANline Spezial Administration I/2001
www.lanline.de
MANAGEMENT
Log-in-Skript :: Überprüfen, ob Netinstall bereits installiert ist. Bei Win2K wird niagnt.exe in Programfilesdir installiert, bei NT/W9x im Windows-Verzeichnis if not exist %windir%\niagnt32.exe goto CHK_PROGFILES goto NORMAL :CHK_PROGFILES if not exist %Programfiles%\netinst\niagnt32.exe goto NET_INST goto NORMAL :: Installation des ersten NetinstallScripts. Hier wird automatisch der Netinstall Service per SIS installiert, falls er noch nicht vorhanden ist. Im Script werden die Start-Menü-Links für den Netinstall Installer und Netinstall UnInstaller angelegt.
stallation von Software. So arbeitete beispielsweise der Windows-Installer von Windows 2000 auf Basis von MSI-Projekten. Der gültige Befehlsvorrat für Projekte, die mit Hilfe des Netinstall-MSI-Repackagers umgewandelt werden können, ist leider sehr eingeschränkt. Unser Testprojekt für Winamp konnten wir jedoch mit diesem eingeschränkten Befehlssatz umwandeln. Allerdings mussten wir, nachdem der MSI-Repackager bei der ersten Benutzung installiert wurde, unsere Arbeitsstation neu booten. Dies ist im Handbuch nicht vermerkt. Die generierte MSI-Datei lies sich leicht auf anderen Workstations installieren. Der Administrator sollte sich bei Einsatz von Netinstall jedoch gegen die
:NET_INST \\ns\netinstall\niinst32 /db:“\\ns\netinstall\Net_inst.nid“ /execute:“Links NetInstall Komponenten“ :: Netinstall Agent muss bei jedem Login gestartet werden :NORMAL if exist %windir%\niagnt32.exe start „NetinstallAgent“ „%windir%\niagnt32.exe“ if exist %Programfiles%\netinst\niagnt32.exe start „NetinstallAgent“ „%Programfiles%\netinst\niagnt32.exe“
und installiert Fehlende bei Bedarf automatisch nach. Wie vorher schon erwähnt, kann der Administrator auch veranlassen, dass bestimmte Projekte im Push-Verfahren automatisch auf die Workstations installiert werden können. Der NetinstallAgent, der bei jedem Benutzer-Login per Log-in-Skript gestartet werden muss, übernimmt diese Aufgabe. Er sucht in vorgegebenen Zeitabständen auf dem NetinstallServer nach Autoinstall-Projekten und leitet die Installation automatisch zum vorgegebenen Zeitpunkt ein. Netinstall unterstützt mit der aktuellen Version 5.5 auch die Generierung von MSI-Paketen aus Projekten. MSI ist eine neue Technologie von Microsoft zur In-
www.lanline.de
gleichzeitige Verteilung von Software per MSI und Netinstall entscheiden, denn sonst wird seine Arbeit sehr schnell unübersichtlich. Deswegen unterstützt Netinstall auch die Integration eines MSI-Pakets in ein Netinstall-Projekt. Wir wollten dies mit der eben erzeugten MSI-Datei testen, erhielten jedoch eine Fehlermeldung beim Aufruf des Transform-Editors. Netsupport empfiehlt für eine schnelle Problembehandlung die Kontaktaufnahme per EMail. Der Customer Support reagierte kompetent und freundlich. Laut Aussage des Mitarbeiters lag das Problem an einem Leerzeichen im Dateipfad.
Die Dokumentation ist sehr ausführlich, es werden insgesamt vier Handbücher mitgeliefert. Das wichtigste Werkzeug für den Netinstall-Administrator ist die Befehlsreferenz. In diesem Buch werden alle Befehle, die man in den Skripts verwenden kann, ausführlich und anschaulich mit Beispielen versehen erklärt. Außerdem gibt es ein etwas dünneres Installationshandbuch, eine Dokumentation für die mitgelieferten Add-ons und das sehr ausführliche Benutzerhandbuch. Der Vorteil der Aufteilung der Dokumentation in die vier verschiedenen Bücher liegt klar auf der Hand: Der Administrator findet die notwendigen Informationen schneller, denn die Installationsanweisungen benötigt man eben nur einmal. Alle vier Bücher sind auch auf der mitgelieferten CD als PDF-Dateien gespeichert. Da die Online-Hilfe nur kurz und knapp gehalten ist, ist es bei Problemen doch eher ratsam, das Benutzerhandbuch zur Hand zu haben. Der Index am Ende der Handbüchern könnte etwas ausführlicher sein, damit der Administrator einzelne Themen im Buch noch schneller auffinden kann. FAZIT Netinstall 5.5 überzeugt durch ein sehr durchdachtes Konzept für das komplette Management von Workstations im Unternehmen. Es weist eine hohe Flexibilität durch die Verwendung der leicht zu erlernenden Skript-Sprache aus. Der Administrator muss aber durch die hohe Komplexität des Themas einige Zeit für die Einarbeitung einplanen, wobei ihm die Handbücher sehr gut helfen. Netsupport bietet aus diesem Grunde Trainings in den eigenen Schulungsräumen oder vor Ort beim Kunden an. Die Lizenzpreise für die Standard- und Enterprise-Version sind je nach Anzahl gestaffelt. So kostet die Standard-Edition ab 50 PCs 64 Mark pro Rechner, ab 1000 PCs sind nur noch 30 Mark zu bezahlen. (Fabian Warkalla/gh)
Info: Netsupport Tel.: 0711/340190-0 Web: www.netinstall.de/products/netinstall.htm E-Mail:
[email protected]
LANline Spezial Administration I/2001
65
MANAGEMENT
UNTERSTÜTZUNG FÜR NETWARE-ADMINISTRATOREN
Experten analysieren zuerst Während die Console One, der I-Monitor und andere Werkzeuge die tägliche Arbeit von Administratoren erleichtern, wird man insbesondere in Problemsituationen schnell mit einem sehr hohen Komplexitätsmaß konfrontiert. Statt nun mit Dstrace oder gar einem Netzwerkmonitor zu arbeiten, kann man aber auch Add-ons wie die Werkzeuge DS Analyzer und DS Expert einsetzen. Diese lösen zwar nicht jedes Problem – in ihren jeweiligen Einsatzbereichen können sie aber schnell zu unersetzlichen Helfern für Administratoren werden.
Der DS Expert als das funktional deut- Informationen über den Zustand der lich umfangreichere System fokussiert Server. Mit DS Expert kann zwar auch auf die Analyse von Problemen in der der Zustand von NDS-Servern ohne inNDS (Novell Directory Services). Der stallierte Agenten überwacht werden. korrekte Zustand und auftretende Proble- Das Problem dabei ist aber, dass in dieme – und keineswegs nur simple Fehler- sem Fall nur die Standard-APIs von meldungen – können dabei schnell erkannt werden. Der DS Analyzer ist dagegen ein Werkzeug, mit dessen Hilfe einfach die Auslastung der NDS und des Netzwerks durch NDS-Traffic untersucht werden kann und mit dem sich darüber beispielsweise feststellen lassen kann, ob NDS-Server in einem Segment gleichmäßig ausgelastet werden. Bild 1. Die Auswahl der zu installierenden Komponenten Beim DS Expert handelt es sich um eine Lösung, die über eine Reihe miteinander verbundener Netware zur Verfügung stehen. Damit Komponenten arbeitet. Die Basis bilden lassen sich aber deutlich weniger InforAgenten, die auf NDS-Servern installiert mationen als mit den Agenten einsamwerden können. Diese Agenten sammeln meln.
66
LANline Spezial Administration I/2001
Die zweite Komponente ist der Tree Monitor, der auf einem oder zwei Netware-Servern eingerichtet werden kann. Dieser sammelt die Informationen der verschiedenen Agenten ein. Die Anzeige erfolgt dann über eine Win32-Anwendung, die Windows-Konsole. Dort werden sowohl für die einzelnen NDS-Server als auch Partitionen detaillierte Informationen angezeigt. Falls echte Probleme aufgetreten sind, zeigt das ein Symbol vor dem Server- oder Partitionsnamen an. Administratoren sind damit frühzeitig in der Lage, potenzielle Fehler zu erkennen und darauf basierend Handlungen zu unternehmen. Im Vergleich beispielsweise zur Verwendung von Dstrace oder der Analyse einzelner Fehlermeldungen, wie sie beispielsweise auch mit Managewise eingesammelt werden können, ist dieser Ansatz deutlich leistungsfähiger. Denn der DS Expert erkennt anhand von Fehlermeldungen, was ein echtes Problem ist und was bisher nur einzelne Fehlermeldungen sind. Dabei kann über eine differenzierte Parametrisierung auch gesteuert werden, ab welchen Grenzwerten bestimmte Situationen als echtes Problem gemeldet werden sollen. Zu den Analysen, die in einfacher Weise über DS Expert durchgeführt werden können, gehört beispielsweise die Anzeige des Zustands von Einträgen, Backlinks oder externen Referenzen. Ein Beispiel ist die Anzeige alter Einträge, die vom System nicht in der definierten Weise behandelt werden. Solche Informationen sind typischerweise nur über LowLevel-Anwendungen verfügbar. Andere Beispiele sind Meldungen, wenn die Systemzeit im Netzwerk auf synthetische Zeit umgestellt werden musste, weil die Server-Zeit zurückgestellt werden sollte oder wenn das TTS (Transaction Tracking System) auf einem Server deaktiviert wurde. DIE KOMPONENTEN DS Expert ist über
eine Reihe von NLMs realisiert. Das bedeutet auch, dass es nur auf Netware-Servern eingesetzt werden kann. Von NDSServern auf anderen Betriebssystemen können nur Informationen eingesammelt
www.lanline.de
MANAGEMENT
Bild 2. Die Auswahl des Installations-Servers
werden, die über die Standardfunktionen bereitgestellt werden. Diese Beschränkung ist zweifelsohne derzeit auch eine der gravierendsten Einschränkungen der Lösung, die umso mehr überrascht, als es von Netpro mittlerweile beispielsweise auch ein Analysewerkzeug für das Active Directory gibt. Hier darf man auf zukünftige Versionen gespannt sein. Da aber sowohl der DS Expert als auch der DS Analyzer auf die NDS als Verzeichnisdienst und nicht die Netware als Betriebssystem fokussieren und darüber hinaus auch Novell mit seiner Strategie auf Plattformunabhängigkeit ausgerichtet ist, wird eine solche Anpassung über kurz oder lang unumgänglich sein. Die zentrale Komponente des DS Expert ist Dxmon.nlm. Dahinter verbirgt sich der Tree Monitor. Dieser kann auf einem oder zwei Servern installiert werden. Der Tree Monitor erstellt und pflegt eine Datenbank mit den Servern, Partitionen, Replikas und Replika-Tabellen für den NDS-Baum, in dem der DS Expert installiert ist. Die Agents werden über die Anwendung Dxagent.nlm bereitgestellt. Deren Informationen werden an den Tree Monitor geliefert und kön-
68
Bild 3. Die Auswahl der Server für die Installation der Agenten
nen dann von der Windows-Konsole abgefragt werden. Nach der Installation und beim dann in der Regel direkt erfolgenden ersten Start des Tree Monitor werden Authentifizierungsinformationen für den NDS-Baum abgefragt. Diese werden vom Tree Monitor benötigt, um eine Reihe von Informationen zu analysieren. Das Benutzerkonto, das hierfür verwendet wird, muss über das Recht Browse für den gesamten Baum sowie die Rechte Read und Compare für alle Attribute verfügen. Für diesen Benutzer sollte ein eigenes Benutzerkonto erstellt werden, das über genau diese Berechtigungen erfolgt. Eine Verwendung, beispielsweise des AdministratorKontos wie sie bei Diensten häufig zu finden ist, ist aus Sicherheitsgründen nicht empfehlenswert. Nach dem ersten Start analysiert der Tree Monitor den Baum und sucht nach den installierten Agenten. Auf den Servern mit installiertem Agent wird dabei jeweils das Modul Nploader.nlm ausgeführt. Über dieses wird dann die eigentliche Kommunikation mit den Servern ausgeführt. Außerdem erfolgt darüber auch die Aktualisierung von Agenten,
LANline Spezial Administration I/2001
wenn neue Versionen vorliegen. Das Modul wartet auf Anforderungen des Tree Monitor, der in einem konfigurierbaren Intervall neue Informationen anfordert. Dieses Intervall kann für Agenten und für Server ohne Agenten individuell gesteuert werden. Es kann aber keine individuelle Steuerung pro Server erfolgen, um beispielsweise Server an entfernten Standorten seltener abzufragen. Das ist insofern allerdings nicht so kritisch, als der DS Expert eine ausgesprochen schlanke Anwendung ist. So sind die Anforderungen für das System nicht höher als die von Novell definierten Minimalanforderungen an die Server. Gleiches gilt auch für den Windows-Client, über den die Administration und Analyse erfolgt. Auch dessen Systemanforderungen sind vergleichbar mit den Minimalanforderungen für die Windows-Plattformen, auf denen er genutzt werden kann. Bevor der Installationsprozess begonnen wird, muss auch eine gültige Lizenz vorhanden sein. Ansonsten lässt sich die Anwendung auf dem Server nicht starten. Die Lizenzinformationen werden im Verlauf der Installation abgefragt.
www.lanline.de
MANAGEMENT
Die Installation ist einfach zu bewerkstelligen. Der erste Schritt ist die Auswahl der zu installierenden Komponenten. Neben dem Client, Tree Monitor und Agents gibt es hier noch zwei wichtige Erweiterungen, die eingerichtet werden können. Das ist zum einen das Managewise-Snap-in und zum anderen die SNMP-Unterstützung für den Tree Monitor. Mit dem Managewise-Snap-in kann der DS Expert auch als Ergänzung zu Novells Systemmanagementlösung eingesetzt werden. Das ist ausgesprochen attraktiv, da DS Expert in vielen Bereichen besser differenzierte Informationen liefert. Auf der anderen Seite fehlen dem DS Expert beispielsweise ausgefeilte Alerting-Funktionen, mit denen die erkannten Probleme beispielsweise per E-Mail oder Pager auch an Administratoren kommuniziert werden können. Das ist auch eine der größten Einschränkungen der Software. Insofern stellt die Kombination eine ausgesprochen attraktive Lösung dar. Die SNMP-Unterstützung ist sinnvoll, falls ein SNMP-basierendes Systemmanagement eingesetzt wird, da der Tree Monitor dann als SNMP-Agent für die SNMP-Konsole fungiert. Im nächsten Schritt gilt es dann den Server auszuwählen, auf dem die Installation des Tree Monitors erfolgen soll. Da sowohl die Last- als auch die Plattenplatzanforderungen des Werkzeugs vergleichsweise gering sind, ist diese Wahl unkritisch. Hier kann auch definiert werden, dass der Tree Monitor unmittelbar im Anschluss an die Installation geladen und die autoexec.ncf so modifiziert werden soll, dass das System in Zukunft automatisch geladen wird. Wenn eine neue Version des DS Expert eingespielt wird, können auch die bereits eingerichteten Agenten automatisch aktualisiert werden. Im Anschluss an die Eingabe der Lizenzinformationen kann dann festgelegt werden, dass ein zweiter Tree Monitor eingerichtet werden soll. Dieses als Duplex Monitor bezeichnete System kann die Verfügbarkeit der Gesamtlösung deutlich erhöhen. Der nächste
69
Bild 4. Die Darstellung von Informationen durch DS Expert
berücksichtigen ist wie gesagt, dass die Agents wesentlich mehr Informationen liefern als Server ohne solche Agents. Nach der Einrichtung des Clients ist die Installation dann abgeschlossen. Es muss nur noch die Authentifizierung durchgeführt werden, um das System dann nutzen zu können. Das Fenster des Windows-Clients von DS Expert ist zweigeteilt. Auf der linken Seite werden in einer Baumstruktur die Partitionen und Server angezeigt. Zu jeder Replika und zu jedem Server gibt es ein Symbol, das den Zustand anzeigt. Wenn dieses auf rot gesetzt ist, ist ein konkretes Problem aufgetreten. Zu den Servern und Partitionen können dann Detailinformationen ausgewählt werden. Diese sind Bild 5. Der DS Analyzer kann gezielt auf ausgewählten Servern eingerichtet werden über Register gegliedert, deren Anrende Probleme innerhalb eines Repli- zahl und Inhalt vom in der Baumstruktur ka-Rings zuverlässig erkannt werden. selektierten Objekt abhängt. In einer ReiOptimal ist allerdings die Verteilung he der Register werden keine Informatioder Agents auf alle Server im Netzwerk, nen angezeigt, wenn auf dem System zumindest am lokalen Standort. Zu kein Agent eingerichtet ist.
LANline Spezial Administration I/2001
Schritt ist dann die Festlegung der Systeme, auf denen Agenten installiert werden sollen. Hier gilt es zu überlegen, ob das auf allen oder nur auf ausgewählten Servern erfolgen soll. Es sollte zumindest sichergestellt sein, dass für jede Partition zumindest auf einem der Server mit Replikas auch ein Agent installiert ist. Damit kann sichergestellt werden, dass zumindest gravie-
LANline Spezial Administration I/2001
69
MANAGEMENT
Um das Verhalten des DS Expert zu steuern, können mit dem Befehl Defaults im Menü Settings die Situationen konfiguriert werden, in denen DS Expert Warnungen ausgibt. Beispiele für konfigurierbare Parameter sind beispielsweise die minimal erforderlichen NDS-Versionen, die durchschnittliche Auslastung des Verzeichnisdienstes in einem definierten Zeitraum oder der verfügbare Speicher auf Servern. Es kann aber beispielsweise auch festgelegt werden, wie lange Inkonsistenzen bei Replika-Tabellen bestehen dürfen, bevor der Status der betroffenen Objekte verändert wird. Über die reine Analyse hinaus können auch verschiedene Aktionen auf Servern durchgeführt werden. Dazu gehören beispielsweise die Zustandsanalyse von alten Einträgen. Gut kann die Dokumentation beider Produkte gefallen, in der nicht nur die Menüs und Befehle erläutert sind, sondern auch die Interpretation der Ausgaben und potenzielle Maßnahmen, die im Fehlerfall ergriffen werden können.
beispielsweise den Auslastungsvergleich zwischen verschiedenen Servern. Die Installationsvoraussetzungen sind auch bei dieser Anwendung gering. Vorausgesetzt wird mindestens der NovellClient 3.1 für Windows 9x, der NovellClient 4.6 für Windows NT beziehungsweise der Novell-Client 4.7 beim Einsatz von Windows 2000. Bei der Installation
möglich. Im Anschluss daran können dann das Anzeigeintervall und die anzuzeigenden Daten konfiguriert werden. Bei der Analyse können dann entweder Server oder Partitionen ausgewählt werden. Durch Anklicken von Informationen in der Legende kann dann ein Drill-Down zu Detailinformationen wie beispielsweise den einzelnen Kategorien erfolgen.
DS ANALYZER Der DS Analyzer als das
zweite der Werkzeuge hat einen deutlich anderen Einsatzbereich. Dessen Funktion ist die Analyse der Last auf der NDS. Auch hier wird nicht in der Art eines einfachen Paketmonitors gearbeitet. Statt dessen ordnet das Programm die NDSbezogenen Pakete über die verwendeten API-Aufrufe einer von insgesamt 14 verschiedenen Kategorien zu. Diese sind ausführlich dokumentiert. Nach der Installation, die in ähnlicher Weise wie beim DS Expert verläuft, kann zunächst eine Feststellung der “Baseline” – also die Aufzeichnung der Basisauslastung – erfolgen. Mit dieser ist der Administrator dann später in der Lage, die aktuelle Auslastung zu vergleichen. So lassen sich Änderungen in der Konfiguration oder zusätzlich installierte Dienste in ihren Wirkungen auf die NDS-Last genau evaluieren. Die auf diese Weise gesammelten Informationen stehen beispielsweise für eine optimale Partitionierung der NDS zur Verfügung. Die Anzeige kann pro Server oder Partition erfolgen. Die Informationen erlauben damit
70
Bild 6. Die gesammelten Informationen können nach Kategorien strukturiert werden
muss dann zunächst der NDS-Baum ausgewählt werden, in dem der DS Analyzer eingerichtet werden soll. Die Installation der Agenten kann dann anschließend automatisch auf allen oder gezielt auf ausgewählten Servern erfolgen. Auch hier kann wieder konfiguriert werden, ob die NLMs für die Agenten automatisch geladen und die autoexec.ncf angepasst werden kann. Diese Optionen sollten beide gewählt werden. Zusätzlich kann auch das Volume für die Ablage der Analysedaten konfiguriert werden. Die Nutzung der Anwendung ist ausgesprochen einfach. Zunächst muss über einen ausreichend langen Zeitraum von zumindest einigen Stunden eine Baseline definiert werden. Sinnvolle Ausgaben sind erst nach einigen Stunden Laufzeit
LANline Spezial Administration I/2001
Damit lassen sich sehr umfassende Aussagen zur NDS-Last erhalten. Im Vergleich mit klassischen Netzwerk-Monitoren haben diese einen deutlich höheren Abstraktionsgrad. Dafür sind sie allerdings im Detail nicht so differenziert. Beide Werkzeuge sind hilfreiche Werkzeuge für Netzwerk-Administratoren, auch wenn es funktionale Einschränkungen gibt. Sie können andere Werkzeuge wie Managewise oder auch den Lanalyzer nicht ersetzen, sind aber eine sinnvolle Ergänzung dazu. (Martin Kuppinger/rhh)
Weitere Informationen: Netpro Web: www.netpro.com www.systeme.de
www.lanline.de
MANAGEMENT
Win32-APIs dieser Windows-Versionen stellen nicht alle Funktionalitäten bereit, die von Scriptlogic gebraucht werden. Der Administrator kann in diesem Schritt auch gleich festlegen, ob die Dienste nach der Installation gleich gestartet werden sollen. Es empfiehlt sich, die Dienste erst manuell nach der Installation zu starten, da der Systemverwalter für die DiensDas Erstellen, Testen und Verwalten von Log-in-Skripten empfinden die te noch einen Benutzer-Account anlemeisten Administratoren als eine zeitintensive und anstrengende gen muss. Die Einstellungen der verwendeten Dienste und deren Accounts kann Aufgabe. An diesem Punkt setzt Scriptlogic Professional an, das seit der Administrator mit dem Scriptlogickurzen in der Version 3.0 erhältlich ist. Das Produkt verspricht dem Service-Manager nach der Installation jeAdministrator durch den Einsatz einer grafischen Benutzeroberfläche derzeit ändern. Im letzten Schritt der Installation hat der Administrator noch die die komplette Verwaltung von Log-in-Skripts unter Windows zu vereinMöglichkeit, alle anderen Domänenconfachen. Dabei soll das Programm nicht nur die Verwaltung von troller anzugeben, auf denen die ScriptloSkripten, sondern auch von Sicherheitsrichtlinien und Benutzerprofilen gic-Dateien und -Dienste installiert und Änderungen repliziert werden sollen. in einem einzigen Produkt vereinen. Hier ist die Angabe aller im Unternehmen installierten Domänen-Controller sinncriptlogic unterstützt die komplette ponenten von Scriptlogic einrichten: Den voll, denn bekannterweise kann jeder dieWindows-2000-Server-Familie, RPC-Dienst sowie den Kixtart-RPC-Ser- ser Rechner Benutzer bei der Anmeldung Windows NT Server 4.0 mit der Termi- vice (Bild 1). Der RPC-Service ist erfor- authentifizieren und ihnen ihr Log-innal-Server-Edition und Citrix Metafra- derlich, falls nicht alle Benutzer im Un- Skript zur Verfügung stellen. Falls also Scriptlogic auf eime, Windows NT Workstation 4.0, Winnem Domain-Condows 2000 Professional, Windows 95 troller nicht instalund Windows 98. Im Test kam ein Winliert ist, wird das dows-2000-Server sowie je ein WinProgramm auch auf dows-ME- und ein Windows-2000-Prodem sich dort anfessional-Client zum Einsatz. meldenden Client nicht ausgeführt. INSTALLATION Da Scriptlogic selbst Nach abgenach der Installation mit Hilfe eines Logschlossener Instalin-Skripts aufgerufen wird, muss der Adlation muss der Administrator die erste Komplettinstallation ministrator schließauf einem Primary- oder Backup-Dolich den Servicemain-Controller durchführen. Die InstalAccount anlegen, lation auf dem Test-Server verlief prowobei hier darauf blemlos, das Programm fragte lediglich zu achten ist, dass ein Installations- und Logfile-Verzeichnis ab. Die Clients legen ihre Protokoll- Bild 1. Zum reibungslosen Betrieb werden zwei Dienste auf dem Server dieser Benutzer das Recht “Anmelden dateien in diesem Verzeichnis ab, daher installiert als Dienst” erhält. erstellt die Setup-Routine ein vom Administrator benanntes Share automatisch. ternehmen über Administratorrechte auf Nachdem wir mit Hilfe des recht einfach Scriptlogic kann dabei seine Logfiles ihren Maschinen verfügen. Da dies fast zu bedienenden Scriptlogic-Service-Manicht nur auf einem NT- oder 2000-Ser- immer der Fall ist, sollte der Administra- nagers die Dienste gestartet hatten, konnver, sondern auch auf einem beliebigen, tor diesen Service auf alle Fälle installie- te das Hauptprogramm von Scriptlogic – für alle Clients zugänglichen Fileserver ren. Weniger häufig wird er den Kixtart- der Scriptlogic-Manager – gestartet werablegen. RPC-Dienst installieren, denn dieser den. Mit Hilfe dieses Tools konfiguriert Im nächsten Schritt will die Installa- wird nur beim Einsatz von Windows- der Administrator alle Teile der Scripttionsroutine die zwei wichtigsten Kom- ME/9x-Clients benötigt – denn die logic-Anwendung selbst. IM TEST: SCRIPTLOGIC 3.0 PROFESSIONAL
Log-in-Management für Windows-Netze
S
www.lanline.de
LANline Spezial Administration I/2001
71
MANAGEMENT
Typ gliedert sich wiederum in die acht Untergruppen Gruppenzugehörigkeit, Benutzername, Computername, MacAdresse, IP-Adresse, Rechnername, Site und Domäne. Bei der Angabe des Typs ist auch der Einsatz von Wildcards erlaubt. Beispielsweise kann der Systemverwalter eine bestimmte Option nur auf Rechner anwenden, deren Name mit MUC* beginnt. Der Administrator hat also hier ein Werkzeug, mit dessen Hilfe er sehr genau die einzelnen Einstellungen festlegen kann. IM TEST Im Test trat an dieser Stelle ein
Bild 2. Die Outlook-Optionen im Scriptlogic-Manager. Alle anderen Kategorien sind als Karteikarten sichtbar.
KONFIGURATION Mit Hilfe der Scriptlogic-Konfiguration kann der Administrator grundsätzlich alle System- und Benutzereinstellungen festlegen und verändern (Bild 2). Hierzu gehören bei den Systemeinstellungen beispielsweise die Anzeige einer Textbox beim Hochfahren des Rechners (“Legal Notice”), das automatische Entleeren des TEMP-Verzeichnisses oder eine Warnmeldung, falls der freie Speicherplatz auf dem Systemlaufwerk eine bestimmte Größe unterschreitet. Selbst die Installation von ServicePacks für die einzelnen Betriebssysteme, kann der Administrator veranlassen. Noch viel leistungsfähiger ist das Programm bei der Benutzerkonfiguration: Hier spezifiziert der Administrator beispielsweise Laufwerks-Mappings oder er legt fest, welche Drucker zur Verfügung stehen und definiert Shortcuts auf Anwendungen. Das Programm bietet ihm außerdem verschiedene Einstellungsmöglichkeiten für die Standard-Microsoft-Produkte wie Office 95/97/2000, Outlook 97/98/2000 und den Internet Explorer. Bei diesen Produkten kann er beispielsweise Standardpfade umstellen oder einen Proxy-Server oder eine Startseite fest definieren. Erstaunlich war, dass hier sogar Kleinigkeiten von den Programmierern nicht vergessen wurden.
72
kleines Problem auf, als wir den “My Documents”-Ordner auf allen Rechnern mit Hilfe dieser Option entfernten. Zunächst sah es so aus, als ob Scriptlogic dies nicht mehr rückgängig machen könnte. Also schickten wir eine E-Mail an den Scriptlogic-Support. Die freundlich Antwort erreichte uns noch am selben Tag: Um den Ordner wieder sichtbar zu machen, muss der Administrator nur einen Regis-
Die einzelnen Kategorien der Optionen werden als Karteikarten angezeigt, was den Administrator durch die große Zahl der Kategorien schnell verwirren kann. Schön wäre in einer zukünftigen Version ein zweigeteiltes Fenster mit einer Baumansicht oder gleich die Verwendung der Microsoft Management Console. Um die Einstellungen für einzelne Benutzer, Gruppen oder Rechner festzulegen, enthält Scriptlogic eine “Validation Logic”. Hier definiert der Administrator b e i s p i e l s w e i s e Bild 3. Mit dem Log-in-Script-Assignment aktiviert der Administrator zunächst einen zen- das Programm für die ausgewählten Benutzer tralen Clipart-Ordner für Office 2000. Anschließend kann er mit Hilfe von drei try-Key hinzufügen – und natürlich gibt Kriterien festlegen, ob diese Option auf es bei der Scriptlogic-Configuration eine einem Client aktiviert wird oder nicht. eigene Kategorie für Registry-ManipulaAuswahlkriterien sind hier das Betriebs- tionen. Ein tragendes Element von Scriptlogic system, die Verbindungsart (Netz oder Wählverbindung) sowie ein Typ. Dieser ist die Microsoft-eigene Programmier-
LANline Spezial Administration I/2001
www.lanline.de
MANAGEMENT
sprache Kixtart, die im Internet frei erhältlich ist [1]. Um nun bei der Anpassung der Clients noch flexibler zu sein, kann der Administrator eigens geschriebene Kixtart-Skripte mit Hilfe von Scriptlogic ablaufen lassen. Um dem Anfänger den Einstieg in Kixtart etwas einfacher zu machen, stehen auf der Web-Seite von Scriptlogic viele nützliche Scripte kostenlos bereit. Im Test sollte das Skript, das den Citrix-ICAClient für den Windows-Terminal-Server installiert, seine Tauglichkeit unter Beweis stellen. Nach einer kleinen Anpassung im Skript installierte Scriptlogic die Software problemlos auf den Clients. Ein sehr schönes Feature ist auch die Bereitstellung von “Dynamic Variables” in Scriptlogic. Diese Variablen enthalten zum Beispiel die Betriebssystemversion, den angemeldeten Benutzer oder die Mac-Adresse des Rechners. Der Administrator kann diese Variable in seinen eigenen Skripten oder aber auch in den anderen Optionen, beispielsweise beim Anzeigen einer Message-Box verwenden. Auch erstaunte wieder der sehr große Umfang der Variablen, die der Administrator verwenden kann. Die Programmoptionen von Scriptlogic selbst legt der Administrator bei den System-Options fest. So kann er beispielsweise verhindern, dass Scriptlogic auf Servern ausgeführt wird, den Text von Scriptlogic-Fehlermeldungen verändern und ein eigenes Bitmap während der Ausführung auf den Clients anzeigen lassen. Sehr wichtig ist die Option, dass Scriptlogic generell nicht bei Benutzern ausgeführt wird, die sich per RAS in das Unternehmen eingewählt haben.
plikation kann Scriptlogic zwar auch verwenden, doch sind die eigenen Funktionen einfacher zu bedienen und daher vorzuziehen. Mit einem Tastendruck im Scriptlogic-Manager stößt der Administrator die Replikation der Skripte an, und alle Domain-Controller, die der Administrator vorher konfiguriert hat, werden automatisch aktualisiert. Um zu kontrollieren, welcher Benutzer beim Log-in den Client startet, kann der Administrator entweder im Benutzermanager “Slogic” als Log-in-Skript angeben oder er verwendet die leider etwas versteckt eingebaute “Assign Script”-Funktion von Scriptlogic (Bild 3). Hier wählt er einfach die Benutzer aus, denen er dann das Slogic-Script zuweist. Diese Option beweist wieder einmal die durchdachte Funktionalität des Produkts, denn sie spart dem Administrator einige Mausklicks und Zeit. FAZIT Scriptlogic Professional ist ein
sehr durchdachtes und leistungsstarkes Produkt. Durch die Erweiterbarkeit mit eigenen Skripten eröffnen sich dem Administrator fast unendliche Möglichkeiten des Client-Managements. Die Vereinigung von Log-in-Skript, Benutzerund Sicherheitslinienverwaltung spart dem Administrator viel Zeit und Mühe. Falls in der nächsten Version die noch wenigen kosmetischen Fehler verbessert werden, sollte dieses Tool auf alle Fälle zur Grundausstattung jedes Systemverwalters gehören. Der Preis von rund 1500 Mark pro primärem Domain-Controller und zirka 20 Mark pro Client ist dann auf alle Fälle nicht zu hoch angesetzt. (Fabian Warkalla/gh)
REPLIKATION Scriptlogic hält das angepasste Log-in-Skript und die benutzerspezifischen Scripts auf jedem DomainController vor. Um die festgelegten Einstellungen nun auf allen Domain-Controllern zu verteilen, bedient sich Scriptlogic seines eigenen Replikationsmechanismus, der auch wie versprochen funktionierte. Die nur sehr schwierig konfigurierbare Standard-Windows-Re-
73
LANline Spezial Administration I/2001
Info: Scriptlogic Tel.: 001/954/861-2300 Web: www.scriptlogic.com [1] Weitere Informationen für Kixtart im Internet unter: http://www.scriptlogic.com http://script.kixtart.to http://www.comptrends.com http://netnet.net/~swilson/kix/ http://www.hockey.net/~kevinv/kixtart/index. shtml
LANline Spezial Administration I/2001
73
MANAGEMENT
laden. Diese als Cloning-Verfahren bezeichnete Vorgehensweise stößt jedoch schnell an ihre Grenzen, denn nicht alle PCs im Unternehmen sind exakt gleich. Meist herrschen heterogene HardwareLandschaften vor. Abgesehen von Standard-Büroanwendungen werden je nach Abteilung spezielle Programme genutzt. Ein Cloning dieser PCs untereinander Die “Total Cost of Ownership” (TCO) wird von Faktoren beeinflusst wie zieht zeit- und kostenintensive manuelle etwa Anzahl der Besuche des IT-Personals beim Client, neue Installatio- Nacharbeiten an der Konfiguration von Treibern, Programmen und Netzwerkeinnen beziehungsweise Roll-outs, Betriebssystem-Migrationen, Internetstellungen nach sich. Verbindungen, Anwendungsinstallation und -lizenzierung und DesktopDurch den Einsatz von Software-MaKonfigurationen. Durch Desktop-Management-Lösungen kann die nagement-Lösungen können Unternehmen eine drastische Reduzierung der traditionelle Software-Verteilung automatisiert und gleichzeitig ein Kosten für die Installation neuer PCs erintegriertes Management sowie die Konfiguration von Software auf zielen. Ein Beispiel zeigt den UnterClient-PC-Systemen in die Praxis umgesetzt werden. schied: Ein großes Unternehmen im Finanzdienstleistungssektor benötigte früher 7,5 Stunden, um neue PCs zu instalei der Berechnung von TCO-Model- DIE GRENZEN DES CLONING In den lieren. Jetzt vergeht für den gleichen Vorlen für unterschiedliche Unterneh- meisten Fällen werden neu in einem gang eine Zeitspanne von einer Stunde mensgrößen und Branchen kommen IT- Unternehmen einzusetzende PCs vom und 20 Minuten. Der Grund: Das Tool Experten immer wieder zum gleichen Er- Lieferanten mit dem Betriebssystem be- “ON Command CCM” ist in der Lage, gebnis: Support-, Administrations- und reit gestellt und die Büroanwendungen von zentraler Stelle aus Festplatten neu Endbenutzerkosten stellen bedeutende vom Zulieferer auch vorab installiert. zu formatieren und zu partitionieren soKomponenten der TCO-Gleichung dar. Nach Angabe eines führenden PC-Her- wie ein Betriebssystem zu installieren Unternehmen erweitern ständig den Um- stellers werden 80 Prozent dieser PCs und zu konfigurieren. Ein IT-Administrafang der Anwendungen auf ihren Client- nach Ankunft beim Kunden umforma- tor muss währenddessen nicht am AufSystemen. Dies kann zeitintensiv sein, tiert und vollständig neu installiert. Diese stellort des PCs sein. Der Vorgang läuft wenn ein Besuch des Arbeitsplatzes not- Neuinstallationen werden meist manuell automatisiert ab und kann damit zu jeder wendig ist – insbesondere bei mobilen durchgeführt, bestenfalls wird ein Spei- beliebigen Zeit ausgeführt werden, ohne Clients. Auch erhöht sich generell die cherabbild (Image) auf den neuen PC ge- die Produktivität des Endbenutzers zu beeinträchtigen. Der Häufigkeit der Installation neuer SoftErfolgsfaktor für ware auf dem PC. Ein weiteres Thema ist automatisierte Indie Migration größerer Mengen von stallationen liegt bei Clients auf Windows 2000. 95 bis 100 Prozent, Die Support-, Administrations- und sofern sie auf den Endbenutzerbedienungskosten innerhalb Original-Setupder TCO lassen sich minimieren, indem Routinen der Herman innovative Systemmanagement-Lösteller basieren. sungen mit automatisierten Support- und Ein wichtiger AsInstallationsvorgängen kombiniert. Eine pekt ist auch die derartige Lösung reduziert die ZeitspanWiederherstellung ne, die das Administrationspersonal dazu des Systems im Fehverwenden muss, um Client-PCs am Laulerfall. Wenig Sinn fen zu halten. Dadurch werden freie Zeitmacht es, einen PC räume geschaffen, um sich auf die Implevöllig neu zu klomentierung strategischer Initiativen für nen, nur weil ein die Unternehmen zu konzentrieren. ZuDruckertreiber nicht sätzlich werden die Ausfallzeiten der Bild 1. Rechenbeispiel für die Aufwandssenkung im Bereich Support mehr richtig funkClients auf ein Minimum beschränkt. TCO-REDUZIERUNG BEIM CLIENT-MANAGEMENT
Automatisierung angesagt
B
74
LANline Spezial Administration I/2001
www.lanline.de
MANAGEMENT
tioniert. Dieser müsste also manuell vor Ort ersetzt werden. Und was passiert bei Programm-Updates und -Upgrades? Das Cloning kann wohl für die meisten Unternehmen nur eine Möglichkeit darstellen, beim Roll-Out einer größeren Anzahl an PCs schnell Grundinstallationen im Labor vorzunehmen. Der gesamte PC-Lebens-
Unter dem Begriff “kontinuierliches Konfigurationsmanagement” versteht man die Fähigkeit, PCs über den gesamten Lebenszyklus zu verwalten. Hierzu zählen auch die zentrale und automatisierte Durchführung von Betriebssystemund Anwendungsmigrationen und die Möglichkeit, den PC im Schadensfall in den zuletzt funktionsfähigen Status zurückzuführen. Nach Angaben der META Group beträgt das durchschnittliche Verhältnis in der Industrie von IT-Personal zu Endbenutzer 1 zu 75. Das bedeutet, dass eine IT-Fachkraft benötigt wird, um 75 Endanwender zu unterstützen. Diese Relation lässt sich wesentlich verbessern, indem man mit Hilfe eines innovativen Client-Management-Systems den Support unterstützt. Durch den Einsatz von ON Command CCM am Flughafen München beispielsweise konnte das Verhältnis auf 1 zu 250 reduziert werden. Hier werden zur Zeit mehr als 800 PCs Bild 2. Beispielrechnung für die Kosteneinsparung in einem Netzwerk mit dieser Lösung verwaltet. Das günszyklus lässt sich mittels Cloning keinesfalls tigere Support-Verhältnis reduziert im ganz abdecken. Zu diesem Zweck sind in- direkten Maße den jährlichen Supportnovative Client-Management-Lösungen Aufwand und die Administrationskosten mit erweiterter Funktionalität erforderlich, in der TCO-Gleichung. die nicht nur eine individuelle KonfiguraAUF tion beim Roll-Out erlauben, sondern dar- BETRIEBSSYSTEM-MIGRATION über hinaus auch ein kontinuierliches Kon- WINDOWS 2000 In vielen Unternehmen figurationsmanagement aller Clients über steht in Kürze eine Migration der Clientden gesamten Lebenszyklus hinweg er- und/oder der Server-Rechner auf das Bemöglichen und dabei den Zeitaufwand des triebssystem Microsoft Windows 2000 an. Wegen der hohen Anforderungen, die IT-Personals minimieren.
76
LANline Spezial Administration I/2001
Windows 2000 an Hardware, Netzinfrastruktur und Software stellt, fallen dabei hohe Kosten an. Ressourcen werden für Planung, Vortest, Testinstallation, Hauptinstallation und fortlaufenden Support verwendet. Client-ManagementTools ermöglichen eine effiziente Migration auf Windows 2000. Durch die Umstellung der Clients auf Windows 2000 in einem ersten Schritt können die Unternehmen bereits von Windows 2000 Professional profitieren, ohne sofort auch ihre Server- und Netzwerkinfrastruktur umstellen zu müssen. Einsparungspotenzial ergibt sich dadurch in doppelter Hinsicht: Während die Umstellung so weit wie möglich automatisiert wird und damit Personalressourcen spart, werden gleichzeitig die vorhandenen Investitionen in PC-Software und in die Server-Infrastruktur während der Übergangszeit optimal genutzt. (Thomas Gröhl/rhh) Thomas Gröhl ist MarketingManager Europe bei ON Technology
Weitere Informationen: ON Technology Tel.: 08151/3690 Web: www.ontechnology.de
LANline Spezial Administration I/2001
76
MANAGEMENT
THIN- UND THICK-CLIENT-ADMINISTRATION
Auf der Suche nach der “perfekten” Lösung “Thin” oder “Thick”? Diese Frage lässt sich in den seltensten Fällen mit einem klaren “Ja” oder “Nein” beantworten. Meist wird es eine Kombination beider Lösungen sein, die das Optimum für ein Unternehmen darstellt. Effizient verwaltete PCs leisten in den Unternehmen wertvolle Dienste. Voraussetzung dafür ist aber der Einsatz geeigneter Mittel und das Definieren und Durchsetzen von Standards. Die Flexibilität lässt PCs und Notebooks als Standard-Desktop in den Unternehmen sinnvoll erscheinen. Aber es gibt auch Bereiche, in denen Terminal-ServerLösungen die bessere Wahl sind.
eit dem Einzug der PCs in den Unternehmen hat es immer wieder Diskussionen um ihren Kosten-/Nutzen-Aspekt gegeben. Den vorhandenen VT- oder IBM-Terminals mit größtenteils textbasierenden Anwendungen standen bald grafikbasierende Windows-, OS/2 oder Macintosh-PCs gegenüber. Die Terminals hatten zunächst den Vorteil, im Vergleich zu den PCs unkomplizierter und im Betrieb günstiger zu sein. Darüber hinaus boten sie eine einfache und effiziente Administration. Sie erreichten jedoch schnell ihre Grenzen, sobald die Nutzer nach einer komfortablen Bedienung über grafische Oberflächen und den dazugehörigen modernen Anwendungen verlangten. Diese Anforderungen erfüllten nur PCs, die darüber hinaus mehr Flexibilität und Funktionen boten. Sie hatten jedoch den Nachteil einer aufwändigeren Administration und eingeschränkter Nutzerproduktivität durch häufige Systemprobleme. Das Ziel waren Endgeräte, die eine leichte und günstige Administration und die Vorteile grafischer Benutzerschnittstellen kombinierten. Auf Thin-Client-Seite stellen heute Windows-basierende Terminal-Server gegenüber voll ausgestatteten PCs eine Lösung dar. Demgegenüber sollen DesktopManagementlösungen den Betrieb der in
S
www.lanline.de
Unternehmen beibehaltenen PC-Umgebungen optimieren. In den für die Administration zuständigen Abteilungen stellt sich die Frage, welche Alternative unter den Aspekten der weitgehenden Kostenreduzierung bei gleichzeitig höchstmöglichem Nutzen für die Anwender vorzuziehen ist. Die Idee hinter den Windows-TerminalServern hört sich ganz simpel an: einfache und günstige Endgeräte mit den modernen grafischen Windows-Anwendungen zu kombinieren. Durch die Multiuser-Fähigkeit – alle benötigten Dienste und Anwendungen werden auf dem Server mehrfach ausgeführt und zu den Nutzern übertragen – ist es möglich, Anwendungen wie Office, SAP-GUI oder den gesamten Windows-Desktop zentral zu installieren, zu konfigurieren und den Benutzern zur Verfügung zu stellen. Als Endgeräte können normale PCs mit installiertem TerminalServer-Client bis hin zu dedizierten Terminals, die auf Windows CE oder Linux/ Unix basieren, eingesetzt werden. Mehrere Server können als Server-Farm zusammengefasst werden und bieten somit eine erhöhte Ausfallsicherheit und Performance. Vor der Einführung einer Terminal-Server-Lösung sind einige Dinge zu betrach-
ten. Eine grundlegende Frage stellt sich beispielsweise nach den einzusetzenden Anwendungen. Sie müssen genau auf ihre Verträglichkeit mit der Multiuser-Technologie hin untersucht werden. Neben Inkompatibilitäten kann auch die Art der Anwendung ein Ausschlusskriterium sein. Multimediaanwendungen, Desktop Publishing und andere sehr grafik- beziehungsweise leistungsintensive Anwendungen sind eher ungeeignet für den Einsatz mit einer Terminal-Server-Lösung. Andererseits gibt es hierfür geradezu prädestinierte Applikationen wie Datenbankanwendungen, die eine hohe Netzlast zu den Datenbank-Servern erzeugen. Stellt man die Datenbank- und Terminal-Server in ein dediziertes Subnetz, dann erfolgt die Hauptnetzlast lokal, auch wenn die Nutzer über WAN-Strecken arbeiten. Eine weitere Planungsvariable ist die jeweils vorhandene IT-Infrastruktur wie Netz oder LAN/WAN. Auch ist entscheidend, ob bereits eine eingeführte PC-Umgebung besteht, in die eine Terminal-Server-Lösung eingebunden werden soll oder ob diese als kompletter Neuaufbau implementiert wird. Bei der Systemauslegung müssen neben den zu verwendenden Endgeräten auch Arbeitsplätze ohne dauerhafte Netzanbindung (etwa Notebooks) berücksichtigt werden. Vor dem Aufbau der Terminal-Architektur muss darüber entschieden werden, wie die Anbindung der jeweiligen Endgeräte beziehungsweise Programme an die im Netzwerk angeschlossenen Peripheriegeräte erfolgen soll. Bei reinen Terminal-Lösungen sind CD-Brenner oder Scanner nur schwer integrierbar. Das Drucken ist ein zentrales Thema in Terminal-Server-Umgebungen: Gängige Tintenstrahldrucker eignen sich nur bedingt, da deren Seitenbeschreibungssprache sehr große Druckdateien erzeugt. Diese würden dann vom Terminal-Server über das Netzwerk auf den lokalen Drucker geschickt, was zusätzliche Zeit in Anspruch nimmt. Netzwerkdrucker umgehen das Problem weitestgehend. Als Fat-Clients werden vernetzte PCs mit lokal installierten Anwendungen bezeichnet. Sie basieren häufig auf Intelkompatiblen PCs mit Microsoft Windows-
LANline Spezial Administration I/2001
77
MANAGEMENT
HelpdeskKonsole
Rem ote Con trol/ SW -Ver teilu ng
AB
H
SAP
Helpdesk
AB
zentrale VerwaltungsDB Inventory
Desktop-Management Software-Verteilung Depot
H
H
H
H
WAN
Desktop-ManagementKonsole
H
Software-Verteilung Depot
Desktop-ManagementKonsole
H
H
H
H
H
Bild 1. Zentraler Ansatz des IT-Desktop-Managements
Betriebssystemen. Hauptkritikpunkte der IT-Abteilungen an den PCs sind die hohen Betriebskosten und der hohe SupportBedarf bei den Nutzern, hervorgerufen sowohl durch Instabilitäten beziehungsweise Unverträglichkeiten von Anwendungen und Hardware-Treibern als auch durch die zunehmende Komplexität des Betriebssystems und der Anwendungen. Auch die unzulänglichen Windows-Möglichkeiten für eine zentrale und effiziente Verwaltung der PCs wirken sich sehr negativ auf die Kosten aus. Eine Möglichkeit, um diese Probleme in den Griff zu bekommen, stellen Desktop-
78
Managementlösungen dar – entweder als Bestandteil eines Systems-Management Frameworks (wie beispielsweise Tivoli oder CA-Unicenter) oder als spezialisierte Management-Suiten wie SMS (SystemManagement-Server), Intel LDMS, Matrix42 Empirum oder Novell ZEN. Diese Lösungen basieren auf der Automatisierung von Arbeitsschritten und der Reduktion oder Verkürzung von Ausfällen, die durch Fehler verursacht werden. Beispielsweise wird bei der Software-Verteilung eine Anwendung ein einziges Mal zur Verteilung vorbereitet. Anschließend wird dieses vorbereitete Paket auf beliebig
LANline Spezial Administration I/2001
viele PCs im Unternehmen verteilt, anstatt auf jedem PC vor Ort manuell installiert zu werden. Desktop-Managementlösungen senken also die Administrationskosten durch Automatisierung und Standardisierung und steigern die Servicequalität gegenüber den Endnutzern. Klassische Desktop-Managementbereiche sind Software-Verteilung, die Aufnahme der PC-Daten (Inventory) und die Fernsteuerung (Remote Control). Ergänzend werden von einigen Herstellern eine automatisierte Betriebssysteminstallation, die Sicherung der Benutzerkonfigurationen sowie Lizenzverwaltung angeboten. Die Infrastruktur und das eingesetzte Netzwerkbetriebssystem spielen bei der Entscheidung für oder gegen ein Produkt eine mitentscheidende Rolle. Auch die Art der eingesetzten Endgeräte wie PC, Mac oder Notebooks muss berücksichtigt werden. Beispielsweise setzt Microsofts RIS (Remote Installation Service) ein vorhandenes Active Directory zur automatisierten Installation von Windows 2000 Professional voraus. Andere Hersteller unterstützen bei der Software-Verteilung keine Macintosh-Clients. Wichtig ist also, vor der Entscheidung genau zu prüfen, was die Lösung leisten muss. So unterstützt etwa die Lösung Empirum Pro auf der Client-Seite alle Windows-Betriebssysteme und ist unabhängig vom eingesetzten Netzwerkbetriebssystem. Mindestens genauso wichtig wie die Entscheidung für ein Produkt ist die Konzeptionierung beim Desktop-Management. Die Einführung und Durchsetzung von Standards sowohl auf Hard- als auch auf Software-Seite sind unabdingbar. Auch die strukturelle Ordnung der IT-Abteilung, zum Beispiel Helpdesk und Netzwerkmanagement, hat starken Einfluss auf die Effizienz des gesamten Systems. Je mehr Varianzen und Permutationen existieren, um so schwieriger werden Wartung und Wiederherstellung. Thin-Clients können “Managed PC”Umgebungen ersetzen oder aber auch ergänzend zu ihnen eingesetzt werden. Die erste Frage wird sich also um den Umfang der Lösung drehen. Soll das gesamte PCUmfeld gegen Windows-Terminals ausge-
LANline Spezial Administration I/2001
78
MANAGEMENT
tauscht werden oder müssen nur Abteilungen oder Gruppen komplett umgestellt werden? Werden nur einzelne Anwendungen auf Terminal-Server verlagert und sowohl das bestehende Umfeld als auch die existierenden Clients weiter verwendet? Eine komplette Umstellung kommt wohl nur für wenige Unternehmen in Frage. Zu oft sind einzelne Anwendungsbereiche nicht oder nur sehr schlecht abdeckbar. Um aber die oben genannten Ziele der Kostensenkung und Servicesteigerung mit der Terminal-Server-Lösung zu erreichen, ist eine Umstellung aller Clients auf Terminals notwendig. Werden weiterhin PCs als Endgeräte eingesetzt, entfällt ein großer Teil des Potenzials dieser Lösung, da die Clients weiterhin relativ aufwändig verwaltet werden müssen. Das Desktop-Management erreicht weniger Kosten und mehr Service durch Automatisierung und dem Bereitstellen von Hilfsmitteln bei der Nutzerbetreuung. Die Teilbereiche lassen sich wie folgt aufgliedern: – Software-Verteilung: Eine automatisierte Verteilung von Anwendungen, Treibern und Aktionen – wie das Ändern des lokalen Admin-Passworts – an beliebig viele PCs bietet den Vorteil einer standardisierten PC-Konfiguration. Die Arbeitszeitsausfälle der Nutzer können deutlich verkürzt werden. Durch getestete Kombinationen können Inkompabilitäten besser ausgeschlossen werden. Insgesamt verringert sich durch die automatisierte Software-Verteilung der Zeitaufwand beim Support-Personal und ermöglicht schnellere Reaktionen auf Anforderungen der Benutzer und bei sicherheitskritischen Software-Updates (Service-Packs). – Betriebssystem-Installation: Bei einer automatisierten Installation der PCs werden Betriebssysteme standardisiert aufgespielt, wodurch der Zeitaufwand für den Support gesenkt und Arbeitsausfälle der Nutzer bei Wiederherstellung oder Austausch eines PCs minimiert werden. – Inventarisierung: Werden die PC-Konfigurationen automatisch aufgenommen, verfügt die jeweilige IT-Abteilung immer über aktuelle Bestandsdaten aller
www.lanline.de
PCs. Der Support erhält bessere Informationen zur Behebung von Fehlern, und bei der Hardware- und SoftwarePlanung ist durch aktuelle Daten mehr Planungssicherheit gewährleistet. – Fernsteuerung (Remote Control): Die Steuerung und Übernahme des PCs durch Administratoren beschleunigt die Unterstützung der Nutzer bei SoftwareFehlern oder Fehlbedienung.
– Konfigurationssicherung: Das Speichern der benutzerspezifischen Einstellungen bietet für die Nutzer die Möglichkeit, an verschiedenen Arbeitsplätzen mit ihrer gewohnten Arbeitsumgebung zu arbeiten sowie eine schnellere Komplett-Wiederherstellung der PCs. – Zentrale Administration: Die täglichen administrativen Aufgaben werden über eine zentrale Konsole durchgeführt, was
LANline Spezial Administration I/2001
79
MANAGEMENT
Der typische Lebenszyklus eines PCs Die Automatisierung verspricht eine Verringerung des Administrationsaufwands der Desktops und der Ausfallzeiten. Ein Beispiel dazu ist das Tool Empirium. Es bietet mit dem “Modul-Manager” eine zentrale rollenbasierende Verwaltung der PCs im Unternehmen. Entsprechend den Aufgaben der PCs beziehungsweise der Nutzer werden ihnen Konfigurationsrollen zugewiesen. Eine Rolle kann beispielsweise Marketing, Einkauf oder Lager sein. Diese Rollen besitzen vererbbare Eigenschaften wie zugewiesene Anwendungen und Betriebssysteme. Untergeordnete Rollen erben die Eigenschaften der höheren, erhalten aber weitere spezielle Konfigurationsmerkmale, beispielsweise erhält die Rolle Marketing/Leitung eine Reporting-Software. Somit reduziert sich das Neu- und Umkonfigurieren eines PCs zur Drag-and-Drop-Aufgabe. Auslieferung eines neuen PCs Wird ein PC erstmalig im Unternehmen eingesetzt, muss er für seine zukünftige Aufgabe vorbereitet werden. Die Installation des Der Lebenszyklus eines PCs im Unternehmenseinsatz Betriebssystems erfolgt automatisiert mit dem Modul Empirum Installer, der automatisch die installierte Netz-, Grafik- und Soundkarte erkennt und das in der Managerkonsole festgelegte Betriebssystem installiert. Anschließend wird der Empirum-Configurator-Agent installiert. Dieser nutzt die im Manager hinterlegten Informationen zur Installation der benötigten Anwendungen und Dienste. Die Installationsschritte können direkt am Arbeitsplatz des späteren Nutzers durchgeführt werden. Vor Ort muss kein spezielles IT-Know-how vorhanden sein. Zusätzlich erhaltene Informationen der Inventarisierung wandern direkt in die zentrale Managerdatenbank, von wo sie beispielsweise vom Bestandwesen übernommen werden. Der PC-Betrieb Während des normalen PC-Betriebs kommt es in jedem Unternehmen zu Änderungen in dessen Konfiguration. Unter anderem machen Sicherheits-Updates, neue Anwendungen oder geänderte Standards Konfigurationsänderungen erforderlich. Diese werden an zentraler Stelle im Manager hinterlegt und anschließend durch den Configurator auf den Endgeräten durchgeführt. Neben den zentral gesteuerten Konfigurationen gibt es natürlich auch durch den Benutzer durchgeführte Änderungen wie Bookmarks, Wörterbücher und Desktop-Einstellungen. Diese müssen im Betrieb zentral gesichert werden, da bei einem Fehler und der darauffolgenden Neuinstallation alle gespeicherten Daten und Konfigurationen wiederherstellbar sein müssen. Ist dies nicht möglich, wird die Wiederherstellung den Benutzer und das Support-Personal länger als nötig binden. Bei dem Produkt Empirum übernimmt das Modul-Personal-Backup diese Konfigurationssicherung. Zum Betrieb eines PCs gehört auch die Unterstützung der Nutzer bei eventuellen Fehlern oder besonderen Anforderungen. Remote-Control-Lösungen erlauben es dem Support-Personal, den Bildschirm des Nutzers zu übernehmen und ihn so zur Lösung führen. Bei benötigten Anwendungen oder Treibern kann per Software-Verteilung schnell auf die Anforderung reagiert werden. Neuinstallation – Desaster Recovery oder Migration Während eines PC-”Lebens” (drei bis fünf Jahre) findet in der Regel mindestens einmal eine Neuinstallation statt. Dies kann viele Gründe haben, angefangen vom Ausfall einer Komponente (Festplatte) bis hin zur unternehmensweiten Migration auf ein neues Betriebssystem (Windows 2000). Dieser Umstand sollte bei der Auswahl einer Managementlösung unbedingt beachtet werden. Eine Neuinstallation sollte sich auf wenige Aktionen beschränken. Empirum nutzt die Kombination der Module Installer, Configurator und Personal Backup zur exakten Wiederherstellung oder Migration eines PCs anhand der im Manager gespeicherten Informationen. (Horst Droege/rhh)
die “Massenkonfiguration” – ein Job für viele Endgeräte – sowie eine konsistente Datenhaltung ermöglicht. Mit diesen Hilfsmitteln lassen sich bei sorgfältiger Planung und konsequentem Einsatz die gesteckten Ziele erreichen. Im direkten Vergleich der Technologien lassen sich in der Administration und den Möglichkeiten der Nutzer Unterschiede feststellen. Die Bewertung der Vor- und Nachteile ist
80
dabei immer von der jeweiligen Umgebung abhängig. Die “Windows-Based-Terminals” (WBTs) sind durch ihren einfacheren Aufbau und die Verlagerung der Anwendungen und Daten auf die Server in der Anschaffung günstiger und leichter ersetzbar als PCs. Ein Nachteil der WBTs ist die fehlende Kombinationsmöglichkeit mit Scannern, CD-Brennern oder Multimedia-Karten. Auch mobile Nutzer können keine WBTs
LANline Spezial Administration I/2001
verwenden. Werden diese “Sonderfälle” mit Notebooks oder PCs als Endgeräte ausgestattet, geht ein Großteil der Vorteile in der Administrierbarkeit verloren, da hierfür ein Desktop-Management aufgebaut werden muss. PC-Umgebungen ohne ein ausgereiftes Desktop-Management verlangen mehr Aufwand bei Installation und Wartung. Nur mit einem schlüssigen Recovery-Konzept, das sich um alle Aspekte der Konfi-
www.lanline.de
MANAGEMENT
guration kümmert, gestaltet sich der PCAustausch nahezu genauso -Problemlos wie bei WBTs. Bei Terminal-Server-Lösungen werden Anwendungen zentral installiert und gewartet. Dies erspart die Konfiguration der einzelnen Endgeräte, da alles auf dem Server ausgeführt wird. Da alle Nutzer die gleichen Anwendungen und Einstellungen bekommen, können individuelle Konfigurationen und Anwendungen kaum berücksichtigt werden, da Installationen immer auf dem zentralen Server stattfinden. Ein weiteres Problem stellen grafische und ressourcenhungrige Anwendungen wie DTP, CAD oder Programmierung dar. Diese sind nur sehr bedingt für Terminal-Server geeignet. PC-Lösungen mit funktionierendem Desktop-Management bieten hier mehr Flexibilität. Anwendungen werden einmal als Verteilungspaket erstellt und dann zentral zur Verfügung gestellt. Die Verteilung kann individuell für jeden PC erfolgen. Da
www.lanline.de
alle Anwendungen auf den Endgeräten ausgeführt werden, kann leicht auf spezielle Anforderungen reagiert werden. Um die Kosten des Anwendungs-Supports in PCUmgebungen niedrig zu halten, ist ein funktionierendes Desktop-Management und eine gewissenhafte Vorbereitung (Integrationstests) bei der Software-Verteilung zwingend notwendig. Der Betrieb und die dadurch entstehenden Kosten verlagern sich bei reinen Terminal-Lösungen im Vergleich zu PC-Umgebungen auf die Server. Diese sind zentraler Bestandteil der Architektur – hier auftretende Fehlfunktionen betreffen meist alle Nutzer gleichzeitig. Die Gefahr eines Server-Ausfalls lässt sich durch Server-Farmen mit entsprechender Redundanz reduzieren. Im PCUmfeld treten Probleme und Kosten häufiger an den Endgeräten auf. Dies können Hardware-Defekte oder Inkompatibilitäten von Software sein. Meist betreffen diese Probleme nur einzelne Nutzer.
Sowohl Terminal-Server-Lösungen als auch PC-Umgebungen lassen sich nur mit professionellen Support- und Administrationskonzepten effektiv betreiben. Desaster-Recovery-Konzepte und konsequente Planung und Tests bei der Einführung neuer Software sind zwingend erforderlich. Bei Betrachtung der Kosten schneiden reine TerminalUmgebungen am besten ab. Da dies in den wenigsten Unternehmen durchgängig realisierbar ist, müssen Ausnahmen bei den Endgeräten geschaffen werden. Betrachtet man die hohe Flexibilität und den dadurch möglichen Service für die Nutzer, ist eine durchdachte PC-Umgebung weiterhin wohl der beste Weg, um hohen Service bei niedrigen Kosten zu bieten. (Horst Droege/rhh) Horst Droege ist Product Marketing Manager bei matrix42.
LANline Spezial Administration I/2001
81
MANAGEMENT
BEWÄHRTES FÜR DIE ZUKUNFT
Legacy Goes Future Das Umsetzen neuer Geschäftsmodelle mit neu entwickelter SoftwareUnterstützung ist teuer, risikoreich, benötigt rare IT-Ressourcen und kostet viel Zeit. In Anbetracht dessen entdecken viele CIO’s ihre Software-Schätze wieder, die von vielen verächtlich als “Legacy”Systeme abgetan werden.
egacy-Systeme erfüllen jahrelang zuverlässig ihre Pflicht. Sie sind im praktischen Einsatz getestet und an die Unternehmenserfordernisse angepasst. Der einzige Nachteil dieser Systeme liegt in ihrer Abgeschlossenheit. Sie wurden als monolithische Applikationen entwickelt, die mit modernen mehrschichtigen Architekturen nicht viel gemeinsam haben. Die Öffnung für neue Technologi-
L
versuchen die Verantwortlichen, die bei der Entwicklung der Systeme gemachten Fehler zu vermeiden und offene, standardisierte Schnittstellen zu schaffen. Zuvor sollte das bestehende System jedoch erst analysiert werden, um die Schnittstellen herauszufinden. Diese Schnittstellen lassen sich als abstrakte, rein funktionale Sichtweise auf das zu integrierende System ansehen. Das heißt, bei der
Bild 1. Integration von Legacy-Systemen mit Hilfe von Interfaces
en wie beispielsweise das Internet wurde bei der Entwicklung nicht vorgesehen. Eine Neuentwicklung ganzer LegacySysteme kommt meist nicht in Frage, da der Aufwand dafür viel zu hoch ist. Doch eine Veränderung oder ein “hinzuentwickeln” von Software-Teilen bietet eine gute Möglichkeit, die vergrabenen “Schätze” ans Licht zu bringen. Dabei
82
Definition der Schnittstellen wird nicht auf eventuelle technische Besonderheiten eingegangen. Die Schnittstelle selbst kapselt das System und bietet nach außen nur die Funktionalität an. Bild 1 zeigt ein Beispiel für ein allgemeines Interface. Die Realisierung ist für den Nutzer eine “Black Box”. Je nach dem Einsatzumfeld und der bestehenden Infrastruktur des Unterneh-
LANline Spezial Administration I/2001
mens kommen hier Schnittstellen der Objektmodelle Dcom und Corba zum Einsatz. Eine Möglichkeit zum Realisieren solcher Schnittstellen liegt im Softwaremäßigen Verändern der vorhandenen Systeme. Das Einbinden von LegacySystemen durch Hinzufügen von Schnittstellen bringt jedoch mehrere Nachteile mit sich. Zum einen wird in ein bestehendes, getestetes Programm eingegriffen und dieses verändert. Dadurch muss die Gesamtfunktionalität des Systems erneut überprüft und getestet werden. Zum anderen sind die Systeme teilweise bereits proprietär eingebunden. Eine Veränderung des Programms macht diese Einbindungen möglicherweise zunichte, wodurch zusätzlicher Aufwand entsteht. Eine andere Möglichkeit zum Implementieren von Schnittstellen zu Legacy-Systemen besteht darin, die Schnittstelle außerhalb des zu integrierenden Programms zu realisieren, in Form eines sogenannten “Wrappers”. Dazu wird ein Stück Wrapper-Software neu geschrieben, das die Schnittstellenfunktionalität übernimmt. Der Wrapper ruft dann das Legacy-System mit entsprechenden Parametern auf. Für eine solche Integration eignen sich vor allem Systeme, die es generell erlauben, Teilfunktionalitäten direkt anzusprechen. Solche Systeme sind zum Beispiel die Transaktionssysteme CICS und IMS. Diese Systeme erlauben es, einzelne CICS- oder IMS-Transaktionen direkt aus dem Gesamtsystem heraus aufzurufen. Die Credit Swiss beispielsweise hat zusammen mit der irischen Firma Iona Technologies eine solche Integration ihrer IMS-Systeme vorgenommen. Ziel des Credit-Swiss-Projekts war es, die IMSSysteme mit Hilfe des Industriestandards Corba für neue Technologien zu öffnen. Bild 2 zeigt im groben die Architektur des entstandene Systems. Der Wrapper ruft hierbei die bestehenden IMS-Transaktionen innerhalb des IMS-Systems auf und implementiert die Schnittstelle als Corba-Objekte. Die Implementierungssprache des Wrappers kann unter anderem Cobol, PL/1 oder
www.lanline.de
MANAGEMENT
C++ sein. Sie ist völlig offen und richtet sich nach dem jeweils verfügbaren Know-how des Unternehmens. Es gibt sogar die Möglichkeit, einen solchen Wrapper für IMS- und CICS-Transaktionen automatisch generieren zu lassen. Nachdem das Legacy-System jetzt eine Corba-Schnittstelle besitzt, muss diese nur noch außerhalb des IMS-Systems sichtbar gemacht werden. Iona Technologies stellt dafür einen IMS-Adapter zur Verfügung, der die im Wrapper implementierte Schnittstelle als Corba-Objekte nach außen zeigt. Neue Systeme können jetzt auf die Legacy-Anwendung zugreifen, ohne sich direkt mit dem komplizierten IMS-System auseinander zu setzen. Der Client spricht von außerhalb nur die Corba-Schnittstelle des Systems an. Dieser Methodenaufruf geht vom Client mit einen IIOP-Protokoll an den IMS-Adapter. Der Adapter übernimmt nun die eigentliche Umsetzung in das Transaktionssystem. Intern besitzt er ein Mapping Repository, das zu jeder implementierten Corba-Methode die zugehörige IMSTransaktion aufführt. Diese Transaktion wird durch das OTMA-Interface des IMS-Systems aufgerufen und der Aufruf läuft dann innerhalb von IMS ab. Der Client erhält den Rückgabewert anschließend wieder durch den IMS-Adapter. Er selbst benötigt keine speziellen Anpassungen, denn er sieht einzig die CorbaSchnittstelle, die er anspricht. Durch die Wahl des Standards Corba ist es sogar möglich, mit Hilfe der Corba-Ser-
www.lanline.de
vices eine transaktionale Integration der IMS- oder CICS-Systeme zu erreichen. Ein großer Vorteil der Wrapper-Technik besteht darin, dass sich die Technologie des Wrappers unabhängig von der des Le-
implementiert wurden, um die im Geschäftsalltag anfallenden Aufgaben zu erfüllen. Die Öffnung solcher Software zu neuen Technologien bietet einem Unternehmen die Möglichkeit, bestehende
Bild 2. Anbindung des Clients über einen Adapter
gacy-Systems auswählen lässt. Das heißt, bei Bedarf können beispielsweise auch Java oder EJB als Wrapper-Technologie oder -Sprache zum Einsatz kommen. Der Aufruf der Wrapper erfolgt jedoch immer nur mit Hilfe der gleichen Sprache. Beim Einsatz eines Wrappers bleiben die bestehenden Systeme unberührt. Sie müssen also weder erneut getestet werden, noch beeinflusst diese Prozedur bereits vorhandene Integrationen und die bestehende Systemarchitektur. Legacy-Software ist mit Nichten überholte Software, sondern besteht aus robusten, getesteten Programmen, die
Geschäftsprozesse mit neuen Vertriebsmethoden zu verbinden. Die Wahl der Integrationstechnik bestimmt allerdings die Zukunftssicherheit der Investition. Nur bei einer Software, die durch eine Standardtechnologie integriert wurde, können die Anwender sicher sein, dass sich die Integration auch noch in Zukunft nutzen lässt. Denn jede Software, auch wenn sie noch so modern ist, wird mit dem Lauf der Zeit zu einer Legacy-Applikation. (Eric Schaumlöffel/gg) Eric Schaumlöffel ist Technology Consultant bei Iona Technologies.
LANline Spezial Administration I/2001
83
MANAGEMENT
SOFTWARE-MANAGEMENT AUF BASIS VON W2K
Alles eine Frage der Library Auf dem Active Directory von Windows 2000 setzt Netdeploy-Global auf. Diese Software erweitert das Software-Management auf Remote Offices, mobile Benutzer, Geschäftspartner und heterogene Netzwerke mit unterschiedlichen Plattformen. Dazu basiert dieses Tool auf Standards und lässt sich mit existierenden Enterprise-ManagementSystemen (EMS) integrieren.
er Bereich Software-Management umfasst viele Aspekte. Administratoren im Unternehmen wollen damit Anwendungen und Daten über den gesamten Software-Lebenszyklus managen können – von der Beschaffung über die Verträglichkeit und Tests hin bis zur Verteilung, Installation, Aktualisierung und Deinstallation von Software.
D
nistrator), eine Client-Komponente (Netdeploy-Global-Client) und eine optionale Server-Komponente (SmartPull-Distributor) für kaskadierende Server-Architekturen. Das Software-Warehouse ist der zentrale, administrative Bereich von Netdeploy-Global. Es verbindet die Netdeploy-Software-Library mit den anderen
Einen guten Überblick verschafft das Administrations-Tool
Auf dem Verzeichnisdienst und den Gruppenrichtlinien von Windows 2000 Server setzt Netdeploy-Global auf. Es gliedert sich in eine Verwaltungskomponente (den Netdeploy-Global-Admi-
84
Administrationskomponenten von Netdeploy-Global. Das Software-Warehouse dient zur Erstellung, Bearbeitung und Speicherung von Software-Paketen, Profilen und Zeitplänen in der Soft-
LANline Spezial Administration I/2001
ware-Library. Hier werden auch einzelne Pakete vorbereitet und hinsichtlich Kompatibilität und Integrität getestet. Im Einzelnen enthält das Software Warehouse folgende Funktionen für die Verwaltung von Software in der IT-Abteilung: Im Warehouse werden mit dem Packer die Software-Pakete für die spätere Verteilung und der Netdeploy-Katalog erstellt. Er enthält alle wichtigen Informationen über das Software-Paket. Mit Hilfe des Receivers können Anwendungen in das lokale Warehouse hinzugefügt werden, auch von anderen Software-Warehouses oder EMS-Produkten. Damit befinden Sie sich unter Netdeploy-Global-Management. Die Verwaltung der Verteil-Server und die Verteilung der Software-Pakete, Verteilrichtlinien und Zeitpläne auf diese Server übernimmt der Distributor. Mit dem Scheduler können Systemadministratoren festlegen, zu welchem Zeitpunkt die Installationen auf den Clients erfolgen sollen. Es stehen zahlreiche Optionen zur Verfügung, zum Beispiel genaue Termine mit Datum und Uhrzeit, Login, Systemstart, so schnell wie möglich, verteilt über ein Zeitfenster etc. Des Weiteren lassen sich im Netdeploy-Administrator im Bereich Reports zahlreiche Berichte erstellen, konfigu-
www.lanline.de
MANAGEMENT
Typische Aufgaben Meistens werden Informationen aus Netdeploy-Global auf einem Windows 2000 Server gespeichert, der mit den Tools auf dem Admin-Computer verwaltet wird. Anwendungen, Profile und Richtlinien werden auf einem beliebigen Web- beziehungsweise File-Server veröffentlicht. Typischerweise werden mit Netdeploy Global folgende Aufgaben erledigt: – Anwendungen werden mit Hilfe des Packers zu Paketen geschnürt und im SoftwareWarehouse gespeichert. – Benutzer und Benutzergruppen werden mit Hilfe von Microsoft’s Standard-MMCSnap-ins definiert und editiert. – Deployment-Richlinien bestimmen, welche Anwendungen für welche Benutzer und Benutzergruppen gelten. Sie werden im Deployment-Policy-Editor erstellt und editiert. – Zeitpläne zum Installieren und Aktualisieren von Software werden im ScheduleEditor erstellt und bearbeitet. – Der Distributor verteilt Software-Pakete, Richtlinien und Zeitpläne auf einen oder mehrere Server. – Die Zeitpläne auf den Servern werden durch den Launcher auf den Clients überprüft und aktualisiert. – Zu definierten Zeiten, nach dem Systemstart oder beim Aufruf bestimmter Anwendungen, wird der Launcher gestartet. Dabei wird die Verfügbarkeit von Updates zu Richtlinien, Profilen oder Anwendungen für diesen Client überprüft. – Ist ein Update vorhanden, wird die Software installiert beziehungsweise aktualisiert – automatisch, sofort oder später. – Alle Aktionen des Launchers können aufgezeichnet und für spätere Berichte des Reporters an das Software-Warehouse gesendet werden.
rieren und betrachten. Alle Berichte werden mit ASP erstellt und lassen sich individuell erweitern oder ändern. Mit Netdeploy-Global kommen bereits eine Reihe von Standardberichten zur Auslieferung, zum Beispiel die Auswertung von Hardware- und Software-Informationen. Als weiteren Bestandteil gibt es den Deployment-Policy-Editor, mit dem das “Targeting” der Clients vorgenommen wird. Netdeploy-Global basiert auf den Active Directory und den Gruppenrichtlinien von Windows 2000; entsprechend befindet sich der DeploymentPolicy-Editor auch in den StandardGruppenrichtlinien von Windows 2000 und unterstützt sowohl computer- als auch benutzerspezifische Installationsziele. Die Client-Komponente von Netdeploy-Global ist auf dem Arbeitsplatz des Anwenders installiert. Der Launcher zeichnet dabei für Download, Installation, Reparatur, Aktualisierung
www.lanline.de
und Deinstallation von Anwendungen und Daten verantwortlich. Dabei wird die patentierte Smart-Pull-Technologie verwendet, die sehr netzwerkschonend nur die veränderten oder aktualisierten Daten herunterlädt. Der Launcher kann auf Wunsch auch alle Aktivitäten an eine zentrale Stelle zurückberichten. Der Tracker ist dagegen für die Erstellung von Inventarisierungsdateien verantwortlich. Er durchsucht das Client-System und berichtet alle installierten Software-Programme und WMI-HardwareDetails an den Global-Administrator. Die Inventardateien sind XML-basiert und können daher auch in andere Systeme oder Datenbanken importiert werden. (Claudia Seidl/rhh)
Weitere Informationen: Open Software Associates Tel.: 089 /45 09 86 41 Web: www.osa.de
LANline Spezial Administration I/2001
85
BACKUP UND RECOVERY
SYSTEMWIEDERHERSTELLUNG BEI WINDOWS 2000
Der Widerspenstigen Zähmung Falls der Start von Windows 2000 missglückt, muss der Systemadministrator nicht zwangsläufig zur Neuinstallation schreiten. Bereits von Windows NT her sind die Notfalldisketten bekannt. Bei Windows 2000 gibt es diese Hilfsmittel ebenfalls – doch beinhalten sie lediglich die Kerninformationen über das System. Mit Hilfe der “Recovery Console” stehen dagegen unter Windows 2000 auch “Bordmittel” zur Verfügung, mit denen sich widerspenstige Systeme zähmen lassen.
ie “Emergency Repair Disks” (ERD) Zwei weitere Dateien initialisieren die sind bereits seit Windows NT dem Standard-DOS-Umgebung, und eine Datei Systemadministrator ein Begriff. Mit Hilfe enthält die Informationen des Standardbedieser Disketten hat er die Möglichkeit, ei- nutzerprofils. Bei der Datei setup.log hannen Server oder eine Workstation wieder delt es sich um ein Protokoll aller Systemin einen startfähigen Zustand zu versetzen. dateien von Windows 2000 oder Windows Dies ist allerdings nur dann der Fall, wenn NT, die bei der Installation auf die Festwichtige Systemdateien nicht mehr “greif- platte kopiert werden. Für diese Datei sind bar” sind, also beschädigt oder gelöscht wurden. Doch eine Grundregel ist von einem verantwortungsbewussten Administrator hier zu beachten: Eine Notfalldiskette ist kein Ersatz für regelmäßige Datensicherungen. Bei der Installation von Windows 2000 oder Windows NT legt der Setup-Prozess von Windows Bild 1. Nach der Installation der Wiederherstellungskonsole stehen zwei Dateien mit Informa- Boot-Optionen parat tionen zur Notfallwiederherstellung auf der Festplatte im die Attribute für “Lesezugriff”, “System” Verzeichnis \%systemroot%\repair ab. und “Versteckt” stets gesetzt. Fünf dieser Dateien, die Setup in einem Wird bei der manuellen Installation von komprimierten Format speichert, enthalten Windows NT 4.0 eine Notfalldiskette erdie Registrierungsstrukturen (die “Hives”) stellt, komprimiert Setup diese Dateien von Windows 2000 oder Windows NT. und speichert sie auf einer Diskette, die
D
86
LANline Spezial Administration I/2001
wiederum entsprechend gekennzeichnet und an einem sicheren Ort aufbewahrt werden sollte. Dagegen werden bei der Erstellung einer Notfalldiskette für Windows 2000 nur zwei DOS-Initialisierungsdateien und die Datei setup.log auf eine Diskette kopiert, da die Standardinformationen der Registrierung für Windows 2000 die Größe von 1,44 MByte deutlich überschreiten. Unter beiden Betriebssystemen verbleiben die Informationen zur Notfallwiederherstellung, die von der Installation im Ordner \%systemroot%\repair gespeichert werden, in diesem Verzeichnis. Dabei spielt es keine Rolle, ob eine Notfalldiskette erstellt wird. Sofern der Ordner \%systemroot%\repair zugänglich bleibt, können die Dateien im Ordner “repair” in der Regel bei der Wiederherstellung der Grundfunktionalität eines Systems helfen, wenn das Setup-Programm von Windows gestartet und die Reparaturoption ausgewählt wird. Aus diesen Ausführungen wird klar, dass nach jeder bedeutsamen Änderung der Hardware, der Software oder der Konfiguration des entsprechenden Systems die Notfalldisketten zu aktualisieren sind. Unter Windows NT 4.0 steht das Programm rdisk zur Verfügung. Es wird damit ein Dienstprogramm gestartet, das die Optionen zur Aktualisierung der Informationen im Ordner %systemroot%\repair und auf der Notfalldiskette anzeigt. Wird das Programm mit der Option “/s” gestartet, werden zudem die Registrierungsstrukturen Sam und Security im Ordner “repair” und auf der Notfalldiskette gesichert. Auf einem Domänencontroller sind die Strukturen Sam und Security gewöhnlich für die Notfalldiskette zu groß, die auf den Platz einer Diskette – 1,44 MByte – beschränkt ist. Anders der Nachfolger: Bei Windows 2000 ermöglicht die mitgelieferte Anwendung “Sicherungsprogramm” (eine abgespeckte Version von Veritas Backup Exec) den Zugriff auf das Dienstprogramm zur Erstellung einer Notfalldiskette. Standardmäßig aktualisiert das Dienstprogramm die DOS-Initialisierungsdateien und die Datei setup.log, jedoch kann das Dienst-
www.lanline.de
BACKUP UND RECOVERY
programm auch Registrierungsstrukturen sichern. Ist die Option zur Sicherung der Registrierung ausgewählt, dann legt das Programm automatisch die Registrierungsstrukturen im Verzeichnis \%systemroot%\repair\regback ab. Die Notfalldiskette bleibt allerdings davon unberührt. Ist die Registry des Systems beschädigt oder wurde sie gar gelöscht, dann kann mit Hilfe der Dateien in diesem Ordner nur die Registrierung wiederhergestellt und eine längere Wiederherstellung der Windows-2000Systemstatusdaten vermieden werden (sie belegen einen Speicherbereich von zirka 200 MByte). Zur Durchführung dieser Art von Reparatur muss allerdings die Windows-2000-Wiederherstellungskonsole verwendet werden. Der Notfallreparaturprozess unter Windows 2000 ähnelt dem von Windows NT. Auch hier muss Setup von Windows 2000 von der CD-ROM oder den Start-
www.lanline.de
disketten ausgeführt und die Reparaturoption ausgewählt werden. Dann hat der Administrator die Möglichkeit, eine schnelle Reparatur oder eine manuelle Reparatur durchzuführen. Die schnelle Reparatur versucht, die Systemdateien (mit Hilfe der Prüfsummenmethode und der Datei setup.log), den Boot-Sektor auf der Systemfestplatte und die Systemstartumgebung zu reparieren. Die schnelle Reparatur überprüft zudem die Registrierungsdateien. Falls eine Registrierungsdatei defekt ist, kopiert die schnelle Reparatur automatisch die Strukturdateien, die im Ordner \%systemroot%\repair gesichert wurden. Bei der manuellen Reparatur, die eine interaktive Teilmenge der Funktionen der schnellen Reparatur darstellt, werden die Registrierungsstrukturdateien nicht überprüft. Allerdings sind eine oder alle der drei Optionen der schnellen Reparatur möglich: Überprüfen der Systemdateien,
Untersuchen des Boot-Sektors und Überprüfen der Systemstartumgebung. Doch neben den bereits von Windows NT her bekannten Notfalldisketten hat Microsoft Windows 2000 mit zusätzlichen Wiederherstellungs-Tools ausgestattet. Dazu zählen die Wiederherstellungskonsole oder auch die erweiterten Systemstartoptionen. Sie drängen die Funktionen der Sicherungs- und Reparaturprozesse etwas in den Schatten, jedoch besitzt die Notfalldiskette immer noch die Nischenfunktion, eine rasche Wiederherstellung eines beschädigten Systems ermöglichen zu können. Außer den internen Verbesserungen bei Windows 2000 in puncto Zuverlässigkeit, hat Microsoft einige Funktionen der Systemwiederherstellung eingeführt, durch die die Reparatur eines nicht bootfähigen Windows-2000-Systems vereinfacht wird. Beispielsweise unterstützt Windows 2000 ein Booten im abgesicherten Modus, ähnlich wie dies bei Win9x möglich ist.
LANline Spezial Administration I/2001
87
BACKUP UND RECOVERY
Die Boot-Optionen von Windows 2000 “Safe Mode” bootet im abgesicherten Modus mit dem zum Starten von Windows 2000 erforderlichen Minimum an Treibern und Diensten. “Safe Mode with Networking” ist dem abgesicherten Modus ähnlich; hierbei werden jedoch Treiber und Dienste hinzugefügt, die für den Netzbetrieb erforderlich sind. “Safe Mode with Command Prompt” ist dem abgesicherten Modus ähnlich; das System startet hierbei jedoch mit einer Eingabeaufforderung und nicht mit Windows Explorer. “Enable Boot Logging” erstellt eine erweiterte Protokolldatei mit erfolgreichen und fehlgeschlagenen Ereignissen für die Initialisierung von Systemkomponenten beim Laden während des Systemstarts. Mit Ausnahme von ”Letzte als funktionierend bekannte Konfiguration” ist dies die Standardeinstellung für alle Optionen des abgesicherten Modus. Die Protokolldatei heißt ntbtlog.txt und befindet sich im Ordner \%systemroot%. “Enable VGA Mode” startet Windows 2000 im VGA-Modus, indem der Treiber vga.sys anstelle des normalen Videotreibers verwendet wird. “Last Know Good Configuration” startet Windows 2000 unter Verwendung einer vorherigen Version des Registrierungsschlüssels SYSTEM. Die letzte als funktionierend bekannte Konfiguration ist die letzte Sitzung, in der ein erfolgreicher Systemstart, d.h. ohne Fehler bei der Dienste- oder Treiberinitialisierung, und eine erfolgreiche Anmeldung am Computer durchgeführt wurden. “Directory Services Restore Mode (Windows 2000 domain controllers only)” stellt die AD-Datenbank (Active Directory) wieder her. Diese Option ist naturgemäß nur für Windows-2000-Domänencontroller gültig. “Debugging Mode” aktiviert einen Startmodus, in dem das System Debug-Informationen über ein serielles Kabel an einen anderen Computer sendet, auf dem ein Debugger aktiv ist. Dieser Modus verwendet COM2 als Debug-Anschluss.
Außerdem bietet Windows 2000 zusätzliche Boot-Optionen, mit denen sich beim Start des Systems bestimmte Betriebssystemfunktionen deaktivieren lassen, um so ein erfolgreiches Booten zu ermöglichen. Die meisten dieser Auswahlmöglichkeiten stehen über die Funktionstaste F8 im Menü des Windows-2000-Betriebssystemauswahlmenüs beim Systemstart zur Verfügung. Nach dem Drücken der Taste F8 wird ein Menü mit den alternativen Optionen für den abgesicherten Modus angezeigt wie sie im Kasten auf dieser Seite aufgelistet sind. Eine dieser Optionen kann zu einem bestimmten Zeitpunkt geeignet sein, je nach Art des Problems, das bei einem System auftritt. Auch wenn die neuen Optionen von Windows 2000 für den abgesicherten Modus die Diagnoseund Wiederherstellungsmöglichkeiten für ein fehlerhaftes System verbessern, wird der Administrator allerdings die vielseitigste Boot-Option von Windows 2000 in diesem Menü vergeblich suchen: die “Recovery Console”.
88
Die Wiederherstellungskonsole (Recovery Console) ist die Lösung für alle Administratoren, die sich das Booten einer Eingabeaufforderung wünschen, um Systemwiederherstellungsoperationen auf NTFS-basierenden Computern auszuführen. Doch dieses Feature muss der Administrator extra installieren. Nach der Installation der Wiederherstellungskonsole lässt sich ein Systemstart mit einer speziellen, funktional reduzierten Windows-2000Konsole durchführen, die den Zugriff auf alle FAT16-, FAT32- und NTFS-Plattenpartitionen auf dem System erlaubt und die zudem eine Reihe von grundlegenden Befehlen und Dienstprogrammen für Systemwiederherstellungsoperationen ermöglicht. Für die Verwendung der Recovery Console auf einem Windows-2000-System ist diese zunächst durch eine erneute Ausführung des Windows-2000-Setup, das heißt winnt32.exe auf dem System mit der Option/cmdcons zu installieren. Bei der Installation der Wiederherstellungskonsole, kopiert das System die erforderlichen Dateien (normalerweise we-
LANline Spezial Administration I/2001
niger als 6 MByte) in einen verdeckten Ordner mit dem Namen \cmdcons, der sich im Stammverzeichnis des System-BootLaufwerks befindet. Beim nächsten Booten enthält das Menü des Windows-2000Betriebssystemauswahlmenüs dann die Option für die Windows-2000-Wiederherstellungskonsole (Bild1). Wer diese Boot-Option wählt, bekommt von Windows 2000 kurz Gelegenheit, die Taste F6 zu drücken und einen SCSI- oder RAID-Treiber eines anderen Herstellers zu laden. Diese Option ist erforderlich, wenn die Recovery Console die Konfiguration des Plattencontrollers unter Umständen nicht richtig erkennt. Dann geht das System in einen Textmodus über und fragt nach einer Windows-2000-Installation, für die eine Anmeldung erfolgen soll. Mit dieser Funktion kann dieses Tool auch die Wiederherstellung von Installationen auf einem System mit mehreren Betriebssystemen unterstützen. Ist die gewünschte Windows-2000-Installation ausgewählt, fordert das System die Eingabe des Administrator-Passworts für diese Installation an. Dabei handelt es sich um das Kennwort des lokalen Administratorkontos dieser Installation, also nicht um das Kennwort des Domänen-Administratorkontos – falls eine Domänenmitgliedschaft besteht. Auch wenn ein Administrator wahrscheinlich eine Kopie der Recovery Console auf der Festplatte jedes wichtigen Systems installieren will, kann er die Recovery Console auch über das Reparaturmenü des Windows-2000-Setup starten. Auf diese Weise ist auch der Zugriff auf die Recovery Console möglich, wenn man das Windows-2000-Setup über CD-ROM oder 3,5-Zoll-Disketten ausführt. Diese Fähigkeit ist besonders nützlich, wenn Probleme mit einem Windows-2000-System auftreten, bei dem die Recovery Console beschädigt oder noch gar nicht installiert ist. Die Recovery Console zeigt ihr Stärken besonders dann, wenn Windows 2000 nicht gestartet werden kann und deswegen ein schneller Zugriff auf das Dateisystem nötig ist, um so das Problem zu diagnostizieren und zu beheben. Da die Recovery Console einen Direktzugriff auf das Dateisystem und auf eine Reihe von Basisbe-
www.lanline.de
BACKUP UND RECOVERY
fehlen und -dienstprogrammen ermöglicht, kann sie wahre Kunststücke vollbringen. Die meisten Benutzer werden sich zwar wünschen, niemals Gelegenheit zur Verwendung der Recovery Console zu bekommen, es ist jedoch trotzdem ein wichtiges Tool, das beherrscht werden sollte. Wichtig ist außerdem das Identifizieren wahrscheinlicher Ursachen für Fehler beim Systemstart, bevor diese auftreten, und Kenntnisse der Schritte, die erforderlich sind, um diese Fehler zu korrigieren. Im Kasten auf Seite 90 findet sich eine Liste der häufigsten Ursachen von Startfehlern, die bei Windows 2000 oder Windows NT auftreten und die auf Software-Problemen basieren. Diese Liste erhebt keinen Anspruch auf Vollständigkeit, sie deckt jedoch einen Großteil der Situationen ab, die Windows2000- und NT 4.0-Systemstartfehler verur-
www.lanline.de
sachen. Mit Hilfe der Recovery Console oder eines abgesicherten Modus können Sie den überwiegenden Teil dieser Probleme beheben. Um den möglichen Nutzen der Recovery Console in diesen Si- Die Wiederherstellungskonsole eignet sich auch für Multi-Boot-Systeme tuationen zu demonstrieren, stelle man sich ein Szenario vor, in teien mit Hilfe eines Dienstprogramms eidem eine oder mehrere Registrierungs- nes anderen Herstellers (zum Beispiel schlüsseldateien auf einem Computer, der ERD Commander für NT 4.0), das einen Systemdatenträger im NTFS-Format Schreibzugriff auf NTFS-Datenträger geverwendet, beschädigt wurden. In den Ar- stattet, kopieren. Oder es steht einem frei, tikeln über die Behebung von Systemstart- eine parallele Installation von Windows fehlern wurden verschiedene Alternativen 2000 oder NT zu verwenden. Eine andere der Vorgehensweise in einer solchen Situ- Möglichkeit ist der Reparaturprozess des ation in NT erläutert. Man kann beispiels- Windows-2000-Setup; dieser bietet jedoch weise eine Reihe von bekanntermaßen ein- nicht die Flexibilität der anderen Methowandfreien Registrierungsschlüsselda- den.
LANline Spezial Administration I/2001
89
BACKUP UND RECOVERY
In Windows 2000 lässt sich dagegen über die Recovery Console booten, und der Administrator kann dann die Registrierungsschlüsseldateien (oder andere erforderliche Systemdateien) ersetzen, die beschädigt oder überschrieben wurden. In unserem Szenario könnte man sich einfach an der gewünschten Windows-2000-Installation anmelden und mit Hilfe des Kopierbefehls der Recovery Console die erforderlichen Dateien kopieren. Administratoren können mit der Recovery Console auch Probleme beheben, die durch zugrunde liegende Platten- oder Dateisystembeschädigungen verursacht werden. Dazu verfügt dieses Tool über mehrere Befehle, die einem bei der Reparatur einer beschädigten Platte außerhalb von Windows 2000 unterstützen. Einer dieser Befehle ist Chkdsk, der dem Win9x- und DOS-Befehl desselben Namens ähnlich ist. Zwei andere nützliche Befehle für die Reparatur von Platten sind Fixmbr und Fixboot. Wie beim Win9x-Befehl Fdisk /mbr ersetzt Fixmbr den Master Boot Record (MBR) der primären Systemplatte durch eine saubere Kopie – eine Funktion, die Probleme lösen kann, bei denen der MBR beschädigt oder durch einen Virus infiziert wurde. Mit dem gleichermaßen nützlichen Befehl Fixboot lässt sich der Windows-2000Boot-Sektor reparieren, wenn dieser beschädigt oder während der Installation eines anderen Betriebssystems überschrieben wurde – wodurch das beim Systemstart angezeigte Windows-2000-Betriebssystemauswahlmenü verloren geht. Ein weiterer Bestandteil der Recovery Console ist die Utility Diskpart. Dabei handelt es sich um ein Plattenverwaltungsdienstprogramm ähnlich wie das des Windows-2000-Setup. Mit Diskpart kann man grundlegende Plattenverwaltungs-Tasks ausführen, etwa das Hinzufügen und Löschen von Partitionen. Andere Befehle der Recovery Console sind Listsvc, Disable und Enable. Damit lassen sich Systemdienste und -treiber auflisten, inaktivieren beziehungsweise aktivieren. Diese Befehle eignen sich, wenn ein Systemstartfehler durch einen fehlerhaften Dienst oder Treiber verursacht wird. Mit Hilfe einer Sitzung der Recovery Console
90
kann man einfach den betreffenden Dienst oder Treiber inaktivieren und dann das System neu starten, ohne dass die Registrierungsdatenbank editiert oder wiederhergestellt werden muss. Angesichts der Funktionen und des Leistungsspektrums der Recovery Console stellt sich die Frage, ob man seine NT-4.0Tools und -Methoden für die Systemwiederherstellung wegwerfen kann. Sind mit einem solch leistungsfähigen Tool
Typische Startprobleme Hier sind die häufigsten Ursachen aufgelistet, die Startproblemen bei Windows 2000/NT auftreten. – Beschädigung oder Löschen einer erforderlichen Systemdatei (zum Beispiel Registrierungsschlüsseldateien, ntoskrnl.exe, ntdetect.com, hal.dll, boot.ini). – Installation eines inkompatiblen oder fehlerhaften Dienstes oder Treibers oder Beschädigung oder Löschen eines erforderlichen Dienstes oder Treibers. – Beschädigung der Platte oder des Dateisystems, einschließlich Verzeichnisstrukturen, des Master Boot Record (MBR) und des Windows-2000- oder NT-Boot-Sektors – Ungültige Registrierungsdaten (die Registrierungsdatenbank ist zum Beispiel physisch intakt, enthält jedoch logisch fehlerhafte Daten, zum Beispiel ungültige Daten in einem dienst- oder treiberbezogenen Registrierungswert). – Falsche oder zu stark eingeschränkte Berechtigungen im Ordner \%systemroot% (zum Beispiel C:\winnt).
Dienstprogramme eines anderen Herstellers und parallele Wiederherstellungsinstallationen überhaupt noch erforderlich? Bevor man beginnt, Disketten zu löschen und seine Prozeduren für eine Wiederherstellung nach einem Katastrophenfall zu ändern, sollten man aber auch die Grenzen der Recovery Console kennen. Zunächst einmal kann die Recovery Console einen Großteil, aber nicht alle Systemstartfehler beheben. Es gibt Situationen, in denen die Recovery Console allein nicht ausreicht, ein fehlgeschlagenes System
LANline Spezial Administration I/2001
wiederherzustellen. Ein Beispiel dafür wären übermäßig restriktive Berechtigungseinstellungen im Windows-2000-Installationsordner, die einen Systemstartfehler verursachen. Da die Recovery Console über keine Befehle zum Editieren von Datei- oder Ordnerberechtigungen auf einem Datenträger verfügt, benötigt man die Berechtigungen in einer parallelen Installation von Windows 2000 oder muss sie mit einem Dienstprogramm eines anderen Herstellers manuell zurücksetzen. Außerdem gestattet die Recovery Console auch nicht die Ausführung der GUIBackup-Applikation für den Zugriff auf und das Wiederherstellen von Daten, weil sie nur eine beschränkte Befehlszeilenumgebung aufweist. Wer seine primäre Windows-2000-Installation nicht booten kann und Daten zurückschreiben muss (zum Beispiel von einer Bandsicherung), um den Wiederherstellungsprozess zu beenden, sollte auch weiterhin nicht auf eine parallele Installation verzichten, mit der er den früheren Status des Systems wiederherstellen kann. Schließlich kann auch der Fall eintreten, dass selbst der Zugriff auf die Recovery Console nicht möglich ist. Wenn sich beispielsweise eine Beschädigung, durch die die primäre Windows-2000-Installation nicht gebootet werden kann, auch auf die Installation der Recovery Console auswirkt, muss man unter Umständen eine der alternativen Methoden anwenden, um auf die primäre Installation zuzugreifen und diese wiederherzustellen. Daher sollte der Administrator auch die regelmäßige Aktualisierung der Notfalldiskette für jedes seiner Windows-2000-Systeme nicht vergessen. Auch unter Windows 2000 sind Notfalldisketten wertvolle Systemwiederherstellungs-Tools. Wie bei einer NT-Notfalldiskette kann eine Windows-2000-Notfalldiskette den Konfigurationsreparaturprozess beim Lokalisieren eines Windows-2000-Installationsordners unterstützen und eine einwandfreie Sicherungskopie der Registrierungsdatenbank zur Verfügung stellen. Wer das Sicherungsdienstprogramm von Windows 2000 (das neue Tool für die Erstellung und Aktualisierung von Notfalldis-
www.lanline.de
BACKUP UND RECOVERY
ketten) für die manuelle Aktualisierung von Notfalldisketten auf all seinen Systemen nicht verwenden möchte, kann auf ein anderes Dienstprogramm zurückgreifen wie zum Beispiel ERDisk 5.0 von Aelita Software Group. Mit diesem Tool lassen sich für mehrere Maschinen ferne Windows-2000ERD-Sicherungen über das Netz erstellen. Dieses Tool verfügt außerdem über Funktionen für die ferne Wiederherstellung. Zudem sind einige wenige Fehler und Tücken der Recovery Console zu beachten. Eine besonders unangenehme Einschränkung besteht darin, dass man die Recovery Console nicht auf einem Software-basierten Spiegel-/RAID1-Datenträger installieren kann (das heißt, ein Datenträger, den man mit dem NT-Festplattenmanager oder dem logischen Plattenmanager von Windows 2000 erstellt hat, kein HardwareRAID-Controller). In Bezug auf die Anforderungen der Partitionskonfiguration verwendet die Wiederherstellungskonsolinstallation ähnliche Regeln wie das Windows-2000-Setup. Wie bei normalen Betriebssysteminstallationen lässt sich dieses Problem umgehen, indem man die Spiegelplatte “aufhebt”, die Recovery Console installiert und die Spiegelplatte dann wiederherstellt. Hier treffen wir jedoch auf ein weiteres Hindernis: In Windows 2000 kann man keine gespiegelten Datenträger auf Basisplatten erstellen, nur auf dynamischen Platten. Wer über einen gespiegelten Datenträger einer Basisplatte verfügt und die Recovery Console installieren will, muss daher die Basisplatte in eine dynamische Platte konvertieren. Ein weiterer Nachteil ist, dass die Recovery Console nicht ausgeführt wird, wenn man seinen FAT16- oder FAT32-Datenträger des Hosts nach NTFS konvertiert. Dieses Problem lässt sich lösen, indem die Recovery Console erneut installiert und dabei dieselbe Prozedur wie bei der Erstinstallation verwendet wird. (Rainer Huttenloher)
[1] Windows 2000 Magazine, November 2000, ERD Utilities, Tom Iwanski, www.win2000mag.com [2] Windows 2000 Magazine, July 2000, Win2k ´s Recovery Console, Sean Daily, www.win2000mag.com
92
IM TEST: LTO-BANDLAUFWERK VON SEAGATE
Streit unter Brüdern Das zweite Bandlaufwerke nach dem Standard Linear Tape Open (LTO) fand den Weg in das Testlabor der LANline: Das Modell Viper 200 von Seagate will sich in die Reihe der “Top-Performer” einreihen. Auch diesmal wurde als aktuelle Testumgebung der Einsatz der Version 8.5 von Backup Exec for Windows 2000/NT gewählt.
ereits in der Ausgabe 1/2001 der LANline wurde mit IBMs LTOLaufwerk der erste Vertreter dieser Gattung getestet. Und schon errang dieses Laufwerk den Lorbeerkranz des durchsatzstärksten Bandlaufwerks, das bislang im LANline-Testlabor bestehen musste. Um eine exakten Vergleich zu ermöglichen, wurde die identische Testumgebung ge-
Bandformat hat Seagate auch eigene Entwicklungen in das Gerät einfließen lassen, Dazu zählen beispielsweise die “Dynamic Powerdown”- und die “Fastsense”-Technologien. Das zum Patent angemeldete “Dynamic Powerdown”-System schützt Bänder und Mechanismus gegen Stromausfall während des normalen Betriebs – und stellt so die Datenverfügbarkeit und Zuverlässigkeit sicher. Bemerkt die Viper 200 einen Energieverlust, verlangsamt sie alle Bandspulen gleichzeitig und hält die Bandspannung aufrecht: Das Laufwerk soll so das Verheddern und damit letztendlich das Zerstören der Bänder verhindert. Mit der “Fastsense”Technik erlaubt die Viper 200 die Bandgeschwindigkeit den Datenraten des Host-Computers anzupasBild 1. Volle Bauhöhe und 5,25-Zoll-Formfaktor sind die äußeren Kennzeichen des Viper 200, aber eine Klappe beim sen – und reduziert auf dieBandeinschubschlitz fehlt se Weise theoretisch die Backup-Zeiten. Dies gawählt – Software und Hardware blieben rantiert darüber hinaus ein möglichst kongleich, lediglich der von Seagate bereit ge- tinuierliches Streamen des Bandlaufwerks stellte Treiber für das LTO-Gerät fand und verringert so die Abnutzung wichtiger Verwendung. Komponenten. Die Viper 200 mit “offiziellen” BackupLaut eigenen Angaben liefert Seagate Geschwindigkeiten von bis zu 115,2 seinen System-OEMs, sowie den HerstelGByte pro Stunde bringt bis zu 200 GByte lern von automatisierten Band-Bibliothe(komprimiert) an Daten auf einer einzigen ken und seinen Distributoren die Viper 200 Kassette unter. Neben dem offenen LTO- in zwei verschiedenen Ultra2-SCSI-Konfi-
B
LANline Spezial Administration I/2001
www.lanline.de
BACKUP UND RECOVERY
gurationen – LVD und HVD – sowie Bänder im Ultrium-Format. Die externe Standalone-Version der Viper 200 ist seit Dezember 2000 auf dem Markt verfügbar, die Autoloader-Version mit einer Speicherkapazität im Januar 2001. Mit einer FibreChannel-Schnittstelle soll das Laufwerk im ersten Halbjahr 2001 erhältlich sein. Beim Eintreffen im Testlabor und der ersten Prüfung fiel auf, dass dieses Laufwerk auf eine Abdeckklappe am Bandeinschub verzichtet (Bild auf Seite 92) und somit für Staubeinflüsse sicher anfälliger sein wird. Ob es sich dabei um einen “Ausreißer”, ein Vorserienmodell oder ein sonstiges Versehen handelt, muss mit dem Hersteller erst noch geklärt werden. Ansonsten verdiente sich das Laufwerk allerdings nur beste Kritiken: Der Einbau war eine Sache von Minuten, die internen SCSI-Kabel liessen sich – anders als beim LTO-Laufwerk von IBM – perfekt aufstecken. Auch die Dokumentation hinterließ einen überzeugenden Eindruck: Es war deutlich vermerkt, dass dieses Laufwerk keine interne Terminierung besitzt und somit nicht als letztes Device auf dem SCSI-Bus eingesetzt werden darf. Für den Test bereitete diese Vorgabe keine Probleme. Zwar werden alle Testkandidaten immer als einziges Laufwerk an einem eigenen SCSI-Kanal betrieben, doch musste hier eben ein entsprechender Terminator am Ende auf das Kabel gesteckt werden. Großes Lob wird dem Seagate-Gerät sicher aus dem Unix/Linux-Lager gezollt. Denn die Dokumentation hilft für die meisten Derivate mit den geeigneten Konfigurationseinstellungen. Für den Test selbst hatte das allerdings keine Bedeutung, da nach wie vor die Testumgebung ein homogenes Windows-NT-Umfeld ist (mehr dazu in [1] und [2]). Die Treiberinstallation verlief im Test ohne großes Kopfzerbrechen zu bereiten. Die alten Bandgerätetreiber wurden zuerst entfernt, dann ein Neustart und anschließend die beigelegten Seagate-LTOTreiber installiert. Nach dem nächsten Neustart stand das Laufwerk bereit und die Testläufe konnten beginnen. Die einzelnen Ergebnisse – im Vergleich zum IBMLTO-Laufwerk und zu Exabytes Mam-
www.lanline.de
moth-2-Drive – zeigen die Tabellen für das Sichern, das Verify und den Komplettjob. Das Ergebnis des Viper 200 reiht sich in den erwarteten Rahmen ein. Deutlich besser als das Mammoth-2-Laufwerk bleibt es nahe am LTO-Laufwerk von IBM. Ein Ausreißer ist beim Volume C des Servers Assam1 zu verzeichnen (hier musste die Software laut Ergebnisprotokoll zwei Dateien überspringen, das kostet etwas Zeit).
Dabei liegt es manchmal etwas besser, lediglich beim größten Volume mit den großen Video-Dateien (das lokale Laufwerk F: auf dem Backup-Server) hat das IBM-Laufwerk die Nase vorne. Scheinbar ist beim “Streamen” das IBM-Laufwerk um einige Prozentpunkte schneller. Zudem wurde ein zweiter Lauf gestartet, bei dem ein LTO/Ultrium-Band von Fuji Magnetics zum Einsatz kam. Damit
LANline Spezial Administration I/2001
93
BACKUP UND RECOVERY
Laufwerk LTO (IBM/MCE, Modell 3580) LTO (Seagate, Modell Viper 200) Mammoth-2 (Exabyte)
\\ASSAM1\C$
\\CEYLON\C:
\\CEYLON\E:
\\CEYLON\F:
2:53
1:41
7:40
14:24
5:37
1:38
7:21
15:02
5:20
1:32
6:3
18:17
Tabelle 1: Die Messergebnisse pro Volume für das Sichern (Zeitangaben in Minuten:Sekunden)
Laufwerk LTO (IBM/MCE, Modell 3580) LTO (Seagate, Modell Viper 200) Mammoth-2 (Exabyte)
\\ASSAM1\C$ \\CEYLON\C: \\CEYLON\E:\\CEYLON\F: 1:23
0:21
4:9
14:13
0:27
0:17
4:21
14:55
0:50
0:22
5:15
18:14
soll in den künftigen Tests die Kompatibilität der LTO-Laufwerke untereinander überprüft werden. Dabei fiel das Laufwerk beim Volume F auf dem BackupServer noch etwas mehr gegenüber dem IBM-Drive ab. Scheinbar spielen auch die Medien eine wichtige Rolle, wenn es um den Durchsatz der LTO-Laufwerke geht. Für die nächste LANline-Ausgabe ist der Test des LTO-Laufwerks von HewlettPackard geplant. Und vielleicht kann auch Quantum schon seine zu DLT rückwärtskompatiblen Super-DLT-Laufwerke zum Test bereitstellen. (Rainer Huttenloher) Literaturhinweis:
Tabelle 2: Die Messergebnisse pro Volume für das Überprüfen
Laufwerk
Durchsatz (MByte/min)
LTO (IBM/MCE, Modell 3580) LTO (Seagate, Modell Viper 200) Mammoth-2 (Exabyte)
363 340 308
Tabelle 3: Die Werte für den Komplettjob (Sichern plus Verify) in MByte/min (gemessen laut Backup Exec Ergebnisprotokoll für den kompletten Job)
94
LANline Spezial Administration I/2001
[1] Nur drei kamen durch, LANline 7/2000, ab Seite 80 [2] Beim Testen was Neues, LANLine 1/2001, ab Seite 24
Info: Seagate Technology Web: www.seagate.com
www.lanline.de
BACKUP UND RECOVERY
VERSION 3.5 DES TIME NAVIGATOR
Backup für alle Fälle Für die Sicherungs-Software wird die Aufgabe nicht leichter. Neue Speicherkonzepte wie Storage Area Networks, steigende Speicherkapazitäten und die Forderung nach einem ununterbrochenen 24-Stunden-Betrieb an sieben Tagen in der Woche legen die Messlatte deutlich höher. Mit der Version 3.5 des Time Navigator versucht der Hersteller diesen Ansprüchen gerecht zu werden.
n Firmennetzwerken liegen die für Server-Strukturen zunehmend NAS-(NetBackups relevanten, unternehmenskriti- work Attached Storage-) und SAN-(Storaschen Daten in der Regel in sehr unter- ge Area Network-)Lösungen die Netzwerschiedlichen Formen vor: Erstens als ein- ke erobern. Eine professionelle Backupfache Dateien, vornehmlich im Office-Be- und Restore-Lösung muss aber nicht nur reich, zweitens in strukturierten Datenban- alle diese Herausforderungen meistern, ken wie Oracle, Informix oder SQL Server, sondern unter dem Aspekt des Investiaußerdem in Groupware-Tools wie Lotus tionsschutzes auch flexibel den Wechsel Notes oder MS Exchange und schließlich von Applikationen und Plattformen oder in integrierten Programm-Suiten wie die Einführung neuer Technologien unterSAP/R3. Zusätzlich kompliziert wird das stützen. Aufsetzen einer automatisierten, zentral administrierten Backup-Strategie durch den Umstand, dass in Unternehmen heterogene Netzwerke vorherrschen, in denen sich auf Clients und Servern von Windows 9x, Windows NT und Windows 2000 über diverse Unix-Derivate bis hin zu Linux vielfältige Plattformen nebeneinander tummeln. Dazu kommen unterschiedliche Speicherarchitekturen, da neben den 1. Anwendungen wie Oracle 8 führen ihre eigenen Datenbestände, heute noch vorherr- Bild die allerdings von der Backup-Software im laufenden Betrieb der Daschenden Client-/ tenbank gesichert werden müssen
I
www.lanline.de
Diese Anforderungen will das Konzept des Time Navigators (Tina) unter einen Hut bringen. Die Software ist jetzt in der Version 3.5 verfügbar ist. Diese BackupLösung spielt ihre Stärke insbesondere in heterogenen Unternehmensnetzwerken mit mehreren Domänen aus. Sie ermöglicht über eine grafische Benutzeroberfläche und mit Hilfe eines objektorientierten Katalogs eine unternehmensweit einheitliche, wahlweise zentrale oder dezentrale Verwaltung und Sicherung von Daten. Das System besteht aus einer Basis-Software und spezifischen, optional verfügbaren Software-Modulen, die als Schnittstelle zu vorhandenen Datenbanken oder Anwendungsprogrammen fungieren. Der Hersteller erweitert die Zahl der optionalen Schnittstellenmodule ständig, sodass der Time Navigator in vielfältigen Systemkonfiguration eingesetzt werden kann. Mit diesem modularen Konzept ist es möglich, flexibel auf veränderte Anforderungen zu reagieren und das System nach Bedarf um neue Funktionalitäten zu erweitern. Dank der Modularität können Anwender mit der aktuellen Version der BackupSoftware nun sämtliche Sicherungs- und Archivierungsaufgaben vom herkömmlichen Backup via Netzwerk über die Datensicherung im SAN-Bereich bis hin zum Backup im NAS-Umfeld auf der Basis einer einzigen automatischen Software-Lösung realisieren. Möglich machen es das optionale Modul “Time Navigator for NDMP”, eine neue Version des Libraryund Drive-Sharing-Moduls sowie die volle Unterstützung für Microsofts aktuelles Betriebssystem Windows 2000. Das Network Data Management Protocol (NDMP), das für das Datenmanagement in Netzwerkumgebungen zunehmend an Bedeutung gewinnt, kann wesentlich zur Verringerung der Netzlast und einer optimierten Nutzung der für Backups zur Verfügung stehenden Zeitfenster beitragen. Die NDMP-Kompatibilität von Time Navigator ermöglicht es Anwendern, das Backup von Network Attached Storage automatisch direkt auf eine Tape-Library durchzuführen, ohne dass Daten über das LAN geschickt werden müssen. Das NDMP-Modul übernimmt das Manage-
LANline Spezial Administration I/2001
95
BACKUP UND RECOVERY
ment von Speichermedien und automatischen Tape Libraries. Das Modul ist für die Fileserver von Network Appliance zertifiziert und mit allen NDMP-Version-3-Fileservern kompatibel. Die aktuelle Version des Library Sharing Module erlaubt die gemeinsame Nutzung von Speicherressourcen und Bandlaufwerken in heterogenen Server-Umgebungen. Dadurch können Daten über das SAN direkt auf automatische Laufwerke gesichert werden. Diese Lösung garantiert eine hohe Performance und entlastet das Netzwerk. Time Navigator 3.5 unterstützt Windows 2000 als Backup-Server, Storage Node und Client. Die neuen und verbesserten Funktionalitäten des Betriebssystems wie Active Directory, COM+ Technologie oder das NTFS-5-Filesystem sind ebenso integriert wie sämtliche SANBackup-Features von Windows 2000. Zu den wichtigen Neuerungen in Version 3.5 kommen Verbesserungen im Detail. Dieses Release enthält die bewährten Features der vorherigen Versionen. Dazu zählt die im Backup-Bereich bislang einzigartige so genannte Time Navigation, der die Software ihren Namen verdankt. Mit dieser Funktion lassen sich Daten wesentlich schneller und zuverlässiger wiederherstellen als mit jedem anderen System. Basis ist die Aufzeichnung sämtlicher Bewegungen in einer Backup-Umgebung im
Bild 2. Das zentralisierte Datenmanagement läßt sich via GUI steuern
Katalog. Dadurch ist es möglich, auf einer frei definierbaren Zeitachse beliebig weit zurückzugehen und sich den Zustand von Dateiverzeichnissen an einem beliebigen Zeitpunkt anzeigen zu lassen, unabhängig davon, auf welchem Medium die Daten physisch gespeichert sind. Um Daten wiederherzustellen, genügt es, einfach den gewünschten Zeitpunkt in der Vergangenheit zu wählen und die entsprechenden Objekte oder Objektgruppen anzuklicken. Eine weitere Besonderheit ist das synthetische Backup. Um die bei Datensicherungen unvermeidliche Netzlast drastisch zu reduzieren, eröffnet dieses Feature die Möglichkeit, anstelle einer OnlineVollsicherung offline aus bestehenden Voll- und Inkrementel-Sicherungen eine neue Vollsicherung zu generieren. Diese Lösung bietet sich vor allem in großen Netzwerken mit beschränkten Zeitfenstern für das Backup an. Zu den mit Version 3.1 eingeführten Funktionen zählen die Makro-MultiplexingTechnologie und ein “Archive from the Past”. Bild 3. Die “Reise in die Vergangenheit” ist mit Time Navigator machbar
96
LANline Spezial Administration I/2001
Die Makro-Multiplexing-Technologie macht es möglich, Daten in parallelen Streams mit unterschiedlichen Transferraten gleichzeitig über das Netz zu schicken und damit die Performance verschiedener Speichersysteme optimal zu nutzen. Mit der “Archive from the Past”-Funktion lassen sich auf der Basis von gespeicherten Backup-Daten nachträglich Archive erstellen, die den Datenstand zu einem zurückliegenden Zeitpunkt widerspiegeln. Das geschieht offline, ohne dass Daten über das Netz geschickt werden müssen, und ist selbst dann noch möglich, wenn die Originaldaten längst geändert oder gar gelöscht sind. Mit einer Vielzahl unterschiedlicher Plattformen sichert Time Navigator als Clients nicht nur alle gängigen Unix-Derivate, sondern auch Netware und Intranetware, OS/2, VMS und OpenVMS, Windows 3.x/95/98/NT sowie Linux. Als Backup-Server unterstützt das System Unix-Derivate sowie Windows NT/2000 und Linux. Als Speichermedien können Band- und MO-Laufwerke sowie Roboter einer Vielzahl von Herstellern eingesetzt werden. (Wolf-Rüdiger Branscheid/rhh) Wolf-Rüdiger Branscheid ist Inside Sales Manager bei der Quadratec.
Weitere Informationen: Quadratec Web: www.quadratec-software.com Tel.: (0711) 89660-210
www.lanline.de
SICHERHEIT
DER VERSCHLÜSSELUNGSSTANDARD AES
Geprüfte Sicherheit Nach mittlerweile 24 Jahren Nutzung ist der verbreitetste Verschlüsselungsalgorithmus DES zu unsicher geworden. An der Suche nach dem neuen Standard AES beteiligten sich die fähigsten Köpfe aus aller Welt. Das Ergebnis stellt trotz minimaler Abstriche sehr zufrieden. Über Hintergründe sowie den Aufbau des gewählten Algorithmus Rijndael berichtet der folgende Artikel.
as Chiffrierverfahren DES (Digital Encryption Standard) ist aus unserem Leben nicht wegzudenken. Angefangen von der Überprüfung der PINs von ECKarten über die Absicherung des Datenverkehrs zwischen Banken bis hin zum Standard S/MIME für E-Mail wird es vielerorts eingesetzt; es stellt ohne Frage das am meisten verwendete symmetrische Verfahren dar. “Symmetrisch” heißt dabei: Bei Ver- und Entschlüsselung kommt der gleiche, geheime Schlüssel zum Einsatz. Dieser Typ von Algorithmen ist nach wie
D
vor die Grundlage für jeden gesicherten Datenverkehr; er darf nicht mit den so genannten asymmetrischen Verfahren wie RSA verwechselt werden, die sich nur zum Übermitteln von geheimen Schlüsseln einsetzen lassen und die deutlich größere Schlüssellängen verwenden müssen, um sicher zu sein (zum Beispiel DES/56Bit kontra RSA/1024Bit) [5,6]. Symmetrische Algorithmen stellen meist so genannte Blockchiffren dar: Sie verschlüsseln beispielsweise jeweils 64 Bit Klartext zu 64 Bit Geheimtext. Die meisten
K l a r t e x t
K l a r
geheimer Schlüssel (128 Bit)
Rundenschlüssel 2
i n
1 2 8 -
t 1 e i 2 x n 8 t -
byteweises Ersetzen
Zeilen zyklisch rotieren
Rundenschlüssel 1
Runde 1 Spalten einzeln mischen Runde 2 XOR Rundenschlüssel Runde 10
Rundenschlüssel 10
$ { ü
* \ : S
ä § C .
x ^ g !
$ * ä x - \ § ^ { : CgüS . !
Grafische Darstellung von Rijndael
98
LANline Spezial Administration I/2001
Blockchiffren führen dies in Runden aus, das heißt, sie wenden eine Transformation mehrfach hintereinander an. Dabei hängt die Transformation von einem geheimen Rundenschlüssel ab, der aus dem geheimen Verfahrensschlüssel abgeleitet wird. In jeder Runde kommt ein anderer Rundenschlüssel zum Einsatz. DES arbeitet etwa mit einem 56 Bit langen Verfahrensschlüssel, 64 Bit langen Blöcken und 16 Runden. Trotz allen Misstrauens gegenüber DES (beim Entwurf Mitte der 70erJahre hatte der Geheimdienst NSA seine Hände mit im Spiel) konnte bis heute keine praktisch nutzbare Hintertür gefunden werden, die eine Dechiffrierung ohne Kenntnis des geheimen Schlüssels ermöglicht hätte. Die Schwäche von DES ist vielmehr bei der Schlüssellänge zu suchen: 56 Bit sind einfach zu wenig für heutige Hardware. Im Sommer 1998 führte die Organisation EFF einen Spezialcomputer vor, der DES-chiffrierte Text per Probieren aller möglichen Schlüssel in durchschnittlich 4,5 Tage entziffert [1] – das entspricht etwa 36 Billiarden Dechiffrierungen. Keine Überraschung für die Experten, wohl aber eine politische Bombe, denn die Unsicherheit von DES war noch im gleichen Jahr (1998) von Experten vor dem US-Kongress bestritten worden. In der Wirtschaft war man nicht so leichtgläubig und begann schon vorher, auf Triple-DES (auch 3DES genannt) umzusteigen. Dabei handelt es sich um eine Dreifachverschlüsselung mit DES, bei der allerdings nur zwei verschiedene Schlüssel eingesetzt werden. Das entspricht einer Schlüssellänge von 112 Bit und ist nach heutigem Ermessen bis auf Weiteres sicher. Die PINs unserer EC-Karten sind offenbar seit 1998 mittels 3DES gesichert. Trotzdem genügt auch 3DES nicht mehr den Anforderungen an einen modernen Algorithmus, der sich gleichermaßen für Hard- wie Software eignen muss (DES ist Hardware-orientiert), variable Schlüsselund Blocklängen haben soll und allen bekannten kryptanalytischen Angriffen widerstehen muss. Dies war der amerikanischen Behörde NIST, die DES alle fünf Jahre als Standard bestätigte, auch bekannt, und so formulierte man Anfang 1997 die
www.lanline.de
SICHERHEIT
Anforderungen an AES Die vom NIST formulierten Anforderungen an AES entstanden in öffentlicher Diskussion, unter anderem in einem Workshop am 15.4.97. Hier sind nur einige Kriterien genannt. – Es muss ein symmetrischer Algorithmus sein (gleicher Schlüssel für Chiffrierung und Dechiffrierung), und zwar ein Blockalgorithmus (die öffentliche Kryptanalyse so genannter Stromchiffren ist noch nicht so weit entwickelt). – Der Algorithmus muss mindestens 128 Bit Blocklänge verwenden und Schlüssel von 128-, 192- und 256-Bit-Länge einsetzen können. – Er soll für verschiedenste Einsatzzwecke geeignet sein – zum Beispiel gleichermaßen leicht in Hard- und Software implementiert werden können. – AES soll allen bekannten Methoden der Kryptanalyse widerstehen können. – Speziell muss AES Power- und Timing-Attacken widerstehen können. – Er soll in Hard- wie Software eine sehr gute Performance haben. – Besonders für den Einsatz in Smartcards sind geringe Ressourcen gefragt (geringe Codelänge, geringer Speicherbedarf). – Der Algorithmus muss frei von patentrechtlichen Ansprüchen sein und darf von jedermann unentgeltlich genutzt werden.
Anforderungen für einen Nachfolger. Es war klar, dass dieser Prozess lange dauern würde, denn die Beurteilung eines kryptografischen Algorithmus stellt eine außerordentlich schwierige Aufgabe dar – es sei denn, der Algorithmus ist sehr schlecht. Genaugenommen handelt es sich sogar um eine unlösbare Aufgabe. Niemand kann beweisen, dass ein Algorithmus sicher ist; es lässt sich nur zeigen, dass bisher bekannte Angriffsmethoden unwirksam sind. Trotzdem müssen sich Kryptografen dieser Herausforderung stellen. Weil sich die Kryptanalyse vor allem in den letzten zehn Jahren sprunghaft entwickelte, steht heute eine reiche Erfahrung bei der Beurteilung von Chiffriermethoden zur Verfügung.
www.lanline.de
Eine wesentliche Erfahrung sollte dabei berücksichtigt werden: Jegliche Geheimnistuerei ist Gift in der Kryptografie. Geheimgehaltene Algorithmen sind fast immer schwach wie das Beispiel der unsicheren in Handys eingesetzten Verfahren A3 und A5 drastisch zeigt – man kann mittlerweile nicht nur SIM-Karten klonen (also auf fremde Kosten telefonieren), sondern sogar Gespräche nach zwei Minuten Mitschneidens des verschlüsselten Funkverkehrs binnen einer Sekunde Rechenzeit dechiffrieren [7]. Diese peinlichen Pannen wären bei öffentlicher Diskussion der Algorithmen nicht passiert. Ebenso untergräbt eine Geheimhaltung von Hintergründen (warum wurde das Verfahren gerade so ent-
worfen?) das Vertrauen in einen Algorithmus. Hierzu mag DES als bekanntestes Beispiel dienen: Die Modifikation der so genannten S-Boxen – offenbar durch die NSA – erregte sofort den Verdacht, es könne eine Hintertür eingebaut worden sein. Ganz ist dieser Verdacht nie ausgeräumt worden. So schrieb das NIST weltweit die Suche nach dem neuen Algorithmus AES (Advanced Encryption Standard) aus. Die Anforderungen sind im Kasten 1 erläutert. Eine Bemerkung sollte noch zu den geforderten Schlüssel- und Blocklängen gemacht werden. Im Rahmen einer öffentlichen Diskussion über Schlüsselhinterlegung erklärte vor wenigen Jahren ein Jurist tatsächlich, dass das Durchprobieren aller möglichen Schlüssel “eine reine Fleißaufgabe sei”. Wie diese “Fleißaufgabe” für 256-Bit-Schlüssel aussieht, können einige Zahlen leicht veranschaulichen. Würde man diese 2256 möglichen Kombinationen speichern wollen und könnte pro Atom einen 256Bit-Schlüssel unterbringen (das ist momentan physikalisch noch nicht denkbar), hätte der benötigte Speicher eine Masse von etwa 1047 Gramm. Das entspricht etwa 1014 Sternenmassen. Wie der bekannte Kryptologe Bruce Schneier schon anführte, würde solch ein Monstrum sofort ein schwarzes Loch bilden und keine Informationen mehr nach außen dringen lassen. Bei 128-Bit-Schlüsseln hätte dieser hypothetische Speicher “nur noch” eine
LANline Spezial Administration I/2001
99
SICHERHEIT
Ablauf der AES-Initiative des NIST 2.1.97: Aufruf zur Initiative, Einreichen von Kandidaten bis 12.9.97. 15.4.97: Auf einem öffentlichen AES-Workshop werden die genauen Anforderungen formuliert. 20.8.98: Erste AES-Konferenz. Das NIST gibt den Eingang von 15 Kandidaten bekannt, die Kryptografen aus aller Welt einsandten. Die öffentliche Begutachtung beginnt. März 99: Zweite AES-Konferenz. Diskussion der bisherigen Resultate. 28 Veröffentlichungen wurden eingereicht und mehrere Wochen vor der Konferenz auf der Homepage zugänglich gemacht, um die Konferenz auf einem möglichst hohen Niveau abzuhalten. 15.4.99: Ende der öffentlichen Begutachtung aller Kandidaten. Fünf Kandidaten (MARS, RC6, Rindael, Serpent, Twofish) kommen in die engere Auswahl. Weitere Arbeiten konzentrieren sich ab jetzt auf diese fünf Algorithmen. 13./14.4.00: Dritte AES-Konferenz. Die Analysen der fünf Endkandidaten werden vorgestellt und diskutiert. 15.5.00: Ende der öffentlichen Diskussion. 2.10.00: Bekanntgabe des “Siegers” Rijndael. November 2000: FIPS-Standard als Manuskript veröffentlicht; öffentliche Kommentare sind möglich. Februar 2001: Ende der öffentlichen Diskussion zum Standard. April-Juni 2001: Bestätigung als FIPS-Standard.
Masse von zirka 300 Tonnen und würde trotzdem die für heutige Verhältnisse unvorstellbare Datenmenge von 1024 TByte beherbergen. Allerdings sind derartige Überlegungen nur bedingt ein Hintergrund für die AES-Anforderungen. Zum einen befürchtet man, dass in Zukunft die ebenfalls noch spekulativen Quantencomputer einen Qualitätssprung bei der Parallelisierung von Angriffen bringen könnten. Zum anderen kann niemand ausschließen, dass der gewählte Algorithmus eleganter als mit Brachialgewalt angreifbar ist. Dann sind so viele Sicherheitsreserven wie nur möglich gefragt. Übrigens fällt 3DES schon wegen der festen Schlüssellänge von 112 Bit als AES-Kandidat aus. Ganz anders verhält es sich bei der geforderten Blocklänge. Hier steht folgende Überlegung dahinter: Wenn ein Algorithmus AES im CBC-Mode verwendet wird, das heißt die Verschlüsselung nach folgendem Prinzip geschieht [5,6] Cn+1 = AES(Cn⊕Pn) (Pn = nter Klartextblock, Cn = nter Geheimtextblock, ⊕ = XOR) und zwei Blöcke Cm⊕1 und Cn⊕1 zufällig übereinstimmen, dann heißt das
100
Cm⊕Pm = Cn⊕Pn oder Pm⊕Pn = Cm⊕Cn. Jeder Angreifer kann erkennen, welche Geheimtextblöcke übereinstimmen und so das XOR-Produkt zweier Klartextblöcke ermitteln. Zwar kennt er damit die Klartexte noch nicht, doch das XOR-Produkt erlaubt Rückschlüsse auf die Klartexte, und das ist schon ein Risiko zuviel (mittels solcher “XOR-Analyse” wurden sowjetische Spione in den USA im Rahmen des Venona-Projekts der NSA enttarnt; dabei landeten Julius und Ethel Rosenberg auf dem elektrischen Stuhl). Zwar werden im Mittel nur von 232 zufälligen 64-Bit-Blöcken zwei übereinstimmen (das sind zirka 34 GByte Klartext), doch wer weiß schon, welche Datenmengen in zehn Jahren verschlüsselt und übertragen werden? Bei 128-Bit-Blöcken tritt die Situation durchschnittlich alle 140 Millionen TByte auf – das scheint sicher genug für die nächsten 20 Jahre. AUSWAHL DER BESTEN Das NIST stellte
zunächst 15 eingereichte Kandidaten zur öffentlichen Diskussion. Darunter war übrigens auch der Algorithmus “Magenta”
LANline Spezial Administration I/2001
der Deutschen Telekom, der aber wegen offensichtlicher Schwächen frühzeitig ausschied. Nach eingehenden zahlreichen Analysen blieben fünf Kandidaten übrig, mit denen sich nun die fähigsten Kryptanalytiker der Welt beschäftigten. Es entstand eine Pattsituation: Alle Algorithmen sind ausgezeichnet und schwer vergleichbar. Jeder von ihnen könnte der neue Standard werden, bei keinem wurden Schwachpunkte entdeckt. Jeder hat andere Vorzüge, doch welche Eigenschaften sollen die entscheidenden sein? Don B. Johnson von Certicom fragt in zweien seiner Beiträge zur dritten AESKonferenz: Muss es überhaupt ein bestes Verfahren geben? Schließlich implementiert moderne Software ohnehin eine genormte Krypto-Schnittstelle und bietet meist mehrere Verfahren zur Auswahl an. Die fünf AES-Kandidaten sind nicht so umfangreich, dass sie zusammen den Umfang von Programmen sprengen würden (in Hardware sieht dies anders aus). Oder noch besser: Für jeden Algorithmus sollte ein bevorzugtes Einsatzgebiet angegeben werden (Smartcards, OnlineVerschlüsselung, ...) Solche Flexibilität hat deutlich mehr Vor- als Nachteile. Produkte, die auf ein Verfahren fixiert sind, würden schlagartig unsicher, wenn wider Erwarten doch eine Schwäche des Verfahrens auftauchen sollte. Als warnendes Beispiel sei der Einsatz von DES im Bankwesen genannt, wo man seit 20 Jahren ausschließlich darauf setzte. Die Umstellung zu 3DES erforderte Jahre und verschlang Unsummen. Der Beschluss des NIST fiel anders aus als erwartet – nur der Algorithmus Rijndael der belgischen Autoren Joan Daemen und Vincent Rijmen machte das Rennen. Die Gründe, weswegen nur ein Kandidat ausgewählt wurde, überzeugen nur teilweise: – Sollte Rijndael wider Erwarten praktisch relevante Schwächen zeigen, bieten die geforderten größeren Schlüssellängen genügend Reserve. – Im schlimmsten Fall steht noch 3DES als Alternative zur Verfügung, die auf absehbare Zeit ebenfalls volle Sicherheit bieten dürfte.
www.lanline.de
SICHERHEIT
– Es ist billiger, nur einen Algorithmus zu implementieren (dieses Argument trifft allerdings nur für Hardware zu). – Im Fall von patentrechtlichen Ansprüchen, die Erfinder ähnlicher Algorithmen geltend machen könnten, entstehen geringere Kosten (nach Vermutung des Autors könnte das ein wesentlicher Grund sein). Doch niemand sollte enttäuscht sein: Der gesamte Prozess verlief in aller Offenheit und sehr fair. In einem Land wie den USA, in dem noch vor wenigen Jahren kryptografische Algorithmen als Waffen eingestuft wurden, soll nun ein von Belgiern entwickelter und international begutachteter Algorithmus ein Fundament für die nationale Sicherheit bilden. Das Einsatzgebiet für die Behörden wird zwar mit “sensitive, not classified” beschrieben, die NSA gab eine recht schwammige Erklärung ab, aber vermutlich wird Rijndael dennoch die Grundlage für die Chiffrierung in den nächsten 20 Jahren oder länger bilden (nach den Erwartungen des NIST). Es besteht derzeit auch kein Grund, daran zu zweifeln. Nach einer dreimonatigen, abschließenden öffentlichen Diskussion wird Rijndael aller Voraussicht nach etwa zwischen April und Juni 2001 als FIPS-Standard bestätigt werden. DER ALGORITHMUS IM DETAIL So weit zu den Hintergründen der AES-Initiative. Es wäre unbefriedigend, an dieser Stelle abzubrechen, ohne den Algorithmus selbst
www.lanline.de
Performance von Rijndael in Hard- und Software Hier wird nur die Chiffriergeschwindigkeit für 128-Bit-Blöcke mit 128-BitSchlüssel angegeben. Wie im Text erwähnt, kann die Dechiffrierung auf 8-Bit-Prozessoren um bis zu 30 Prozent langsamer verlaufen. Hardware: Intel 8051: 4065 Zyklen (= 48780 Takte) pro Block, 768 Byte Code; alternativ: 3168 Zyklen (= 38016 Takte) und 1016 Byte Code. Motorola 68HC08: 8390 (= 8390 Takte), 36 Byte RAM, 919 Byte Code Software: Gemessen auf einem Pentium II mit 200 MHz ANSI C, optimiert: 27 MBit/sec (EGCC 1.0.2, Linux) 70 MBit/sec (Visual C++, Windows) Der große Unterschied in diesem Bereich beruht auf einer Pentium-Optimierung des VisualC++-Compilers, der Datenrotationen in Hardware ausführen lassen kann. Java: 1.1 MBit/sec (JDK1.1.1 Java Compiler unter Linux)
wenigstens ungefähr zu beschreiben. Das ist nicht sonderlich schwer, denn er verwendet nur Byte-weise Substitution, Vertauschungen von Bytes und die XOR-Operation. Im Folgenden seien die einzelnen Schritte für den Fall von 128-Bit-Blöcken und 128-Bit-Schlüsseln beschrieben (De-
tails und Quelltexte in C und Java kann man von [2] downloaden). 1. Ein Klartextblock besteht aus 128 Bit beziehungsweise 16 Bytes; diese landen spaltenweise in einer 4-mal-4Matrix. Daemen und Rijmen nennen diese Matrizen “State” (Zustand). Vor der ersten Runde stehen die KlartextBytes in der Matrix. Jede Runde verändert den Inhalt der Matrix; nach der zehnten Runde stehen die GeheimtextBytes darin und werden spaltenweise ausgelesen. Dann beginnt die Prozedur mit den nächsten 128 Bit Klartext von vorn. Außerdem werden vor Beginn der Verschlüsselung aus dem 128-BitSchlüssel zehn Rundenschlüssel zu je 128 Bit erzeugt und analog in zehn Matrizen mit vier Spalten und vier Zeilen geschrieben (die Details werden hier nicht erläutert). 2. In jeder Runde arbeitet der Rijndael-Algorithmus nun folgende Schritte ab: – Byte-Sub: Die einzelnen Bytes der State-Matrix werden nach einem festen Schema substituiert, das heißt durch andere Bytes ersetzt. Diese Transformation ist deterministisch und bekannt, stellt also noch keine Verschlüsselung dar. – Shift-Row: Die Zeilen des State werden Byte-weise zyklisch nach links rotiert, und zwar um 0, 1, 2 und 3 Byte. Wenn zum Beispiel in Zeile 2 die Zeichen abcd
LANline Spezial Administration I/2001
101
SICHERHEIT
Kryptanalyse von Rijndael Erwähnt werden hier die Ergebnisse aus [4]. Es sind keine praktisch nutzbaren Angriffe auf Rijndael bekannt, noch in Zukunft zu befürchten. Ein Algorithmus gilt als sicher, wenn er nur mittels Durchprobieren aller möglichen Schlüssel geknackt werden kann (im Mittel also 2127 Tests bei 128-Bit-Schlüsseln). Diese Methode heißt auch “Brute Force” und bleibt bis auf Weiteres unrealistisch (siehe die Modellrechnungen im Text). Im Unterschied dazu erlauben “shortcut”-Attacken, theoretisch mit weniger Tests zu arbeiten, oft aber mit einem enorm hohen Rechenaufwand und trotzdem unakzeptabel vielen Versuchen. Findet man auch solch einen Angriff nicht, versucht man zunächst Varianten mit kleinerer Rundenzahl, um mögliche Wege zu finden. Das alles ist erst mal von akademischem Interesse, kann aber den Weg zu einer effektiveren Kryptanalyse zeigen. Für Rijndael sind folgende Shortcut-Attacken bei reduzierter Rundenzahl bekannt (auch für 192 und 256 Bit lange Schlüssel): Sechs Runden: Unter Verwendung von 6*232 ausgewählten Klartextblöcken kann der Schlüssel mittels 244 komplexer Operationen (das heißt zirka 17 Billionen) berechnet werden. Praktisch heißt das: Etwa 400 GByte vom Angreifer vorgegebener Klartext muss verschlüsselt und analysiert werden; wenn eine komplexe Operation eine Mikrosekunde dauert, braucht man dazu etwa 200 Tage (bei einer Nanosekunde nur noch fünf Stunden). Sieben Runden: Hierzu sind fast 2128 ausgewählte Klartexte (entsprechend zirka 5*1039 Byte) und ein Rechenaufwand von 2120 notwendig; bei einer Nanosekunde pro Operation ergibt das 4.e+19 Jahre (40 Trillionen). Man beachte, wie sprunghaft die Sicherheit allein durch Hinzufügen einer siebten Runde wächst. Rijndael führt jedoch mindestens 10 Runden aus (je nach Schlüssellänge). Es wurden allerdings theoretische Schwächen bei der Erzeugung der Rundenschlüssel entdeckt, die aber mehr das akademische Interesse wecken dürften. Praktische Auswirkungen sind derzeit nicht absehbar.
stehen, liest sie sich nach der ShiftRow-Transformation so: bcda Auch diese Transformation ist deterministisch und verschlüsselt nichts. – Mix-Column: Die Spalten des State werden nach einem deterministischen Prinzip ersetzt. – Add-Round-Key: Der Rundenschlüssel wird per XOR Bit-weise mit dem State verknüpft. Erst dieser Vorgang mischt ein Geheimnis in die Transformation, man kann also von Verschlüsselung sprechen. 3. Der Vollständigkeit halber sei erwähnt, dass vor der ersten Runde eine AddRound-Key-Transformation durchgeführt wird und in der letzten Runde die Mix-Column-Transformation fehlt. Außerdem kann Rijndael auch mit 192und 256-Bit-Blöcken arbeiten – dann verwendet er 4-mal-6- beziehungsweise
102
4-mal-8-Matrizen als States. Der Algorithmus mit 128-Bit-Block- und Schlüssellänge verwendet zehn Runden; bei längeren Block- oder Schlüssellängen kommen 12 beziehungsweise 14 Runden zum Einsatz. Rijndael mit nur einer Runde würde eine extrem geringe Sicherheit bieten. Weil Byte-Sub, Shift-Row und Mix-Column auch nacheinander ausgeführt nur eine feste, umkehrbare Transformation bilden, entspräche die Sicherheit einer so genannten 128-Bit-Vernam-Verschlüsselung, also dem XOR eines 128-Bit-Schlüssels mit Klartextportionen zu je 128 Bit. Dieses Verfahren kann man innerhalb von Millisekunden knacken (Software dazu gibt es in [6]). Doch Rijndael ist ein so genannter Produktalgorithmus, das heißt, ähnliche Transformationen (die sich eigentlich nur durch die verschiedenen Rundenschlüssel unterscheiden) werden wiederholt immer wieder
LANline Spezial Administration I/2001
auf das Ergebnis der vorherigen Runde angewendet. Spätestens seit der Kryptanalyse von DES weiß man, dass die Sicherheit solcher Algorithmen mit zunehmender Rundenzahl im Allgemeinen sprunghaft wächst. Das zeigt auch die bisher bekannte Kryptanalyse von Rijndael im Kasten auf dieser Seite recht eindrucksvoll. Die Transformationen Byte-Sub, ShiftRow und Mix-Column wurden nun so gewählt, dass sie einerseits möglichst einfach (und damit gut zu analysieren) sind und andererseits alle bisher bekannten Methoden der Kryptanalyse versagen. Die Motivation für die Wahl gerade dieser Transformationen wird von den Autoren in ihrer Veröffentlichung unter [2] ausführlich erläutert; hier sei nur erwähnt, dass dabei Operationen auf Galoisfeldern eine wesentliche Rolle spielen. Wesentlich bei der Wahl der Transformationen sind starke Diffusion und Konfusion in jeder Runde: Diffusion heißt, dass die Änderung auch nur eines State-Bits (oder eines Rundenschlüssel-Bits) nach möglichst wenigen Runden möglichst alle Bits des State beeinflusst. Dafür sind bei Rijndael vor allem Shift-Row und Mix-Column verantwortlich. Konfusion bedeutet, dass “Zusammenhänge verlorengehen”, man also aus dem Ergebnis einer Runde nicht auf die Eingabematrix schließen kann. Diese Aufgabe erledigen vor allem Byte-Sub und Add-Round-Key. Erst die fortgesetzte Hintereinanderausführung dieser Runden (die doch nur eine deterministische Ersetzung von 128 Bit State mit anschließender XOR-Addition eines geheimen Schlüssels darstellen) stellt die Kryptanalytiker vor eine (hoffentlich) fast unlösbare Aufgabe. Weder differenzielle noch lineare Kryptanalyse (die sogar bei DES theoretisch gesehen wirkt), noch Interpolationsangriffe greifen in diesem Fall; es gibt keine so genannten schwachen Schlüssel, und auch Angriffe mit ähnlichen Schlüsseln (interessant für Smartcards) versagen – im Unterschied zu DES. FÜR HARD- WIE FÜR SOFTWARE Es
leuchtet auch dem Außenseiter ein, dass
www.lanline.de
SICHERHEIT
Rijndael gut in Hardware implementierbar ist (vergleiche Kasten 4), doch selbst als CProgramm bleibt er in der optimierten Version unter 500 Zeilen Quellcode [2]. Es spielt ebenfalls eine wichtige Rolle, dass sich Rijndael derart in Hardware “gießen” lässt, dass Timing- und Power-Attacken weitegehend unwirksam sind. Dabei handelt es sich um besonders bösartige Angriffe auf Smartcards, die einen geheimen (nicht auslesbaren) Schlüssel enthalten. Der Angreifer misst jedoch Ausführungs-
www.lanline.de
zeiten beziehungsweise Stromverbrauch der Karte während der Verschlüsselung vorgegebener Klartexte und kann so doch noch den geheimen Schlüssel ermitteln. Leider läuft die Dechiffrierung auf 8Bit-Prozessoren (für Smartcards) etwas langsamer ab als die Chiffrierung – bis zu 30 Prozent. In der Software-Version entstehen geringe Zeitunterschiede durch andere Berechnung der Rundenschlüssel für die Dechiffrierung. Bei anderen Algorithmen sind Ver- und Entschlüsselung oft fast identisch. In der Hardware-Version von Rijndael hingegen lässt sich die Chiffrier-Hardware bei der Dechiffrierung nur teilweise nutzen, und bei der Software werden anderer Code und Tabellen benötigt. Allerdings ist Dechiffrierung nicht immer notwendig, zum Beispiel, wenn die so genannten CFB- und OFB-Modi zum Einsatz kommen [5,6]. Wie zu erwarten, hat die Wirtschaft auf die AES-Wahl am 2. Oktober 2000 rasch
reagiert: Bereits am 10. Oktober kündigte die Firma Demcom GmbH das Beta-Paket von Steganos Security Suite 3 an, das Rijndael einsetzt [8]. Am 16. Oktober folgte bereits die Utimaco Safeware AG mit ihrem “Safeguard Private Crypt”. (Reinhard Wobst/gg)
Literatur: [1] R.Wobst, Offenes Geheimnis, Unixopen 11/98, S.32-36 [2] www.nist.gov/aes [3] R.Wobst, Auf Nummer Sicher sein, Computer Zeitung 25/00 (23.6.00), S.20 [4] www.counterpane.com/rijndael.html [5] B.Schneier, Angewandte Kryptografie, Addison-Wesley [6] R.Wobst, Abenteuer Kryptologie, Addison-Wesley 1998 [7] R.Wobst, Lauscher am Handy, Computer Zeitung 16/00 (20.4.00), S.20 [8] www.demcom.com/deutsch/steganos/
LANline Spezial Administration I/2001
103
SICHERHEIT
REMOTE CONTROL UND SICHERHEIT
Sichere Fernwartung Remote-Control-Software zur Fernwartung von Rechnern über das Netzwerk ist nicht nur bei gehfaulen Administratoren beliebt. Während bei der Auswahl entsprechender Programme der Fokus normalerweise auf deren Fernsteuerungs-Funktionalität liegt, sollten die Sicherheitsaspekte einer Remote-Control-Session nicht unterschätzt werden – besonders, wenn die Fernsteuerung über lokale Netzwerkgrenzen erfolgt.
anche Unternehmen verweigern ihren Mitarbeitern den Zugang zum Internet nicht etwa aus Sorge um verlorene Arbeitszeiten. E-Mail-Programme werden auch nicht argwöhnisch betrachtet, weil die Administratoren etwas gegen Kommu-
M
Vorbehalte gegen einen großflächigen Einsatz dieser Produktgattung auch in sicherheitssensitiven Umgebungen immer mehr. Doch sollte auch bei Remote-Control-Produkten der Sicherheitsaspekt nicht außer acht gelassen werden.
Port-Remapping ermöglicht das optimale Konfigurieren gemäß der Firewall
nikation haben. Nein, der Grund für die teilweise noch zögerliche Haltung gegenüber dem Internet sind die Schwächen von Active-X, unerwünschte Java-Skripte, Trojaner oder Viren. Die meisten der professionellen Fernsteuerungslösungen sind zwar selbst in der Standardkonfiguration erheblich sicherer als Outlook, Internet Explorer und Kollegen und reduzieren die
104
Dabei sind gerade diese Produkte geeignet, die TCO (Total Cost of Ownership) der IT-Landschaft durch Verringerung der immensen Support-Kosten für WindowsBetriebssysteme signifikant zu senken. Sicherheitsverantwortliche, die Stellung beziehen, können den Markt genau betrachten und sich die Ihren Anforderungen genügende Lösung aussuchen. Produkte
LANline Spezial Administration I/2001
gibt es viele, sie heißen unter anderem Carbon Copy, Control-IT, Co-Session, Desktop On Call, Desktop Manager, Laplink, Netop, Netsupport Manager, PC-Anywhere, PC-Duo, Proxy, Radmin, Reachout oder Timbuktu Pro Enterprise. In der Regel haben sich die Hersteller der schon länger am Markt verfügbaren Produkte auch die meisten Gedanken über die Sicherheit ihrer Kunden gemacht. Denn sie sind mit den Ansprüchen ihrer Klientel gewachsen. Kaum einer der relevanten Hersteller ist während der Versionssprünge ohne einen publizierten Bug davon gekommen (siehe auch www.securiteam.com). Doch wer auf offene Kritik hört, kann sein Produkt nur noch sicherer machen. Zur Erstellung einer Liste von Auswahlkriterien für die Anschaffung von RemoteControl-Software aus der Sicherheitsperspektive gibt drei Ansatzpunkte zu unterscheiden: Die Konfigurationsmöglichkeiten in der Applikation selbst (1), Konfiguration in puncto Netzwerksicherheit (2) sowie das Zusammenspiel der beiden (3). Der Punkt Netzwerksicherheit gliedert sich wiederum in zwei Bereiche: den Zugriff von außen nach innen (und ungekehrt) sowie den Zugriff auf Rechner innerhalb des Netzwerks. Letzterer stellt für Unternehmen, die mit File- und PrinterSharing arbeiten, ohnehin keinen ungewöhnlichen Tatbestand dar. Die Sicherheit auf dieser Ebene ist eine Frage der Konfiguration von Firewall und Remote-Access-Server, der Umsetzung der Unternehmensrichtlinien (vor allem auch hinsichtlich des verwendeten Betriebssystems), der zugelassenen Protokolle und der Integrität und Schulung der Mitarbeiter hinsichtlich der gewählten Strategie. Pflicht auf Applikationsebene (1) sind ein skalierbarer Passwortschutz, Optionen zur Bildschirmverdunkelung, aktivierbare Alarmfunktionen während einer Session sowie Event-Logging. Falls eine Nutzung durch normale User erlaubt werden soll, muss sichergestellt sein, dass diese durch die Kontrollfunktion des Programms nicht Administratorrechte auf dem entfernten Rechner erlangen können. Außerdem darf kein Zugang zu der Applikationskonfiguration möglich sein. Zusätzlich hat der Be-
www.lanline.de
SICHERHEIT
triebsrat eventuell Interesse daran, dass der Beginn einer Remote-Control-Session nur mit individueller Zustimmung des Anwenders möglich ist. In den Bereich des optimalen Zusammenspiels (3) fallen Mittel für den Administrator, die Applikation gemäß der Firewall und eines VPN anzupassen. Ebenso muss er die individuellen Berechtigungen sowohl benutzer- als auch gruppenspezifisch remote erteilen können. An dieser Stelle tritt ein altbekannter Widerspruch auf: Einerseits müssen alle Dienste und möglichen Zusatzfunktionen reibungslos zur Verfügung stehen, andererseits soll eine unautorisierte Nutzung unmöglich sein. Somit liegt die Stärke eines Programms unter anderem in der Adaptionsmöglichkeit an die entsprechende (Sicherheits-) Umgebung. Ein eigener Verzeichnis-Server für Remote-Control-Verbindungen wirkt hier auf den ersten Blick interessant – zumindest, wenn ein Zugriff von außen ermöglicht werden soll. Schafft man sich jedoch für jede sicherheitssensitive Anwendung einen eigenen Verzeichnis-Server an, geht besonders bei größeren Unternehmen schnell der Überblick über den Status des Einzelnen verloren, von der individuellen Überalterung und den daraus resultierenden Folgekosten abgesehen. Da Zugriffe allgemein sicher geregelt werden müssen, bieten sich hier zentrale Directory-Server für alle Berechtigungen und der Remote-Access-Server oder die Firewall zur Protokollierung von Remote-Control-Zugriffen als elegante Lösung an. Stehen zur Absicherung eines Netzwerks und des Datenverkehrs vielfältige Lösungen zur Auswahl (und sind ohnehin im Einsatz), so haben sich bei globalen Unternehmen als Kommunikationsprotokoll TCP/IP und als Betriebssystem Windows NT/2000 durchgesetzt. Diese Kombination kann man heute quasi als Standard bezeichnen. Sicherheitsrichtlinien werden in nahezu jedem Unternehmen festgelegt, bei ihrer internen Kommunikation und Umsetzung beginnen jedoch leider oft die Kompromisse. Der größte Unsicherheitsfaktor sind allerdings immer noch ungenügend geschulte oder auch unloyale Mitarbeiter. So hatten beispielsweise Mitarbeiter bei
www.lanline.de
der geplanten Abbuchung von zwei Milliarden Mark aus der “Banco di Sicillia” (Spiegel 43/2000) den kompletten Klone eines Bankrechners mit allen Zugangsdaten kriminellen Computerexperten aus der Gegend zur Verfügung gestellt. Am Beispiel einer Remote-Control-Session via TCP/IP sollen nun die Absicherungsmöglichkeiten unter optimaler Nutzung der unternehmensweiten Sicherheitsrichtlinien in einer Windows-NT/2000Umgebung dargestellt werden: Um auf einen Remote-Control-Host zu dessen Fernwartung zugreifen zu können, benötigt dieser einen fest definierten UDP- oder TCPPort. Der Administrator sendet zunächst
Die Integration in Verzeichnisdienste erleichtert die zentrale Administration der RemoteControl-Software
eine Verbindungsanforderung von einem dynamischen Port seines Rechners an den statischen Port des Host. Dieser reagiert mit einer Antwort über den definierten Port. Bereits in diesem Paket sollte die Information enthalten sein, ob es sich um einen Windows-NT/2000-Rechner handelt. Im nächsten Schritt kann die Benutzerauthentifizierung via Netbios und SMB erfolgen. Windows öffnet hierbei einen TCP-Stream von einem dynamischen Port des Gastes auf Port 139 des Hosts (Standard-NBT-Session-Port). Zur Sicherheit könnte an dieser Stelle Netbios nur zwischen dedizierten Sites erlaubt werden. Der Host sollte zudem für jeden anzufordernden Service eine vordefinierte Zu-
LANline Spezial Administration I/2001
105
SICHERHEIT
gangskontroll-Liste parat haben, in dem spezielle Zugriffsberechtigte oder zugriffsberechtigte Gruppen definiert sind. Ist der Stream geöffnet, wird ein SMBSession-Request gesendet. Dieses beinhaltet den NetBios-Namen des Gastes. Nun wird über das SMB-Authentification-Protokoll verhandelt: Der Client sendet zunächst einen Request, um die “IPC$ logon named pipe” des Hosts zu öffnen. Diese Transaktion beinhaltet die Zugangsberechtigung des Gastes in Form eines [Domain]\Benutzernamen und des Passworts. Diese Zutaten sind identisch mit denen, die am Gast oder im Windows-Netzwerk allgemein benötigt werden. Bis zu diesem Punkt haben weder Gast noch Host mit einer lokalen oder Domain-Security-Database gesprochen. Der
An dieser Stelle sollte in der RemoteControl-Software konfiguriert sein, wie oft ein Anmeldeversuch stattfinden darf. Ist alles gut gegangen, sendet der Client an den Host eine Anfrage, um die entsprechende Named-Pipe für den gewünschten Service (Control, Exchange Files etc.) zu öffnen. Jetzt beginnt die eigentlich Benutzerautorisierung. Stimmen die Berechtigungen des Gastes für den gewünschten Dienst nicht mit den Eintragungen in der Zugangskontroll-Liste des Hosts überein, wird die Transaktion abgebrochen. Wird die Named-Pipe jedoch geöffnet, gibt der Host eine willkürlich generierte und einzigartige Connection-ID über die Pipe zum Gastrechner. Diese ID verwendet der Gast, um die eigentliche Remote-Control-Session zu starten (die Pipe wird geschlossen).
Kriterien für Remote-Control-Software in sicherheitssensitiven Umgebungen: – LDAP-Unterstützung – Port-Remapping – Skalierbarkeit hinsichtlich Unternehmensrichtlinien – Möglichkeit, NT-Benutzerdatenbank zu übernehmen – Eintragung der Logfiles auch in den NT-Ereignisdienst – zentraler Rollout der Software und der Berechtigungseinstellungen – Erstellen von individuellen Berechtigungen auch der Administratorengruppe – komplettes Verstecken der Applikation vor den Augen und dem Zugriff von Anwendern (zumindest der Konfiguration) – Kennwortalterung und Mindestkriterien bei der Vergabe – Option zur Einstellung eines Hinweises auf die Remote Control-Sitzung am Host – automatisches Abmelden bei ungewolltem Verbindungsabbruch
Host versucht nun, den Gast in einer SMB-Session am Host-System einzuloggen. Jetzt kommt es darauf an, wie die Sicherheitsrichtlinien NT-seitig gesetzt sind. Eine Verbindung wird der Host aus folgenden Gründen ablehnen: – Die Berechtigungen stimmen nicht mit denen der lokalen Domain oder der lokalen Security Database überein. Oder es besteht kein Vertrauen zwischen den beiden Domänen. – Die Berechtigungen spezifizieren keine Domäne, und es besteht auch kein Account in der lokalen SAM-Database. – Es besteht eine definierte Richtlinie, um diesen User, das OS oder bestimmte IPAdressen abzuhalten.
106
Der Gast sagt dem Host, auf welchem Port er welchen Service nutzen möchte. Jeder Service läuft herstellerabhängig auf einem bestimmten Port, und jeder Host bejaht den Zugriff in diesem fortgeschrittenen Stadium auch. Können diese Ports für die beiden Gesprächspartner jedoch nach eigenem Gusto konfiguriert werden, kann der geneigte Individualist noch eine weitere Hürde für den Unbefugten einbauen. Dies macht einerseits Laune, andererseits muss es auch möglich sein, wenn ein sicherer Zugriff zu anderen Sites über FirewallGrenzen hinweg ermöglicht werden soll. Als nächstes öffnet der Gast-Computer einen Stream auf den ihm bestätigten Port. Wenn der Host diesen Stream offen sieht,
LANline Spezial Administration I/2001
schließt er alle anderen Ports, und die Session beginnt. Eine Remote-Control-Lösung sollte generell die Möglichkeit offerieren, mittelund langfristig die Sicherheitsprotokolle bei Veränderungen in der entsprechenden Umgebung oder des Anforderungsprofils anzupassen. Falls eine Nutzung der Sicherheitsmechanismen von NT/2000 nicht gewollt ist, sollten proprietäre Lösungen zum Einsatz kommen. Aber auch mit Standardprotokollen kann – bei sorgfältiger Planung – eine hohes Maß an Sicherheit erreicht werden. So wollte ein großer Computerhersteller seinen Kunden Support mit denselben technischen Hilfsmitteln bieten, die sein Helpdesk für interne Unterstützung zur Verfügung hat. Die Firewall ließ jedoch eine Nutzung von Remote-Control nicht zu, und es sollte auch nichts an deren Konfiguration verändert werden. Also wurde der Helpdesk für den Kunden-Support in einem externen “Niemandsland” außerhalb der eigentlichen Firewall positioniert. Durch eine eigene Firewall war dieser Bereich gegen die üblichen HackerAngriffe geschützt, sensitive Daten waren auf den Computern ohnehin nicht vorhanden. Auch an den Schutz der Kunden wurde gedacht. Die Ports, auf denen die einzelnen Services der Remote-Control-Software laufen, wurden von den Voreinstellungen der Retail-Version auf andere Ports gelegt. Die Verbindungen zwischen Host und Client wurden zudem über ein VPN realisiert, dessen Verschlüsselung in bestimmten Intervallen erneuert wird. Der Einsatz von Remote-Control-Software kann auch in sicherheitssensitiven Umgebungen ohne grundsätzliche Vorurteile erwogen werden. Gilt er innerhalb einer Firewall ohnehin als sicher, so müssen Zugriffe über deren Grenzen hinweg auch für andere Applikationen entsprechend geregelt werden. Führende Produkte dieses Bereichs sind gerade wegen der vermuteten Problematik robust gebaut und können so ihren Dienst zur Senkung der Betriebskosten beitragen. (Matthias Lichtenegger/gh) Matthias Lichtenegger ist Kundenberater bei Brainworks Computer Technologie.
www.lanline.de
SICHERHEIT
END-TO-END-SECURITY FÜR BUSINESS-PROZESSE
Anforderungen für Sicherheits-Frameworks Das World Wide Web ist inzwischen zu einer Schaltstelle für Informationen und Business-Transaktionen im B-2-B- und B-2-C-Geschäft geworden. Das macht zentrale Business-Prozesse immer angreifbarer. Sensible Unternehmensdaten liegen offen, und Transaktionen über das Internet gefährden die Datenintegrität. Informationssicherheit und Datenschutz geniessen deshalb höchste Priorität.
ie Aufgabe, ein Unternehmensnetz abzusichern, ist keineswegs trivial. Die IT-Verantwortlichen müssen den Datenfluss und -zugriff zwischen MainframeClient-/Server- und den neuen Web-Technologien unter Kontrolle halten, steuern und unternehmensweit absichern. Extrem kurze Lebenszyklen der Anwendungen geben gleichzeitig ein hohes Tempo für die Realisierung von individuellen E-BusinessLösungen vor. Digitale Geschäftsbeziehungen setzen voraus, dass weder an den Berührungspunkten zwischen Kunden, Lieferanten und Partnern noch bei den Interaktionen zwischen neuen und alten Technologien des Unternehmens Sicherheitslücken entstehen. Dazu gehört zum einen die Analyse, also das Definieren und Beschreiben der Sicherheitsanforderungen aus Organisationssicht, zum anderen die einheitliche
D
Umsetzung in der IT-Umgebung. Technologisches Herzstück ist dabei die zentrale Rechteverwaltung und Sicherheitskontrolle. In Internet-Banking-Applikationen, bei Shop-Anwendungen oder InformationsBrokern ist es inzwischen gang und gäbe, dass ein Kunde auf eine Web-basierte Applikation zugreift. Diese kommuniziert dann selbst mit dem Backend und baut dynamisch unter Einbeziehung von Mainframe-Daten und Applikationen mit dem Kunden einen Dialog auf. Aber auch außerhalb der digitalen Welt erfahren Unternehmen, wie schwierig es ist, die Unverletzbarkeit der gesamten IT sicherzustellen. Auf Desktop-Clients befinden sich lokale Anwender-Applikationen, die sich mit Netzwerk-File-Servern und BackendServern verbinden, auf denen wichtige Business-Applikationen laufen. Unternehmensarchitekturen zeichnen sich zudem
Ein End-to-End Security Framework deckt praktisch alle Anforderungen an die Sicherheit in Unternehmensnetzen ab
108
LANline Spezial Administration I/2001
durch eine extreme Heterogenität aus: Auf Servern laufen unterschiedliche Betriebssysteme, es existieren alle denkbaren Lösungen und Anwendungen. Kommt dann noch die Distribution von Business-Logik und Daten dazu, wird eine homogene und konsistente Zugangs- und Sicherheitskontrolle auf Transaktionen und Systemen zu einer komplexen Aufgabe. Die Komplexität der Systeme, kürzere Lebenszyklen der Anwendungen und schnelle Verfügbarkeit von Informationen komplizieren die Umsetzung der Sicherheitsanforderungen in den Unternehmen. Immer schneller müssen Anwendungen oder Updates entwickelt und an die aktuellen Marktanforderungen in puncto Design und Serviceleistung angepasst werden. Diese Eigenanwendungen lassen sich zwar in offene und flexible Client-/Server-Umgebungen einbinden, doch mit enormen Sicherheitsrisiken und verhältnismäßig hohem Aufwand. Denn für jede “selbstgestrickte” oder weiterentwickelte Lösung sind separat Sicherheitsfunktionen zu entwickeln, die im Idealfall der Unternehmens-Policy entsprechen. Dies bedeutet zusätzlichen Aufwand durch Abstimmung mit dem Gesamtsystem sowie Anpassung und Neuentwicklung im Sicherheitsumfeld. Geschieht dies für jede Anwendung individuell, bringt das für die Programmierer großen Zeitaufwand mit sich und erfordert darüber hinaus ein fundiertes SecurityKnow-how. Und da viele Köche den Brei verderben, sind Fehlerquellen und Sicherheitslücken praktisch vorprogrammiert. Ein einheitliches Sicherheitsverständnis lässt sich so kaum realisieren und die Entwicklungs- und Administrationsfolgekosten steigen enorm. Abhilfe schafft in so einem Fall ein Sicherheits-Framework, das alle zentralen Sicherheitsfunktionen in einer Security-Plattform auslagert und einheitlich steuert. Die E-Business-Anwendungen wie auch interne Applikationen sprechen dabei Standardschnittstellen an. Über diese Schnittstellen werden alle Anwendungen mit den Sicherheitspaketen der Plattform gekoppelt und auf ein einheitlich hohes Sicherheitsniveau gehoben. Konkret bedeutet das, dass die Sicherheitsmodule und -komponenten als Basispakete im Se-
www.lanline.de
SICHERHEIT
curity-Framework allen Anwendungen im System zur Verfügung stehen. Die Authentifizierung aller Anwender erfolgt dabei über die Lightweight-Directory-Access-Protocol-(LDAP-)Schnittstelle: Das Protokoll steuert den LDAPServer an, der als Verzeichnisdienst für die Administration der Benutzer und ihrer Rechte fungiert. Je nach Funktionalität bietet er dann den geeigneten Zugriffsschutz und veranlasst Identifizierungs- und Authentifizierungsabfragen. Alternativ steht ein Agent zur Verfügung, der direkt mit der Datenstruktur des Zielsystems korrespondiert. Um Sicherheit als “zentralen Service” zu begreifen und eine unternehmensweite Security-Policy durchzusetzen, müssen alle IT-Komponenten im Gesamtsystem zusammenspielen und in ein so genanntes Consolidated-Security-Management überführt werden. Dabei vereinen die Verantwortlichen unterschiedliche Welten wie
www.lanline.de
Windows NT, AIX, Solaris, HP-UX, Java oder Mainframes in einer einzigen Sicherheitsplattform und bilden bestehende Sicherheitssysteme in einer Administrationsschicht ab, harmonisieren und synchronisieren sie. Änderungen in der Sicherheits-Policy oder in den Zugriffsrechten müssen so nicht mehr in den einzelnen Anwendungen und Systemen durchgeführt werden, sondern nur noch in den übergeordneten Security-Administrationskomponenten. Das Consolidated Security Management bündelt und steuert damit die zentralen Sicherheitsaspekte im Unternehmen für alle integrierten Systeme und bildet User-Verwaltung, Logging und Auditing, Anwendungssicherheit, Zugangs- und Zugriffssteuerung sowie Authentifizierung zentral ab. Unternehmen sind damit flexibler, Client-/Server- oder Web-basierte Applikationen abzusichern oder an die individuellen Anforderungen anzupassen.
SINGLE SIGN-ON Die immer noch gän-
gigste Überprüfung des End-Users – also der Mitarbeiter, Kunden oder BusinessPartner – erfolgt durch die Nutzeridentifizierung und ein Passwort. Gerade Anwender in großen IT-Umgebungen müssen sich heute mehrmals bei unterschiedlichen Systemen und Applikationen mit dutzenden von Identifikationen und Passwörtern anmelden. Aus Sicht des Sicherheitsverantwortlichen eine fatale Situation: IDPasswörter werden häufig aufgeschrieben und so für jeden zugänglich gemacht – das geschieht immer wieder, allen Sicherheitsmechanismen zum Trotz. Abhilfe schafft da eine Single-Sign-on-Lösung, mit der Anwender einen individuellen und legitimen Zugang zu multiplen Systemen und Plattformen sowie zu Unternehmensressourcen erhalten. Jeder User weist sich damit gegenüber dem Security-Server aus. Die Prüfung erfolgt über das einmalige Login mit User-ID und Passwort bezie-
LANline Spezial Administration I/2001
109
SICHERHEIT
hungsweise einer Smartcard. Der Log-in löst einen Authentifizierungsprozess aus, der zunächst eine Anfrage an den SecurityServer schickt. Hier werden User-Identität und Rechte geprüft. Sind die erforderlichen Rechte vorhanden, gibt er ein “Ticket” an den Client zurück. Nach dem erfolgreichen Authentifizierungsprozess erhält der Benutzer so Zugriff auf die autorisierten Anwendungs-Server und braucht sich für die Anwendungen nicht erneut anzumelden. Neben dem User wird auch der Server vom Ticket-System authentifiziert. Deshalb kann der Client dem jeweiligen Server “vertrauen”, mit dem er verbunden ist. AUTOMATISIERTE RECHTEVERWALTUNG DURCH ROLLENBESCHREIBUNG
Bevor ein Anwender überhaupt auf geschützte Ressourcen zugreifen darf, muss der Administrator dem Anwender die jeweiligen Privilegien oder Rechte zuweisen. Erfolgt die Zugriffskontrolle jedoch rollenbasiert, also nicht personenbezogen, hat das für den Security-Verantwortlichen viele Vorteile: Er muss den Mitarbeitern mit der gleichen Funktion, auf derselben Hierarchieebene und mit den gleichen Aufgaben statt vieler Einzelberechtigungen nur eine Rolle zuweisen – zum Beispiel “Privatkunden-Kreditbearbeiter”. Den Rollen liegen konkret definierte Kriterien zu Grunde, die den Zugriff mit einem Rollen-Log-in auf dahinter liegende Daten erlauben oder verweigern. Benutzerprofile und Zugriffsrechte werden anhand von Jobdescriptions definiert und in Rollen zusammengefasst. Ein großer Nutzen dieses funktionsbezogenen Sicherheitssystems ist auch seine Aktualität und Änderungsfreundlichkeit: Übernimmt zum Beispiel ein Mitarbeiter neue Aufgaben, so erhält er die erforderlichen Rechte weitgehend automatisch. AUDITING, REPORTING UND ALERTING
Ebenso wichtig wie eine automatisierte Rechteverwaltung ist in einem SicherheitsFramework ein umfassendes Protokollierund Kontrollsystem für Auditing, Reporting und Alerting. Es muss in der Lage sein, in großen verteilten Umgebungen zu
110
arbeiten und sicherheitsrelevante Ereignisse von jedem einzelnen Desktop und Server zu sammeln sowie kritische Ereignisse in Reports zu übertragen und zu analysieren. Darüber hinaus muss das System permanent Log-Files verschiedener Betriebssysteme auswerten und sie mit den eigenen Systemmeldungen zusammenführen. So genannte “Dämonprozesse” sind dabei im Gesamtsystem verteilt und halten sämtliche System- und Server-Aktivitäten unter Kontrolle. So lassen sich Betriebsstörungen, Systemmeldungen, Überlastungen oder Zugriffs- und Zugangsverletzungen sammeln, filtern und vor dem Hintergrund eines vom Administrator festgelegten Regelwerks auswerten. Die Ergebnisse gehen dann direkt an die gewünschten Konsolen und liefern so online den aktuellen Stand der Sicherheitslage. Um einen sicheren und reibungslosen Betrieb zu garantieren, müssen bei ernsten Vorfällen – wie zum Beispiel bei wiederholten, unberechtigten Zugriffsversuchen auf unternehmenskritische Daten – automatisierte Routinen zum Tragen kommen: So erhalten beispielsweise Sicherheitsadministratoren automatische Warnmeldungen per E-Mail beziehungsweise Telefon, oder die betroffenen Server werden heruntergefahren und Eingänge gesperrt. DIRECTORY Wichtigste Voraussetzung
für ein Security-Framework ist bei heterogenen Umgebungen ein Verzeichnisdienst – die Security Information Base, die alle sicherheitsrelevanten Informationen wie Benutzerprofile, Zugangsrechte und Zugriffsrechte auf Ressourcen speichert. Auf diese Weise erhält die Security-Administration eine einheitliche und logische Gesamtsicht auf das Unternehmen. Ein integrierter Directory-Service nutzt und bündelt alle vorhandenen Sicherheitssysteme aus Eigenentwicklungen oder Standard-Software und bringt sie in ein Meta-Security-System ein. Darin sind alle Personen, Rollen, und Dienste als Objekte nach dem X-500-Standard abgelegt. Der Directory Service enthält zwei hierarchisch strukturierte Objektbäume: den fachlichen und den DV-technischen.
LANline Spezial Administration I/2001
Objekte des fachlichen “Organisationsbaumes” können auf Objekte des DVtechnischen “Ressourcenbaumes” verweisen. Konkret sieht das so aus: Der Organisationsbaum beschreibt die betriebswirtschaftliche Organisation, in ihm sind die Abhängigkeiten aller Objekte – beispielsweise Filialen, Abteilungen, Mitarbeiter und deren Aufgaben – aus organisatorischer Sicht festgelegt. Die DVtechnische Struktur enthält Informationen über die Netztopologie mit Rechnern, Peripherie, Anwendungen und Diensten; hier sind die Netzadressen aller adressierbaren Objekte wie Host, Server oder Druckdienste sowie ihre Eigenschaften abgelegt. Möchte nun ein Anwender einen Dienst ansprechen, adressiert er nur ein Objekt im Organisationsbaum und dieser verweist dann auf den gewünschten Dienst im Ressourcenbaum. Dabei lassen sich die Organisationsstruktur frei modellieren und jeder Organisationsknoten mit Rollen verknüpfen. Zudem ist eine Zuordnung der verschiedenen Dienste zu den Organisationsknoten möglich. Als “gekapselte Objekte” können diese Rollen verteilt in der Organisationseinheit hierarchisch übergeordneten “vererbt” werden. Dieses Modell erlaubt ein flexibles Einrichten und Ändern der gesamten, unternehmensweiten Security: Es vereinfacht zu erkennen, wer was darf und für wen was gesperrt wurde. Autorisierung und Authentifizierung sind sowohl von Administrations- als auch von User-Seite zu handhaben. Ein Security-Framework stellt eine wichtige Basis für ein Unternehmen dar, das ein E-Business-Modell umsetzen und systemweite Applikationssicherheit einrichten möchte. Nur so werden komplexe IT-Systeme mit einem einheitlichen Sicherheitsschirm geschützt und dadurch beherrschbar und sicher – eine Herausforderung, der sich heute alle Unternehmen stellen müssen. (Dr. Peter Artmann/gg) Dr. Peter Artmann ist Leiter Produktmarketing bei der Norcom Information Technology AG
www.lanline.de
SICHERHEIT
USV FÜR DEN VERBUNDSCHUTZ
Server-Farmen schützen Für die unterbrechungsfreie Stromversorgung gilt Ähnliches wie bei Versicherungen: Am besten, man braucht sie nicht. Trotzdem muss sich jeder IT-Verantwortliche über den Schutz seiner Daten und Hardware Gedanken machen. Dabei sollte er jedoch beachten, dass Sicherungskonzept nicht gleich Sicherungskonzept ist. Es macht einen Unterschied, ob lediglich ein einzelner Rechner abgesichert sein muss, oder ob hochkritische Systeme wie beispielsweise Netzwerke oder ganze Fertigungsanlagen an eine USV angebunden werden. Hier kommt der Verbundsschutz ins Spiel.
n der Realität sichern die Systemadministratoren heute meist einzelne PCs, Server, Router oder Hubs jeweils mit einer kleinen USV ab. Dies erscheint auf den ersten Blick kostengünstiger. Doch der “Rattenschwanz” an Mehraufwand, den viele kleine USVs nach sich ziehen, ist lang. Denn ein solches dezentrales Konzept verschlingt, insbesondere bei der Wartung der verschiedenen Geräte, viel Zeit. Das betrifft vor allem den Umgang mit Batterien. Bei größeren Installationen entstehen darüber hinaus mehr Betriebskosten, da der Wirkungsgrad der – meist in Offline-Technologie arbeitenden – Geräte relativ gering ist. Die zeitgemäße Absicherung eines ITSystems sieht also anders aus, die Lösung heißt Verbundsschutz. Beim Verbundschutz werden, im Gegensatz zur dezentralen Lösung, ganze Gerätegruppen mit einer technisch hochwertigen Line-Interactive- oder OnlineDouble-Conversion-USV abgesichert. Diese schützt bei Server-Farmen alle installierten Komponenten. Die Verbundsicherung solcher Knoten ist zwar komplizierter aufzusetzen als Stand-alone-Lösungen. Aber der Schutz des Geräte-Verbunds bietet viele Vorteile: Das Spannungsschutzsystem lässt sich leichter konfigurieren, und neue Systeme können schnell zur
I
112
Last hinzugefügt werden. Außerdem ist es leichter möglich, eine einzelne Batterie upzugraden, zu warten und zu kontrollieren als viele verschiedene, die darüber hinaus noch im ganzen Gebäude verstreut sind. Nicht zu vergessen, der Preis pro kVASchutz liegt bei der Verbundschutzlösung wesentlich niedriger als bei der dezentralen Variante. Bei der Auswahl der passenden USVLösung spielt die Batteriezeit eine zentrale Rolle. Die USV muss über eine ausreichend lange Batteriesicherungszeit verfügen, um bei einem Netzausfall die gesamte Server-Farm zu schützen. Man benötigt bei kleineren Systemen im Durchschnitt zehn bis 30 Minuten, um alle involvierten Geräte geregelt herunterfahren zu können. Allerdings sind auch Sicherungszeiten bis zu mehreren Stunden bei dementsprechend großen Anlagen möglich. Grundsätzlich gilt: Die Sicherungszeit der USV muss nachträglich zu verlängern sein, da immer wieder neue Software und Geräte die Größe der Server-Farm beeinflussen und damit die Zeit, die man zum Herunterfahren benötigt. Die Batterie ist die zentrale Komponente jeder USV und der Schlüssel zur USVZuverlässigkeit. Sie muss nicht nur Spannungsschwankungen ausgleichen und
LANline Spezial Administration I/2001
Stromausfälle überbrücken, sondern auch genügend Energie für den geregelten Shutdown der angeschlossenen Systeme bereitstellen. Um sicherzustellen, dass die Batterie bei einem Spannungsproblem die Last unterstützen kann, muss die USV den Batteriezustand in regelmäßigen Zeitabständen automatisch prüfen. Batterien kommen mit einer durchschnittlichen Lebensdauer von fünf bis zehn Jahren aus. Obwohl die Hersteller ihre Wartungsfreiheit garantieren, spielen Korrosion und Hitzetod bei zu hoher Umgebungstemperatur doch eine Rolle und können die Lebenszeit der Batterie deutlich verringern. Um sowohl die Ladeströme richtig zu dosieren als auch die Batteriequalität ständig zu beurteilen, empfiehlt sich eine regelmäßige Kontrolle. Es gibt Geräte wie zum Beispiel FileServer und Festplatten, die äußerst empfindlich auf die alltäglichen Spannungsschwankungen im Stromnetz reagieren. Deshalb ist es wichtig, eine netzgemäße,
Die Best 5000 eignet sich als dreiphasiges Online-Double-System für das Absichern von Zentral-Servern, Netzwerkgruppen oder auch Telekommunikationssystemen
www.lanline.de
SICHERHEIT
sinusförmige Spannung am Ausgang zu erzeugen sowie Überspannungen und andere Stromstörungen zu filtern. Diese von der USV zur Verfügung gestellten Messwerte und Statusmeldungen werden im Idealfall mit Hilfe der passenden Software dem Anwender auf einer grafischen Oberfläche zugänglich gemacht. Eine leistungsstarke Software stellt demnach einen wichtigen und keineswegs zu unterschätzenden Aspekt dar. Denn bei einem Spannungsausfall ist es erforderlich, dass die Software das Netzwerk in einer geregelten Art und Weise schließt. Darüber hinaus übernimmt die Software auch
naus die Möglichkeit besitzen, besonders kritische Komponenten im Netzwerk auswählen, die dann zuletzt heruntergefahren werden. Wichtig dabei auch: Die Software sollte eine Funktion besitzen, die technische Mitarbeiter bei einer Störung über E-Mail, Pager, Mobiltelefon oder Fax ortsunabhängig informiert. Je nach Anforderung an die USV kommen verschiedene Technologien zum Einsatz. Offline-Systeme, auch StandbyUSVs genannt, sind meist einphasig und für den Schutz eines einzelnen PCs oder einer einzelnen Workstation konzipiert. Sie bieten normalerweise den günstigsten Preis,
Eine leistungsfähige Management-Software bietet eine Vielzahl an Verwaltungsfunktionen für Administratoren und läuft unter den meisten gängigen Betriebssystemen
die Überwachung der USV und die Kommunikation mit dem Anwender. Dabei kann es sich um eine lokale Kontrolle über Spannungsüberwachungs-/ShutdownSoftware oder eine Fernverbindung zum USV-Anbieter handeln. Die ShutdownSoftware muss auf jeden Fall ein sequentielles Herunterfahren des Netzwerks ermöglichen. Das bedeutet, dass Workstations, Kommunikationseinheiten und Datei-Server in der korrekten Reihenfolge heruntergefahren werden – gegenüber einem traditionellen Nur-Server-Shutdown. Denn beim Shutdown komplex strukturierter Netze kommt dem zeitlichen Ablauf der Einzelschritte hohe Bedeutung zu. Der Netzwerkadministrator muss darüber hi-
114
enthalten aber nur eine Absicherung für einen vollständigen Stromausfall und verfügen über keine bedeutenden Funktionen zur Spannungsaufbereitung. Sie werden als “Offline”-Systeme bezeichnet, da die USV-Schaltung nur bei einem Spannungsausfall aktiv wird. Unterschreitet die Spannung einen bestimmten Wert, wechseln diese Einheiten über einen Schalter zur Batteriespannung. Dabei kommt es zu Verzögerungen von zwei bis drei Millisekunden, die die meisten Computer jedoch überbrücken können. Ein Wechselrichter in der USV ändert die Gleichspannung der Batterien in Wechselspannung, die die Stromversorgung des Computers dann nutzen kann.
LANline Spezial Administration I/2001
Bei den Line-Interactive-USVs handelt es sich um eine hybride Technologie, die einen besseren Schutz als die Offline-Systeme bietet aber kostengünstiger ist als die volle Online-Technologie. Sie bietet neben dem Schutz bei Stromausfall auch eine Spannungsaufbereitung, die Spitzen und Unebenheiten in der Stromversorgung glättet. Sinkt beispielsweise die Spannung unter einen festgelegten Pegel, führt die USV sie wieder zum Normalwert zurück. Bei diesem Konzept wird der Wechselrichter in der Zeit, in der die Eingangswechselspannung im Normalzustand die Batterie auflädt, in Gegenrichtung betrieben. Bei einem Stromausfall tritt ein Transferschalter in Aktion und der Batteriestrom fließt zum USV-Ausgang, um das System zu versorgen. Die Umschaltzeit auf Batteriebetrieb beläuft sich bei Netzausfällen auf unter acht Millisekunden. Die Line-Interaktive-USV wird vor allem in Bereichen eingesetzt, bei denen die Spannungsaufbereitung für den Betrieb des Systems keine zentrale Bedeutung hat. USVs mit Online/Double-ConversionTechnologie sind am besten für Bereiche geeignet, bei denen geschäftskritische Anwendungen geschützt werden müssen. Diese, gegenüber den anderen beiden Technologien etwas teureren Systeme, stellen sicher, dass es bei der Stromversorgung nie zu einer Unterbrechung kommt. Dazu verwenden diese Anlagen die so genannte Double-Conversion-Methode, bei der die Netzspannung kontinuierlich in Gleichspannung umgewandelt wird. Die Eingangsspannung läuft über die Batterie durch einen Wechselrichter, um sie in Wechselspannung für die Systemlast umzuwandeln. Im Idealfall kommt die Elektrizität als Sinuskurve. Die Wechselspannung direkt vom Netz ist jedoch unsauber und weist Unregelmäßigkeiten auf. Ein Online-System säubert und filtert die Spannung, sodass das System einen reinen Sinuswellenstrom erhält. Bei Online-Systemen erfolgt die Umschaltung auf Batteriebetrieb praktisch verzögerungsfrei und die Auswirkungen von Spannungsspitzen und Überspannungen bei der Stromversorgung lassen sich vollständig beseitigen.
www.lanline.de
SICHERHEIT
USVs, die zur Absicherung einer ServerFarm zum Einsatz kommen, sind im Falle eines Stromausfalls auf spezielle Shutdown-Software angewiesen, die das geregelte Herunterfahren des Systems ermöglicht. Administratoren großer Netzwerke möchten jedoch über den Shutdown hinaus ständig über den Zustand der Spannung informiert werden. Eine spezielle Monitoring-Software sorgt für die komplette Fernsteuerung und Überwachung der Netzspannungsversorgung. Damit lassen sich Spannungsspitzen, Kurzschlüsse im öffentlichen Netz und andere Abweichungen feststellen. Im Idealfall kommuniziert das System die Spannungsvorkommen in Echtzeit und speichert alle Eingangsspannungsveränderungen sowie Statuszustände der USV mit Datum und Uhrzeit ab. Die Daten können dann jederzeit abgefragt werden. Kommt es zu einem Stromausfall, so überwacht die Software das kontrollierte Herunterfahren der Bestandteile des Netzwerks, einschließlich der Auswahl bestimmter Lastsegmente, die länger weiterlaufen müssen. Die Anwender erhalten Meldungen, die sie automatisch darüber informieren, dass sie X Minuten Zeit haben, ihre Anwendungen zu schließen und die Daten zu sichern. Die Kommunikation zu den einzelnen Rechnern kann dabei über serielle Kabel oder über das vorhandene Netzwerk erfolgen. Bei der Netzwerklösung kommt entweder der vorhandene Server oder der SNMP/HTTP-Adapter als Verbindung zum Netzwerk zum
www.lanline.de
Einsatz. Der Server beziehungsweise Adapter stellt im Netzwerk dann alle Daten zur Verfügung. Wichtig ist auch die Überwachung des USV-Systems. Die Software muss dies genauso übernehmen wie auch die Überwachung des Status der Batterien und der Bereitschaft des Systems, bei einer Spannungsunterbrechung die Versorgung
analysiert werden. Dies geschieht über den seriellen Kommunikationsanschluss, via SNMP oder über das Internet. Das bedeutet, dass beispielsweise ein Netzwerkadministrator die USVs im Netzwerk weltweit steuern und überwachen kann, egal wo er sich befindet. Der entscheidende Punkt ist, dass die USV unabhängig von der verwen-
Was braucht eine netzwerkfähige USV? – Eine möglichst geringe Umschaltzeit beim Übergang vom Netz- zum Batteriebetrieb. – Eine ausreichende Überbrückungszeit, die bei Stromausfall einen Shutdown des Servers ermöglicht. – Eine netzgemäße, sinusförmige Spannung am Ausgang. – Zuverlässige Filterfunktionen für Überspannungen und andere Stromstörungen. – Einen integrierten SNMP-Adapter zur Einbindung der USV in das Netzwerkmanagement. – Eine Shutdown-Software, die das geregelte Herunterfahren des Systems garantiert. – Eine “intelligente” Management- und Monitoring-Software für die Verwaltung im Netz.
zu übernehmen. Daneben muss die Möglichkeit zur Aufzeichnung eines Ereignisprotokolls bestehen, sodass sich bestimmte Ablaufmuster bei Spannungsproblemen festhalten lassen. Zudem sollte das System dazu in der Lage sein, die für das Netzwerk verantwortlichen Personen automatisch darauf aufmerksam zu machen, dass ein Spannungsproblem existiert. Besonders leistungsfähige Shutdown- und Management-Software ermöglicht auch eine Fernüberwachung der USV von jedem Punkt im Netzwerk aus. Damit kann die Performance der USV
deten Technologie als integrierter Bestandteil des Netzwerks betrachtet wird. Es ist allerdings immer zu bedenken, dass unzureichend abgesicherte Netzwerke – etwa durch eine zu klein dimensionierte USV – bei einem Stromausfall in ihren gesamten Funktionsabläufen blockiert werden und Daten verloren gehen können, die sich später nicht wieder herstellen lassen. (Karin Hernig/gg) Karin Hernig ist Marketingleiterin Invensys Power Systems – Secure Power Group.
LANline Spezial Administration I/2001
115
SICHERHEIT
VIRTUELLE PRIVATE NETZE UND PKI
Methoden zum sicheren Datentransfer Authentizität, Vertraulichkeit und Integrität sind bei der Datenkommunikation über das Internet nicht gewährleistet. Das Integrieren dieser drei Faktoren in eine VPN-Lösung (Virtual Private Network) ist eine der wichtigsten Aufgaben bei der Systemimplementation.
schon seit einiger Zeit. Bereits in den 60er-70er-Jahren kamen die ersten proprietären Technologien auf den Markt, die dann in den 80ern zu X.25 und Public Data Networks (PDN) weiterentwickelt wurden. Der Bedarf an Sicherheit besteht also seit jeher. Von den zahlreichen Protokollen wie PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunneling Protocol), IPSec oder L2Sec stellt dieser Beitrag die beiden letztgenannten einander gegenüber. IPSEC ALS STANDARD Viele sehen IPSec
um Sicherstellen der Authentizität kommen in der Regel Methoden wie Username/Password, Tokens, Biometrie oder Zertifikate zum Einsatz. Die Vertraulichkeit wird durch starke Verschlüsselung erreicht. Die Integrität lässt sich ebenfalls durch starke Verschlüsselung realisieren. Bei der Verschlüsselung unterscheidet man zwischen zwei Methoden. Das ist
Z
tet, das aus einem privaten nur für den jeweiligen Nutzer zugänglichen und einem öffentlichen Schlüssel besteht, der anderen Teilnehmern bekannt ist. Hier stehen sich die verbesserte Sicherheit und der erhöhte Zeitaufwand gegenüber. In der Praxis implementieren die Verantwortlichen meist eine Kombination aus beiden Methoden, dabei wird ein so genannter Session Key zur symmetrischen Verschlüs-
Skalierbare VPN-Lösung auf Software-Basis
einmal die symmetrische Verschlüsselung, das heißt, sowohl für die Ver- als auch die Entschlüsselung kommt der gleiche Schlüssel zum Einsatz. Das bringt hohe Geschwindigkeit bei relativ geringer Sicherheit. Auf der anderen Seite steht die asymmetrische Verschlüsselung, die mit einem Schlüsselpaar arbei-
116
selung der Daten gebildet; der Austausch des Schlüssels erfolgt dann über asymmetrische Verschlüsselungsverfahren. Im Rahmen Virtueller Privater Netze (VPNs) setzen die Unternehmen vielerorts “Tunnels” ein, um öffentliche Netze für den sicheren Datentransfer zu verwenden. Dieses Konzept besteht
LANline Spezial Administration I/2001
– kurz für “IP Security” – als den De-facto Standard für sichere VPNs an. Hierbei muss man aber im Hinterkopf behalten, dass es sich dabei eher um einen Standard in der Entwicklung als um eine augereifte Lösung handelt. IP-Pakete an sich haben keine speziellen Sicherheitsmechanismen, es ist also relativ leicht, die IPAdresse zu manipulieren, den Inhalt der Pakete zu modifizieren oder auch nur den Inhalt solcher Pakete anzusehen. IPSec bietet die Möglichkeit, IP-Datagramme zu schützen. Dadurch wird nicht nur das IP-Protokoll (inklusive “Header”) geschützt, sondern auch alle Informationen der Protokolle höherer Schichten des OSI-Referenzmodells wie etwa UDP und TCP. Um die Pakete per IPSec zu sichern, existieren zwei Verfahren: Encapsulating Security Payload (ESP) und Authentication Header (AH). Während Letzteres nur zum Absichern von Authentizität und Integrität der Datenpakete genutzt werden kann, lässt sich mit Hilfe des ESP-Headers auch die Vertraulichkeit schützen. Und genau das ist ja ein wichtiger Punkt bei der Verwendung von VPNs. Es fehlen bei IPSec aber (noch) Eigenschaften wie Nutzerauthentifizierung, Multiprotokollunterstützung und die Zuweisung einer dynamischen IP-Adresse. Anders sieht es in den letzten Punkten beim PPP EAP TLS Authentication Protocol beziehungsweise L2Sec aus. Transport Level Security (TLS), basierend auf SSL 3.0 von Netscape, setzt am Layer 2 an, was unter anderem der Schlüsselaustausch zwischen zwei Endpunkten,
www.lanline.de
SICHERHEIT
gegenseitige Authentifizierung und Ähnliches ermöglicht. EAP TLS wurde der IETF (Internet Engineering Task Force) als Vorschlag zur Standardisierung einer starken Authentifizierungsmethode unterbreitet, und zwar sowohl Client- als auch Server-seitig. Diese Methode basiert auf Zertifikaten im Rahmen einer PKI (Public Key Infrastructure). Das ermöglicht eine wesentlich höhere Sicherheit, da schon vor Aufbau des sicheren Tunnels eine Kontrolle in Form der Authentifizierung erfolgt. Damit hat L2Sec Vorteile gegenüber IPSec, da letzteres Protokoll aber als Quasistandard gilt, der von den meisten Organisationen verwendet wird, führt kaum ein Weg daran vorbei. Die Verantwortlichen müssen sich aber der Mängel bewusst sein und diese bei der Weiterentwicklung beachten. DIE VERBINDUNG VPN UND PKI Eine
Basiskomponente sowohl bei IPSec als auch bei EAP-TLS ist der Einsatz von Zertifikaten bei der Authentifizierung und dem Verschlüsselungsprozess. PKI gilt als Standard, um sicheren Datentransfer im Internet durchzuführen. Jeder Service oder jede Applikation, die hierin involviert ist, muss auch PKI-fähig sein. Bei einer PKI gibt es drei Komponenten: – Die Certificate Authority (CA) stellt die Zertifikate aus. Zu den wichtigsten gehören Thawte, Globalsign, Verisign, TC Trust oder auch DST. Solche Einrichtungen speichern die Zertifikate und garantieren ihre Gültigkeit. Dieser Prozess basiert auf Vertrauen.
www.lanline.de
– In der Registration Authority (RA) erfolgen die Nutzerregistrierung sowie die Annahme der Anträge. Beispiele dafür sind die T-Punkte der Deutschen Telekom oder die Filialen der Deutschen Post AG. – Im Repository werden schließlich die öffentlichen Schlüssel, Zertifikate und Certificate Revocation Lists (CRLs) gespeichert. Das Repository basiert gewöhnlich auf einem LDAP-Server, der benutzerfreundlicher und skalierbarer ist als ein so genanntes “native X.500 directory”. Auf dieser Infrastruktur setzen dann die Applikationen wie VPN oder Client-basierte Zertifikatsträger (Smartcards, Tokens oder Biometrie) auf. Bei einer geringen Anzahl von Passwörtern und Schlüsselpaaren ist es möglich, ohne PKI auszukommen. Sobald das System aber die “kritische Masse” überschreitet, kann darauf nicht mehr verzichtet werden. ERLÄUTERUNG ANHAND EINES BEISPIELS Viele Anbieter von VPN-Lösun-
gen beschränken die Auswahl der Zertifikatsträger, Plattformen und so weiter auf einige wenige. Das muss allerdings nicht so sein. Das Bild auf Seite 116 zeigt den allgemeinen Aufbau eines VPNs mit Client- und Server-Seite. Eine solche Lösung unterstützt sämtliche Zertifikatsträger für die Authentifizierung auf der Client-Seite, so- dass der Ansatz flexibel und skalierbar ist. Auch bei der Wahl des Übertragungsmediums für die Kommunikation wie beispielsweise ISDN, Modem, GSM oder LAN bleibt es dem Anwender freigestellt, was er verwenden möchte. Die Lösung wie sie von Celo angewendet wird, ist komplett Software-basiert. Des Weiteren besteht auch die Möglichkeit die CRL auf einem LDAPServer oder auf einem OCSP-Server zu hinterlegen, um so dem Kunden die Entscheidung zu überlassen. (Marc Hanne/gg)
Weitere Informationen: www.celocom.com
LANline Spezial Administration I/2001
117
PROTOKOLLANALYSE
DER RICHTIGE MESSPUNKT
Messen mit Protokolldecodern Eine Herausforderung stellt die Transparenz lokaler Netze im Fall der Fehlersuche dar. Wird diese mit herkömmlichen Protokollanalysatoren, Managementsystemen oder proprietären Tools durchgeführt, so bleibt die Frage nach der Effektivität. Dabei gibt es verschiedene Ansatzpunkte, wie man die Messergebnisse protokollieren kann. Wichtig ist es vor allem, den Fehlerfall in allen Details aufzuzeichnen.
nbedingt notwendig ist eine saubere ein Router aufzeichnet: Jeden Rahmen oder und korrekte Datenaufzeichnung hin- nur Rahmen, die geroutet werden müssen?) sichtlich der Capture-Raten. Können die Dies dient zur Vorentscheidung, an welMessgeräte dies bei den hohen Bandbreiten chem Port zumindest Ebene-2-Fehler anüberhaupt gewährleisten? Ein wichtiger fallen. Hierbei kann das Problem auftreten, Punkt ist dabei das Aufsetzen der Messung. dass reine SNMP-Abfragen nicht hundertAn welchen Stellen des Netzwerks können prozentig übertragen werden müssen, da welche Fehler überhaupt erkannt werden: diese über UDP abgehandelt und bei VerIst der Ort des Problems bekannt? Wenn an lust nicht wiederholt werden. Auch bei hodiesem Messpunkt mit diesem Messansatz hen Lasten innerhalb einer Komponente der Fehler aufgezeichnet werden kann, so werden SNMP-Anfragen nicht beantworist man nun “nur noch” von der Fähigkeit tet. Dies ist abhängig von der jeweiligen des Messgeräts abhängig. Doch welches ist Komponente selbst. Bei diesem Vorgehen der richtige Messpunkt für das jeweilige können aber gleichzeitige Fehler (Ebene 2) Problem? Hierbei gilt es, mehrere Ansätze zu unterscheiden. Im ersten Fall wird ein Messgerät verwendet, das über SNMPAbfragen alle Ports einer Komponente darstellen kann. Dabei muss man nicht direkt mit der Komponente verbunden sein. Es genügt eine logische Verbindung zu dieser, die Adresse und der CommunityString für die ReadFunktion. (Bei Abfragen von Routern bleibt die Frage, was Bild 1. SNMP-Abfragen von entfernten Komponenten
U
118
LANline Spezial Administration I/2001
an mehreren Ports erkannt werden. Die Vorentscheidung durch den großen Überblick der Multiport-Statistiken kann die Zeit zum Auffinden des Fehler-Ports, besonders bei sporadischen Fehlern, verkürzen. Hierbei gibt es keine Möglichkeit, die einzelnen Rahmen aufzuzeichnen. Die zweite Alternative versucht, die einzelnen Rahmen über RMON-Agenten in den jeweiligen Komponenten zu speichern und in ein Format zu konvertieren, um diese Daten anschließend mit einem Expertensystem analysieren zu können. Dabei tritt die Problematik mit der Capture-Rate der RMON-Agenten auf. Auch heutzutage haben die Netzwerkkomponenten die Aufgabe, fehlerfreie Rahmen zu übertragen und wenn möglich, defekte Rahmen zu filtern. Es ist in erster Linie nicht ihre Aufgabe, die Fehler zu protokollieren oder aufzuzeichnen. Dabei tritt das Problem auf, bei hohen Lasten nicht 100 Prozent der Rahmen aufzeichnen zu können. Ein weiteres Manko stellt der interne Speicher dar. Im dritten Fall wird ein Monitor-Port verwendet. Voraussetzung ist, dass derjenige Port bekannt ist, der die Fehler erzeugt. Ansonsten stellt sich die Frage, wie lange an welchem Port analysiert werden soll bis der Fehler auftritt. Hier gibt es gleich drei Probleme. Zum einen werden nicht alle Fehler an einem Analyse-Port ausgesendet (Konfiguration: Store and forward beim Switch), zum anderen braucht man an seinem Analyse-Port genügend Bandbreite (zumindest die gleiche wie an dem Monitor-Port). Die größte Schwierigkeit stellt aber die Analyse eines Full-Duplex-Ports dar. Das gleichzeitige Übermitteln von Rahmen in jeglicher Richtung verhindert eine Analyse am Monitor-Port hinsichtlich des zeitlichen Auftretens der Rahmen. Gravierender ist aber der Verlust von Rahmen. Beim Analysieren an einem Mirror-Port steht dem Messgerät nur eine RxLeitung zur Verfügung. Beim MonitorPort werden aber im Full-Duplex-Betrieb beide Leitungen gleichzeitig verwendet. Die nächste Möglichkeit besteht darin, einen Mirror-Port zu verwenden und immer denjenigen Port zu spiegeln, der gerade Fehler der Ebene 2 erzeugt. Dies kann über SNMP-Abfragen der Komponenten,
www.lanline.de
PROTOKOLLANALYSE
Bild 2. RMON-Abfragen und Decodierung von entfernten Komponenten
geschehen. Der Vorteil liegt darin, dass der Administrator nicht mehr genau den Ort (Port) des Fehlers kennen muss, sondern nur noch die Komponente an der die Fehler auftreten. Ein Problem stellen hier sporadische Fehler dar. Das Umschalten zwischen den Ports, an denen Fehler festgestellt werden, benötigt Zeit. Dabei könnte der Fehler, der sporadisch auftritt, schon wieder vorbei sein. Ein Hin- und Herschalten (“Zappen”) bei gleichzeitigem Auftreten von Fehlern an mehreren Ports kann die Folge sein. Full-Duplex-Ports können so nicht analysiert werden, da auch
hier am Analyse-Port nur eine Rx-Leitung zur Verfügung steht. Im fünften Fall wird die jeweils zu analysierende Leitung aufgetrennt und eine Shared-Komponente (Hub) eingesetzt, um an einem parallelen Port die Messungen durchführen zu können. So kann jeder Rahmen und jeder Fehler aufgezeichnet werden. Das Problem stellt hier zum einen das Auftrennen der Leitung dar, zum anderen kann dadurch auch nur eine HalbDuplex-Verbindung analysiert werden. Der Administrator schleift bei der sechsten Variante sich mit einem Messgerät, das
Bild 4. Fehleranalyse an einem Mirror-Port mit Hilfe von SNMP-Abfragen zur Lokalisierung des Fehlerports
120
Bild 3. Fehleranalyse an einem Mirror-Port
LANline Spezial Administration I/2001
zwei Anschlüsse zum Analysieren einer Full-Duplex-Connection besitzt, in die Verbindung ein. Hierbei muss die Verbindung aufgetrennt werden. Der große Vorteil: Jetzt ist es möglich, Full-Duplex-Verbindungen zu analysieren. Als weiterer Ansatz werden so genannte Splitter (Taps) in wichtige Verbindungen eingesetzt, an denen zu jeder Zeit Messungen durchgeführt werden können, ohne die Verbindung im Fehlerfall aufzutrennen. Ein weiterer Vorteil liegt darin, dass die Verbindungen weder verändert noch Konfigurationsänderungen hinsichtlich der Voll-
Bild 5. Halb-Duplex-Fehleranalyse mit Hilfe einer eingeschleiften Shared-Media-Komponente (Hub)
www.lanline.de
PROTOKOLLANALYSE
Bild 6. Full-Duplex-Fehleranalyse durch Einschleifen des Messgeräts
und Halb-Duplex-Verbindungen durchzuführen sind. Mit geeigneter Messtechnik kann an diesen Splittern eine Full-DuplexVerbindung analysiert werden. Die Analyse an gespiegelten MonitorPorts ist sicherlich für statistische Zwecke hinsichtlich der Protokollverteilung oder dem Verhältnis von Kommunikationsverbindungen absolut ausreichend. Denn gehen zum Beispiel bei der Protokollverteilungsmessung einige Rahmen verloren, so gehen diese, zumindest statistisch gesehen,
Bild 7. Full-Duplex-Fehleranalyse mit Hilfe von Taps
hinsichtlich dem prozentualen Verhältnis in gleichen Teilen verloren. Die einzelnen Techniken, mit deren Hilfe ein geswitchtes Netzwerk wieder transparent analysiert werden kann, bringen unterschiedliche Messtechnik und damit auch Kosten mit sich. Im Vorfeld müssen die Anforderungen an die Messtechnik und deren Messmöglichkeiten geklärt werden wie zum Beispiel: Analyse an Full-DuplexPorts, Analyse mit 100 Prozent Capture Rate, welche Protokolle unterstützt werden,
Analyse für statistische Zwecke (Protokollverteilung etc.), Analyse bis zu einem bestimmten Layer. Nach diesen Überlegungen kann das optimale Messgerät für das jeweilige Netz und die jeweilige Anforderung ausgewählt werden, ohne im Fehlerfall böse Überraschungen zu erleben. (Andreas Krämer/mw) Dipl.-Ing. (FH) Andreas Krämer arbeitet als Mess- und Analyseingenieur bei WBN Netzwerkdienste.
PROTOKOLLANALYSE
ANALYSE IN DATENNETZE
Den Überblick behalten Wann immer es um Messen und Testen geht, geht es meist um die Fragen: Was ist auf dem Netz überhaupt los? Wie bringe ich Licht ins Dunkel, und welche Hilfsmittel benötige ich dazu? Die Palette an Messwerkzeugen reicht vom reinen Kabeltester über Testequipment, das auch Protokolle bis zur Netzwerkebene untersuchen kann, bis hinauf zu Datenanalysatoren, deren Stärke in der Fehlersuche bis Ebene 7 im ISO/OSI-Modell liegt. Welches Gerät das jeweils richtige ist, hängt von der Aufgabe und vom Netz ab.
e nach Einsatzgebiet werden unterschiedliche Anforderungen an das Messwerkzeug gestellt. Zur Installation und Inbetriebnahme von Netzen und Netzkomponenten genügt fast immer ein Kabeltester und/oder ein Tool, das Analysen bis zur Netzwerkebene erlaubt. Zu dieser Kategorie zählen die so genannten Handhelds. Oft sind diese Tester mit vorgefertigten Tests ausgestattet, sodass ein Knopfdruck auf Autotest genügt, um zum Beispiel ein Netz oder die korrekte Anbin-
J
dung einer Komponente an das Netz zu checken. Die praxisoptimierte Bedienung ist hier ausschlaggebend, weil das Servicepersonal so zeitsparend arbeiten kann und kein Spezialwissen über Netzwerke benötigt. Der amerikanische Hersteller Fluke bietet in dieser Kategorie eine breite Palette nicht nur für LANs, sondern auch für Frame Relay und ATM an. Wird ein Tool gesucht, das während des laufenden Netzbetriebs Aufschluss gibt über eventuelle Ungereimtheiten, sollte
die Analysefunktion bis in Ebene 7 des ISO/OSI-Modells reichen. Das ist das Feld der Daten- und Protokollanalysatoren. Dabei unterscheidet man zwischen Software-Lösungen und Hardware-basierenden Geräten. Letztere werden wiederum in dedizierte und PC-basierende Analysatoren unterteilt. In den letzten Jahren hat sich das Konzept der PC-basierenden Analysatoren immer mehr durchgesetzt. Denn wird der PC-Analysator nicht für Testzwecke benötigt, kann der Rechner für andere Aufgaben eingesetzt werden. Im Unterschied zu Software-Lösungen übernimmt bei Hardware-Lösungen das Analysegerät die Verarbeitung des Datenstroms. Der PC fungiert nur als Terminal, das heißt, er stellt die nötige Infrastruktur wie Bildschirm, Tastatur, Speicher zur Verfügung und erhält vom Analysator lediglich die bereits verarbeiteten Daten. Ein weiteres Einsatzgebiet von Analysatoren sind Entwicklungslabors. Hier geht es darum, das neue Produkt oder die Implementation einer neuen Funktion in Bezug auf die Einhaltung von Standards und auf die Konformität mit anderen Geräten und Herstellern objektiv zu messen. Das Hardware-Analysegerät, das dafür nötig ist, beherrscht die tiefergehende Protokollanalyse par excellence. Da es in Entwicklungsumgebungen wichtig ist, bestimmte Szenarien nachzubilden, egal, ob es sich dabei um das Netz selbst oder eine Komponente wie einen Switch oder Gateway handelt, sollte das Messwerkzeug über Simulationsfähigkeiten verfügen. Die folgenden Ausführungen konzentrieren sich auf das klassische Einsatzgebiet von Analysatoren: die Überwachung und das Monitoring des normalen Netzbetriebs zusammen mit Troubleshooting bei Störungen im Netz oder an einer Komponente. REINE LAN-ANALYSE Kommt es darauf
Bild 1. Das Expertenwissen des Landecoder 32 von Triticom
122
LANline Spezial Administration I/2001
an, ausschließlich LANs mit einer geringen Anzahl angeschlossener Stationen zu analysieren, reicht zum Einstieg in das LAN-Troubleshooting eine Lösung aus, die mit einer Standardnetzwerkkarte plus
www.lanline.de
PROTOKOLLANALYSE
spezieller Analyse-Software betrieben wird. Allerdings sollte man sich diese Lösungen ein wenig genauer betrachten. Denn herkömmliche Standard-NICs (Netzwerk-Interface-Cards) mit Standardtreibern sind dafür konzipiert, die Kommunikation zu gewährleisten und nehmen nur diejenigen Informationen (Frames) auf, deren Empfängeradresse mit der eigenen übereinstimmt. Alle anderen Frames werden ignoriert, also gar nicht erst wahr-
Darüber hinaus hat der Hersteller einen speziellen Accu-Capture-Treiber implementiert, der alle Netzwerkfehler wie Kollisionen erkennt. Erst damit ist die Basis für ein Troubleshooting im Netz gegeben. Dieses Produkt verschafft dem Anwender einen guten Überblick über das Netzwerk und kostet für Fast Ethernet unter 6000 Mark. Er liefert aussagekräftige Statistiken über Parameter wie Netzlast oder Top Talkers und gibt dem Anwender Hinweise auf die Fehlerursache (Bild 1). An dieser Stelle sei aber auch die Leistungsgrenze solcher Standard-NICplus-Software-Analysatoren genannt. Netzwerkkarten sind gemacht, um Informationen vom Netz in kürzester Zeit in den Bus des PCs zu übertragen, der dann die weitere Verarbeitung übernimmt. Deshalb verfügen diese Karten weder über einen eigenen Prozessor noch über einen Speicher. Alle Arbeit erledigt der Bild 2. Das modulare Prismlite-Analysesystem von Radcom für ATM, WAN und LAN PC. Aber Datenanalyse heißt ja, die Fragenommen. Das ist ungünstig für mes erstens zu erfassen, zweitens mit eiTroubleshooting-Aufgaben. Außerdem nem möglichst hochauflösenden Zeitsind Netzwerkkarten nicht in der Lage, stempel zu versehen und drittens bis zur auseinander zu Fehler und Ereignisse vom beziehungwei- Applikationsebene se auf dem Netzwerk zu erkennen. Ein ty- pflücken und zu dekodieren. Das bedeutet pisches Beispiel dafür sind Kollisionen. jede Menge Rechenarbeit. Deshalb ist bei Die werden nur dann erkannt, wenn die hoch ausgelasteten Netzen der HardwareNetzwerkkarte selbst darin verwickelt ist. basierende Analysator unerlässlich. Ebenso verhält es sich mit Fehlern wie zu Nichtsdestotrotz: Für kleinere Netzwerke oder als Ergänkurze Pakete. Es gibt aber auch Ausnahmen unter den zung zu Hardware-basierenden Produkten Software-Analysatoren. Der LANdecoder sind leistungsfähige Software-Analysato32 von Triticom für Fast Ethernet, Ether- ren ideal. Sobald das LAN jedoch eine hohe net und Token Ring ist ein gutes Beispiel dafür. Er besitzt eine Netzwerkkarte, die Auslastung erreicht, sollte sich der Netzim Promiscuous-Modus betrieben wird werkverantwortliche für einen Hardwareund somit auch Frames, die für andere basierenden Analysator entscheiden. Empfänger bestimmt sind, lesen kann. Schließlich soll er die Fehler bei ihrem
www.lanline.de
LANline Spezial Administration I/2001
123
PROTOKOLLANALYSE
Auftreten entdecken und diese nicht mangels Performance übersehen. Besteht das Netz aus mehreren Segmenten, reicht es oft nicht aus, nur an dem Teil zu messen, in dem sich die Fehler auswirken. Die Fehlerquelle kann in einem anderen Segment mit vielleicht anderer Topologie liegen, vielleicht verändert ja die Bridge oder der Router den Frame. Hier müsste der Administrator zeitsynchron an beiden Topologien messen. Wenn es bei solchen Zangenmessungen zu keiner Zangengeburt kommen soll, ist das Problem mit der Dual-MonitoringFunktion noch längst nicht komfortabel gelöst. Denn auf beiden Seiten zu messen heißt auch, auf beiden Seiten identische Filter zu setzen. Bei manchen Analysatoren bedeutet das zweifache Handarbeit. Es gibt jedoch Geräte wie den Prismlite von Radcom (Bild 2) bei dem der Anwender die Filter definiert, sie in eine Auswahlliste einträgt und per Mausklick dem anderen Segment des Netzes zuordnen kann. Die Arbeit fällt also nur einmal an. ONLINE-FILTER, -STATISTIKEN UND -DEKODIERUNG Worauf bei jedem Typ
von Analysator zu achten ist, sind die Online-Funktionen. Denn damit kann sich der Anwender sofort und auf die Schnelle einen Überblick über sein Netzwerk verschaffen, ohne gleich in die Tiefen der Protokoll-Stacks abtauchen zu müssen. Eine wichtige Rolle spielen dabei Online-Filter. Damit kann der Benutzer gezielt ein bestimmtes Ereignis, eine Station oder einen Port unter die Lupe nehmen. Ohne diese Online-Filter müssten nämlich enorme Mengen an Daten nicht nur aufgezeichnet, sondern auch untersucht werden – was noch viel mühseliger ist. Bei den Geschwindigkeiten, die heutzutage üblich sind, kann das viele Stunden Zeit in Anspruch nehmen. Deshalb sollte sich der Administrator bei der Auswahl der Online-Filter von vornherein auf das Wesentliche beschränken. Wenn zudem über die gefilterten Daten Online-Statistiken zur Verfügung stehen, hat er stets den Überblick über das Netz. Gerade bei gewachsenen Netzwerken ist die Anzahl der
124
verfügbaren Protokolldekodierungen mit ausschlaggebend für die schnelle und erfolgreiche Fehlersuche. Allerdings ist die Anzahl der implementierten Protokolldekodierungen noch kein Garant dafür, dass der Anwender mit dem Gerät auch an jeder Topologie reibungslos arbeiten kann. Was nützt es, wenn zum Beispiel die Protokolldekodierung für TCP/IP auf der
Bild 3. Statistik über Jitter bei Voice over IP
LAN-Seite zwar gut funktioniert, zusammen mit der WAN-Analyse-Hardware desselben Herstellers jedoch nicht. Das kostet meist zusätzlich Geld und verursacht Frust. Ein eindeutiges Indiz für ein durchdachtes Konzept bei Datenanalysatoren sind Protokolldekodierungen, die für alle LAN- und WAN-Topologien bis hinauf zu ATM eingesetzt werden können. Denn in den meisten Fällen sind Analyse-Tools gefragt, die nicht vor der nächsten Topologie oder Technologie Halt machen. BEISPIEL VOICE OVER IP Spätestens,
wenn der IT-Manager über die Implementation von Voice over IP (VoIP) nachdenkt, kommt automatisch die Frage auf: Unterstützt der Analysator auch diese Applikation oder muss dafür ein eigenes Gerät angeschafft werden? Und welche Funktionen muss das Analyse-Tool beherrschen? Je nach Anforderung müssen zum Teil umfangreiche neue Funktionen für Voice over IP zur Verfügung stehen.
LANline Spezial Administration I/2001
Für das bloße Monitoring reichen die für viele Analysatoren verfügbaren Protokolldekodierungen für H.323 und H.245 aus. Wer aber der schlechten Qualität der Sprache bei VoIP auf den Grund gehen will, braucht weitere Analysemöglichkeiten – zum Beispiel die Möglichkeit, Adressenfilter auf ein Terminal oder das Gateway zu setzen, das VoIP-Calls abwickelt, oder RTP-Filter, um nur die Frames aufzuzeichnen, die Sprache enthalten. Der Analysator muss darüber hinaus die Daten punkt- oder besser call-genau auswerten. Dazu zählen zum Beispiel Statistiken über die Netzwerk-Performance, über Jitter, verlorengegangene Pakete oder Silence Suppression. Diese umfassenQuelle: Radcom den VoIP-Analysen können oft nur dafür entwickelte Systeme durchführen. Eine Ausnahme bilden hier modular aufgebaute Systeme wie sie beispielsweise Radcom anbietet. Dieser Hersteller entwickelte für Voice-over-IP-Analysen ein spezielles Software-add-on. Das hat den Vorteil, dass der Anwender für VoIP kein neues Messequipment anschaffen muss, sondern das bestehende einfach nur ergänzen. BEDIENKOMFORT Neben allen techni-
schen Raffinessen sollte man die Handhabung des Analysators nicht außer Acht lassen. Denn je besser die Bedienerführung, desto einfacher und kürzer gestaltet sich das Troubleshooting. Gleichzeitig reduzieren sich Bedienungsfehler auf ein Minimum. Die Praxis hat gezeigt, dass der Anwender in der Regel zwischen fünf bis zehn Konfigurationen oder Anwendungen ständig nutzt. Warum also sollte er diese Auswahl nicht als gespeicherte Anwendung auf Knopfdruck parat haben? Praxisorientierte Geräte besitzen solch eine Funktion,
www.lanline.de
PROTOKOLLANALYSE
um bei immer wiederkehrenden Messungen das Rad nicht jedes Mal von neuem erfinden zu müssen. Das spart Zeit. Außerdem brauchen Mitarbeiter, die wenig oder nie mit Analysatoren umgehen, keine lange Einweisung, um vor Ort ein Problem zu lösen. REMOTE-FUNKTION Auf der Anforderungsliste der Anwender rückt die Remote-Funktion von Analysatoren immer mehr in den Vordergrund. Kein Wunder, denn dadurch kann der Administrator den Analysator einmal in einem Segment stehen lassen und über das LAN oder WAN vom Arbeitsplatz aus steuern. Einige Protokollanalysatoren sind so konzipiert, dass pro Topologie eine eigene CPU zur Verfügung steht. Das ist eine gute Idee, denn dadurch und mit der Remote-Funktion können zwei Anwender unabhängig voneinander auf jeweils eine CPU-Topologie zugreifen. Anders ausgedrückt: Aus einem mach zwei Analysatoren. Und schon wieder ist Geld gespart. DER MEHRWERT VON ANALYSATOREN
Neben der Aufgabe, Fehler im Netz zu entdecken, ist die Dokumentation der Messergebnisse für viele Anwender wichtig. Sei es, um sie als Beweismittel parat zu haben oder um sie zu archivieren, damit man ei-
www.lanline.de
ne Vergleichsbasis schafft. Manche Analysatoren bieten Web-basierende Statistiken und Reports an, was dem Verantwortlichen die Arbeit des Aufbereitens und Weiterleitens an Kollegen abnimmt. Die mit Analysatoren ermittelten Werte bilden den Grundstock für viele andere wichtige Aufgaben eines Netzverantwortlichen. Die gemessenen Ist-Werte werden unter anderem dazu benutzt, durch entsprechende Umkonfiguration die Performance im Netz zu erhöhen. Der Analysator teilt dem Administrator ja mit, wo der Engpass liegt. Der IT-Verantwortliche kann die Messergebnisse aber auch in die Überlegungen um angemessene und realisierbare ServiceLevel-Agreements mit einbeziehen. FAZIT Die Anforderungen an das Test-
equipment sind gestiegen, sie sind vielfältig und komplex und hängen vom Umfeld im jeweiligen Einsatzgebiet ab. Deshalb kann man nicht einfach sagen, dieser oder jener Analysator sei der beste. Um aber nicht für jede Aufgabe ein neues Messgerät anschaffen zu müssen, empfiehlt es sich, das Konzept genauer unter die Lupe zu nehmen. Modulare Analysesysteme bieten ungleich mehr Einsatzmöglichkeiten als Einzelgeräte. Auf eine bestimmte Aufgabe spezialisierte Tools können in ihrem Fach zwar umwerfend gut sein, aber
eben nur da. Bei modularen Analysatoren kann der Administrator mit seinen Investitionen haushalten, und wenn es die Messaufgabe zulässt, muss er zunächst nur das kaufen, was er im Moment benötigt. Kommt morgen oder nächstes Jahr eine neue Technologie hinzu, wird die Investition zu diesem Zeitpunkt getätigt. Damit fallen Kosten erst an, wenn gleichzeitig auch der Nutzen aus dem Neuen gezogen werden kann. Am Markt sind Analysesysteme verfügbar, die vom WAN-only- über WAN-und-LAN- bis hin zum ATM-/ WAN-/LAN-Messgerät aufrüstbar sind. Es gibt sogar Hersteller, bei denen die einmal erworbenen Hard- und Software-Module durchgängig für andere Topologien und Plattformen verwendet werden. (Lydia Krowka/db) Die Autorin ist Geschäftsführerin der Datakom in Ismaning
Weitere Informationen: Datakom Web: www.datakom-gmbh.de Fluke Web: www.fluke.com Radcom Web: www.protocols.com www.radcom.co.il Triticom Web: Triticom.com
LANline Spezial Administration I/2001
125
LANline Spezial Administration I/2001
●
www.lanline.de
▼
Digitech
Chevin
● ●
LAN Trek LAN900
● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● P 133 ● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● P II 400
● ●
● ● ● Pentium I
● ● ●
●
●
CNA Pro Lanfox
● ●
● ●
● ● ● ● ● ● ● ● ● ● ● ● ● P II
●
●
● ● ●
●
● ● ●
CNA Pro
Netranger TS850
Lanvue TD202
● ● ● Pentium
Black Box
● ● ● Pentium
● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ●
● ● ● ●
● ● ● ● ● ● ● ● ● ● ● P 133
● ● ● ● ● ● ● ● ● ● ● ● ●
●
● ● ● ● ●
Avanti Technology N Console
J3446D
J1955A
Agilent-SW-Edition
J2300D
●
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ●
●
Agilent Advisor
●
● ●
●
LANchecker 100
120 MHz
● ● ● ● ● ● ● ● ● ● ● ab Pentium
benötigter Prozessor
Altman Associates Trendtrak
Agilent
Link View
● ● ● ● ● ● ● ● ● ● ●
●
● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ●
Domino ATM
●
●
● ● ● ● ● ● ● ● ● ● ●
● ● ●
● ●
●
●
●
●
●
●
●
Cyclone Frame
Gigabit
DA-380 Domino
Fast Ethernet
DA-362 Domino
HSSI
DA-361 Domino
FDDI
DA-330 Domino
LAN
DA-320 Domino
WAN
● ● ● ● ● ● ● ● ● ● ●
●
DA-310 Domino
● ●
DA-5
Acterna
●
● ●
●
Produktname
Funktionen
Hersteller
Protokolle
Hardware Produktart Software Ethernet Fast Ethernet Gigabit Ethernet Token Ring High Speed Token Ring IP TCP UDP IPX NetBIOS Vines Appletalk Traffic Generator Real-Time-Filtering User-Defined-Filters Statistiken
126 32 MB
18 MB
64 MB
64 MB
32 MB
64 MB
32 MB
32 MB
benötigter Speicher
500 MB
500 MB
500 MB
3 MB
5 MB
1 GB
40 MB
Festplattenkapazität
Nur für Software-Lösungen
bel. NDIS
Promiscuous Mode
ja
bel.
10/100
bel.
bel.
Netzwerkkarte
4,5
0,8
6
6
0,8
1,3
1,5
1,5
1,3
1,3
1,3
1,3
1,3
1
Gewicht (kg)
Schnittstellen
12 Zoll
LCD beleuchtet
TFT, aktiv Matrix
TFT, aktiv Matrix
integriert
RJ45
BNC, RJ45, DB9
Optic
RJ45, AUI, MII, Fiber
Optic
RJ45, AUI, MII, Fiber
10/100BaseT
STM-1
über PC/Notebook E1, T1, DS3, E3,
X.21
über PC/Notebook T1, E1, V.35, V.24,
über PC/Notebook 1000BaseT
über PC/Notebook 10/100BaseT
über PC/Notebook HSSI
über PC/Notebook FDDI, CDDI
über PC/Notebook 10BaseT, 4/16 TR
ISDN, E1, T1
über PC/Notebook V.24, X21, V.35, V.36,
V.36, ISDN-BRA
über PC/Notebook V.24, V.11, X.21, V.35,
Display
Nur für Hardware-Lösungen
Marktübersicht: Protokollanalysatoren Keyboard modularer Aufbau ●●
●
●
●●
●
●
●
●
ÜBERSICHT PROTOKOLLANALYSATOREN
128
LANline Spezial Administration I/2001 ● ● ● ● ●
● ●
●
IP Monitor
Mediahouse
● ● ●
Sniffer Basic
ciates
● ● ● ●
● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Pentium 166
●
● ●
● ● ●
●
Smart Bits
Adtech
Tritan MTI
LANdecoder 32
Ether Peek for Win-
Spirent Commu-
nications
Telesoft
Triticom
WildPackets
● ● ● ●
● ● ● ●
32 MB 128 MB
● ● ●
● ● ● ● ● ● ● ● ● ● ● ● ● P II 400
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● PPC-Prozessor
64 MB
128 MB
Ether Peek 4.02
● ● ● ● ● ● ● ● ● ● ● ● ● P II 400
● ●
● ● ●
128 MB
64 MB
Ether Peek for Mac
dows
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● P II 400
Surveyor
Shomiti Systems ●
● ● ● ● ● ● ● ● ● ● ● P 300
● ● ● ● ● ●
Prism-Serie ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● P 300
●
● ● ● ●
2C-Serie
Radcom
64 MB
128 MB
● ● ● ● ● ● ● ● ● ● ●
Observer Suite
ments
● ● ● Pentium
128 MB
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● P III 600 ●
64 MB
● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 200 MHz
Observer
128 MB
64 MB
256 MB
Sniffer Pro
● ● ● ● ● P II
● ● ● P III, Sun Ultra
128 MB
64 MB
256 MB
64 MB
128 MB
64 MB
640 kB
Network Instru-
●
● ● ● ● ●
● ● ● ● ● ● ● ● ● ● ● 200 MHz
●
Sniffer
Network Asso-
● ● ● ●
● ● ● ● ● ● ●
● ● ● ● ● ●
N-Genius
Netscout
● ● ● Pentium II
Wise WAN
● ● ● P II 300
● ● ● ● ● ● ●
● ●
Netzwerk Monitor
●
Pentium II 233
● P III/ 500 MHz
● ● ● Pentium
Net Reality
●
● ● ●
● ● ● ● Pentium
Microsoft
Software ● ● ● ● ●
● ● ●
●
● ●
● ● ● ●
Ingenuity Software Cyber Predator
● ● ● ●
● ● ●
● ● ● Pentium
● ● ● ● ●
● ● ● ● ● ● ●
● ● ● ● ● ● ●
●
● ● ● ● ● ● ● ● 486
● ● Pentium 100 MHz 18 MB
● ● ● ● ● ● ● ● ● ● ● Pentium
● ●
Smart Test
plorer
TCP/IP Socket Ex-
●
● ● ● ●
Easy Trace LAN/
● ●
●
Interwatch
WAN
●
● ● ● ● ●
● ● ● ●
● ●
Internetwork
Hilf
Herakom
Winpharoh
GN Nettest
Fastnet
Ethertest
Frontline
● ● ● ● ● ● ● ●
64 MB
● ● ● ● ● ●
● 200 MHz P II
Protokoll Inspector
●
● ● ● ●
Network Inspector
● ● ● ● ●
● ● ● Pentium 500 MHz 256 MB
● ● ●
Im Message Inspector
Fluke
● ● ● Pentium 500 MHz 256 MB
● ● ●
Im Web Inspector
benötigter Speicher
Elron Software
benötigter Prozessor
4 MB
4 MB
200 MB
200 MB
1 GB
100 MB
300 MB
100 MB
45 MB
2 GB
50 MB
8 MB
200 MB
5-10 MB
4 GB
1 GB
2 MB
100 MB
1 GB
1 GB
Festplattenkapazität
Nur für Software-Lösungen
Produktname
Funktionen
Hardware Produktart Software Ethernet Fast Ethernet Gigabit Ethernet Token Ring High Speed Token Ring IP TCP UDP IPX NetBIOS Vines Appletalk Traffic Generator Real-Time-Filtering User-Defined-Filters Statistiken
Hersteller
Protokolle
Promiscuous Mode
ENet
ENet
eigene
Promiscuous Mode
Promiscuous Mode
Intel-Chip 21143
TR, Eth
TR, Eth
ja
ET
Service Pack 5
alle
10/100
NDIS-Treiber
Standard
PCMCIA, ISA
NDIS
bel.
3Com
3Com
Netzwerkkarte
Gewicht 22,5
2,5
6
1,5
5
3
0,5
12
5
PC-abhängig
PC-abhängig
TFT
Notebook
TFT
Notebook
Display
1-20
2-768
PC
PC
TR, Eth, X.21, ATM
TR, ATM E3, OC 3
net, Etherchannel, FDDI,
Ethernet, Gigabit Ether-
G703
10 MBit/s, X.21, V.35,
LAN
S0, S2M, V.24, X.21,
PCMCIA
Schnittstellen
Nur für Hardware-Lösungen
Keyboard modularer Aufbau ●
●
●●
●●
●●
●
●
●
●
●
ÜBERSICHT PROTOKOLLANALYSATOREN
www.lanline.de
ÜBERSICHT PROTOKOLLANALYSATOREN
Anbieter: Protokollanalysatoren Hersteller/Anbieter Acterna
Produkt DA-5 DA-310 Domino WAN DA-320 Domino LAN DA-330 Domino FDDI DA-361 Domino HSSI DA-362 Domino Fast Ethernet DA-380 Domino Gigabit Cyclone Frame Domino ATM Line View LAN Checker 100 Agilent/Nesis Netzwerk 02159/919717 Agilent Advisor Dienste J2300D Agilent-SW-Edition J1955A J3446D Altman & Associates 0044/1937/541400 Trendtrak Avanti Technology/Altman 0044/1937/541400 N Console & Associates Black Box 0811/5541-110 Lanvue TD202 Netranger TS850 Chevin/R. Bücker 05702/9300 CNA Pro Chevin/Magellan Netz02203/92263-12 CNA Pro Lanfox werke Chevin/Nesis Netzwerk 02159/919717 CNA Pro Dienste LANtrek Digitech/Deltacom 02234/966030 LAN 900 Elron Software 07251/7250 Im Web Inspector Im Message Inspector Fluke/WBN Netzwerkdienste 07022/96324-11 Network Inspector Fluke/Allmos Electronic 089/89505-0 Protokoll Inspector Frontline/Imcor 0711/7089003 Ethertest GN Nettest 089/998901-0 Winpharoh Fastnet Interwatch Herakom 02054/9593-0 Easy Trace LAN/WAN Hilf 089/6137900 TCP/IP Socket Explorer Ingenuity Software/Altman 0044/1937/541400 Cyber Predator
www.lanline.de
Telefon 07121/862222
Preis in DM k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. 499 $ 450 $ 3850 k. A. ab 5850 5190 k. A. 2500 9980 ab 895 $ ab 1195 $ ab 1916 ab 3000 4900 ab 18000 ab 25000 60000 k. A. 498 200 $
Hersteller/Anbieter & Associates Internetwork Internetwork/net Stemmer Mediahouse Microsoft/NSC Net Reality Netscout Network Associates/CS&W Network Associates/Allmos Electronic Network Associates/Telematis Network Associates/ R. Bücker EDV-Beratung Network Associates/Bedea Network Associates/CS&W Network Associates/ R. Bücker EDV-Beratung Network Associates/ Magellan Netzwerke Network Associates/ Net 2000 Network Instruments Network Instruments/ Danes Network Instruments/ Magellan Netzwerke Network Instruments/ Databit Radcom/Datakom
Telefon
Produkt
Preis in DM
0611/16657-0 08142/4586-148 001/819/7760707 069/94218660 089/35874-387 069/97503-429 06126/9951-100 089/89505-0
Smart Test Smart Test IP Monitor Netzwerk Monitor Wise WAN N-Genius Sniffer Sniffer
k. A. k. A. 695 $ k. A. 12000 $ k. A. k. A. ab 20000
0721/94658-0
Sniffer
k. A.
05703/9300
Sniffer Basic
ab 1739
06441/801138 06126/9951-100 05703/9300
Sniffer Basic Sniffer Pro Sniffer Pro
k. A. k. A. ab 19500
02203/92263-12
Sniffer Pro
28000
0211/43627-0
Sniffer Pro
k. A.
0044/322/303045 Observer 0811/9987833 Observer
3820 E k. A.
02203/92263-12
Observer 7.0
2523
040/8195400
Observer Suite
7608
089/9965250
2C-Serie Prism-Serie Surveyor
ab 20000 ab 55000 3690
Shomiti Systems/Magellan 02203/92263-12 Netzwerke Spirent Communications 0033/1/39440936 Smart Bits Adtech Telesoft/CST Concepts 03328/3166-46 Tritan MTI Triticom/Magellan Netz02203/92263-12 LANDecoder 32 werke Triticom/Datakom 089/996525-0 LANDecoder 32 Triticom/Deltacom 02234/966030 LANDecoder 32 WildPackets/Brainworks 089/326764-14 Ether Peek for Windows Ether Peek for Mac WildPackets/Magellan 02203/92263-12 Ether Peek 4.02 Netzwerke
10000 E 40000 E ab 35000 E 5900 5900 5999 2090 2090 2190
LANline Spezial Administration I/2001
129
VORSCHAU
2/2001
SCHWERPUNKT SWITCHES, ROUTER UND HUBS:
Das hohe Lied des Switching
ist ab dem 15.2.2001 am Kiosk erhältlich
SCHWERPUNKT MASSENSPEICHER:
Technische Trends bei Festplatten- und Bandlaufwerken
DM 9,80 ÖS 75,-
netzProdukte
Sfr. 9,80
Nr. 2, Februr 2001
START DER TESTSERIE: Das Magazin für Netze, Daten- und Telekommunikation
www.lanline.de
Wireless LANs
IMPRESSUM HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur) (rhh), Stefan Mutschler (Chefredakteur) (sm), Marco Wagner (stv. Chefredakteur) (mw), Doris Behrendt (db), Dr. Götz Güttich (gg), Georg von der Howen (gh), Kurt Pfeiler (pf) AUTOREN DIESER AUSGABE: Dr. Peter Artmann, Norwin Baczako, Alexander Balsam, Fred Behrens, Wolf-Rüdiger Branscheid, Horst Droege, Thomas Gröhl, Marc Hanne, Karin Hernig, Andreas Krämer, Lydia Krowka, Martin Kuppinger, Matthias Lichtenegger, Silvia Nitz, Eric Schaumlöffel, Jürgen Schelbert, Claudia Seidl, Fabian Warkalla, Reinhard Wobst REDAKTIONSASSISTENZ: Edith Klaas, Tel.: 089/45616-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 089/45616-200, http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Martina Zeitler, Tel.: 089/45616-224 Edmund Krause (Leitung) ANZEIGENDISPOSITION: Carmen Voss, Tel.: 089/45616-212 Sandra Pablitschko, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Anne Kathrin Latsch, Tel.: 089/45616-102 E-Mail:
[email protected] Susanne Ney, Tel.: 089/45616-106 E-Mail:
[email protected] Karin Ratte, Tel.: 089/45616-104 E-Mail:
[email protected] ANZEIGENVERKAUFSLEITUNG GESAMT-AWI-VERLAG Cornelia Jacobi, Tel.: 089/71940003 oder 08/45616-117 E-Mail:
[email protected] ANZEIGENPREISE: Es gilt die Preisliste Nr. 12 vom 1.1.2000 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 089/45616-262, Fax: 089/45616-100 ERSCHEINUNGSWEISE:
LANline Spezial IV/2000 Verkabelung ist ein Sonderheft der LANline, das Magazin für Netze, Daten- und Telekommunikation
netzTechnik
Software- und Client-Management bei Windows 2000 focusE-COMMERCE Immer schneller dank Gigabit-Ethernet und Switching-Techniken
Sicherheit beim M-Commerce, PerformanceMessungen von Websites
VORSCHAU auf kommende LANline-Schwerpunkte Ausgabe
Technische Trends bei Festplatten- und Bandlaufwerken
Erscheint Schwerpunktthemen am
Redaktionsschluss
03/2001 15.03. 2001
Verkabelung, Serverund Clusterlösungen
18.01. 2001
Sonder- 27.03 heft CeBIT 2001
Netzwerk-Ausbildungs- 31.01. programme 2001
04/2001 12.04. 2001
Converged Networks, Groupware und Workflow
15.02. 2001
Wenn Sie zu einem oder mehreren dieser Themen einen Beitrag schreiben möchten, rufen Sie uns einfach an: 089/456 16-101
132
L AN line Spezial Administration I/2001
ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline, Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel.: 08621/645841, Fax 08621/62786 Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70, Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80, Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises. Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder. SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Kontakt: Edmund Krause, Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146, Fax: 089/45616-250 DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771 Leinfelden-Echterdingen URHEBERRECHT: Alle in der LANline Spezial erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 2000 AWi LANline Verlagsgesellschaft mbH MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi LANline Verlagsgesellschaft mbH Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi ISSN 0942-4172
i v w
Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 1999
www.lanline.de