Switch MONitoring

Technik News - Netzwerkmagazin
G46392
Januar 2002
D a s
N 01
12. Jahrgang
thema des monats
GEHOBENE ANSPRÜCHE
Switch
MONitoring
Service-Qualitätskontrolle
und Netzwerkmanagement
p r a x i s n a h e
N e t z w e r k m a g a z i n
AKTUELL
• Nortel Networks Alteon Solutions
3
Herausgeber: COMPU-SHACK
NEWS
Cisco: Optimierte Sprach-/Datennetzwerke
Cisco SAFE schützt Wireless LAN
IBM x380 Modelle mit Windows Advanced Server
Hewlett-Packard: Ausstieg aus HP e3000-Plattform
Axis Communications: Drucker-, Storage- und Videoanbindungen
Compu-Shack Production: WAVEline Starter- und Workgroup-Bundles
Foundry Networks: High Performance FastIron Switch 4802
Netgear: Fast-Ethernet-Switch 509T mit integriertem Kupfer-Gigabit-Port
Enterasys Networks: Enterprise Router 16 ergänzt
Intel: 1 Milliarde Transistoren im Gehäuse
Microsoft: Die nächste Generation der Windows Serverfamilie
Nortel Networks: Service-orientiertes Content Switching
USB Implementers: PC- Arbeits- und -Eingabeeinheit trennen
Sun Cobalt RaQ High-Performance Server Appliances
Newsticker
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
4
5
5
6
6
7
8
8
9
10
11
12
12
13
14
Electronic GmbH,
Ringstraße 56-58,
56564 Neuwied
Telefon: 02631/983-0
Telefax: 02631/983-199
Electronic Mail: TECHNEWS @
COMPU-SHACK.COM
Redaktion: Heinz Bück
Hotline und Patches: Jörg Marx
Verantwortlich
für den Inhalt: Heinz Bück
Technische Leitung: Ulf Wolfsgruber
Erscheinungsweise: monatlich 1 Heft
Bezugsquelle: Bezug über
COMPU-SHACK
Electronic GmbH
Jahres-Abonnement
zuzüglichMWSt.:
Innland: 60,84 €
Ausland: 86,41 €
THEMA DES MONATS
SwitchMONitoring
Service-Qualitätskontrolle und
Netzwerkmanagement
16
Layout und Titelbild: Marie-Luise Ringma
Druck: Görres-Druckerei,
Koblenz
Die Sprach-Daten-Integration und Quality of
Service stellen erhöhte Anforderungen an
das Management der Netzwerkinfrastruktur.
Ein aktueller Trend, um solch komplexe Netzwerkumgebungen kontrollierbar und beherrschbarer zu machen, ist die Festlegung
und Umsetzung des Switch Monitoring, kurz
SMON, für höchste Qualitätsansprüche.
Lektorat: Andrea Briel
Anja Dorscheid
Abo-Versand: Wolanski GmbH,
Bonn
HOTLINE
•
•
•
•
•
•
•
•
•
Empfohlene Novell und Microsoft Patches
Empfohlene BinTec, Tobit und Veritas Patches in der Übersicht
Neue Patches in der Übersicht: Veritas
Neue Patches in der Übersicht: BinTec
Neue Patches in der Übersicht: Novell und Microsoft
Microsoft: Terminaldienste unter Windows 2000
Novell: Lexikon der NDS, Teil1: NDS Health Check
Novell: Interessante Tips der Deutschen Netware FAQ
WatchGuard: Website Security durch Applock/Web
29
30
31
32
33
34
36
38
40
PRAXIS
•
•
•
•
Business Communications Manager, Teil 3: Voice-Mailbox-System CallPilot
Authentisierung, Teil 5: Grundlagen der Biometrie
Wireless LAN, Teil 2: Stromsparmodus und Frameformate
Encryption, Teil 9: Secure Electronic Transaction
42
46
48
52
SOLUTIONS
• Education, Support und Projekte
56
VORSCHAU
• Info Channel
• Messen, Roadshows, Termine
01
2
58
59
Reproduktionen aller Art (Fotokopien, Mikrofilm,
Erfassung durch Schrifterkennungsprogramme)
- auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers.
Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben.
Als Informationsquelle dient uns auch das Internet.
Wenn Sie speziell über Ihre Erfahrungen referieren
möchten, bieten wir Ihnen dies unter der Rubrik
“Hotline” an.
www.technik-news.de
Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und
Tips nicht garantieren und übernimmt keinerlei
Haftung für eventuell entstehende Schäden.
Patch-CD
DS8520C.exe
DS877A.exe
NWFTPD4.exe
NWPAPT2A.exe
ES7000.exe
277412.exe
AMW2KSP1.exe
AM210SNP.exe
EDIRW32.exe
ZD3IDNT1.exe
ZFS2JVM.exe
ZS2UTIL2.exe
B6105.x8a
GWPORT32.exe
Neu auf der
Service CD
ZFD3SP1A.exe
ZFS2SP1A.exe
EX2KSP2_SERVER.exe
GW6SP1.exe
W2KSP2.exf
Ausgabe 01/2002
a
AKTUELL
COMPU-SHACK
Switch on Content
Nortel Networks Alteon Solutions
Von Heinz Bück
Compu-Shack hat ihr Produkt- und Serviceangebot um die Alteon-Produkte von Nortel Networks erweitert. Als
zertifizierter Nortel-Partner stellt die Compu-Shack Solution dazu das komplette Dienstleistungsangebot für die Alteon
Lösungen zur Verfügung, mit einer qualifizierten Pre- und Post-Sales-Unterstützung ihrer Partner durch die zertifizierten
Projekt- und Support-Teams. Schon im Januar startet eine bundesweite Alteon Roadshow.
Die Alteon-Produkte von Nortel
Networks sind ausgefeilte Layer 4-7
Lösungen für ein service-orientiertes
Content Switching. Sie richten sich
an Internet Service Provider, Web
Hoster und Content Publisher sowie
an Portal- und E-Commernce-Anbieter oder große Unternehmen mit Rechenzentren. Ihre bevorzugten Einsatzgebiete liegen im Server Load
Balancing und bei der Applicationund Web-Cache-Redirection, mit
Firewall Load Balancing und Real
Time Streaming für Video-Anwendungen. Diese vielfältigen Funktionalitäten bieten Providern und Firmen
alle technischen Möglichkeiten, um
Server-Farmen und Web-Applikationen hinsichtlich ihrer Performance
und Zuverlässigkeit zu optimieren
und das Serviceklassen-Angebot zu
differenzieren. Die Alteon Produkte
steigern durch intelligente Server-,
Router- und Firewall-Lastverteilung
und ihre Caching-Methoden die Effizienz der Websites. Der Integrated
Service Director sorgt bei Web-Infrastrukturen für eine einzigartige SSLBeschleunigung.
grad und die Performance zusätzlich.
Für diese hohe Innovationskraft wurde beispielsweise der Alteon ACEdirector 4 Web Product of the Year
2001 des Network Magazine. Alteon
ist eines der jüngsten Mitglieder der
Nortel Networks Switch-Familie.
1996 gegründet, avancierte der Content Networking Pionier schnell zu
einem der Marktführer im Bereich
Layer 4-7. Schwerpunkt des Angebots sind Tools für Web Optimierung,
Network Processing ASICs, Stackable
und Modular Switches sowie Traffic
Control Software. Inzwischen ist die
Alteon Web Switching Technologie
auch als Einschubmodul für den Passport 8600 Routing Switch verfügbar.
Hardwarebasierend
Die Alteon Produkte arbeiten in einer
verteilten Architektur mit ASIC-Unterstützung für repetitive Layer 2/3/
4-Aufgaben und einer portspezifischen Paketverarbeitung komplexer
Layer 4-7-Hochgeschwindigkeitsfunktionen, die in ihrer Art wohl einzigartig ist. Die dezentrale Prozessortechnologie steigert den Wirkungs-
Optimiert
Mit dem Know How ihrer zertifizierten
Alteon Spezialisten ist die CompuShack Solution in der Lage, die Optimierungsanforderungen ihrer Kunden
zielgenau und lösungsorientiert abzudecken, vom Consulting bis zur
Inplementation und nachfolgendem
01
Ausgabe 01/2002
3
Technischen Support. Kunden, die
sich nicht sicher sind, welches Optimierungspotential in ihrer Server-Service-Umgebung vorhanden ist, können dazu ihre Fragen ganz unverbindlich an die Systemingenieure aus dem
Projekt-Team der Compu-Shack Solution richten. Sie bieten eine Analyse der vorhandenen Umgebung durch
ihre zertifizierten Fachleute und können in Workshops vor Ort dezidierte
Lösungen vorschlagen.
Service
Die praxisnahen Workshops des Solution-Teams liefern am Test- und
Demosystem der Compu-Shack verwertbare Lösungen für die spezifischen Systembedingungen vor Ort.
Sei es durch maßgenaue Konzeptvorschläge zur Optimierung und zum
Design des Netzwerks, sei es zur Administration optimierter Strukturen.
Die weitergehende Beratung erstreckt
sich über die Definition von Services
und ihre Differenzierungen, aber auch
auf eine praktische Unterstützung bei
der Projektumsetzung durch ein zielgenaues Termin- und Implementierungsmanagement. Die Systemimplementierung und Installation können
durch die Nortel-zertifizierten Systemingenieure des Support-Teams
vorgenommen werden. Es übernimmt
auch die weitergehende technische
Betreuung nach der Umsetzung. Informationen erteit das Business Team
Nortel Networks bei Compu-Shack
unter 02631 / 983-451 und das Projekt-Team unter 983-345.
AKTUELL
D
n
NEWS
CISCO
11 neue für IP-Telefonie
Für optimierte Sprach-/Datennetzwerke
Cisco Systems erweitert mit 11 neuen Produkten ihr Lösungs-Portfolio zur IP-Telefonie. Für mittelständische
Unternehmen und Konzerne stehen neue Software-Lösungen und Hardware-Produkte zum Ausbau und zur Optimierung
ihrer IP-Infrastruktur zur Verfügung.
M
Mit elf neuen Hard- und SoftwareProdukten der Architecture for
Voice, Video and Integrated Data
optimiert Cisco die IP-Telefonie.
Zu den neuen Cisco AVVID Produkten zählen u.a. Cisco Conference Connection, Cisco Emergency
Responder und das Media Gateway Control Protocol (MGCP) zur
Unterstützung von Cisco 2600/
3600 Routern.
die TCO für den Anschluß von
Niederlassungen, da er Routingund Switching-Funktionen in konvergenten Sprach-, Video- und
Datennetzen in einer einzigen Box
übernimmt. Mit den SNA- und IPXProtokollen können Bankfilialen
ihre Geldautomaten betreiben. Das
Cisco VG248 Analog Phone Gateway kann bis zu 48 analoge Telefonleitungen mit allen Funktionen in ein konvergentes Netzwerk
integrieren. Das Media Gateway
Control Protocol (MGCP) erweitert die Cisco 2600/3600 Router
um Telefonie-Funktionen wie
Weiterleiten, Übergeben, Halten
und Konferenzschaltungen. Bereits vorhandene ältere Netzwerkkomponenten sind so auch für die
neuen Telefondienste verwendbar.
NEWS
Software-Lösungen
Cisco ISN 1.0, der Internet Service
Node, bietet Web-basierte Funktionen für Interactive Voice
Response in IP- und herkömmlichen Telefonnetzwerken, um Anrufe effizienter zu verteilen. Das IP
Contact Centre (IPCC) Bundle
stellt eine vorkonfigurierte Contact-Routing- und Queuing-Lösung bereit, sowohl für kleine bis
mittelgroße Contact Center, als
auch für Help Desks und informelle Call Center. Es integriert die
Automatic Call Distribution auf dem
CallMana-ger, so daß ein neues
Contact Centre in kürzester Zeit eingerichtet werden kann. Die Conference Connection ist die erste Lösung
von Cisco für Audio-Konferenzen,
mit der Mitarbeiter mit einem Knopfdruck Besprechungen planen und an
ihnen teilnehmen können. Das Telefon dient dabei als Einwahl-Tool zu
einem Web-basierten Konferenzplaner. Das Cisco IP Phone Expansion Module 7914 bietet Benutzern des
Cisco 7960 IP-Telefons 14 zusätzliche Leitungszuschaltun-gen und
Kurzwahlfunktionen. Der Status der
Voice Integration
Leitungen, belegt oder frei, wird auf
dem LCD-Display des Telefons farbig angezeigt und ermöglicht so eine
schnellere Reaktion.
Neue Gateways
Cisco hat die Router der Reihe 2600
und 3600 bis hin zu den Modellen der
7200er Serie mit neuen Funktionalitäten ausgestattet, so daß sowohl kleine und mittelständische Unternehmen
als auch Konzerne die Vorteile der IPTelefonie nutzen können. Der Cisco
Catalyst 4200 SNA/IPX Access
Gateway Switch beispielsweise senkt
Mit der neuen SRST-Funktion
(Survivable/Standby Remote Site
Tele-phony) kann ein Cisco 7200
Router jetzt mit bis zu 500 Telefonen
im Ruftonverfahren eingesetzt werden, wenn das Fernnetz ausfällt. Unternehmen können mit den High
Density Analog Voice/Fax Network
Modules (NM-HDA) analoge Telefonkomponenten wie Faxgeräte oder Telefonanlagen direkt an vorhandene
Cisco Router der 2600 und 3600 Familie anschließen.
Das neue Voice Advan-ced Integration Module (AIM-VOI-CE-30) ermöglicht den Einsatz von 30 weiteren
Sprach- oder Faxkanälen ohne zusätzliches Netzwerk-Modul für den
Cisco 2600 und 3660.
01
Ausgabe 01/2002
4
CISCO
IBM
Security für Aironet 350
Limited
Edition
Cisco SAFE schützt Wireless LAN
Cisco Systems erweitert die Aironet 350 Serie um neue Sicherheitsfunktionen
und integriert die Wireless-Produkte in ihre Secure Architecture for EBusiness (SAFE). Mit den neuen Funktionen, die auf dem 802.1x Standard
basieren, kann eine erhöhte Sicherheit der Netzwerke gewährleistet werden.
D
Durch die Integration der Aironet 350
Serie in die SAFE-Architektur können Cisco Wireless LANs nun gegen
Angriffe von außen geschützt werden. IT-Manager können dazu eine
sichere Umgebung für WirelessApplikationen
und -Transaktionen entwickeln,
implementieren
und verwalten.
Zugleich schützen
sie das Netzwerk ihres Unternehmens
und ihrer Kunden. Durch Sicherheitsschwach-stellen des nach dem Standard 802.11b definierten statischen
WEP-Key-Managements (Wireless
Encryp-tion Privacy) können drahtlose Netzwerke prinzipiell mit einer
entsprechenden Software ausgelesen
werden. Durch die Erweiterungen der
Cisco Wireless 350 Serie wird diese
Möglichkeit verhindert.
Dynamischer Schlüssel
Ein Message Integrity Check (MIC)
erkennt und verwirft Pakete, die während einer Übertragung verändert
wurden. Diese Funktion basiert auf
der Überprüfung von Quell- und ZielMAC-Adresse, Encrypted Payload
und MIC-Schlüssel. Ein dynamischer
WEP Schlüssel schützt das Netzwerk
bei Verlust eines Laptops vor passiven Angriffen. Das neue Feature beinhaltet die Änderung des WEPSchlüssels pro Paket. Die Policy-Based
Key Rotation, die Aironet Schlüsselrotation, unterstützt nutzer- und
sitzungsbezogen bei der BroadcastSignalisierung für die Zuweisungen
der Clients zum Access Point. Die
Erzeugung eines neuen Schlüssels bei
“timeout” für Unicast-Schlüssel kann
zentral am Cisco Access Control Server oder Cisco Access Registrar Server konfiguriert werden. Für jedes Mal,
wenn sich ein Client an einem
Access Point anmeldet oder
ihn verläßt, kann man über
RADIUS Abrechnungsberichte und Prüfungen für
die Wireless-LAN-Nutzung veranlassen.
x380 Modelle mit
Windows Advanced
Server
IBM hat neue Modelle der IBM eServer
xSeries 380 angekündigt, die mit
Microsoft Windows Advanced Server, Limited Edition arbeiten. Diese
Version ist für Early Adopter gedacht
und eignet sich für Entwicklung, Tests
und für rechenintensive Business-Anwendungen.
WLANs in Cisco SAFE
SAFE basiert auf einem modularen
Netzwerkdesign, in dem SecurityDesigns, Implementierungs- und Management-Prozesse für Benutzer spezifiziert werden. Damit werden Netzwerke vor externen und internen Angriffen gesichert. Jedes Design-Modul bezieht sich auf einen spezifischen Bereich der Netzwerkinfrastruktur. Es adressiert die Sicherheitsbedürfnisse des Datenverkehrs innerhalb einer großen Bandbreite von
Netzwerkumgebungen. Die SAFE
Wireless-Netzwerk-Diagramme berücksichtigen die aktuellen Sicherheitsoptionen, die derzeit für einen
Wireless-Einsatz verfügbar sind. Die
neuen Security-Software-Erweiterungen sind als Upgrade für Kunden kostenfrei erhältlich. Der Cisco Aironet
Access Point der Software-Version
11.10 und der Cisco Aironet Client
Adapter in der Version 8.0 können
seit Dezember 2001 über das Cisco
Software Center heruntergeladen werden. Cisco SAFE Blueprints für Wireless LANs sind ebenfalls verfügbar
unter:www.cisco.com/go/SAFE.
01
Ausgabe 01/2002
5
D
Der IBM x380 liefert mit Windows
Advanced Server, Limited Edition,
eine Referenzplattform gemäß Industriestandard mit innovativer Architektur. Von ihr sollen rechenintensive
Anwendungen für Data Warehousing,
Business Intelligence, Online-Transaktionsverarbeitung und wissenschaftliche Analysen profitieren.
Denn als erste IBM Server nutzen die
Modelle der IBM eServer xSeries 380
den 64-Bit Intel Itanium Prozessor für
komplexe Datenanalysen und wachsenden Datenbedarf.
Das Microsoft Betriebssystem liefert
Zuverlässigkeit für speicherintensive
Anwendungen. Die hohe Speicheradressierbarkeit des x380 und die
Skalierungsfähigkeiten der Advanced
Server Limited Edition unterstützen
weitreichende Unternehmensanforderungen im High-end-Bereich.
n
NEWS
HEWLETT-PACKARD
AXIS COMMUNICATIONS
Fünfjahresplan
Innovativ
Drucker-, Storage- und
Videoanbindungen
Ausstieg aus HP e3000-Plattform
Hewlett-Packard veröffentlichte einen Fünfjahresplan für die HP e3000-Plattform. Demzufolge empfiehlt HP ihren Anwendern in den nächsten fünf
Jahren einen Wechsel vom HP e3000 Business Server auf andere HP-Server. Diese Entscheidung sei
vor allem durch die schnelle Entwicklung der
Prozessortechnologie begründet. Mittlerweile bieten andere HP-Server genau die Zuverlässigkeit wie
bis dato nur die e3000-Plattform.
G
Gemeinsam mit ihren Partnerunternehmen hat
Hewlett-Packard ein umfangreiches Programm zum
reibungslosen Übergang von der HP e3000-Plattform auf neue HP-Computersysteme erarbeitet. HP
wird ihre e3000 Business Server bis zum 31.Oktober
2003 weiter entwickeln und vermarkten. So werden
neue Entwicklungen in der PA-RISC-Prozessor- und
in der Speichertechnologie unverändert auch in den
HP e3000-Servern genutzt und zur Verfügung gestellt werden. Darüber hinaus wird Hewlett-Packard
ihre e3000-Plattform uneingeschränkt bis zum 31.
Dezember 2006 weiter supporten, damit den Kunden
ausreichend Zeit zur Verfügung steht, um ihre Anwendungen von der HP e3000-Umgebung mit dem
Betriebssystem HP MPE/iX auf neue HP-Plattformen unter HP-UX, MS Windows oder Linux zu
migrieren.
Axis bietet innovative
Produkte für Drucker-,
Storage- und Videoanbindungen im Netzwerk.
Mit den Lösungen des
schwedischen Unternehmens können Anwender effizienter auf gemeinsame Informationen zugreifen oder über ein
Ressourcen-Sharing allgemein zugängliche Peripheriegeräte in die PC-Arbeit mit einbeziehen.
A
Axis Communications ist eines der führenden Unternehmen im Network-Connectivity-Umfeld wie auch im Wachstumsmarkt für drahtlose, Internet-basierende Anwendungen. Neben ihren Produkten für die mobile Kommunikation steht ein besonders für kleinere Unternehmen interessantes Portfolio von Printservern. Axis bietet schnell zu
integrierende Lösungen, beispielsweise wo mehrere Anwender im Netzwerk einen oder mehrere Drucker gemeinsam nutzen sollen. Die Axis Printserver arbeiten unabhängig vom Fileserver und können zusammen mit jedem
gewünschten Drucker in die Netzwerkumgebung eingebunden werden, unter Windows, Apple, Linux und UNIX
wie auch unter IBM Mainframe oder AS/400. Installiert
und verwaltet werden die Printserver über das Web, wobei
die Axis-eigene ThinWizard Software zum Einsatz kommt.
Attached Storage
NEWS
Migration
Wo Speicherplatz auf der Festplatte immer wieder knapp
wird, oder wo Probleme mit überlasteten Servern beim
Backup entstehen, bietet der Axis NAS 100 eine kostengünstige und einfache Lösung für ein Network Attached
Storage über externen Speicherplatz. Der Storage Server
eignet sich besonders für kleinere Netzwerkumgebungen,
ist einfach zu installieren und unterstützt bis zu 15 Festplatten für das Back-up oder das Data Sharing von Arbeitsgruppen.
Den Anwendern neuerer HP e3000 Business Server
der A-Klasse oder N-Klasse entstehen keine Kosten
bei der Hardware-Konvertierung auf HP-UX-basierende Server. Über Trade-in-Programme und Rabatte
können Server unter HP-UX, MS Windows oder
Linux kostengünstig auch im Austausch erworben
werden. Unternehmen, die Migrations-Dienstleistungen auf Basis einer HP e3000-Infrastruktur anbieten,
werden von HP in vielfältiger Weise bei der Migration von Applikationen und bei der Übernahme ihrer
Kunden auf eine neue Plattform unterstützt. Ausführliche Informationen zu den angekündigten Plänen, White Papers und eine FAQ-Liste für Anwender
sind im Internet unter http://www.hp.com/
go/e3000 und http://www.hewlettpackard.de/server/mpe_ix/index.html
zu finden.
Netzwerkkameras
Die Netzwerkkameras von AXIS bieten Live-Bilder, auf
die über Internet oder das interne Netzwerk direkt zugegriffen werden kann. Im Vergleich zu den üblichen WebKameras benötigen diese Stand-alone-Einheiten keinen
PC zum Anschließen, sondern lediglich ein Modem oder
ein Network Socket. Sie haben ihren eigenen Webserver,
der den direkten Zugang zum Internet ermöglicht.
01
Ausgabe 01/2002
6
COMPU-SHACK PRODUCTION
Gebündelt
WAVEline Starter- und Workgroup-Bundles
Mit Beginn des Neuen Jahres bietet die Compu-Shack Production den preiswerten Einstieg in die Wireless-LANTechnologie. Die WAVEline Produktfamilie deckt eine Vielzahl von Wireless-Szenarien ab. Dabei sind die leistungsfähigen Drahtlos-Lösungen nun auch als günstige Starter- und Workgroup-Bundles erhältlich
digen Internet-Zugang bereit, ohne
daß ein Proxyserver oder ein weiterer
Router benötigt wird. Durch seine
NAT-Funktionalität schirmt er das
Netzwerk vom Internet ab und bietet
Schutz vor ungewolltem Zugriff von
außen. Zudem kann der Access Point
als DHCP-Server fungieren. Der
Administrationsaufwand beim Aufbau von großen Datennetzen wird auf
ein Minimum beschränkt, da die IPAdreßvergabe für das gesamte Netz
zentral über den AP gesteuert werden
kann. Die DSSS-Technologie bietet
eine Bandbreite von 11 Mbps. Zur
Vergrößerung der Funkzelle bis zu
einer Distanz von 400 m wird die
Übertragungsrate in Abhängigkeit der
Empfangsqualität vom Access Point
über Automatic Rate Selection selbständig reguliert.
F
Für Einsteiger in die Wireless-Technologie präsentiert die Compu-Shack
Production das Easy Starter Bundle.
Es besteht aus einem WAVEline
Wireless USB-Adapter zur schnellen
und einfachen PC-Anbindung sowie
einer leicht integrierbaren PCMCIA
Wireless-Karte, um Laptops in eine
Wireless-Umgebung einzubinden. Der
USB Adapter wird sofort vom Betriebssystem erkannt und ohne Eingreifen des Anwenders über Plug&
Play installiert. Bequem und ohne
Verwendung eines Access Points können Datenabgleiche zwischen feststehenden PCs und mobilen Notebooks vorgenommen werden, mit einer Übertragungsrate bis 11 Mbps.
Zur Ausdehnung einer Funkzelle kön-
nen die WAVEline Adapter die Datenrate regulieren und somit Distanzen
bis zu 140 m überbrücken.
Wireless Workgroup
Das Wireless Workgroup Bundle besteht aus einem Access Point (AP) mit
integriertem DSL-Router und zwei
PCMCIA Adaptern. Der Access Point
dient dabei als Verbindung zum drahtgebundenen Netz und kann durch
seine integrierte DSL-Router-Funktion auch direkt an ein DSL-Modem
angeschlossen werden. Damit läßt sich
die DSL-Verbindung problemlos mit
mehreren Notebooks nutzen. Der
Access Point stellt in diesem Fall seinen Wireless-Clients einen breitban-
01
Ausgabe 01/2002
7
WAVEline-Produkte
Alle WAVEline-Produkte entsprechen dem IEEE802.11b HighrateStandard und arbeiten laut ETSI Spezifikation im 2,4 GHz Band. Die Verwendung der WEP40- und WEP128Verschlüsselungstechnik in Verbindung mit Access Control List für eine
auf MAC-Adressen basierende Zugriffskontrolle gewährleistet eine sichere Datenübertragung.
Alle WAVEline Wireless-Adapter sind
zudem mit einem umfangreichen Software-Paket ausgestattet, das es erlaubt,
Störquellen schon im Vorfeld zu lokalisieren und die Verbindungsqualität zu testen, um einen optimalen Betrieb der WAVEline WirelessKomponenten zu garantieren.
n
NEWS
FOUNDRY NETWORKS
Speed up
High Performance FastIron Switch 4802
Der FastIron Switch 4802 von Foundry Networks vereint eine hohe Switching Performance mit einem der umfangreichsten Feature-Sets aller fest konfigurierten Switch Produkte. Dieser Layer 2/3 Edge Switch ist sowohl im Enterprise- als
auch Service-Provider-Umfeld einsetzbar.
D
Der FastIron 4802 liefert
höchste Switching-Performance im platzsparendsten
48-Port 10/100-Footprint
zu einem attraktiven PreisLeistungs-Verhältnis. Die
vollständig auf ASICs basierende Implementierung
der Layer 2/3-Funktionen,
der Access Control Lists
(ACLs) und der Rate-Limiting-Features machen ihn zu einer
bevorzugten Lösung für NetworkEdge-Installationen von Unternehmen und Service Providern. Er verfügt über eine Non-Blocking WireSpeed-Architektur, die eine Switching-Kapazität von 34 Gbps und eine
Switching-Performance von 10,1
Millionen Datenpaketen pro Sekunde erlaubt.
NEWS
Hohe Verfügbarkeit
Der FastIron 4802 ist der erste 1,5
Einheiten hohe, stapelbare Switch,
der modulare Redundanz und HighAvailability-Features unterstützt.
Dazu zählen unter anderem duale und
hot-swap-fähige interne Netzteile,
Load-Sharing-Funktion, hot-swapfähige Mini-GBIC-Interfaces und eine
komplette Ausstattung an Layer 2/3
Redundanz-Features. Der FastIron
4802 bietet sich damit nicht nur für
Firmennetzwerke, sondern auch für
sogenannten Mission-Critical-Applikationen an, wie sie bei Voice-over-IP
oder in Service Provider-Netzwerken
zum Einsatz kommen, wo hohe Verfügbarkeit rund um die Uhr erwartet
wird. Die optional verfügbaren SXoder LX-Gigabit-Interfaces des
FastIron 4802 ermöglichen mit einer
paketen minimiert. Mit Hilfe des JetCore ASIC von
Foundry werden TrafficPrioritäten auf der Basis von
802.1p, Type of Service
oder DiffServ unterstützt
und mit Hilfe der Access
Control List vergeben, auf
der Basis des Ports oder der
Übertragungsart.
Reichweite von bis zu 5 km eine weitreichende Verbindung in CampusNetzwerken.
Layer 2-3-Switching
Der FastIron 4802 bietet eine Reihe
innovativer Layer-2-Features, zu denen ein umfassender Support für dynamische VLANs und umfangreiche,
ASIC-basierte Quality-of-Service-Optionen gehören. Administratoren können die verfügbare Bandbreite erhöhen und Anwender zu virtuellen Arbeitsgruppen zusammenfassen. Die
Einteilung kann anhand der Ports, des
Protokolls, des Sub-Netzwerks oder
der 802.1q-Priorität erfolgen. Durch
die Unterstützung für IP, IPX,
AppleTalk und Multicast-Protokolle
wie PIM-DM, PIM-SM und IGMP fügt
sich der FastIron 4802 in heterogene
Netzwerkumgebungen und eignet
sich für VoIP- oder Multimedia-Übertragungen.
Um für die Next-Generation-Applikationen gerüstet zu sein, ist eine Kombination aus verfügbarer und garantierter Bandbreite sowie der Priorisierung des Datenverkehrs gegeben.
Somit werden Latenzzeiten, Jitter-Effekte und den Verlust von Daten-
NETGEAR
Unmanaged
- 9 Ports
Fast-Ethernet-Switch
509T mit integriertem
Kupfer-Gigabit-Port
Netgears neuer Fast-EthernetSwitch 509T ist für den Einsatz in
kleineren Netzwerken konzipiert.
Er besitzt acht 10/100-Mbps-Anschlüsse und einen Gigabit-Kupfer-Ethernet-Port. Wie bei allen
Netgear-Produkten gibt es für den
FS509T einen gebührenfreien
deutschsprachigen Support.
M
Mit acht Fast-Ethernet- und einem
dedizierten Gigabit-Port bietet der
Layer 2 Switch FS509T gerade kleineren Netzwerken skalierbare 10/
100Mbps-Verbindungen und die
01
Ausgabe 01/2002
8
ENTERASYS NETWORKS
x Module für X-Pedition
Enterprise Router 16 um HSSI, Serial WAN, ATM und FDDI ergänzt
Enterasys Networks bringt neue Module für die modularen Layer-3-7 Enterprise Router der X-Pedition Serie auf den
Markt. Damit läutet Enterasys die nächste Stufe des Multilayer-Routing für Unternehmensnetzwerke ein. Durch die
neuen Module wird der Gigabit Ethernet Router ER16, das Flaggschiff der X-Pedition Serie, mit neuer Technologie
ausgestattet, um die Verfügbarkeit und Leistung von Sprache, Video, Daten und Anwendungen im Local und Wide Area
Networking zu optimieren.
Möglichkeit, zum Beispiel einen
Gigabit-Server anzuschließen. Der
Kupfer-Gigabit-Port vermeidet
Engpässe in wachsenden FastEthernet-Netzwerken. Zur Ausstattung gehört eine spezielle Auto
Uplink-Funktion aller neun Ports.
Sie erkennt automatisch, ob ein angeschlossenes Netzwerkkabel eine
Verbindung zu einem PC oder eine
Uplink-Verbindung zu einem Switch,
Hub oder Router herstellen soll.
Easy Networking
Netgear hat ihre Switches mit automatischen Erkennungsfunktionen
für Übertragungsgeschwindigkeit,
Voll-/Halbduplex, Aktivität und
Kollisionen ausgestattet, um die
Vernetzung möglichst zu vereinfachen. Die Datenflußsteuerung auf
Basis des IEEE 803.x-Standards vermeidet Paketverluste. Die Installation des FS509T ist dank seiner
Automatismen und Plug&Play-Fähigkeit unkompliziert. Die Netzwerkverbindungen können auch
von Mitarbeitern ohne Spezialkenntnisse eingerichtet werden.
Crossover-Kabel entfallen. Alle für
den Betrieb benötigten Teile, auch
ein Rack-Mount-Kit, sind im Lieferumfang enthalten. Damit ist der
FS509T eine einfach zu installierende Lösung, deren Leistung und
Skalier-barkeit auch für kleine Budgets zu haben ist, mit Fünfjahresgarantie und zwei Jahren Garantie
auf das Netzteil.
I
In Kombination mit den bestehenden Gigabit Ethernetund Fast EthernetFunktionalitäten bietet
der ER16 Router eine umfassende Auswahl an
Technologien und Media
Connectivity. Das Angebot umfaßt jetzt auch die
Module ATM/OC-3,
WAN (HSSI), WAN (seriell), FDDI sowie
hochleistungsfähige Fast
Ethernet Glasfaser-Module. Sie alle sind mit
weitreichenden Funktionen ausgestattet, die die Sicherheit, die DatenPriorisierung und das Management
optimieren. Enterasys bietet damit ein
komplettes Spektrum, angefangen bei
kostengünstigen Legacy-Technologien bis hin zu den neuesten GigabitEthernet-Produkten.
X-Pedition ER16 Router
Der X-Pedition Enterprise Router 16
ist ein modulares Layer-3 Gerät mit 16
Slots. Seine hohen Kapazitäten, seine
Leistungsfähigkeit und umfassende
Application Services versetzen Unternehmen in die Lage, ihre Netzwerke durch Priorisierung und Traffic
Shaping, durch Application Load
Balancing und Content Verification
wirkungsvoll zu optimieren. Diese
erweiterten Services sorgen für entscheidende Kontrolle von Unternehmensanwendungen wie Enterprise
Ressource Planning (ERP), SAP oder
Datenbankanwendungen und bieten
erhöhte Sicherheit durch Multi-Layer
01
Ausgabe 01/2002
9
Security und Hochverfügbarkeit. Denn mit
dem verstärkten Einsatz
von Intranets, E-Commerce oder netzwerkbasierter Kommunikation, von Videokonferenzen und Webcasts
steigen die Anforderungen an Leistung, Effizienz und die Kontrolle
der Unternehmensanwendungen. Dies gilt für
Firmen- und Campusnetze
ebenso wie für Wide Area
Networks.
Connectivity-Optionen
Durch den Einsatz der neuen Enterasys
X-Pedition Module werden diese kritischen Netzwerk-Services anwendungs- und technologieunabhängig
unterstützt. Mit den neuen Komponenten für den Enterasys X-Pedition
ER16 Router erhalten Enterasys-Kunden dazu eine große Palette an
Connectivity-Optionen, die insbesondere WAN-Anforderungen abdekken und mit den Gigabit und Fast
Ethernet LAN-Fähigkeiten des ER16
ein hohes Maß an Flexibilität eröffnen und von einer einzigen Plattform
aus optimale Migrationsmöglichkeiten zu neuen Technologien bieten. Gleichzeitig profitieren Kunden
von wirkungsvollen Möglichkeiten,
E-Commerce, Multimedia und die
Konvergenz von Sprache, Video und
Daten zu kontrollieren und zu steuern. Die neuen Module sind ab sofort
verfügbar.
n
NEWS
INTEL
Science-Fiction
1 Milliarde Transistoren im Gehäuse
Die Intel Corporation stellt eine neue Gehäusetechnologie vor. Bumpless Build-Up Layer schafft die Grundlage für
Prozessoren mit 20 GHz Taktraten, deren Transistoren mit mehr als 1,5 Terahertz betrieben werden. BBUL bettet den
Prozessor-Die direkt in das Gehäuse ein und ermöglicht so höhere Leistung, niedrigeren Energieverbrauch und eine
insgesamt kleinere Prozessorgröße.
D
NEWS
Die Entwicklung der Bumpless BuildUp Layer (BBUL) wird uns Intel zufolge Anwendungen näher bringen,
wie wir sie bislang nur aus der ScienceFiction kennen. Auf dem Weg dorthin
markiert der Prozessor mit 1 Milliarde
Transistoren einen ersten Meilenstein.
Die Grundlage beim Bau von superschnellen Prozessoren mit hoher Dichte ist die Entwicklung von sehr schnellen und sehr kleinen Transistoren. Im
vergangenen Juni hatten Wissenschaftler von Intel die weltweit
schnellsten Transistoren vorgestellt,
die drei Atomlagen dünne Strukturen
nutzen und mit 1,5 Terahertz laufen,
das sind 1.500 Gigahertz. Der zweite
Schritt ist die Entwicklung einer fortschrittlichen Lithographie-Technologie, damit 1 Milliarde solcher Transistoren auf Silizium “gedruckt” werden können.
Prozessor-Dies
Der dritte Schritt ist die Entwicklung
eines Prozessorgehäuses, das die
schnellen Transistoren in dieser großen Menge nicht verlangsamt. Im
Prozessorgehäuse befindet sich der
Prozessor-Die (Silizium-Plättchen).
Verpackungen basierend auf der
BBUL-Technik sind vergleichsweise
dünner als herkömmliche und können daher mehrere dieser ProzessorDies in einer Verpackung vereinen.
Aufgabe des Gehäuses ist es, Dies mit
der Außenwelt zu verbinden und möglichst frei von Störungen und negativen elektrischen Einflüssen mit Strom
und Spannung zu versorgen. Das Gehäuse ist auch verantwortlich für den
schnellen Transport der Daten von
und zum Prozessorkern. Daher hat es
großen Einfluß auf die Prozessorleistung, gerade bei steigenden Frequenzen. Die Verwendung von schnellem
Silizium in einem langsamen Gehäuse würde zur Bremse für die Prozessorleistung. Insofern muß die Gehäusetechnologie mit der Geschwindigkeit
der Siliziumentwicklung Schritt halten. Intel engagiert sich daher stark im
Rahmen der Industrieinitiative zur
Entwicklung der Extreme UltraViolet (EUV) Lithographie. Dies ist
die treibende Kraft hinter der BBUL
Technologieforschung.
BBUL Gehäuse
In heutigen Gehäusen, wie denen des
Pentium 4 Prozessors, sind Gehäuse
und Die über winzige Kugeln aus Löt-
zinn miteinander verbunden, die als
Bumps bezeichnet werden. Diese stellen die elektronische wie auch die
mechanische Verbindung zwischen
Gehäuse und Chip dar.
Bei steigenden Frequenzen zukünftiger Prozessoren werden diese Verbindungen zu kritischen Elementen für
Leistungsfähigkeit und Verläßlichkeit des Prozessorentwurfes. BBULGehäuse verzichten vollständig auf
diese Bumps. Der Silizium-Die wird
nun nicht mehr auf dem Gehäuse befestigt, bei Einsatz der BBUL Technik wächst das Gehäuse um das Silizium herum.
Hochgeschwindigkeits-Kupferverbindungen verbinden die Anschlüsse
des Dies an die unterschiedlichen
Ebenen des Gehäuses. Diese Methode reduziert die Dicke des Prozessorgehäuses und reduziert den Strombedarf. Beides sind Schlüsselmerkmale
für kleine, batteriebetriebene Geräte
wie beispielsweise mobile PCs oder
Handheld-Geräte, sowie der Prozessorkühlung.
Die Verwendung der BBUL Gehäuse
stellt aber auch leistungsstärkere
Multichip Prozessoren in Aussicht,
wie zum Beispiel Server-Prozessoren
mit zwei Siliziumkernen oder den Bau
eines System-on-a-Package, in einer
sehr kompakten Bauform durch die
Verwendung von Hochgeschwindigkeits-Kupferleitungen, die sich direkt
oberhalb der verschiedenen Siliziumstücke befinden.
Damit stände hochkompakten und leistungsfähigen Computern - beispielsweise zur Integration in das Armaturenbrett eines Autos - nichts mehr im
Wege.
01
Ausgabe 01/2002
10
MICROSOFT
.NET Server vorab
Die nächste Generation der Windows Serverfamilie
Microsoft hat die nächste Generation ihrer Windows Serverfamilie angekündigt. Insgesamt sollen vier neue Serverbetriebssysteme auf den Markt gebracht werden. Die Vorabversionen wurden Ende November 2001 an die Beta-Tester
ausgeliefert. Die neuen Versionen sollen im ersten Halbjahr 2002 zu erwarten sein.
genüber als komplette Unternehmensplattform und bietet umfassenden
Support für die unternehmensweite
Infrastruktur, branchenspezifische
Anwendungen und E-CommerceTransaktionen. Der Windows .NET
Datacenter Server: bietet ein Höchstmaß an Skalierbarkeit und Zuverlässigkeit. Er ermöglicht die Erstellung
und Verwaltung komplexer Datenbanken, etwa in den Bereichen
Enterprise Resource Planning (ERP)
oder bei der Bearbeitung von umfangreichen Geschäftsvorgängen in
Echtzeit. Zudem gestattet er eine deutliche Konsolidierung der Serveranzahl.
D
Die jüngste Serverfamilie von Microsoft vereint Sicherheit mit hoher Leistung für anspruchsvolle Unternehmensanwendungen und bietet 64Bit Support für speicherintensive Arbeitsvorgänge. Die Unterstützung für
64-Bit-Architekturen ermöglicht ein
noch höheres Maß an Zuverlässigkeit
und Skalierbarkeit. Mit diesen neuen
Produkten wird die nächste Entwicklungsstufe der Microsoft Serverfamilie
eingeleitet. Sie unterstützt auch die
Extensible Markup Language (XML)
und das Microsoft .NET Framework.
Dies ermöglicht Unternehmen eine
effiziente Entwicklung komplexer
Internet-Anwendungen. Die Server
bilden die Grundlage der MicrosoftPlattform für XML-basierte WebDienste und ermöglichen den Datenaustausch und die Kommunikation
zwischen verschiedenen Anwendungen über das Internet. Denn XML ist
Anwenderspezifisch
unabhängig vom Betriebssystem und
kann in verschiedene Programmiersprachen integriert werden. Daneben
werden auch Industriestandards wie
SOAP, WSDL und UDDI unterstützt.
Vier neue
Zur neuen Generation zählen vier
Server-Produkte. Der Windows .NET
Web Standard Server wurde für die
Bereiche Frontend-Webserving und Webhosting entwickelt und bietet eine
Plattform für die schnelle Entwicklung und den beschleunigten Einsatz
von Internet-Diensten, Websites und
Anwendungen. Der Windows .NET
Standard Server ist eher auf die Bedürfnisse kleinerer Unternehmen oder
einzelner Abteilungen zugeschnitten,
leistungsstark und leicht zu bedienen. Die Windows .NET Enterprise
Server Version eignet sich demge-
01
Ausgabe 01/2002
11
Die vier neuen Serverprodukte lassen
sich optimal auf unternehmensspezifische Anforderungen abstimmen. Sie werden erweiterte Kommunikations- und Interaktionsmöglichkeiten bieten, verbesserte Multimediafunktionen über Windows Media Services und ein neues Tool zur Wiederherstellung von Dateien. Die SIP Services (Session Initiation Protocol)
beinhalten Programmierschnittstellen, die die Entwicklung von Lösungen zur Real Time Communication
ermöglichen, z.B. für Call-CenterAnwendungen. Mit Hilfe des neuen
Dateisystem-Tools können die Nutzer eine Übersicht über die ursprünglichen Inhalte der Netzwerkordner
erstellen und über den Serverspeicher
gelöschte Dateien problemlos wiederherstellen, ohne die Hilfe eines
Systemadministrators in Anspruch
nehmen zu müssen.
n
NEWS
NORTEL NETWORKS
USB IMPLEMENTERS
Intelligentes Webworking
Auseinandergelegt
Service-orientiertes Content Switching
Die Alteon-Produkte als jüngste Mitgliedern der Nortel Networks SwitchFamilie steigern durch intelligente Server-, Router- und Firewall-Lastverteilung und verbesserte Caching-Methoden die Effizienz von Websites.
Leistung plus Geschwindigkeit und Zuverlässigkeit stehen für ein erfolgreiches eBusiness mit Alteon.
D
NEWS
Das Web wächst und bleibt trotz mancher Skepsis einer der weltweiten
Wachstumsmotoren. Steigende Zahlen von Websites und eBusiness-Anwendungen belegen den Trend. Was
die Entwicklung bremst, sind Wartezeiten, die die User nicht akzeptieren.
Denn baut sich Untersuchungen der
gängigen Anwendungspraxis zufolge eine Seite nicht innerhalb von acht
Sekunden auf, so, sucht der Surfer
woanders weiter und landet möglicherweise bei einem Mitbewerber. Die
Alteon-Produkte von Nortel Networks
lösen dieses Problem mit Hard- und
Software-Lösungen der nächsten Generation, die die Effizienz von eBusiness-Anwendungen und Websites erheblich steigern.
ASIC-Unterstützung
Optimierte Server-, Router- und Firewall-Lastverteilung und Verbesserungen beim Caching zeigen sich von
massiven Seitenabrufen unbeeindruckt. Alteon sucht immer den kür-
zesten Weg zum entsprechenden Server und trägt darum wesentlich zur
Effizienzsteigerung bei. Der Integrated Service Director sorgt bei WebInfrastrukturen für eine einzigartige
SSL-Beschleunigung. Darüber hinaus
lassen sich Informationen schon im
Vorfeld filtern. Somit bildet Alteon
eine verläßliche Plattform für rechenintensive Applikationen. Die AlteonProdukte und Lösungen arbeiten Hardware-basierend mit einer verteilten
Architektur. Das Besondere dabei ist
die innovative Kombination aus
ASIC-Unterstützung für repetitive
Layer 2/3/4-Aufgaben und portspezifischer Paketverarbeitung komplexer Layer 4-7-Hochgeschwindigkeitsfunktionen. Eine dezentrale
Prozessortechnologie erhöht dabei
den Wirkungsgrad erheblich, weil die
Performance und die Verfügbarkeit
wirkungsvoll gesteigert werden. Mit
den Alteon-Produkten nähern sich
Web-Switching-Dienste und WebComputing-Applikationen weiter an.
www.compu-shack.de
PC-Studie: Arbeits- und
Eingabeeinheit trennen
Intel und Hewlett-Packard haben auf
der Comdex eine gemeinsame PC-Studie vorgestellt, deren Schwerpunkt
auf erhöhter Flexibilität in der Handhabung von PCs liegt. Der Concept
PC 2001 trennt Arbeits- und Eingabeeinheit über USB 2.0 Verbindungen,
wobei ein Flachbildschirm alle Anwendungselemente beinhaltet, während sich Rechnerbauteile wie CPU
oder Festplatte in einem räumlich
getrennten Element befinden.
E
Eine neue Version des Universal Serial
Bus 2.0 ermöglicht die Anbindung
separater Computer-Elemente über
eine extrem schnelle Verbindung, um
Arbeits- und Eingabeeinheiten zu
trennen. Der auf der Comdex vorgestellte Concept PC 2001 von Intel
und Hewlett-Packard legt den Rechner sogar auseinander. Ein Flachbildschirm enthält sowohl ein CDROM-Laufwerk und CD-Brenner als
auch Lautsprecher sowie USB-Anschlüsse für die externen Geräte. Für
die Eingabe stehen dem Nutzer
schnurlose Maus und Tastatur zur
Verfügung. Der Bildschirm ist an der
Wand oder auf einem drehbaren Ständer montierbar. Das separate Computerelement enthält versiegelte und
01
Ausgabe 01/2002
12
SUN
gesicherte Hardware-Komponenten,
die den direkten Eingriff eines Anwenders verhindern.
Sun Cobalt RaQ
In Zukunft USB 2.0
Das Demo-System weist auf ein zukünftiges PC-Design in einem hinsichtlich der Wärme- und Geräuschentwicklung optimierten Gehäuse.
Der Prototyp verwendete Microsoft
Windows XP Pro, drahtlose Bluetooth
und RF Tastatur und Maus, USB 2.0,
ATI Low Profile RADEON 7500 AGP
Videokarte sowie einen LCD Monitor mit DVI Schnittstelle. Noch ist der
Concept PC 2001 nicht für den Verkauf gedacht. Aber er zeigt die zukünftigen Fähigkeiten des Personal
Computer. Die Verbreitung von Universal Serial Bus 2.0 - oder Hi-Speed
USB 2.0 beschleunigt diesen innovativen Prozeß. USB 2.0 schreitet voran,
allein schon durch die Auslieferung
von USB-2.0-Treibern für Windows
XP und 2000 durch Microsoft. Inzwischen liefern OEMs die ersten USB
2.0 PCs aus. Intel testet einen Chipsatz mit integriertem USB 2.0. Die
Verbraucher werden demnach 2002
aus einer größeren Anzahl von Peripheriegeräten wählen können. Neben
den Add-in Cards, Hubs und Peripherie-Geräten, die im Fachhandel bereits angeboten werden, waren auf der
Comdex schon neue Produkte zu sehen, Scanner, DVD Player oder CDRW und andere mehr.
Zertifiziert
USB-IF Logos für Produkte, die die
Richtlinien des USB Implementers
Forum einhalten und die gesteigerte
Bandbreite des Hi-Speed USB 2.0
nutzen, sind längst entworfen. Diese
Geräte erhalten auf der Verpackung
ein blau, weiß, rotes Logo mit den
Worten “Certified” und “Hi-Speed”.
Peripheriegeräte, die mit der vollen
Geschwindigkeit von 12 Mbps arbeiten, wie Tastaturen, Mäuse, Joysticks
oder Lautsprecher, werden über das
gleiche Logo identifiziert, allerdings
fehlt der Schriftzug “Hi-Speed”. Bis
heute haben sich 300 Unternehmen
als Lizenznehmer des USB-IF Logos
eingetragen. www.usb.org
High-Performance Server Appliances
Die RaQ Server Appliances von Sun Cobalt verbinden einfache Bedienung mit
hoher Zuverlässigkeit und Performance, wie sie unternehmenswichtige Applikationen und dynamische Websites fordern. Sofort nach dem Auspacken
integriert Cobalt RaQ die gesamte Hard- und Software, Datenbanken und alle
Entwicklungstools, die für Service Provider nötig sind, um Ressourcenintensive Web-Applikationen zu entwickeln und anzubieten.
D
Die RaQ XTR Server Appliance bietet
ein Service-zentriertes Design, verbunden mit bis zu vier frontal auswechselbaren Festplatten, einem
Pentium III Prozessor und 1 GB PC133 SDRAM in einem platzsparenden Formfaktor von einer Höheneinheit. Die Integration der RAID
Level 0, 1 und 5 bedeutet hohe Zuverlässigkeit, um auch unternehmenskritische Applikationen im Netz bereitzustellen. Die RaQ XTR Server
Appliance ist vorkonfiguriert und
enthält alle notwendigen Tools und
Services, um inhaltsreiche Web-Seiten innerhalb von Minuten einsetzen
zu können. Die Installation erfolgt
innerhalb von 15 Minuten. Entwikkelt, um Service Providern mit einem
leicht zu wartenden dedizierten Server zu versorgen, bietet RaQ XTR
einen Administrator-Report zur Kontrolle der Server-Farm, zur Steigerung
der Performance und zum Ausbau für
Ressourcen-intensive Applikationen
Web-basierte Services
Vorkonfiguriert und mit einer kompletten Entwicklungsumgebung ausgestattet, die Active Server Pages
(ASP), PHP 4, CGI und Perl enthält, ist
RaQ XTR die ideale Plattform für
Entwickler, die netzwerkbasierende
Applikationen schnell einsetzen
möchten. Einzigartig an der Server
Appliance Familie von Sun Cobalt ist
die Integration der Applikationen und
Systemfunktionen in ein einfach zu
bedienendes User Interface, den Sun
Cobalt Desktop. Dieses leistungsfä-
01
Ausgabe 01/2002
13
hige Tool ermöglicht ein vom Kunden gemanagtes System und reduziert den Administrationsaufwand des
Providers. Der Desktop schirmt vor
der technischen Komplexität ab. Und
wenn Benutzer nicht mit dem LinuxBetriebssystem arbeiten möchten, so
brauchen sie es auch nicht.
Sun Cobalt RaQ 4
In der 4.Generation integriert Sun
Cobalt RaQ 4 das ganze Spektrum an
Internet- und Anwendungsdiensten
zu einem der umfassendsten Angebote auf dem Markt, mit integrierter Unterstützung von Standardentwicklungsfunktionen wie ASP- und PHPTechnologien.
Durch RAID 1 Festplattenspiegelung
und InterBase 6 als Standardfunktionen entsteht eine Plattform für unternehmenswichtige Anwendungen, die
hohe Anforderungen an die Zuverlässigkeit stellen. Ein Vorteil für Entwickler ist die Vorkonfigurie-rung für
den Einsatz der führenden Entwicklungsumgebungen für Web-Anwendungen. RaQ 4 bietet eine Vielfalt von Tools, von Microsoft
FrontPage 2000 und Visual InterDev
über Macromedia Drumbeat bis
NetObjects Fusion. Beginnend mit
der Integration von Chili!Soft Active
Server Pages setzt sich die breite Unterstützung über PHP, der Skriptsprache Perl, CGI und Erweiterungen
von Frontpage 2000 fort.
Compiler, Editoren, Debugger, Header-Dateien und Bibliotheken sind
enthalten.
n
NEWS
...Zwei in Eins
Switching Modul Plattform:Nortel Networks
kombiniert die Funktionalität und Leistung von zwei
herausragenden Routing- und Switching-Produkten in
einer Plattform. Der Passport 8600 Routing Switch integriert das neue Alteon Web Switching Modul (WSM)
und bildet so eine skalierbare Hochkapazitätslösung,
die sowohl robuste Layer 2-3 Switching- und RoutingFunktionen als auch umfassendes und intelligentes
Layer 4-7 Content-Switching übernimmt. Dieses leistungsstarke Layer 2-7 Traffic-Management macht den
Passport 8600 zu einer starken, universell skalierbaren
Lösung, selbst für überdurchschnittlich hohen Datenverkehr. Es werden moderne Internetapplikationen unterstützt und gleichzeitig eine Vielzahl von 10/100/
1000-Ethernet-Anbindungen an Server, Router oder
Firewalls ermöglicht. Die Netzwerkleistung insgesamt
wird erheblich verbessert. Dank des modularen Designs
läßt sich der Passport 8600 Routing Switch problemlos
an neue, kundenspezifische Anforderungen anpassen.
...Übergang zum Euro
Smarttag für die Währungsunion: Microsoft veröffentlichte Anfang Dezember 2001 das Euro
Smarttag für Word und Excel 2002. Neben dem bereits
in Excel 2002 integrierten Add-In für die Euro-Umrechnung steht damit eine zweite Lösung bereit, die die Benutzer beim Übergang zum Euro unterstützt. Das neue
Smarttag ermöglicht die automatische Erkennung und
Umrechnung der zwölf in der europäischen Währungsunion vereinigten Landeswährungen in Euro beziehungsweise umgekehrt von Euro in eine Landeswährung. Neben der deutschen Fassung sind acht Sprachversionen erhältlich: Niederländisch, Englisch, Französisch, Italienisch, Spanisch, Portugiesisch, Finnisch und
Griechisch. Die deutsche Version des kostenlosen Euro
Smarttag steht im Internet unter http://
office.microsoft.com/germany/downloads und liegt der
aktuellen TN Monats-CD bei.
NEWS
...Single-Chip
Kosten und gesteigerte Leistungsaufnahme der Kommunikationsausrüstung verursachen würden. Intels neue
Technik erweitert die Multiprozessor-Architektur der
Intel IXP1200 Netzwerk-Prozessor Familie und bietet
bahnbrechende Verarbeitungsgeschwindigkeit durch die
dynamische Zuweisung von steuerbarer Rechenleistung
an die Datenpakete. Jedes der RISC Prozessor-Elemente
kann speziell für die Verarbeitung eines einzelnen Paketes oder einer Zelle eingesetzt werden. Oder die Verarbeitung eines einzelnen Paketes oder einer Zelle wird auf
mehrere Processing Elemente verteilt. Die Entscheidung
über den effizientesten Einsatz der Rechenleistung wird
durch eine hochentwickelte Pipelining Software getroffen, die mehrere Paket-Verarbeitungs-Aktivitäten gleichzeitig ausführen kann und so die Verarbeitungsgeschwindigkeit drastisch beschleunigt. Mehrere in den SingleChip-Netzwerk-Prozessor integrierte RISC ProzessorElemente sichern ausreichenden Leistungs-Spielraum
für den Einsatz anspruchsvollster Anforderungen bei der
Paket- oder Zellen-Verarbeitung.
...Popularität
Write Once, Run Anywhere:Seit dem Herbst
2002 arbeiten erstmals mehr Software-Entwickler in Java
als in irgendeiner anderen Programmiersprache. Dies
geht aus einer aktuellen Studie von Evans Data hervor.
Sun Microsystems hatte Java 1995 vorgestellt und über
einen offenen Standardisierungsprozeß zu weltweiter
Popularität verholfen. Heute arbeiten laut Evans-Report
54 Prozent aller Software-Entwickler damit. Die bislang
bevorzugten Programmiersprachen C und C++ bringen
es zusammen noch auf 51 Prozent der Entwicklergemeinde. Alle anderen liegen unter 50 Prozent. Der
Erfolg von Java basiert auf dem einfachen Konzept, daß
ein in Java entwickeltes Programm ohne Änderungen auf
möglichst vielen Computern, Betriebssystemen und
sogar in Handys, Taschencomputern, digitalen Fernsehern und Autos funktioniert. Voraussetzung ist eine
strikte Standardisierung. Die Weiterentwicklung wurde
einem unabhängigen Gremium, dem Java Community
Process (JCP) anvertraut, das dafür sorgt, daß alle Lizenznehmer mit ein- und derselben Java-Norm arbeiten. Der
Versuch von Microsoft, den Standard zu unterlaufen,
wurde im Januar 2001 durch richterliche Anordnung
gestoppt.
Netzwerk-Prozessor mit 10 Gbps:Intel hat
eine neue Technik vorgestellt, mit deren Hilfe das Unternehmen die ersten voll programmierbaren 10-GigabitNetzwerk-Prozessoren der Industrie anbieten kann. Sie
kombiniert mehrere Prozessor-Elemente, hoch entwikkelte Software Pipelining Techniken sowie verteilte
Speicher-Caching-Mechanismen zur Realisierung eines
breiten Angebotes an Netzwerkdiensten. Nicht mehr
benötigt werden spezialisierte Classification-Engines
oder Traffic-Management-Coprozessoren, die höhere
...Austauschaktion
X1200-Netzteile mit 0800: Innerhalb des
Seriennummernkreises X1B120000310001 bis
X1B140001030651 des BinTec Routers X1200 wurden
fehlerhafte Netzteile beigelegt. Diese sind zu erkennen
an der Prägenummer 0800 auf dem Gehäuse unterhalb
des Steckers. Wenn Sie an Ihrem X1200 ein solches
Ticker
01
Ausgabe 01/2002
14
Netzteil betreiben, können Sie über die Internetseite des
BinTec Supports kostenlosen Ersatz anfordern. Ihr Netzteil brauchen Sie nicht einmal zurückzusenden, es genügt das Formular im Web auszufüllen.
www.bintec.de.
Generation des Novell eDirectory auf den Markt bringen,
mit Funktionen für das mobile Management über Internet
und Mobilfunk sowie verbesserten XML-Fähigkeiten
und Authentifizierungs-Technologien für die Web-Services von morgen.
...54 Mbps WLAN
...Industrialisierung
Produkte nach 802.11a: Die Wireless LANProdukte von 3Com sollen künftig um 5 GHz Lösungen
mit 54 Mbps Übertragungsrate ergänzt werden. Erste
Produkte nach dem schnelleren IEEE Standard 802.11a
sollen Mitte 2002 verfügbar sein. Sie sollen die 11 Mbps
Lösungen im 2,4 GHz Bereich und die Bluetooth-Technologien ergänzen. 3Com folgt der Nachfrage nach noch
schnelleren Übertragungsraten im WLAN und kündigt
neue Produkte an, die in Zukunft mit 54 Mbps
Übertragungsrate erhöhte Bandbreite für Wireless LAN
Applikationen bieten, gleichzeitig aber die bestehenden
802.11b- und Bluetooth-Netze integrieren sollen. Die
3Com Corporation will als aktives Mitglied im
Standardisierungsgremium sicherstellen, daß spezifische
Probleme, wie Sicherheit in Unternehmen, tragbare Kosten sowie die Koexistenz mit 802.11b Netzwerken gelöst werden. Dabei stehen die Skalierbarkeit von 802.11bTechnologien auf höhere Bandbreite, die 802.11a
Kompatibilitätstests und der Abschluß des 802.11g Standards für 22 Mbps bei 2,4 GHz oben an.
Robustes High-Speed-Modem: Elsa hat mit dem
MicroLink 56K i ein Highspeed-Modem entwickelt, mit
einem besonders hohen Maß an Betriebs- und Systemsicherheit für den industriellen Einsatz, selbst unter härtesten Bedingungen. Das Industriemodem zeigt seine Stärken in der Meß-, Regel- und Steuerungstechnik, wo bei
Fernabfragen eines Maschinenstatus, bei Kassensystemen oder Alarmanlagen zuverlässige Datenkommunikation und stabile Internetanbindungen verlangt werden. Ausgestattet mit einem robusten, stapelbaren Aluminium-Gehäuse und zahlreichen Sicherheitsmerkmalen
kann das MicroLink 56K i, alternativ zum herkömmlichen Stecker-Netzteil, auch mit Spannungen zwischen
9V und 30V - sowohl mit Gleich- als auch mit Wechselspannung - betrieben werden. Über eine integrierte
Powerfail-Überwachung wird die Versorgungsspannung
ständig kontrolliert. Sinkt diese unzulässig stark, wird
das Modem angehalten und nach wiederhergestellter
Spannungsversorgung wieder gestartet. Im Falle von
Verbindungsabbrüchen oder internen Fehlern führt der
Hardware-Watchdog automatisch einen Neustart durch
und verhindert so das Einfrieren des Systems. Die paßwortgeschützte Fernkonfiguration ist ein Feature, das sonst
nur in Netzwerk-Routern zu finden ist. Mit der automatischen Rückruf-Funktion können komfortabel Fernabfragen durchgeführt werden. Das MicroLink 56K i ist bei
Systemdistributoren und Fachhändlern verfügbar.
...eBusiness Directory
Mit SAP-Zertifizierung:Novell hat im Dezember eDirectory 8.6 auf den Markt gebracht. Mit eDirectory
können Kunden durch das zentrale Management von
Anwendern, Zugriffsrechten und Netzwerk-Ressourcen
eine One Net Umgebung schaffen, in der verschiedenste
Netzwerke nahtlos zusammenarbeiten. Es bietet die
Grundlage für verzeichnisbasierte Lösungen in Bereichen wie eProvisioning, die Kontrolle von Anwenderzugriffen und Desktop-Management. Die eBusiness-Fähigkeiten wurden weiter ausgebaut, neue Funktionen für
Entwickler von verzeichnisbasierten Applikationen integriert sowie neu entwickelte Such- und Backup-Funktionen hinzugefügt. Fast gleichzeitig hatte SAP Novell
eDirectory als ersten Verzeichnisdienst für den Betrieb
mit dem SAP Web Application Server zertifiziert, die
Benutzer- und Managementschnittstelle für die
mySAP.com eBusiness Lösungen. Auch wurde der Novell
DirXML Treiber für SAP HR geprüft. Er synchronisiert
Anwender-Informationen zwischen der mySAP Human
Resources Applikation, eDirectory und anderen Unternehmensanwendungen. Der Treiber wird ab Januar 2002
verfügbar sein. Durch die Zertifizierungen wird Novell
Mitglied im SAP Software Partner Programm. Und schon
im April 2002 will Novell mit “Falcon” die nächste
...Nobel Knobel
Ansichten zum Internet:Zum ersten Mal wurden Nobelpreisträger weltweit nach ihrer Einschätzung
zum Internet und dessen Auswirkungen befragt. 71 Preisträger aus allen Kategorien nahmen an der Untersuchung
teil, um die Frage auszuknobeln, wie das Zusammenspiel
von Internet, Bildung und Innovation in den nächsten 20
Jahren die Welt beeinflussen wird. Den noblen Befragten
zufolge hat das Internet auch in Zukunft einen positiven
Einfluß auf die Verbreitung von Wissen und Bildung
sowie auf den allgemeinen wirtschaftlichen Wohlstand.
93 Prozent denken, daß das Internet die grenzüberschreitende Kommunikation verbessern wird und Barrieren
zwischen den Kulturkreisen fallen werden. Als potenzielle
Gefahren sehen sie die Verletzung der Privatsphäre (65
Prozent), eine wachsende Entfremdung (51 Prozent) sowie größere politische oder wirtschaftliche Ungleichheit
(44 Prozent) www.cisco.com/nobel.
01
Ausgabe 01/2002
15
thema des monats
GEHOBENE ANSPRÜCHE
Switch MONitoring
Service-Qualitätskontrolle und Netzwerkmanagement
Von Detlev Reimann
D
Die Sprach-DatenIntegration und
Quality of Service
stellen erhöhte Anforderungen an das
Management der
Netzwerkinfrastruktur. Ein aktueller
Trend, um solch
komplexe Netzwerkumgebungen
kontrollierbar und
beherrschbarer zu
machen, ist die Festlegung und Umsetzung des Switch
Monitoring, kurz
SMON.
01
Ausgabe 01/2002
16
Konvergenz, Sprach-Daten-Integration und in diesem Zusammenhang
auch Quality of Service sind aller
Orten im Gespräch. In diesem Umfeld
der gehobenen Ansprüche an erweiterte Services ergeben sich neue Anforderungen an das Management der
Netzwerkinfrastruktur. Quality of Service muß nicht nur definierbar und
konfigurierbar, sondern auch glaubhaft nachprüfbar, also überwachbar
sein. Eine aktuelle Tendenz, eine
Netzwerkumgebung verwalt- und
beherrschbarer zu machen, ist das
Switch Monitoring. Das Thema steckt
zwar noch relativ fest in den Kinderschuhen. Trotzdem soll es Gegenstand des vorliegenden Artikels sein,
weil kein Hersteller um die Anforderungen und geeignete Lösungen herumkommt. Deshalb sind die Schwerpunkte des nachfolgenden Artikels
die Darstellung der aktuellen Bedingung an die Überwachung moderner
Netzwerkinfastrukturen. Wir zeichnen die Evolution von SNMP nach,
klären die grundlegenden Begriffe
von SMON und zeigen Lösungsvarianten für die Kontrolle von Service
Levels.
Monitoring
Netzwerke sind sehr ”lebendige”
Strukturen. Fast in jedem Beratungsgespräch hört man die Aussage: ”Unser Netzwerk ist gewachsen.” Einerseits ist es ein Beleg für die Dynamik
der IT-Entwicklung der letzten Jahre
in einem bestimmten Unternehmen,
andererseits ist es Ausdruck einer gewissen Unsicherheit in Bezug auf die
nächsten Schritte zur Erweiterung, zur
Effizienz- und Performance-Steigerung und natürlich zu einer besseren
Verwaltbarkeit des Netzwerkes. Weil
die IT-Infrastrukturen immer mehr zur
Grundlage für den Erfolg eines Unternehmens werden, gewinnen zweifellos das Design, die Verfügbarkeit
und der Betrieb eines geeigneten
Netzwerkes allerhöchste Bedeutung.
Sie bieten die netzwerkseitige Basis
dafür, daß geschäftskritische Anwendungen wie CRM-Tools, Call-CenterLösungen oder ERP-Umgebungen,
performant und jederzeit im Zugriff
sind. Für den Betrieb einer solch
komplexen Infrastruktur ist das Monitoren, die Überwachung bestimmter Regelgrößen, ein wichtiger Teilprozeß. Die Abbildung 1 stellt eine
mögliche grafische Beschreibung eines solchen Produktionsprozesses
und die Einordnung des Monitorings
in die Abläufe dar. In der Box auf Seite 18 werden die zentralen Begriffe
aufgeführt.
Proaktiv
Aus diesen Abhängigkeiten folgen
die bereits vom Marketing propagierten Forderungen nach einem ”proaktiven” Management. Es setzt Realtime-Informationen genauso voraus
wie ein Offline- Reporting. Hieraus
ergeben sich die Potentiale effektiver Netzwerkbetreuung und die Vorteile eines ”proaktiven” Managements.
An dieser Stelle sei eingeschoben,
daß ”proaktiv” eine ungewöhnliche
Wortschöpfung ist, die sich allerdings
in diesem Zusammenhang verbreitet
hat. Der Duden kennt nur ”aktiv”. Um
nicht ”reaktiv” zu agieren - denn
darum geht es - meint ”proaktiv”,
vorausschauend tätig zu werden. Die
Intention ist, ”präventiv” zu wirken.
Die Bedeutung des Monitoring sowie die Qualität und Quantität seiner
Regelgrößen hängen sinnvollerweiVorteile
se vom geschäftlichen Umfeld ab.
Nicht zu jeder Zeit muß alles über- Aktuelle Daten liefern Aussagen über
wacht werden. Die Qualität der Regel- den momentanen Zustand des Netzgrößen bestimmt, welche Werte in werkes und ermöglichen die Eingrenwelcher Korrelation erfaßt werden zung der Betreuung auf kritische Besollten, um geeignete Aussagen über reiche. Dennoch ist es unpraktisch,
einen bereitgestellten Service zu er- 24 Stunden am Tag und 7 Tage die
halten. Die Quantität definiert die Woche die Bildschirme der ConsoSchwellwerte und Änderungsgrößen le(n) zu überwachen. Jeder Netzwerkder festgelegten Parameter. Eine er- verantwortliche stellt die Forderung
reichbare Qualität ist nur etwas wert, nach Automatisierung. Monitoring
wenn sie meßbar, also quantifizierbar reagiert nach einem Regelwerk auf
ist.
Die Festlegung der Abb. 1: Variante (grob) über die Einordnung des Monitoring in
den IT-Produktionsprozeß
für das jeweilige
Unternehmensnetz
geeigneten Parameter setzt Kenntnisse
voraus über:
- die verwendeten
Anwendungen, deren Einfluß auf den
Geschäftsverlauf
und deren ”Verhalten” im Netzwerk,
- die vorhandene
und geplante Netzwerkinfrastruktur
des Unternehmens
sowie
- die verfügbaren
Technologien.
01
Ausgabe 01/2002
17
thema des monats
Vorfälle, die genannten Incidents. Es
kann Daten zusammenfassen und in
einem Kontext darstellen. Aber operatorloser Betrieb bedeutet nicht
betreuungsloser Betrieb. Das Regelwerk muß erstellt und gepflegt werden. Erst dann ergeben sich die Vorteile eines proaktiven Managements:
erstens ein genaueres Verständnis und
Erfahrung über das Netzwerkverhalten, zweitens Planungsgrundlagen für
die zukünftige Entwicklung, drittens
ein vorausschauender Betrieb und
viertens Beurteilungskriterien für den
Einsatz von Anwendungen.
Erfahrung
Erst die Sicht über einen längeren
Zeitraum gibt dem Verantwortlichen
das Gefühl dafür, was im Netzwerk
normal ist. Das Netzwerkverhalten
betrifft neben dem Datenverkehr auch
diverse Ereignisse und Fehlerzustände. Auch Fehler sind ”normal”.
Ihre Wahrscheinlichkeit ist beim Design der Protokolle und der Infrastruktur - bei vielen unbewußt - mit eingeplant. Letztlich muß man die Häufigkeit der Fehler, ihre Ursachen und
Auswirkungen beurteilen. Allgemei-
Grundlegende Begriffe
Monitoring: ist die Überwachungen anhand von (Monitor-)Vorgaben, die die Art
der Überwachung und die Schwellen und Bedingungen für die Erzeugung von
Monitorereignissen enthalten. Das Monitoring verändert die IT-Umgebung nicht.
Monitoring ist Bestandteil des IT-Produktionsprozesses (Teilprozeß), d.h. des
laufenden Betriebes der IT-Infrastruktur.
Vorgaben: sind das Regelwerk für das Monitoring und basieren technisch meist
auf Programmen oder Scripten. Entscheidend für die Erzeugung und Pflege von
Vorgaben ist die Monitorplanung. Sie greift auf vereinbarte Service Level Agreements (SLA) und entsprechende allgemeine Planungsvorgaben zurück. Output
des Monitorings können Ereignisse, Ergebnisse (Reports) und Anpassungsaufträge sein.
Monitorereignisse: Das sind Vorfälle, die eine bestimmte unmittelbare Meldung über diesen Vorgang auslösen. Das können Traps, SMS-Nachrichten,
Syslog-Messages, E-Mails usw. sein. Sie triggern weitere Aktionen außerhalb
des Monitorings an.
Ergebnisse: des Monitorings werden in der Regel in Form von Reports zur
Verfügung gestellt. Anhand der historischen Daten lassen sich langfristige Veränderungen erkennen. Diese Informationen können beispielsweise auch eine
Grundlage für Zukunftsentscheidungen für Änderungen in der IT-Umgebung
sein.
Anpassungsaufträge: Das Monitoring erfordert permanente Betreuung. Letztlich sollte ständig über Sinn und Unsinn von bestimmten Reports und Meldungen nachgedacht werden. Außerdem kann es zu Zuständen kommen, die bisher nicht berücksichtigt wurden oder nicht berücksichtigt werden konnten. Insofern ergeben sich Anpassungsaufträge durch das Monitoring. Das in diesem
Zusammenhang notwendige Customizing ist eine wichtige Tätigkeit, das
Monitoring zu optimieren und die Aussagekraft des Outputs zu verbessern. Das
ist eine permanente Aufgabe und Bestandteil des IT-Betriebes, in dem Monitoring
erforderlich ist.
ne Faustregeln helfen nur zur groben
Orientierung. Monitoring dagegen
hilft, das Netzwerk genau kennenzulernen.
Planung
Die Ursachen für Änderungen in der
Infrastruktur sind vielfältig: Ausbau
der Netzwerkteilnehmer, Anbindung
von Partnern, informationstechnische Sicherstellung neuer Geschäftsfelder, neue Anwendungen usw.
Die genaue Kenntnis der vorhandenen Struktur, ihrer Reserven und ihrer Möglichkeiten zur Skalierung
machen Änderungen vorausschauend
und bei weitestgehend geringem Einfluß auf den laufenden Betrieb realisierbar.
Betrieb
Nicht nur gravierende Änderungen
wie die Umstellung einerAnwendung
oder die Bereitstellung neuer Services haben Einfluß auf den Betrieb.
Anwender ändern ihr Nutzerverhalten, Aufgaben werden neu verteilt,
Mitarbeiter erhalten zusätzliche
Kompetenzen, Datenmengen wachsen oder E-Mail-Systeme werden
(vorerst) unbemerkt als Datenmanagement-Lösung benutzt. Die Anforderungen und Informationsvolumen
ändern sich stetig. Gesteigerter Load
im Netzwerk und eine höhere Zahl
von Fehlern sind meist die Folge. Das
subjektive Urteil des Anwenders lautet: ”Das Netzwerk ist schlechter geworden.” In dieser Situation wird auch
der Unterschied zu einemVoice-Netzwerk deutlich. Eine Telefonanlage ist
immer für die bereitgestellten Anschlüsse ausgelegt. Eine solche Größe gibt es per Definition im Datennetz nicht. Eine Voice-Verbindung
belegt immer die gleichen Ressourcen, unabhängig ob gesprochen oder
”geschwiegen” wird. Bei Datenverbindung hingegen ist es schon entscheidend, ob der Anwender ein Terminal bedient oder einen Filetransfer
anstößt.
01
Ausgabe 01/2002
18
Anwendungen
Monitoring kann auch Anwendungsentwicklern mehr über das Verhalten
”ihrer” Anwendung sagen. Das ist eine
Problemstellung, welche gegenwärtig kaum thematisiert wird. Kaum ein
Entwickler kennt die Anwendung
unterhalb der von ihm genutzten
APIs. Performance-Probleme im Betrieb werden oft lapidar mit Forderungen nach mehr Bandbreite oder mehr
Serverressourcen abgetan. Monitoring der Anwendung hilft beispielsweise die Effizienz eines SQL-Statements oder die Sinnhaftigkeit von
bestimmten Treibern oder APIs zu
beurteilen.
Troubleshooting
Proaktives Monitoring schließt das
reaktive Monitoring nicht aus. Im
Falle von Ereignissen lassen sich so
schnell Probleme und Störfälle eingrenzen. Troubleshooting ist bei vielen Netzwerkbetreuern der erste Zugang, sich mit einer Netzwerkmanagementlösung zu beschäftigen.
Quality of Service und die Einhaltung
von Service Levels läßt sich damit
jedoch nicht erreichen. Eine Störungsbehebung dem Anwender als
Service zu verkaufen, ist nicht serviceorientiert. Allerdings liegt genau
hier die psychologische Barriere für
die Investition in die Infrastruktur.
”Das Netzwerk funktioniert doch!
Never touch a running system!”
Technische
Anforderungen
Die Festlegungen zum Monitoring
betrafen in der Vergangenheit sogenannte konventionelle Netzwerke.
Das bedeutete, daß alle Stationen am
selben LAN-Segment (BandweitenDomäne) angeschlossen waren. In
diesen Shared Segments teilen sich
alle Stationen die vorhandene Band-
breite und, für das Monitoring entscheidend, die Datagramme können
von jeder Station in diesem Netzwerk
gelesen werden. Das ist ein ideales
Feld für den Einsatz von Sniffern und
RMON-Probes. Remote MONitoring
(RMON) ist für Shared Networks entwickelt worden. Die Abbildung 2
zeigt den prinzipiellen Aufbau einer
solchen Umgebung.
Switched Segments
Probes
Man kann eine Probe in eine Verbindung einschleifen. Das geschieht in
der Regel an wichtigen Kommunikationspunkten, z.B. am Anschluß zum
zentralen Server oder zum Router hin.
Nachteilig ist, daß eine bestehende
Verbindung kurzzeitig für das Einbringen der Probe oder bei Änderungen getrennt werden muß. Es kann
nur diese Verbindung überwacht werden. Vorteil ist, daß auf dem Switch
keine Intelligenz (Managementfunktionen) implementiert sein müssen.
Eine Probe kann aber auch direkt an
einen Switchport angeschlossen wer-
In der letzten Zeit haben sich Switched Networks durchgesetzt. DieWeiterleitung der Datagramme erfolgt
meist anhand der MAC-Adresse eines
Frames. Der so arbeitende Layer 2Switch lernt an den
Ports die eingehenden
Source-MAC-Adressen Abb. 2: Nutzung eines Shared Network
und trägt sie in eine Tabelle ein. Die Entscheidung zur Weiterleitung
der empfangenen Frames trifft das Gerät mittels Ziel-MAC-Adresse
in diesem Paket. Dazu
sucht der Switch in der
Tabelle mit den gelernten Adressen und leitet
den Frame an den Port,
an dem die Adresse gelernt wurde. Ist die
Adresse nicht in der Tabelle, sendet der Switch Abb. 3: Skizze eines Switched Network
das Paket an alle Ports
(Broadcast). Jeder Port
hat seine eigene Bandweiten-Domäne. Aufgrund dieser Arbeitsweise werden angeschlossene Analyzer
und Probes nur einen
Bruchteil der wirklichen Datenkommunikationen im Netzwerk
mitbekommen (Abb. 3).
Für den Einsatz von
Geräten zur Netzwerküberwachung gibt es
folgende Lösungsansätze.
01
Ausgabe 01/2002
19
thema des monats
Avaya Cajun-Familie
Enterprise Switching mit Durchblick
Die Avaya Cajun Familie bietet eine durchgängige Unterstützung von RMON- und
SMON-Funktionen auf allen Switches. Bei den Cajuns werden die Werte
hardwarebasierend in den ASICs gewonnen, ohne daß die Performance leidet.
Um in geswitchten Umgebungen auch auf Layer-3 Aussagen über die
Netzbeanspruchung machen zu können, hat Avaya ihr AnyLayerSMON, eine
Erweiterung des SMON, implementiert.
Vom Standalone zum Backbone Switch
Die Palette der Cajuns reicht vom Standalone Switch P130 über die
verschiedenen Stackable Optionen beim P330 zu den modularen Backbone
Geräten P580 und P882. Jedes besitzt neben den “normalen” Switching-Features
ein SMON-Monitoring nach IETF 2613, die Layer-3 Geräte zusätzlich auch das
AnyLayerSMON. Informationen werden in den ASICs gesammelt und an den
Switch-Agenten übergeben. Je nach Gerät wird die SMON-Option über eine Lizenz
freigeschaltet. Daten werden durch CajunView als Standalone NetzwerkManagementsystem oder unter HP Openview per SNMP abgefragt und grafisch
dargestellt.
Transparenz im Netz
Die Device-Statistik betrifft ein einzelnes Gerät. Die Enterprise-Statisik und
Enterprise-History stellen Werte Switch-übergreifend dar. Dabei werden Pakete
unterschieden in Uni-, Multi-, Broadcast, Collisions, In, Out, Errors.
Device-SMON:
Port-SMON:
VLAN-SMON:
Any-Layer-SMON:
Errors, Auslastung in %, Good Packets, 802.1p Priorität
Packets In/Out, Bandbreite In/Out, Auslastung in %
Packets, genutzte Bandbreite
Protokollverteilung (IP-Ports), DiffServ (DSCPs),
Pakete per IP-Adresse, Pakete per IP-Subnetz,
Host-Kommunikationsmatrix
Die Enterprise Statistik faßt vorab definierte Werte wie Ports, Switches oder VLANs
switchübergreifend zusammen und stellt ihre Bandbreite, Pakete und Auslastung
dar. Auch Grenzwerte können gesetzt werden, z.B. für Uplink-Ports, BackboneSwitches oder VoIP-VLAN. Die Enterprise History deckt periodische Fehler oder
Tendenzen im Netz auf. Um die Transparenz der “unsichtbaren” Pakete und
Fehler noch zu steigern, soll das QoS- und Voice-Monitoring auf Applikationsebene
erweitert werden.
Einsatzgebiete
Die Cajun Switches sind mit ihren Monitoring Funktionen ideal geeignet für
konvergente Applikations-Strukturen, die Sprache, Video und Daten vereinen.
Sie erleichtern den Betrieb erheblich und machen das Troubleshooting
mancherorts überhaupt erst möglich. Selbst in einfachen Datennetzen, in denen
Multicast zunehmend eingesetzt wird (Firewall-Cluster, Server-Cluster) wird durch
SMON und AnyLayer-SMON die Zuverlässigkeit des Netzwerks spürbar gesteigert.
Durch die genaue
Auswertung auf Protokollebene kann das
Kommunikationsverhalten erkannt und über das Policy-based Netzworking mit
CajunRules benutzer-, zeit- und applikationsabhängig optimiert werden.
den. Der Switch spiegelt den Datenstrom eines ausgewählten Ports (z. B.
Anschluß eines Servers) auf den Port
für die Probe (Port Mirror). Dazu benötigt der Switch eine gewisse Intelligenz, um diese Funktion zu konfigurieren.
Der Vorteil ist, daß Änderungen im
laufenden Betrieb gemacht werden
können. Ein physischer Eingriff ist
nicht erforderlich. Physikalische Fehler (Layer 1) werden allerdings nicht
gespiegelt. Darüber gibt es dann keine Aussagen!
RMON-Funktion
Beim Einsatz von Switches mit minimaler RMON-Funktionalität ist der
Switch in der Lage, die RMON-Gruppen 1 (Statistik) und 2 (History) zu
bedienen. Solche Informationen wie
die Anzahl der Bytes, Pakete und Fehler lassen sich über den gesamten
Switch oder auch portweise ermitteln.
Somit kann man erste grundlegende
Aussagen über die Kommunikation
treffen.
Der Einsatz von Probes ergänzen
dann dieses Monitoring-Umfeld.
In einem Switched Network können
so erste Indizien für eine Netzwerkbeurteilung getroffen werden.
Eine umfassende Aussage, beispielsweise darüber, welche Anwendung
durch wen unter welchen Bedingungen (Jitter, Delay etc.) genutzt wurde,
ist aber nur partiell oder überhaupt
nicht möglich.
Hersteller liefern zu ihren Geräten oft
eine Managementlösung mit. Sie
dient vor allem der Device-bezogenen Konfiguration und Überwachung. Der Lösungsansatz ist oft
proprietär. Vorteilhaft ist, daß die Hersteller immer mehr zu Webtools übergehen. Das heißt, die Installation von
Management-Clients unterbleibt. Bei
mehr als einem Gerät zur Überwachung wird das ganze unübersichtlich. Eine netzwerkweite Zusammenfassung von Daten ist meist nicht
möglich.
01
Ausgabe 01/2002
20
Virtuelle LANs
VLANs sind eine Möglichkeit, innerhalb von Layer-2-Netzwerken zu segmentieren. Gründe sind vor allem die
Verbesserung der Sicherheit im Netzwerk, Verbesserung der Leistung für
bestimmte Benutzergruppen und bei
Bedarf die Trennung in BroadcastDomänen. VLANs können Switchübergreifend gebildet werden. Ein
Monitoring innerhalb derVLANs oder
VLAN-übergreifend ist nach dem
oben beschrieben Ansätzen nicht
mehr möglich. Das Netzwerk ist dann
kaum noch einschätzbar. Ineffiziente
Konfigurationen können kaum ermittelt und somit auch nicht begründet
korrigiert werden.
High Performance
Switches haben eine sehr hohe innere Bandbreite (Switch-Matrix). An den
jeweiligen Ports kommen nur die für
diesen Port bestimmten Daten an. Das
ist nur ein Bruchteil aller übertragenen Informationen. Selbst Probes, die
mit Gigabit-Interfaces arbeiten, sind
bezogen auf die Switch-Engine nicht
in der Lage, Daten in Wired Speed
verlustfrei zu erfassen und auszuwerten. Hier liegt wahrscheinlich die
größte Herausforderung für zukünftige Monitoring-Lösungen.
Multilayer
Switches sind längst nicht mehr nur
reine Layer-2-Geräte. Auf dem Markt
existieren Switches, die Wegeentscheidungen treffen, die auf Informationen der verschiedenen oberen
Netzwerkschichten zurückgreifen.
Das ist nicht nur ein PerformanceAnspruch an das Switching selbst.
Das Monitoring muß neben der zunehmenden Bandweite wie oben dargestellt auch wesentlich mehr Informationen sammeln und auswerten.
Erste Ansätze dazu liefert RMON 2.
Die dort getroffenen Definitionen lassen die Auswertung von Informatio-
nen bis zur Anwendungsschicht zu.
Der Nachteil ist der der gesamten
RMON-Definition: die Festlegungen
erfolgten unter den Bedingungen
von Shared Networks.
QoS-Prioritäten
Zur Gewährleistung von Quality of
Service gibt es verschiedene Klassifizierungsmechanismen. Damit lassen sich Prioritäten für die Übertragung der Datagramme festlegen. Um
die Effizienz der eingesetzten Regeln
zu beurteilen, muß der Verantwortliche die Verteilung der Datenströme
anhand der Prioritäten auswerten können, und das Monitoring in der Lage
sein, die entsprechenden Daten erfassen zu können. Eine interessante Frage könnte sein, wie die Verteilung der
hochpriorisierten Daten zu den
niederpriorisierten ist. Oder welche
Delays haben die priorisierten Daten
innerhalb einer Verbindung? Welche
Verlustraten habe die einzelnen Datenströme in den Priorisierungsstufen? Erst anhand solcher Informationen wird der Administrator fundierte
Aussagen über Qualität der Services
im Netzwerk treffen können. Eine
weitere Herausforderung ist die Unterstützung und Beurteilung der verschiedenen Priorisierungsmechanismen, die es auf den jeweiligen Layern
gibt.
SNMP
Das Simple Network Management
Protocol hat sich zum Standard für
das Netzwerkmanagement entwikkelt. Inzwischen gibt es die Version 3
des Protokolls von 1999. SNMP ist
nicht mit RMON zu verwechseln.
Beide Definitionen hängen eng miteinander zusammen, sind jedoch
nicht identisch. RMON definiert
ganz allgemein die Variablen und
Parameter für das Remote Monitoring. SNMP ist das Kommunikationsprotokoll zwischen der Managementkonsole und einem Agenten, der z.B.
01
Ausgabe 01/2002
21
ein RMON-Agent sein kann. SNMP
ist somit eine gewisse Voraussetzung
für Monitoring mit RMON.
Gemeinsamkeiten
SNMP existiert in drei Versionen. Alle
Versionen dieses ”Internet Standard
Management Framework” haben die
gleiche Grundstruktur und Komponenten (Abb. 4). Sie bestehen zum
einen aus den Managementinformationen, die in den Management Information Bases (MIBs) beschrieben
sind, und aus den Agenten oder
managed Nodes, die den Remote Zugriff erlauben (In diesem Zusammenhang wird im Standard der Begriff
”Entity” eingeführt). Zum anderen
aus dem Manager, d.h. der Managementstation mit der dazugehörigen
Applikation, sowie dem eigentlichen
Managementprotokoll, welches die
Informationen zwischen den Entities
befördert. Diese modulare Architektur ist demzufolge mehr als nur ein
Kommunikationsprotokoll. In ihr
werden Datenstrukturen, eine Datenbeschreibungssprache, das eigentliche Kommunikationsprotokoll und
die Zugriffsregeln festgelegt. Beide
Seiten, Manager und Agent, müssen
über dieselben Datendefinitionen
verfügen. Das ganze System läßt sich
hierarchisch designen und implementieren (Manager of Managers MOM,
Abb. 5).
Abstract Syntax
Mit der Entwicklung von SNMPv1
zur Version 3 wurde die Beschreibung
der für das Management relevanten
Daten immer umfangreicher. Die
grundlegende Architektur blieb jedoch dieselbe. Das System ist so aufgebaut, daß die Beschreibung der
Daten unabhängig vom Kommunikationsprotokoll erfolgt: Abstract
Syntax Notation One (ASN.1).
Sollte es notwendig erscheinen, kann
das Kommunikationsprotokoll von
SNMP einfach durch ein leistungsfä-
thema des monats
higeres ersetzt werden. ASN.1 selbst
ist eine Script-Sprache, mit der Daten
definiert werden können. Wenn Sie
sich einmal eine MIB-Datei anschauen, so besteht diese aus einem einfachen ASCII-Text. Die Konstrukte werden als Makros bezeichnet. Diese
Daten müssen erst in ausführbaren
Code übersetzt werden.
Das macht der Kompiler des Managers beim Laden des jeweiligen MIBModules, oder der Hersteller implementiert die entsprechenden Informationen bereits im Software-Update des
jeweiligen Netzwerkgerätes (Agent).
Abb. 4: SNMP-Architektur
Abb. 5: Prinzip Manager of Managers
SNMPv1
SNMPv1 basiert im wesentlichen auf
den RFCs 1066, 1155, 1157, 1212,
1213 und 1215. Die Beschreibung der
Daten erfolgt mit der Structure of Management Information (SMI) in diesen Dokumenten. Im RFC 1066 wurde noch die MIB-I beschrieben. Mit
dem Dokument RFC 1213 setzte sich
dann die MIB-II durch.
Derzeit gibt es mehr als 10000 Objekte, die über MIBs definiert werden.
Die meisten Hersteller nutzen RFCkonforme Beschreibungen für standardisierte und individuelle
Geräteeigenschaften. Die
Managementinformationen können als
Sammlung von Objekten betrachtet werden. Die MIB ist dazu
der virtuelle Speicher
für die Objektdaten.
Für die Kommunikation setzt SNMP sogenannte Protocol Data
Units (PDUs) ein. In
diesen PDUs wird auf
die verschiedenen Variablen referenziert
und das Format der
Meldungen beschrieben. SNMP ist
verbindungslos und
nutzt UDP. Die zentralen Operatoren im Protokoll sind: g e t ,
get-next , getresponse , setrequest und trap.
Letzterer wird im RFC
1215 definiert.
Im Bereich Security
und Administration ist
das Protokoll sehr einfach. Es legt Security
Communities fest. Das
wurde implementiert.
SNMPv1 geht im Ansatz etwas weiter, indem das grundlegende
Konzept der Authentisierung erklärt
wird. Damit sind theoretisch mehrere
Authentisierungsschemen möglich.
SNMPv1 bleibt allerdings in der
Umsetzung bei der trivialen Lösung
mit den Community Strings. Das ist
die größte ”Baustelle” dieses Protokolls mit der Folge, daß sich gegenwärtig Security Policies und Management Policies in einem Netzwerk
nur sehr schwierig miteinander vereinbaren lassen. Die Zugriffskontrolle wird auf der Basis der MIB-View
gewährleistet. Nach der Authentisierung muß nur eine geeignete View zu
Datenauswertung verfügbar sein.
Eine Differenzierung des Datenzugriffs über Policies ist nicht möglich.
SNMPv2
Im Laufe der Jahre gab es vielerlei
Bestrebungen, den Standard zu erweitern. Die Diskussion läßt sich über die
RFC 1351 bis 1352 und 1441 bis
1452 verfolgen. So ist die Version 2
von SNMP entstanden (RFC 1901 bis
1910) mit folgenden Verbesserungen:
Mit der Einführung des Operators
get-bulk lassen sich ganze Tabellen abfordern, ohne wie bisher mit
get und get-next einzelne Variablen abzufragen. Das erhöht die Performance und die Effizienz des Protokolls. Insbesondere zur Abfrage von
den Performance-relevanten Daten
der Devices ist dieser Operator für das
Monitoring sehr hilfreich.
Die Einführung des Operators
inform diente zur Bestätigung von
Benachrichtigungen über Ereignisse.
Ein erweitertes Fehlermanagement
wurde durch die Definition von weiteren Fehlerzuständen und Ausnahmen möglich. Kommandos für den
Set-Operator row creation und
row deletion kamen hinzu, die
Datentypen wurden auf 64-Bit-Zähler erweitert, weitere Definitionen
dienten für die Datenbeschreibung.
Der volle Umfang der für SNMPv2
definierten Ziele wurde jedoch nicht
umgesetzt. Wesentliche Abstriche
01
Ausgabe 01/2002
22
wurden im Bereich Security zugelassen. Es blieb bei der bisherigen trivialen Lösung mit den CommunityStrings (SNMPv2c, Communitybased SNMPv2, RFC 1901). Wichtige Dinge wie Integrität und Vertraulichkeit der Daten, Identitätsprüfung,
Autorisierung fehlen weiterhin.
SNMPv3
Das Bestreben bei der dritten Version
war zum einem die Konsolidierung
der verschiedenen Vorschläge (vgl.
die oben genannte RFC) in einen einzigen Core-Standard. Weiterhin sollte endlich der Security-Aspekt berücksic htigt werden (bspw. nach
SNMPv2u nach RFC 1909/1910).
Außerdem sollte eine sanfte Migration zu SNMPv3 möglich sein.
SNMPv3 folgt derselben Definition
der Grundkategorien wie die Vorgängerversionen: Operatoren des
Kommunikationsprotokolls (Rückgriff auf RFC 1905/1906), Festlegung
der MIBs, Sprache für die Datendefinition (ASN.1, RFC 2578 – 2580)
sowie Security und Administration
(RFC 2570 – 2575).
Derzeit gibt es Hersteller, die darauf
hinweisen, bereits SNMPv3 in ihren
Geräten zu unterstützen. Das könnte
auch eine Marketingmogelpackung
sein, da die IETF im Gremium bestrebt
ist, SNMPv2-Definitionen abwärtskompatibel zu unterstützen. Letztlich
werden bisherige Festlegungen aus
den RFCs konsolidiert. Entscheidend
ist somit auch, ob bereits diverse
Authentisierungsmechanismen implementiert werden und der Zugriff
über View-Based Access Control
(VBAC), wie im RFC 2575 beschrieben, erfolgt.
für SNMPv3 gültige Version SMIv2.
Also nicht durcheinanderkommen!
Die Structure of Management Information teilt sich in drei Bereiche:
Die Moduldefinitionen beschreiben
die einzelnen Informationsmodule.
Dazu wird OSIs Abstract Syntax Notation One (ASN.1) in Form eines
Macros MODULE-IDENTITY genutzt. Die einzelnen Informationsmodule können aufeinander hierarchisch verweisen.
Die Objektdefinitionen beschreiben
die eigentlichen Objekte, die verwaltet werden sollen. Grundlage bildet
das ASN.1-Makro OBJECT-TYPE,
um die Semantik der Beschreibung
festzulegen
Mit dem ASN.1-Makro NOTIFICA
TION-TYPE erfolgen Definitionen
für die Übertragung der Managementinformationen. Diese Übertragung
erfolgt unaufgefordert.
Innerhalb der SMIv2 Spezifikation
werden auch alle nun zulässigen
Datentypen festgelegt. Insofern ist der
RFC 2578 die Grundlage für alle
Objektbeschreibungen durch die Hersteller. Die Objekte erhalten einen
Object-Identifier. Bereits mit SN
MPv2 wurden die Objekte mit ihren
Beschreibungen nicht mehr unter
mib-2 (.1.3.6.1.2.1), sondern unter
snmpV2 (.1.3.6.1.6) zugeordnet. Diese Zuordnung wurde beibehalten
(vgl. Abb. 6).
Ausgangspunkt
RMON
Switch MONitoring lehnt sich stark
an RMON an. Das heißt insbesondere die dort verfügbaren Mechanismen
werden genutzt, um Daten zu sammeln, diese abzufragen und die Agenten (RMON-Probes) entsprechend zu
konfigurieren. Die RMON-Definitionen sind wie SNMP-MIBs aufgebaut
(RMON-MIB) und können somit via
SNMP verwaltet werden. Die RMONMIBs beinhalten mehrere Funktionsgruppen. Diese Gruppen bestehen jeweils aus Kontroll- und Datentabellen. RMON nutzt die Zugriffskontrolle von SNMP. Ein richtiger
Schutz, insbesondere für den Eigentümereintrag und die Kontrolltabellen ist nicht gegeben. Der Eigentü-
Abb. 6: Zuordnung der SMIv2-Definitionen im ISO-Object-Identifier-Tree (OID-Tree)
SMI-Spezifikation
Auch die SMI-Spezifikation, die
Structure of Management Information, ist erweitert worden. Mit der Arbeit an SNMPv2 wurde damit bereits
begonnen. Der RFC 2578 ist die nun
01
Ausgabe 01/2002
23
thema des monats
Network Analysis Module
Überwachung von Multi-Service-Netzwerken
Cisco Systems bietet mit dem Network Analysis Module (NAM) eine integrierte
Lösung zur Verwaltung und Überwachung von Multi-Service-Netzwerken in
geswitchten Ethernet-LANs an. Daneben steht eine Palette von Switch-Probes
für die Hochleistungsswitches der Serie Catalyst 6000 zur Verfügung, die
eingebaute RMON-Funktionen mit Datenerfassung in den Gruppen Statistics,
History, Alarm und Event besitzen.
Management Information Base
Zusätzliche RMON-Funktionen setzen den Einsatz von Instrumenten zur
Netzwerküberwachung voraus, die NAM basierend auf den RMON- und RMON2-MIBs (Management Information Bases) bereitstellt. Es erfaßt Daten auf allen
Schichten, so daß Netzwerkmanager Analysen erhalten, die zur Fehlerisolierung
und Fehlerbehebung ebenso eingesetzt werden können wie zur
Kapazitätsplanung und -verwaltung, zum Leistungsmanagement, zur
Anwendungsüberwachung und zum Debugging.
End-to-End-Management
Das Network Analysis Module des Catalyst 6000 ist Bestandteil der Ende-zuEnde-Netzwerkmanagement- und -überwachungslösung von Cisco. Als eine
Komponente der Cisco Architecture for Voice, Video and Integrated Data (AVVID)
ermöglicht NAM, ein robustes Multidienst-Switching in Cisco-Netzwerken zu
definieren. Wo Unternehmen konvergierte Netzwerke einsetzen, können
Manager Statistiken zu den Sprach- oder Videoanwendungen einholen. NAM
sammelt diese Informationen zu den diversen Datenströmen auf mehreren
Schichten bis hin zur Anwendungsschicht. Dies hilft, die Verwaltung der
komplexen, geswitchten Multidienst-LANs, die eine Vielzahl von Daten-, Sprachund Videoanwendungen inklusive der kompletten H.323-Familie unterstützen,
zu vereinfachen. Geplant ist, die Sprachunterstützung auf der Cisco Works 2000Plattform auszudehnen.
Standardbasiert
Das Catalyst 6000 NAM kann in jedem Gehäuse der Catalyst 6000 Familie
installiert werden und bietet die platzsparenden Vorteile einer integrierten Lösung
in nur einem Slot. Mit einem Durchsatz von mehr als 160 Kbit/s pro Modul und
der Option, mehrere NAM-Moduls innerhalb eines Switch-Gehäuses
einzusetzen, können für jedes NAM-Modul die jeweils benötigten SPAN-Quellen
konfiguriert werden, um das Potential des Catalyst 6000 mit seinen integrierten,
intelligenten Netzwerkdiensten für ein Multservice-Switching voll auszuschöpfen.
NAM ist zu den einschlägigen Standards konform, einschließlich RMON-1 (RFC
1757) und RMON-2 (RFC 2021). Es erfüllt die Anforderungen des SMONProtokolls für die Überwachung in LAN-Umgebungen. Ebenfalls implementiert
ist der Protokollverzeichnis-Standard RFC 2074. Das Network Analysis Module
beinhaltet sämtliche Funktionsgruppen, die für eine umfassende
Netzwerküberwachung erforderlich sind.
Hinweis: Für Interessierte steht im
Info-Channel von Technik News
Online ein Datenblatt als PDF
zum Download bereit.
mereintrag dient der Festlegung, welcher Manager die Probe benutzen
darf. Die Kontrolltabellen dienen der
Parametrisierung der Probe
(Schwellwerte einrichten etc.).
RMONv1
RMON wurde ursprünglich für eine
Ethernet-Umgebung ersonnen.
RMONv1 legt neun RMON-Gruppen
fest (vgl. Tab. 1). Einige Gruppen sind
voneinander abhängig: die AlarmGruppe setzt die Event-Gruppe voraus, die Capture-Gruppe benötigt die
Filter-Gruppe und die TopN-Gruppe
greift auf die Host-Gruppe zurück.
Token Ring
Unter den Bedingungen von TokenRing-Netzwerken wurde zusätzlich
zu diesen neun eine zehnte Gruppe
notwendig. Sie enthält Tabellen über
die Konfiguration der Ring Stations,
das Source Routing usw. Die bereits
bestehenden Gruppen wurden um die
für Token Ring spezifischen Variablen tokenRing erweitert.
SUB-RMON
Viele Hersteller integrieren in ihre
Netzwerkgeräte bestimmte RMONGrundfunktionalitäten. Das betrifft
die RMON-Gruppen 1,2,3 und 9. Bekannt sind diese Implementationen
unter Marketingaussagen wie SUBRMON, Small-RMON, Mini-RMON,
Basic-RMON o.ä. Das nur so wenig
Informationen verfügbar sind, liegt
an der auszuwertenden Datenmenge
im Verhältnis zur erwarteten Performance. Hier muß ein Kompromiß gefunden werden. Das bedeutet Speicher- und CPU-Ressourcen von der
eigentlichen Aufgabe eines Netzwerkgerätes abzuzweigen.
Angenommen, wir betrachten einen
Switch mit 24 FastEthernet-Anschlüssen und einer Backplane von 3,2
Gbit/s, dann müssen die entsprechenden Daten für jeden einzelnen Port in
01
Ausgabe 01/2002
24
Leitungsgeschwindigkeit dediziert
erfaßt und an die Managementstation übergeben werden. Jeder Port
stellt im Sinne von RMON ein eigenes Netzwerksegment dar! Nun wird
die Herausforderung an das Monitoring klar, denn gegenwärtig reden
wir über Gigabit-Verbindungen, 100e
Ports auf einem Switch, Bandbreiten
mit mehr als 250 Gbit/s in der
Backplane und über die Anforderung
der Erfassung aussagekräftiger Daten.
Mit den Gruppen 3 und 9 soll das
Netzwerkgerät auch noch selbständig
Schwellwerte prüfen und bei einer
Überschreitung auf diesen Zustand
aufmerksam machen. Das ganze soll
ja proaktiv sein.
RMONv2
Die mit RMONv1 gesammelten Informationen beschränken sich auf
den Data Link Layer. Aufgrund des
Bedarfes erweiterten die Hersteller
über die IETF die Möglichkeiten.
RMONv2 dekodiert Informationen
auf der Netzwerk-, Transport- und
Anwendungsschicht. Der Einsatz von
RMONv2 ist tatsächlich als Ergänzung der bisherigen RMON-Fähigkeiten zu betrachten. Die einzelnen
Tabellen in den RMONv1-Gruppen
wurden mit zusätzlichen Objekten
versehen. Hinzukamen die neuen
Gruppen elf bis neunzehn (vgl. Tab.
2). Außerdem wurde mit RMONv2
das Protokollverhalten verbessert.
Über Zeitfilter werden nur jene Werte
durch den Manager abgefragt, die
sich seit dem letzten Polling auf die
Probe (den Monitor) wirklich geändert haben.
Die Tabelle protocolDir schließt
Protokolle des Layer 2, des Network
Layers und der darüber liegenden
Schichten ein. Insofern nimmt diese
Tabelle eine zentrale Funktion in
RMONv2 ein, insbesondere dann,
wenn Manager und Probe von unter-
schiedlichen Herstellern stammen. In
der Tabelle werden die Protokolle
definiert, die Manager und Agent
unterstützen sollen. Unbekannte Protokolle können nicht oder nur bis zu
einer Ebene, auf der sie noch bekannt
sind, gewertet werden. Würde zum
Beispiel eine Probe keine ProtocolIdentifier für SQL haben, so könnte
der Monitor diese Pakete zumindest
als TCP-Daten registrieren und ein
Accounting darüber führen.
Zusätzlich definiert diese Gruppe
Protokollparameter. Sie dienen dazu,
die speziellen Möglichkeiten des
Monitors in Bezug auf das jeweilige
Protokoll anzuzeigen. Drei Parameter sind per Definition schon festgelegt: countFragments (belegt Bit
0), other (Bit 1), trackSessions
(Bit 2). Die Eigenschaften lassen sich
Bit-weise ein- oder ausschalten. Insgesamt stehen 32 Bit für die
Parametrisierung weiterer Properties
zur Verfügung.
Tabelle 1
Gruppe
1. statistics
2. history
3. alarm
4. host
5. hostTopN
6. matrix
7. filter
8. packetCapture
9. event
Diese Gruppe beinhaltet die Basis für statistische Auswertungen. Je überwachter Schnittstelle gibt es eine Zeile in der internen Datentabelle. Die Gruppe gibt Informationen über
Auslastung und Fehlerzustände.
Damit lassen sich Stichproben je Interface definieren und auswerten. Dazu werden Interval
le (default 1800 s) festgelegt, in denen die Daten zusammengefaßt werden. Meist werden
bis zu 50 solcher Stichproben, also ein ganzer Tag, gespeichert.
Hiermit werden Schwellenwerte festgelegt. Bei Über- oder Unterschreitung wird ein Alarm
erzeugt. Wichtig für diese Definitionen ist neben dem ”Gefühl” für den Normalzustand des
Netzwerkes auch die Kenntnis über Hysterese-Verfahren und die richtige Bestimmung des
Sampling-Intervalls.
Diese Gruppe erfaßt Daten zu den Hosts anhand der Zuordnung zur MAC-Adresse. Diese
Daten sind bspw. ein-/ausgehende Bytes und Pakete.
Die Gruppe ”fokussiert sich” auf die ersten 10 Hosts der Host-Gruppe. Das sind die TopTalker des jeweiligen Segments.
Das ist eine sehr interessante Gruppe. Sie zeichnet die Kommunikationsmatrix im Netzwerk
auf der Basis der MAC-Adressen auf. Auswertungen, welcher Host generiert mit welchen
Partner den entsprechenden Traffic, sind so möglich.
Damit lassen sich Filter definieren. So läßt sich bei Bedarf eine Regel für alle CheckSummenfehler aufstellen.
Mit Hilfe dieser Gruppe können Pakete in Puffern aufgezeichnet werden. Das Regelwerk
liefern die Filter. Die Paketaufzeichnung wird ähnlich wie bei Sniffer-Tools eingesetzt und
dient der Traffic-Analyse.
Diese Gruppe legt Ereignisse (LOG oder/und TRAP) fest, die durch bestimmte Bedingun
gen getriggert werden (Alarm-Gruppe).
Tab 1: RMONv1 Gruppen 1 bis 9
01
Ausgabe 01/2002
25
thema des monats
Außerdem beschreiben die Makros
die Adreßformate der jeweiligen Protokolle und die sogenannten ChildProtocols. Protokolle können also
abgeleitete Protokolle haben. So ist
Telnet vom TCP abhängig. Der ganze Aufwand wird klar, wenn man sich
vergegenwärtigt, daß es neben dem
IP auch DECnet, AppleTalk, SNA, IPX
usw. gibt. Die Vielzahl der Informationen gibt einen Eindruck über die
mögliche Flut, die eine Probe in Echtzeit verarbeiten muß.
SwitchMONitoring
Mit der Einführung von RMON gab
es bereits Bestrebungen, Switched
Networks umfassend zu monitoren.
Natürlich kann in einem Switch eine
eigene RMON-Probe mit einer Instanz je Interface implementiert werden. In der Praxis geschieht das auch.
Zuvor wurde bereits beschrieben, daß
zumindest RMON-Grundfunktionalitäten verfügbar gemacht werden.
Den oben formulierten Anforderungen kann so nicht entsprochen werden. Mitte der 90er Jahre gab es erste
Ansätze, bspw. der Fa. LANNET, später Lucent, heute Avaya, das Monitoring auf dem Bus (Cellenium-Bus,
1,28 Gbit/s) durchzuführen. Die eingesetzten Probe-Module sprachen
die entsprechenden LANswitch-Module an.
Switch-Umgebung
Generell mußten für das Monitoring
in einer Switch-Umgebung einige
Veränderungen ins Auge gefaßt werden. Bisher wurden physikalische
Interfaces unterstützt. Nun mußten
auch andere Typen als Datenquellen
möglich sein. VLANs sind z.B. logische Schnittstellen. Insofern wurde
eine generische ”Data Source” festgelegt, die auf einen Interface-Eintrag, den bisherigen i f E n t r y ,
referenziert. Eine SMON-MIB wurde
geschaffen, die herstellerabhängige
Interfaces, globale VLANs und existierende physikalische Schnittstellen unterstützt. So lassen sich zukünftig ganze Switches oder Switch
Engine-/-Fabric-Module als Datenquellen nutzen.
Diese SMON-Datenquellen werden
auf ein proprietäres virtuelles Interface (propVirtual ifEntry)
verbunden, über das sich Daten erfassen lassen. (Abb. 7):
- ifIndex.(I) sind die bisherigen
RMON-DataSources (portbasierende
Interfaces). I ist der Portindex.
- smonVlanDataSource.(V)
referenziert die paketbasierenden
VLANs. V ist die VLAN-ID nach
802.1Q.
- entPhysicalEntry.(N) legt
die physikalische Einheit fest
(Physical Entity, bspw. Switch
Engine). N ist der Index der Entity
innerhalb der Hardware.
Vom Ansatz her ist SMON als eine
weitere Spezifikation zu RMON aufzufassen. Die Zuordnung von SMON
in den OSI OID-Tree (vgl. Abb. 8) verdeutlicht den strukturellen Zusammenhang zu RMON. Auf diesem Weg
ist die Integration von SMON in eine
bestehende RMON-Lösung möglich.
Von zentraler Bedeutung ist der RFC
2613 der IETF. Die logische Struktur
der Datendefinition ist in der Abbildung 8 ersichtlich. Die Festlegun-
Tabelle 2
11. protocolDir
12. protocolDist
13. addressMap
14. nlHost
15. nlMatrix
16. alHost
17. alMatrix
18. usrHistory
19. probeConfig
Verzeichnis/Identifizierung der Protokolle, die die Probe kennt.
Aufzeichnung der Protokollverteilung, Zusammenfassung der Anzahl der Bytes und Pakete
je Protokoll.
Zuordnung der Layer 2 Adressen auf die Netzwerkadressen.
Erfassung von Statistiken über Datenverkehr von und zu einem Host aufgeschlüsselt nach
Netzwerkadressen. Jede Netzwerkadresse bedeutet eine neue Zeile in der Datentabelle
und das für jedes Netzwerkprotokoll.
Darstellung der Kommunikationsmatrix auf dem Network Layer. Dabei gibt es eine SourceDestination-Statistic, also ”Wer redet mit wem wie viel mit welchem Protokoll?”, und eine
TopN-Statistik, d.h. ”Wer sind die Hauptschwätzer für ein bestimmtes Protokoll?”.
Incoming/Outgoing Traffic je Host auf der Basis der Anwendungen, vergleichbar nlHost nur
auf der Anwendungsebene
Darstellung der Kommunikation im Segment in Bezug auf die Anwendungen, vgl. nlMatrix
Sammlung von Daten auf benutzerdefinierte Variablen. Denkbar sind Interface-Performance Daten eines SQL-Servers, sofern die Variablen dort unterstützt werden (Agent, Treiber, ...). Die Gruppe, in der allein bis zu sieben Indextabellen existieren, ist sehr komplex.
Festlegung von standardisierten Konfigurationsparametern für die Probe. Die Gruppe soll
eine gewisse Interoperabilität zwischen den Managern und Monitoren verschiedener Hersteller gewährleisten. Die Praxis zeigt jedoch da gewisse Grenzen.
Tab. 2: RMONv2 Gruppen 11 bis 19
01
Ausgabe 01/2002
26
gen ermöglichen sowohl internes
Monitoring als auch PortCopyMechanismen. Mittels SMON lassen
sich Statistiken zu Datenquellen erfassen, die bisher von RMON nicht
geliefert werden konnten.
SMON Details
SMON ordnet sich folgendermaßen
in das bestehende SNMP Management Framework ein. Es wird auf die
oben beschriebene SNMP-Architektur zurückgegriffen. SMON nutzt die
Bezeichnungen und Beschreibungen
der Managementobjekte nach SMI
(v2). Es definiert den Zugriff auf die
Objekte über virtuelle Informationsspeicher durch die Bildung einer eigenen MIB .Weil das MessageProtocol von SNMPv1 bis v3 genutzt
wird, kann aufgrund der Achitekturmodularität von SNMP das entsprechende Kommunikationsprotokoll
unabhängig von der Umgebung verwendet werden. Es besteht der Zugriff
auf View-based Access Control-Mechanismen. Zur Steuerung und Abfrage werden die bekannten PDU-Formate mit ihren Operatoren verwendet.
Innerhalb von SMON wird eine neue
Gruppe dataSourceCapsTable
spezifiziert, die das Netzwerkmanagement unterstützt, die Datenquellen zu finden. Sie beschreibt die
RMON- und PortCopy-Möglichkeiten jeder einzelnen SMONDataSource. Im Grunde ordnet die
Gruppe eine DataSource einem
Interface-Eintrag in der ifTable zu.
Damit greifen dann wieder die
RMON-Funktionalitäten, so sehen
SMON-Informationen von der Zuordnung für die Protokolle wie RMONInformationen aus.
Eine weitere neue Gruppe wird mit
der portCopyTable kreiert. Diese
Tabelle kontrolliert die Operationen
zum Monitoren über die PortCopyFunktion. Folgende Konfigurationen
sind vorgesehen:
1. ein Quellport wird auf einen Zielport kopiert.
2. n Quellports werden auf einen Zielport kopiert.
3. n Quellports werden auf m Zielports kopiert.
Außerdem läßt sich die Richtung des
zu kopierenden Datenstromes
(portCopyDirection) bestimmen: nur empfangen, nur übertragen
oder beide Richtungen.
Über diese Funktionalität wird
Monitoring für die Devices möglich,
die keine weitere Funktion außer der
Portspiegelung beherrschen. Der RFC
2613 empfiehlt allerdings den Herstellern eine gewisse SMON-Grundfunktionalität in den Geräten zu
implementieren. Die PortCopy-Funktion für SMON hat dieselben Einschränkungen wie unter RMON. Aufgrund der SMON-MIB können zwar
mehr Informationen ausgewertet werden, die Sicht auf das Netzwerk bleibt
aber auf ausgewählte exponierte Segmente beschränkt. Zusätzlich weist
der RFC auf das Problem der Data
Congestion hin, wenn mehrere Ports
oder ein Port mit großer Bandbreite
auf einen Port (niederer Bandbreite)
gespiegelt werden. Zum Monitoren
einer VLAN-Umgebung nutzt SMON
das IEEE-VLAN-Tagging. Es ist als
notwendig, die VLANs nach 802.1Q/
p zu designen und zu betreiben, um
VLAN-basiertes Switch Monitoring
zu ermöglichen.
SMONv2
net werden, gibt es. Es verwundert
nicht, daß Avaya mit den CajunSwitches in diesem Umfeld eine Vorreiterrolle spielt. AnyLayer SMON
ist der Versuch Avayas, die bisherigen SMON-Eigenschaften zu erweitern. Generell kann man feststellen,
das Monitoringfunk-tionen immer
mehr zur Eigenschaft und Intelligenz
eines Netzwerkge-rätes gehören werden. Aus der Fülle der zu erfassenden,
zu konsolidierenden und in Echtzeit
zu überprüfenden Daten ergibt sich,
daß diese Funktionen sehr Hardwarenah abgebildet werden müssen. Das
wird sich darin zeigen, daß die Ports,
Switches und Switchmodule bei Bedarf eine eigene Monitoring-Instanz
erhalten. Dieses wird in Form von einem oder mehreren ASICs geschehen.
Der Nachteil ist, daß die Hardwarenahe Funktionsbereitstellung relativ
unflexibel sein kann. Angesichts der
Lebenszeit eines Netzwerkdevices ist
dieser Nachteil nicht besonders
schwerwiegend. Der Vorteil überwiegt:
Verarbeitung großer Informationsmengen bei sehr hohen Bandbreiten.
Die Cajun-Familie zeigt an dieser
Stelle Leistungsmöglichkeiten.
QoS Monitoring
In einem komplexen Umfeld sind
verschiedene Monitoring-Ansätze
verfügbar zu machen. Die Komplexität ergibt sich aus den unterschiedli-
Die bisher besprochenen SMON-Festlegungen erlauben das Moni- Abb. 7: Modellvorschlag zur Einführung virtueller
toren auf dem Layer 2. Damit Schnittstellen
lassen sich keine Aussagen
über das Verkehrsverhalten in
höheren Protokollen treffen.
Das ist jedoch eine Forderung,
die immer mehr nach einer Lösung drängt. Layer-3-, Layer4- und Content-Switches sind
bereits Realität. Erste
proprietäre Ansätze, die vorsichtig als SMONv2 (vergleichbar mit dem Verhältnis
RMON zu RMONv2) bezeich-
01
Ausgabe 01/2002
27
thema des monats
chen individuellen Anforderungen
der Nutzer und Anwendungen sowie
aus den verschieden Möglichkeiten
und Ebenen, Informationsübertragungen zu steuern. Hinzukommt, daß
eine bevorzugte Behandlung der Datenströme auf einem höheren Layer
nicht gleichbedeutend mit einer Bevorzugung auf einer darunter liegenden Ebene ist. Hier müssen Prioritäten und Kontrollmechanismen gemappt werden. Daher ist ein Monitoring auf jeder Ebene wünschenswert.
Quality Level
Entsprechend der Level von Quality
of Service gibt es unterschiedliche
Zugangsmöglichkeiten für die Überwachung solcher Dienste und Anforderungen, zum einen für ein Monitoring des Traffics in einer Umgebung,
die best-Effort Service liefert. Ein
Datenübertragung wird angestoßen,
ohne die ganz genauen Bedingungen
der Verbindungen zu kennen. Ein typisches Beispiel ist die Bereitstellung
eines IP-VPN über das Internet zur
Anbindung von Niederlassungen an
die Zentrale. Hier hilft schon Response Time Monitoring, um die Verbindung zu beurteilen. Den Service kann
man jedoch damit nicht verbessern.
Zum zweiten ist ein Monitoring auf
der Basis von Layer 2 Informationen
möglich. IEEE 802.1p legt die
Priorisierung von Dateströmen anhand von Informationen im VLANTag fest. Diese Art der Service-Bereitstellung ist auch als Class of Service
bekannt und wird als Differentiated
Service eingestuft.
Die dritte Möglichkeit ist das Monitoren der TOS-Feld-Informationen im
IP-Header. Das TOS-Feld wird allerdings kaum genutzt. Insofern gibt es
kaum praktischen Nutzen, darüber ein
Monitoring durchzuführen. Eher wird
mittels Priorisierung von bestimmten
Anwendungen bzw. Protokollen anhand von Protocol-IDs und Adressen
der ausgehende Datenverkehr in
Queues auf dem Interface gesteuert.
Das Monitoring kann dann über
Response Time Monitoring anwendungsbezogen erfolgen. Wichtige Parameter sind Packet Loss,
Packet Delay und Jitter
(Varianz im Packet Delay). Diese Variante wird ebenfalls zum Bereich der
Differentiated Services zugerechnet.
Viertens kann der Datenstrom anhand
von Klassen in einem Netz weitergeleitet werden. Die IP-Pakete werden
dazu markiert. Dazu wird das bestehende TOS-Feld im IP-Header um-
Abb. 8: Zuordnung von SMON im ISO-Object-Identifier-Tree (OID-Tree)
definiert. Die nun genutzten Bits werden als Differentiated Service Code
Point (DSCP) bezeichnet. Anhand
dieser Information wird das IP-Paket
weitergeleitet. SMON sollte das
DSCP auslesen und darüber eine
Traffic-Analyse führen können. Wie
der Name verrät, handelt sich auch
um Differentiated Services. Generell
sind diese von der Qualität besser einzustufen als Best-Effort Services.
MPLS
Das Multiprotocol Label Switching
der IETF ist eine Technologie, die
Network Layer Routing mit LinkLevel Technologien (Ethernet,
FastEthernet, GigabitEthernet, ATM,
FrameRelay, Packet over Sonet usw.)
verbindet. Mit der Wegeentscheidung
können auch QoS-Anforderungen in
einen Pfad, der durch ein Label gekennzeichnet ist, eingebracht werden.
Die Weiterleitung des Datenstromes
erfolgt dann nur noch anhand der
Label und mittels Switch-Technologien. Mit ATM oder FrameRelay lassen sich so bei Bedarf Ende-zu-Ende
QoS definieren. Dem ATM z.B.können bestimmte Parameter für Verbindungen mitgegeben werden. Diese
werden geprüft und müssen über die
gesamte (!) Strecke (Ende-zu-Ende)
zur Verfügung stehen, bevor die Verbindung geschaltet wird. Solche Services sind von Dienstanbieter (und
vom Budget) abhängig. SMON sollte demzufolge die Labels unterstützen.
Die Definition bestimmter ServiceQualitäten setzt ein umfangreiches
Design der Umgebung voraus, bleibt
jedoch eine Farce, wenn sie nicht
quantifizierbar und somit meßbar ist.
Die Prüfung der tatsächlich eingehaltenen Parameter muß genauso
sorgsam geplant werden wie das Netzwerk an sich. Gleiches betrifft die Umsetzung, d.h. das Monitoring im Betrieb. Zudem sind auch organisatorische und personelle Voraussetzung
zu schaffen.
01
Ausgabe 01/2002
28
h
HOTLINE
Stand: 11. Dezember 2001
Technik-News Patch-CD Januar 2001
Empfohlene Novell-Patches
NetWare
NW 6.0
ES7000.exe
NW6SMS1A.exe
NWFTPD4.exe
NW 5.1
4PENT.exe
AFNWCGI1.exe
B1CSPJVM.exe
COMX218.exe
DLTTAPE.exe
DS755A.exe
DS877A.exe
DSBROWSE.exe
FP3023A.exe
FP3023S.exe
HDIR501C.exe
IDEATA5A.exe
INSTP5X.exe
JSSL11D.exe
MBCMNUP1.exe
NAT10.exe
NDP2XP7.exe
NDPSINF.exe
NESN51B.exe
WBDAV51.exe
NICE157.exe
NIPT1.exe
NJCL5A.exe
NLSLSP6.exe
N51_NIS1.exe
NW51FS1.exe
NW51INST.exe
NW51SP3.exe
NW51UPD1.exe
NW5NWIP.exe
NWFTPD4.exe
NWOVLY1.exe
NWOVLY2.exe
NWPAPT2.exe
OS5PT2A.exe
PKISNMAS.exe
PSRVR112.exe
PREDS8A.exe
PREEDIRD.exe
RINSTALL.exe
SBCON1.exe
SCMDFLT.exe
SLPINSP3.exe
TCP542U.exe
NW 5.0
AFNWCGI1.exe
C112BRJ.exe
C112CRJ.exe
CERTSRV.exe
COMX218.exe
DLTTAPE.exe
DS755A.exe
DS877A.exe
DSBROWSE.exe
FP3023A.exe
FP3023S.exe
I20DRV5.exe
IDEATA5A.exe
MBCMNUP1.exe
NAT10.exe
NDP2XP6A.exe
NDPS20P1.exe
NDPSFT1A.exe
NJCL5A.exe
NLSLSP6.exe
NSSNW5A.exe
NW5MCALC.exe
NW5NWIP.exe
NW5PSERV.exe
NW5SP6A.exe
NW5TCP.exe
NWPA5.exe
NWSSO.exe
ODSB.exe
OS5PT2A.exe
PREDS8A.exe
PREEDIRD.exe
SCMDFLT.exe
SLPINSP3.exe
TIMESYNC.exe
VRPNW5A.exe
NW 4.2
DS411T.exe
GROUPFIX.exe
IPG4201.exe
IPGSN10A.exe
LONGNAM.exe
NLSLSP6.exe
NW4SP9.exe
NW4WSOCK.exe
TSANDS.exe
NW 4.11
ATMDRV04.exf
DS411Texe
HSTDEV.exe
I2ODRV4.exe
IPGSN10A.exe
IPX660.exe
LDAP103A.exe
LONGNAM.exe
MIXMOD6.exf
NAT10.exe
NDPS10P2.exe
NLSLSP6.exe
NW4SP9.exe
NWPAUP1A.exe
NWTAPE1.exe
ODI33G.exe
ODIWAN1.exe
RAD102.exe
RADATR.exe
SCMDA.exe
SPXS03A.exe
STRTL8.exe
TSANDS.exe
Tools / DOCs
ADMN519F.exe
CFGRD6B.exe
CONFG9.exe
COPYNLM3.exe
CRON5.exe
DSDIAG1.exe
ETBOX7.exe
HIGHUTIL1.exe
LOADDLL1.exe
NCCUTIL5.exe
NLSDLL.exe
ONSITB8.exe
SCHCMP2.exe
STUFKEY5.exe
TABND2.exe
TBACK3.exe
TBOX7.exe
TCOPY2.exe
TRPMON.exe
UPGRDWZD.exe
ZFSDBPB.exe
VRP411a.exe
Client Kits & Updates
Win 95/98 dt.
IPCOST.exe
NDPCPSP3.exe
W9533G.exe
33SP3.exe
NDPCPSP3.exe
W9X33E.exe
ZENworks Clients
Win 95/98 engl.
260624.exe
269308.exe
270410.exe
275820.exe
IPCOST.exe
NDPCPSP3.exe
WNT48G.exe
Win NT/2000 dt.
243798.exe
264837.exe
270050.exe
275520.exe
275820.exe
48SP3.exe
NDPCPSP3.exe
WNT478E.exe
WinNT/2000 engl.
243798.exe
264837.exe
270050.exe
ZFS2JVM.exe
ZFS2SP1A.exe
ZS2UTIL2.exe
ZENworks 2.0
ZFD2PT3B.exe
ZFD2SP1.exe
ZFD2TSFX.exe
ZEN for Desktops 3.0
ZD3IDNT1.exe
ZFD3SP1A.exe
Client 4.81
277412.exe
NT481PT1.exe
Client 3.31
95331PT1.exe
GroupWise 6.6
GW6SP1.exe
GW6WASF.exe
GWPDLOCK.exe
GWPORT32.exe
NOTES51.exe
GroupWise 5.5
CCMLN2.exe
EXCHNT2.exe
G554MLT.exe
G55ESP2M.exe
GW55SP4.exe
GW6WASF.exe
GWE2MLFX.exe
MSMPCU.exe
R553AMLT.exe
WINNTWMS.exe
WINNTWMS.exe
Bordermanager 3.5/3.6.
ADMATTRS.exe
BMAS3X01.exe
BM35ADM4.exe
BMSAMP1.exe
BM35C11.exe
BMTCPE4.exe
BM35EP1.exe
BMVPN3Y.exe
BM35EP1A.exe
PXY026.exe
BM35SP3.exe
PXYAUTH.exe
BM36SP1A.exe
RADATR3A.exe
BM3CP3.exe
VPN35E.exe
BM3SS02.exe
WEBLSP1.exe
BM3XC02.exe
Miscellaneous Updates
NW SAA 4.0
NW4SAA.exe
SAA40020.exe
SAA4PT1.exe
NW SAA 3.0
LANCHK.exe
SAA30020.exe
Cluster Services
CS1SP2.exe
CVSBIND.exe
NDSUNIX4.tgz
eDirectory 8.x
AM210SNP.exe
AMW2KP2A.exe
AMW2KSP1.exe
C1UNX85A.exe
DS8520C.exe
DSRMENU4.tgz
EDIRW32.exe
MWUNXPFIX.exe
NDSAS3S1.exe
Empfohlene Microsoft-Patches
Windows 95
D35907.exe
ID4SETUP.exe
MSDUNBD.exe
W95SP1_G.zip
W95Y2KD.exe
Windows 98
O98SECU.exe
Y2KW982G.exe
Windows NT 4.0
DEUQ300972I.exe
ID4SETUP.exe
SP6I386G.exe
Windows 2000
CODEREDSCANNER.exe
ENPACK_WIN2000ADMIN_GER.exe
OUT2KSEC.exe
Q300972_W2K_SP3_X86_DE.exe
Q301625_W2K_SP3_X86_DE.exe
W2KSP2.exf
Exchange 5.5
SP4_550G.exe
Exchange 2000
EX2KSP2_SERVER.exe
Windows NT 4.0
IE4USP.exe
IESETUP.exe
MPRI386.exe
PPTPFIXI.exe
RRASFIXI.exe
SP6I386.exf
Windows 2000
ENPACK_WIN2000ADMIN_EN.exe
Q301625_W2K_SP3_X86_EN.exe
W2KSP2.exe
Exchange 2000
Q278523ENGI.exe
Exchange 5.5
SP4_550E.exe
Exchange 5.0
SP2_500I.exe
SP2S500I.exe
Englische Updates
Windows 95
IE4SETUP.exe
IE4USP.exe
MSDUN13D.exe
W95PLUSD.exe
W95SP1.exe
W95Y2K.exe
Windows 98
Y2KW98_2.exe
IE 5.01
IE5SETUP.exe
Q268465.exe
01
Ausgabe 01/2002
29
HOTLINE
Deutsche Updates
Patches
h
HOTLINE
Empfohlene BinTec Updates und Patches
Bintec Router Software
Bingo!
Brick XS/Office
Brick X.21
X8500
BGO521.bg
BRK512.xs
BRK495.x21
B6105.x8a
Bingo! Plus/Professional
BRK521P2.xs2
Brick XL/XL2
X4000
BGO494.bgp
Brick XMP
BRK521P1.xl
BL6102.x4a
BRK521P1.XP
Netracer
BrickWare u. Configuration Wizard
X3200
BW613.exe
Brick XM
NR494P1.zip
B6102.x3B
NLMDISK.zip
BRK511.xm
XCentric
X1000 / 1200
BRK521P1.xm2
XC523.xcm
B61020.x1x
MODULE14.xcm
Empfohlene Tobit Updates und Patches
Tobit Produkte für Novell
TimeLAN Novell
DAVID 6.5
David 6.6
TIMELAN.exe
D65SP1NW.exe
D66NWSP2.exe
IVC.dcc
Faxware 5.11 für Netware SB 4.2
DVVSCA10.exe
DVGRAB.nlm
POSTMAN.nlm
DAVID4.nlm
PM_NW.zip
DVVSCA10.exe
WEBACCNW.exf
Faxware 5.11 für Netware SB 5.0
HF1NWG.exe
DAVID5.nlm
Tobit Produkte für Microsoft
Tobit ServTime Win 98
DAVID 6.5 für NTl
David 6.6 NT / Win 2000
Tools
SETUPW98.exe
D65SP1NT.exe
1839NT.zip
DVPGP.dll
DCNSETUP.exe
Tobit TimeLAN für NT
DV4EXSP2.exe
D66NTSP2.exe
HF1NTG.exe
DVEXTINF.exe
SETUPNT.exe
MAPI32.dll
DV_WIN.zip
MCSCANNT.zip
DVZMSD.exe
Tobit ServTime für NT
DV4EXSP3.exe
IVC.dcc
KLICKTEL.zip
SERVTIME.exe
DV4EXW2K.exe
WEBACCNT.exe
SENDMAIL.exe
DVGRAB.exe
rot
grün
blau
gelb
pink
seit unserer letzten Veröffentlichung neu
hinzugekommen
nur noch auf der Technik News Service-CD
aus Platzgründen nicht mehr auf der CD
auf der letzten Service CD
auf der letzten Novell Sonder-CD
Empfohlene Veritas Updates und Patches
HOTLINE
Backup Exec 8.5/8.6
Windows NT und Windows 2000
Installation
BNT86I02_241044.EXE
BNT86I03_241035.EXE
EXV30I03_237919.EXE
BNT86I02_237891.EXE
BNT86I03_237889.EXE
BNT85SBSFIX_236351.EXE
RAIDIRECTOR_233163.EXE
23.10.01
23.10.01
29.06.01
29.06.01
28.06.01
10.05.01
14.12.00
Backup Exec Ver. 8.6 Build 3878 (dt.)
Backup Exec Ver. 8.6 Build 3878 (engl.)
ExecView 3.0 Build 152 (engl.)
Backup Exec Ver. 8.6 Build 3808 rc5 (dt.)
Backup Exec Ver. 8.6 Build 3808 rc5 (engl.)
SBS Seriennummer Fix für BE 8.5 Revision 3572 rc9 (HF23)
RAIDirector Evaluation Version (NLS)
Patches
3808HF9_241122.EXE
BNT85SYSFIX_241433.EXE
BNT8XVIRUPD_240051.EXE
BNT85OFOFIX_239866.EXE
BNT86OFOFIX_239867.EXE
BNT86SQLFIX_239493.EXE
BNT86SYSFIX_239551.EXE
BNT85SYSFIX_238549.EXE
BNT85CATFIX_238991.EXE
24.10.01
30.11.01
05.09.01
30.08.01
30.08.01
14.08.01
14.08.01
30.06.01
30.06.01
Hotfix 9 für Namesvc.log nur v8.6 Build 3808 rc5 (dt./engl.)
Hotfix 30 nur v8.5 B. 3572 rc9 S.-State., Cluster, Shares
Virus Engine Update Ver.8.0 und 8.5 (alle) (NLS)
OFO Hotfix 31 QLogic Prob. V. 8.5 Build 3572 RC9 (NLS)
OFO Hotfix 7 QLlogic Prob. V. 8.6 Build 3808 RC5 (NLS)
SQL 2000 Hotfix 3 Ver. 8.6 Build 3808 (NLS)
System State Hotfix 10 Ver. 8.6 Build 3808 RC5 (NLS)
System State Sicherungsprobleme v8.5 B.3572 rc9
Restore Auswahl Probleme nur v8.5 Build 3572 rc9
Patches
01
Ausgabe 01/2002
30
Empfohlene Veritas Updates und Patches
BNT86SQLFIX_239007.EXE
BNT86SYSFIX_239027.EXE
BNT86TSMFIX_239160.EXE
BNT86CMDFIX_239162.EXE
BNT85SYSFIX_236381.EXE
BNT85SSOFIX_236423.EXE
MEDIAFIX_234341.EXE
POST3571_232826.EXE
OFOFIX.EXE
30.06.01
30.06.01
30.06.01
30.06.01
10.05.01
08.05.01
06.02.01
10.11.00
21.02.01
Treiber
BNT86IDRV30_240650.EXE
03.10.01
BNT85IDRV29A_237727.EXE 22.06.01
SQL 2000 Device not found (dt./eng) nur 8.6 B.3808
System Status Hotfix (dt./engl) nur v8.6 B.3808 rc5
TSM 3.7/TSM 4.1 Unterstüt. (dt./eng) nur v8.6 B.3808 rc5
BEMCD Fix um Cleaning Slot ü. Script zu setzten. (dt./eng)
8.5 3572 rc9, HF22 System State, Exch. restore, Device Error
8.5 3572 rc9 HF18 SSO Umgebung Drive Offline
Behebt Fehler “Unrec. Media” für Ver. 8.5 Build 3571(NLS)
Hotfix für Remote Intelligent Desaster Recovery
Open File Option Patch (behebt Blue Screen und
Initialisierungsprobleme)
Set 20010915/Autol. R. 30 nur BENTv8.6 (dt./engl
Set 20010615/Autol. R.29A nur BE 8.5 (dt./engl)
Agenten
NWAA191_236656.EXE
18.06.01
NLS_AGNT_241420.TAR
AG9X021_234221.EXE
AGORACLE_232754.EXE
AGOS203.EXE
AGWIN31.EXE
AGDOS.EXE
AGMAC500.EXE
26.10.01
30.01.01
14.12.00
19.05.00
19.05.00
19.05.00
10.05.00
NetWare Remote Agent v191 (engl.) behebt Fehler “Acess
Denied”
Unix Agent v5.01 Rel.5032 (dt./engl) BENT und BENW
Windows 9x Agent Version 5.021 (NLS)
Oracle Agent Version 5.010 (NLS)
Nur die neusten NW und
OS/2 Agent Version 3.203 (NLS)
NT Versionen, nur Intel
Win 3.1X Agent (NLS)
CPU’s (kein Alpha), nur
DOS Agent Version 3.015 (NLS)
Mac Agent Version 5.00 (NLS)
englisch und deutsch
wenn vorhanden.
Utilites
BENTTOOL_240872.EXE
15.10.01
Diagnostik Utilities für Windows und NetWare
Backup Exec 8.5
Für Novell NetWare
Installation
BE85P00_240250.EXE
EXV30I03_237919,EXE
B85P00_235814.EXE
EXECV25_231291.EXE
17.09.01
29.06.01
12.04.01
29.08.00
Backup Exec für NetWare Version 8.5.194 (NLS)
ExecView 3.0 Build 152 (engl.)
Backup Exec für NetWare, Version 8.5.191 (NLS).
ExecView Version 2.5 mit Pure IP Unterstützung (NLS)
Patches
BESRVR_2_232776.EXE
07.11.00
BESRVR.NLM V.3.21 behebt Tape Rotation Prob. (engl.)
Treiber
B850DV14_242402.EXE
B850DV13_239791.EXE
B850DV12_237018.EXE
NWASPI_232264.EXE
04.12.01
12.09.01
30.05.01
16.10.00
Gerätetreiber Set BENW 7.5, 8.0 8.5 (engl.)
Gerätetreiber Set 13 für 8.0 Build 300, 8.5 Build 191 (engl.)
Gerätetreiber Version 9901N023 (engl)
NWASPI.CDM Update Version 3.20 und Version 3.21
Agenten/Optionen
OFO_234_BENW_241905.EXE 29.11.01
BEORANW_241399.EXE
30.10.01
WIN9X_AGENT_239813.EXE 28.09.01
NLS_AGNT_236717.TAR
16.05.01
Problem
WINNTAGT_230560.EXE
28.07.00
WINNTAGT.EXE
19.05.00
AG9X019.EXE
1.08.00
OS2AGENT.EXE
19.05.00
MACAGENT.EXE
19.05.00
DOSAGENT.EXE
10.05.00
BEORANW.EXE
08.06.00
BEWINUPD.EXE
19.05.00
Windows NT Version 5.003 (engl.)
Windows NT Agent Version 3.201 (NLS)
Windows 9x Agent Version 5.019 (NLS)
OS/2 Agent Version 3.204 (engl.)
Macintosh Agent Version 4.07 (NLS)
DOS Agent Version 3.015 (NLS)
Oracle Agent (engl.)
Windows Client (engl.)
Utilities
ALLTOOLS_235507.EXE
BENTTOOL_240872.EXE
Diagnostik Tools für NetWare Umgebung
Diagnostik Utilitys für Windows und NetWare
29.03.01
15.10.01
Open File Option Build 234 (I2O Unterst.) (engl.)
Oracle Agent für 8.0 und 8.5 (engl.)
Windows 9x Agent V5.019 (NLS) Novell und NT
Unix Agent v5.01 Rel.5030 (dt./engl) behebt Hard Link / NIS
01
Ausgabe 01/2002
31
h
HOTLINE
Neue Patches in der Übersicht
Veritas Updates und Patches neu herausgekommen
B e s t o p , C a t d u m p , P w d b e d i t . e x e und
Pwdbedit.pdf für die Verwendung unter NT sowie
die Programme Bestart, Bestop, Beremote,
Baxter, Bediag, Bedrprep, Readacl undSmstest
für den Einsatz unter Novell NetWare. Zu entpacken ist
die Datei mit –d.
Backup Exec Version 8.5/8.6
für Windows NT und Windows 2000
BNT86I02_241044.EXE dt.
Dies ist die aktuelle Backup Exec Version 8.6 Build
3878 in Deutsch. Für die Installation kann keine Server-, Advanced Server-, Datacenter- oder SBS-Seriennummer verwendet werden. Die Seriennummer muß
upgegradet werden.
Backup Exec Version 8.5
BNT86I03_241035.EXE
für Novell NetWare
Dieses ist die aktuelle Backup Exec Version 8.6 Build
3878 in Englisch. Zur Installation siehe zuvor.
B850DV14_242402.EXE engl.
Für dieses Gerätetreiber Set für die BENW Versionen 7.5,
8.0 und 8.5 müssen die aktuellen Buildstände verwendet werden. Dieses sind für 7.5 Build M123, für 8.0 Build
300, für 8.5 Build 194. Es kann auch für die NetWare 6
kompatible Version 8.5.302 eingesetzt werden. Lesen
Sie das Readme.txt für weitere Informationen.
3808HF9_241122.EXE dt. /engl.
Der Hotfix Nummer 9 für Namesvc.log (nur v8.6
Build 3808 rc5) muß auf allen Backup Exec Medien
Servern eingespielt werden und behebt ein Problem mit
der Größe des Logfiles. Siehe auch Backup Exec TID
2051369.
OFO_234_BENW_241905.EXE engl.
BNT85SYSFIX_241433.EXE dt./engl.
Die aktuelle Open File Option Build 234 - nur für
Backup Exec Rev. 8.5 194 - bietet die Unterstützung für
I2O Controller unter NetWare. Zur Installation kopieren
Sie die DateiOtmdsk.dsk inC:\Nwserver und alle
anderen Dateien in Sys:\Bkupexec\nlms. Sie sollten vorher die alten Dateien sichern. Er kann unter
NetWare 4.2, 5.0, 5.1, und 5SB eingesetzt werden.
Dieser Hotfix trägt die Nummer 30 und ist nur für BE
Version 8.5 Build 3572 rc9. Er behebt Probleme beim
Sichern des System-States, Exchange Restore Probleme und gerätespezifische Probleme auf Systemen ohne
administrative Freigaben. Die Datei ist mit –d zu
entpacken. Siehe auch BE TIDs 2050143, 2047978,
2044485, 2043985, 2045554, 2051451 sowie 2051453.
BEORANW_241399.EXE engl.
BNT86IDRV30_240650.EXE (dt./engl.)
Dieser aktuelle Oracle Agent für Backup Exec Version
8.0 und 8.5 kann unter NetWare 4.2, 5.0, 5.1, 5SB
eingesetzt werden. Verwenden Sie bei beiden Versionen
(8.0 und 8.5) die Seriennummer 00-7343-8880-000001
bei der Installation.
HOTLINE
Diese aktuelle Gerätetreiber Set 20010915 und
Autoloader Release 30 ist nur für BENTv8.6 einzusetzen. Neu ist die Unterstützung für das Storage Tek
T9840B und T9940B Half-Inch, sowie die Autoloader
Overland LibraryXpress LXN2000 (NEO Serie) DLT,
Overland LoaderXpress LXLu11 Seagate Ultrium HalfInch, Seagate Viper 2000 Seagate Ultrium Half-Inch
und ADIC FastStor IBM Ultrium-TD1 Half-Inch. Nach
dem Entpacken können die neuen Treiber über den
Device Driver Installer installiert werden.
BENTTOOL_240872.EXE
Diagnostik Utilitys für Windows und NetWare (Beschreibung wie bei den BE Patches für die Windows
Versionen)
BinTec Updates und Patches neu
heraugekommen
NLS_AGNT_241420.TAR dt./engl.
Dieser aktuelle Unix Agent v5.01 Rel.5032 für BENT
und BENW kann für Backup Exec für NetWare Version
7.11d, 7.5, 8.0 und 8.5 eingesetzt werden, unter
Windows unter den Versionen 7.0, 7.01, 7.2, 7.3, 8.0,
8.5 und 8.6.
B6105.x8a 1246 KB
Aktuelles Update für den Bintec Router X8500. In dieser
Version 6.1.5 wurden Fehlerbereinigungen im Bereich
der X8E-4PRI Treiber und des X8E-2BC Boards in
Verbindung mit CM-X21-Modul durchgeführt.
Weitere Verbesserungen betreffen den Bereich X25.
BENTTOOL_240872.EXE dt./engl.
Die Diagnostik Utilities für Windows und NetWare
enthalten die Programme für Bediag, Bestart,
Patches
01
Ausgabe 01/2002
32
Computer
Novell Updates
Associates
und Updates
Patches und
neu Patches
herausgekommen
neu herausgekommen
Die Dateien beheben CPU Hog in
ZFD3SP1A.exe 46890 KB
Multiprozessor-Umgebungen,
Bei diesem Patch für
Novell
Service Pack 1A für ZENWorks
Computer Associates Updates und Patches neuDas
herausgekommen
Abends bei MultiprozessoreDirectory 8.5.1 auf Netware 5.x.
for Desktops Version 3.0 ersetzt das
Machinen und einen Abend in Versollten Sie beachten, daß die Server,
SP 1 und alle anderen bislang erbindung mit dem CDI_Unbind_
auf denen das Update installiert
schienenen Patches.
CDM_From_Object.
werden sollen, mindestens folgende
ZD3IDNT1.exe 94 KB
Patchstände besitzen müssen:
ES7000.exe 171 KB
Der Patch für ZENWorks for
Neware 5.0 mit SP6A und Netware
Desktops 3.0 behebt Probleme des
Plattformspezifisches Modul (PSM)
5.1 mit SP2A. Vor der Installation
für Unisys ES7000 Server für die
ZENWorks Inventory Moduls, im
unbedingt das Readme lesen, da
Netware Version 6.0
einzelnen die beiden Errors 812 und
dieses Update nur unter bestimten
806.
Vorraussetzungen installiert werden
277412.exe 156 KB
darf. Sie finden die Dateiversionen
Der Patch für die Netware Client
ZFS2JVM.exe 1647 KB
DS.nlm v85.20c und DSRE
Versionen
4.8
und
4.81
behebt
das
Diesen Patch für ZENWorks for SerPAIR.nlm 85.12b.
Problem, daß trotz statisch eingetravers 2.0, müssen Sie dann verwengenem Scope (DA, Directory Agent)
den, wenn Sie die Java Virtuell
DS877A.exf 4389 KB
SLP multicast Traffic gesendet wurMachine (JVM) von 1.2.2 auf 1.3
Als NDS Update für alle Netware 5
de. Zudem wurde keine direkte Verupdaten möchten, und auf dem SerServer, die mit der NDS-Version 8
bindung
zum
DA
aufgebaut
werden.
ver bereits ZENWorks for Servers
laufen, sind enthalten:
Version 2.0 läuft.
- DS.NLM (v 8.77a)
AMW2KSP1.exe 4394 KB
- DSREPAIR.NLM (v 7.28d)
Update für Novell Account ManaZFS2SP1A.exe 54876 KB
vDIBMIG.NLM (v 2.32)
gement Version 1.1.
Das Service Pack 1a für ZENWorks
- DSBROWSE.NLM (85.00.0)
for Servers 2.0 beinhaltet Updates
Patchlevel: Netware 5.0 mit SP6A
AM210SNP.exe
1126
KB
für alle zum Lieferumfang gehörenund Netware 5.1 mit SP2A.
Update der Snapins für Novell
den Module und ersetzt das Service
Account Management Version 2.1
Pack 1.
NWFTPD04.exe 143 KB
für Windows NT.
Aktueller Patch für den FTP-Server
ZS2UTIL2.exe 981 KB
der Netware 5.1 und 6.0.
EDIRW32.exe 1086 KB
Novell ZENWorks for Server VersiPatch für Installationsprobleme und
on 2.0 Management und Monitoring
NWPAPT2A.exe 254 KB
Shutdown Probleme des eDirectory
Tool.
In diesem Update finden Sie aktuel8.5.x auf Windows 2000 und NT.
le Files für die Netware Version 5.1:
- NWPA.nlm 3.07c
- MM.nlm 2.02b
DS8520C.exe 2404 KB
Empfohlene Microsoft-Patches
Service Packs
EX2KSP2_SERVER.exe 96192 KB
Das Service Pack 2 für Microsoft
Exchange 2000 enthält folgende
Änderungen:
- Exchange wurde für Active
Directory optimiert
- erweiterter Error Report
- erweitertes Event Logging
- Verbesserungen des WebDAV
Management
- Es gibt ein Debugging Tool für
Message Archive
- Das Delivery System Notification
wurde überarbeitet.
- Im Exchange System Manager gibt
es jetzt die Möglichkeit, in die
Presubmit Queues einzusehen
- erweitertes Message Tracking
- Tool, um SMTP zu deinstallieren
- Ein Migration Wizard ermöglicht
eine Migration seperater Exchange
2000 Organisationen.
Outlook WebAccess
- erweiterte Navigation
- erweiterte Druckmöglichkeiten
- Logoff Seite
- neue Kalendersteuerung
01
Ausgabe 01/2002
33
Neu auf der Service CD
ZFD3SP1A.exe
ZFS2SP1A.exe
EX2KSP2_SERVER.exe
GW6SP1.exe
W2KSP2.exf
h
HOTLINE
MICROSOFT
Terminaldienste unter Windows 2000
Bereitstellen der Clients mit Active Directory
Von Jörg Marx
Seit die Terminaldienste bei Windows 2000 zum Lieferumfang gehören, bietet sich endlich die Möglichkeit, wie unter
Novell eine Fernadministration des Servers ohne Zusatzprodukte durchzuführen. Wir wollen darlegen, wie Sie die
Clients dazu einrichten.
F
Für die Bereitstellung eines Terminaldienste-Clients mit Active Directory
sind insgesamt sechs Schritte nötig.
Zunächst muß die Paketerstellung
vorbereitet werden. Nach dem Erstellen eines Installationspakets gehen
wir an die Installation des Terminaldienste-Clients. Anschließend folgt
die Paket-Nachbereitung, dann die
Erstellung von Gruppenrichtlinien
und schließlich die Anwendung des
Paketes. Um Ihnen die Installation zu
vereinfachen, beschreiben wir Ihnen
Schritt für Schritt die einzelnen Punkte.
HOTLINE
Vorbereitung
Zur Paketerstellung benötigen Sie
zuerst eine Netzwerkfreigabe, in der
Sie später die Installationsdateien
speichern möchten. Diese muß verfügbar sein, solange der Terminaldienste-Client installiert ist. Daraufhin kopieren Sie die Installationsdateien des Terminaldienste-Client
aus dem Verzeichnis \\<System
Root>\System32\Clients\Tsclient\
Net\Win32 bzw. \Win32a bei Alpha-basierten Computern in einen
Ordner auf der Freigabe.
Installationspaket
Sie starten das Dienstprogramm für
die Erkennung (Discoz.exe) auf der
Referenzarbeitsstation, hierzu können
Sie den entsprechenden UNC-Pfad
eingeben, oder aber Sie durchsuchen
die Netzwerkumgebung nach dem
entsprechenden File. Bitte beachten
Sie dabei, dem Ordner mit der Datei
Discoz.exe kein Laufwerk zuzuordnen. Wenn das WinINSTALL-Erkennungsprogramm startet, geben Sie
als Anwendungsname Terminaldienste-Client ein. Klicken Sie
auf die Schaltfläche „...“, und suchen
Sie nach dem Installationsverzeichnis. Geben Sie als Dateiname
TSClient ein, und klicken Sie anschließend auf Öffnen. Vergewissern Sie sich, daß als Betriebssystemtyp 32-Bit-Windows festgelegt ist,
und klicken Sie auf Weiter.
Jetzt benötigen wir einen temporären
Ordner auf einem Festplattenlaufwerk
mit ausreichendem Speicherplatz,
anschließend klicken Sie auf Weiter. Wählen Sie das Laufwerk aus,
auf dem der Terminaldienste-Client
installiert werden soll, und klicken
Sie auf Hinzufügen. Das Laufwerk
erscheint in der Liste der zu überprüfenden Laufwerke. Klicken Sie auf
Weiter. Akzeptieren Sie die standardmäßige Dateiausschlußliste, indem Sie auf Weiter klicken.
Der Abschluß des Vorgangs, wenn der
„Vorher“-Snapshot fertiggestellt ist,
wird im WinINSTALL-Erkennungsprogramm über eine entsprechende
Meldung angezeigt. Jetzt klicken Sie
wieder auf OK und geben den UNCPfad zu der Netzwerkfreigabe mit den
01
Ausgabe 01/2002
34
Installationsdateien für den Terminaldienste-Client an. Dann können Sie
mit der Installation durch Ausführen
der Setup.exe beginnen.
Client Installation
Zur Installation des TerminaldiensteClients nach dem Starten des SetupProgramms klicken Sie einfach auf
Weiter. Jetzt werden Sie nach Namen und der Organisation gefragt.
Geben Sie diese entsprechend ein,
anschließend wieder mit OK bestätigen. Bei der nun folgenden Überprüfung der Angaben ebenfalls mit OK
weiter gehen. Den Lizenzbestimmungen sollten Sie zustimmen, da sonst
die Installation abbricht. Jetzt wird
der Installationspfad angezeigt, überprüfen Sie diesen und passen Sie ihn
gegebenenfalls an. Das Setup-Programm des Terminaldienste-Client
fordert Sie dazu auf, die Anfangseinstellungen auf alle Benutzer des Computers anzuwenden. Bestätigen Sie
diese Frage mitJa. Den Abschluß der
Installation bestätigen Sie einfach mit
OK.
Nachbereitung
Nach Abschluß der Installation starten Sie das Programm zur weiteren
Erkennung des Systems, entweder
anhand des UNC-Pfades oder durch
Suchen über die Netzwerkumgebung.
Mit Bestätigung durch ein Klicken
auf Weiter wird der ”Danach”Snapshot gestartet. Es erscheint eine
Meldung, die Sie über die erfolgrei-
che Konvertierung informiert. Es können jedoch zusätzliche Warnmeldungen erscheinen. Diese können
Sie aber ignorieren, da sie nichts mit
der eigentlichen Installation zu tun
haben. Mit OK bestätigen Sie, daß der
”Danach”-Snapshot fertiggestellt ist.
Die Datei .msi und alle weiteren
Files finden Sie anschließend auf der
eingerichteten Netzwerkfreigabe,
ebenso die Dateien für die Installation des Terminaldienst Clients.
Gruppenrichtlinien
Öffnen Sie die Verwaltungskonsole
für die Active Directory-Benutzer und
-Computer auf dem Server. Hier legen
Sie bitte die entsprechende Organisationseinheit an, über die der Terminaldienste-Client bereit gestellt werden
soll. Anschließend tragen Sie noch
die entsprechenden Benutzer, Gruppen und/oder Computer bei der
Organisationseinheit ein. Wählen Sie
jetzt mit der rechten Maustaste den
Container. Hier gehen Sie auf den
Punkt Eigenschaften, öffnen die
Registrierkarte Gruppenricht
linien und sagen Neu. Benennen
Sie die neue Richtlinie bitte folgendermaßen TerminaldiensteClient-Bereitstellung, und
klicken Sie weiter aufBearbeiten.
Jetzt wird der GruppenrichtlinienEditor geöffnet. Hier wählen Sie das
entsprechende Gruppenrichtlinienobjekt je nach Bereitstellungsstrategie. Soll der TerminaldienstClient auf Computerbasis bereitgestellt werden, wählen Sie das Objekt
Abb 1: Konfiguration der Terminaldienste
01
Ausgabe 01/2002
35
Computerrichtlinien aus.
Wünschen Sie die Bereitstellung auf
Benutzerbasis, wählen Sie das Objekt
Benutzerrichtlinie. Wählen
Sie im linken Fenster das Pluszeichen
+ aus, um die Ansicht zu erweitern.
Unter Richtlinienobjekt müssen Sie
die Software-Einstellungen so erweitern, daß der Punkt Softwareinstallation erscheint. Mit der
rechten Maustaste wählen Sie diesen
Punkt an, über Neu gelangen Sie zum
Punkt Paket.
Nun sollte sich das Tool für die Software-Paketkontrolle öffnen. Mittels
UNC-Pfand gehen Sie auf die
Netzwerkfreigabe für die Installationsdateien des Terminaldienst-Clients
und öffnen jetzt das von Ihnen angelegte MSI-Paket. Sie können auf das
Bereitstellungsverfahren klicken oder
aber über erweitert das Paket zusätzlich noch konfigurieren. Anschließend muß das neue Paket im
rechten Teilfenster des Fensters
Gruppenrichtlinien erscheinen. Nachdem Sie alle Programme
beendet haben, aktualisieren Sie die
Domänenrichtlinien über die folgende Zeile in der Eingabeaufforderung:
secedit /refreshpolicy
machine_policy /enforce oder
...user_policy /enforce
Paketanwendung
Sie müssen sicherstellen, daß die
Replikation auf allen Domänenkontrollern erfolgt ist, bevor Sie das veröffentlichte Programm verwenden
können. Melden Sie sich bei einer
Arbeitsstation an, um den veröffentlichten Terminaldienste-Client automatisch zu erhalten.
Testen Sie abschließend, ob die Richtlinie korrekt funktioniert und nehmen
Sie gegebenenfalls Änderungen vor.
Jetzt läßt sich die TerminaldiensteClient-Installation sicher vom
Referenzcom-puter entfernen. Für den
Fall, daß Sie den TerminaldiensteClient einmal deinstallieren müssen,
so haben Sie dazu die Möglichkeit,
indem Sie das Paket aus der Richtlinie entfernen, wodurch es automatisch auf den Arbeitsstationen deinstalliert wird.
h
HOTLINE
NOVELL
Kleines Lexikon der NDS
Teil 1: NDS Health Check
Die Novell Directory Services gewinnen allerorten an Bedeutung. Selbst Hersteller wie Sun, SAP oder IBM integrieren
ihre Produkte mittlerweile in die NDS von Novell, eine Datenbank also, mit der man umzugehen wissen sollte. Wir
möchten Sie mit den Begriffen, Prozessen und den alltäglichen Problemen vertraut machen.
B
Beginnen wir direkt mit den wichtigen Begriffen, die Sie immer wieder
antreffen werden. Häufig lesen Sie in
den Unterlagen oder TIDs vom sogenannten NDS Health Check. Jedoch
ist nicht genau definiert, was sich eigentlich dahinter verbirgt. Man versteht darunter ganz allgemein die
Überprüfung der NDS auf Konsistenz
und Fehler. Sie sollten diesen Check
generell regelmäßig durchführen, da
jede Datenbank eine gewisse Pflege
benötigt. Hierzu gibt es die Faustformel, daß Sie in einem statischen
Tree einmal im Monat, in einem dynamischen Tree einmal pro Woche einen Check fahren sollten.
HOTLINE
Basic Health Check
Bei der regelmäßigen Überprüfung
kommt der sogenannte Basic Health
Check zur Anwendung. Hierbei werden die verschiedene Operationen
ausgeführt. Die Überprüfung der NDSVersionen läßt sich auf jedem Server
über den NDS-Manager, DSDiag oder
DSRepair überprüfen. Hierbei ist zu
beachten, daß die Versionen auf einem Stand sind, will sagen, daß alle
NDS-Versionen innerhalb einer Release gleich sind. Haben Sie die NDS-
Grund gehen. Hierzu können Sie z.B.
den sogenannten Complete Health
Check durchführen. Auch hierzu gehören zahlreiche Operationen. Zur
Überprüfung der Background Prozesse gehören dieExternal Referen
ces, das sind Pointer auf einem Server, die auf ein NDS-Objekt zeigen,
welches nicht auf dem Local Server
existiert. Diese können Sie mit
DSRepair und DStrace aufspüren. Obituaries sind NDS-Objekte, die
entweder verschoben, umbenannt
oder gelöscht wurden. Um festzustellen, ob und wenn welche auf dem
Server vorhanden sind, lokalisieren
wir Obituaries ebenfalls mit DSRe
pair und DStrace. Die Remote
Server IDs, die Objekt-Referenznummern, die jedem Server zugeordnet werden (nur wichtig bei NetWare
4.x Server), sind über DSRepair zu
ermitteln.
Über den Novell NetWare Administrator können Sie zudem eine
Suchfunktion starten, die nach einem
Version 6, so sollten alle Server dieser
Version auch eine identische Version
des DS.NLM besitzen, z.B. 6.18. Server mit der Version 7 sollten demnach
die DS.NLM v7.55 haben.
Eine Überprüfung der Zeitsynchronisation können Sie mittels
DSRepair über den Punkt Check
time synchronization durchführen. Hier sollten selbstverständlich alle Server in Sync sein. Zur
Überprüfung der Synchronisation der
Replicas starten Sie den NDS-Manager und führen den Punkt Check
Partition Continuity durch.
In Abbildung 1 wird
eine Matrix erzeugt,
Abb. 1: NDS-Manager mit Partition Continuity
in der zu erkennen
ist, in welchem Status die einzelnen
Replicas zu einander stehen.
Complete
Health Check
Wenn bei den
Replicas Fehler auftauchen, müssen wir
diesen selbstverständlich auf den
01
Ausgabe 01/2002
36
Tabelle 1
SET
SET
SET
SET
SET
SET
DSTRACE
DSTRACE
DSTRACE
DSTRACE
DSTRACE
DSTRACE
=
=
=
=
=
=
+IN,
+LIMBER
+MISC
+AGENT
*H
*P
zeigt allen eingehenden Synchronisations-Traffic an
zeigt Meldungen zum Limber-Prozeß (Servernamen und Netzwerkadressen)
zeigt Meldungen zum Bagging und anderen Background-Prozessen
zeigt den Janitor und weitere Background-Prozesse
läßt uns die Replica Synchronisations-Prozesse triggern
zeigt die aktuellen Einstellungen der NDS-SET-Parameter
Tabelle 1: Anzeigen bzw. Starten von Background-Prozessen
Objekt Typ=Unknown sucht,
unbekannten NDS-Objekten also.
Bei der Überprüfung des NDS-Schemas wird festgestellt, ob die ObjektKlassen und -Attribute der NDS auf
dem entsprechenden Server bzw.
netzwerkweit synchron oder identisch
sind. Der Check erfolgt mittels
DSReapir, die Überprüfung der
übrigen NDS-Background-Prozesse
mittelsDStrace. Die NDS SET-Parameter können Sie direkt über das
MONITOR.NLM auf dem Server oder
Dstrace einsehen (vgl. Abb.2).
Dstrace-Kommandos
Da die Dstrace-Kommandos nicht jedem geläufig sind, wiederholen wir
an dieser Stelle noch einmal die entsprechenden Kommandos für die oben
genannten Punkte. Generell sollten
Sie wissen, was die Zeichen im DStrace
bedeuten. Mit dem Pluszeichen in
SET DSTRACE = + werden die
Meldungen des entsprechenden Prozesses freigeschaltet, mit einem Minuszeichen entsprechend abgeschaltet. Über SET DSTRACE = * wird
ein Prozeß gestarAbb. 2: DSReapir Advanced Option
tet, mit
SET
DSTRACE = !
lassen sich die NDSSET-Parameter ändern.
Kommen wir zu den
Kommandos mit
Bedeutung für die
Health-CheckThematik. Generell
müssen Sie erst einmal folgende Werte setzen.
SET DSTRACE =
ON aktiviert den
DStrace Screen,
SET TTF = ON
erzeugt die Datei
Abb. 3: Verfügbare DStrace Optionen am Server
DSTRACE.dbg.
SET DSTRACE =
* R löscht das
Logfile, wenn
schon eines vorhanden war. SET
DSTRACE = *.
initialisiert die
NDS-Datenbank,
Unload und Load
des DS.nlm.
Um die Partition
01
Ausgabe 01/2002
37
Continuity zu prüfen, geben Sie ein:
SET DSTRACE = +S, es zeigt alle
Meldungen bezüglich der Relica Synchronisation an, SET DSTRACE =
*H startet den Heartbeat-Prozeß samt
der Replica Synchronisation.
Prozesse
External References lassen sich mittels SET DSTRACE = +BLINK
feststellen, es zeigt alle Meldungen
zum Backlink-Prozeß, der die External
References ermittelt.SET DSTRACE
= *B startet den Backlink-Prozeß.
Die Obituaries lassen Sie wie folgt
ermitteln: SET DSTRACE = +J
zeigt alle Meldungen zum Janitor Prozeß, SET DSTRACE = *F startet den
Flatcleaner-Porzeß, dieser beinhaltet
den Janitor. Alle zusammen werden
bezeichnet als die Putzfrau der NDS,
sie räumen auf.
Fehler im NDS-Schema lassen sich
über SET DSTRACE = +SCHEMA
ermitteln, mit allen Meldungen zum
NDS-Schema. SET DSTRACE =
*SS startet den Schema-Abgleich zwischen den einzelnen Servern. Alle anderen Background-Prozesse lassen
sich, wie in Tabelle 1 beschrieben,
anzeigen bzw. starten (vgl. auch
Abb.3).
Um einen Health Check automatisiert
durchführen zu können, schreiben Sie sich einfach eine
Datei mit dem Namen
CRONTAB im Verzeichnis SYS:\ETC , in der die
Kommandos enthalten
sind, die für Sie interessant sind. Starten können Sie
diese anschließend zeitgesteuert mittels CRON.nlm, das Sie auf der Technik-News-CD finden.
h
HOTLINE
NOVELL
FAQs und Facts
Interessante Tips der Deutschen Netware FAQ
Von Stefan Braunstein
Die Deutsche NetWare FAQ bietet seit Jahren interessante Tips und eine große Tool-Sammlung rund um Novell
NetWare. Stefan Braunstein, der Verwalter der Deutschen NetWare FAQ und der Netzwerk-Utility-Sammlung
NetWareFiles, liefert Technik-News-Lesern eine monatliche Serie seiner Tips und Tricks zu NetWare und zu verwandten
Themen.
D
Die Deutsche NetWare FAQ mit ihren
wertvollen Tips zu Novell NetWare
gibt es auf www.nwfaq.de, die große Tool-Sammlung zum Thema unter
www.netwarefiles.de. Dort finden Sie alle Tools, die hier besprochen werden, und viele andere mehr.
Einen direkten Link haben Sie auch
über Technik News online unter
www.technik-news.de.
Nprinter, die dritte
Neben der Nprinter-Version für
Win9x, zu der ich Ihnen in den Ausgaben 05/01 und 06/01 einige Tips gegeben hatte, gibt es auch eine für NT,
die NT 4.0 keinerlei Probleme macht.
Sie müssen zwingend einen Client 32
einsetzen, und wie beim Nprinter für
Win9x werden auch hier keine USBDrucker unterstützt (siehe Novell TID
10024370).
HOTLINE
Unter Windows 2000
Wenn Sie diesen Nprinter allerdings
unter Windows 2000 einsetzen möch-
Die Texte zu den angesprochenen
TIDs (technical information
documents) und weitere englischsprachige Informationen zu Fehlern und Fragen finden Sie in der
Novell Knowledge Base: http://
support.novell.com/search/
kb_index.htm.
ten, müssen Sie die Installation manuell vornehmen, weil die OEMSETUP.
INF der Installationsroutine nicht
paßt und hier auch andere Pfade benutzt werden. Packen Sie dazu zuerst
die Datei NTPRINT.EXE, die Sie bei
Novell unter http://support.
novell.com/servlet/
f i l e d o w n l o a d / p u b ..... /
ntprint.exe .... oder auf der
TN Monats-CD finden, durch Ausführen des Archivs aus. Kopieren Sie
dann die NPRINTER.CPL und
NPRINTER.EXE aus dem UnterverzeichnisDeutsch - wenn gewünscht
auch ausEnglish - in das Verzeichnis C : \ W i n n t \ S y s t e m 3 2 .
Konfigurieren können Sie das Programm mit Administrator-Rechten in
der Systemsteuerung mit dem Symbol Nprinter (vgl. Abb.1).
Von der Kommandozeile aus müssen
Sie jetzt (laut der zugrundeliegenden
TID 10054175) die NTPRINT.EXE,
mit dem Parameter /I aufrufen. Damit wird die Datei nach meinen Beob-
achtungen aber nur nochmals auf
C:\winnt\system32 kopiert. Starten Sie diesen Befehl aber sicherheitshalber trotzdem.
Dieser Workaround bleibt die einzige
Möglichkeit für das Remote Drucken
unter Windows 2000, wenn Sie nicht
auf NDPS umsteigen möchten, was ab
NetWare 5.0 durchaus sinnvoll wäre.
Novell wird jedenfalls für Nprinter
keine Windows 2000 oder gar eine
Windows XP Version anbieten.
Keine Lust mehr?
Es gibt kaum schlimmeres als diese
Meldung: 1.1.10 Device #0
(5B010) xxxxxxxxx-deactiva
ted due to drive failure.
Wenn die betroffene Platte nicht gespiegelt ist, ist zumindest das Volume,
das sich auf dieser Platte befand, nicht
mehr verfügbar, wenn nicht sogar ganz
zerstört. Wenn es sich aber um eine
Spiegelplatte handelt und gar noch
ein IBM DNES 9 GB oder 18GB
01
Ausgabe 01/2002
38
Modell, so deutet das auf eine alte
Revision der Plattenfirmware hin (siehe Technik News 05/2001 oder
NetWare FAQ). Sollten Sie diesen
Fehler nach dem Dismounten und
Entnehmen einer CD-ROM unter
NetWare 4.x oder älter bekommen,
können Sie ihn auch getrost ignorieren.
• ggf. Austauschplatte einbauen und
testen
• neueren Plattentreiber besorgen
(möglichst im aktuellen HAM-Format) und einspielen (den alten vorher sichern)
• Platte in anderem Rechner testen
• Stromversorgung prüfen, USV
einsetzen
Hardware-Problem
Ist der Wurm
noch drin?
In den meisten Fällen jedoch bedeutet diese Fehlermeldung ein massives
Hardware-Problem. Die NetWare
konnte nicht mehr auf die Platte zugreifen und hat sie deshalb deaktiviert.
Wenn diese Platte auch das Volume
SYS: enthält, geht danach auf dem
Server überhaupt nichts mehr. Mögliche Ursachen für die Deaktivierung
sind:
• SCSI-Bus nicht o.k. (Terminierung,
Kabel, SCSI-ID nicht eindeutig)
• Plattentreiber ist nicht (mehr)
aktuell
• Wärmeprobleme
• Generelle Hardware-Probleme der
Platte
• ggf. unzureichende Stromversorgung (Stromschwankungen) usw., die
ein Herunterfahren der Platte bewirken.
Lösung gesucht
Je nachdem bieten sich verschiedene
Lösungsvorschläge an:
• Platte heftig testen. (INSTALL.NLM
bzw. N W C O N F I G . N L M: NonDestructive-Surface-Test)
• Verkabelung überprüfen. Ist die Ter
minierung o.k.? Sitz der Stecker prüfen, ggf. testweise das Kabel tauschen
Alle NetWare Versionen besitzen einen farbigen Wurm als Bildschirmschoner. Bei NetWare 3.x und 4.x ist
dieser fest im MONITOR.NLM eingebaut und funktioniert somit nur, wenn
dieses NLM auch gestartet ist. Umgekehrt läßt er sich deaktivieren, wenn
MONITOR.NLM mit dem Parameter–
NS geladen wird. Ab NetWare 5.0
wurde der Screen Saver in ein eigenständiges Modul ausgelagert, wobei
auch die Tastatur-Lock-Funktion aus
dem MONITOR.NLM mit übernommen wurde. Dieser Bildschirmschoner
macht sich in Form einer roten Schlange bemerkbar und wird - bemerkenswerterweise - um so schneller, jemehr
der Server belastet ist.
Netter Gag am Rande: Bei Multiprozessor Servern bekommt jeder Prozessor einen eigenen Wurm, wobei der
erste rot, der zweite blau und die beiden nächsten gelb und grün sind.
Wurmkur
Die zusätzlichen Steuermöglichkeiten des eigenständigen Bildschirmschoners der NetWare 5.0 und neuer
sind schnell erklärt: SCRSAVER
ENABLE; DELAY=300; DISABLE
LOCK. In diesem
Beispiel schalAbb. 1: Auswahl des Druckers in Nprinter for NT
tet sich der Bildschirmschoner
nach 300 Sekunden (5 Minuten) ein und
fragt nach dem
nächsten Tastendruck nicht
nach dem Paßwort (DISABLE
LOCK).
01
Ausgabe 01/2002
39
Damit der Bildschirmschoner nur per
Paßwort verlassen werden kann, verwendet man einfach ENABLE LOCK,
wobei der Benutzer dann eine gültige
NDS ID, Kontext und Paßwort eingeben muß. Bei früheren NetWare Versionen gab es einen automatischen
Start dieser Absicherung nicht.
Dort mußte man das Paßwort nach
jedem Neustart des Servers imMONITOR. NLM im Menü “Lock File
Server Console” erneut eingeben,
wobei beim Entsperren auch das
Supervisor-Paßwort eingegeben werden kann. Dieser versteckte Benutzer
existiert auch bei neueren NetWare
Versionen und sein Paßwort stimmt
normalerweise mit demjenigen
Admin-Paßwort überein, das bei der
Installation des Servers benutzt wurde.
Frühere Versionen des SCRSA
VER.NLM hatten erhebliche Mängel, die bis hin zum Abend beim
Entladen des Moduls gingen. Seit
dem NetWare 5.0 Service Pack 4
bzw. mit der NetWare 5.1 wird
eine Version installiert, die problemlos funktioniert.
Client
Deinstallation
Um den Novell Client32 für Microsoft Windows 9x komplett zu
deinstallieren, starten Sie das Programm UNC32.EXE aus dem Verzeichnis ADMIN, das beim Entpacken
des jeweiligen Clients erstellt wird.
Oder Sie verwenden bei einem älteren
Client dieUNC32.EXE aus dem Novell
Patch adm32_22.exe. Er ist über
den Novell File Finder zu finden und
auf der aktuellen TN Monats-CD.
Beim Client32 für Microsoft Windows
NT und Windows 2000 reicht es normalerweise, diesen aus der Systemsteuerung zu entfernen. Ansonsten hilft
ein Blick in die TID 10013922.
Sie erreichen den Autor Stefan Braunstein über:www.braunstein.de.
h
HOTLINE
WATCHGUARD
Sicherheit für IIS
Website Security durch Applock/Web
Von Hardy Schlink
Bei WatchGuards Applock/Web handelt es sich um eine Security-Lösung, die speziell für den Microsoft Internet
Information Server unter NT und Windows 2000 entwickelt wurde. Statistiken belegen, daß ein Windows NT System
bis zu 50% mehr Hackerangriffen ausgesetzt ist als irgendeine andere Plattform.
I
Im Durchschnitt kommt es jeden Tag
zu 100 Hack-Attacken, trotz der Absicherung des Netzwerkes durch
Firewalls, Intrusion-Detection Systeme oder Anti-Virensoftware. Watchguards AppLock/Web ist eine Protection-Solution, die Schaden verhindert, bevor er überhaupt entstehen
kann. Der Microsoft Internet Information Server kann mit der AppLock/
Web Software Web-Seiten wirkungsvoll vor Angriffen aus dem Internet
gesichert werden. Während einige Lösungen nur über Hacker-Attacken informieren oder die beschädigten Daten durch eine andere vorher gespeicherte Version ersetzen, wenn ein
Datenverlust bereits entstanden ist,
sichert AppLock/Web im Gegensatz
dazu die Inhalte bereits im vorhinein
ab. So kann es gar nicht erst zu Manipulationen kommen. Hierfür ist keinerlei Security Know-how notwendig, da AppLock/Web mit einigen
Mausklicks installiert und konfiguriert ist.
HOTLINE
Angriffsziele
Web-Pages, CGI-Bin Scripts, WAVund MPR -Files, all diese Dateiformate
sind bevorzugte Ziele von Hackern,
wobei bei einem Angriff z.B. die Inhalte geändert werden können, oder
noch schlimmer, die Daten einfach
gelöscht werden. Manipulation der
Web-Pages oder die Zerstörung der ECommerce Datenbank führen zu großen Verlusten und Umsatzausfällen,
je nachdem welches Business-Modell
eine Firma implementiert hat. Und
leider gibt es auch viele registrierte
Fälle, wo Angestellte des eigenen
Unternehmens ihre Position ausgenutzt haben, um wichtige Daten zu
zerstören oder zu kopieren. AppLock/
Web hingegen ist in der Lage, den
Inhalt von über 200 bekannten Dateierweiterungen automatisch zu identifizieren, um sie gegen Manipulationen zu sperren, indem ein sogenanntes Lock ausgeführt wird (vgl. Abb. 1).
Um den Inhalt einer Website offiziell
ändern zu können, wird diese Sperre
während des Updates temporär aufgehoben, danach wieder aktiviert. An-
schließend wird AppLock/Web automatisch dafür sorgen, daß die getätigten Veränderungen wieder abgesichert
werden und so gegen Hacker-Attakken geschützt sind. Nicht einmal der
Administrator kann Änderungen an
den Web-Seiten durchführen, bevor
diese nicht entsperrt wurden.
Betriebssystem
Andere Angriffe aus dem Internet gelten dem Server und setzen an den
Sicherheitslücken eines Betriebssystems an, um mit einem Paßwortdiebstahl tiefer in das System eindrin-
01
Ausgabe 01/2002
40
gen zu können, z.B. über RemoteControl. AppLock/Web sorgt für die
Sicherheit des Servers und unterbindet hiermit Attacken von Eindringlingen, die sich den Status eines privilegierten User angeeignet haben. Gerade der Microsoft Internet Information Server ist oft das Ziel, um den
Inhalt von Web-Seiten zu manipulieren. Hacker mißbrauchen dabei die
Supervisorrechte, mit denen der Administrator sämtliche Sicherheitseinrichtungen umgehen kann. Das Sicherheitssystem von Windows NT
kann manche Hacker-Attacken nicht
ausreichend absichern, da das Administrator-Privileg vom Windows NT
Security-System oft nicht überprüft
wird, und Hacker damit in die Lage
kommen, die Rechte des Administrator zu ergattern. Damit sind DatenManipulationen Tür und Tor geöffnet. IIS Lock ist geeignet, um automatisch zur Sicherheit des IIS-Dienstes
beizutragen. Einige IIS-spezifische
Schwachstellen wie potentielle
Malicious-Intrusion Exploits auf
TCP-Port 80 werden beseitigt.
dates genügt wiederum ein Klick auf
den Unlock-Button, um andere
Web-Contents einzuspielen. Durch
erneutes Ausführen der Lock-Funktion wird der neue Inhalt der Web-Pages
wieder gegen Angriffe aus dem
Internet abgeschottet (vgl. Abb. 2).
Wenn Sie andere als die 200 automatisch entdeckten Dateiformate sichern
müssen, so geschieht dies ganz einfach über die Option View/Edit
Properties. Hierüber erhalten Sie
die Möglichkeit, die entsprechenden
Dateien zu selektieren, die abgesichert werden sollen. Weiterhin ermöglicht Ihnen diese Option, den Schutz
jeder einzelnen Datei der Web-Page
zu kontrollieren und je nach den persönlichen Anforderungen anzupassen.
Abb. 2: Die Lock/Unlock-Funktion von
AppLock/Web
Abb. 1: Autodiscovery Funktion
von AppLock/Web
Sicherheitsansatz
Mit AppLock/Web ist es möglich,
mehrere Web-Seiten auf einem einzelnen System abzusichern. Die Software entdeckt automatisch die Lokationen der Inhalte von Virtual Roots,
indem die Datenbanken und RegistryInformationen analysiert werden, die
vom IIS-Dienst gespeichert wurden,
und sichert anschließend alle Inhalte.
Der maximale Dateischutz variiert je
Lock und
Unlock
Abb. 3: Das View/Edit Properties Menü
Die Konfiguration
von AppLock/Web ist
denkbar einfach gehalten. Ein Mausklick
auf den Lock-Button genügt, um das
Betriebssystem, den
IIS-Dienst und den
Web-Inhalt durch
Autodiscovery zu
schützen. Bei eventuell anstehenden Up-
01
Ausgabe 01/2002
41
nach Speicherausstattung des Servers.
AppLock/Web arbeitet im untersten
möglichen Layer des Betriebssystem
- dem Kernel. Da es zwischen den zu
schützenden Ressourcen und dem
Betriebssystem Gerätetreiber implementiert wurde, können alle Kommandos kontrolliert werden, die
schreibend auf geschützte Bereiche
zugreifen wollen. Sobald ein Request
festgestellt wurde, der schreibenden
Zugriff ausführen möchte, so wird dies
durch AppLock/Web abgewiesen die Resource wird nicht modifiziert.
Trügerisch
Die Verwendung von Secure Sockets
Layer (SSL) ist natürlich nicht geeignet, um Daten des Web-Servers ausreichend abzusichern, da Web-Server
das SSL-Protokoll nur dazu benutzen, um die Verschlüsselungstechnologie auf die zu übertragenden
Daten anzuwenden. SSL baut zwar
einen sicheren, verschlüsselten Kanal zwischen Web-Server und
Browser auf, kann aber nicht die Integrität der Daten des Web-Servers garantieren.
Proxy- und Gateway Server filtern den
Web-Traffic, so daß niemand einen
direkten Zugriff auf den Web-Server
hat. Warum sollte man ihn noch zusätzlich absichern? Weil die meisten
Fremdeingriffe trotz Zugriffskontrolle unter einer Benutzeridentität geschehen, geht AppLock/Web hin und
schützt die Ressourcen vor Schäden,
die von irgendeinem User vorgenommen werden könnten.
Proxy- und Gateway-Server sind insofern eine gute Wahl um dafür zu
sorgen, daß nur die richtigen Anwender Zugriff auf die
Web-Daten erhalten. AppLock/Web
hingegen verhindert darüber hinaus, daß irgendein
User, sei er oder sie
autorisiert oder
nicht, die IIS-Installation oder die
Web-Inhalte modifizieren, sei es irrtümlich oder böswillig.
p
PRAXIS
NORTEL NETWORKS
Business Communications Manager
Teil 3: Voice-Mailbox-System CallPilot
Von Hardy Schlink
Nachdem die grundlegenden Installationsschritte für die interne und externe Telefonie des Business Communications
Manager erläutert wurden, wollen wir nun in die Vielfalt der Applikationen des BCM eintauchen. Da jede moderne
Telefonanlage ein Voice-Mailbox System zur Verfügung stellen sollte, wollen wir mit der Implementierung des integrierten Sprach/Datenrouters von Nortel-Networks beginnen und einige elementare Funktionen am Beispiel des
CallPilot vorstellen .
Anrufer die Möglichkeit, Nachrichten auf der individuellen Mailbox
eines Users zu hinterlassen. Für die
verschiedenen Voice-Mailboxen lassen sich unterschiedliche Ansagen
programmieren. Die gespeicherten
Messages können auf einfache Artund Weise an andere Benutzer oder
Arbeitsgruppen weitergeleitet werden, so wie uns das auch von anderen
Telefonanlagen her bekannt ist.
PRAXIS
Call Routing
I
Im Untersc hied zu den VoiceMailbox-Funktionen anderer Systeme, bietet uns der Business Communications Manager einiges mehr
als üblich. Aus diesem Grund hat
Nortel-Networks diesem Subsystem
wohl auch einen anderen Namen
gegeben, nämlich “CallPilot”. Um die
volle Funktionsvielfalt nutzen zu
können, ist eine entsprechende Anzahl der benötigten Lizenzen erforderlich. Der CallPilot bietet die folgenden Features.
Voice-Mail
Über die Voice-Mailbox-Implementierung erhalten externe wie interne
Unterschiede zu anderen Systemen
werden beim Automated Attendant
deutlich, einem sogenannten Answering Service, der 24 Stunden am Tag
zur Verfügung steht. Der Anrufer hört
verschiedene Ansagetexte und kann
mit Hilfe von DTMF-Sequenzen verschiedene Optionen ausführen, die
vorher im Automated Attendant programmiert wurden. Hierzu können
z.B. Call-Routing-Mechanismen gehören, die den Anrufer in Abhängigkeit der gewählten Optionen direkt
zum gewünschten Ansprechpartner
weiterleiten.
Das Custom Call Routing kann dabei als Erweiterung des Automated
Attendant angesehen werden. Hierdurch wird es möglich, spezifischer
auf die Bedürfnisse des Kunden einzugehen, indem z.B. weitere MenüOptionen und informative Ansagetexte implementiert werden, um den
Anrufer schneller zum gewünschten
Ziel zu bringen.
01
Ausgabe 01/2002
42
CallPilot Optionen
Das Message Networking versetzt
den Administrator in die Lage, eine
Verbindung mit anderen Voice-Mail
Systemen aufzubauen, um hierüber
die verschiedenen Nachrichten
systemübergreifend weiterzuleiten,
was für ein Unternehmen mit mehreren Außenstellen ein großer Vorteil
wäre.
Call Center
Mit einer mächtigen Call Center Applikation können eingehende Anrufe
effizient und produktiv bearbeitet
werden. Anrufe können an Agents
weitergeleitet werden, die sich beispielsweise in verschiedenen “Skillsets” befinden, und Kunden sachbezogen beraten. Anrufe können ihrer
Bestimmung nach - auf Basis der
Source oder Destination eines Calls geroutet werden. Auch hat ein Anrufer
durch die Eingabe von DTMF-Sequenzen die Möglichkeit, sein persönliches Ziel in Abhängigkeit der
angebotenen Optionen selbst zu bestimmen.
Unified Messaging
Durch die Installation der Unified
Messaging Software des BCM werden typische E-Mail Applikationen etwa Microsoft Outlook - in den
Kommunikationsprozeß mit einbezogen. Dies bedeutet, daß Sie mit Hilfe
Ihrer E-Mail Anwendung Zugriff auf
Voice-, Fax- und Textnachrichten erhalten und diese in der gewohnten
Benutzeroberfläche komfortabel verwalten können. Call Pilot Fax ist eine
weitere Option, die hilft, die ein- und
ausgehende Fax-Kommunikation zu
optimieren.
Die beschriebenen CallPilot Optionen können erst zur Anwendung kommen, wenn entsprechende Lizenzen erworben wurden.
Eine detaillierte Erläuterung aller
Funktionen des CallPilot würde den
Rahmen dieses Artikel bei weitem
sprengen. Daher wollen wir uns in
dieser Ausgabe mit der Installation
und Konfiguration der reinen
Mailbox-Funktionalitäten auseinandersetzen.
CallPilot
Installation
Die Initialisierung der einzelnen
Mailboxen des Business Communications Manager wird über eine weitere webbasierende Applikation vorgenommen, die den Namen CallPilot
Manager trägt. Um in dieAnwendung
zu gelangen, geben Sie in Ihrem
Webbrowser die folgende URL ein:
http://<ip_adresse
BCM>:6800, z.B. http://
10.10.10.1:6800. Hierdurch erreichen Sie die Hauptseite des integrierten BCM Web-Servers und starten die CallPilot Applikation, indem
Sie das Icon des CallPilot Manager
selektieren. Im nun erscheinenden
Quick Install Wizzard müssen die folgenden Informationen eingegeben werden.
und Voice Prompts - oder wir wählen
CallPilot für CallPilot Text- und
Voice
Pr ompts.
Primary
Language definiert die primäre Sprache des Voice-Mailbox Systems, in
unserem Falle also Germany.
Lines
CallPilot beantwortet Anrufe, die auf
Leitungen eingehen, die in den Feldern From Line und To Line
festgelegt werden. From Line spezifiziert eine Reihe von Leitungen,
die vom CallPilot System beantwortet werden sollen. Im entsprechenden
Menüpunkt wird praktisch der Startpunkt angegeben, z.B. Line 061.
Unter To Line wird die letzte Leitung eingetragen, auf die das
CallPilot System reagieren soll, z.B.
090.
Welche Line-Numbers hier eingegeben werden, hängt von der
Buskonfiguration des Business
Communications Manager ab.
Wenn Sie z.B. das DTM Modul
(S2M) auf DS30 Channel 7 eingestellt haben, so stehen gemäß
der Channel-ID anschließend
die Lines 061 bis 090 zur Verfügung.
Attendant DN
Unter einem Attendant versteht man
eine Person in der Telefonzentrale eines Unternehmens, die z.B. eingehende Anrufe an die entsprechenden Mitarbeiter verteilt. Sehr oft wird diese
Person auch Operator genannt. Im
Feld Attendant DN wird nun die
Nebenstellennummer dieses Operators eingegeben, damit ihm u.a. die
Anrufe zugestellt werden, die vom
Voice-Mailbox System des BCM
nicht zugeordnet werden konnten.
Wir nehmen zum Beispiel die erste
Nebenstellennummer des Business
Communications Manager D N :
221. Unter Primary UI Style
wird das Mailbox User-Interface ausgewählt, welches anschließend den
Default-Wert für alle Mailboxes darstellt. Mögliche Optionen sind: NVM
- dann benutzt das Mailbox User-Interface die Norstar Voicemail Text-
01
Ausgabe 01/2002
43
Die Number of Rings gibt die
Anzahl der Freizeichen an, die vergehen, bevor das CallPilot System
den Ruf annimmt. Es stehen die Werte 0 bis 12 zur Auswahl.
Password
Nachdem die entsprechenden Felder
ausgefüllt wurden, betätigen Sie den
Button Submit und gelangen in ein
neues Fenster Administration
Login, in dem nun weitere Daten
zum Paßwort des Systemadministrators eingegeben werden
müssen. Es besitzt den Default-Wert
0000. Aus Sicherheitsgründen wird
dringend empfohlen, das Paßwort
sofort zu ändern. Diesen Vorgang können Sie initiieren, indem Sie die Option Prompt for new Password
p
PRAXIS
mit einem Häkchen versehen, wodurch Sie sogleich zum Fenster System Administrator Pass
word geleitet werden. An dieser Stelle
angelangt, können Sie nun das Paßwort ändern. Die maximale Länge
beträgt acht Stellen (vgl. Abb. 1).
Nachdem diese letzte Hürde genommen und der Submit-Button zum letzten Mal betätigt wurde, gelangen wir
in das Hauptmenü des CallPilot Systems (vgl. Abb. 2).
Das Paßwort kann aus Buchstaben, Zahlen oder aus einer Kombination beider bestehen. Da einige Funktionen des CallPilot
Systems aber nur von einem
Telefon ausgeführt werden können, ist die Eingabe eines Paßwortes, das nur aus Zahlen besteht, einfacher zu benutzen, hat
aber natürlich den Nachteil, daß
es nicht so sicher ist, wie eine
Kombination aus Buchstaben
und Zahlen.
Mailbox
Konfiguration
Wenn Sie auf der linken Seite den
Menüpunkt Mailbox Adminstra
tion anwählen erscheint ein neues
Fenster, in dem bereits zwei Mailboxen bei der Initialisierung des Call
Pilot Systems automatisch angelegt
wurden, die General-Delivery- und
die System-Manager-Mailbox. Die
beiden haben im CallPilot bestimmte Aufgaben auszuführen.
PRAXIS
Company Mailbox
Bei der General Delivery
Mailbox handelt es sich um die sogenannte “Company Mailbox”, die
Nachrichten von Anrufern speichert,
falls der Operator nicht zur Verfügung
steht. Auch Anrufe von Telefonen, die
noch eine Wählscheibe besitzen, finden sich in ihr wieder, da diese alten
Telefone keine DTMF-Töne erzeugen
können, die aber wiederum für die
Auswahl von Optionen des CallPilot
System zwingend erforderlich sind.
Die System Administrator
Mailbox ist ausschließlich für den
System Administrator reserviert. Sie
erfüllt spezielle Funktionen wie das
Versenden von Broadcast Messages
an alle Benutzer Mailboxen.
Das Paßwort für diese beiden
Mailboxen sollte in regelmäßigen Abständen geändert werden, um unautorisierten Zugriff
zu vermeiden.
Subscriber Mailbox
den Nach- und Vornamen des Benutzers bezeichnen, eingeben. Abgeschlossen wird die Installation durch
den Submit-Button. Sie werden nun
feststellen, daß auf der Mailbox-Page
die neue Mailbox erscheint, und über
die Optionen Change & Delete
verändert bzw. wieder gelöscht werden kann (vgl. Abb. 3).
Feature Button
Wir haben zwar nun eine Mailbox
angelegt, doch ist sie noch nicht für
die Annahme von Voice-Messages
freigeschaltet worden. Diese Aufgabe muß der entsprechende Benutzer
von einem Telefon aus vornehmen.
Hierfür stehen jedem Apparat die entsprechenden Codes über den sogenannten Feature Button zur Verfügung. Drücken wir ihn auf einem
Wenden wir uns nun dem Anlegen der
Mailboxen für die normalen Anwender zu, die im CallPilot System den
Namen Subscriber
Mailboxes tragen. Um
eine solche zu erzeugen, Abb. 1: Ändern des Systemadministrator Paßworts
wählen Sie die Option
Add Mailbox, woraufhin eine neue Page erscheint, in der die Nummer und der Typ der
Mailbox definiert werden muß. Normalerweise gibt man den Mailboxen die gleiche Nummer wie die der dazugehörigen Nebenstellen.
Welche das nun genau
ist, hängt von der erstmaligen Installation des
Business Communications Managers ab. Per
Abb. 2: CallPilot Hauptmenü
Default beginnen die
Rufnummern mit der
Extension 221.
In unserem Beispiel
wollen wir eine Mailbox
für die Nebenstelle 223
anlegen. Also geben wir
im Feld Mailbox die
223 an, als Typ wird
Subscriber spezifiziert. In dem nun erscheinenden Fenster
müssen wir die Exten
sionnummer, für die
diese Mailbox gedacht
ist, sowie Lastname
und Firstname, die
01
Ausgabe 01/2002
44
beliebigen Telefon, so erscheint im
Display der Wert Funktion. An dieser Stelle geben wir die Ziffern 981
ein, den Feature-Code für das Initialisieren der Mailbox. Diesen verwendet man auch später, um seine NachAbb. 3: Konfigurationsoptionen einer
Subscriber Mailbox
richten in der Mailbox abzuhören.
Anschließend erscheint im Display
des Phones die Anzeige Mbox: und
erwartet von uns die Eingabe der
Mailboxnummer. Unserem Beispiel
folgend geben wir hier die Ziffern
223 ein. Als nächstes müssen wir ein
Paßwort eingeben, daß für alle
Mailboxen erst einmal den DefaultWert 0000 hat. Nach der Eingabe
dieses Paßwortes können wir es sogleich ändern, um den Zugriff auf
unsere Mailbox vor nicht-autorisierten Personen zu schützen. Das neue
Paßwort wird im folgenden Dialogfeld abgefragt, wobei es zur Bestätigung ein zweites Mal eingegeben
werden muß. Zum Abschluß der
Mailbox-Initialisierung müssen wir
noch einen Ansagetext aufsprechen,
den jeder Benutzer individuell gestalten kann.
Call Forwarding
Die Mailbox kann nun eigentlich
ihre Aufgaben wahrnehAbb. 4: Konfiguration des Call Forwarding einer DN
men, doch fehlt zum jetzigen Zeitpunkt noch
die Konfiguration des
Telefons, die dafür Sorge trägt, daß Anrufe
auch an die Mailbox
weitergeleitet werden.
Diese wird in einem
weiteren webbasierenden Administrationspro- gramm vorgenommen, welches Sie über
die Hauptseite des
BCM Web-Server erreichen. Klicken Sie das
Icon neben der Bezeichnung C o n f i g u r e .
Nach Angabe des UserNamens und des Paßworts (Default:
Abb. 5: Zentrale Rufnummer des
CallPilot Systems
supervisor / visor) werden Sie
in die entsprechende Applikation
eingeloggt, um den letzten Feinschliff vorzunehmen.
Um Ihr Telefon für die Zusammenarbeit mit der Mailbox einzurichten gehen Sie auf den Menüpunkt Services / Telephony Services,
dann auf System DNs / Active
set DNs und wählen die DN Nummer, in unserem Beispiel war das die
223. Hier angelangt, können wir die
01
Ausgabe 01/2002
45
entscheidenden Einstellungen im
Untermenü Capabilities / Call
Forward vornehmen (vgl. Abb.4):
Fwd no answer to:
Fwd no answer delay:
Fwd on busy to:
375
4
375
Bei der Eingangs angegebenen Ziffer 375 handelt es sich um die zentrale Rufnummer des CallPilot Systems (vgl. Abb. 5).
Sie finden diese Nummer im
CallPilot Manager unter dem Menüpunkt Configuration / Switch
Properties. Die Einstellung Fwd
no answer heißt, daß der Anruf an
diese DN 375 weitergeleitet werden
soll, wenn niemand den Anruf nach
einer bestimmten Anzahl von Klingelzeichen entgegennimmt. Diese
werden unter Fwd no answer
delay vorkonfiguriert. Der Wert gibt
ihre Anzahl an, entsprechend lange
wird abgewartet, bevor der Anruf an
die Mailbox übergeben wird. Fwd
on busy to zu guter Letzt bedeutet, daß ein Anruf der Mailbox übergeben wird, sollte der Angerufene
nicht in der Lage sein, den Call entgegenzunehmen, da er gerade schon
ein Gespräch führt.
Von diesem Zeitpunkt an sindAnrufer
in der Lage, dem Kommunikationspartner eine Nachricht auf seiner
Mailbox zu hinterlassen. Auf dem
Telefondisplay des Angerufenen erscheint dann die Meldung Neue
Nachricht. Die Mailbox kann über
den Feature Code 981 mit anschließendem Einloggen abgehört werden.
Fazit
Wir haben die verschiedenen Optionen des CallPilot Systems vorgestellt
und an einem Beispiel gezeigt, wie
eine Mailbox zur Annahme von
Voice-Messages konfiguriert wird.
Wir möchten ausdrücklich betonen,
daß es sich bei der Inbetriebnahme
der Mailboxen wirklich nur um einen elementaren Teil des VoiceMessaging System handelt.
Es lassen sich zahlreiche Anwendungen mit Hilfe der Auto Attendant,
CCR und Call Center Optionen
implementieren. Sie sind Thema des
nächsten Beitrags.
p
PRAXIS
AUTHENTISIERUNG
Novell Modular Authentication Service
Teil 5: Grundlagen der Biometrie
Von Johanna Bruder
Zum Abschluß unserer Serie werden wir uns mit biometrischen Login Methoden beschäftigen. Die Biometrie bietet sehr
viele Möglichkeiten zur Authentisierung, z.B. Fingerabdruck-, Iris-, Netzhaut oder Stimmenerkennung. Da diese
Verfahren die meisten wohl eher futuristisch anmutet oder an einen James Bond Film erinnert, wollen wir zunächst
die Möglichkeiten und Technologien vorstellen.
D
Die Sicherheitsindustrie ist ständig
bemüht immer genauere Verfahren zur
persönlichen Identifikation zu entwickeln. Dabei setzt sie sehr stark auf
Biometrik, ein System, das die persönliche Identifikation über physikalische Merkmale erlaubt.
PRAXIS
Biometrik
Diese Identifikation kann über
Biometrikgeräte erfolgen. So kann ein
Benutzer einen Finger auf ein Lesegerät legen, in ein Mikrofon sprechen
oder auch zur Erkennung der Iris in
ein Gerät schauen, um auf diese Weise
Zugang zu gesicherten Bereichen
oder aber, in unserem Fall, Zugriff
aufs Netzwerk zu erhalten. Es mag
den einen oder anderen erstaunen,
aber die Akzeptanz von Biometrik
auf Seiten der Benutzer ist sehr hoch.
Schließlich erfordert eine Authentifizierung über Biometrikgeräte nicht
das lästige Merken von Paßwörtern
oder das Mitschleppen zusätzlicher
Devices! Der User selbst ist ja - durch
eines seiner, nur ihm eigenen physischen Merkmale - der Schlüssel zum
Netzwerk!
Fingerprints
Ein Fingerprint Device untersucht das
Muster eines Fingerabdrucks. Jede
Fingerkuppe weist bekanntlich ein
einzigartiges Muster von Rillen auf,
das eindeutig ist und sich nicht ändert. Das Lesegerät tastet den Teil des
Fingers ab, der auf der Linse liegt. Aus
diesen Daten erstellt die zugehörige
Fingerprint Identification Software
eine Schablone des Abdrucks. Die
Software speichert jedoch nicht das
gesamte Bild des Abdrucks. Es werden üblicherweise zwischen 10 und
70 Punkte des Rillenmusters in Form
Abb. 1: Fingerabdrücke sind bislang die am häufigsten verwendeten
Identifikationsmerkmale der Biometrie-Technologie.
von Vektoren in einem X-Y-Diagramm abgelegt. Aus den gespeicherten Informationen kann das System
keinen kompletten Fingerabdruck
regenerieren. Diese Schablone wird
in einer Datenbank abgelegt und beim
Authentifizieren des Benutzers mit
dem aktuellen Abdruck verglichen.
Informieren Sie sich, ob das
Device, das Sie einsetzen möchten, eine ausreichende Genauigkeit bietet! Leider sind einige
Fingerprint Devices zu ungenau,
so daß auch falschen Benutzern
Zugriff gewährt wird. Andere hingegen sind ”zu genau”, so daß
sie selbst authorisierte Benutzer
aussperren.
01
Ausgabe 01/2002
46
ce einer Übereinstimmung bei zwei
verschiedenen Personen liegt laut der
Die Iriserkennung macht Gebrauch Fachzeitschrift “Nature” in ihrer
von der Einzigartigkeit der menschli- Onlineausgabe, rein rechnerisch bei
chen Regenbogenhaut. Die Algorith- eins zu sieben Milliarden. Mit Hilfe
men die hierzu verwendet werden sind eines Algorithmus hat Daugman die
sehr präzise. Es heißt, daß selbst wenn Furchen und Rillen der farbenfrohen
die gesamte Weltbevölkerung Ihre Iris in eine eher nüchterne, 2048 Bit
Merkmale in einer Iris-Datenbank starke digitale Unterschrift verwanspeichern würde, eine ganz geringe delt. Hierfür nimmt eine Iris-ErkenAnzahl falscher Genehmigungen oder nungskamera zunächst die Iris in nicht
auch Abweisungen erfolgen würden. mehr als einem Meter Entfernung auf.
Dann wird durch den Algorithmus der
Winkel soweit verengt, bis die AuIris
ßenkanten der Iris lokalisiert sind.
Hinter der Hornhaut, nur getrennt Außerdem wird die Innenkante der
durch die vordere Augenkammer, liegt Iris - der Grenzpunkt zur Pupille die Iris oder Regenbogenhaut. Infol- lokalisiert. Nachdem die Iris lokalige von Pigmenteinlagerungen um- siert ist, werden die Segmente der Iris
schließt sie als farbiger Ring die über einen bestimmten Algorithmus
schwarze Pupille. Bereits im dritten mit Hilfe von 2-D Elementarwellen
Schwangerschaftsmonat beginnt sie gefiltert und Hunderten von Vektosich zu formen und die Strukturen, die ren zugeordnet. Ein Beispiel für eine
recht preiswerte
ihr komplexes MuAbb. 2: Abbildung einer Iris
Iriserkennungskaster hervorrufen,
mera ist die Panasind im wesentlisonicBM-ET100 US
chen bereits vor der
Authenticam.
Geburt festgelegt.
Diese kann lokal an
Dieses Muster kann
einer Windows 98,
vielerlei unterWindows ME oder
schiedliche Kennauch einerWindows
zeichen aufweisen
2000 Workstation
wie Rillen und Erüber einen USB-Port
höhungen, Ringe,
angeschlossen werkleine Flecken oder
den.
zickzackförmige
Kränze. Obwohl die Farbe der Regenbogenhaut in unserem genetischen
Netzhaut
Bauplan festgelegt ist, kristallisieren
sich wahrscheinlich viele Eigenschaf- Zusammen mit der Iriserkennung ist
ten des Irismusters durch zufällige, wohl die Netzhauterkennung die zunicht genetische Einflüsse während verlässigste Biometrietechnologie.
der Embryonalentwicklung heraus. Und so unglaublich es auch klingen
Aus diesem Grund weisen selbst die mag, dieses Verfahren hat seine UrIris von eineiigen Zwillingen, welche sprünge bereits in den 30er Jahren des
dieselbe Erbinformation in sich tra- Zwanzigsten Jahrhunderts. Schon
gen, unterschiedliche Kennzeichen damals wurde festgestellt, daß sich
auf, ja sogar das rechte und linke Auge die Struktur der Blutgefäße im Hinteren des menschlichen Auges von
einer Person sind verschieden.
Mensch zu Mensch unterschieden.
Auch über die Struktur der Netzhaut
Algorithmen
können selbst Zwillinge identifiziert
Über 2000 Abbildungen der mensch- werden. Die Retina selbst ist ein dünlichen Iris hat John Daugman, For- ner Nerv im Hinteren des Auges, der
scher der britischen University of das Licht aufnimmt und in Form von
Cambridge, untersucht und dabei gra- Impulsen über den optischen Nerven
vierende Unterschiede festgestellt - an das Gehirn weitergibt. Vergleichselbst zwischen Zwillingen. Die Chan- bar also mit dem Film einer Kamera.
Iriserkennung
01
Ausgabe 01/2002
47
Die Blutgefäße, die zur Identifizierung herangezogen werden, befinden
sich entlang der Neutral Retina, der
äußersten der vier Zellschichten. Diese Blutgefäße werden von einer speziellen Kamera mit einem Infrarot Lichtstrahl abgetastet und zur Identifizierung herangezogen.
Ein Beispiel für eine Netzhauterkennungskamera ist die Icam 2001
des Herstellers EyeDentify. Der Preis
für Retina Scan Devices liegt ungefähr zwischen 2000 und $2500, was
dieses Device natürlich sofort für eine
einfache Identifizierung im Netzwerk
disqualifiziert. Es wird wohl eher
Akzeptanz in hochsicherheitsrelevanten Zugangssystemen finden.
Stimmenerkennung
Die Stimme einer Person ist ebenso
eindeutig wie die bereits vorher beschriebenen physischen Merkmale.
Um eine Person über seine Stimme zu
identifizieren, gibt es zahlreiche Möglichkeiten. Meistens muß die Person
ein mehrsilbiges Wort sprechen, das
dann aufgenommen wird. Es wird digitalisiert und mit den in einer Datenbank gespeicherten Stimmproben dieser Person verglichen. Häufig muß die
Person erst einen PIN-Code eingeben,
damit das System weiß, mit welchen
Stimmproben welcher Person es die
Stimme vergleichen soll. Jedesmal,
wenn die Person erfolgreich identifiziert wurde, wird das soeben aufgenommene Wort den Stimmproben
hinzugefügt und die älteste Stimmprobe gelöscht. So wird gewährleistet, daß die Stimmproben immer aktuell sind und die Stimme - auch bei
Schnupfen oder Anspannung - erkannt werden kann. Der Preis für
Stimmenerkennungssysteme war früher sehr hoch, so daß sie nur von
Regierungen für ihre Hochsicherheitsbereiche benutzt wurden. In den
letzten Jahren sind die Preise jedoch
stark gefallen.
In einem abschließenden Artikel wollen wir eine biometrische Identifizierung am Beispiel eines Fingerabdrucks über einen Compaq
Fingerprint Reader praktisch realisieren.
p
PRAXIS
KABEL LOS !
Wireless LAN im Detail
Teil 2: Stromsparmodus und Frameformate
Von Jörg Rech
Wir haben uns in der letzten Technik News mit der Fragmentierung und der Zellenbildung im Wireless-LAN beschäftigt. Diesmal möchten wir weitere Details der IEEE-Technologie aufzeigen. Wir wollen darstellen, wie der Stromsparmodus realisiert wird und welche Frameformate im Wireless-LAN verwendet werden.
D
Das Wireless LAN stößt primär
bei Anwendern von mobilen
Stationen auf große Beliebtheit. Dabei wird z.B. ein Laptop mit einer Wireless PCMCIA-Karte ausgestattet. Um ein
Maximum an Mobilität zu erzielen, werden diese Stationen
sehr häufig mit einem Akku
anstelle einer dauerhaften
Stromversorgung aus dem Versorgungsnetz betrieben.
Die Laptops unterstützen zum
Power Management bestimmte Stromsparmodi, die die
Leistungsaufnahme reduzieren
und die Betriebszeiten über
den Akku verlängern sollen.
Um bei einer Wireless-LANAnbindung die Kapazität eines Akkus zu schonen, sieht der IEEE802.11- Standard ebenfalls ein Power Management vor, über das die
Leistungsaufnahme der WirelessKomponenten optimiert werden soll.
PRAXIS
Energiesparen
Bei der Implementierung des Power
Management ist man davon ausgegangen, daß Access Points über eine
dauerhafte Stromversorgung betrieben werden und deshalb immer aktiv
sein können, wogegen die Netzwerkadapter in einen Betriebszustand versetzt werden können, in dem die
Funktion und damit die Leistungsaufnahme reduziert werden kann.
Dabei wird zwischen zwei Betriebszuständen unterschieden, dem Active
Mode (AM) und dem Modus des Po-
wer Save (PS). Der Active Mode entspricht dabei dem vollen Funktionsumfang, der Power Save Modus einem Betriebszustand, bei dem weder
Daten empfangen noch gesendet werden können. Für die Stationen, die
sich im PS befinden, muß der Access
Point die Frames zwischenspeichern
können.
Traffic Indication
Message
Die Station signalisiert dem AP, daß
sie in den PS Modus übergeht, indem
sie das Power Management Feld des
Frame Control Feldes auf 1 setzt.
Empfängt der Access Point ein derartiges Frame, so wird er alle Frames,
die an diese Station adressiert sind,
automatisch zwischenspeichern. Damit eine Station zwischengespei-
cherte Frames beimAccess Point
abrufen kann, wird diese nach
einem bestimmten Intervall vom
PS in den Active Mode überführt. Der Access Point gibt wiederum über die Traffic Indication
Message (TIM), die in einem
Beacon-Frame beinhaltet sein
kann, bekannt, ob Frames für
eine bestimmte Station vorliegen. Damit eine Station erfahren
kann, ob für sie ein Frame beim
Access Point vorliegt oder nicht,
geht sie kurzzeitig in den Aktiv
Modus, wartet auf den Empfang
des nächsten Beacon-Frames
und wertet die TIM aus. Der Zeitpunkt, bei dem die Station in den
Aktiv Modus übergeht, wird
durch den Beacon-Intervall bestimmt, der sich aus den jeweils vorherigen Beacon-Frames ableiten läßt.
Liegt kein Frame vor, geht die Station wieder in den PS Modus über, andernfalls ruft sie zwischengespeicherte Frames über ein Control-Frame
vom Typ Power-Save-Poll (PS-Poll)
beim Access Point ab. Der AP sendet
daraufhin das vorliegende Frame an
die entsprechende Station. Hat er für
die Station mehrere Frames vorliegen,
so setzt er das More Data Bit des
Frame-Control-Feldes innerhalb des
Frame-Headers des übertragenen
Frames. Die Station wird daraufhin
nicht in den PS Modus übergehen,
sondern durch die Aussendung eines
weiteren PS-Poll-Frames das nächste
Frame abrufen. Dies wird solange fortgeführt, bis alle zwischengespeicherten Frames beim Access Point abgerufen wurden. Damit die Station
01
Ausgabe 01/2002
48
erkennen kann, daß keine weiteren
Daten mehr anliegen, setzt der Access
Point beim letzten vorliegenden
Frame das More Data Feld nicht (siehe Abb. 1).
Frame-Verwaltung
Stehen beim Access Point Multicastoder Broadcast-Frames zum Versenden an, so ist es notwendig, diese besonders zu behandeln. Denn der Unterschied zu den Unicast-Frames liegt
darin, daß sie für mehrere Stationen
bestimmt sind, d.h. alle oder mehrere
Stationen müssen aktiv sein, um die
Multicast- oder Broadcast-Frames
empfangen zu können. Um dieser
Anforderung gerecht zu werden, wurde das sogenannte DTIM-Intervall
(Delivery TIM) eingeführt. Es entspricht 3 Beacon-Intervallen. Werden
diese erreicht, so werden nach dem
Beacon-Frame, die Multi- und
Broadcast-Frames an alle Stationen
ausgesendet. Damit sichergestellt ist,
daß alle Stationen Multi- und
Broadcast-Frames empfangen können, verbleiben diese beim Erreichen
der DTIM im aktiven Modus, falls der
Access Point vorliegende Multicastoder Broadcast-Frames über die TIM
angezeigt hatte.
Päckchen packen
Damit die bereits beschriebenen Verfahren für die Datenübertragung auf
einem drahtlosen Übertragungsmedium umgesetzt werden können,
ist der Austausch zusätzlicher Informationen notwendig, die über be-
stimmte Frameformate realisiert werden. Anders als bei den dr ahtgebundenen IEEE-Technologien
kennt die Wireless-Lösung auf der
MAC-Ebene drei ver schiedene
Frame-Typen: normale Datenframes,
die für die Übertragung der Nutzdaten verwendet werden, Kontrollframes, die den Zugriff auf das Medium steuern, wie beispielsweise die
RTS- (Request-to-Send), CTS- (Clearto-Send) undACK-Frames (Acknowledgement), und die ManagementFrames, die für den Austausch von
Steuerinformationen zuständig sind,
zum Beispiel die Beacon-Frames.
Jeder der drei Frame-Typen enthält
wiederum mehrere Subtypen, die für
spezielle Aufgaben verwendet werden. Die Frames der MAC-Ebene werden im IEEE-802.11-Standard als
MAC Protocol Data Unit, kurz MPDU
bezeichnet. Die MPDUs werden auf
der PHY-Ebene mit zusätzlichen Informationen ergänzt, die vor das eigentliche Frame der MAC-Ebene gesetzt werden. Sie werden im 802.11Standard als PLCP-Header beschrieben. Das Format des PLCP-Headers
ist vom verwendeten PHY (FHSS,
DSSS oder IR) abhängig.
Präambel
Betrachtet man die DSSS-Systeme, so
besteht die Ergänzung im wesentlichen aus einer Präambel, die durch
ein 8 Bit langes Signal-, ein 8 Bit langes Service- und 16 Bit langes
Length-Feld gebildet wird. Die Präambel hat eine Länge von 144 Bits
und enthält eine Synchroni-
Abb. 1: Übertragung und Verwaltung von zwischengespeicherten Frames während
des Stromsparmodus
sationsequenz von 128 Bits, die dazu
dient, daß sich der Empfänger mit
dem Sender auf den eingehenden
Datenstrom synchronisieren kann.
Hinzu kommt ein 16 Bit langer Start
Frame Delimiter, der durch die Folge
0000-1100-1011-1101 den Paketbeginn auf der MAC-Ebene signalisiert. Über den Inhalt des Signal Felds
wird die Datenrate und das
Modulationsverfahren der MPDU
angegeben, mit der diese übertragen
wird und auf die sich der Empfänger
für den Empfang der MPDU einstellen muß (siehe Tabelle 1). Damit diese Erkennung möglich ist, wird der
PLCP-Header, unabhängig von der
verwendeten Datenrate, mit 1 Mbps
und einer DBPSK-Modulation übertragen (siehe TN 10/01).
Servicefeld
Über den Inhalt des Servicefeldes
werden für die Datenraten von 5,5 und
11 Mbps zusätzliche Attribute übertragen. Bit 0, 1, 4, 5 und 6 sind reserviert und auf Null gesetzt. Bit 2 gibt
an, ob der Takt für die Sendefrequenz
und Symbolrate über den selben
Ozillator gewonnen wurde. Das 3. Bit
gibt an, ob anstelle der CCK-Modulation die optionale PBCC-Modulation (Packet Binary Convolutional
Coding) für die Übertragung der
MPDU verwendet wird. Über Bit 7
wird bei der Datenrate von 11 Mbps
angezeigt, wie der Inhalt des darauf
folgenden Length Field gerundet
wurde, 1 bedeutet “gleich” oder
“über dem Wert”, während 0 “unter
dem Wert” angibt. Das Length Field
gibt die Zeit in µs an, die für die Übertragung der MPDU benötigt wird,
über die letztendlich der NAV-Wert
gesetzt wird und die Reservierung des
Mediums erfolgt. Der PLCP-Header
wird über das CRC-Feld abgeschlossen, über das der Empfänger die
Fehlerfreiheit des PLCP-Headers prüfen kann.
MPDU-Format
Das Format des MAC-Frames (MPDU)
ist v om Frame-Typ und dessen
Subtyp abhängig und variiert je nach
01
Ausgabe 01/2002
49
p
PRAXIS
Typ in der Anzahl der Felder und in
der Länge von 10 bis 30 Bytes. Die
Grundstruktur aller MPDUs besteht
aus neun Feldern bzw. Bereichen. Die
MPDU besitzt in ihrer Struktur eine
sehr große Variationsbreite. Ein Teil
der Felder tritt nur in besonderen
MPDUs auf. Das Herzstück der MPDU
stellt das 16 Bit lange Frame Control
Feld dar, das den Datenfluß auf der
MAC-Ebene wesentlich steuert und
mehrere Felder beinhaltet. Die einzelnen Felder des Frame Control Feldes
sind: das Protocol Version, Type,
Subtype, To DS, From DS, More Fragment, Retry, Power Management,
More Data, Wire Equivalent Privacy
(WEP) und Order.
PRAXIS
Frame Control
Mit Hilfe der einzelnen Felder werden der Typ des Frames festgelegt und
diverse Kon-trollinformationen angegeben, wobei die Felder im einzelnen folgende Funktion haben.
- Das 2 Bit lange Protocol Version Feld
hat grundsätzlich in allen Wireless
Standards dieselbe Länge und Position. Laut Standard ist der Inhalt auf
00 gesetzt. Es ist beabsichtigt, über
dieses Feld eine neue Version anzuzeigen, falls es zukünftig Erweiterungen geben sollte, die Inkompatibilitäten zur bestehenden Technologie
hervorrufen könnten.
- Der Inhalt des 2 Bit langen Type
Feld zeigt an, ob es sich um ein Management-, Kontroll- oder DatenFrame handelt. 00 entspricht dem
Management Frame, 01 dem KontrollFrame und 10 einem Daten-Frame.
Der Inhalt 11 ist für zukünftige Erweiterungen vorbehalten.
- Die Subtypen des Frames, also die
genauere Spezifizierung der Frames,
wird über das 4 Bit lange Subtyp Feld
vorgenommen, wobei es für jeden
Frame-Typ verschiedene Untertypen
gibt.
- Die Methode der Adressierung wird
über die 1 Bit langen Felder To DS
und From DS des Frame Control
Felds vorgenommen. Ist das To DS
Feld auf 1 gesetzt, handelt es sich um
ein Frame, das für die Weiterleitung
über das Verteilungssystem bestimmt
ist. Sollte das From DS Bit auf 1 ge-
setzt sein, so wird signalisiert, daß das
Frame das Verteilungssystem verläßt.
- Das 1 Bit lange More Fragment Bit
wird für die Fragmentierung genutzt
und zeigt über den Inhalt 1 an, daß
weitere Fragmente folgen, die zur selben Nachricht gehören.
- Das Retry Feld dient zur Anzeige
einer wiederholten Frame-Aussendung, wobei der Inhalt in diesem Fall
auf 1 gesetzt wird, wodurch auf der
Seite des Empfängers das Hochreichen doppelter Dateninhalte vermieden wird.
- Über den Inhalt des 1 Bit langen
Power-Management-Feldes wird der
Modus für das Power Management
angezeigt. Die 1 signalisiert, daß die
Station nach der Übertragung der
Daten in den Stromsparmodus übergeht.
- Der Inhalt des 1 Bit langen MoreData-Feld zeigt an, daß weitere Daten zur Übertragung anstehen, die in
weiteren Frames übertragen werden.
Dadurch wird beispielsweise eine Station, welche sich im Stromsparmodus
befindet, veranlaßt, nicht wieder di-
rekt in den stromsparenden Modus
überzugehen. Auf diese Weise wird
sichergestellt, daß weitere Daten
empfangen werden können.
- Das 1 Bit lange WEP Feld zeigt mit
dem Inhalt 1 an, daß die Nutzdaten
über den WEP Algorithmus verschlüsselt sind.
- Über das 1 Bit lange Order Feld wird
angezeigt, daß die eingehenden Daten in einer Folge von Fragmenten in
der Reihenfolge ihres Empfangs an
die höheren Schichten weitergereicht
werden sollen.
Duration/ID-Feld
Im Anschluß an das Frame Control
Felds folgt das Duration/ID-Feld mit
einer Länge von 2 Bytes. Innerhalb
des Duration/ID-Feldes zeigen Bit 14
und 15 das Kodierungsformat des
Duration/ID-Feldes an. Die restlichen
14 Bits werden für die Anzeige der
für die Datenübertragung benötigten
Zeit verwendet. Abbildung 2 zeigt das
Frame-Format mit Frame-ControlFeld.
Abb. 2: Format der MPDU mit Frame-Control-Feld
Tabelle 1
Signalfeld
0A
14
37
6E
Datenrate
1 Mbps
2 Mbps
5,5 Mbps
11 Mbps
Modulationsverfahren
DBPSK
DQPSK
CCK
CCK
Tabelle 1: Der Inhalt des Signalfeldes beschreibt die Datenrate und das
Modulationsverfahren der MPDU
01
Ausgabe 01/2002
50
Adressierung
Für dieAdressierung kann der FrameHeader bis zu vier Felder beinhalten,
über dessen Inhalt verschiedene
Adressen mit einer Länge von 6 Byte
angegeben werden können. Es handelt es sich um die Address Fields 1,
2, 3 und 4. Über sie können BSSID,
Quelladressen, Zieladressen, die sendenden und empfangenden Stationen
angegeben werden. Welche Adressen
letztendlich in den einzelnen
Adreßfeldern aufgeführt sind, wird
über den Inhalt der To DS und From
DS Felder des Frame Control Felds
angegeben. Das Adressenformat entspricht dem allgemeinen Format des
IEEE-802-Standards mit der Länge
von 6 Bytes, wobei es individuelle
Adressen und Gruppenadressen gibt.
Wird eine BSSID im Adreßfeld angegeben, so handelt es sich bei einem
Infrastruktur Netzwerk um die MACAdresse des Access Points. Bei einem
IBSS (Ad-hoc-Netzwerk) werden 46
Bits derAdresse von einer ausgewählten Station über die Generierung einer Zufallszahl ermittelt, wobei das
Individual/Group Bit auf 0 und das
Universal/Local Bit auf 1 gesetzt
wird. So wird mit hoher Wahrscheinlichkeit sichergestellt, daß für die
BSSID eine eindeutige Adresse erzeugt wird. Die Tabelle 2 zeigt die
Inhalte der vierAdreßfelder in Abhängigkeit der verschiedenen Übertragungsziele.
Gezielt
Im ersten Fall sind die beiden Felder
To DS und From DS auf 0 gesetzt,
hierdurch wird signalisiert, daß das
Frame innerhalb der Zelle versendet
wird. Das Address 1 Feld beinhaltet
die Adresse des Empfängers und das
Address 2 Feld die Adresse des Senders. Durch das Address3-Feld wird
die Adresse der Zelle angegeben.
Im zweiten Fall ist das To DS Feld auf
Null und das From DS Feld auf 1 gesetzt. So wird signalisiert, daß das
Frame aus dem Verteilungssystem
von einem Access Point an eine Station innerhalb der Zelle geschickt
wird. Über das Address 1 Feld wird
der Empfänger angegeben und über
das Address 3 Feld wird die Station
angegeben, die das Frame ursprünglich versendet hat. Über das Address
2 Feld wird die Zelle adressiert, in der
sich die empfangende Station befindet. Im dritten Fall ist das To DS Feld
auf 1 und das From DS auf 0 gesetzt,
in diesem Fall handelt es sich um ein
Frame, das von einer Station an den
Access Point zwecks Weiterleitung
über das Verteilungssystem versendet
wurde. Das Address 1 Feld beinhaltet
die Adresse des Access Points, an die
die aussendende Station das Frame
zur Weiterleitung schickt. Im Address
2 Feld wird die Adresse des Access
Points angegeben, an die das Frame
weitergeleitet werden muß, damit es
die Zielstation erreichen kann. Über
das Address 3 Feld wird der eigentliche Empfänger des Frames spezifiziert
und über das Address 4 Feld wird der
ursprüngliche Sender des Frames angegeben. Im vierten Fall sind die beiden Felder To DS und From DS auf
Eins gesetzt, hierbei handelt es sich
um ein Frame, das über drahtlose
Verteilungssysteme zwischen Access
Points übertragen wird. Das Address
1 Feld beinhaltet in diesem Fall die
Adresse des empfangenden Access
Points, das Address 2 Feld die Adresse des Access Points, der das Frame
ausgesendet hat. In dem Address 3
Feld wird die eigentliche Empfängerstation des Frames angegeben und in
dem Address 4 Feld die ursprüngliche Senderstation des Frames.
Sequenznummer
Neben den Adreßfeldern gibt es im
Frame Header noch das 16 Bit lange
Sequence Control Feld, das in zwei
Bereiche unterteilt ist. Innerhalb dieses Felds werden 4 Bits für die Angabe der Fragmentnummer und 12 Bits
für die Angabe der Sequenznummer
genutzt. Die Fragmentnummer ist
beim ersten Fragment auf 0 gesetzt
und wird bei jedem weiteren Fragment um 1 inkrementiert. Bei einer
wiederholten Aussendung eines Fragments wird die Fragmentnummer
nicht inkrementiert. Mit der Hilfe der
Sequenznummer wird jedes Fragment
einer Nachricht numeriert, wobei die
erste Sequenznummer 0 ist und jede
weitere Sequenznummer über
Modulo 4096 gebildet wird.
Die Nutzdaten werden im Datenteil
übertragen, der als Frame Body bezeichnet wird und dessen Länge variabel ist. Die zulässige Länge des
Frame Body liegt zwischen 0 und
2312 Bytes. Der Frame-Header wird
über das 4 Byte lange FCS Feld abgeschlossen, das eine 4 Byte lange
CRC-Prüfsumme beinhaltet. Die
CRC-Prüfsumme wird über den Inhalt
des Frame-Headers und den Nutzdaten im Frame Body gebildet. Über
die CRC-Prüfsumme kann der Empfänger eventuelle Übertragungsfehler
innerhalb des Frames erkennen, worauf er diese, durch das Nichtaussenden eines AcknowledgementFrames, quasi erneut anfordern kann.
Wir werden wir uns in der nächsten
Ausgabe dem Anmeldevorgang und
WEP-Sicherheitsmechanismen zuwenden.
Tabelle 2
Fall
1
2
3
4
To DS
0
0
1
1
From DS
0
1
0
1
Address 1
Empfänger
Empfänger
Zelle
Zelle
Tabelle 2: Zielabhängige Belegung der vier Adressenfelder
01
Ausgabe 01/2002
51
Address 2
Sender
Zelle
Sender
Zelle
Address 3
Zelle
Sender
Empfänger
Empfänger
Address 4
Sender
p
PRAXIS
ENCRYPTION
Schlüssel für die Sicherheit
Teil 9: Secure Electronic Transaction
Von Patrick Fell
In diesem letzten Artikel unserer Security-Serie wollen wir uns mit der Transaktions-Sicherheit im Web beschäftigen.
Im eCommerce, mit seinen elektronischen Bestell- und Geschäftstransaktionen über das Internet, ist der Schutz
vertraulicher Daten unabdingbar. Sehen wir uns daher noch Secure Electronic Transaction an. Abschließend zeigen
wir Ihnen die Konfiguration einer SSL-Verbindung auf einem Internet Information Server.
S
SET ist eine offene Verschlüsselungs- und Sicherheitsspezifikation, die für die
gesicherte Bezahlung mit
Kreditkarten über das Web
entwickelt wurde. Die aktuelle Version ist SETv1, die
von MasterCard und Visa im
Februar 1996 entwickelt wurde. Beteiligt waren Unternehmen wie IBM, Microsoft,
Netscape, RSA, Terisa und VeriSign.
1998 waren die ersten Produkte für
diese Spezifikation erhältlich. SET
versteht sich allerdings nicht als
Zahlungssystem, sondern als ein Satz
von Sicherheitsprotokollen und formaten, die es Benutzern und Entwicklern ermöglichen soll, eine gesicherte Kartenzahlung in offenen
Netzwerken wie dem Internet zu integrieren.
eCommerce
definitionen (262 Seiten), eine im Gegensatz zu SSLv3 (63 Seiten komplett) und TLS (71 Seiten komplett)
sehr detaillierte Spezifikation auf die
wir hier nur verweisen können. Die
grundlegende Funktion zwischen den
beteiligten Kommunikationspartnern
wollen wir jedoch etwas näher beleuchten. Schauen wir uns dazu die
Abbildung 1 genauer an.
Der Karteninhaber ist ein
autorisierter Benutzer einer
Kreditkarte, wie Master
Card, Visa oder American
Express. Nachdem der
Kartenbesitzer einwandfrei
auf seine Identität überprüft wurde, wird ihm ein
X.509v3 digitales Zertifikat
zugewiesen, welches von der Bank
signiert wird. Das Zertifikat prüft den
RSA öffentlichen Schlüssel und das
Ablaufdatum. Ebenso sorgt es für eine
Vertrauensstellung, die von der Bank
garantiert wird. eCommerce Kaufleute, die eine bestimmte Kreditkarte
akzeptieren wollen, müssen im Besitz zweier Zertifikate sein: eines für
das Signieren von Nachrichten und
Abb. 1: Durch SET gesicherte Transaktion
PRAXIS
Sicherheitsdienste
Drei grundlegende Dienste werden
von SET zu Verfügung gestellt: sichere Kommunikationsverbindungen zwischen allen beteiligten Partnern in einer Transaktion, Vertraulichkeit durch die Benutzung von
X.509v3, digitale Zertifikate, sowie
Datenschutz für die beteiligten Kommunikationspartner. Definiert wird
SET in drei Büchern, welche im Mai
1997 herausgegeben wurden: das erste Buch beinhaltet die Geschäftsbeschreibung (80 Seiten), das zweite
die Programmieranleitung (629 Seiten) und das dritte Protokoll-
01
Ausgabe 01/2002
52
ein weiteres für den Schlüsselaustausch. Ebenso benötigt der Kaufmann eine Kopie des Zahlungsterminal Public-Key Zertifikats. Plaziert nun der Kunde eine Bestellung
im Web, indem er in seinem Warenkorb alle Artikel, die er gerne kaufen
möchte, ablegt und diese an das
eCommerce Unternehmen abschickt,
bekommt er als Antwort eine Bestelliste mit allen gewünschten Artikeln,
den Einzelpreisen, dem Gesamtpreis
und einer Auftragsnummer zurück.
Geprüft
Damit das Unternehmen überprüft
werden kann, sendet der Verkäufer
sein eigenes Zertifikat mit, damit der
Kunde überprüfen kann, ob er mit
Abb. 3: 128-bit Verschlüsselung
dem richtigen und einem gültigen
Unternehmen handelt. Daraufhin sendet der Kunde die Bestelliste und die
Zahlungsinformationen an den Verkäufer mit dem Kundenzertifikat zurück. Die Zahlungsinfos bestehen aus
Kreditkartendetails, die jedoch verschlüsselt und damit vom Verkäufer
nicht lesbar sind. Das Kundenzertifikat berechtigt den Verkäufer
jedoch zur Überprüfung seines Kunden. Dies geschieht, indem das
eCommerce-Unternehmen die verschlüsselte Zahlungsinfo an das
Zahlungsterminal versendet und
nach einer Autorisierung für das zur
Verfügung stehende Kreditvolumen
in Bezug auf den Zahlungsbetrag
fragt. Der Verkäufer sendet eine Bestätigung des Auftrags an den Kunden, verschickt die
Ware oder stellt einen Dienst zurVerfügung und sendet
abschließend die
Zahlungsaufforderung über das
Zahlungsterminal
zur Bank. Der Sicherheit nicht genug, sind diese
Daten über eine
SSL/TLS-Verbindung nochmals
geschützt.
IIS-Konfiguration
Abb. 2: Ein Wizard führt durch die Anforderung eines
Web-Server Zertifikates.
Schauen wir uns
abschließend die
Konfiguration einer SSL-Verbindung auf einem
Internet Information Server (IIS) genauer an. Sie benötigen eine zu schützende Web-Seite
bzw. Web-Applikation und evtl.
Client-Zertifikate
zur Überprüfung
der Benutzer, die
auf diese Applikation oder Seite zugreifen dürfen.
01
Ausgabe 01/2002
53
Nähere Informationen über SET
erhalten Sie unter: www.redbooks.
ibm.com/SG244978.
Wizard
Klicken Sie, wie in Abbildung 2 zu
erkennen ist, auf den Button Server Certificate. Es öffnet sich
ein Wizard, der Sie durch den Prozeß
zur Anforderung eines Web-Server
Zertifikates führt. Es stehen Ihnen
drei Optionen zur Wahl:
- neues Zertifikat erzeugen
- existierendes Zertifikat zuweisen
- ein Zertifikat aus der Key Manager
Backup-Datei importieren
Bei Auswahl der ersten Option, die
wohl die meist gebräuchlichste ist,
können Sie eine Anfrage vorbereiten
und später versenden. Gespeichert
wird diese Anfrage in einer Textdatei.
Wenn Ihnen eine Online CA zur Verfügung steht, sollten Sie die Anfrage
sofort an diese versenden. Neben Angabe des Namens für das Zertifikat
und der Schlüssellänge müssen bei
einer Online-Anfrage die Organisation und die Abteilung angegeben werden. DieseAttribute werden später fest
im Zertifikat hinterlegt und dienen
dazu, daß sich der Web-Server, bzw.
die den Web-Server einsetzende Institution gegenüber Dritten ausweisen kann. Es folgt die Eingabe des
Rechnernamens. Hier sollten Sie für
eine öffentliche Verwendung des
Web-Servers bzw. der Web-Seiten den
Full Qualified Domain Name (FQDN)
des Systems angeben. Wenn die Maschine in einem Intranet betrieben
wird, reicht auch der NetBIOS-Name.
Neben den geographischen Informationen wie Land/Region, Staat/Provinz und dem Ort muß auf der letzten
Seite des Wizards der Name der CA
ausgewählt werden, die den Request
entgegennehmen und bearbeiten
soll. Auf der letzten Seite sind alle
Informationen zusammengefaßt. Sobald Sie auf Finish klicken, wird
der Antrag abgesendet und das Zertifikat automatisch installiert, vorausgesetzt es handelt sich um eine Enterprise CA (siehe TN 5 und 6/2001 PKI).
p
PRAXIS
gemappt auf einen User.
Stellt nun ein Benutzer eine
Verbindung auf die geschützte Seite https://
ihre.webseite.de her,
wird er nach dem Zertifikat
gefragt, welches er für die
Verbindungsherstellung benutzen möchte. Wählt er es
aus, nachdem er sich nochmals sorgfältig vergewissert
hat, daß es korrekt ist, wird
die SSL-Verbindung zum
Web-Server hergestellt und
die Startseite geöffnet.
Zertifikate
Über den Button V i e w
Certi ficate können Sie
sich das zugewiesene Zertifikat im nachhinein anzeigen
lassen. Jetzt haben Sie zwar
ein Web-Server Zertifikat installiert, aber Ihrem IIS noch
nicht mitgeteilt, daß auch er
eine SSL-Verbindung für Ihre
Web-Seite benutzen soll.
Klicken Sie dazu auf Edit.
Es öffnet sich ein Fenster, in
dem sie Einstellungen für die
sichere Kommunikation vornehmen können. Markieren Abb. 4:
Sie hier die Option R e
quire Secure Channel
(SSL). Wenn Sie oder Ihre Kunden
einen Internet Explorer verwenden,
der 128-bit Verschlüsselung beherrscht, können Sie die Option
Require 128-bit Encryption
ankreuzen (siehe Abb. 3). Werden für
die Verbindungsherstellung jedoch
40 bzw. 56-bit Versionen verwendet,
kommt der Verbindungsaufbau nicht
zustande. Die Optionen für die Verwendung von Client-Zertifikaten
dient zur Überprüfung des Clients auf
den Besitz eines Zertifikats der gleichen vertrauensvollen CA. Bei Verwendung von SSL sollten Sie die
Option R e q u i r e C l i e n t
Certificate auswählen. Somit
Zertifikat-Mapping 1 zu 1
Fazit
können sich Benutzer ohne User-Zertifikat nicht auf Ihre Web-Seite verbinden.
Mapping
Damit ein autorisierter Benutzer
nicht immer den lästigen Benutzernamen und das Paßwort bei der
Authentifizierung eintippen muß,
können Sie ein Zertifikat-Mapping
vornehmen. 1:1 bedeutet dabei, daß
das gleiche User-Zertifikat, welches
zur HTTPS-Benutzung befähigt, auf
mehrere Benutzer gemappt werden
kann (siehe Abb. 4). Ein n:1-Mapping
beinhaltet demnach mehrere Zertifikate für unterschiedliche Dienste
Mit dieser abschließenden Konfiguration zur Herstellung einer gesicherten Verbindung über das Web wollen
wir unsere Serie beenden. Auch wenn
einige Komponenten und neuere Algorithmen nicht erwähnt werden
konnten, hoffen wir, daß das Thema
Sicherheit Ihr Interesse geweckt hat
und Sie vielleicht kritischer und bedachter als zuvor an die Konfiguration Ihrer IT-Umgebung herangehen.
Der Einsatz einer oder mehrerer der
beschriebenen Funktionen wird mit
Sicherheit bei Ihnen und Ihren Kunden unumgänglich sein, um uns auch
in Zukunft vor Angriffen des bösen
Mallory zu schützen.
WLAN Intensiv-Workshops
PRAXIS
Es funkt allerorten, wo immer Sie wollen
Die Drahtlos-Technologien mobilisieren die Netzwerker,
denn Wireless LAN macht das Netz mobil. Mit individuellen
Intensiv-Workshops des Compu-Shack Support
erlangen Sie in kürzester Zeit das Wireless Know-how,
das Sie im Unternehmen oder im Einsatz bei Ihren
Kunden brauchen. Sie bestimmen Ort, Zeit und Dauer.
Denn nicht nur in Sachen Funknetzwerke ist das Support
Team mobil, sondern auch flexibel, was die Gestaltung
und die Inhalte Ihres Workshops angeht.
Es ist Ihr Workshop
Sie sagen, welche Informationen und praktischen
Fertigkeiten Sie für Ihre Arbeit noch brauchen:
-
Einführung in die Planung von Funknetzwerken ?
Implementierung von Wireless LANs ?
Drahtlose Anbindung an bestehende Netzwerke ?
Standortverbindung über Richtfunkantennen ?
Sie bestimmen die Themen, und wir kommen zu Ihnen
oder Sie zu uns. Gemeinsam machen wir die Kabel los.
Unsere Intensiv-Workshops können bei Ihnen im
Unternehmen oder bei Ihren Kunden vor Ort stattfinden,
aber auch in unseren Schulungsräumen in Neuwied
und Potsdam. Individuelle Beratung erteilt das Support
Team der Compu-Shack Solution unter 02631 / 983-988
oder per Email an [email protected].
01
Ausgabe 01/2002
54
01
Ausgabe 01/2002
55
s
SOLUTIONS
EDUCATION - SUPPORT - PROJEKTE
Integrationskurs
Active plus eDirectory und Unified Messaging
Unter dem vielfältigen Seminarangebot der Compu-Shack Education fallen zwei neue Trainings ins Auge, die gleich
schon zu Beginn des neuen Jahres für Techniker und Systemadministratoren interessant sein dürften. Das eine ist als
3-Tage-Seminar an Administratoren gerichtet, die eine Integration des Active Directory in ein NDS eDirectory Netzwerk
planen. Das zweite ist ein Workshop zu Tobits Unified Messaging-Plattform David 6.6.
A
Administratoren, die
sich grundlegende
Kenntnisse über Windows 2000 Netzwerke aneignen möchten, sind im Seminar
“Integrating Novell
eDirectory and Active Directory”
(NV556) bestens aufgehoben. Denn
die Teilnehmer erlernen in diesem
Kurs gleichzeitig die Grundlagen von
Windows 2000 Networking wie auch
die Integration des Active Directory
in ein NDS eDirectory Netzwerk. Das
macht die Besonderheit dieses Trainings aus. Veranstaltungsort ist das
Compu-Shack Education Center in
Neuwied. Der Preis für dieses 3-Tage
Seminar beträgt 1.190,- € .
Inhalte:
€ Verwalten einer Windows 2000
Umgebung und Benutzer Accounts
€ Einführung in Windows 2000 Networking
€ Installation von Active Directory
€ Windows 2000 Groups und Shares
€ Trust Relationships in Windows 2000
€ Konfiguration von Policies in Win. 2000
€ Synchronisation von Active Directory
und NDS eDirectory
€ Administration von Active Directory
Accounts in eDirectory
€ Anwendung von ZEN for Desktops zur
Optimierung der Benutzerumgebung
David 6.6 Workshop
Ab Januar 2002 können Interessenten
für Tobits etablierte Unified Messaging Lösung einen dreitägigen Workshop im Compu-Shack Education
Center in München besuchen. David 6.6 integriert die Unternehmenskommunikation
auf einer einheitlichen
Plattform. Die Veranstaltung zum
Thema “Installation und Einrichtung
von Tobit David 6.6” wendet sich an
Techniker, Systemadministratoren
und IT-Verantwortliche. Die Teilnehmergebühr beträgt nur 700,-€ •.
Inhalte:
€ Server / Client-Installation
€ X-Media
€ allgemeine Konfiguration
€ Internet Hosting Service
€ Internet eMail via SMTP und POP3
€ Mail Access
€ Faxempfang, -versand, -verteilung
€ Anrufbeantworter
SOLUTIONS
Netzwerk-Know-how: Highlights im Januar und Februar 2001
Kursbezeichnung
Kurs-Nr.
Termin
Ort
David 6.6 - Installation und Einrichtung - Workshop
TOB INSTWS
München
700,-
Integrating Novell eDirectory and Active Directory
NV 556
Neuwied
1.190,-
Building Scalable Cisco Networks
Cis BSCN
Frankfurt
2.290,-
Implementing and Managing Microsoft Exchange 2000
Designing a Microsoft WIN 2000 Migration Strategy
Business Communication
Manager - Install & Maintenance
Designing Microsoft Exchange 2000 for the Enterprise
NetWare 5 to NetWare 6 Upgrade
MS 1572
MS 2010
NN 25041
Neuwied
Neuwied
München
1.850
790,2.990,-
Lin ADM 1
Grundlagen der Netzwerkadministration unter Linux
Lin ADM 2
Neuwied
Potsdam
Neuwied
Neuwied
Potsdam
München
Potsdam
1.190,1.850,-
Systemadministration unter Linux
30.01.-01.02.02
27.02.-01.03.02
03.04.-05.04.02
13.02.-15.02.02
25.03.-27.03.02
03.03.-07.03.02
10.03.-14.03.02
04.02.-08.02.02
25.03.-26.03.02
25.02.-01.03.02
18.03.-22.03.02
06.03.-08.03.02
04.02.-08.02.02
25.02.-01.03.02
04.03.-08.03.02
04.02.-06.02.02
20.02.-22.02.02
13.02.-15.02.02
MS 1573
NV 3000
Preis in €
1.230,1.230,-
Alle im Text und den Terminen genannten Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer
01
Ausgabe 01/2002
56
PROJEKTE & SUPPORT
IT-Services
Auslauf-Modelle
ZENworks 3.2 Update und Cluster-Services
Support Infoservice
Die Compu-Shack Solution hält für ihre Fachhandelspartner neue Dienstleistungen im Bereich der Hochverfügbarkeit sowie für Desktop Management
Systeme bereit. Für die Novell Cluster Services und ZENworks 3.2 bietet die
Solution innovative Komplettlösungen, die dem Fachhandel den Einstieg in
neue Bereiche erleichtern oder akute Engpässe überwinden helfen.
Hochverfügbarkeitslösungen wie die Clustering Services von Novell bieten
eine zuverlässige Lösung für
diejenigen Unternehmen,
für die eine ständige Verfügbarkeit von Daten und
Applikationen allerhöchsten Stellenwert hat. Denn
Systemausfälle von nur einer halben Stunde können
bereits sehr hohe Kosten verursachen.
Bei Warenwirtschaftssystemen oder
Bankensoftware besteht allein aus Sicherheitsgründen die Notwendigkeit,
bei Serverausfällen möglichst schnell
wieder verfügbar zu sein. Mit den
Novell Cluster Services erhalten Unternehmen dazu die Möglichkeit, um
ununterbrochen auf kritische serverbasierende Ressourcen wie Applikationen, Daten und Netzwerkservices
zugreifen zu können.
Cluster Design
Bei der Planung und Implementierung von Cluster Services können
Fachhandelspartner auf die Unterstützung der Compu-Shack Solution zählen. Um festzustellen, inwiefern der
Einsatz von Cluster Services sinnvoll
ist und wie das optimale Design aussehen muß, führen die IT-Experten
der Projektberatung gemeinsam mit
allen Beteiligten eine Netzwerkanalyse durch. Auf Basis der gewonnenen Daten erstellen sie eine genaue
Projektplanung, die sowohl die Termine als auch alle verfügbaren Ressourcen koordiniert. Aufgrund des-
sen implementieren
die Systemingenieure
des Technischen Supports die benötigte
Hard- und Software zu
einer ganzheitlichen
Netzwerklösung.
Desktop
Management
Auch für ZENWorks, dem Novell
Desktop Management System, bietet
die Solution dem Fachhandel technische Vor-Ort-Unterstützung bei der
Implementierung, insbesondere bei
den aktuell notwendigen Updates von
der Version 2.0 auf 3.2. Die Softwareversion 2.0 wurde von Novell zum 1.
Januar 2002 abgekündigt, mit der
Folge, daß Anwender dieser Version
ab Januar auch den Anspruch auf
Herstellersupport verlieren. Das Update auf die Version 3.2 ist insbesondere für Anwender von aktuellen Betriebssystemen unumgänglich.
Denn ZENWorks 2.0 unterstützt weder Windows 2000 noch Windows
XP. Doch auch für diese Aufgabe sind
Sie mit den Netzwerkexperten von
Compu-Shack bestens beraten! Durch
die Herstellernähe als Distributor erhalten Sie kompetente Unterstützung
bei der Planung und Durchführung
des Updates und bei der erstmaligen
Implementierung von ZENWorks.
Informationen erteilt das Support
Team unter: [email protected] oder 02631/983-988.
Das Projekt Team erreichen Sie unter
Tel. 02631/983-345
01
Ausgabe 01/2002
57
Updates, Upgrades und Releases für Netzwerksoftware kommen in immer kürzer werdenden Abständen auf den Markt. Um Sie rechtzeitig über die
aktuell auslaufenden Softwareversionen zu informieren, nennt Ihnen das Support Team der CompuShack Solution hier die ersten Auslaufmodelle des
Jahres 2002, damit Sie die notwendigen Schritte
einleiten können.
Netware 4.11.
Netware 3.11/3.2
ZENworks 2
ZENworks for
Networks v1.0
abgekündigt zum:
31.12.2001
28.02.2002
01.01.2002
01.01.2002
Die Compu-Shack Solution leistet ganzheitliche
Unterstützung für die tägliche Arbeit der Administratoren und Fachhändler, gerade auch bei drängenden Software Updates. Denn die Folgen sind unausweichlich.
• Sie haben keinen Anspruch mehr auf Hersteller
Support bei Fehlern und Bugs in der Software!
• Sie betreiben das System mit der abgelaufenen
Software auf eigenes Risiko!
• Sie können langfristig nur sicher arbeiten, wenn
Sie ein Update auf die aktuelle Version durchführen!
Update Service
Das Compu-Shack Solution bietet einen KomplettService für Software Updates, von der Beratung
über den Verkauf bis zur Realisierung:
• Updates für alle gängigen Netzwerkbetriebssysteme
• Netzwerkanalyse des Ist-Zustands
• individuelle Update-Planung und
Implementierung
Bei Interesse rufen Sie uns unter 02631-983-988
an. Wir beraten Sie gerne und erstellen Ihnen ein
unverbindliches Angebot für Ihr Software Update.
v
VORSCHAU
WORKSHOPS - ROADSHOWS - SEMINARE
Alles ist drin
Einstieg in die Welt des E-Commerce
Mit der cs:mall24 bietet Compu-Shack dem Fachhandel jetzt eine der intelligentesten E-Commerce-Lösungen am
Markt. Innerhalb von wenigen Minuten ist ein persönlicher Online-Shop eingerichtet, mit allen Vorteilen der
cs:mall24. Im Januar starten dazu die ersten eintägigen, kostenlosen cs:mall24 Workshops in den Compu-Shack
Education Centern Potsdam, München und Neuwied.
D
Der cs:shop24 ist speziell auf die Bedürfnisse des Fachhandels zugeschnitten. Herausragende Vorzüge sind seine
einfache Installation und der geringe Aufwand bei der
Sortimentspflege. Denn cs:mall24 hat viel zu bieten. Individuelle Preiskalkulation für jeden Kunden und automatische Preisupdates sorgen für stets topaktuelle Preise. Der
Fachhandel bleibt dabei völlig unabhängig, denn cs:mall24
ist offen für Produkte verschiedenster Hersteller und Lieferanten. Zudem bietet der cs.shop24 dem Inhaber die
Möglichkeit einer direkten Anbindung an das eigene
Warenwirtschaftssystem.
Rundum-Service
VORSCHAU
Compu-Shack übernimmt das Hosting der Online-Shops.
Das minimiert die Aufwendungen für Hardware, Softwarepflege und Personaleinsatz. Der
Compu-Shack Fulfillment Service
wickelt Streckengeschäfte auf
Wunsch just-in-time und ohne aufwendige Zwischenlagerung ab. Die
Shop-Betreiber profitieren von hohen Klickraten, intuitiver Benutzerführung, unverwechselbarem Design, einem Newsforum für ihre Kunden sowie Auswertungs- und Analysetools. Support und Endkundenmarketing sind inklusive. Ein Demo-Shop kann ohne Risiko
einen Monat lang gratis getestet werden.
E-Commerce live
In einer Reihe von Tagesveranstaltungs informieren die ECommerce-Spezialisten von Compu-Shack ab Januar im
Detail über die cs:mall24, ihre Funktionen und ihre Vorteile. Sie zeigen in einer Live-Demo, wie einfach die Inbetriebnahme eines persönlichen Online-Shops ist, und sie
klären alle offenen Fragen rund um den cs:shop24. Die
Workshops finden zwischen dem 14. und 18.01 in Potsdam, vom 21. bis 25.01. in München und zwischen dem
28.01. und 2.02. in Neuwied statt. Info und Online-Anmeldeformular im Compu-Shack Fachhandelsportal unter:
www.compu-shack.com.
Alteon Roadshow
im Januar 2002
eBusiness
Technologies by Nortel Networks
Nortel Networks startet auf ihrer bundesweiten Alteon
Roadshow eine Workshop-Reihe zu ihren neuesten
eBusiness Technologen, Systeme, die rund um die Uhr
allerhöchste Verfügbarkeit aufweisen. Als zertifizierter
Nortel-Partner stellt Compu-Shack dazu ihr komplettes
Dienstleistungsangebot für die Alteon Lösungen vor.
N
Neben der ständigen Erreichbarkeit ist die schnelle Reaktionszeit und ein gesicherter Ablauf bei elektronischen
Business to Customer Relations unumgänglich, insbesondere bei Transaktionen. Für diese hohen Anforderungen
bietet Nortel Networks mit Alteon ein breites Portfolio, das
sich über Web Switches, Load-Balancer, Firewall, SSL
Offloader und Caches erstreckt. Eine bundesweite
Roadshow im Januar 2002 stellt die Trend-Setter im
eBusiness vor (siehe Termine).
eBusiness live
Interessenten lernen die Alteon Produkte kennen und erleben, welche Hochverfügbarkeits-Lösungen im heutigen
eBusiness bereits realisierbar sind, zur Zufriedenheit der
Kunden und der Unternehmen. Compu-Shack bietet dazu
ein komplettes Dienstleistungsangebot und stellt ihr Service-Angebot für die Alteon Lösungen vor. Im Februar und
März vertieft Compu-Shack das Thema in einer weiteren
Reihe von Workshops im Rahmen ihrer XSP Learning
Cycles. Dann werden die Themen Web-Switching, LoadBalancing, Firewall, SSL Offloader und Caches in Lösungsszenarien vertieft. Informationen erteit das Business Team
Nortel Networks bei Compu-Shack unter 02631 / 983-451
und das Projekt-Team unter 983-345. E-Mail: [email protected].
01
Ausgabe 01/2002
58
MESSEN, ROADSHOWS, SEMINARE
N 02
No 02/2002
Thema des Monats Februar
EINSTIMMUNG
gen für die unterschiedlichsten Anforderungen und die
verschiedensten Unternehmensgrößen bereithält.
Denn Avaya bietet nicht nur eine durchgängige Unterstützung vom standalone und stackable Switches sowie von modularen Backbonegeräten, mit SMON Funktionalität im Bereich Enterprise Switching. Die Produkte der ECLIPS Familie ermöglichen auch eine durchgängige Konvergenz von Daten und Sprache. Avaya
vereinigt Voice, Data und Connectivity und wird damit
den wachsenden Anforderungen an eine “State of the
Art” Kommunikationslösung gerecht. In der nächsten
Ausgabe wollen wir deshalb das Thema Data Voice
Convergence genauer angehen. Vorgestellt werden
insbesondere der Avaya IP600 Communication Server
und Avaya Definity. Mit der Ausgabe 03/2002 wollen wir
Detailinformationen zu Voice in der Praxis geben. Hierzu werden wir eine Referenzinstalllation analysieren
und die praktische Umsetzung erläutern. ECLIPS von
Technikern – für Techniker!
Switch on Voice
Sprach-/Daten-Konvergenz
Nachdem wir in dieser Ausgabe SMON als Lösungsansatz für die Kontrolle verschiedener Service Levels
vorgestellt haben, wollen wir in der nächsten Ausgabe
die Diskussion um Service-Qualitäten auf die Sprach/Daten-Konvergenz ausdehnen. Dabei geht es nicht
nur um die bloße Technologie einer Verschmelzung
von Sprache und Daten und weniger auch um den
Konflikt zwischen Internet, Intranet und klassischen
Telefonnetzen. Unser Interesse richtet sich diesmal
auf Lösungen, mit denen Unternehmen schneller,
besser, preiswerter und natürlich auch intelligenter
kommunizieren können. Der gegenwärtig stattfindende Konvergenz-Prozeß erfaßt Menschen, Informationen und Applikationen gleichermaßen und verlangt
hierzu nach immer besseren Kommunikationstools.
Wir wollen einige Lösungen vorstellen, u.a Avaya
ECLIPS, die mit ihrem Konzept der ”Enterprise Class IP
Solutions” zukunftsweisende Werkzeuge und Lösun-
Praxis:
Wireless LAN, Teil 3:
Anmeldung und WEP-Sicherheitsmechanismen
Novell Modular Authentication Services, Teil 6:
Identifizierung über Fingerprint Reader
Business Communications Manager, Teil 4:
Auto Attendant und Call Center Optionen
Ausgewählte Termine
14.01.-18.01.2002
14.01.2002
Compu-Shack: cs:mall24 Workshops
Nortel Networks Alteon Roadshow
Potsdam
Berlin
15.01.2002
Nortel Networks Alteon Roadshow
Düsseldorf
17.01.2002
Nortel Networks Alteon Roadshow
Frankfurt
21.01.-25.01.2002
Compu-Shack: cs:mall24 Workshops
München
28.01.-02.02.2002
29.01.2002
Compu-Shack: cs:mall24 Workshops
Nortel Networks Alteon Roadshow
Neuwied
Stuttgart
30.01.2002
Nortel Networks Alteon Roadshow
München
01
Ausgabe 01/2002
59
Neue Novell CDs und
Sales Guides
stehen im
Technik News
Info Channel
bereit.
Sie können die
meisten Demos
und Trials kostenlos
unter
www.technik-news.de
bestellen.