04 - ITwelzel.biz
Transcrição
04 - ITwelzel.biz
Technik News - Netzwerkmagazin G46392 April 2001 D a s p r a x i s n a h e N 04 11. Jahrgang thema des monats UNVERSCHLÜSSELT Kryptografie im Klartext Schlüssel für die Sicherheit im Netzwerk 04 Ausgabe 04/2001 1 N e t z w e r k m a g a z i n AKTUELL CS Produktion: Embedded Web, Wireless LAN und Inter-Networking Neue Produkte auf der CeBIT 3 4 Herausgeber: COMPU-SHACK Electronic GmbH, Ringstraße 56-58, 56564 Neuwied NEWS ICP vortex: Wide/Ultra160 SCSI Disk Array Controller mit neuer Intel CPU Tedas:Komfortable Faxfunktion am Windows Arbeitsplatz 3COM: Von traditionellen TK- zu IP-PBX-Systemen 3COM: Home Wireless Gateway in SOHO Cisco: Hochleistungs-Router 7600 OSR Cisco: AVVID-Partner-Programm Citrix: MetaFrame XP, Plattform für Windows DICA Technologies:umfassende Caching-Funktionen für ISPs und Endkunden ELSA: MicroLink ISDN USB Connect für Lap- und Desktop ELSA: Funk-PC-Karten für den Consumer-Markt ELSA: MicroLink 56k Modem Internet II mit Telefonie V.92 ready APC: Monitoring und Planung der Stromversorgungskapazität Nortel Networks für integrierte Sprach-, Video- und Datennetzwerke Novell: ZENworks for Servers 2 reduziert Aufwand für Server-Upgrades Mircosoft: Plattform für Mobiltelefon, Internetzugang und Organizer Mircosoft: Vorabversion des Outlook Mobile Manager Newsticker THEMA DES MONATS Kryptografie im Klartext 7 8 8 9 10 11 12 13 14 14 15 15 16 17 18 19 20 22 Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ COMPU-SHACK.COM Redaktion: Heinz Bück, Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft Bezugsquelle: Bezug über COMPU-SHACK Electronic GmbH Abonnementpreis: 119,- DM + MwSt. Layout und Titelbild: Marie-Luise Ringma Druck: Görres-Druckerei, Koblenz Lektorat: Anja Dorscheid Schlüssel für die Sicherheit im Netzwerk Mysteriöse Mutmaßungen ranken sich um die zur Netzwerksicherung verwendete Kryptografie. Sind die angewandten Verschlüsselungsalgorithmen wirklich sicher oder gibt es nicht doch Schlupflöcher? Wird der böse Mallory den von Bob an Alice verschickten Schlüssel abfangen? Wir wollen das Geheimnis lüften. Abo-Versand: Wolanski GmbH, Bonn HOTLINE Empfohlene Novell und Microsoft Patches Empfohlene BinTec und Tobit Patches Empfohlene Computer Associates Updates und Patches Neue Patches in der Übersicht: Novell Neue Patches in der Übersicht: BinTec Neue Patches in der Übersicht: Tobit Neue Patches in der Übersicht: Computer Associates Tobit, Teil 2:DvISE Connector for Novell GroupWise Cisco, Teil 3: Netzwerk-Verbindungen und Client-Anbindung Novell: Interessante Tips der Deutschen Netware FAQ 31 32 33 36 36 37 38 40 42 46 PRAXIS Grundlagen: Ethernet, Teil 2: Aufbau des Ethernet-Frames Compu-Shack Solution: M@ilbridge GroupWise schlägt die Brücke zu Internet-Mail 48 54 SOLUTIONS Education - Projekte - Support 56 VORSCHAU Info Channel Messen, Roadshows, Termine 04 58 59 Reproduktionen aller Art ( Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik Hotline an. www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. Patch-CD PREEDIRD.exe COMX218.exe DS7E.exe MBCMNUP1.exe OS5PT2A.exe NWOVLY1.exe ZFD2PT3B.exe 4PENT.exe BM35ADM4.exe RADATR3A.exe B5106P10.x4a B5301.x1x D66NW.exe D66NT.exe DVVSCAN9.exe Ausgabe 04/2001 2 a AKTUELL COMPU-SHACK PRODUCTION Webworking Embedded Web, Wireless LAN und Inter-Networking Von Heinz Bück Unter dem Motto “Webworking” stellte die Compu-Shack Production auf der diesjährigen CeBIT ihre neuen Produkte und Embedded Web Technologien vor, allen voran die Web Engine eye-telligent, die erste wirklich autonome InternetKamera, die ohne PC auskommt. Daneben wurde das Komplett-Angebot für 10/1000/1000-Mpbs Ethernet vorgestellt, Highspeed Lösungen mit Gigabit Ethernet über Kupfer. Im April kommen erste Wireless-LAN Produkte der CompuShack Production auf den Markt, zunächst klassische Indoor- Lösungen, in einem zweiten Schritt Outdoor-Produkte. GIGAline Die Compu-Shack Production verfügt über ein Komplettangebot für 10/1000/1000-Mpbs Ethernet, Highspeed Lösungen mit Gigabit Ethernet über Kupfer und Fiber Optic. Die komplette Fiber Produktpalette sorgt mit allen verfügbaren Frontend-Typen auf modularen Switchsystemen für schlüssige Fiber-to-the-desk Konzepte. Mit den preiswerten 32-Bit GIGAline Netzwerkkarten rückt Gigabit Ethernet in den Workgroup- bereich vor, mit hochwertigen Adapterkarten, die unter CAT 5 Kabel bis zu 100 Meter angeschlossen werden können. Mit zwei Gigabit SX Ports und 24 autosensing 10/100-Ports ist der GOLDline Gigabit Ethernet Switch der klassische Einstieger in den 1000 Mbps-Bereich. Neue 8-Port Switches auf Basis von 1000BaseTX bzw. SX bieten optimale Voraussetzungen für die Backbone- oder HighSpeed Workgroup-Vernetzung. WAVEline Für April wurden die ersten WirelessLAN Produkte angekündigt. Auf klassische Indoor-Produkte werden bald schon preiswerte Outdoor Lösungen folgen. Die WireLess Indoor-Lösung ist für den Small-Office, Home- und Workgroup-Bereich gedacht. Mit der 11 Mbit Wireless-Lösung sind sowohl feststehende PCs als auch Notebooks mit Plug & Play Installation und ohne jeglichen Verkabelungsaufwand in Netzwerkumgebungen integrierbar. Der WAVEline Accesspoint ist die zentrale Komponente. Über ihn können bis zu 40 Benutzer oder 20 Power-User mit Daten versorgt werden. Entwickelt nach IEEE802.11b bietet WAVEline bis zu 11Mbit im Direct Sequence Spread Spectrum (DSSS) und arbeitet nach ARIB-Standard im 2,4 GHz ISMBand mit Reichweiten von 50 Meter indoor und 200 Meter outdoor. 04 Ausgabe 04/2001 3 SWITCHline Zur CeBit 2001 hat die Compu-Shack Production auch ihre SWITCHlineSerie um neue Geräte erweitert. Angefangen von einem günstigen 5 Port Desktop Switch waren in Hannover Fiber Optik Lösungen und Gigabit Switches zu sehen. Eine besonders flexible Lösung stellt hierbei der SWITCHline16N dar. Er steht bereits seit Mitte März zur Verfügung, zum einen mit sechs 100BaseFX DuplexSC-Anschlüssen und achtmal 10/100 RJ45 zum anderen mit acht 100BaseFX MTRJ-Ports und ebenfalls acht VF45- Anschlüssen. COMPACTline Für den Workgroupbereich oder aber für Anwender in Agenturen, Praxen und Kanzleien bieten die kompakten Mini-Schranklösungen der neuen COMPACTline der Compu-Shack Production ein neues Konzept. Diese Schränke sind einzeln oder aber in Form einer bereits vorkonfigurierten Lösung erhältlich. Neben seiner hohen Funktionalität in der Kableführung verfügt das gesamte Gehäusekonzept über ein ansprechendes Design und bietet bereits im Bereich des Entry-Level Networking eine überzeugende Lösung. Mit ihren Neuentwicklungen bewies die Compu-Shack Production einmal mehr ihre technologische Innovationskraft im Bereich Net- und Webworking. AKTUELL Mit der Web Engine eye-telligent päsentierte die CompuShack Production in Hannover die erste wirklich autonome Internet-Kamera, die ohne PC auskommt, weil sie den Computer in Miniatur gleich mit beinhaltet. Sie ist der ausgeklügelte Vorreiter in der Familie der Embedded Web Produkte, die aufgrund ihrer hohen Leistungsfähigkeit neue Perspektiven für die Bild- und Meßdatenübertragung via Internet eröffnen. Die kompakten Embedded Web Server der Compu-Shack Production können für Regelungs- und Steuerungsprozesse im Bereich Home- und Facility-Management oder der Telematik bei Industrieanlagen eingesetzt werden. a AKTUELL CEBIT 2001 Messeneuheiten Neue Produkte auf der CeBIT Wer in Hannover war, hat sich von der überwältigenden Vielfalt der technischen Neuerungen selbst überzeugen können. Seit einer Woche liegt das weltweit größe IT-Spektakel schon wieder hinter uns. Mit einer kleinen Rückschau und einigen interessanten Produktneuheiten wollen wir denn auch diese CeBIT beschließen. D AKTUELL Die CeBIT eilt Jahr für Jahr von Superlativ zu Superlativ. Auch 2001 standen die Nutzung des Internet für private wie kommerzielle Zwecke erwartungsgemäß im Mittelpunkt des Besucherinteresses. Noch schnellere Datenübertragungstechniken sind gefragt. Unified Messaging, Multiservice Networking, Security und SpachDaten-Konvergenz waren die beherrschenden Themen. WirelessLAN erobert selbst die kleineren Netzwerke. Wir hatten in der letzten Ausgabe in einem ersten Rundgang durch die Messehallen die Highlights der verschiedenen Netzwerkhersteller vorgestellt. Hier sind weitere Neuheiten, die in Hannover gezeigt wurden. fangreiches ISDN-Angebot für alle wichtigen Betriebssysteme - einschließlich Windows XP - sowie Plug and Play für den multikompatiblen ADSL-Controller. Als benutzerfreundliche PCI-Karte reduziert er den Platz- und Installationsaufwand, ist einzel- und mehrplatzfähig und macht die bisher benötigte Netzwerkkarte überflüssig. Mit dem AVM Controller ist erstmals ein ADSL-Endgerät mit allen Vermittlungsstellen einsetzbar. Zusätzlich zur einfachen und sicheren ADSL-Anbindung des PCs an das Internet ermöglicht der Controller auch ISDN-Kommunikation. Bluetooth Unter dem Motto “Freiheit für Ihre Verbindungen” stand der Auftritt von AVM auf der CeBIT. Höhepunkte waren innovative ADSL-Controller, Local Wireless-Lösungen, ein um- Erstmals zeigte AVM auf dem DSLForum der CeBIT eine ISDN-Karte, die die sogenannte “letzte Meile” kabellos überbrückt. Bei dieser Local Wireless-Lösung werden die ISDNund ADSL-Daten mittels Bluetooth- Technologie übertragen. Bluetooth als internationaler Standard ermöglicht auf kurzen Distanzen Funkverbindungen zwischen einzelnen Geräten. AVM integriert diese Technologie auf PCI-Karten und demonstrierte auf ihrem Messestand eine funktionsfähige ISDN- und ADSL-Anbindung über Bluetooth. Alle AVMController, ob aktiv oder passiv, und die komplette FRITZ!-Familie wurden in Verbindung mit den Betriebssystemen Windows ME und 2000, Linux sowie mit dem zukünftigen Microsoft-Betriebssystem Windows XP gezeigt. BinTec Communications präsentierte zur CeBIT eine erweiterte Produktpalette ihrer Router und integrierten Sprach-/Daten-Systeme um Wireless-LAN-Produkte für den professionellen Anwendungsbereich. Die neue Produktfamilie besteht aus den Access Points XAIR Basic und XAIR Professional sowie PCMCIA-Karten mit 64 oder 128 Bit Verschlüsselung und Adaptern für ISA- und PCI-Bussysteme. Die BinTec XAir Basisstationen sind in zwei Versionen verfügbar und beide bereits mit einer Funk-LAN-Karte ausgestattet. Damit wird eine drahtlose Anbindung an lokale Netze mit Datenübertra-gungsraten bis 11 Mbit/ s ermöglicht. XAIR Basic ist als Ein- 04 Ausgabe 04/2001 4 stiegsgerät gedacht. XAIR Professional kann durch eine zusätzliche Karte erweitert werden, erlaubt einen Datendurchsatz von bis zu 22 Mbps und ist außerdem mit zwei externen Antennen für größere Reichweiten ausgestattet. XAIR ist konform zum Standard 802.11 HR und erlaubt die Anbindung von Wireless-Produkten anderer Hersteller ebenso wie die Integration in bereits bestehende WirelessLANs. Durch seine offene Architektur und seine Modularität ist XAIR offen für zukünftige Standards. BinTec hat sich nach einer umfangreichen Evaluie-rung der im Markt verfügbaren Technologien für eine Zusammenarbeit mit der ARtem GmbH aus Ulm als Hersteller für professionelle Wireless-LAN-Lösungen entschieden ARtem wird die XAIR Access Points sowie die WirelessLAN-PC-Karten für BinTec produzieren. Die Produkte sind ab April lieferbar. Abb. 1: Die neue Enterprise Access Router Plattform X8500 Access Router X8500 Mit X8500 hat BinTec ihre neueste performante und breitbandfähige Routerlösung für größere Unternehmen und Internet Service Provider vorgestellt. X8500 verfügt über acht Slots für Kommunikationsmodule, die im laufenden Betrieb ausgetauscht werden können. Optionale Ressourcenkarten für Digitalmodems, hardware-unterstützte Datenverschlüsselung und Public Key Acceleration ermöglichen es, X8500 als Remote Access Server wie auch als leistungsfähiges VPN-Gateway einzusetzen. Optional erhältliche Trägerkarten für die BRICK-XM/XL-Module erlauben die problemlose Migration von älteren BinTec-Produkten. Für eine höhere Ausfallsicherheit verfügt X8500 über zwei Steckplätze für redundante Hot-Swap-Netzteile. In ihrem 19 Zoll Gehäuse bietet die X8500 8 Slots für die Kommunikationsmodule ISDN-S0, ISDN-S 2M, G.703 und X.21. In Vorbereitung sind Fast-Ethernet, xDSL, E3 und ATMModule. Neben einer Systemkarte mit Doppel-Fast-Ethernet und ISDN-S0Schnittstelle für die Remote-Konfiguration verfügt der Enterprise Access Router über Steckplätze für Digitalmodemkarten, Datenverschlüsselungs- und Kom-pressionskarten sowie über Trägerkarten für BRICKXM/XL Module. Die austauschbare Systemkarte erlaubt spätere Performance-Upgrades. Innentemperatur und Lüfter werden permanent überwacht. Backupschnittstellen bestehen über die S2M - und G.703-Karten. Ihre Wartungsfreundlichkeit beweist die X8500 durch den Hot-Swap-Austausch aller Kommunikationsmodule. IPSec mit DES, 3DES, CAST und Blowfish Verschlüsselung sorgen für Datensicherheit. Auf Wunsch ist eine Hardwareunterstützung für DES, 3DES und Public Key Acceleration erhältlich. Während Token Authentication Firewallsoftware (TAF) optional verfügbar ist, gehört die Safernet Firewall-Funktionalität zum Lieferumfang. Eine redundante Stromversorgung über zwei Netzteile für Mission Critical Applications ist ebenfalls optional erhältlich. Die Abschottung des Netzwerks vom öffentlichen Zugang durch den Router erfolgt mit Network Address Translation. Die Verfügbarkeit der X8500 wird für den Frühsommer erwartet. Der CeBIT-Auftritt stand für Lucent Technologies ganz im Zeichen schnel- 04 Ausgabe 04/2001 5 ler, breitbandiger und mobiler Internet-Lösungen. Lucent zeigte die ersten rein optischen Netze, Zugangstechnologien und Funksysteme. Dahinter steht die Vision von einem hochleistungsfähigen Netz, auf das alle Nutzer jederzeit und von überall aus zugreifen können. Dafür entwikkelt Lucent derzeit optische Backbone-Netze, unterschiedliche Netzzugangs- und Mobilfunktechniken, die das Unternehmen in Hannover der Öffentlichkeit vorstellte. Auf dem vierten Bell Labs Seminar in Deutschland hatte Lucent Technologies bereits im Januar ihre Vision von zukünftigen breitbandigen Netzinfrastrukturen zur Nutzung von Multimediadiensten eröffnet, die zukünftig mit rein optischen Netzen realisiert werden sollen. Als Messeneuheit präsentierte Lucent Technologies dazu die rein optisch arbeitende Vermittlung der LambdaRouter. Diese haben ihre Funktionsfähigkeit bei internationalen Netzbetreibern bereits unter Beweis gestellt. Das neue System bietet eine Gesamtvermittlungskapazität von mehr als zehn Terabit pro Sekunde. Meganetz Optische Netze sind nach Vorstellung von Lucent Bestandteil eines weltweiten Meganetzes, das uns jederzeit und an jedem Ort eine Zugangsmöglichkeit mit enormer Bandbreite zur Verfügung stellen wird. Neben dem breitbandigen Übertragungsnetz gehören zu diesem zukünftigen Meganetz der Lucent Vision leistungsfähige mobile Netzzugänge, winzige Funk-Basisstationen, die den direkten Zugang über Glasfaserübertragungssysteme zur weltweiten Kommunikationsinfrastruktur herstellen, um vom Laptop-Computer große Datenmengen direkt durch den Äther zu senden und zu empfangen kann. Die in den Bell Labs entwickelte MicroStar Technologie der WaveStar LambdaRouter verwendet mikroskopische Spiegel, die die optischen Signale verzögerungsfrei zwischen den Glasfasern eines Netzes lenken. Da dieser Vorgang ohne Umwandlung in elektrische Signale stattfindet, entfal- a AKTUELL len die elektro-optischen Wandler, so daß sich die Betriebskosten bis zu einem Viertel reduzieren lassen. Lucent zeigte das weltweit schnellste in Betrieb befindliche optische EinLaser-Übertragungssystem. Mit 40 Gigabit in der Sekunde lassen sich mit dem Wave Star 40G bis zu 500.000 Telefongespräche gleichzeitig über eine Glasfaser übertragen. Daß bei den Übertragungsraten mit Wellenmultiplex Technik die obere Grenze noch nicht erreicht ist, zeigte das WaveStar System OLS 1.6T auf dem Lucent-Stand. Mit ihm werden 1,6 Billionen Bits pro Sekunde bzw. 320 Millionen einseitige E-Mails pro Sekunde übertragen. AKTUELL OnDemand-System Weil das Teilnehmeranschlussnetz für etablierte und neue Netzbetreiber von strategischer Bedeutung ist, um ihren Kunden den schnellen Zugang zu den angebotenen Diensten zu ermöglichen, bietet Lucent Lösungen für den breitbandigen Netzzugang über vorhandene Kupfer- und Glasfaserkabel wie auch über Funk an. Das auf der CeBIT gezeigte AnyMedia Access System ist ein integriertes System für Schmal- und Breitbandanschlüsse. Es hebt die starre Trennung zwischen Sprach- und Datensystemen auf und eröffnet dem Benutzer den Zugang zu Multimediadiensten. Das OnDemandSystem stellt über Funk Übertragungsgeschwindigkeiten bis zu 11 Mbit/s zur Verfügung und stellt eine dynamische, fest installierte drahtlose Punkt-zu-Mehrpunkt-Netzzugangslösung dar. Neben der Weiterentwicklung der GSM-Technik hin zum General Packet Radio Service (GPRS) zeigte Lucent die UMTS-Netzinfrastruktur. GPRS bietet schon heute den Zugang zu mobilen Datendiensten und ebnet den Weg für die dritte Mobilfunkgeneration der Universal Mobile Telecommunications Systems (UMTS). Servergruppen einteilen und verschiedene Server-Schutzlevel definieren. Mit Hilfe des ServerLock-Managers kann die Verwaltung sowohl zentral als auch dezentral erfolgen. WatchGuard Technology stellte als Erweiterung ihrer Sicherheitslösungen auf der CeBIT mit ServerLock eine Software zur Sicherung von Windows NT und Windows 2000 Servern vor. ServerLock erhöht die Sicherheit für Unternehmen, die im E-Business tätig sind und schützt unabhängig davon auch vor ungewollten und unautorisierten Datenund Content-Änderungen innerhalb von Unternehmen. Angriffe auf Webserver, interne Verwaltungsfehler, unautorisierte Änderungen oder fehlerhaftes Routing von Serverinhalten können mit dem neuen Tool zuverlässig verhindert werden. WatchGuard ServerLock ist zunächst für die Microsoft NT und Windows 2000 Serverfamilie entwickelt worden. Die Software, die in das vorhandene Betriebssystem integriert wird, definiert zwei Modi für den Server, einen Betriebsund einen Verwal-tungsmodus. Modus vivendi Im Betriebsmodus sind alle Elemente der Serverkonfiguration vor unerlaubten Manipulationen geschützt, inklusive der Registry Files, Internetseiten, Webskripts und weiteren benutzerdefinierten Datensätzen. Dies verhindert Ausfallzeiten des Servers durch fehlerhafte Konfigurationsänderungen oder böswillige Angriffe, ob von innerhalb oder von außerhalb des Unternehmens. Im Verwaltungsmodus benutzt ServerLock mit der Encryption Suite eine anspruchsvolle Verschlüsselungseinrichtung, die einem Unternehmen die zentrale Kontrolle aller Modifikationen ermöglicht, vom einzelnen Server bis zur größten Serverfarm. WatchGuard ServerLock ist einfach zu installieren und kann ohne Probleme von jeder IT-Abteilung, aber auch von Betrieben ohne spezielles Security-Know-how eingerichtet werden. Per Mausklick kann der autorisierte Administrator Sicherheitsbestimmungen konfigurieren, Tobit Software präsentierte interessante Neuheiten ihrer David Produktfamilie, in der das Weiterversenden von Dokumenten, Faxen, Voice, SMS oder E-Mail einfach per Mausklick erfolgt. Zur CeBIT 2001 war die Auslieferung eines neuen Releases der David Information Server Engine (DvISE) angekündigt. Die Version 6.6 wird alle vorherigen Releases ersetzen und ist u.a. mit neuen Gruppen- und Kalenderfunktionen ausgestattet sein. Neben der grundsätzlichen Verbesserung der Performance liegt der besondere Fokus auf dem Ausbau von Gruppenfunktionen, die das komfortable Verwalten von mehreren Kalendern und Gruppenterminen ermöglichen. Ein neuer Terminassistent hilft freie Termine zu ermitteln, trägt diese ein und erinnert alle Beteiligten automatisch daran. Für den Virenschutz wurde DvISE 6.6 mit einem automatischen Virenupdate ausgestattet, das als neuer kostenpflichtiger Service, selbstständig nach neuen Signaturen sucht und diese auf dem DvISE Server aktualisiert. Neben Funktionen zum Versenden von Webseiten als HTML-E-Mail und zum Verschicken unterschiedlicher Objekte wie Fax oder Sprachnachrichten als E-Mail ist in Kombination mit Office 2000 jetzt auch eine komfortable Rechtschreibprüfung mit Lernfunktion für HTML-Mails möglich. Seit Mitte März wird die Auslieferung für alle Produkte der DvISEFamilie in der Version 6.6 in allen Sprachen für NetWare- und WindowsServer in Angriff genommen und ein Update auf die aktuelle Version verfügbar gemacht. Kunden, die ein Produkt der Version 6.5 im Einsatz haben, erhalten das Update auf ein Produkt von DvISE 6.6 bis auf weiteres kostenlos. 04 04 Ausgabe 04/2001 66 n NEWS ICP VORTEX 64-Bit im 66 MHz Takt Wide/Ultra160 SCSI Disk Array Controller mit neuer Intel CPU Mit Verfügbarkeit der ersten 66 MHz PCI Bus Chipsätze bringt ICP die RZ-Serie auf den Markt. Die neuen RAID Controller sind mit einer Intel 80303 ZION RISC CPU ausgestattet und unterstützen den 66 MHz PCI Takt. Der Intel Prozessor sorgt mit einer sehr hohen Rechenleistung für vierfache Geschwindigkeit auf dem PCI Bus, mit einer maximalen Übertragungsrate von 528 MB pro Sekunde. I ICP Vortex bringt die neuen GDT8xy3RZ RAID Controller der RZ-Serie heraus, die unter Ausnutzung der 64-Bit Architektur und einer 66 MHz PCI Taktrate auf dem PCI-Bus die vierfache Geschwindigkeit gegenüber dem Einsatz in 32-Bit Slots bei einem Takt von 33 MHz liefern. Tests zeigten eine bis zu 100 Prozent höhere Leistung als die vergleichbaren ICP Controller mit i960® RN Prozessor. Für die ICP RAID Controller stehen verschiedenen Treiberversionen für Windows, Novell NetWare, Unix, Linux, Solaris und FreeBSD zur Verfügung. Cluster-Verbände ICP Controller entlasten den Computer vollkommen bei der Verwaltung der Festplatten und Disk Arrays. Sie unterstützen RAID 0/1 mit Hot Fix, Hot Plug und Auto Hot Plug mit SAF-TE/SES Funktionen. Darüber hinaus können mit der Firmware RAIDYNE bzw. Cluster RAIDYNE bis zu 35 Disk Arrays pro Controller mit RAID 0/1/4/5/10 sowie Cluster-Verbände aufgebaut werden. Die Controller unterstützen verschiedene Cluster-Konzepte und den Aufbau von Clustering-SAN Lösungen unter Linux, Apptime Watchdog, Microsoft MSCS und Novell Orion. RZ-Serie Tools telligente mehrstufige Cache Algorithmus mit adaptiven Delayed Write und Read Ahead Funktionen.Die neuen ICP Controller sind abwärtskompatibel und können auf allen Intel-basierenden Plattformen mit 32und 64-Bit Einsteckplätzen und einer Taktrate von 33 MHz bzw. 66 MHz verwendet werden. Die RZ Controller sind voll Bus-Master DMA fähig, PCI 2.2 kompatibel und unterstützen das SCSI-2/-3 Protokoll. 04 Ausgabe 04/2001 7 Ferner bieten die GDT8 xy3RZ flexible Kapazitätseinstellung und Online-Kapazitätserweiterung sowie Online-RAID-Level- oder komplette Disk-Array-Migration. Die Controller Software enthält mit ICP RAID Console und ICP RAID Navigator zwei leistungsstarke, leicht zu handhabende Tools zum Einrichten und Verwalten des RAID Subsystems. Weitere Software Werkzeuge unterstützen den Anwender beim Device Management, Mailing/Messaging sowie Netzwerk Management. NEWS Die neuen GDT8xy3RZ Controller gibt es mit 2, 4 oder 6 Wide/Ultra160 SCSI Kanälen, mit SE/LVDS Terminierung, und mit zusätzlich zwei externen UHD Anschlüssen. Pro Kanal können bis zu 15 Geräte, an Kabellängen von bis zu 12 Metern angeschlossen werden. Die maximale synchrone Datentransferrate beträgt pro Kanal bis zu 160 MB pro Sekunde. Die RZ Controller bieten auch beim Cache Speicher Höchstleistungen, mit SDRAM Speicher und PC133 ECC DIMMs von 32 MB bis 256 MB. Für optimale Ergebnisse sorgt der in- n NEWS TEDAS 3COM Neuer Phoneware-Server 2.6 600 Nebenstellen Komfortable Faxfunktion am Windows Arbeitsplatz Von traditionellen TK- zu IP-PBX-Systemen In der Version 2.6 der Phoneware-Server-Software ist Phoneware Fax vollständig integriert und damit an jedem angeschlossenen Arbeitsplatz als optionale Komponente nutzbar. Alle Teilnehmer können den ganzen Komfort eines computergestützten Faxservers nutzen und dabei die bestehenden Adressbücher aus Outlook, Outlook Express und Netscape verwenden. Aus jeder beliebigen Windows-Anwendung heraus lassen sich Faxe versenden, auf Wunsch auch mit individuellem Deckblatt und zu einer vorbestimmten Zeit. für die reine Sprachkommunikation ist damit überflüssig. Statt dessen werden die vorhandene Infrastruktur und die Administrationsressourcen optimal genutzt. 3Com baut mit der neu entwickelten SuperStack 3 NBX Solution ihr Portfolio weiter aus. Die neue Private Branch Exchange (PBX) ist eine Erweiterung der Produktlinie NBX 100 und unterstützt im Unternehmensnetz bis zu 600 Nebenstellen. Dabei nutzt sie wie alle IP-PBX-Systeme von 3Com die bestehende Netzinfrastruktur sowohl für die Daten- wie auch Sprachkommunikation und ermöglicht so Unternehmen, ihren Netzbetrieb und die Kundenbindung zu optimieren, Kosten zu reduzieren, sowie die Produktivität zu steigern. Gesamtlösung NEWS P Phoneware Fax informiert den Benutzer über den Versandstatus seiner Faxe. Alle Informationen wie auch eingehende Faxe erscheinen im E-Mail-Client, was dem Teilnehmer die Übersicht enorm erleichtert. Eingehende Faxe werden als Tiff-Datei gespeichert und lassen sich daher in den gängigen Grafikprogrammen betrachten und bearbeiten. Phoneware Server ist eine modulare Kommunikationssoftware für die gemeinsame Übertragung von Sprache und Daten über TCP/IP in Ethernet-LANs. Eine gesonderte TK-Infrastruktur Das Least-Cost-Routing in Verbindung mit der kostenlosen Mitbenutzung vorhandener Standortanbindungen für die Sprachübertragung sowie die Integrationsmöglichkeit vorhandener Groupware zur Work-flow-Optimierung leisten einen signifikanten Beitrag zur Produktivitätssteigerung und Kostensenkung. Die Möglichkeit, herkömmliche TK-Anlagen einzubinden, erlaubt die sanfte Migration zur neuen IP-Telefonie-Gesamtlösung. Für die notwendige Kompatibilität sorgt der weltweit anerkannte H.323-Standard. Er garantiert Investitionssicherheit für die Zukunft. Der Phoneware-Server 2.6 wird in der Enterprise Class als Komplettsystem im 19-Zoll-Rack erhältlich sein oder in der Integration Class als Bundle aus Software und ISDN-Karte zur Integration in bestehende Systeme. D Der Bedarf an IP-Telefonsystemen wird durch steigende Kundennachfrage und Marktforscher bestätigt. Mit der Ergänzung der Serie NBX 100 um den SuperStack 3 NBX Solution bietet 3Com jetzt eine Lösung für Unternehmen mit hoher Teilnehmerdichte. Das System erlaubt Großbetrieben sowohl die Vernetzung mehrerer Standorte als auch den Anschluß von bis zu 600 Nebenstellen je Standort. Diese Performance wird durch ein neu konzipiertes Gateway sowie einen verbesserten Prozessor erreicht. Darüber hinaus umfaßt die neue Lösung jetzt Telefone, die für die professionelle Anwendung optimiert wurden und über verbesserte Displays und Nutzungsmerkmale wie etwa 04 Ausgabe 04/2001 8 eine Infrarotschnittstelle für die PalmIntegration verfügen. 3COM Business Anwendungen Über Funk vernetzt Die offene Architektur von 3Com ermöglicht einen effektiven Zugriff auf Business Tools und Anwendungen, die im Wettbewerb heute unverzichtbar sind und bietet Unified Messaging, Computer Telephony Integration, Call Center Lösungen, Browsergestützte Administration sowie Features für die geschäftliche Sprachkommunikation. Zum Umfang der SuperStack 3 NBX Solution zählt ein Applikationspaket, das die Produktivität und Auslastung der Systemressourcen optimiert. Neu in diesem Arrangement sind der Palm OS Dialing Support, PC-basierte Software für Call Handling, mehr Speicherkapazität für Voice Mails sowie Verbesserungen der NBX ConneXtions H.323 Lösung. Mit 72 integrierten Voice Mail Ports besitzt das System eine ausreichend Speicherkapazität, um den Anforderungen großer Unternehmen zu genügen. Systemmanagement In den SuperStack 3 NBX Solutions sind Erweiterungen für das Systemmanagement eingeflossen. Zu den neuen Features gehören der 3Com Network Supervisor und NBX NetSet, die dem System mehr Flexibilität verleihen und einfache Handhabung und Betrieb gewährleisten. Durch die Systemmanagement-Features wird nicht nur die zur Installation benötigte Zeit verkürzt, die browser-gestützten Tools zur Administration verringern auch den für den Netzbetrieb erforderlichen Aufwand Mit NBX NetSet ist der Anwender in der Lage, selbständig am System nötige Ergänzungen und Veränderungen vorzunehmen. Die neue IP-PBX von 3Com wird mit neun Sprachoptionen ausgeliefert, die per Drop Menü einfach aktiviert werden können. Das System ist in jedem standardbasierten Ethernet-Netz einsetzbar, unabhängig von der existierenden LAN-Umgebung. Der Auslieferungsbeginn des Systems ist für April vorgesehen. Home Wireless Gateway in SOHO Mit dem Home Wireless Gateway stellt 3Com eine Lösung zur drahtlosen Vernetzung von PCs im SOHO-Bereich vor. Über Funk lassen sich Rechner verbinden und Drucker, Scanner oder der Internet-Zugang gemeinsam. Aufwendige Verkabelungsarbeiten im Eigenheim oder in der Bürogemeinschaft entfallen D Das Home Wireless Gateway funktioniert ähnlich wie die Basisstation eines schnurlosen Telefons, an die sich beliebig viele Endgeräte anschließen lassen. Zur Datenübertragung via Funk nutzt das System das lizenzfreie 2,4 Gigahertz-Band, so daß dem Anwender keine Kosten für Funkgenehmigungen entstehen. Die Sicherheit der drahtlosen Funkübertragung garantiert das WEP-Verschlüsselungsverfahren, das eine „Wired Equivalent Privacy“ gewährleistet. Das Home Wireless Gateway entspricht dem Industriestandard IEEE 802.11b High Rate und offeriert Funktionen, die sonst nur in teureren, von Unternehmen eingesetzten Funknetzen anzutreffen sind. Ressourcen Sharing Für den Einsatz im Büro präsentiert 3Com mit dem Home Wireless Gateway einen durchaus professionellen Funktionsumfang, mit ISDN-, DSL- oder TV-Kabelmodem-Anschluss für den Internet-Zugang. Sollen Rechner miteinander verbunden werden, um etwa Drucker oder den Internet-Zugang zu teilen, erspart die 3Com-Lösung aufwendige Kabelarbeiten. Via Funk teilen sich die Rechner die vorhandenen Ressourcen mit Transferraten von bis zu 11 Mbps. Die Funkkarten sind künftig auch mit USB-Anschluß erhältlich. So einfach 04 Ausgabe 04/2001 9 wie der Aufbau eines solchen Netzes ist seine Einrichtung. Mit dem Dynamic Host Configuration Protocol (DHCP) muß sich der Anwender nicht lange mit dem Einrichten von IP-Adressen herumschlagen. Das Gateway weist sie automatisch den Rechnern zu. Via Web-Browser sind die wenigen verbleibenden Konfigurationsschritte schnell und einfach erledigt. VPN und Firewall Damit die Rechner unabhängig voneinander ins Internet können, verwendet das Home Gateway die Network Adress Translation (NAT). Es verfügt über eine eingebaute Firewall und erlaubt über die integrierte VPNFunktionalität eine sichere Verbindung mit einem Unternehmensnetz für ein sicheres Arbeiten in der Außernstelle oder im Home Office . Dabei garantiert das Wi-Fi-Logo, daß auch ein Firmen-Notebook mit WLAN-karte problemlos im kleinen Funknetz genutzt werden kann, denn das Home Wireless Gateway ist zu allen gängigen Adaptern kompatibel. Für Power-User, denen bei hochperformanten Anwendungen wie Videoschnitt oder DVD-Sharing die schnelle 11-Mbit/s-Transferrate des Wireless LANs nicht ausreicht, bietet das Gateway einen integrierten 10/ 100 Mbit/s Switch mit drei EthernetPorts. Das 3Com Home Wireless Gateway ist seit der CeBIT 2001 erhältlich. n NEWS CISCO IP-Services mit Lichtgeschwindigkeit Hochleistungs-Router Cisco 7600 OSR Cisco Systems präsentiert mit dem Cisco 7600 Optical Services Router (OSR) einen neuen Hochleistungs-Router zur Übertragung von IP-Services mit Lichtgeschwindigkeit. Service Provider und große Unternehmen können mit dem 7600 OSR profitable Mehrwertdienste in schnelleren und leistungsfähigeren Netzen anbieten. Damit wird den modernen Anforderungen für die Konvergenz von Video und Sprache, Netzwerk-basierende Security und E-Business-Anwendungen wie E-Learning entsprochen. D Der Cisco 7600 OSR ist ein vielseitiger Hochleistungs-Router, der am Point-of-Presence (PoP) mehrere Funktionen zusammenfasst, darunter Access-Aggregierung, Core-Backbone-Interconnect und Verbindungen zwischen lokalen Serverfarmen. Er läßt sich auch in Metronetze mit SONET und Gigabit Ethernet einbinden. Durch die Integration von aggregierten IP-Services mit dem Cisco 7600 OSR und seinen HochleistungsFeatures erhalten Service Provider die Möglichkeit, diese Leistungsmerkmale an den Edge ihrer Netze zu verlagern. Doch hat so viel Leistung ihren Preis, 73.000 US-Dollar soll das Basissystem des Cisco 7600 OSR kosten, mit Schnittstellen 100.000 US-Dollar. Der US-Listenpreis der Schnittstellen-Module liegt zwischen 27.000 und 180.000 US-Dollar. NEWS Optische Verbindungen Der Cisco 7600 OSR besitzt Features des Catalyst 6500 und der Software Cisco IOS (Internetwork Operating System) für leistungsfähige und hochgradig skalierbare Lösungen ohne Single-Point-of-Failure. Er ermöglicht optische Verbindungen über die neuen Optical Services Modules (OSM), eine Reihe von Hochleistungs-Linecards mit Schnittstellen für Gigabit Ethernet im WAN, Packetover-SONET (PoS) und ATM. Die OSMs eignen sich für die Geschwindigkeiten von Gigabit Ethernet, OC3, OC-12 sowie OC-48 und weisen unterschiedliche Port-Dichten auf. Flexible Plattform Der Cisco 7600 OSR arbeitet mit einer 256 Gbit/s Switching-Fabric und einer Forwarding-Engine mit 30 Mpps. Das Gerät bietet basierend auf Cisco IOS eine Vielzahl an IP-Services wie Security, verbesserte QoS (Quality-of-Service) und Management-Services. Über das Cisco FlexWAN Modul ermöglicht der Cisco 7600 OSR die Migration der vorhandenen Port-Adapter für die Router der Reihe Cisco 7500, so daß Service Provider eine Vielzahl von Schnittstellen-Optionen auf einer einzigen Plattform erhalten. Dies verhilft ihnen zu einer hohen Flexibilität beim Einsatz des Cisco 7600 OSR für eine Reihe von Anwendungen, schützt In- vestitionen in vorhandene Systeme und ermöglicht einen praktikablen Migrationspfad zum New World Optical Internet. Parallel eXpress Forwarding Durch den Cisco 7600 OSR müssen sich Service Provider nicht mehr auf bestimmte Services und Bandbreiten festlegen, sondern können Netzwerke bauen, die sich zum zukünftigen Wachstum skalieren lassen. Dies erreicht der Cisco 7600 OSR über das Adaptive Network Processing und die Fähigkeit, neue IP-Services ohne Hardware-Upgrades aufzunehmen. 04 Ausgabe 04/2001 10 Im Gegensatz zu festen ASIC-Plattformen, die in der Hardware festgeschrieben sind, arbeitet der Cisco 7600 OSR mit der flexiblen PXF Technologie (Parallel eXpress Forwarding) zur Skalierung der Performance von Services. Beim PXF handelt es sich um einen patentierten, von Cisco entwickelten Netzwerk-Prozessor zur Übertragung von IP-Services mit Line-Rate. Jedes OSM verfügt über zwei PXFProzessoren und ermöglicht neue IPServices durch spätere SoftwareUpgrades zu integrieren. Breitband-Lösung für ISP In diesem Zusammenhang gab Cisco weiter bekannt, gemeinsam mit IBM optische Lösungen für Service Provider in Europa zu entwickeln, mit de- nen diese ihren Kunden größere Bandbreite über das Metro-, Edgeund Core-Netzwerk bereitstellen können. Entwicklung solcher Lösungen ist ein weiteres Projekt innerhalb der strategischen Allianz zwischen Cisco und IBM, die bereits 1999 geschlossen wurde. Kunden können Ciscos IPund Optical-Core für eine hohe Skalierbarkeit und Performance bei den Core-Packet-Switches einsetzen. CISCO AVVID-Partner-Programm Vertrieb von E-Business Lösungen über mehr als 85 Partner weltweit Cisco Systems hat ein neues Partnerprogramm für die Architecture for Voice, Video and Integrated Data (AVVID) vorgestellt. Im Rahmen des Programms können Hardware-, Software- und Dienstleistungsfirmen zusammen mit Cisco Lösungen für die Sprach-/Daten-Integration entwickeln, deren Interoperationalität sichergestellt ist. Ziel ist es gemeinsam neue E-Business-Lösungen für Customer Care, E-Commerce, Supply Chain Management und Workforce Optimisation weltweit zu vermarkten und auszuliefern. den auch auch Storage Networking, Metro Optical, Customer Contact, E-Learning, Videoconferencing und Content Networking Lösungen gehören. AVVID Architektur Hoher Nutzen für die Kunden Das Partner-Programm bietet integrierte Anwendungen, Plattformen und Services, die auf der NetzwerkInfrastruktur von Cisco aufbauen. Durch die Nutzung der offenen, auf Standards basierenden Cisco AVVID-Architektur profitieren die Kunden von einer vereinfachten Migration zu neu entwickelten Technologien und somit geringeren Integrations-Kosten. Dies steigert ihre Wettbewerbsfähigkeit in der Internet Economy. Alle Produkte der Partner unterliegen strengen Tests, um die Kompatibilität und die Anpassung an den Cisco AVVID Integrations-Standard zu sichern. Das Cisco AVVID-PartnerProgramm bietet Lösungen in den Bereichen IP Telefonie, Sicherheit, Virtual Private Networks sowie Netzwerk und Service Management. Zum Partner-Progamm wer- 04 Ausgabe 04/2001 11 Cisco AVVID ist eine offene, auf Standards basierende Architektur und integriert Produkte und Dienstleistungen von Partnern in eine stabile Ende-zu-Ende Netzwerk-Lösung. Dies wird über eine Auswahl an Integrations-Schnittstellen, inklusive Application Programming Interfaces (APIs) und IndustrieStandards, erreicht. Das Cisco AVVID-Partner-Programm stellt die Interoperationalität von Lösungen unterschiedlicher Anbieter in einem gemeinsamen, konvergierenden IP-Netz sicher. Weitere Informationen über das Partner-Programm: [email protected] n NEWS CITRIX Plattform für Windows MetaFrame XP bringt Applikationen an die richtige Stelle Citrix Systems präsentierte die neue Application Serving und Management Plattform MetaFrame XP für Windows. Die Software ist auf Windows 2000 und zukünftige Microsoft Plattformen abgestimmt. Sie ermöglicht ein zentrales System Management sowie flexibleren Applikations-Zugriff und verbessert die Application Server-Leistungen im Netzwerk durch ein erweitertes Load-Balancing. Anwender können von ihren End-Geräten über Kabel, drahtlos oder das Web sicher auf Windows Applikationen zugreifen. C NEWS Citrix MetaFrame XP wird jetzt in einer Server-Edition als XPs, in einer Advanced-Version als XPa und in einer EnterpriseEdition als XPe angeboten. Damit geht Citrix auf die individuellen Anforderungen unterschiedlicher Kunden und deren IT-Umgebungen ein. MetaFrame XPs ist das Basis-System der neuen Plattform für Application Server Computing. In erster Linie erweitert MetaFrame XPs die Funktionalitäten und die Reichweite von Windows 2000 Servern. Zusätzlich enthält das Produkt AdministrationsKomponenten und neue Funktionalitäten, beispielsweise die Citrix Management Console, mit deren Hilfe Anwendungen, Lizenzen und andere Ressourcen zentral verwaltet werden können. Administratoren können das Active Directory nutzen, indem Anwendungen für Active Directory-basierte Gruppen und Benutzer veröffentlicht oder Informationen über Netzwerkressourcen genutzt werden. Vereinfachte Administration Der zentrale Druck-Manager erleichtert die Replikation von Druckertreibern in einer Serverfarm und ermög- unterliegen, denn die Plattform kann je nach Bedarf einfach erweitert werden. Kontroll möglichkeiten licht die Begrenzung der Bandbreite für Druckaufträge, damit die Response-Zeiten für die Anwender auch während des Druckvorgangs nicht beeinträchtigt werden. Die erweiterte MetaFrame XPa Plattform hat neben den Basis-Funktionen der XPs Version ein erweitertes Load Management integriert. Durch die automatische Aktivierung von Anwendungen auf einem Server, der wenig ausgelastet ist, erhält ein Unternehmen eine erhöhte Verfügbarkeit und beliebige Skalierbarkeit der MetaFrame Serverfarm. Diese erweiterte Plattform ist für Unternehmen gedacht, die einem starken Wachstum Die Software bringt maximale Applikations-Verfügbarkeit und zentrales Management für das gesamte Netzwerk. Die Enterprise Application Serving-Edition MetaFrame XPe bietet die Infrastruktur für netzbasierte Windows 2000-Umgebungen, die höchste Skalierbarkeit, schnellen Applikations-Zugriff und ein robustes Management benötigen. Mit den zusätzlichen Komponenten Re-source Manager, Installation Manager und Network Manager erhält der Administrator Kontrollmöglichkeiten von einem zentralen Punkt aus. Der Resource Manager liefert SystemMonitoring- und -Analyse-Funktionalität. Der Installation Manager ermöglicht eine automatisierte Applikationsverteilung in Serverfarmen. Durch den Network Manager können MetaFrame XPe Server auch über System Management-Konsolen von Drittanbietern verwaltet werden. Citrix MetaFrame XP ist seit März verfügbar. www.citrix.de. 04 Ausgabe 04/2001 12 DICA TECHNOLOGIES Caching für den breiten Markt CachePilot bietet umfassende Caching-Funktionen für ISPs und Endkunden DICA Technologies, weltweit tätig in der Entwicklung von innovativen, einfach zu installierenden Internet-Securityund Web-Access-Produkten, bringt den Caching-Server CachePilot auf den Markt. Als kostengünstige rack-mounted Caching-Appliance stellt der CachePilot eine effektive Lösung für verbesserte Web-Server-Leistung und kontrollierten Internet-Zugang dar. Er eignet sich sowohl für ISPs als auch für deren Kunden. M Mit dem CachePilot können ISPs auf einfache und kostengünstige Weise die Kapazität und Leistung ihrer Server verbessern und so ihren Kunden eine praktikable Caching-Lösung bieten. Die Geschwindigkeit mit der Webseiten angezeigt werden können, erhöht sich beträchtlich, wodurch die Verbindungskosten minimiert werden. ISPs vermieden dadurch Kosten für die Bereitstellung zusätzlicher Bandbreiten für den Internetzugang werden. Leistungsfähige CachingLösungen standen in der Vergangenheit im Ruf, zu teuer und in der Anwendung zu kompliziert zu sein. Die neue Plug-and-Play-Lösung CachePilot hilft hingegen den ISPs, Kunden anzusprechen, die Ausgaben für zusätzliche Bandbreiten vermeiden wollen, oder bislang über eine teure Standleitung mit dem Internet verbunden sind. Denn auch sie verfügen nach der Installation des CachePilot über wesentlich erhöhte Übertragungsgeschwindigkeiten. Bandbreiten Intenet-Sicherheit Der CachePilot kommt zu einem Zeitpunkt auf den Markt, an dem die Mehrzahl der europäischen Programme zur Öffnung der Ortsnetze ins Stocken geraten. Dadurch hat sich die flächendeckende Einführung von ADSL und anderen Technologien zur Hochgeschwindigkeitsübertragung verzögert. Der auf dem Internet Caching System (ICS) von Novell aufbauende CachePilot ermöglicht dagegen selbst E-Business-Unternehmen die Einrichtung von Websites, auf denen selbst bei umfangreichen Graphiken rasch und zuverlässig navigiert werden kann. Dies bedeutet für die Endkunden eine erhöhte Effizienz, da Web-Inhalte mit dem CachePilot enorm schnell heruntergeladen werden können. Da sämtliche Web-Übertragungen über den CachePilot erfolgen, stellt dieser eine perfekte Plattform für die Internet-Zugangskontrolle beim Endanwender dar. Gegen eine zusätzliche Registrierungsgebühr kann diesbezüglich die Filtersoftware von N2H2 genutzt werden, die mit 19 Millionen nach Kategorien sortierten Internetadressen wesentlich umfassender als vergleichbare Programme ist.Auf diese Weise ist gewährleistet, dass die Web-Nutzung beim Endkunden effektiv, legal und internen Richtlinien entsprechend erfolgt. Weitere Anwendungs- und Kontrollfunktionen bieten sich bei Verwendung des CachePilot in Verbindung mit DICAs Internet-Server-Appliance NetPilot. Nach Installation des CachePilot beim ISP und des NetPilot beim Endkunden kann der ISP eine umfassende Service-Lösung bieten, zu der nicht nur Caching- und Filterfunktionen gehören, sondern auch eine Checkmarkgeprüfte Firewall-, E-Mail- und Zugangskontrolle sowie IntranetHosting. Die menügesteuerte Konfiguration ist sehr einfach durchzuführen, nach ungefähr zehn Minuten ist der CachePilot für den Einsatz in Switch- und Routerumgebungen von Microsoft, NetWare, UNIX oder Cisco bereit. Der CachePilot ist das Resultat des ersten OEM-Abkommens von Novell mit einem Appliance-Hersteller für den Bereich Europa, Mittlerer Osten und Afrika. Dabei erhebt DICA den Anspruch, die branchenweit derzeit günstigste Lösung in diesem Bereich anzubieten. Cache Object Store Der CachePilot beschleunigt die Übertragung von Web-Inhalten durch das Dateisystem Cache Object Store (COS), mit dem die Geschwindigkeit eines herkömmlichen Web-Servers um das Zehnfache gesteigert werden kann. Durch das Ablegen der WebInhalte im CachePilot sind die WebServer in der Lage, über 100.000 ständige Verbindungen zu halten und die Auftragsabwicklung sowie andere wichtige Aufgaben effizienter auszuführen. Darüber hinaus können globale Unternehmen und ISPs durch die CachePilot-Funktionen wie Festplatten-Cloning, Festplattenspiegelung und Cache-Clustering ihre Bandbreiten weiter optimieren. 04 Ausgabe 04/2001 13 n NEWS ELSA ELSA Mobile ISDN-Lösung Preiswert drahtlos MicroLink ISDN USB Connect für Lap- und Desktop Funk-PC-Karten werden für den Consumer-Markt ELSA bietet seit März das neue mobile ISDN-Modem MicroLink ISDN USB Connect für den einfachen und schnellen Zugang zum Internet an. Es ist ganze 13 cm lang und nur 55 g schwer. Damit eignet sich das kompakte und universelle ISDN-Leichtgewicht ideal für den mobilen Einsatz. ELSA reduziert die Verkaufpreise für ihre drahtlosen Netzwerklösungen. Damit wird eine schnelle, kabellose Vernetzung mit 11 Mbit/s für Geschäftskunden kostengünstiger. Die ebenfalls preisreduzierte 2 Mbit/ s-Variante wird nun auch für Heimanwender interessant, um Notebooks oder Desktop PCs ohne lästiges Kabelgewirr miteinander vernetzen. Die drahtlose Nutzung eines ADSL-Internetzugangs ist ebenfalls möglich. D Das MicroLink ISDN USB Connect bringt gebündelte Internet-Geschwindigkeiten bis zu 128. Kbps. E-Mail, SMS, Chats und Anrufbeantworter-Funktionen lassen sich dank der mitgelieferten Software besonders einfach nutzen. Die Installation über den Universal Serial Bus (USB) per Plug & Play ist selbst bei eingeschaltetem Computer möglich und denkbar einfach. Die USB-Schnittstelle übernimmt sowohl die Datenübertragung als auch die Stromversorgung. Das MicroLink ISDN USB Connect ist seit März erhältlich. Im Lieferumfang sind neben allen Anschlußkabeln, Treibern und einer ausführlichen Dokumentation die komfortable Kommunikationssoftware RVS-COM sowie LapLink professional für die Fernwartung enthalten. F NEWS Für die LANCOM Wireless Basisstationen steht kostenlos eine Firmwarevariante mit DSL-Unterstützung zur Verfügung. Der Ethernet-Anschluß der Basisstation wird mittels PPP-over-Ethernet an ein vorhandenes ADSL-Modem angebunden. Mit den Basisstationen LANCOM Wireless L-2 oder L-11, die es als LANCOM Wireless IL-2 und IL-11 auch mit integriertem ISDN-Router gibt, lassen sich Notebooks mit PC Card-Slot über die Funk-PC-Karten AirLancer MC-2 oder MC-11 zum drahtlosen Netzwerkarbeitsplatz erweitern. Für die Funkausstattung von stationären Desktop PCs bietet ELSA mit dem AirLancer PCI-11 einen PCI-Adapter inklusive 11 Mbit Funk-Card an. Alle Produkte der 2 Mbit/s Netzwerklösung sind zu dem Standard IEEE 802.11 (DSSS) kompatibel und können so auch in 11 Mbit/s schnellen Funknetzwerken betrieben werden. 04 Ausgabe 04/2001 14 ELSA APC Designed for the Web Master Switch VM MicroLink 56k Modem Internet II mit Telefonie V.92 ready ELSA präsentiert das neue MicroLink 56k Internet II, ein „V.92 ready“Modem für die schnelle und komfortable Internetnutzung mit erweiterter Telefon-Funktionalität. Per Plug and Play-Installation gelingt in Small und Home Offices der problemlose Einstieg ins World-Wide-Web. Monitoring und Planung der Stromversorgungskapazität APC hat ihre proaktiven Managementlösungen für Server- und Internetworking-Systeme durch ein intelligentes Vertical Mount Modell der MasterSwitch Produktreihe mit webbasierten Leistungsverteilern ergänzt. Mit dem neuen VM MasterSwitch können IT-Manager die Wechselstromzufuhr im Remote-Modus einschalten, steuern und verwalten. Zudem können Grenzwerte für die Auslösung eines Alarms definiert werden, um Ausfallzeiten durch Überlastung zu vermeiden. D Das MicroLink 56k Internet II benutzt den aktuellen Übertragungsstandard V.90 und ist bereits jetzt für den zukünftigen, schnelleren Standard V.92 gerüstet. Damit erhöht sich die Upstream-Geschwindigkeit von bisher 33.600 auf bis zu 48.000 bit/s. Zudem ermöglicht V.92 einen bis zu 50 prozent schnelleren Verbindungsaufbau, eine 1,5-fach höhere Datenkompression sowie eine Modem-onhold-Funktion, mit der eine bestehende Internet-Verbindung bei einem ankommenden Telefon-Anruf für die Dauer des Gesprächs geparkt wird. So wird Telefonieren und Surfen ohne Ausloggen und erneutes Einwählen möglich. Rufnummernanzeige Das MicroLink 56k Internet II bietet bequeme Features beim Telefonieren. So wird die Rufnummer des ankommenden Anrufs bei laufendem PC automatisch in einem Fenster angezeigt. Ist der Computer ausgeschaltet, werden die Rufnummern von bis zu zehn Anrufen in Abwesenheit im integrierten FlashROM gespeichert und beim nächsten Start des Rechners angezeigt. Die zusätzliche VIP-Funktion erlaubt es, für drei Rufnummern eine spezielle Anrufkennung zu vergeben. So kann der Anwender auf einen Blick die Wichtigkeit der eingegangenen Anrufe erkennen, auch ohne Komforttelefon und ohne den PC starten zu müssen. Eine entsprechende Anzeige bei eingehenden Emails ist in Zusammenarbeit mit Internet-Service-Providern in Vorbereitung. Zum Lieferumfang gehört die komfortable Kommunikationssoftware ELSA Communicate! Lite mit Fax-, Email- und Anrufbeantworter-Funktion sowie integriertem Adreßbuch. 04 Ausgabe 04/2001 15 M Mit dem neuen MasterSwitch VM von APC können unsere Administratoren den Stromzufluß für jedes einzelne Rack in Rechenzentren von einem beliebigen Standort aus über das Internet überwachen und die Wahrscheinlichkeit von Systemausfällen durch Überlastung minimieren. Der Leistungsverteiler im Vertikalgehäuse ermöglicht die platzsparende Zero U-Rackinstallation, bietet webbasierte Managementfunktionen und hohe Zuverlässigkeit für Provider und Rechenzentren Spezielle Sensoren schützen gegen Überlastung. Die MasterSwitch-Familie der Netzwerk-Leistungsverteiler (Power Distribution Unit) ist mit relaisbetätigten AC-Ausgängen ausgestattet, die bequem über eine Webpage, mithilfe herkömmlicher Kom- n NEWS munikationsprotokolle wie SNMP, Telnet oder über ein Modem gesteuert werden können. NORTEL NETWORKS Passport Routing Switch 8600 Kompakt Der MasterSwitch VM kann platzsparend und unkompliziert am Rack installiert werden und vereinfacht so die Unterbringung der Netzkabel. Durch Anordnung des Leistungsverteilers am hinteren Pfosten des Rackgehäuses nimmt das System keinen Raum im Rack in Anspruch (Zero U). Üblicherweise haben vergleichbare Geräte einen Platzbedarf von einer Unit oder mehr im Rack. Das ca. 1,80 m hohe, säulenförmige Gehäuse verfügt über 16 NEMA 5-15-Anschlüsse. Davon sind acht schaltbar und acht kontinuierlich in Betrieb. Das Gerät kann eine Last von 20 Ampere aufnehmen und ist mit einem vom Benutzer einstellbaren Stromsensor ausgestattet, der bei Überschreiten der festgelegten Schwellenwerte den Systemmanager durch akustische Signale und visuelle LCD-Signale benachrichtigt. Der Anwender kann das Gerät mit einer MasterSwitch-Zusatzeinheit kombinieren und dadurch die Zahl der Anschlüsse für RemoteControl und Fernüberwachung auf 16 erhöhen. Für integrierte Sprach-, Video- und Datennetzwerke Mit dem Passport 8600 hat Nortel Networks, einen Routing Switch der zweiten Generation für integrierte Sprach-, Video- und Datennetzwerke eingeführt. Unternehmen, die ihr Netzwerk für E-Business-Anwendungen aufrüsten, bietet der Passport 8600 zuverlässige Leistung, und hohe Skalierbarkeit auf einer einzigen Unternehmensplattform. Der Switch läßt sich im Campus Umfeld und zum Aufbau von Backbone Netzwerken ebenso einsetzen wie für anspruchsvolle Anwendungen auf Seiten der Service Provider. Metropolitan (MAN) und Wide Area Networks (WAN) kann heutzutage ein einziges dieser Geräte als Netzwerkfundament dienen, für E-Business-Anwendungen und leistungsintensive IP Telefonie gleichzeitig. MAN und WAN NEWS Ferngesteuert Mit dem MasterSwitch VM können IT-Verantwortliche zudem ungenutzte Anschlüsse abschalten und so Überlastungssituationen vermeiden, die auftreten können, wenn freie Anschlüsse durch uninformierte Mitarbeiter genutzt werden. Durch die Eingangsspannungsüberwachung kann der MasterSwitch VM so konfiguriert werden, daß hohe Anschaltströme kontrolliert und Überlastungen beim Wiederanschalten der Wechselstromzufuhr vermieden werden können. Durch eine entsprechende Konfiguration der Ausgänge des Master Switch VM kann die Stromzufuhr nach einem Herunterfahren des Systems aus der Ferne wiederhergestellt und der Zeit- und Kostenaufwand für einen Technikerbesuch vor Ort eingespart werden. N Nortel Networks hat ihrer erfolgreichen Accelar Familie einen neuen Namen gegeben: Nortel Networks‘ Passport Routing Switch Portfolio. Darunter fallen die Modelle, 1100, 1200, 8100 und 8600. Das Topmodell, der Passport Routing Switch 8600 bietet höchste Leistungskapazität durch extrem hohe Switching-Geschwindigkeiten und routet bis zu 96 Millionen Pakete pro Sekunde über Kupfer- und optische Medien. Er unterstützt eine hochleistungsfähige Layer-2 und Layer-3 Switching-Architektur, die 50 bis128 Gigabit pro Sekunde skalierbarer Bandbreite liefert. Es bestehen Pläne, diese auf bis zu 256 Gigabit pro Sekunde im Jahr 2001 zu erhöhen. Aufgrund der fließenden Grenzen zwischen Campus, Die für große und mittlere Unternehmen entworfene neue Lösung bietet eine stabile und anwendungsoptimierte Leistung für anspruchsvolle Telefon-, Video, und Datendienste. Neue Quality-of-Service Merkmale von Hard- und Software bieten Standard-Telefoniequalität über das lokale oder Metropolitan Netz. Dabei bietet der Passport 8600 allerhöchste Verfügbarkeit gerade für E-BusinessUmgebungen und eine äußerst geringe Störanfälligkeit. Moderne und bedienerfreundliche Management- und Konfigurationsoptionen ermöglichen eine schnelle Anpassung an Netzwerk-, Anwendungs- und Benutzervorgaben, ohne dabei die Leistung oder Sicherheit zu beeinträchtigen. Die in Europa erhältlichen Passport 8600 Schnittstellen umfassen Fast Ethernet, Gigabit Ethernet mit Packet over SONET und ATM. Schnellere Schnittstellen für 10 Gigabit Ethernet pro Sekunde werden zur Zeit entwikkelt und sollen bereits Ende 2001 erhältlich sein. 04 Ausgabe 04/2001 16 NOVELL NetWare Management im eBusiness ZENworks for Servers 2 reduziert Aufwand für Server-Upgrades Novell hat neue Netzwerkmanagement-Funktionen in ZENworks for Servers 2 integriert. Sie vereinfachen die Wartung und Optimierung von NetWare Diensten, sparen Administrationsaufwand und vereinfachen die Bedienung für Endanwender. Die neue Software wurde im März vorgestellt. ZENworks for Servers 2 ist nun in der Lage, Support Packs schnell und automatisch auf Server zu verteilen und direkt zu installieren, mit deutlichen Einsparungen an Zeit und Kosten. ZENworks for Servers 2 unterstützt zur Support Pack-Installation NetWare Versionen ab 4.11 aufwärts. In der Kombination mit ZENworks for Desktops 3 bietet ZENworks for Servers eine regelbasierte Managementlösung für das gesamte Netzwerk, die in großen Netzwerken eine hohe Kostenersparnis ermöglicht. Administratoren können automatisch Software-Pakete oder Desktop-Images erzeugen und sie einmal auf einem Server bereitstellen. Die Tiered Electronic Distribution (TED) verteilt diese Inhalte auf NetWare, Windows NT und Windows 2000 Server sowie auf die Desktops im gesamten Unternehmen. Server im One Net ZENworks for Servers 2 unterstützt in der neuen Version die Novell Vision vom netzwerkübergreifenden One Net. Unternehmen können Daten oder Software an Server im gesamten Netz verteilen, egal ob sie sich innerhalb oder außerhalb der eigenen Firewall befinden. Diese Fähigkeit versetzt sie in die Lage, Informationen dynamisch mit Kunden, Partnern und Lieferanten zu teilen und gemeinsam zu nutzen. Denn ZENworks for Servers löst die Probleme eines übergreifen- den Servermanagements auch über das Internet hinweg. Es bietet zentralisiertes Management über Verzeichnisdienste, einfachen Datenaustausch zwischen beteiligten Unternehmen, die Integration mit ZENworks for Desktops und eine vollständige Management-Konsole für regelbasierte NetWare-Server. Support Packs automatisch Novell verzeichnet einen hohen Bedarf für die automatische Distribution und einheitliche Installation von Support Packs. Kunden, die ZENworks for Servers 2 bereits einsetzen, erhalten die Funktion kostenlos im Internet. Seit der offiziellen Vorstellung der Software Mitte März, stehen sie unter www.novell.com/down load bereit. Technik News Leser finden Service Packs und weitere Tools u.a. auch auf der Monats-CD 03/2001 und der Novell Sonder-CD aus dem letzten Heft. Der Verkauf von ZENworks Produkten machte bereits im Jahr 2000 mehr als die Hälfte des Novell Umsatzes bei ManagementSoftware aus. Mit einem jährlichen Wachstum von 50 Prozent gehörten sie zu den wachstumsstärksten Net Services Produkten von Novell. 04 Ausgabe 04/2001 17 t-online n NEWS MICROSOFT Stinger for Smartphones Plattform für Mobiltelefon, Internetzugang und Organizer Microsoft macht mobil und stellt präsentiert mit Stinger, die neue Plattform für Smartphones. Als Betriebssystem setzt das speziell auf 2,5- und 3G- Breitbandfunknetze ausgelegte Stinger einen neuen Maßstab für die Größe und Funktionalität von Smartphones. Die Software ermöglicht es, die nächste Generation kompakter Mobiltelefone mit einer Vielzahl neuer Funktionen auszustatten. Dazu gehören Farbdisplay, Internet-Zugang, vollwertige E-Mail-Nutzung und das Verwalten persönlicher Daten. B Benutzer von Mobiltelefonen haben inzwischen hohe Erwartungen an ihre Geräte, ohne Kompromisse bei der Größe, der Funktionalität und dem Design eingehen zu wollen. Waren frühere Versuche mit Smartphones daran gescheitert, den mobilen Inter-net-Zugang und PIMFunktionalitä-ten für das Personal Information Management in ein kleines und leichtes Telefon zu packen, so erlaubt die Stinger Plattform, Smartphones auf den Markt zu bringen, mit denen Benutzer einhändig bedienbarer Geräte überall auf persönliche und geschäftliche Informationen zugreifen können. NEWS Klein und leicht Die unter dem Codenamen Stinger angekündigte Microsoft Plattform für Smartphones basiert auf dem Betriebssystem Windows CE 3.0 und ist mit verringertem Stromverbrauch und Speicherbedarf den Anforderungen an Mobiltelefone angepaßt. Das Betriebssystem ermöglicht lange AkkuLaufzeiten von 100 Stunden im Stand-By-Betrieb bei eingeschaltetem Display und aktivem PIM oder vier Stunden Sprechzeit. Die kleinen und leichten Geräte sind bis zu 30 Prozent kleiner als heutige Mobiltelefone und bieten mit weniger als 110 Gramm Gewicht große Farb- Informationen auf dem Smartphone immer aktuell sind. Die Software ist optimiert für 2,5- und 3G-Netze, unterstützt aber auch 2G-Netze. Der Mobile Explorer stellt dabei die MikrobrowserLösung für die kompakten webfähige Handys dar. Mobile Explorer 3.0 displays mit einer Auflösung von bis zu 208 mal 240 Pixel für eine gute Lesbarkeit. Zum Einsatz kostengünstige ARM-Prozessoren ab 60 MHz. Mutlifunktional Zum Funktionsumfang der StingerPlattform zählen eine intuitive Bedienung über das Display, Outlook Companion für den Zugriff auf Kontakte, Kalender und Informationen ssowie eine mobile Version des Internet Explorer für den Internet-Zugang vom Mobiltelefon aus und den Wechsel zwischen WAP- und HTML-Seiten. Standards wie SSL, XML, JavaScript und WML-Script werden unterstützt. Es besteht Zugriff auf EMails, eine gemeinsame Mailbox zum Verwalten von SMS, Sprachnachrichten und mehrere E-MailAccounts. Die Synchronisation per USB oder Funk mit den auf dem PC gespeicherten Daten sorgt dafür, daß Im Rahmen des GSM World Congress in Cannes hatte Microsoft bereits die Auslieferung des Mobile Explorer 3.0 angekündigt. Der Mikro-browser unterstützt nahezu jedes Handy-Betriebssystem und ermöglicht den sicheren drahtlosen Zugang zu Internet, Firmennetzwerken, E-Mail-Systemen und persönlichen Daten. Der Microsoft Mobile Explorer bietet für webfähige Mobiltelefone der nächsten Generation den Zugriff auf Internetinhalte in den Formaten HTML, cHTML und WML (WAP) und bereits heute die Leistungsfähigkeit von WAP 2.0. Dabei ermöglicht der Mobile Explorer 3.0 die personalisierte Anpassung und automatische Aktualisierung der per WAP und SMS übertragenen Internetinhalte. Er verfügt zudem über umfassende Sicherheitsfunktionen. Durch die Unterstützung für WTLS Protocol 3 (WAP 1.2.1 Specification) und SSL 3.0 bietet er größtmögliche Sicherheit 04 Ausgabe 04/2001 18 bei E-Commerce-Transaktionen zwischen Käufer und Anbieter. Benutzerfreundlichkeit Die Benutzeroberfläche des Mobile Explorer 3.0 unterstützt eine Vielzahl von skalierbaren Grafikformaten. Far- be und Größe der Anzeige können benutzerspezifisch konfiguriert werden. Ohne komplizierte Einstellungen oder die Eingabe von Gateway-Daten ist der Mobile Explorer für “Over the Air”-Konfigurationen optimiert, wodurch die Betreiber von Mobilfunknetzen sicherstellen, dass Kun- den die für den Zugriff auf Internetinhalte nötigen Informationen nicht eigenhändig eingeben müssen. Die Sicherheitsfunktionen auf Basis von SSL ermöglichen die Nutzung von Diensten wie Microsoft Passport, die den Authentifizierungsprozess beschleunigen. MICROSOFT Micromobilisierung Vorabversion des Outlook Mobile Manager Microsoft hat die Beta-Version ihres Outlook Mobile Manager vorgestellt. Die neue Desktop-Anwendung dehnt die Funktionalität von Outlook auf mobile Geräte aus. Den Benutzern von Microsoft Exchange ermöglicht der Mobile Manager eine bessere Kontrolle ihrer mobilen Kommunikation. Das neue Tool sendet eigenständig Kalendereinträge, Kontakte und Aufgaben an Mobilfunkempfänger. Nach den Angaben des Benutzers regeln dabei personalisierte Filter automatisch, welche Informationen als dringende Erinnerungen verschickt werden. D Der Outlook Mobile Manager kann auch auf Desktop-PCs als Stand-Alone-Anwendung installiert und eingesetzt werden. Auf Basis von SMTP leitet er Meldungen von einem Exchange Server an beliebige E-MailAdressen weiter und ermöglicht den Zugriff von Handheld-PCs, Mobiltelefonen oder anderen mobilen Geräten aus. In Kombination mit dem Mobile Information 2001 Server können Mitarbeiter der IT-Abteilung über den Mobile Manager einen mobilen Zugang zu firmeninternen Netzwerken erhalten und Managementaufgaben durchführen. Auch der Zugriff auf E-Mails ist vom Mobiltelefon aus möglich. Profiiert kommunizieren Die Entwicklungsabteilung Microsoft Research (MSR) hat für den Outlook Mobile Manager Technologien entwickelt, die informative Zusammenhänge automatisch erkennen, einordnen und darauf reagieren. Sie ermöglichen die Sprachverarbeitung und erstellen anpassungsfähige Prioritä- tenprofile, um an die jeweilige Situation des Benutzers angepaßt zu entscheiden, welche Informationen gerade am wichtigsten sind und deshalb an ein Mobilgerät gesendet werden müssen. Mit den anpassunsgsfähigen Funktionen des Outlook Mobile Manager können Benutzer von ihren mobilen Geräten aus ziel- und anforderungsgenau auf E-Mails, Termine, Aufgaben und Informationen zugreifen. Informationsmanagement Anhand der Benutzereinstellungen und seiner automatischen Lern- 04 Ausgabe 04/2001 19 funktionen erkennt der Mobile Manager, welche Meldungen und Kontakte dringend sind. Die Erstellung personalisierter Filter, Aktivitätsmesser und Nutzerprofile entscheiden darüber, wann Erinnerungen an das Mobilgerät des Anwenders gesendet werden. Der Outlook Mobile Manager verfolgt und erfaßt dynamisch deren Kommunikationsverhalten in verschiedenen Situationen. Intelli-shrink, ein System zur Komprimierung von Texten, verkleinert Botschaften auf bis zu 30 Prozent ihrer Originalgröße. Unnötige Wörter und Buchstaben werden entfernt, ohne daß die inhaltliche Verständlichkeit beeinträchtigt werden soll. Der Anwender kann den Grad der Kompression selbst mit beeinflussen, indem er zum Beispiel eigene Abkürzungen eingibt. er Mobile Manager ist Microsoft´s Mobile Information Server 2001 und Office XP integrierbar. Er steht im Internet zum kostenlosen Download zur Verfügung: www.microsoft.com/out look/mobile. n NEWS Linux Shell Zertifikat Supercomputer wie geölt Euro-DOCSIS Kabelmodem Shell und IBM werden gemeinsam den größten LinuxSupercomputer der Welt entwickeln und einsetzen. Der Supercomputer soll 1024 der IBM xSeries Server umfassen, die in 32 Racks untergebracht sind. Als Betriebssystem kommt ausschließlich Linux zum Einsatz. Shell wird auf dem Supercomputer seismische und geophysikalische Anwendungen einsetzen, die für die Suche nach unerschlossenen Ölvorkommen und anderen Energieressourcen von entscheidender Bedeutung sind. Diese Anwendungen analysieren Daten, die von ShellMitarbeitern bei Forschungsexpeditionen gesammelt werden. Der Supercomputer soll diese Arbeit dramatisch beschleunigen. Die Tatsache, daß Shell diese Anwendungen auf einem IBM Linux-Supercomputer einsetzen wird, unterstreiche die wachsende Bedeutung von Linux, so IBM, und belege, daß Linux selbst höchsten Arbeitslastanforderungen der anpruchsvollsten Supercomputing-Aufgaben genügt. ELSA hat für ihr Kabelmodem MicroLink Cable vom europäischen Zertifizierungsgremium ECB, dem Euro DOCSIS Certification Board, die Euro-DOCSIS Zertifizierung erhalten. Die Erfüllung des europäischen Standards der Data Over Cable Interface Specification DOCSIS gewährleistet die uneingeschränkte Kompatibilität mit der Technik führender europäischer KabelAnbieter. Nach der vor vier Monaten erfolgten USamerkanischen CableLabs Zertifizierung für das MicroLink Cable beschleunigt ELSA ihre Expansion nun im europäischen Datenkommunikations-Geschäft weiter. Europa ist neben den USA der bedeutendste Markt für Breitband-Zugangslösungen über das TVKabelnetz. Dataquest prognostiziert für dieses Jahr rund 1,3 Millionen und für 2002 ca. 2 Millionen ausgelieferte Kabelmodems in Europa. Das entspricht einem Marktwachstum von mehr als 50 Prozent im Jahr. Zur CeBIT 2001 hatte ELSA eine ganze Palette von BreitbandZugangslösungen gezeigt, sowohl Kabel- als auch DSLProdukte. Kabel oder DSL OmniStack NEWS Router für den SME-Bereich Ready for VoIP Mit dem neuen AR220E bietet Allied Telesyn einen äußerst preisgünstigen DSL-Router an, der obendrein mit einem eingebauten 4-Port-Switch ausgestattet ist. Der Router stellt eine attraktive Ergänzung für Breitband-Anschlußlösungen dar. Er ist gerade für kleine, expandierende Unternehmen eine gute Wahl zur Einrichtung leistungsstarker Internet-Anbindungen und bietet Erweiterungsoptionen bis auf 200 Netzwerkteilnehmer. Damit ist der AT-AR220E eine Lösung für alle, die von schnellen ‚Always-On‘-Internet-Anbindungen auf Kabelmodem- oder DSL-Basis profitieren möchten. Bis zu vier PCs, mit Ethernet- oder Fast Ethernet-Karten ausgestattet, können über die 10/100 Switch-Ports direkt ins Internet gehen, mit integrierter NAT-Firewall. Wenn das Netzwerk wächst, kann auch die Breitband-Anbindung aufgerüstet werden, weil sich einer der 10/100-Ports in einen Uplink-Port zur Kaskadierung mit weiteren Switches oder Hubs verwandeln läßt. Hiermit können mehr als 200 Arbeitsplätze auf ein und denselben Zugang zugreifen. Der neue Router bietet zahlreiche Vorteile auf einem Preisniveau, das ihn für den SME-Markt und selbst für SoHo-Umgebungen prädestiniert, als erster der neuen Produktreihe von ADSL- und SHDSL-Routern mit DSL-Modem. Mit dem OmniStack 6024 bietet Alcatel eine kostengünstige Netzinfrastruktur für kommende Sprach- und Videodienste. Schon in kleinen Unternehmen kann der OmniStack 6024 seine Vorteile als Standalone-Gerät entfalten, um sie im Stack mit bis zu 96 Ports oder als Edge-Device in großen Campusnetzen voll ausspielen. Der 6024M ist die Master Unit, ein 24 Port 10/100Ethernet Switch mit integriertem Managementmodul, der einen Stack- und einen Uplink-Slot bietet. Die vorhandenen QoS-Mechanismen in Verbindung mit hohen Fehlerresistenzen erleichtern die Differenzierung von Sprach- und Datenanwendungen. Der Durchsatz kritischer Applikationen bleibt unverändert, ganz gleich wie stark ein Netz ausgelastet ist. Mit bis zu drei weiteren Expansion Units der Alcatel OmniStack Switches 6024E, die ebenfalls einen Uplinkslot besitzen, kann ein Stack aufgebaut werden. Als Uplinkmöglichkeiten stehen dabei optional 2-Port 100BaseFX-Module, 1-Port 1000BaseSX- oder LXGigabitmodule zur Verfügung. Eine Zusammenarbeit mit bestehenden Ethernet, Fast-Ethernet und GigabitEthernet Konfigurationen ist gewährleistet. Ticker 04 Ausgabe 04/2001 20 New Ways Classification. Dadurch erhalten die Rechner verbesserten Quality-of-Service (QoS), standardbasierte VLANs sowie Kontrollfunktion für den Datenverkehr und die Gewährleistung der Sicherheit. Inzwischen gab Enterasys Networks die Unterstützung des neuen Industrie-Standards IEEE 802.1X bekannt, mit dem User bereits vor dem Zugriff auf Netzwerk-Ressourcen authentifiziert werden können. Der Standard wird zunächst von der Matrix Switching-Serie und dem Management-Tool NetSight unterstützt. Jetzt auch über ADSL AVM NetWAYS/ISDN ermöglicht die professionelle Verbindung über die ISDN- oder Mobile ISDNController von AVM, mit Fernzugriff auf das lokale Netzwerk oder das Internet. Mit der Version 5 ist NetWAYS/ISDN um leistungsstarke Features erweitert worden. Neben ISDN und GSM (incl. HSCSD) steht nun auch ADSL über PPPoE für die Interneteinwahl offen. Für ISDN Festverbindungen werden auch Basisanschlüsse mit einem B-Kanal als Wählverbindung und einem Kanal als Festverbindung unterstützt. Auch die Nutzung des D-Kanals für die Datenübertragung ist möglich. Mittels Always On/Dynamic ISDN kann er als Quasi-Standleitung zum Internet genutzt werden, bei Bedarf werden die B-Kanäle dynamisch zugeschaltet. Hier wird neben PPP Multilink nunmehr auch BAP/ BACP als intelligenterer Mechanismus genutzt. Erweitert und in der Bedienung vereinfacht wurde der Konfigurationsassistent. Eine erfolgreiche Installation kann durch einen direkten Verbindungstest überprüft werden. Integriert Thin-Client-Technologie Novell hat die Beta-Version der neuen OnDemand Services 1.5 vorgestellt. Unternehmen und Service Provider können ihren Kunden, Mitarbeitern und Geschäftspartnern mit dieser Technologie Applikationen und digitale Inhalte über das Netz zur Verfügung stellen. Novell hat parallel dazu die Akquisition des Unternehmens Novetrix bekannt gegeben, dessen Software in die OnDemand Services 1.5 integriert wurde. Die Novell OnDemand Services 1.5 integrieren die Thin-ClientTechnologie von Novetrix in das NDS eDirectory. Dadurch können Kunden Web- und Windows-Applikationen sowie digitale Inhalte über verschiedene Netzwerke hinweg nahtlos nutzen. Hierzu wird lediglich ein WebBrowser benötigt. Unternehmen können so das Management von Netzwerkressourcen vereinfachen, die Verfügbarkeit und Sicherheit der Services garantieren und die Verteilung neuer Applikationen über das Netz beschleunigen. Die endgültige Version der Novell OnDemand Services 1.5 wird im April verfügbar sein. Die OnDemand Services lassen sich in das NDS eDirectory und Novell Net Services Software für Sicherheit, Applikationsintegration, Desktopmanagement und Mitarbeiterproduktivität integrieren. Unternehmen und Service Provider erhalten damit eine vollständige Lösung für das Netzwerkmanagement. Kunden profitieren von der hohen Performance und den Verwaltungsvorteilen des NDS eDirectory. SoftwareApplikationen, Musik- und Videodateien, letzlich jede Art digitaler Information, können im Verzeichnisdienst abgelegt und genutzt werden. Mit den Novell OnDemand Services lassen sich serverbasierte Thin-Client-Software sowie Web-Applikationen und -Services einfacher und kostengünstiger zur Verfügung stellen und administrieren. Kapazitäten Matrix Switching Module Enterasys Networks hat ihre Switching-Produktreihe um neue Module für die Matrix E7 und E6 Switches erweitert. Mit den leistungsstarken 48- und 24-Port Modulen lassen sich die Vorteile einer Glasfaserverkabelung auf das gesamte Unternehmens- oder Campus-Netzwerk ausdehnen. Matrix-Kunden profitieren von verbesserten Sicherheitsfeatures sowie umfassenden Funktionen für die Verwaltung des Netzwerks und die Kontrolle des Datenverkehrs. Die Module 6H30848 und 6H308-24 ermöglichen 100BaseFX Connectivity. In Netzwerkumgebungen mit Glasfaserkabeln können die Daten vom Rand des Netzwerks mit Fast EthernetGeschwindigkeit direkt zu File Servern und DesktopRechnern übertragen werden. Die neuen Module ermöglichen eine enorme Leistungssteigerung durch die Distributed-Switching-Architektur der Matrix E7 und Matrix E6 Switches. Darin verfügt jedes Modul im Chassis über einen eigenen Switching-Prozessor und eigene Verwaltungsfunktionen, was eine außerordentlich hohe Performance und maximale Verfügbarkeit garantiert. Beide Module liefern integrierte Layer-2/-3/ -4 Services, einschließlich Multilayer Frame 04 Ausgabe 04/2001 21 thema des monats UNVERSCHLÜSSELT Kryptografie im Klartext Schlüssel für die Sicherheit im Netzwerk Von Patrick Fell M Mysteriöse Mutmaßungen ranken sich um die zur Netzwerksicherung verwendete Kryptografie. Sind die angewandten Verschlüsselungsalgorithmen wirklich sicher oder gibt es nicht doch Schlupflöcher? Wird der böse Mallory den von Bob an Alice verschickten Schlüssel abfangen? Wir wollen das Geheimnis lüften. 04 Ausgabe 04/2001 22 Kaum ein Thema in der IT-Welt birgt noch so viele Geheimnisse wie die in der Netzwerksicherheit verwendete Kryptografie. Sind die Algorithmen wirklich so sicher, wie viele annehmen? Gibt es nicht doch irgendwo eingebaute Hintertüren? Mit dieser Frage und mit den einzelnen Teilbereichen aus der Kryptografie werden wir uns - ganz unverschlüsselt - in diesem Technik News Schwerpunkt beschäftigen. In den darauf folgenden Ausgaben wollen wir das Thema Sicherheit für Netzwerke u.a. in einer neuen Praxisserie zu Windows 2000 intensiv beleuchten. Verschlüsselung Wir werden mit einer allgemeinen Einführung in die symmetrische und asymmetrische Verschlüsselung beginnen, ohne uns dabei mit den zum Teil sehr komplexen mathematischen Verfahren all zu sehr aufzuhalten. Wir wollen zeigen, was man unter einer Kryptanalyse versteht, und weshalb sie notwendig ist. In unserem ersten Artikel geht es um die theoretischen Grundlagen, die natürlich für alle Betriebssysteme gelten und dort auch zum Großteil ihre Anwendung finden. Um die mysteriösen Algorithmen ans Tageslicht und Klarheit in die Funktionsweisen zu bringen, werden wir mit dem wohl am besten untersuchten kryptografischen Verfahren überhaupt beginnen, mit dem Data Encryption Standard (DES). Sie werden den bösen Mallory kennenlernen, der im Hintergrund der Abfangszenarien sein Unwesen treibt, und Alice und Bob, die im kryptologischen Theater fest engagiert sind. Weitere Themengebiete sind RSA, das wohl populärste asymmetrische Verfahren, welches sich zur Verschlüsselung wie auch zur Erzeugung digitaler Signaturen eignet, für eigentliche digitale Signaturen, aber auch für digitale Zertifikate. Geheimwissenschaft Bevor wir mit den theoretischen Grundlagen beginnen, sollten wir uns zuerst einmal mit der Kryptologie und ihren Begriffen selbst beschäftigen. Kryptologie unterteilt sich einerseits in die Kryptografie, die Wissenschaft über die Verschlüsselung von Daten, dem Datenschutz also, andererseits in die Kryptanalyse, die sich mit dem Knacken oder der Kompromittierung von verschlüsselten Daten ohne Zuhilfenahme des Schlüssels selbst beschäftigt. Obwohl es die Kryptologie schon seit mehreren Jahrtausenden gibt, ist sie immer noch mysteriös und zum Teil sehr komplex. Um nähere Einblicke in einige Algorithmen zu bekommen, muß man sich zwangsweise sehr gut in der Mathematik auskennen, da mathematische Formeln in fast allen modernen Algorithmen integriert sind. Demnach muß ein Kryptologe ein guter Mathematiker, aber auch ein guter Kryptanalytiker sein, um seine entwickelten Verschlüsselungen auf deren Genialität zu überprüfen. Geheimtexte Die Geschichte der systematischen Geheimniskrämerei ist alt. Encryption gibt es schon seit den alten Römern, die über die Caesar-Methode Nachrichten verschlüsselt übermittelten. Dabei ging es um eine simple Substitution, die Ersetzung von Buchstaben. Wenn der Schlüssel die Zwei war, wurden anstelle der Klartextbuchstaben einfach Geheimtextbuchstaben eingesetzt, die sich im Alphabet um zwei Stellen weiter hinten befanden. Aus A wurde um Zwei verschoben C, aus B wurde D und so weiter. Unter heutigen Gesichtspunkten eine ziemlich einfache Verschlüsselung, die jedoch im Ersten Weltkrieg noch Anwendung fand. Im Zweiten Weltkrieg wurde die berühmt-berüchtigte Enigma eingesetzt, eine Rotorenverschlüsselungs- 04 Ausgabe 04/2001 23 maschine, die auch ziemlich bald geknackt wurde, als der Algorithmus durch eine geklaute Enigma bekannt wurde. Schlüsselübergabe Das heißt jedoch nicht, daß ein bekannter Algorithmus Rückschlüsse auf den Klartext zuläßt. Es wird noch ein weiterer Schlüssel benötigt, der auf den Algorithmus angewendet wird. Bei der Caesar-Methode war der Algorithmus eine Substitution, der Schlüssel war die Zwei. Doch wie konnte der Schlüssel “Zwei” zu Caesars Kommunikationspartnern gelangen, wie die Grundstellung der Enigma, die den Schlüssel darstellte, zu den Heerführern kommen, ohne dabei abgefangen zu werden? Selbst bei den heutigen symmetrischen und asymmetrischen Verfahren ist genau diese Frage immer noch von großer Bedeutung, weil die Algorithmen, mathematische Formeln, selbst keine Geheimnisse sind. Der Schlüssel ist das Geheimnis. Knackpunkte In der Kryptanalyse werden vier grundlegende Methoden zum Knakken von Verschlüsselungen unterschieden. Beim Geheimtextangriff müssen Schlüssel und Klartext ausschließlich aus dem Geheimtext gewonnen werden. Damit ist diese Methode die schwierigste. Wenn nämlich die Gesetzmäßigkeiten des Textes nicht ausreichen, um den Geheimtext zu knacken, muß man es durch Probieren aller möglichen Schlüssel versuchen. Dieses Verfahren nennt man Brut-Force-Attack. Beim Klartextangriff ist ein Teil des Klartextes zusätzlich zum Geheimtext bekannt. Damit kann der Rest aus der Gewinnung des Schlüssels dechiffriert werden. Bei einem Angriff mit ausgewähltem Klartext gibt der Angreifer den Klartext vor, um einen Angriff durchzuführen. Beim Angriff mit ad- thema des monats aptiv ausgewähltem Klartext werden Versuche in Abhängigkeit zur schon erfolgten Kryptanalyse durchgeführt. Solcherlei Methoden wurden und werden auf die historischen wie auch auf die modernen Kryptografie-Verfahren angewendet. Die öffentliche Forschung im Bereich Kryptologie begann eigentlich Mitte der 70er Jahre. Chiffrierung Der Kryptologe Shannon hat schon 1949 zwei Grundprinzipien der Verschlüsselung dargelegt: Konfusion und Diffusion. Während Konfusion die Verschleierung des Zusammenhangs zwischen Klar- und Geheimtext ist, verteilt Diffusion die im Klartext enthaltene Information über den Geheimtext. Beide Verfahren werden heutzutage in der EDV benutzt. Da PCs nicht byte- sondern bitweise arbeiten, machte es Sinn, die Algorithmen auf eine Bitverarbeitung umzustellen, denn die bisherigen Verfahren waren bis auf wenige Ausnahmen zeichenorientiert. Die EDV ar- beitet dabei mit Strom- und Blockchiffrierung (vgl. Abb. 1). Stromchiffrierung erzeugt in Abhängigkeit von einem Schlüssel eine wilde Bitfolge, die als Einwegschlüssel (One-Time-Pad) eingesetzt wird. In der Erzeugung der Folge liegt die ganze Sicherheit des Algorithmus. Dieses Verfahren ist bestens für die Verschlüsselung von Nachrichtenkanälen und ganzen Festplatten geeignet, wobei für die Entschlüsselung das gleiche Gerät oder Programm verwendet werden kann. Beispiele sind RC4, A5 und SEAL, auf die wir später näher eingehen werden. Blockchiffrierung Bei der Blockchiffrierung werden Gruppen von Bits zu einer Gruppe zusammengefaßt und gemeinsam verschlüsselt. Bei DES z.B. werden diese Blöcke auf komplizierte Art und Weise verknüpft. Beispiele wie DES, IDEA und RC5 werden wir später besprechen. Die Vorzüge gegenüber Abb. 1: Strom- und Blockchiffrierung der Stromchiffrierung sind, daß Diffusion und Konfusion sich kombinieren lassen, während Stromchiffrierungen meistens nur Konfusionen nutzen. Blockchiffren sind demnach sicherer und oft schneller. Der Klartext kann selbst das Verfahren beeinflussen. Die meisten Blockchiffrierungen sind Produktalgorithmen. Dies sind hintereinander ausgeführte, relativ unsichere und einfache Verschlüsselungsschritte, auch Runden genannt. Im Prinzip gilt, daß die Verfahren um so sicherer werden, je mehr Runden implementiert werden. So bleibt bei DES jede Kryptanalyse nach 8 Runden hängen. Viele der heutigen Produktalgorithmen sind sogenannte Feistel-Netzwerke, deren Beschreibung von Horst Feistel Anfang der 70er veröffentlicht wurde (vgl Abb. 2). Beispiele für Feistel-Netzwerke sind DES, FEAL und Blowfish. Jeder Block wird dabei in zwei gleich große Teile aufgesplittet und Ri wird der Verschlüsselungsfunktion f unterworfen (siehe Abb. 2: Feistel-Netzwerk). Symmetrische Algorithmen Wir unterscheiden generell zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren. Bei den symmetrischen Verfahren dechiffriert der Empfänger eine Nachricht mit demselben Schlüssel, mit dem sie der Absender chiffriert hat. Dem gegenüber werden bei asymmetrischer Verschlüsselung zwei Schlüssel verwendet. Die Begriffe Symmetrie und Asymmetrie beziehen sich also auf den Schlüssel und nicht auf die Verfahren. Zu den symmetrischen Algorithmen zählen neben allen DES-Varianten u.a IDEA und RC4, SEAL und das frei verfügbare Blowfish. FEAL werden wir hier nicht näher betrachten, da die Algorithmen dieses Feistel-Netzwerks von Kryptan- 04 Ausgabe 04/2001 24 alytikern schneller geknackt wurden als irgend ein anderer Algorithmus zuvor. Wenden wir uns zunächst den bekannten DES-Verfahren zu. Data Encryption Standard DES, der Data Encryption Standard, entstand 1974 aufgrund einer öffentlichen Ausschreibung des National Institute of Standards and Technology (NIST) zum Entwurf eines einheitlichen, sicheren Verschlüsselungsalgorithmus. Ein Lösungsvorschlag wurde von einem IBM-Team um Horst Feistel und Don Coppersmith eingereicht. Die Sachkenntnis der NIST reichte damals nicht aus, die Sicherheit des Algorithmus zu beurteilen, daher bat NIST die National Security Agency (NSA) um Mithilfe. Wer steht hinter DES ? Die komplette Entwicklung ist bis heute mysteriös, da laut Coppersmith der Quellcode einiger sogenannter SBoxen, das sind die für die Sicherheit maßgeblichen Ersetzungstabellen, verändert von der NSA wiederkam, und die Schlüssellänge von 128 Bit auf 56 Bit verändert worden sei. Dem steht die Behauptung der IBM-Entwickler Tuchman und Meyer entgegen, daß die NSA kein einziges Bit Abb. 2: Feistel-Netzwerk verändert habe. Dennoch wurde DES 1976 zum Standard erhoben, gedacht als ein Verfahren für “normale” Geheimhaltung. DES kam als ein Produktalgorithmus, der ein FeistelNetzwerk verwendet, mit einem 56 Bit langen Schlüssel. Dabei überführt DES blockweise 64 Bit Klartext in 64 Bit Geheimtext und umgekehrt, in 16 schlüsselabhängigen Runden, wobei vor der ersten und nach der letzten Runde eine feste bitweise Transposition (d.h. Permutation) durchgeführt wird. Angriffe gegen DES Der aussichtsreichste Angriff gegen DES ist ein Brute-Force Angriff, d.h. ausprobieren aller 256 möglichen Schlüssel, das sind zwar immerhin 72 Billiarden an der Zahl, doch wäre das mit der heutigen Rechnertechnologie bereits in weniger als einer halben Stunde möglich. Dabei hätte der Rechner Entwicklungskosten im Wert von ca. einer Million Dollar. 40 Bit DES Schlüssel sind dagegen in wenigen Millisekunden mit wesentlich billigerer Hardware zu knacken. Weitere Angriffe könnten über eine differentielle oder lineare Kryptanalyse erfolgen, die wesentlich schneller als eine Brute-Force Attacke zum Ziel führen. Wegen ihrer mathematischen Komplexität wollen wir hier aber nicht genauer auf diese Verfahren eingehen, es reicht uns festzuhalten, daß die vorhandene Schlüssellänge von DES mit 56 Bit nicht ausreicht, um eine verschärfte Sicherheit zu generieren. Schauen wir uns daher lieber einige DES-Modifikationen genauer an. Triple-DES und DESX Als erweitertes DES-Verfahren wurde 1979 Triple-DES von dem DESEntwickler Tuchman vorgeschlagen. Gegeben sind zwei DES-Schlüssel K und K’, wobei der Klartextblock mit K verschlüsselt, mit K’ wieder ent- 04 Ausgabe 04/2001 25 schlüsselt und letztlich wieder mit K verschlüsselt wird. Dabei ist natürlich K ungleich K’, ansonsten würde die Chiffrierung nicht mehr bringen als die von DES. Die Länge aller Einzelschlüssel (K und K‘) beträgt immer noch 56 Bit, die Gesamtlänge 168 Bit. Eine weitere Methode, die für den zu kurzen Schlüssel von DES interessant ist, nennt sich Whitening. Sie läßt sich auch auf fast jeden anderen Blockalgorithmus anwenden. Zusätzlich zum 56-Bit DES-Schlüssel Kd verwendet man dabei zwei weitere 64Bit-Schlüssel Kp und Kc. Neben der DES Chiffrierung werden der Klartextblock vor der Chiffrierung und der Geheimtextblock nach der Chiffrierung mit weiteren Schlüsseln per XOR verknüpft. Die Idee stammt von Ron Rivest. Ein DESX genannter Algorithmus berechnet Kc als Einweg-Hashfunktion von Kd und Kp. Die effektive Schlüssellänge von DESX beträgt 120 Bit. IDEA Ein Verfahren, welches nicht auf DES aufbaut, sondern seinen eigenen Algorithmus mitbringt, ist IDEA. 1992 aus einem Gemeinschaftsprojekt der ETH Zürich und der Ascom Systec AG entstanden, arbeitet auch IDEA mit 64 Bit Blöcken und benutzt einen 128-Bit Schlüssel, aus dem 52 Teilschlüssel zu jeweils 16 Bit erzeugt werden. Dabei werden zuerst 8 Teilschlüssel a 16 Bit generiert, der 128Bit Schlüssel wird dann um 25 Bit nach links rotiert und nochmals in 8 Teilschlüssel zerlegt. Insgesamt werden in dem Produktalgorithmus 8 Runden durchlaufen, jedoch sind dies keine Feistel-Runden. In jeder Runde werden sechs Teilschlüssel verwendet und die Blöcke in vier Teilblöcke zu je 16 Bit gespalten und mit drei verschiedenen Operationen verknüpft. Zum Schluß werden die vier Teilblöcke mit den restlichen 4 Teilschlüsseln zu einer Ausgabetransformation verknüpft und zu ei- thema des monats nem 64-Bit-Geheimtextblock zusammengesetzt (vgl. Abb. 3). Im Vergleich zu DES steht IDEA aus Sicht des Anwenders gut da. Es verwendet längere Schlüssel als DES und ist trotzdem deutlich schneller, denn DES ist ein Hardwarestandard, IDEA ist auf Software optimiert. IDEA ist patentiert, seine Verwendung außer im rein privaten Bereich kostet Lizenzgebühren, die Gebühren sind aber sehr niedrig. Info zu IDEA erhalten Sie bei der schweizer Firma Ascom Tech unter www.ascom.ch. Widerstandsfähig IDEA kann nicht wie DES für sich beanspruchen, der mit Abstand am besten analysierte Verschlüsselungsalgorithmus in der öffentlich zugänglichen Literatur zu sein. Aber IDEA hat durchaus auch eine längere Liste von Artikeln über gescheiterte Angriffe vorzuweisen. Bis heute hat IDEA kryptanalytischen Angriffen wesentlich besser standgehalten als andere Verfahren. Die Kryptologen Abb. 3: IDEA Biham und Shamir untersuchten IDEA erfolglos auf Schwachstellen. IDEA widerstand ihrem sehr erfolgreichen, differentiellen kryptanalytischen Angriff wesentlich besser als DES. Auch akademische Arbeitsgruppen von Kryptanalytikern aus Belgien, England und Deutschland suchten Angriffsmöglichkeiten bei IDEA, ebenso militärische Geheimdienste mehrerer europäischer Länder. Letztere veröffentlichen zwar ihre Ergebnisse normalerweise nicht, doch je mehr und je länger dieser Algorithmus Angriffsversuche aus den gefürchtetsten Arbeitsgruppen der kryptanalytischen Welt auf sich zieht, desto mehr steigt das Vertrauen in ihn. Dem ist jedoch nicht so, da die Rundenfunktion zusätzlich noch von Li abhängt und Li nicht mit dem Ergebnis der Rundenfunktion per XOR verknüpft wird. Abb. 4: RC5 von Ron Rivest RC4, 5 und 6 SEAL und Blowfish RC4 wurde 1987 von Ron Rivest entwickelt. Das Stromchiffrierungsverfahren ist um Welten schneller als RC5 und RC6. In Abhängigkeit von einem Schlüssel variabler Länge wird eine Bytefolge erzeugt, die man als One-Time-Pad nutzt, ein individueller Schlüssel also. Damit ergibt sich der Geheimtext aus einer einfachen byteweisen XOR-Verknüpfung der Schlüsselbytefolge mit dem Klartext. Die Dechiffrierung arbeitet mit der Umkehrung dieser Funktion. Auch RC5 wurde 1994 von Ron Rivest vorgestellt. Es sollte sich für Softund Hardware eignen, schnell sein, indem es 32-Bit breite Blöcke, angepaßt auf 32-Bit-Prozessoren, verarbeitet, und dennoch einfach und variabel sein, ohne Festlegung der Wortund Blocklänge oder der Schlüssellänge und Rundenzahl. RC5 sollte wenig Speicher benötigen wegen einer möglichen Integration auf Chipkarten. Die Weiterentwicklung von RC5 sind RC5a und RC6, wohl eines mit der neuesten Verfahren auf dem Bereich der symmetrischen Verschlüsselung. Wenn man sich den grafischen Algorithmus näher betrachtet (vgl. Abb. 4) könnte man meinen, es handle sich um ein Feistel-Netzwerk. 1994 wurde DEAL von Rogaway und Coppersmith vorgestellt, einer der schnellsten Algorithmen in der Softwarechiffrierung, der noch als sicher eingestuft werden kann. Es ist ein Stromchiffrierungsverfahren, welches aus einem 160-Bit Schlüssel K und für eine beliebig vorgegebene Zahl L eine Folge K(n) pseudo-zufälliger Zeichenketten der Länge L erzeugt. SEAL ist sehr gut für die Verschlüsselung ganzer Festplatten oder auch von einzelnen verstreuten Datenbankeinträgen geeignet. Da der komplette Algorithmus aber sehr komplex ist, verzichten wir auf Details. Blowfish wurde 1994 von Bruce Schneier vorgestellt, und ist im Gegensatz zu SEAL frei verfügbar. Blowfish ist ein Feistel-Netzwerk mit 64-Bit Blöcken, 16 Runden und variabler Schlüssellänge und kann sehr effektiv auf großen Mikroprozessoren programmiert werden. Asymmetrische Verfahren Symmetrie bzw. Asymmetrie - wir sagten es bereits - bezieht sich auf Schlüssel und nicht auf die 04 Ausgabe 04/2001 26 Verschlüsselungsverfahren. Während bei den symmetrischen Verfahren die Absender und Empfänger Nachrichten mit demselben Schlüssel chiffrieren und dechiffrieren, werden bei asymmetrischer Verschlüsselung nach dem Public Key Verfahren immer zwei Schlüssel verwendet. schlüsselte Nachricht mit dem privaten Schlüssel des Besitzers entschlüsselt werden kann. Das entspricht jedoch so nicht ganz der Praxis. Hybrides Verfahren Eigentlich wird für jede Übertragung einer verschlüsselten Nachricht ein sogenannter Sitzungsschlüssel erSchlüsselübergabe zeugt. Mit ihm wird die Nachricht Bei asymmetrischer Verschlüsselung chiffriert und er selbst wird von dem heißt der eine Schlüssel Private Key, öffentlichen Schlüssel verschlüsselt. dazu gehört der Dechiffrieralgo- Wie kommt es nun zu diesem Schlüsrithmus, der zweite Schlüssel heißt selaustausch? Nun, wir besorgen uns Public Key, sein zugehöriger Algo- den öffentlichen Schlüssel des Emprithmus ist der Chiffrieralgorithmus. fängers, erzeugen einen zufälligen Bedeutsam ist, daß man zu keiner Zeit Sitzungsschlüssel, mit dem wir nach den privaten Schlüssel aus dem öf- einem symmetrischen Verfahren die fentlichen Schlüssel ableiten kann. Nachricht und mit einem asymmetriDamit eine verschlüsselte Kommuni- schen Verfahren den Sitzungsschlüskation zwischen beliebigen Kom- sel chiffrieren. Beide Chiffrate senmunikationspartnern erfolgen kann, den wir an den Empfänger, der als muß der öffentliche Schlüssel an die einziger den Sitzungsschlüssel ermitbekannten Partner herausgegeben teln kann, weil er als einziger den werden. Diese chiffrieren die Nach- privaten Schlüssel kennt. Nun kann er richt mit dem Public Key. Der zuge- die Nachricht mit dem Sitzungshörige Private Key darf seinen Besit- schlüssel und dem symmetrischen zer niemals verlassen, weil nur er es Verfahren entziffern. Da bei einem ermöglicht, daß die von dem Partner solchen Algorithmus zwei Verfahren mit dem öffentlichen Schlüssel ver- angewandt werden, ein symmetrisches und ein asymmetrisches, spricht man hier auch von Abb. 5: Hybrides Verfahren zur chiffrierten Nachrichtenübermittlung einem hybriden Verfahren. Es ist in Abbildung 5 dargestellt. Alice, Bob und Mallory In der Kryptologie werden die Kommunikationspartner üblicherweise mit Alice und Bob bezeichnet. Es gibt auch einen bösen Angreifer namens Mallory. Er ist der berühmt-berüchtigte Man-in-the-Middle. Die Schicksalsfrage im kryptolologischen Drama lautet, was geschieht, wenn der böse Mallory einen von 04 Ausgabe 04/2001 27 Bob verschickten Public Key abfängt und seinen eigenen öffentlichen Schlüssel an Alice schickt? Denn dann könnte Mallory jede Nachricht von Alice an Bob dechiffrieren und lesen, den Sitzungsschlüssel mit Bobs Public Key neu chiffrieren und an Bob schicken. Dieser Angriff nennt sich Man-in-the-Middle-Attack. Doch wie in jedem spannenden Theater gibt es auch für dieses Szenario eine Lösung, das Interlock-Protokoll. Interlock-Protokoll Erfunden wurde das Interlock-Protokoll 1984 von Rivest und Shamir. Um den Ablauf zu erklären, bitten wir Alice und Bob auf die Bühne. Sie senden sich ihre öffentlichen Schlüssel zu. Der böse Mallory will den von Bob verschickten Public Key abfangen und seinen eigenen öffentlichen Schlüssel an Alice schicken. Aber Alice, angeblich langjährige Technik News Leserin, ist gewarnt, chiffriert eine individuelle, aber nicht vertrauliche Nachricht mit dem erhaltenen öffentlichen Schlüssel, und schickt davon aber nur einen nicht dechiffrierbaren Teil an Bob. Bob, der von Alice langjähriger Lektüre profitiert hat, verfährt nach Erhalt der ersten Hälfte genau so. Daraufhin sendet Alice den zweiten Teil ihrer Nachricht. Bob setzt beide Teile zusammen und dechiffriert sie mit seinem privaten Key. Ist alles OK, sendet auch Bob den zweiten Teil an Alice, die gleichermaßen vorgeht. Der böse Mallory könnte zwar beide Hälften sammeln und wie bisher verfahren, jedoch können beide Seiten einen Betrug aufdecken, indem sie abwechselnd nicht dechiffrierbare Teile senden und diese dann abwechselnd ergänzen. Außerdem ist es nach den genannten Voraussetzungen nicht möglich, daß der treue Bob andere Nachrichten als die von Alice annimmt, wie es z.B. durch das Verwenden von digitalen Signaturen erreicht wird. thema des monats RSA ElGamal Das wohl bekannteste asymmetrische Verfahren, welches sowohl Verschlüsselung als auch digitale Signaturen beherrscht ist RSA. Das Akronym steht für die Initialen seiner Erfinder Rivest, Shamir und Adleman, die diesen Algorithmus schon 1978 veröffentlichten. RSA dient der Signierung und der Verschlüsselung von Informationen, mit Schlüssellängen sind 512, 768 oder auch 1024 Bit. RSA wird z.B. zur Anmeldung unter NetWare verwendet. Patentiert wurde dieses Verfahren in den USA im Jahre 1983. Sie konnten letztes Jahr in einschlägigen Fachzeitschriften mitverfolgen, daß dieses Patent am 21.09.2000 auslief. Wir wollen uns kurz mit diesem De-Facto-Standard beschäftigen und versuchen, nicht allzu viele Formeln einfließen zu lassen. Aufgrund seiner komplexen Vorgehensweise, die hier wirklich nur stark vereinfacht dargelegt ist, versteht sich von selbst, daß RSA nicht der schnellste Algorithmus ist, aber ein sicherer. Der Vollständigkeit halber sei noch das Verfahren nach ElGamal erwähnt, eine Modifikation des ersten asymmetrischen Verfahrens, das 1976 von Diffie und Hellman veröffentlicht wurde, mit einigen wirklich kryptisch anmutenden Modifikationen. Das Verfahren nach Diffie-Hellman eignete sich ausschließlich dazu, über einen öffentlichen, bidirektionalen Kommunikationsweg - beispielsweise über eine Internet- oder Telefonverbindung - einen geheimen Schlüssel zu vereinbaren, und ist für E-Mail nicht geeignet. Das ElGamal Verfahren war nicht patentiert. Eine Firma namens PKP war der Ansicht, es falle unter das Patent für Diffie-Hellman, auf das sie die Verwertungsrechte hatte. Da jenes Patent aber 1997 ausgelaufen war, ist die Frage inzwischen kaum noch von Interesse. Die Verwandtschaft führt aber immerhin dazu, daß ElGamal-Schlüssel in Pretty Good Privacy (PGP) 5.x/6.x fälschlicherweise Diffie-Hellman-Schlüssel (DH) genannt werden. Bei PGP -auch das Web of Trust genannt - vertrauen Schlüsselerzeugung sich Personen, die in keiner Certificate Authority zu finden sind. Auf PGP werden wir ausführlicher im nächsten Praxisartikel zu sprechen kommen. ElGamal jedenfalls kann für Verschlüsselung und für digitale Unterschriften eingesetzt werden. PGP 5.x/ 6.x erlaubt nur den Einsatz für Verschlüsselung. Kryptologische Protokolle Kryptologische Protokolle dienen dazu, Alltagsvorgänge wie das Leisten von Unterschriften oder von rechtsverbindlichen Erklärungen, das Ausweisen und Wählen oder die Bargeldzahlung in der digitalen Welt nachzubilden. Wir werden uns deshalb einige dieser Protokolle, die auch von Netzwerkbetriebssystemen wie Novell und Microsoft genutzt werden, anschauen. Beginnen wir mit den meist verbreiteten Protokollen, die zur Schlüsselübermittlung dienen. Der Algorithmus wählt für Alice und Bob zwei große Primzahlen p und q, die z.B. 1024 Bit lang sind. Daraus bildet er n=pxq, wobei n N Bit lang sei, wählt ein e>1, das zu (p-1)(q-1) teilerfremd ist und berechnet ein d mit dxe=1 mod (p-1)(q-1). N und e bilden den öffentliche Schlüssel, d den privaten. Zur Chiffrierung zerlegt er den Klartext in Blöcke zu je N-1 Bit und berechnet zu jedem Block mit dem Wert m<n den Rest c von me bei Teilung durch n. C ist der Geheimtextblock und N Bit lang. Zur Dechiffrierung zerlegt der Algorithmus den Geheimtextblock in N-Bit-Blöcke, zu jedem Block mit Wert c<n ist der Rest von cd bei Teilung durch n der zugehörige Klartext. Alles klar? Nun ja, auch Alice und Bob hatten Schwierigkeiten, aber der böse Mallory blickt´s nun auch nicht mehr. 04 Ausgabe 04/2001 28 Tabelle1 MD2 von Ron Rivest entwickelt und 1992 in der RFC 1319 veröffentlicht Message Digest 2 berechnet einen 128 Bit langen Hashwert und wurde für 8 Bitmaschinen entwickelt. Von der Verwendung wird abgeraten, da 1995 ein erfolgreicher kryptanalytischer Angriff stattfand. MD4 1990 von Ron Rivest entworfen Message Digest 4 erzeugt einen 128 Bit langen Hashwert. Wurde ebenfalls erfolgreich angegriffen, so daß von der Implementierung abgeraten wird. MD5 1991 von Ron Rivest entwickelt Message Digest 5 sollte die Schwächen von MD4 beseitigen und berechnet ebenfalls eine 128 Bit Hashsumme. MD5 wird vom BSI empfohlen. SHA 1994 von der NIST unter Mitwirkung der NSA veröffentlicht Secure Hash Algorithm erzeugt 160 Bit lange Hashwerte, ist jedoch in seiner Entwicklungsphase ähnlich mysteriös, wie seiner Zeit DES. Er ist Bestandteil des Digital Signature Algoritms (DAS), der wiederum zum DSS (Digital Signature Standard) gehört. SHA wird ebenfalls vom BSI empfohlen. RIPE-MD160 Bestandteil eines europäischen Projekts RIPE-Message Digest 160 basiert ebenfalls auf MD4, erzeugt einen 160 Bit Hashwert und gilt neben SHA als einer der Algorithmen, gegen den noch kein Angriff bekannt ist. Tab. 1: Einweg-Hashfunktionen im Überblick Diffie-Hellmann Einweg-Hashfunktion Das erste asymmetrische Verfahren war das nach Diffie-Hellmann, welches eben nicht zur Chiffrierung selbst, sondern zur Übertragung von Sitzungsschlüsseln diente. Alice und Bob wählen eine Primzahl p, die ihnen gemeinsam ist und bezüglich p eine primitive Zahl g. Beide Zahlen sind nicht geheim. Alice wählt eine große geheime Zahl x<p und sendet Bob den Rest X aus der Gleichung X=gx mod p. Zugleich wählt Bob eine große geheime Zahl y<p und sendet Alice den Rest Y aus der Gleichung Y=gy mod p. Alice berechnet den Rest s = Yx mod p, Bob den Rest s’ = Xy mod p. Beide Reste s und s’ sind gleich, denn es gilt: s = s’ = gXY mod p. Dieser Wert s dient beiden als Sitzungsschlüssel. Digitale Unterschriften oder Signaturen sind seit dem elektronischen Zeitalter nicht mehr wegzudenken. Um auf deren Funktion eingehen zu können, müssen wir uns zuerst um die Einweg-Hashfunktion kümmern. Sie besitzt folgende Eigenschaften: Aus einer umfangreichen Information wird eine komprimierte Info berechnet. Im Prinzip handelt es sich dabei um eine Art Quersumme, die Hashwert oder auch Hashsumme genannt wird. Für verschiedene Informationen sollen sich die Werte der Hashfunktion mit ausreichend großer Wahrscheinlichkeit unterscheiden. Bei einem gegebenen Hashwert soll es nicht möglich sein, eine Bytefolge zu konstruieren, die diese Hashsumme ergibt, während es bei gegebener 04 Ausgabe 04/2001 29 Bytefolge ebenso unmöglich sein soll, eine zweite Bytefolge mit der gleichen Hashsumme zu finden. Ein solches Paar mit gleichem Hashwert nennt sich Kollision. Einweg-Hashfunktionen, die manchmal auch Message Digest (MD) genannt werden (vgl. Tab.1), verwenden keine geheimen Schlüssel. Ganz im Gegenteil, sie sollen für jeden berechenbar sein. Digitale Signaturen Kommen wir zu den digitalen Unterschriften. Was müssen diese erfüllen? Im Prinzip das gleiche wie eine eigenhändige Unterschrift: sie soll nicht gefälscht werden können und willentlich unter ein Dokument gesetzt werden, ohne auf eine anderes Dokument übertragen werden zu kön- thema des monats Hashfunktionen angewandt und arbeiten nach folgendem Prinzip. Ein Rechner erzeugt einen zufälligen Schlüssel S0. Mittels einer Einweg-Hashfunktion H verschlüsselt er diese Zahl immer wieder und erhält so z.B. 100 Zahlen Si: S1 = H(S0) S2 = H(S1) S3 = H(S2) S100 = H(S99) Die Zahlen S0, …, S99 schickt er Bob und löscht sie anschließend. Er selbst speichert nur S100. Wenn sich Abb. 6: Asymmetrischen Kryptografie und Bob als Kunde bei diesem Einweg-Hashfunktion Rechner ausweisen will, sendet er ihm S99. Der Rechnen. Nachträgliche Änderungen im ner überprüft, ob H(S99)=S100 ist. Wenn Dokument sollen nicht möglich ja, ist Bob als Kunde authentifiziert, (Integrity) sein, so daß sie später nicht wenn nicht, lehnt er ihn ab. Der Rechmehr geleugnet werden können(Nonner ersetzt nun S100 durch den erhalterepudiation). Damit diese Kriterien nen Wert S99 und Bob streicht S99 aus erfüllt werden, bedient man sich der seiner Liste. Alle weiteren asymmetrischen Kryptografie und der Authentifizierungen laufen genauso Einweg-Hashfunktion. Die Abbilab. Bob sendet das noch nicht gestridung 6 soll das Verfahren veranschauchene Paßwort mit dem jeweils größlichen. Bitte beachten Sie, daß es sich ten Index. Der Rechner bildet den hier kryptografisch auf Alice‘s Seite Hashwert des Kundenpaßwortes und wirklich um eine Entschlüsselung hanvergleicht ihn mit dem gespeicherten delt und auf Bob‘s Seite um eine VerWert. Nachdem alle 100 Paßwörter schlüsselung. verbraucht sind, werden neue erzeugt und Bob zugeschickt. Einmal-Paßwörter TAN Schauen wir uns zum Abschluß noch die Einmal-Paßwörter an. Sie werden in Verbindung mit Einweg- Auf ähnliche Art und Weise funktioniert das Home- oder InternetBanking. Alice füllt ein elektronisches Überweisungsformular aus und sendet es zusammen mit ihrem EinmalPaßwort, der Transaktionsnummer TAN, an die Bank. Die Bank prüft es, nimmt bei Gültigkeit die Überweisung entgegen und speichert das Paßwort ab. Alice erhält von der Bank eine Meldung, daß die Überweisung entgegengenommen wurde, und wird daraufhin die benutzte TAN aus ihrer Liste streichen. Die Reihenfolge der Paßwörter ist hierbei nicht von Bedeutung. Fazit Auch wenn einige der hier beschriebenen Algorithmen nicht mehr als sicher eingestuft werden, sollten wir uns trotzdem vor Augen führen, daß eine Kompromittierung nicht jedermanns Sache ist. Es stellt sich immer die Frage, was einem die geheimen Daten des Konkurrenten wert sind, um daraufhin sogenannte Kryptanalytiker mit einer Kryptanalyse zu beauftragen. Die erfolgreichen Angriffe zum Ausspähen von Daten beziehen sich außerdem fast immer auf Sicherheitslücken im Betriebssystem und nicht auf das Knacken von Algorithmen. Deshalb werden wir uns die Verwendung einiger der hier vorgestellten Verschlüsselungspraktiken in den folgenden Praxisartikeln näher anschauen. Sie werden erstaunt sein, welche Sicherheit Windows 2000 mit sich bringt. In der Mai-Ausgabe werden wir unser Thema mit der Public Key Infrastructure (PKI) und dem W2K Certificate-Server fortsetzen. Kleine Novell Server Tips ASUS P2B Mainboard Wenn Sie sich nicht erklären können, warum bei Ihnen immer wieder Sprünge in die Jahre 2018, 2037 oder anderen Daten weit in der Zukunft auftreten, prüfen Sie, ob Sie nicht ein ASUS P2B Mainboard mit BIOS Rev. 1008 oder 1009 in Ihrem NetWare Server einsetzen. Aktuelle BIOS Versionen Rev. 1011 bzw. 1012, die Sie von ASUS beziehen können, weisen diesen Fehler nicht mehr auf. 04 Ausgabe 04/2001 30 h HOTLINE Stand: 12. März 2001 Technik-News Patch-CD April 2001 Empfohlene Novell-Patches NetWare NW v5.1 4PENT.exe COMX218.exe DLTTAPE.exe DS7E.exf DSBROWSE.exe FP3023A.exe FP3023S.exe IDEATA5A.exe INSTP5X.exe MBCMNUP1.exe NAT10.exe NDP2XP5.exe NDPSFT1A.exe NESN51B.exe NIPT1.exe NJCL5A.exe NLSSLP5A.exe NWOVLY1.exe NW51INST.exe NW51SP2A.exe NW51UPD1.exe NW5NWIP.exe NWFTPD1.exe OS5PT2A.exe PKISNMAS.exe PREDS8A.exe PREEDIRD.exe NW v5.0 C112BRJ.exe C112CRJ.exe CERTSRV.exe COMX218.exe DLTTAPE.exe DS7E.exe DS7E.exf DS8E.exe DSBROWSE.exe FP3023A.exe FP3023S.exe I20DRV5.exe IDEATA5A.exe MBCMNUP1.exe NAT10.exe NDP2XP5.exe NDPS20P1.exe NDPSFT1A.exe NJCL5A.exe NLSSLP5A.exe NSSNW5A.exe NW5MCALC.exe NW5NWIP.exe NW5PSERV.exe NW5SP6A.exe NW5TCP.exe NWSSO.exe ODSB.exe OS5PT2A.exe PREDS8A.exe PREEDIRD.exe TIMESYNC.exe VRPNW5A.exe NW v4.2 DS411T.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NLSLSP5A.exe NW4SP9.exe OS4PT1.exe TSANDS.exe NW v4.11 ATMDRV04.exf DS411Texe HSTDEV.exe I2ODRV4.exe IPGSN10A.exe IPX660.exe LONGNAM.exe NWPAUP1A.exe LANDRV.exe LDAP103A.exe MIXMOD6.exf NAT10.exe NDPS10P2.exe NLSLSP5A.exe NW4SP9.exe NWTAPE1.exe ODI33G.exe ODIWAN1.exe OS4PT1.exe RAD102.exe RADATR.exe SCMDA.exe SPXS03A.exe STRTL8.exe TSANDS.exe VRP411a.exe Tools/Docs ADMN519F.exe CFGRD6B.exe CONFG9.exe COPYNLM3.exe CRON5.exe DSDIAG1.exe ETBOX4.exe HIGHUTIL1.exe LOADDLL1.exe NCCUTIL5.exe NLSDLL.exe ONSITB8.exe SCHCMP2.exe STUFKEY5.exe TABND2.exe TBACK3.exe TBOX7.exe TCOPY2.exe TRPMON.exe UPGRDWZD.exe ZFSDBPB.exe DHCP SER. 2.0 CSATPXY2.exe DHCP21R.exe NW/IP2.2 NIP199.exe NLSP-NW 3.12 IPX660.exe NLSP-NW 4.10 IPX660.exe NFS 2.3 NFS205.exe UXP205.exe TCP/IP TCPN06.exe ZEN for Networks ZFN101.exe ZEN for Desktops v3.0 ZFD3SITE.exe ZFD3SP1.exe ZISCLR.exe ZEN v2.0 for Server ZFS2SP1.exe ZENworks v2.0 ZFD2PT3B.exe ZFD2SP1.exe ZSPDEU.exe WIN NT dt. WNT48G.exe WIN NT eng. WNT478E.exe WIN95/98 dt. W9533G.exe WIN 95/98 eng. W9X33E.exe GroupWise 5.5 EXCHNT2.exe G554MLT.exe GW55SP4.exe MSMPCU.exe R553AMLT.exe WINNTWMS.exe CCMLN2.exe G55ESP2M.exe GWE2MLFX.exe Bordermanager 3.5 BM35ADM4.exe BM35C11.exe BM35EP1.exe BM35EP1A.exe BM35SP2.exe BM3CP3.exe BM3SS02.exe BM3VPE08.exe BMAS3505.exe BMSAMP1.exe BMTCPE4.exe PXYAUTH.exe RADATR3A.exe WEBLSP1.exe Cluster Services CVSBIND.exe NWCSSP1.exe NWCSUPD1.exe Lanalyzer 2.2 LZFW01C.exe SBACKUP SBACK6.exe NDS for NT v2.01 DUPRID.exe NDS4NTP1.exe NDS4NTU2.exe NetWare Utilities Server Protocol Updates 5.X/4.x Utils 41DSVU2.exe C1_FULL.exe NLSTY2K.exe NTPRINT.exe NW Mac 3.12 ATK307.exe ATOK31.exf Client Kits & Updates DOS/WIN32 ADM32.exe DW271DE.exe TCP32K.exe Mac IPX CLT511.bin MCLUBD3.bin Miscellaneous Updates ManageWise v2.5/2.6 MW26SP3.exe MW26TRD1.exe MWINOC1K.exe MWINOC2Kexe MWNXP26.exe ManageWise v2.7 MW27SP1.exe NW SAA 3.0 LANCHK.exe SAA30020.exe NW SAA 4.0 NW4SAA.exe SAA40020.exe SAA4PT1.exe NW Mac 4.10 MACPT3C.exe NWMAC.exe MPR 3.1 MPR31B.exf ZENworks Clients Empfohlene Microsoft-Patches Windows 95 D35907.exe ID4SETUP.exe MSDUNBD.exe W95SP1_G.zip W95Y2KD.exe Windows 98 O98SECU.exe Y2KW982G.exe Windows NT 4.0 ID4SETUP.exe SP6I386G.exe Windows 2000 Exchange 5.0 ENPACK_WIN2000ADMIN_GER.exe SP1_500I.exe OUT2KSEC.exe SP1S500I.exe SP1NETWORKD.exe Exchange 5.5 SP4_550G.exe Windows NT 4.0 IE4USP.exe IESETUP.exe MPRI386.exe PPTPFIXI.exe RRASFIXI.exe SP6I386.exf Windows 2000 ENPACK_WIN2000ADMIN_EN.exe SP1NETWORKE.exe Exchange 5.5 SP4_550E.exe Exchange 2000 Q278523ENGI.exe Englische Updates Windows 95 IE4SETUP.exe IE4USP.exe MSDUN13D.exe W95PLUSD.exe W95SP1.exe W95Y2K.exe Windows 98 Y2KW98_2.exe IE 5.01 Q268465.exe 04 Ausgabe 04/2001 31 Exchange 5.0 SP2_500I.exe SP2S500I.exe HOTLINE Deutsche Updates Patches h HOTLINE Empfohlene BinTec Updates und Patches Bintec Router Software Bingo! Brick XS/Office Brick XM Brick XL/XL2 BGO521.bg BRK512.xs BRK511.xm BRK521.xl BRK521xs2 BRK521.xm2 Vicas! Bingo! Plus/Professional BRK511P7.XS2 Brick X.21 VIC494.vc BGO494.bgp Brick XMP BRK495.x21 Netracer BRK521.XP X4000 NR494P1.zip B5106P10.x4a X1000/x1200 BrickWare u. Configuration Wizard XCentric BW521.exe XC514P4.xcm B5301.x1x NLMDISK.zip Empfohlene Tobit Updates und Patches Tobit Produkte für Novell TimeLAN Novell DAVID 6.0 für Novell REPORTER.exe TIMELAN.exe D6SP1NM.exe DIGITLD.zip DAVID 6.5 für Novell D65SP1NW.exe Faxware 5.11 für Netware SB 4.2 DVVSCAN9.exe DV4EXSP2.exe D66NW.exe DAVID4.nlm IHS_NT.exe MCSCANNW.zip DVVSCAN9.exe Faxware 5.11 für Netware SB 5.0 KEDV326.exe PLMSYN10.exe PM_NW.zip DAVID5.nlm Tobit Produkte für Microsoft Tobit ServTime Win 98 DAVID 60 für NT DAVID 6.5 für NTl Tools SETUPW98.exe D6SP1NT.exe D65SP1NT.exe DCNSETUP.exe DVC3PD.dll D66NT.exe DVEXTINF.exe DVVSCAN9.exe DV4EXSP2.exe DVZMSD.exe IHS_NT.exe DVVSCAN9.exe KLICKTEL.zip KEDV326.exe MAPI32.dll SENDMAIL.exe Tobit TimeLAN für NT SETUPNT.exe Tobit ServTime für NT PLMSYN10.exe SERVTIME.exe Inventarliste Der Bestand und Umfang der Patches auf der Technik News CD verändert sich monatlich. Sobald uns neue Files vorliegen, nehmen wir sie mit auf. Ältere Patches oder solche, die durch neue ersetzt wurden, werden zugunsten neuer Dateien entfernt. rot grün blau gelb pink seit unserer letzten Veröffentlichung neu hinzugekommen nur noch auf der Technik News Service-CD aus Platzgründen nicht mehr auf der CD auf der letzten Service CD auf der beiliegenden Novell Sonder-CD HOTLINE Kleine Novell Server Tips Start der SERVER.EXE Mit Parametern für die SERVER.EXE kann man den Start des Novell Servers verändern. -S [pfad][datei] übergeht die Startup.ncf und verwendet die in [datei] angegebene Startdatei. -NA übergeht nur die Autoexec.ncf, während-NS nur dieStartup.ncf außen vorläßt. Wenn es allerdings aufC: keineAUTOEXEC.NCF gibt, wird die Standarddatei auf SYS:SYSTEM auch nicht ausgeführt. Der Parameter -NDB läßt bei NetWare 4.x und 5.x Servern beim Start die NDS ungeöffnet, wodurch sie bei Fehlern eher mit DSREPAIR repariert werden kann. C [cache-buffer] erlaubt Cache Puffergrößen von 4, 8 oder 16 KB. Doch wenn der Server mit Blocks von 2 KB läuft, kann man keine 4 KB Cacheblöcke angeben, da das Device dann nicht gemounted wird. Patches 04 Ausgabe 04/2001 32 Empfohlenen Computer Associates Updates und Patches Name Edition Datum Beschreibung Voraussetzung EE = Enterprise Edition AE = Advanced Edition WG = Workgroup Edition ASO = Advanced Storage Option W2K = Windows 2000 Edition ELO = Enterprise Library Option VLO = Virtual Library Option NLO = Network Library Option ARCserve 2000 * *(engl. wenn nicht anders deklariert) Basis Produkt Updates LO89280.CAZ LO89076.CAZ LO88296CAZ LO88295.CAZ LO88302.CAZ LO85115.EXE LO82875.EXE LO80400.ZIP LO78606.CAZ AE/WG AE/WG AE/WG AE/WG AE/WG AE/WG AE/WG AE/WG AE/WG 02.03.01 26.02.01 13.02.01 13.02.01 13.02.01 12.12.00 17.10.00 25.08.00 26.07.00 ARCserve 2000 Service Pack 2 (incl. Agents für AE) deutsch Behebt Fehler bei Installationen Incorrekt Command Line Parameters TLO Unterstützung für ARCserve 2000 WG Behebt Probleme mit Exitcode bei ASMGR Prepost Option Behebt Fehler in Asrunjob, wenn mehrere Jobs gleichzeitig laufen Exchange 2000/Lotus Notes LOG BKUP Unterstützung ARCserve 2000 Service Pack 2 (incl. Agents für AE) englisch Service Pack 1 (auch für NT und W95 Agent) englisch Behebt Fehler in Tape Engine wenn mehr als 8 Gruppen definiert 22.01.01 NT/2000 Agent, behebt License Error bei Installation Keine 06.02.01 21.09.00 Fix und Unterstützung zusätzlicher Bandlaufwerke und Changer wie zuvor LO82875 LO80400 AE/WG AE/WG AE/WG AE/WG 05.03.01 13.02.01 23.10.00 17.10.00 NT Lotus Notes LOG BKUP Unterstützung NT Lotus Notes, behebt Fehler beim rücksichern auf ALT Folder Oracle Agent, Sichern von Read only und Temporary Tablepaces SQL Agent, Sichern von MS-SQL Server 2000 LO85115 LO82875, LO85115 Keine LO82875 AE/WG AE/WG AE/WG AE/WG 21.12.00 12.12.00 05.10.00 05.10.00 NT EISA Partition verloren während Disaster Recovery NT Disaster Recovery Upgrade Patch Image Option, Snapshot upgrade Serverles Backup Option, Snapshot f. Windows 2000 dynam.Volumes Keine Keine Keine Keine Client Agenten LO86966.ZIP AE/WG Bandlaufwerke und Changer LO87908.CAZ LO81605.CAZ AE/WG AE/WG Datenbank-Agenten LO89345.CAZ LO88297.CAZ LO83183.CAZ LO82876.EXE Optionen LO85795.CAZ LO85118.CAZ LO82353.CAZ LO82354.CAZ Keine Keine Keine Keine Keine LO82875 Keine Keine Keine ARCserveIT 6.6x für Windows NT Service Packs und Y2K Patches LO81315.ZIP LO81268.CAZ LO69720.ZIP LO66235.CAZ AE/WG AE/WG AE/WG EE/ASO 15.09.00 15.09.00 11.02.00 10.01.00 LO66234.CAZ LO63157.ZIP LO63156.ZIP AE/WG ASO EE 10.01.00 17.12.99 17.12.99 Basis Produkt Updates LO88290.CAZ LO77127.CAZ Service Pack 2A Build 834SP2A SQL 7.0 DB Restore Problem nach SP2 (in SP2A enthalten) Upgrade für Windows 2000 Unterstützung Behebt Problem beim Löschen der Job Status Einträge und beseitigt Fehler beim GFS mit monatlichem Job und letztem Tag im Januar wie zuvor Service Pack 1 Build 885 Service Pack 1 Build 885 Keine LO80564 Keine LO63156 (EE) LO63157 (ASO) LO80564 Keine Keine 13.02.01 26.06.00 NT Agent Sichern der Registry mit langen Keys schlägt fehl Verhindert Blue Screen beim ausdrucken des Job Reports Keine Keine LO77126.CAZ LO76168.CAZ LO76166.CAZ LO76162.CAZ EE W2KEE/ASO W2K-AE ASO EE EE/ASO 26.06.00 08.06.00 08.06.00 08.06.00 wie zuvor Dateigrößenfilter wurde hinzugefügt wie zuvor Verhindert Blue Screen beim ausdrucken des Job Reports LO52692.CAZ LO48389.CAZ Lo48392.CAZ LO48390.CAZ EE AE WG AE 08.12.99 03.05.99 03.05.99 03.05.99 Falscher Status beim sichern von Tandem Dateien Patch für das Upgrade von ARCserve 6.5 auf ARCserveIT 6.61 wie zuvor Behebt Fehler während der Installation, SQL DB nicht definiert Keine LO63157 LO76166 LO76166 (EE) LO76168 (ASO) Keine Keine Keine Keine 04 Ausgabe 04/2001 33 h HOTLINE Empfohlenen Computer Associates Updates und Patches Name Edition Datum Beschreibung Voraussetzung LO48393.CAZ REGIT.EXE WG alle 03.05.99 12.08.99 wie zuvor Registrieren eines Workgroup Produktes auf mehreren Maschinen Keine Keine AE/WG 08.12.00 AE/WG 08.12.00 AE/WG 08.12.00 W2K-AE/WG Unterstützung zusätzlicher Bandlaufwerke/Changer Deutsch wie zuvor, jedoch Deutsch W2K wie zuvor, jedoch English W2K 22.05.00 Keine Keine Keine wie zuvor ASO EE wie zuvor, jedoch nur NT 4 wie zuvor LO63157 LO63156 26.01.01 08.06.00 08.06.00 18.04.00 17.04.00 09.11.99 NT Agent Sichern der Registry mit langen Keys schlägt fehl Hinzufügen eines Filters für Dateigrößen mit NT Agent wie zuvor Unterstützung für NWCLuster mit NT Agent wie zuvor NT Agent Build 834 Keine LO76168.CAZ LO76166.CAZ Keine Keine Keine Lotus Notes Agent LO83145.CAZ AE/WG LO82903.CAZ AE/WG LO77650.CAZ AE/WG LO75070.CAZ EE/ASO 23.10.00 18.10.00 06.07.00 18.05.00 Für NT, es werden nicht alle Datenbanken beim Browsen angezeigt Für NT, offene NFS Files werden nicht gesichert Behebt Fehler beim Browsen/Sichern mit DB ohne Titel u. Error 101 wie zuvor Keine Keine Keine Keine Open File Agent LO73610.CAZ Alle 25.04.00 Behebt Abend unter NetWare 5 mit NSS Keine Problem mit DRF-Dateien, wenn Leerzeichen im ARCserve Verz. Behebt Probleme mit Multi SCSI Einträgen in Boot.ini Keine Keine Verhindert Dr. Watson beim Exchange Brick Level Backup LO76166 (EE) EE/ASO 17.04.00 EE/ASO 17.04.00 SAP SQL Agent, erhöht Restore Geschw. / Unterst. MS Cluster NT SQL Agent, erhöht lokale Restore Geschwindigkeit (SQL 7.0) / Unterst. MS Cluster W2KAE/WG alle 02.03.00 NT SQL Agent, wie zuvor 02.03.00 wie zuvor, Part 2 des Patches Bandlaufwerke und Changer LO84951.CAZ LO84948.CAZ LO84946.CAZ LO75313.CAZ Keine LO81125.CAZ LO81124.CAZ 12.09.00 12.09.00 Windows NT Client Agent LO87349.CAZ LO76169.CAZ LO76167.CAZ LO73281.CAZ LO73138.CAZ LO58331.CAZ AE/WG ASO EE ASO EE AE/WG Datenbank-Agenten Disaster Recovery Agent LO81606.CAZ AE/WG/EE 21.09.00 LO78676.CAZ Alle 27.07.00 Exchange Agent LO76172.CAZ EE/ASO 08.06.00 LO76168 (ASO) SQL Agent LO73164.CAZ LO73163.CAZ LO71166.CAZ LO71163.CAZ HOTLINE LO57850.CAZ Oracle Agent LO88291.CAZ LO81733.CAZ LO67816.CAZ LO67818.CAZ LO67834.CAZ AE/WG/ 01.11.99 EE Korrigiert verschiedene Probleme mit SQL 7.0 (Part 1des Patches) LO73163.CAZ LO63156 (EE) LO63157 (ASO) LO63164 LO69720 LO71163 LO71164 EE/ ASO LO80564 LO71166 -WG/ AE W2K LO80564 ASO Alle AE/WG EE ASO Fügt Oracle 8.1.5 Unterstützung hinzu Fügt Oracle 8.1.6 Unterstützung hinzu Fügt Oracle 8.1.5 Unterstützung hinzu wie zuvor wie zuvor Keine Keine LO80564 LO63156 LO63157 Unterstützung für ELO, VLO, & NLO wie zuvor wie zuvor LO63157 LO63156 LO69720 13.02.01 26.09.00 27.01.00 27.01.00 27.01.00 Optionen Enterprise Library Option (ELO) LO71525.CAZ ASO 09.03.00 LO71524.CAZ EE 09.03.00 LO71523.CAZ W2K09.03.00 AE/EE Patches 04 Ausgabe 04/2001 34 Empfohlenen Computer Associates Updates und Patches Name Edition Datum Network Library Option (NLO) LO66908.CAZ EE/ASO 20.01.00 Beschreibung Voraussetzung Verschiedene NLO Fixes LO63156 (EE) LO63157 (ASO) ARCserveIT 6.6 für Windows NT LO52301.CAZ LO49131.caz LO48323.CAZ LO48324.CAZ LO46867.ZIP LO46869.ZIP LO46868.ZIP LO46870.ZIP LO45992.CAZ LO45997.CAZ LO45996.CAZ LO46000.CAZ AINT001.ZIP LO63384.CAZ EE EE WG EE EE WG EE WG EE WG EE WG EE/WG EE/WG 06.08.99 18.05.99 30.04.99 30.04.99 26.03.99 26.03.99 26.03.99 26.03.99 04.03.99 04.03.99 04.03.99 04.03.99 13.11.98 21.12.99 Evtl. Blue Screen bei Verwendung des Open File Agents Problem mit sichern auf Wangdat 3400 Laufwerk Port Konflikt mit NEXT Software wie zuvor Cluster Unterstützung für Exchange Agent wie zuvor Cluster Unterstützung für SQL Agent wie zuvor Fix für Clusterunterstützung wie zuvor Cluster Unterstützung für NT Agent wie zuvor Patch Release für Image Option v6.6 Build 205 Unterstützung zusätzlicher Bandlaufwerke ARCserveIT für NetWare Version 6.6x Sofern nicht ausdrücklich ein Hinweis auf Deutsch gegeben wird, sind diese Patches für die englische Spracheversion der Software. Enterprise Edition und Workgroup / Single Server / Small Business Base Produkt Updates LO89132.CAZ LO84605.CAZ LO79417.CAZ LO80793.CAZ LO73609.CAZ LO72983.CAZ LO71598.CAZ LO71589.CAZ LO70914.ZIP LO47782.CAZ EE EE WG EE/WG EE/WG EE/WG EE/WG EE/WG EE/WG EE/WG 27.01.01 28.11.00 04.08.00 05.09.00 25.04.00 07.04.00 09.03.00 09.03.00 28.02.00 15.04.99 Keine LO45992 Keine Keine LO45992 LO45997 LO45992 LO45997 Keine Keine LO45992 LO45997 Keine Keine TIRPC.NLM kann nicht geladen werden, Konflikt mit CATIRPC.NLM Unterstützung zusätzlicher Bandlaufwerke wie zuvor Fehler in Zielauswahl, zweite Gerätegruppe wird nicht expandiert Reinigungsjob funktioniert nicht nach SP4 Lange Ladezeit von ARCserveIT verkürzen Device Manager löscht Changer Konfiguration Tape Alert verursacht einen Abend während des Entladens Service Pack 4 Sicherheitserweiterungen für NT Client Agent LO70914 LO70914 LO70914 Keine LO70914 LO70914 LO70914 LO70914 Keine Keine Client und Datenbank Agenten GroupWise Agent LO88300.CAZ EE LO73137.CAZ EE/WG LO66554.CAZ EE/WG Open File Agent LO73608.CAZ EE/WG AINW0001.ZIP EE/WG NT Agent LO82902.CAZ EE LO82901.CAZ EE 13.02.01 17.04.00 13.01.00 GW Agent Abend, wenn Canwpabd.nlm verwendet wird GW Agent Installation schlägt fehl Y2K Anzeigeproblem im Groupwise Agent Log Keine Keine Keine 25.04.00 13.10.98 Abend, wenn unter NW 5 NSS geladen ist Patch für Backup Agent für Open Files Build 384 Keine 18.10.00 18.10.00 Nur NW 4.11, rücksichern von Dateien größer 4 GByte wie zuvor LO82901 LO82902 Behebt verschiedene Probleme mit DR unter NW 5.x Upgrade DR Unterstützung für NW 5.X DROPTION.INI Module für DR 2.0 Option Drestore Module für DR 2.0 Build 73.001 (engl.) Drestore Module für DR 2.0 Build 73.001 (dt.) Keine Keine Keine Keine Keine NetWare ELO Device Fix LO70914 Optionen Disaster Recovery Option LO88301.CAZ EE 13.02.01 LO76055.ZIP EE/WG 06.06.00 AINW0002.ZIP EE/WG 20.11.98 RAAW6139.ZIP EE/WG 23.01.98 RAAW6139G.ZIP EE/WG 23.01.98 Enterprise Library Option LO80261.CAZ EE 22.08.00 04 Ausgabe 04/2001 35 h HOTLINE Neue Patches in der Übersicht Novell Updates und Patches neu herausgekommen PREEDIRD.exe 2695 KB In diesem Update finden Sie Dateien, die benötigt werden, um die Novell eDirectory 8.5 in einen bestehenden NDS-Tree zu installieren. In dem File enthalten ist ebenfalls eine neue Version des DSREPAIR.nlm, die einen neuen Schalter unterstützt-az, der in einigen Fällen von Datenbank korruptionen der NDS helfen kann. COMX218.exe 102 KB Diese aktuellste Version des AIOCOMX.nlm (2.18) soll Probleme bei höheren Geschwindigkeiten über 19200 Baud beheben. Er sollte generell auf allen Systemen verwendet werden, die den internen COMPort für aktive Kommunikation nutzen. DS7E.exe 1010 KB Neue NDS-Version 7.51a für die Novell Netware 5.0 und 5.1. Es ist für die NDS Version 7 gedacht. Sie finden in dem Update eine DSREPAIR Version 5.26c. Vor der Installation des Updates sollten Sie dringend das Readme lesen MBCMNUP1.exe 266 KB Die neue Version desMBCOMN.nss behebt Probleme beim Restore auf ein NSS-Volume. Das Update ist nur für Systeme geeignet, die das Service Pack 2A (Netware 5.1) bzw. Pack 6A (Netware 5.0) bereits installiert haben. OS5PT2A.exe 4227 KB In diesem Update finden Sie eine aktualisierte Version der SERVER.exe, welche insbesondere die TIMERSYNC Probleme behebt, wo die Server-Zeit fortläuft. Dieses Verhalten war insbesondere in Verbindung mit dem IDEATA.ham Treiber zu bemerken. Auch von diesem Modul finden Sie in diesem Patch eine aktualisierte Version. Probleme mit Intel Pentium III Systemen werden mit der neuen SERVER.exe ebenfalls gefixt. Diese Version des Patches ersetzt jene aus dem Service Pack 2A für Netware 5.1 und Service Pack 6A für Netware 5.0. Wichtig: Diesen Patch auf keiner Small Buissnes Version verwenden! NWOVLY1.exe 16907 KB In diesem File finden Sie eine Anleitung, wie eine Image-CD erzeugt, welches eine Netware 5.1 Installation direkt mit Service Pack 2A vollzieht. ZFD2PT3B.exe 2408 KB Diese Datei beinhaltet ein Update für die Novell ZENWorks for Desktops Version 2 International (Vollversion). Wichtig ist das bereits das Service Pack 1 für diese ZENWorks Version installiert ist. 4PENT.exe 308 KB Update für die Netware 5.1, die auf einem Pentium V System laufen. BM35ADM4.exe 117 KB In diesem Update finden Sie die aktuelle Version desADM.nlm (Version 2.63) für die Bordermanager Versionen 3.5 und 3.6. Dieser Patch setzt das Service Pack 2 des Bordermanagers und die Datei BM35ADM3.exe voraus. Er behebt einen Abend bei Anmeldungen über einen SecurID ACE Server über den RADCLNT.nlm. RADATR3A.exe 118 KB In diesem Update finden Sie die wichtigsten Radius Attribute (Datei RADIUS.atr) für die Novell Bordermanager Authentication Services 3.0, 3.5 und 3.6. Es beinhaltet alle generellen Radius- und weitere herstellerspezifische Attribute. BinTec Updates und Patches neu herausgekommen HOTLINE B5106P10.x4a 1215 KB Patches - Weitere fixed external ports für ausgehende NAT Sessions (ipNatOutTable) - RADIUS Accounting für PPTP Verbindungen - RADIUS Accounting für PPPOE Verbindungen Behobene Fehler: - Encapsulation X25_PPP: Der shorthold mode arbeitete nicht zuverlässig - VPN Tunnel mit PAP-Authentication und Verschlüsselung führte zum Reboot - ADSL: Memory leak bei PPPoE Verbindungen - Memory leakage Problem im PPTP ist behoben - Reboot bei der Verwendung von unterschiedlichen Encrypt und Decrypt Keys (DES, blowfish) In die neue Software Version 5.1.6 Patch 10 für die Bintec Router X4000 wurden folgende Features integriert: - Modemmodule XTR-L wird jetzt unterstützt - Softwarecompression STAC LZS V.6 - Accounting für X-DSL Verbindungen jetzt möglich - AO/DI, BACP/BAP, PPP over X.25 implementiert - Erweiterte Funktionen BOD, BACP für PPPVerbindungen - PPP Encryption für eine Radius Authentisierung - PPTP pns mode für ausgehende Verbindungen (ADSL access via PPTP) 04 Ausgabe 04/2001 36 Tobit Updates und Patches neu herausgekommen D66NW.exe 10767 KB Dieses Download enthält das Tobit Update Pack nach DvISE Version 6.6 unter Novell NetWare. Es kann nur für ein Update von FaxWare, MailWare, David oder David Professional in der Version 6.5 verwendet werden! Sie benötigen von der Tobit Homepage noch ein Paßwort zur Installation. Dieses kann via Email dort angefordert werden. DVVSCAN9.exe 1990 KB Dieses Download enthält alle aktuellen Virus-Signaturen für den Doorkeeper der David Information Server Engine in selbstentpackender Form. Nach dem Kopieren dieser Datei auf den David Server werden die Signaturen automatisch entpackt und geladen. Ein Beenden und anschließendes Neustarten des Service Layers ist also hiermit nicht erforderlich. Achtung: Voraussetzung für den Einsatz dieser selbstentpackenden Datei ist eine David bzw. David Professional Installation, die von einer Programm-CD mit dem Datum 28.03.2000 oder später vorgenommen wurde. Bei älteren Versionen ist die Installation von Service Pack 1erforderlich. Die enthaltenen Signaturen sind für die NetWareund Windows-Version von David und David Professional identisch. Sie entsprechen dem Release-Stand 4127 vom 07.03.2001. Bitte beachten Sie, daß auch die Scan Engine für den David Doorkeeper in unregelmäßigen Abständen aktualisiert wird. Um einen optimalen Schutz zu erreichen, sollte neben den aktuellen Virus-Signaturen stets auch die neueste Scan Engine eingesetzt werden. Die aktuellen Versionen: - Scan Engine Version 4.1.40 für Windows NT/2000 (12.02.2001) - Scan Engine Version 4.1.40 für NetWare (21.02.2001) Die Doorkeeper Virensignaturen basieren grundlegend auf der McAfee Scan Engine von Network Associates. Wenn Sie Details über bestimme Viren benötigen oder wissen möchten, ab welcher Version der Signaturen diese Viren erkannt werden, so können Sie diese Informationen durch eine gezielte Abfrage der Virus Information Library erhalten. D66NT.exe 5646 KB Dieses Download enthält das Tobit Update Pack nach DvISE Version 6.6 unter Windows NT und Windows 2000. Es kann nur für ein Update von FaxWare, MailWare, David oder David Professional in der Version 6.5 verwendet werden! Sie benötigen auch hierzu das Paßwort von der Tobit Homepage zur Installation.. Kleine Novell Server Tips Grenzen des Filesystems so wird der nächste allokiert und ein Link zum vorherigen hergestellt. Die Directory Blocks werden in Volume Blocks von der Platte angefordert. Sollten Sie als Blocksize eine Größe von 64 K definiert haben, werden auch genau 64 K belegt, in die dann 16 Directory Blocks passen. Da die Netware zwei Kopien der FAT vorhält, belegt jeder 4 K Directory Block in Wirklichkeit 8 K auf der Platte. Nicht berücksichtigt wurden bei obiger Berechnung der Platz für Verwaltungs-Overhead und die Trustee-Einträge. Die Grenzen des Dateisystems ergeben sich also daraus, welche Grenze zuerst erreicht wird, die von Einträgen oder die von x Prozent des Volumes, wobei die Verdoppelung zu beachten ist. Auch deleted Files zählen hierbei mit, sie werden bei Erreichen der Grenze nicht automatisch gepurged. Aus diesem Grund sollte man hin und wieder mit einem PURGE /all etwas Platz auf den Volumes schaffen. Ist die obere Grenze erreicht, so erscheint auf der Fileserver Console die Meldung Insufficient directory space or memory to preserve <Filename>. Es können dann keine Verzeichnisse mehr angelegt werden und in den Verzeichnissen, die volle Directory Blocks haben, auch keine Dateien mehr. Die Anzahl der möglichen Directory Entries auf einem Volume ist zum einen durch den verfügbaren Hauptspeicher begrenzt, zum anderen durch die Aufteilung und Größe des Volumes. Die Grenze liegt bei Netware 3.1x und 4.10 bei ca. 2 Millionen Directory Entries, bei Netware 4.11 bei 16 Millionen Einträgen. Unter Netware 5.1 mit NSS steigt die Zahl auf mehrere Billionen. Zusätzlich können Sie über Set Parameter den Platz für Verzeichniseinträge beschränken. Defaultmäßig sind hier 13 % des Volumes eingetragen. Dieser Wert läßt sich jedoch auf maximal 50 % erhöhen. Der Zusammenhang zwischen Directories, Files und Deleted Files auf der einen Seite und der Anzahl der Directory Einträge auf der anderen ist nun etwas kompliziert. Die Directory Entries werden in 4 K Blocks verwaltet, je nach Einrichtung des Volumes. Default sind 4 K. Somit wird für jedes neue Verzeichnis ein weiterer 4 K großer Block allokiert. Dieser wird anschließend mit den FileInformationen gefüllt, wobei jedes File 128 Byte je nach Namespace belegt. Nutzen Sie auf einem Volume alle Namespaces wie DOS, NFS und Long, so belegt jede Datei 384 Byte im Directory Block. Ist der 4 K Block voll, 04 Ausgabe 04/2001 37 h HOTLINE HOTLINE Computer Associates Updates und Patches neu herausgekommen ARCserve 2000 \MachineKeys\*. Bei einer Wiederherstellung nach Deinstallation der bestehenden Zertifikatsdienste werden die Zertifikatsdienste nach einem Neustart nicht mehr aktiviert. Unterstützung für DDS4 wurde hinzugefügt. LO89280.CAZ (SP 2 deutsch) Mit dem Einsatz dieses Service Packs 2 werden nun auch für die deutsche Version die Probleme behoben, die bereits in dem englischen SP2 korrigiert waren. hier die wichtigsten Änderungen: Wenn der ARCserve2000-Datenbankprozeß als Zentraldatenbank installiert wurde, konnte er keine Verbindung zu MSSQL herstellen. Wurde VLDB als Datenbank verwendet, wurden in der Ansicht Wiederherstellen nach Baumstruktur nicht alle Dateien angezeigt. Während der Wiederherstellung der ARCserve2000-Datenbank konnte der Bandprozeß blockiert sein, solange RDS heruntergefahren wurde. Eine vollständige NT Agent-Systemsicherung schlug fehl, wenn aus der Discovery-Liste die IP-Version des Agenten ausgewählt wurde. Unter NT 4.0 konnten keine Registrierungs- und aktive Dateien wiederhergestellt werden. Der NT Agent ignorierte Bereitstellungspunkte ohne Angabe des entsprechenden Laufwerksbuchstabens, auch als Teil-Sicherung eines ganzen Knotens. Das Auto Discovery wurde von den Windows 95Agenten nicht unterstützt. Nach Sicherung und Einfügung einer Windows 2000 FAT32-Sitzung, einer FAT oder FAT32-Sitzung unter Verwendung des NT-Agent war der Sitzungstyp falsch. Beim Durchsuchen der FAT32-Sitzung zeigte ARCserve 2000 im Jobprotokoll den Typ Unbekannt. LO89076.CAZ AE/WG Bei der Installation von ARCserve 2000 oder einer der Optionen von ARCserve unter NT, kann es zu der Fehlermeldung Incorrect Comand Line Parameter kommen. Um das Problem zu beheben müssen Sie die Installations-CD von ARCserve 2000 auf eine Festplatte kopieren und die in diesem Patch enthaltene Setup.exe - nach vorheriger Sicherung der Orginal Setup.exe - kopieren und davon die Installation starten. Hinweis: Wenn Sie eine der Optionen von ARCserve 2000 installieren, müssen Sie die Setup.exe in den betreffenden Installationsorder der Option kopieren. LO88296.CAZ WG In der ARCserve 2000 Workgroup Edition für NT fehlen zwei Dateien: dieSetupchg.dll undChginst.dll. Ohne sie kann die Gerätekonfiguration nicht das TLOSetup starten. Kopieren Sie die Dateien in das ARCserve Verzeichnis und starten Sie die Gerätekonfiguration. LO88295.CAZ AE/WG Unter Windows 2000 oder NT führt der ARCserve Manager den Exitcode 0 nicht mehr aus, nachdem man einen Job modifiziert hat. Kopieren Sie die in diesem Patch enthalteneAsm_dt.dll in Ihr ARCserve Verzeichnis, um das Problem zu beheben. Voraussetzung ist der vorherige Einsatz des PatchesLO82875.exe (SP2). Neuerungen Bei den Systemstatus-Sitzungsoptionen von ARCserve wurde ein neues Kontrollkästchen hinzugefügt, das der Benutzer aktivieren kann, um bei einer Wiederherstellung SYSVOL als primäre Daten festzulegen. Das bedeutet, daß dies der einzige Domänen-Controller ist, der im System wiederhergestellt wird. Das Kästchen ist standardmäßig nicht aktiviert, und es findet eine nicht autorisierende Wiederherstellung statt. Wenn der Benutzer nach einer Systemstatussicherung den Standort der Datenbank ändert, kann er bei der Wiederherstellung nicht mehr im normalen Modus starten. Dieser Fehler kann korrigiert werden, indem immer auf den Originalstandort wiederhergestellt wird, von dem aus das Active Directory gesichert wurde. Bestimmte metabasis-bezogene IIS-Dateien sind bei der Systemstatussicherung hinzugefügt worden. Diese Dateien befinden sich an folgenden Standorten:%System root% \system32 \Microsoft \protect\*, unter %System drive% \Dokumente und unter Einstellungen \AllUsers \Anwendungs daten \Microsoft \Crypto \RSA LO88302.CAZ AE Unter NT kann es zum Ausnahmefehler im Module ASRUNJOB kommen, wenn gleichzeitig mehrere Jobs ausgeführt werden. Um den Fehler zu beheben, kopieren Sie die in diesem Patch enthaltene Tapeeng.dll nach vorherigem Umbennen der Orginaldatei in das ARCserve Verzeichnis. Voraussetzung ist auch hier die LO82875.exe (SP2). LO85115.EXE AE Mit diesem Patch erhalten Sie die Unterstützung für Exchange 2000 und die Möglichkeit, den Lotus Notes Transaction Log zu sichern. Dieser Patch muß zuerst eingespielt werden, bevor der neue Exchange 2000 Datenbank Agent oder der neue Lotus Notes Agent mit Transaction Log Backup-Unterstützung verwendet wird. Voraussetzung ist LO82875.exe (SP2). Patches 04 Ausgabe 04/2001 38 Computer Associates Updates und Patches neu herausgekommen LO86966.ZIP AE LO88290.CAZ EE Wenn der NT/2000 Client auf einer Windows NT oder Windows 2000 Professional Arbeitsstation installiert wird, kommt es zu folgender Fehlermeldung: Computer Assocated Licensing 3WCA-Cant open license file. Please run the appropriate license program to properly license your produkt. Behoben wird dieses Problem mit dem Einsatz dieses Patches. Entpacken Sie die Datei mit -d und führen Sie die Setup.exe aus. Für die Unbeaufsichtige Installation verwenden Sie den Schalter Setup.exe –SMSInstall (Case sensitive). Wie zuvor, für den Einsatz des NT Agent (Build 875 oder neuer) mit einer ARCserveIT 6.61 Enterprise Edition für Windows NT. LO88291.CAZ EE/ASO Unterstützt Oracle Version 8.1.5 und behebt Schreib-/ Lese-Fehler während des Sicherns von Named Pipes sowie das Setup Problem nach Einsatz von LO67834 (Liccheck.exe kann nicht gefunden werden) Wenn das Setup Programm von einem Pfad tiefer als 100 Zeichen gestartet wird, schlägt die Installation fehl. Relnotes konnten nicht von dem Verzeichnis geöffnet werden, in dem der Oracle Agent installiert wurde. Voraussetzung ist der vorherige Einsatz von LO63157 und das SP1 für die ASO 6.61 für NT. LO87908.CAZ AE Mit Einsatz dieses Patches erhalten Sie die Unterstützung für volgende Bandlaufwerke und Changer: Ultrium Bandlaufwerke, Sony 400c, bzw. M4 Data MagFile, NEC LL0101H Autoloader, IBM 3583 Library und Exabyte 215M. Nach einigen Sicherungen mit der Tape Library Option wurden die Bänder mit dem Status updating angezeigt. Für M4 Data und Exabyte Librarys wurde eine Serialsation Unterstützung implementiert, diese wird für die SAN-Unterstzüzung gebraucht. Außerdem wurde die Import/Export Funktion der Exabyte Librarys verbessert. Voraussetzung ist der vorherige Einsatz des Patches LO82875.exe (SP2) ARCserveIT für NetWare LO89132.CAZ EE Dieser Patch behebt einen Konflikt der Module CATIRPC.NLM mit TIRPC.NLM, beide NLMs verwenden dieselbe Port Nummer, so daß nur einer der beiden geladen werden kann. Der Patch enthält ein neues CATIRPC.NLM, das man auf eine andere Portnummer konfigurieren kann. Eine genaue Beschreibung der Vorgehensweise, um die Portnummer zu ändern, finden Sie in Readme.txt des Patches. Voraussetzung ist der Patch LO70914 (SP4). LO89345.CAZ AE In diesem Patch ist der neue Lotus Notes Client enthalten, der Ihnen die Unterstüzung für das Sichern des Transaction Backup Log bietet. Wenn Sie vorher schon einen Lotus Notes Agent installiert hatten, muß dieser zuerst deinstalliert und die Station neu gebootet werden. Voraussetzung ist der vorherige Einsatz des Patches LO85115. LO88300.CAZ EE Abend, wenn das OFA.NLM und dannCANWPABD.NLM geladen wurde, ist behoben. Voraussetzung ist der Einsatz des Groupwise Agent 6.6 für NetWare. LO88301.CAZ EE Dieser Patch bereinigt verschiedene Problem, die beim Einsatz der Disaster Recovery Option auftreten: LO88297.CAZ AE Nach Einsatz des Patches LO82875 konnte bei einem Restore kein anderer Ordner mehr ausgewählt werden. Dieser Patch behebt das Problem, Voraussetzung sind die Patches LO82875 und LO85115. - unter NetWare 4.11,4.2 kam es zu einem Abend, wenn der NetWare Patch SP8a eingespielt wurde. - unter NetWare 5.1 konnte der DS.NLM nicht geladen werden, wenn SP1 von NetWare eingespielt wurde. - TAPESVR.NLM konnte nicht geladen werden, wenn TLI.NLM nicht geladen wurde. - unter NetWare 5.0 mit SP5 oder neuer konnten keine Volumes angelegt werden. - mit Disaster Recovery konnten keine großen Festplatten restored werden, wenn mehrer NetWare Partitionen auf der OrginalPlatte waren. ARCserveIT für Windows NT LO87349.CAZ AE Den Error 8524, der beim Sichern einer Remote Registry mit dem NT Agent auftrat, wenn ein Schlüsselname mehr als 260 Zeichen hatte, ist behoben. Der Einsatz beschränkt sich auf den NT Agent, welcher mit einer 6.61 Advanced Edition für NT zusammenarbeitet. 04 Ausgabe 04/2001 39 h HOTLINE TOBIT Kommunikations-Verbund Teil 2: DvISE Connector for Novell GroupWise Wir hatten Ihnen Tobit’s DvISE Produkte FaxWare, David und David Professional in vorhergehenden Ausgaben bereits ausführlich vorgestellt und in der Märzausgabe auch die zugehörigen DvISE Connectoren für Microsoft Exchange und Lotus Notes. Diesmal ist unser Thema das dritte dieser neuen Messaging Backends, der DvISE Connector for Novell GroupWise. T Tobit’s DvISE Produkte bezeichnen bekanntlich eine Familie von fünf Softwareprodukten, die auf derselben Architektur beruhen: der David Information Server Engine. In diesem Systemkern verschmelzen Messaging-Dienste, Computer Telephony Integration und Internet-Technologien zu einer vielseitigen Plattform. Für einen Kommunikations-Verbund mit bestehenden Lösungen bietet Tobit neben ihren Stand-Alone-Systemen seit neuestem die Anbindung durch sogenannte Connectoren an, für Lotus Notes und Microsoft Exchange, wie wir sahen, und auch für Novell GroupWise. HOTLINE Connector für Novell GroupWise Der DvISE Connector for Novell GroupWise ermöglicht den Einsatz von David als Unified Messaging Backend und erweitert die Funktionen von GroupWise um die Nachrichtendienste Fax, Sprache und SMS. Für die einfache Integration von Faxfunktionalitäten kann natürlich auch die FaxWare von Tobit verwendet werden. Bei beiden Produkten erfolgen der Empfang, Versand und die Verteilung der Nachrichten direkt aus dem GroupWise Client. David läßt sich sehr flexibel auch in bereits bestehende EDV-Strukturen einbinden und erweitert diese um Unified Messaging Funktionen und den Zugriff auf alle Nachrichten. Wenn an mehreren Standorten Tobit Produkte eingesetzt werden, ermöglicht der DvISE Connector for Novell GroupWise außerdem den Versand von Faxen über IP und Least Cost Routing. Weitere Informationen zu den Tobit DvISE-Produkten finden Sie unter www.tobit.com. Unter www.tobit.com/cube können Sie kostenlos die informative Tobit Hauszeitschrift The Cube abonnieren. Funktionsweise Der DvISE Connector for Novell GroupWise ist ein SMTP Konverter, der Faxe und SMS-Nachrichten als „E-Mails“ an Group Wise übergibt. Empfängt David ein Fax, Voice oder SMS, erstellt der Connector eine Standard SMTP Nachricht, an die ein Fax Dokument als GIF, PCX, oder TIFF Datei, eine SMS-Nachricht als ASCIIText und eine Sprachnachricht im WAV-Format angehängt wird. Diese Nachricht wird dann als E-Mail an eine zuvor festgelegte E-Mail Adresse gesendet. Versendet ein GroupWise Benutzer z.B. ein Fax, erstellt er einfach eine E-Mail, die vom DvISE Connector for Novell GroupWise in ein Fax konvertiert und zum endgültigen Versand an David weitergeleitet wird. Der ganze Transport beruht auf SMTP, um die Versions-Unabhängigkeit und Zukunftssicherheit der Installation zu gewährleisten, um auch in großen 04 Ausgabe 04/2001 40 Netzwerken eine schnelle Einrichtung zu unterstützen und um die Nachrichten für den GroupWise Web Access zugänglich zu machen. Am GroupWise Server sind dafür keine Änderungen notwendig. Faxfunktionen Das GroupWise Client Plug-In bietet unterschiedliche Methoden für den Faxversand, den direkten Versand aus GroupWise heraus, den Versand aus einem Textverarbeitungsprogramm oder den Versand über GroupWise Web Access. Versand aus GroupWise Über den im Group Wise Client vorhandenen Button Neues Fax wird der Vorgang eingeleitet. Die Empfängernummer(n) können entweder manuell oder durch Verwenden des GroupWise Adreßbuchs in das entsprechende Feld eingetragen werden. Dann erfolgt die Texteingabe in das Eingabefeld und/oder die Datei, die als Fax versendet werden soll, wird als Attachment an die Nachricht angehängt. Bei Bedarf kann auch zusätzlich noch ein Deckblatt ausgewählt werden (vgl. Abb. 1). Aus der Textverarbeitung Beim Versand aus der Textverarbeitung wird das zu versendende Dokument in der gewünschten Applikation erstellt bzw. geöffnet und über den “Tobit Fax-Image” Druckertreiber versendet. Das sich öffnende Dialogfenster dient zur Eingabe der EmpfängerFaxnummer(n). Auch hier kann ein zusätzliches Deckblatt gewählt werden. GroupWise Web Access Auch über GroupWise Web Access lassen sich Faxe versenden. Dazu muß lediglich nach dem Verfassen einer E-Mail, die Faxnummer mit vorangestelltem FAX. in das Feld An eingegeben werden. Ein solcher Eintrag lautet dann zum Beispiel: FAX.01122334455. Faxempfang Empfangene Faxe werden wie SMSund Sprachnachrichten als E-Mails mit Attachment in der GroupWise Inbox dargestellt, wobei die Attachments die Faxdokumente als Grafikdateien, die SMS-Nachrichten als ASCCI-Text und die Sprachnachrichten als WAV-Dateien enthalten (vgl. Abb. 2). Eine automatische Verteilung der eingehenden Faxe nach Rufnummer (DDI / MSN / EAZ) oder nach Absendernummer ist ebenso selbstverständlich wie die Möglichkeit, selbst weitere Verteilregeln zu erstellen. Die Faxe erscheinen am Arbeitsplatz wie eine normale Mail. Um die Faxe abzurufen genügt ein Klick auf den betreffenden Dateianhang. Das ausgewählte Faxdokument wird daraufhin im entsprechenden Viewer angezeigt. Der Empfang von Faxen ist also ebenso einfach und komfortabel wie der von E-Mails. Messaging Abb. 1: Faxversand Abb. 2: Faxempfang Eine individuelle Voicebox steht jedem Mitarbeiter zur Verfügung. Die David Produktfamilie ermöglicht die Verwendung einer Vielzahl von Befehlen zum Versenden der Nachrichten, auch direkt innerhalb des Textes. Auf diese Weise kann z.B. die Verarbeitung von Faxen praktisch beliebig beeinflußt werden. Es erscheint dann z.B. kein weiteres Dialogfenster, das nach der Zielnummer fragt, da diese bereits per Befehl im Text übergeben wurde. Um direkt aus GroupWise SMSNachrichten zu versenden oder empfangen zu können, muß ein entsprechendes D-Netz Modem am Server installiert sein. Die Auswahl des Empfängers erfolgt dabei wie beim Versand eines Faxes, es ändert sich nur die Adressierung, zum Beispiel SMS.01122334455. Voicebox Fazit Durch die eingebauten Sprachfunktionen und die Möglichkeit, auch Sprachnachrichten über die ISDNKarte aufzuzeichnen, ist David in der Lage, intelligente Anrufbeantworterfunktionen zu übernehmen. Die hinterlassenen Voice-Nachrichten erscheinen wie jede andere Nachricht in der Inbox des GroupWise Anwenders und können auch direkt mit Hilfe eines Medien Players abgehört werden. Wie jede Mail können diese Voice-Nachrichten auch zum Bearbeiten durch andere Mitarbeiter weitergeleitet oder archiviert werden. Die DvISE Connectoren sorgen direkt am Client für einen zentralen Empfang und Versand von Fax, E-Mail, Voice und SMS-Nachrichten. Der Anwender erhält weitergehende Kommunikationsfunktionen ohne seine gewohnte Arbeitsoberfläche und seine Arbeitsweise ändern zu müssen. Er hat erweiterte Zugriffsmöglichkeiten und vielfältige Nachrichtenformen unabhängig von Ort und Medium. Die DvISE-Produktfamilie bietet somit Kommunikationslösungen für Unternehmen aller Größen und Branchen. 04 Ausgabe 04/2001 41 Short Message Service h HOTLINE CISCO Das 1x1 des IOS Teil 3: Netzwerk-Verbindungen und Client-Anbindung Von Jörg Marx In den letzten Ausgaben gaben wir eine Grundeinführung in das Cisco IOS-Betriebssystem und zeigten anhand einiger Beispielkonfigurationen Varianten, wie Internetzugänge oder Kanalbündelungen auf den Standleitungen der Deutschen Telekom realisiert werden. In unserem dritten Teil geben wir Beispiele für Verbindungen zwischen verschiedenen Netzwerken und die Anbindung von Clients. Z dialer-group 1 ppp authentication chap callin ip route 10.2.2.0 255.255.255.0 Dialer1 dialer-list 1 protocol ip permit Zunächst versuchen wir eine Verbindung zweier IP-Netzwerke über eine ISDN-Wählverbindung mittels statischer Routen herzustellen. Auch diesmal zeigen wir Ihnen dazu die Auszüge aus der Konfiguration, die die wichtigsten Kommandos für die Einstellung der beiden Router in der Abbildung 1 enthalten. Beginnen wir erst einmal beim linken Router. Gegenstelle Für den Router der Gegenstelle, rechts in Abbildung 1, lautet die Konfiguration wie folgt: HOTLINE IP-Verbindung über ISDN hostname rechts username <links> password <c.i.s.c.o.> interface Ethernet0 ip address 10.2.2.1 255.255.255.0 interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 ppp authentication chap callin interface Dialer1 ip address 192.168.2.2 255.255.255.0 encapsulation ppp dialer remote-name links dialer pool 1 dialer idle-timeout 120 either dialer string <Rufnummer des Router links> dialer-group 1 ppp authentication chap callin hostname links username <rechts> password <c.i.s.c.o.> interface Ethernet0 ip address 10.1.1.1 255.255.255.0 interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 ppp authentication chap callin interface Dialer1 ip address 192.168.2.1 255.255.255.0 encapsulation ppp dialer remote-name rechts dialer pool 1 dialer string <Rufnummer des Router rechts> dialer idle-timeout 120 either 04 Ausgabe 04/2001 42 ip route 10.1.1.0 255.255.255.0 Dialer1 dialer-list 1 protocol ip permit BRI-Interface Zu dieser Konfiguration sollten Sie wissen, daß unter dem Interface BRI0 das physikalische ISDN-Interface zu verstehen ist. Das Dialer-Interface ist die logische Schnittstelle, mit der die Gegenstelle definiert wird. Ein eingehender Ruf geht zuerst über das BRI-Interface und anschließend über den entsprechend zugehörigen Dialer. Ein ausgehender Ruf macht es genau umgekehrt, hier wird erst der entsprechende Dialer ausgesucht, bevor ein Ruf über das entsprechende BRI-Interface hinausgeht. Aus diesem Grund finden Sie bestimmte Kommandos sowohl unter dem BRI-Interface als auch unter dem Dialer. Abb. 1: Grafische Darstellung der Verbindung zweier IPNetzwerke Parameter Wichtige Parameter, die unter beide Interfaces gehören sind die Encapsulation und Authentication. Andere Werte die nur für die Gegenseite interessant sind oder nur beim Dial-Out verwendet werden, findet man somit nur unter dem Dialer, das sind z.B. Dialer String für die Rufnummer und Dialer Idel-Timeout für die Zeit, nach der die Verbindung getrennt wird, wenn Inaktivität herrscht. Wichtige Verknüpfungen finden wir in den Parametern Dialer Pool-Member 1 und Dialer Pool 1. Hiermit wird festgelegt, daß der Dialer 1 über das physikalische Interface BRI0 arbeitet, es ist also die Zuordnung des physikalischen Interface zum logischen Interface. Abb. 2: Verbindung von drei IP-Netzwerken Traffic Ein weiterer wichtiger Punkt ist die Differenzierung des Traffic für den Verbindungsaufbau und das Halten der Verbindung. Das Cisco IOS unterscheidet zwischen Traffic, der einen Verbindungsaufbau initiieren kann, Traffic, der die Verbindung halten darf, und dem Traffic, der zwar über die Leitung geht, wenn die Verbindung bereits oben ist, die Verbindung jedoch nicht aufrecht erhalten kann. Wer nun die Verbindung aufbauen darf, wird in der Dialer-List 1 festgelegt. Um diese Liste auf eine Interface zu legen, muß auf dem entsprechenden Interface - in diesem Fall Dialer1 - das Kommando Dialer-Group 1 gesetzt sein. Wer die Verbindung halten kann, wird mittels Access-Listen festgelegt. Abb. 3: Dial-In Lösung username <mitte> password <c.i.s.c.o.> interface Ethernet0 ip address 10.1.1.1 255.255.255.0 interface BRI0 no ip address encapsulation ppp dialer pool-member 1 dialer pool-member 2 isdn switch-type basic-net3 ppp authentication chap callin interface Dialer1 ip address 192.168.2.1 255.255.255.0 encapsulation ppp dialer remote-name rechts dialer pool 1 dialer idle-timeout 120 either dialer string <Rufnummer Router rechts> dialer-group 1 ppp authentication chap callin interface Dialer2 ip address 192.168.1.1 255.255.255.0 Drei IP-Netzwerke Als nächstes sehen wir uns die Verbindung von drei IPNetzwerken über zwei ISDN-Wählverbindungen mittels statischer Routen an. Hier die wichtigsten Kommandos von links nach rechts (vgl. Abb. 2). Router links: hostname links username <rechts> password <c.i.s.c.o.> 04 Ausgabe 04/2001 43 h HOTLINE encapsulation ppp dialer remote-name mitte dialer pool 2 dialer idle-timeout 120 either dialer string <Rufnummer Router mitte> dialer-group 1 ppp authentication chap callin ip route 10.2.2.0 255.255.255.0 Dialer2 ip route 10.3.3.0 255.255.255.0 Dialer1 dialer-list 1 protocol ip permit Erste Gegenstelle Beim Router in der Mitte sehen die Einstellungen wir folgt aus: hostname mitte username <rechts> password <c.i.s.c.o.> username <links> password <c.i.s.c.o.> interface Ethernet0/0 ip address 10.2.2.1 255.255.255.0 interface BRI0/0 no ip address encapsulation ppp dialer pool-member 1 dialer pool-member 2 isdn switch-type basic-net3 ppp authentication chap callin interface Dialer1 ip address 192.168.3.1 255.255.255.0 encapsulation ppp dialer remote-name rechts dialer string <Rufnummer des Router rechts> dialer pool 1 dialer idle-timeout 120 either dialer-group 1 ppp authentication chap callin interface Dialer2 ip address 192.168.1.2 255.255.255.0 encapsulation ppp dialer remote-name links dialer string <Rufnummer Router links> dialer pool 2 dialer idle-timeout 120 either dialer-group 1 ppp authentication chap callin ip route 10.1.1.0 255.255.255.0 Dialer2 ip route 10.3.3.0 255.255.255.0 Dialer1 dialer-list 1 protocol ip permit Zweite Gegenstelle HOTLINE Für den dritten Router rechts lauten die Einstellungen analog: hostname rechts username <links> password <c.i.s.c.o.> username <mitte> password <c.i.s.c.o.> interface Ethernet0 ip address 10.3.3.1 255.255.255.0 interface BRI0 no ip address encapsulation ppp dialer pool-member 1 dialer pool-member 2 isdn switch-type basic-net3 ppp authentication chap callin interface Dialer1 ip address 192.168.2.2 255.255.255.0 encapsulation ppp dialer remote-name links dialer pool 1 dialer string <Rufnummer des Router links> dialer idle-timeout 120 either dialer-group 1 ppp authentication chap callin interface Dialer2 ip address 192.168.3.2 255.255.255.0 encapsulation ppp dialer remote-name mitte dialer pool 2 dialer string <Rufnummer Router mitte> dialer idle-timeout 120 either dialer-group 1 ppp authentication chap callin ip route 10.1.1.0 255.255.255.0 Dialer1 ip route 10.2.2.0 255.255.255.0 Dialer2 dialer-list 1 protocol ip permit Diese Konfiguration liegt sehr nahe an der Vorhergehenden. Wichtig ist, daß Sie erkennen, daß über mehrere Dialer gearbeitet wird und sich somit alle Router untereinander anrufen und verbinden können. Es ist zu erkennen, das ein physikalisches Interface zwar mehrere Dialer verwalten und bedienen kann, gleichzeitig aber immer nur 2, da nur 2 B-Kanäle verfügbar sind. Dial-In auf IOS-Router Das nächste Beispiel zeigt Ihnen ein Dial-In auf einen IOSRouter mittels einer ISDN-Karte in einem PC und einer dynamischen Adreßzuweisung des Clients (vgl. Abb. 3). Router Konfig: hostname <test> username <test> password <test.> interface Ethernet0 ip address 10.1.1.1 255.255.255.0 interface BRI0 no ip address no ip directed-broadcast encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 ppp authentication chap ms-chap callin ppp multilink interface Dialer1 ip address 192.168.1.1 255.255.255.0 encapsulation ppp no ip split-horizon dialer remote-name test dialer pool 1 dialer idle-timeout 100 dialer-group 1 peer default ip address pool Client ppp authentication chap ms-chap callin ip local pool Client 192.168.1.2 192.168.1.10 ip route 192.168.1.0 255.255.255.0 Dialer1 dialer-list 1 protocol ip pemit DFÜ-Partner Jetzt müssen Sie nur noch auf Ihren Windows PC einen DFÜ-Partner anlegen, der folgende Merkmale besitzen muß: Die IP Adresse wird eingestellt auf Vom Server zugewiesene IP-Adresse und Standard 04 Ausgabe 04/2001 44 Gateway im Remote-Netzwerk verwenden. Benutzername und Kennwort müssen dem username und password in der Cisco IOS Konfiguration entsprechen. interne Services von außen (Internet) erreichbar sein müssen, z.B. Web- oder Mailserver. Hierzu hat das Cisco IOS besondere Kommandos. Wenn der Router vom Provider seine IP-Adresse dynamisch bekommt, lautet der Befehl: Ip nat inside source static tcp (local IP) (local Port) interface dialer0 (global Port). Bekommt der Router vom Provider eine feste IP-Adresse, heißt das Kommando: Ip nat inside source static tcp (local IP) (local Port) (ISDN-IP-Adress) (global Port). Kommandos Einige Kommandos können unter bestimmten Umständen und besonderen Konfigurationen wichtig werden, beispielsweise um einem Cisco Router eine dedizierte Rufnummer (MSN) zuzuweisen, eine bestimmte MSN zu übermitteln oder einen Ruf nur mit korrekt übermittelter MSN (CLI-Number) anzunehmen. Access-Listen In unseren Beispielen haben wir keine Access-Listen abgedruckt. Im Prinzip reichen für die gezeigten Konfigurationen die Standard-Filter für die Windows NetBios Thematiken. Eine Access-Liste hat immer eine Nummer, anhand derer sich erkennen läßt, ob es sich um eine Standard Access-Liste von 1 bis 99 handelt, wobei nur IPAdressen gefiltert werden können, oder um Advanced Access-Listen ab 100, anhand derer neben den IP-Adressen auch noch Ports gefiltert werden können. Aktiv wird eine Access-Liste erst, wenn sie auf ein Interface gebunden wird. Das ganze würde bei einem Ethernet Interface folgendermaßen aussehen: Dedizierte Rufnummer Um dem Cisco Router eine dedizierte Rufnummer zuzuweisen, benutzen Sie folgende Kommandos: interface BRI0/0 isdn answer1 <MSN> isdn answer2 <MSN> Mit den Befehlen isdn answer1 und isdn answer2 wird dem physikalischen ISDN-Interface eine lokale MSN zugewiesen, auf welche der Router einen eingehenden Ruf entgegennehmen soll. zugeteilt, über welche der Router einen ausgehenden Ruf kennzeichnen soll. Dieser Parameter kann an internen S0Anschlüssen wichtig sein, bestimmte TK-Anlagen verlangen diese Funktion von den Endgeräten. interface Ethernet0 ip access-list 102 in access-list 102 deny udp any eq netbios-dgm any access-list 102 deny udp any eq netbios-ns any access-list 102 deny udp any eq netbios-ss any access-list 102 deny udp any range snmp snmptrap any access-list 102 deny udp any range bootps bootpc any access-list 102 deny tcp any eq 137 any access-list 102 deny tcp any eq 138 any access-list 102 deny tcp any eq 139 any access-list 102 permit ip any any Rufannahme Beispiel Ethernet Um einen Ruf nur mit korrekt übermittelter MSN (CLINumber) anzunehmen, benutzen Sie die Befehle: Network Adress-Translation Anhand dieses Beispiels einer Access-Liste für ein Ethernet Interface werden die NetBios Ports 137-139 auf TCP- und UDP-Basis gefiltert. Zusätzlich werden noch SNMP-Pakete für das Netzwerk-Management und BootPAnfragen gefiltert. Die Access-Liste wurde auf dem Ethernet-Interface als IN definiert. Somit werden diese Pakete dort direkt schon geblockt und gelangen erst gar nicht auf das ISDN-Interface. Wichtig ist das am Ende der Access-Liste erscheinende Kommando access-list 102 permit ip any any. Denn am Schuß einer jeden Access-Liste ist immer ein implizites access-list 102 deny ip any any zu erwarten, somit müssen Sie dieses Permit-Kommando auf jeden Fall setzen. Es sei denn, Sie erstellen eine Access-Liste, in der Sie nur bestimmte Permits eintragen, so daß der Rest gesperrt werden kann. In der letzten Ausgabe sind wir auf das NAT-Kommando des IOS für ausgehende Rufe eingegangen. Je nach Netzwerkanforderungen kann es vorkommen, daß auch In der nächsten Ausgabe finden Sie Hinweise zu Call Back Varianten und zum Troubleshooting an einem IOS-Router. MSN übermitteln Eine bestimmte MSN übermitteln Sie dem Cisco Router wie folgt: interface BRI0 isdn calling-number <MSN> Mit dem Kommando isdn calling-number wird die MSN interface BRI0 isdn caller <Rufnummer> Mit diesen Kommandos überprüft der Router die eingehende Rufnummer, die CLI-Number ist die Rufnummer im ISDN D-Kanal. Er vergleicht diese mit der unter dem Befehl isdn caller <Rufnummer> eingetragenen Nummer. Stimmen beide überein, wird der Ruf angenommen. Wichtig ist, daß die Nummer so eingetragen wird, wie Sie am Router ankommt. Fehlt z.B. die führende 0 beim eingehenden Ruf, so darf diese auch nicht mit führender 0 eingetragen werden. 04 Ausgabe 04/2001 45 h HOTLINE NOVELL FAQs und Facts Interessante Tips der Deutschen Netware FAQ Von Stefan Braunstein Die Deutsche Netware FAQ bietet seit Jahren interessante Tips und eine große Toolsammlung rund um Novell NetWare. Stefan Braunstein, der Verwalter der Deutschen Netware FAQ und der Netzwerk-Utility-Sammlung NetwareFiles, startet mit dieser Ausgabe für Technik News Leser eine monatliche Serie seiner Tips und Tricks zu NetWare und zu verwandten Themen. D Die Deutsche Netware FAQ mit ihren wertvollen Tips zu Novell NetWare gibt es auf w w w . n w faq.de, die große Toolsammlung zum Thema unter www.netware files.de. Dort finden Sie alle Tools, die hier besprochen werden, und viele andere mehr. Einen direkten Link haben Sie auch über Technik News online unter www.tech nik-news.de. Buffers sollten Sie dann natürlich auch anpassen und um etwa 200 bis 300 höher als die Minimum Buffers einstellen. Entsprach der aktuelle Wert bereits der eingestellten maximalen Pufferanzahl, sollten Sie den Maximum-Wert großzügig hochsetzen. Entsprechend verfahren Sie mit den D i r e c t o r y C a c h e Buffers. (vgl. Abb. 1) Performance Tips HOTLINE Ein Novell Server kann nie genug Arbeitsspeicher haben, das gilt für alle NetWare Versionen. Anderweitig nicht genutzter Speicherplatz wird hier als Cache-Speicher zum Zwischenlagern häufig verwendeter Dateien genutzt und geht somit nicht verloren. Sie sollten allerdings prüfen, ob zumindest ein Teil dieses Speichers nicht sinnvoller angelegt ist. Die folgenden Einstellungen sollten Sie nur dann vornehmen, wenn genug Ressourcen verfügbar sind (vgl auch TN 03/2001). Buffer Den Parameter Set Minimum Packet Receive Buffers sollte man auf den etwas aufgerundeten Wert des Packet Receive Buffers - bei deutschen Versionen P a k e t Empfangspuffer - einstellen, der sich nach einer Laufzeit von mehreren Tagen oder Wochen von selbst eingependelt hat. Den Parameter Set Maximum Packet Receive Prüfen Sie die aktuellen Werte im MONITOR.NLM unter General Information und ändern Sie diese im Menüpunkt Server Parameters, bei NetWare 3.x durch manuelles Editieren der AUTOEXEC.NCF bzw. STARTUP. NCF. Disk Cache Der Standardwert für Set Maximum Concurrent Disk Cache Writes von 50 ist für aktuelle Serverhardware viel zu niedrig. Aktuelle Service Packs für NetWare 4.x und 5.x setzen diesen Wert automatisch auf 500, was vor allem beim Schreiben großer Datenmengen zu mehr Performance verhilft. Überprüfen Sie diesen Wert und setzen Sie ihn gegebenenfalls auf 500. DSK Treiber Einen großen Performanceschub können Sie beim Einsatz eines Adaptec Die angesprochenen Technical Information Documents (TIDs) und weitere englischsprachigen Informationen zu Fehlern und Fragen finden Sie in der Novell Knowledge Base: h t t p : / / support.novell.com/ search/kb_index.htm. SCSI-Controllers, der noch mit DSKTreibern arbeitet, erwarten. Die DSK Treiber der Adaptec Controller nutzen ein recht ineffektives Read-AfterWrite Verify zum Kontroll-Lesen der geschriebenen Daten. Dies wird normalerweise auch von der SCSIFestplatte hardwareseitig vorgenommen, so daß eine weitere Kontrolle durch den Controller normalerweise nicht notwendig ist. Mit den folgenden Parametern können Sie das Verify des Controllers in der A U T O EXEC.NCF bzw. STARTUP.NCF ausschalten: load aicxxyy.dsk read_ after_write=0 tag_ disable=ffff Diese Parameter sind bei Einsatz der aktuellen HAM Treiber nicht mehr notwendig und werden dort auch nicht mehr unterstützt. Sommerzeit Erst kürzlich wurden wieder alle Uhren umgestellt und die Abende verlängert. Hoffentlich war kein Netware Abend für Sie dabei. Damit Sie ihren Feierabend nicht verpassen, möchten 04 Ausgabe 04/2001 46 wir Ihnen einige Tips zur Zeitumstellung an Netware Servern geben. Das Freeware-Programm heißt SUMRTIME.NLM und befindet sich im Archiv sumrtime.exe unter www.NetwareFiles.de/ util/nlm und auf der aktuellen TN-Monats-CD im Verzeichnis NetwareFiles. NetWare 3.x Für die NetWare 3.x gibt es von Hause aus keine automatische Umstellung zwischen Sommer- und Winterzeit. Mit Hilfe eines kleinen Programms, das die aktuellen deutschen Umstellungszeiten fest einprogrammiert hat und deshalb keinerlei Aufwand erfordert, können Sie das halbjährliche manuelle Setzen der Zeit aber recht einfach vermeiden. NetWare 4.x Ab NetWare 4.0 funktioniert die Sommerzeitumstellung automatisch, wobei sich der Zeitpunkt des Sommerzeitendes nach Erscheinen der NetWare 4.10 geändert hat. Ändern Sie deshalb gegebenenfalls den entsprechenden Eintrag in der AUTOEXEC.NCF:SET END OF DAYLIGHT SAVINGS TIME = (OCTOBER SUNDAY LAST 3:00:00 AM) Bei der NetWare 4.11 und 4.2 ist bei korrekter Eingabe der Zeitzone während der Installation nichts zu ändern. NetWare 5.x Bei NetWare 5.x wurden ärgerlicherweise fast alle europäischen Zeitzonen falsch definiert. So hat Novell die amerikanische Regel “Sommerzeit beginnt am ersten Sonntag im April” eingesetzt. Nur wer Amsterdam als Zeitzone ausgewählt hatte, hat bereits die richtige Einstellung des Wechsels. Doch nur die wenigsten von uns sind von Grachten umgeben, aber Sie können den richtigen Zeitpunkt auch nachträglich manuell korrigieren. Richtig ist: SET START OF DAYLIGHT SAVINGS TIME = (MARCH SUNDAY LAST 2.00.00 ) Sollte die Uhr auch zu übrigen Zeiten eher nach dem Mond gehen, sollten Sie eine Zeit-Synchronisierung mit einer DCF77-Funkuhr in Erwägung ziehen oder bei einer permanenten Internetverbindung den Netware Server mit einem Timeserver im Internet synchronisieren. Wir werden uns in der nächsten Ausgabe noch genauer mit den Timeservern beschäftigen. Time Adjustment Bitte ändern Sie bei einem Server mit aktiver NDS die Zeit jedenfalls nicht per TIME, wie Sie es vielleicht von NetWare 3.x gewohnt sind, sondern über Time adjustment. Über das MONITOR.NLM unter Server Par a m e t e r s wird zu T I M E für TIMESYNC Time Adjustment die erforderliche Syntax erklärt. Für die NDS ist eine korrekte Zeit lebenswichtig. “Synthetische Zeit”-Fehler kommen durchaus häufig vor und werden oft nicht genügend beachtet! Sollten Sie die Zeit bereits manuell geändert haben und nun mit Meldungen: Synthetische Zeit überschüttet werden, lesen Sie den folgenden Tip. Synthetische Zeit Die Synthetische Zeit wird auf Partition MY_TREE angegeben. Alle NDS Objekte besitzen einen Timestamp. Bei der obigen Fehlermeldung gibt es nun Objekte mit einem Timestamp, der in der Zukunft liegt. Das passiert z.B. dann, wenn beim Einrichten der NDS eine falsche Zeit eingestellt war, oder wenn während des laufenden Betriebes auch nur kurz auf eine zukünftige Zeit umgestellt wurde. Das Verändern der Systemzeit hat jedoch weitreichende Folgen in der NDS. Eigentlich dürfte man jetzt keinerlei Objekte mehr ändern, bis die eingestellte Zeitpunkt erreicht wird, weil ja alle nachfolgenden Änderungen älter wären als das Ursprungsobjekt. Da das nicht praktikabel ist, 04 Ausgabe 04/2001 47 Abb. 1: Unter Communications Parameters können die Werte - in einzelne Bereiche getrennt - editiert werden. erzeugt NetWare eine synthetische Zeit, und weil dies nur eine Notlösung ist, erscheint eben die besagte Fehlermeldung. Wenn die Zeit also nur um zwei bis drei Wochen verstellt wurde, was sich durch ein l o c a l dsrepair feststellen läßt, sollten Sie diesen Zeitpunkt einfach abwarten, weil die nachfolgende Operation nicht ungefährlich für die NDS ist. Zeitstempel reparieren Reparieren kann man diesen Fehler bei einer ansonsten intakten NDS mit DSREPAIR.NLM unter Advan ced Options. Unter den Replica Operations finden Sie Repair time stamps and declare a new epoch, bei der deutschen Version unter Erweiterte Option e n heißt bei den R e p r o d u ktions- und Partitionsoperationen übersetzt: Zeitstempel reparieren und eine neue Epoche angeben. Dieser Menupunkt ist bei neueren Versionen des DSREPAIR nur noch sichtbar, wenn man DSREPAIR mit dem Parameter -A startet. Denn diese Operation kann in Multiserverumgebungen bei Synchronisierungsschwierigkeiten der NetWare Server untereinander große Probleme verursachen, weil temporär alle ReadWrite-Replikas gelöscht und anschließend neu aufgebaut werden. Dabei wird erheblicher Datenverkehr erzeugt, der besonders in WAN-Umgebungen teilweise mehrere Stunden andauert, bis die Neusynchronisation der NDS abgeschlossen ist. Sie erreichen den Autor Stefan Braunstein über: www.braunstein.de. p PRAXIS GRUNDLAGEN Ethernet Teil 2: Aufbau des Ethernet-Frames Von Hardy Schlink Wir haben die Anfänge der Ethernet-Technologie, die Entstehung der verschiedenen IEEE Standards und das bekannte OSI- Referenzmodell der International Standards Organisation (ISO) kennengelernt. In diesem Beitrag werden uns die einzelnen Schichten und den Aufbau eines Ethernet-Frames genauer ansehen. F Für die Beschreibung des Ethernet Standards sind die Schichten 1 und 2 des OSI-Modells vorgesehen, der Physical- and Data Link Layer. Um die Details besser organisieren zu können, definierte die IEEE zusätzliche Sublayer, die aber weiterhin nur zu den Schichten 1 und 2 des OSIReferenzmodells gehören. Abbildung 1 macht die Unterschiede deutlich. PRAXIS IEEE Layer im OSI-Modell Wie wir in Abbildung 1 erkennen, wurden von der IEEE weitere Sublayer integriert, z.B. zusätzliche Funktionen für den MAC-Layer oder die Definition von weiteren Implementierungen zum Physical Signaling. Der DataLink Layer unterteilt sich in die Komponenten Logical Link Controll (LLC) und Media Access Control, die für alle Varianten und Geschwindigkeiten der Ethernet-Technologie gleich zu behandeln sind. Eine tiefergehende Beschreibung der LLC und MAC Funktionen folgt später in diesem Artikel. Sublayer In der physikalischen Schicht unterscheiden sich die IEEE Sublayer in Abhängigkeit der definierten Varianten des Ethernets. Bei diesen Varianten handelt es sich um die Spezifika- Grundlagen tionen der physikalischen Schicht für 10, 100, oder 1000 Mbps Ethernet. Jeder dieser Sublayer hat die Aufgabe, die Organisation der EthernetSpezifikationen einfacher zu gestalten, und die spezifischen Funktionen jedes einzelnen Sublayers zu definieren, damit ein Arbeiten im Ethernetverbund erst möglich wird. Das Verstehen der benötigten Schichten für die Ethernettechnik hilft uns auch, den Sinn der verschiedenen SublayerStandards zu begreifen. Der MACLayer zum Beispiel baut auf die physikalische Schicht auf, das bedeutet, er ist unabhängig von den verschiedenen Spezifikationen des Physical Layers und damit auch von dem verwendeten Medium. Es spielt also keine Rolle, ob die Geschwindigkeit des Ethernets 10, 100 oder 1000 Mbps beträgt, der MAC-Layer funktioniert immer in der gleichen Art und Weise. Der IEEE LLC Layer ist nicht abhängig vom 802.3 Ethernet Standard und weist keine verschiedenen Variationen auf, egal welches LAN-System zum Einsatz kommt. Die LLC Control-Fields wurden so entworfen, daß sie mit allen LAN-Systemen verwendet werden können, und nicht nur mit Ethernet. Daß diese Funktion überhaupt implementiert werden konnte, liegt dran, daß der LLCSublayer kein Bestandteil früherer 802.3 Spezifikationen war. Wichtig ist es auch, zu wissen, daß alle Sublayer unterhalb der LLC-Schicht fest mit den verwendeten Technologien, wie Ethernet oder FDDI, verbunden sind. 04 Ausgabe 04/2001 48 Halb- und Voll-Duplex Um Daten zwischen Stationen austauschen zu können benutzten die erstem Implementierungen der EthernetTechnologie den sogenannten HalfDuplex-Modus. Half-Duplex bedeutet im einfachen Sinne, daß nur ein Knoten zur gleichen Zeit Daten über den Ethernetkanal senden kann, und das sich alle Systeme diesen Kanal zur Datenübertragung teilen müssen. Damit das Sharing überhaupt funktionieren kann, kommt hierzu ein Protokoll zum Einsatz, welches unter dem Namen Carrier-Sense-MultipleAccess with Collision-Detection (CSMA/CD) weltweit bekannt wurde. Dieser Modus wurde in den meisten Ethernetnetzwerken angewendet, bis die ersten Ethernet SwitchingHubs auf den Markt kamen. Heutzutage hat sich der Trend vom HalfDuplex-Mode entfernt, da nun die einzelnen Stationen jeweils direkt mit einem Port des Ethernetswitch verbunden werden können. Da jeder Knoten eine dedizierte Verbindung zum Netzwerk besitzt, d.h. der Channel nicht mehr zwischen mehreren Devices geteilt werden muß, ist es auch nicht mehr erforderlich das CSMA/CD Protokoll anzuwenden. Hieraus resultiert, daß jede Workstation ihre Daten senden kann, wann immer die Übertragung benötigt wird, ohne Rücksicht auf andere Teilneh- mer nehmen zu müssen. Dieser Mechanismus der Datenübertragung trägt den Namen Full-Duplex-Mode. gitalen Signale an die einzelnen Stationen, die am Netzwerk angeschlossen sind, zu vermitteln. Basiselemente Ethernet-Frame Der Aufbau eines Ethernet LANs besteht aus Hard- und Softwarekomponenten, um digitale Daten zwischen zwei oder mehreren Computern auszutauschen. Um diese Aufgabe ausführen zu können, benutzt ein Ethernetsystem vier Basiselemente, die wir etwas genauer unter die Lupe nehmen wollen, den Ethernet-Frame, das Media Access Protocol, die Signalisierung und das physikalische Medium. Um ein funktionierendes Ethernetsystem zu erhalten, sind diese vier Basiselemente zu implementieren. Der Ethernet-Frame besteht aus einem standardisierten Satz von Bits, um Daten über das System übertragen zu können. Erst das MediaAccess oder kurz das MAC-Protocol, welches eine Reihe von Regeln beinhaltet, erlaubt mehreren Stationen den gemeinsamen Zugriff auf ein Shared-Medium, und zwar in der Art und Weise, daß sich die Knoten nicht gegenseitig behindern. Die einzelnen Komponenten der Signalisierung bestehen aus standardisierten elektronischen Devices, welche die Signale über das Ethernet senden und empfangen. Das physikalische Medium schließlich wird dazu benutzt, die di- Abbildung 1: Layer 1 und 2 des OSI-Modells im Vergleich zu den IEEE Standards 04 Ausgabe 04/2001 49 Es sind die Ethernet-Spezifikationen, welche die Struktur eines Frames vorschreiben und definieren, wann es einer Station erlaubt wird, einen Frame auf das Medium abzusetzen. Dieser Zugriff auf das Medium wird wiederum auf der Basis des CSMA/ CD Protokolls geregelt. Das komplette Ethernet-System ist dafür gedacht, Frames zwischen Computern und deren Applikationen auszutauschen, hierbei spielt der Aufbau eines Frames eine zentrale Rolle. Der EthernetFrame wurde ursprünglich im Orginal Ethernet DIX Standard beschrieben. DIX steht für die Firmen DEC, Intel und Xerox. Er wurde später unter dem Dach der IEEE neu definiert. Die Unterschiede zwischen den beiden Definitionen sind bis auf das sogenannte Feld Type eher gering. Im DIX Standard wurde im EthernetFrame das Type-Feld erstmals definiert. Der erste IEEE 802.3 Standard aus dem Jahr 1985 ersetzte dieses Type-Feld durch ein Längen-Feld. Hierbei wurde ein Mechanismus implementiert, der es erlaubte, daß beide Frame-Versionen auf dem gleichen Ethernet-System koexistieren konnten. Da die meiste Netzwerksoftware weiterhin das Typenfeld benutzte, sah man sich bei der IEEE veranlaßt, den Standard wiederum zu ändern, und zwar so, daß nun die Definition als Typen- oder Längenfeld von der Verwendung abhängt. In der Abbildung 4 werden die Unterschiede zwischen den beiden Standards in Bezug auf das Typen- bzw. das Längenfeld verdeutlicht. Da die DIX und IEEE Frames in Bezug auf die Anzahl und die Länge der einzelnen Felder identisch sind, können die Ethernet Interfaces dazu benutzt werden, beide Typen von Frames zu senden. Es gilt hierbei nur zu beachten, daß die Stationen, die die einzelnen Frames senden und empfangen, sie entsprechend der Angaben in den Frames auch korrekt interpretieren. p PRAXIS Tabelle1 hexadezimal: binär: F0 0000 1111 2E 0111 0100 15 1010 1000 6C 0011 0110 77 1110 1110 9B 1101 1001 Tab. 1: Beispiel für die : Physical Address PRAXIS Preamble Jeder Frame beginnt mit einem sogenannten Preamble Field, welches eine Länge von 64 Bit aufweist und der Synchronisation der 10 MBit Ethernet-Interfaces im Netzwerk auf den eingehenden Datenstrom dient, und zwar bevor die eigentlichen wichtigen Daten des Frames ankommen. Die Preamble erlaubt es, daß in einem 10 Mbps LAN am Anfang des Frames einige Bits durch Signal-Startverzögerungen verloren gehen, ohne hierbei wichtige Informationen zu verlieren, den Datenanteil des Frames. Die Preamble wurde im FastEthernet- und Gigabit- Ethernet-Standard beibehalten, um die volle Kompatibilität zum Orginal EthernetFrame zu realisieren. Hierbei gilt es zu beachten, daß sowohl das FastEthernet- wie auch das GigaBitEthernet-System einen komplexeren Mechanismus für die Signalcodierung verwendet, welches schon von vornherein Signal-Startverzögerungen ausschließt. Aus diesem Grund benötigen die beiden letztgenannten Systeme die Preamble eigentlich nicht, sie wird aber wie bereits erwähnt wegen der Abwärtskompatibilität mit integriert. Im DIX Standard besteht die Preamble aus 64 Bits oder 8 Octets, die sich aus einer abwechselten Anzahl von Einsen und Nullen zusammensetzen. Die Preamble beginnt mit dem Wert 1 gefolgt vom Wert 0. Diese Reihenfolge wird bis auf die letzten beiden Bits beibehalten, die beide den Wert 1 besitzen und hiermit dem empfangenden Interface signalisieren, daß die Preamble zu Ende ist und alle nachfolgenden Bits zu den eigentlichen Daten gehören. In der IEEE 802.3 Spezifikation hingegen wird das eigentliche Feld der Preamble in zwei verschiedene Fenster unterteilt, der sieben Byte langen Grundlagen Preamble und dem ein Byte großen SFD-Feld, dem Start Frame Delimiter. Die letzten beiden Bits des SFD-Felds haben wie beim DIX-Standard den Wert 1. Auch wenn die IEEE sich dazu entschlossen hat, ein SFD-Feld im Frame zu implementieren, so gibt es eigentlich keinen praktischen Unterschied zwischen der IEEE und DIX Preamble, das Pattern ist identisch. Destination Address Das Destination-Address Feld folgt unmittelbar der Preamble. Jedem Ethernet Interface wird zur Kennzeichnung eine eindeutige 48-Bit große Adresse zugewiesen, die unter dem Namen Physical- oder HardwareAddress besser bekannt ist. Im Ethernet-System wird die 48-Bit große physikalische Adresse in 12 hexadezimalen Zahlen dargestellt, die sich wiederum in sechs einzelne Paare aufteilen, wobei jedes Paar hierbei 8Bits oder ein Octect darstellt. Die Reihenfolge der Übertragung der Octets im Ethernet geht vom ganz links stehenden Byte bis zum ganz rechts stehenden Byte der Hardwareadresse. In dem einzelnen Octet wie- derum läuft die Reihenfolge der Übertragung vom sogenannten Least Significant Bit zum Most Significant Bit hin. Dies bedeutet, daß die Ethernet-Adresse F0-2E-15-6C-77-9 in hexadezimaler Schreibweise in der in Tabelle 1 genannten binären Reihenfolge von links nach rechts über das Ethernet-Medium übertragen wird. Das Destination-Adress-Field enthält also eine 48 Bit große, binäre Ethernet-Adresse, die der Adresse des empfangenden Interface auf Seiten des Kommunikationspartners entspricht, also der Adresse der Station, welche den Frame empfangen soll. Neben der Hardwareadresse eines einzelnen Empfängers kann das Destination-Adress-Field aber auch eine 48-Bit Multicast-Adresse oder die Standard-Broadcast Adresse enthalten. Jedes Ethernet-Interface, welches an der Kommunikation im Netzwerk teilnimmt, liest jeden übertragenen Frame mindestens bis zu diesem Destination-Adress-Field aus. Sollte es nicht der eigenen physikalischen Adresse entsprechen oder eine Multi- oder Broadcast-Adresse sein, so wird der Rest des Frames einfach ignoriert. Abbildung 2: Unterschied der Framedefinition zwischen DIX- und IEEE 802.3 Standard 04 Ausgabe 04/2001 50 DA bei DIX und IEEE Schauen wir uns die Unterschiede in der Implementierung des DestinationAddress-Feldes bei den Standards DIX und IEEE 802.3 an. Das erste Bit der Adresse, so wie es auf das Medium gesendet wird, wird zur Unterscheidung zwischen physikalischeroder Multicast-Adresse herangezogen. Besitzt das erste Bit den Wert 0, so handelt es sich um die physikalische Adresse des Empfängers, die auch unter dem Begriff der UnicastAdresse bekannt ist, Unicast deswegen, weil es sich hierbei nur um einen bestimmten Empfänger des Paketes handelt. Sollte der Wert des ersten Bit 1 sein, so wird dieses als Multicast-Adresse gedeutet, und das Frame an eine Gruppe von Stationen gesendet, die auf den Empfang von Multicast-Frames konfiguriert wurden. Der IEEE 802.3 Standard mißt dem zweiten Bit eine große Bedeutung bei, da dieses Bit verwendet wird, um zwischen einer lokalen oder globalen administrierten DestinationAddress zu unterscheiden. Unter einer global administrierten Adresse versteht man, daß diese physikalische Adresse vom Hersteller des EthernetInterfaces vergeben wurde, welches durch das Setzen des zweiten Bits auf dem Wert 0 gekennzeichnet wird. Die Ethernet-Adressen des DIX-Standards hingegen sind immer als global administriert definiert. Wenn eine Adresse aus irgendeinem Grund als lokal interpretiert werden soll, so wird dies durch das Setzen des zweiten Bits auf den Wert 1 angezeigt. Im Falle einer Broadcast-Adresse ist der Wert des zweiten Bits ebenfalls 1, d.h. hier gibt es keinen Unterschied zwischen dem IEEE und DIX Standard. Source Address Das nächste Feld im Ethernet-Frame trägt die Bezeichnung SourceAddress. Hierbei handelt es sich um die physikalische Adresse des sendenden Ethernet-Interface. Es gilt hierbei zu beachten, daß die SourceAddress nicht vom MAC-Protocol in irgendeiner Art und Weise interpretiert wird. Statt dessen wird sie von den im OSI-Modell höher liegenden Protokollen benötigt. Eine Ethernetstation verwendet ihre physikalische Adresse als die SourceAdresse in jedem Frame, welches sie auf dem Ethernet aussendet. Der DIX Standard sieht vor, daß ein Knoten seine Ethernet SourceAddress ändern kann, während der IEEE Standard diese Funktion nicht explizit kommentiert, so daß ein Interface die Möglichkeit besitzt, die vom Hersteller zugewiesene Hardwareadresse zu überschreiben. Heute ist es aber so, daß es bei allen Ethernet-Interfaces erlaubt wird, die physikalische Adresse auszutauschen, um dem Netzwerkadministrator oder auch höher gelegenen Protokollen die Möglichkeit zu bieten, eine notwendige Änderung vorzunehmen. Damit der Hersteller des EthernetEquipments die physikalische Adresse, die im Source-Adress-Field verwendet wird, bereitstellen kann, muß er erst von der IEEE den sogenannten Organizationally Unique Identifier (OUI) beantragen. Diese OUI, die eine Größe von 24 Bit besitzt, gestaltet das Aussehen der ersten Hälfte der Hardwareadresse auf jedem Ethernet-Interface. Weiterhin vergibt der Hersteller für jedes seiner Ethernet Interfaces eine eindeutige Adresse im Bereich der unteren 24Bit des 48-Bit Adreßraumes. Das Ergebnis dieser Struktur der EthernetAdreßvergabe ist eine 48-Bit große Ethernet-Adresse, die weltweit nur einmalig vergeben wurde. Die OUI kann auch dazu benutzt werden, den Hersteller eines Ethernet-Interfaces zu identifizieren, was wiederum eine Erleichterung beim Trouble-Shooting im Netzwerk bedeutet. Typ- oder Längenfeld Als nächstes Feld im Ethernet-Frame kommt das Typ- oder Längenfeld an die Reihe. Auch hier existieren Unterschiede zwischen dem DIX und IEEE. Im DIX Standard wird dieses 16-Bit große Feld als Type Field bezeichnet, das immer ein Kennzeichen für den Typ des High-Level-Protocol besitzt, welches im Datenfeld des Ethernet-Frames übertragen wird. 04 Ausgabe 04/2001 51 Zum Beispiel bedeutet die Angabe von 0x0800 im Typenfeld, daß es sich hierbei um das Internet-Protocol IP handelt, welches im Datenteil des Frames integriert ist. Als der IEEE 802.3 Standard 1985 das erste Mal veröffentlicht wurde, enthielten die IEEE Spezifikationen noch anstelle des Typenfeldes ein Längenfeld, dies wurde erst 1997 durch Hinzufügen des Typenfeldes im IEEE 802.3 Standard geändert. Die Kennzeichen des Typenfeldes wurden ursprünglich von Xerox zugewiesen und verwaltet. Dies hat sich aber seit der Integration in den IEEE Standard geändert, da nun das IEEE selbst hierfür zuständig ist. In den neuesten Ausgaben des IEEE 802.3 Standards besitzt dieses Feld nun den Namen Length/Type Field und der hexadezimale Wert des Feldes bestimmt die Art und Weise, wie es zu benutzen ist. Größenabhängig Wenn der Wert des Feldes numerisch gleich oder größer als die maximale untagged Framegröße von 1518 Bytes ist, findet die Verwendung als Längenfeld statt. In diesem Fall zeigt der Wert des Feldes die Anzahl der Logical Link Control Data Octets (LLC) an, die im Datenfeld des Frames folgen. Sollte die Anzahl der LLC Octets weniger betragen als mindestens für das Datenfeld notwendig ist, so wird das Datenfeld mit sogenannten PAD-Daten auf die erforderliche Größe erweitert. Der Inhalt der PAD-Daten wurden vom Standard nicht definiert. Wenn die entsprechenden Frames nun von einer Station empfangen wurden, so dient das Längenfeld zur Bestimmung der Länge der gültigen Daten im Datenfeld des Frames, die zuvor hinzugefügten PAD-Daten werden wieder entfernt. Ist der Wert des Feldes numerisch größer oder gleich 1536 Byte, so wird das Feld als Typenfeld gemäß der DIX Spezifikation benutzt. In diesem Fall wird hier der Typ des höher liegenden Protokolls bestimmt, der im Datenteil des Frames transportiert wird. Im DIX Standard ist weiterhin die verwendete Netzwerksoftware dafür verantwortlich, daß die p PRAXIS Länge des Datenfelds mindestens 46 Byte beträgt, eventuell durch Hinzufügen von PAD-Daten. welche Protokolldaten transportiert werden, wenn der Frame das Length/ Type-Field im Längenmodus betreibt. Datenfeld FCS Feld Wenden wir uns dem Data-Field im Ethernet-Frame zu. Wie bei den anderen Feldern gibt es auch hier den gewissen Unterschied zwischen der DIX und IEEE Implementierung. In einem Ethernet-Frame nach DIXStandard muß das Datenfeld einen minimalen Wert von 46 Bytes aufweisen. Das Maximum an Informationen, die im Datenfeld eines Frames übertragen werden können beträgt 1500 Byte. Die Verantwortung, daß mindestens 46 Byte im Datenfeld vorhanden sind, trägt die NetzwerkprotokollSoftware. Die Werte für das Datenfeld im IEEE 802.3 Frame sind identisch mit denen des DIX-Standards, Minimum 46 Bytes, Maximum 1500. Es gilt aber hier zu unterscheiden, daß ein Logical Link Protocol (LLC), welches im IEEE 802.2 LLC Standard definiert wurde, Kontrollinformationen im Datenfeld des 802.3 Frames ablegen kann. Das LLC-Protocol wird auch dafür benutzt, um festzulegen Das letzte Feld in den beiden Standards DIX und IEEE ist das FrameCheck-Sequence (FCS) Feld, welches sicherlich unter dem Namen CyclicRedundancy-Check (CRC) ebenfalls einen hohen Bekanntheitsgrad besitzt. Dieses Feld, welches einen bestimmten Wert enthält und eine Länge von 32-Bit hat, wird verwendet, um die Integrität der vorherigen Bits des Frames zu überprüfen, hiervon ausgenommen sind die Bits für das Preamble/SFD Feld. Dieser Wert wird über ein CRC berechnet, welches ein Polynomial darstellt, das aus dem Inhalt des Destination-, Source-, Type/ Length- und dem Datenfeld kalkuliert wird. Wenn ein Frame von einer sendenden Station generiert wird, so erfolgt gleichzeitig eine Berechnung des CRC-Wertes, die 32-Bits dieses CRC-Wertes, der das Ergebnis der Kalkulation darstellt, werden im FCSFeld beim Senden des Frames plaziert. Wenn der Kommunikationspartner den Frame empfängt, so wird der CRC wiederum berechnet und mit dem Wert des FCS-Feldes der sendenden Station verglichen. Sollten die beiden Werte übereinstimmen, so kann der empfangende Knoten mit hoher Sicherheit davon ausgehen, daß während der Übertragung des Frames keine Fehler vorgekommen sind. Im folgenden Beitrag kommen wir zum zweiten Basiselement eines Ethernet-Netzwerkes, dem Media Access Control Protokoll. Nachdem wir den Aufbau von Ethernet-Frames des DIX- sowie IEEE 802.3 Standards erläutert haben, wollen wir uns vor Augen führen, wie das CSMA/CD Protokoll funktioniert, welche Regeln und Mechanismen implementiert wurden, um Frames auf einem Half-Duplex Shared Ethernet-Netzwerk zu versenden. Weiterhin werden auch die Maßnahmen aufgezeigt, die zur Verfügung stehen, um zu verhindern, daß mehrere Stationen versuchen zur selben Zeit ihre Daten loszuwerden. Es geht um das Medienzugriffsverfahren. Ethernet Technologien, Protokolle und Dienste für die Computer-Vernetzung. PRAXIS Jörg Rech / Jürgen Kuri , ca. 750 Seiten, ca. 99.- DM. ISBN 3-88229-186-9 Ethernet, die heutzutage am häufigsten eingesetzte Netzwerktechnik im LAN, verlangt den Administratoren durch die Vielfalt der Standards und der technischen Ausführungen ein breites Detailwissen ab. Jörg Rech, den Technik News Lesern seit Jahren als kompetenter Fachautor bekannt, wendet sich zusammen mit Jürgen Kuri in diesem Buch sowohl an Profis als auch an Einsteiger und stellt die informations- und elektrotechnischen Grundlagen leicht verständlich dar. Die vollständige Beschreibung der Ethernet-Technik, der Übertragungsmedien sowie der physikalischen Parameter und Meßgrößen werden ebenso behandelt wie die betriebssystemabhängigen Architekturen, Protokolle und Netzwerk-Dienste. Der Band liefert wertvolle Hinweise für die Planung, die Fehleranalyse und die Optimierung für Ethernet-LANs, vermittelt alle notwendigen Kenntnisse und stellt die Hilfsmittel vor. Er erscheint im März 2001 im Heinz Heise Verlag. Grundlagen 04 Ausgabe 04/2001 52 avm anzeige 04 Ausgabe 04/2001 53 p PRAXIS COMPU-SHACK SOLUTION POP 3? Vorbei! M@ilbridge GroupWise schlägt die Brücke zu Internet-Mail Von Helmut Tibes Viele Unternehmen arbeiten mit Novell GroupWise oder Microsoft Exchange und haben das Problem, ihre hausinterne Mailkommunikation und Ihre Internet-Mails zusammenzubringen. Mit solcherlei Schwierigkeiten wird die CompuShack Solution täglich konfrontiert. Das mag viele nicht trösten, aber inzwischen brauchen Sie nicht einmal mehr Trost, denn es gibt eine Lösung, eine preiswerte zudem: die Compu-Shack M@ilbridge. Wir wollen sie Ihnen vorstellen, klären warum es diese POP3-Probleme überhaupt gibt und Ihnen zeigen, wie die Compu-Shack Solution die Probleme von POP3 Internet-Mail ein für allemal beseitigt. D Die elektronische Kommunikation auf solide Beine zu stellen und ein EMail-System wie GroupWise oder Exchange einzusetzen, ist für eine moderne Unternehmenskommunikation heutzutage längst unabdingbar. Das Problem liegt besonders für kleinere Firmen aber immer noch auf der Kostenseite. Genauer gesagt, es lag bislang an den hohen Kosten, denn mit der Compu-Shack M@ilbridge für GroupWise verbinden Sie nun auch Mailsysteme, die nur SMTP verstehen, mit dem Internet und können dennoch bei einem preiswerten Internetzugang bleiben. PRAXIS Woran liegts ? Schwierigkeiten mit SMTP entstehen dort, wo der Internetzugang nur über eine Wählleitung realisiert wird und keine eigene, fest zugeordnete IPAdresse verfügbar ist. Denn die und eine Standleitung ins Internet machen den Internet-Zugang wirklich kostspielig. Internet-Mail über eine preisgünstige Verbindung heißt in der Regel, das Post Office Protocol 3 zu verwenden, wobei der Provider die Mails nicht wie beim Simple Mail Transfer Protocol (SMTP) auf den Mailserver des Kunden schickt, sondern umgekehrt Kunden ihre E-Mails vom Mailserver des Providers auf eine Arbeitsstation herunterladen und anschließend intern weiterleiten, ein unerquicklicher Zustand. E-Mail ist unverzichtbar Doch wie verbinden Sie GroupWise mit dem Internet, wenn diese Mailsysteme nur SMTP verstehen, Sie aber bei Ihrem preiswerten Internetzugang bleiben wollen? Nun, die perfekte Zusammenführung dieser auf den ersten Blick unvereinbar scheinenden Ansprüche hat CompuShack jetzt mit ihrer M@ilbridge für GroupWise geschaffen (vgl. Abb. 1). Diese neue Softwarelösung nutzt einen bestehenden Low-Cost-Internetzugang und stellt dennoch eine vollwertige Internet-Mail-Anbindung über SMTP bereit. Das Versenden und Empfangen von Internet-Mails wird vollständig über den GroupWise Internet Agent (GWIA) abgewickelt, so daß für den Mailtransport weder zusätzliche Hardware noch Software benötigt wird. Der M@ilbridge Client, der auf dem Kunden Group Wise Server eingerichtet wird, ist ein Perl-Script, welches sich auf fast alle GWIA Installationen anpassen läßt. M@ilbridge Client Sobald der M@ilbridge Client gestartet wird, liest er die systemeigenen Informationen aus einer zuvor erstellten Startupdatei aus. Systemspezifische Daten sind z.B. die Pfade zu den GWIA Warteschlangen, Verbindungsgrenzwerte oder der Internet-Domänenname, aber auch Informationen für die Authentisierung. Nach der Startupdatei verarbeitet der M@ilbridge Client einen Key, den er zur Verschlüsselung der Kommunikation mit dem Compu-Shack M@ilbridge Server benötigt. Anschließend ist er betriebsbereit und beginnt mit dem Abfragen der GWIA Warteschlangen. Alle Vorgänge werden auf der Serverkonsole protokolliert (vgl. Abb. 2). Die Verbindungsgrenzwerte aus der Startupdatei verwendet der Client, um zu entscheiden, wann er sich am M@ilbridge Server anmeldet. Dynamisch adressiert Es gibt drei verschiedene Verbindungsgrenzwerte, die Sie innerhalb bestimmter Grenzen einstellen können. Diese Grenzwerte verhindern, daß aus der Wählleitung nicht doch noch eine Standleitung wird, sie halten die Verbindungskosten unter Kontrolle. Als Startwert wird die Anzahl der E-Mails, die Größe der Mails in Kilobyte oder ein Zeitintervall angeboten. Sobald er erreicht ist, wird der Client mit dem M@ilbridge Server Kontakt aufnehmen. Dabei wird er den Domänennamen übermitteln und anschließend in verschlüsselter Übertragung die Anmeldung durchführen. Diese Anmeldung hat mehrere Aufgaben zugleich. Zuerst dient sie der Übermittlung der - dynamisch zuge- 04 Ausgabe 04/2001 54 teilten - IP-Adresse, wir hatten ja anfangs gesagt, es geht nicht ohne. Jetzt aber hat der Compu-Shack M@ilbridge Server diese IP-Adresse und sie ist solange gültig, bis die Wählverbindung wieder abgebaut wird, eben dann, wenn alle Emails ausgetauscht wurden. Mail-Austausch Der zweite Grund, warum sich der M@ilbridge Client gegenüber dem Server ausweisen muß, besteht darin, daß wir sicher sein müssen, den richtigen GroupWise Server auch wirklich am anderen Ende zu haben, wenn sich die E-Mails auf den Weg zu Ihnen machen. Außerdem teilt uns der Client während des Bestätigungsvorgangs noch mit, wie viele InternetMails bei unserem Kunden warten. Das unterstützt uns bei der Verhinderung von Mail Spam-Angriffen. Sobald der Authentisierungsvorgang abgeschlossen ist, beginnt der MailAustausch. Sobald der Authentisierungsvorgang abgeschlossen ist, beginnt der Mail-Austausch. Dabei sendet der M@ilbridge Server die gesammelte Kundenpost an den Client, während dieser im Gegenzug seine Mails über den M@ilbridge Server ins Internet schickt. Im Gegenzug sendet der M@ilbridge Client auf ihrem GroupWise Server alle zurückgehaltene Internet-Mail an den CompuShack M@ilbridge Server zur Auslieferung ins Internet. Nach Abschluß dieses Mailtransfers wird die Wählverbindung bis zur nächsten Kontaktaufnahme wieder abgebaut. Während das GroupWise System im Unternehmen die entgegengenommenen E-Mails bereits den entsprechenden Benutzerkonten zugestellt hat, werden die externen Nachrichten an ihre Empfänger ins Internet geliefert. Integration des Clients Das Besondere an der Compu-Shack Lösung ist die einfache Integration des M@ilbridge Clients in eine bestehende GroupWise Installation, denn dazu ist einzig und allein die 3rd Party Integration auf dem GroupWise Internet Agent notwendig. Der Client wird also rein auf Verzeichnisebene in die Internetkommunikation eingebunden. Hierzu erzeugt der GWIA in einem Unterverzeichnis zusätzliche Warteschlangen SEND, RECEIVE und R E S U L T (vgl. Abb. 3). Die M@ilbridge Client Funktionalität wird gänzlich ohne Kontakt zu den GroupWise Directory Services oder der NDS realisiert. Abb. 1: Compu-Shack M@ilbridge für GroupWise M@ilbridge Service Viele Unternehmen werden es sicher als Erleichterung empfinden, wenn sie keine POP3 Mailboxen mehr pflegen müssen. Sie können in Group-Wise eigene Benutzerkonten anlegen oder löschen, ohne ihren Internetpro-vider oder Compu-Shack darüber informieren zu müssen. Es fallen weder dort noch an ihrem M@ilbridge Client irgendwelche Konfigurationsänderungen an. Sie brauchen sich um keinerlei Formalitäten zu kümmern. Die Compu-Shack Solution regelt die Beantragung ihrer Internetdomäne und das Umleiten ihrer E-Mails auf die Compu-Shack M@il-bridge. Ein weiterer Vorteil der Compu-Shack M@ilbridge ist, daß sie sogar den Standort ihres GroupWise Servers verändern können, ohne irgendwelche Änderungen an ihrer Client Konfiguration vornehmen zu müssen. Virencheck Die Compu-Shack M@ilbridge bietet zudem einen Service, der den Unternehmen mit Sicherheit viel Mühe und Ärger erspart. Denn alle E-Mails, die über unseren M@ilbridge Server geroutet werden, sind bereits auf Viren geprüft worden. Für die Zukunft sind weitere Dienste geplant, etwa ein Backup-Service, der E-Mails wieder zur Verfügung stellt, die versehentlich gelöscht wurden oder aufgrund von Datenverlust nicht mehr zugänglich sind. Der M@ilbridge Service wird als monatliches Abonnement im April mit dem Client für GroupWise starten und deutlich unter dem Preis eines herkömmlichen SMTPMailzugangs mit fester IP-Adresse liegen. Bei der Einrichtung des Clients entstehen nur einmalige Kosten. Für 04 Ausgabe 04/2001 55 Abb. 2: Protokoll auf der Serverkonsole Abb. 3: Der GWIA legt zusätzliche Warteschlangen für den M@ilbridge Client an. GroupWise Neueinsteiger gibt es ein Bundle, das die Software und die Komplettinstallation umfassen wird, so daß das Unternehmen gleich mit M@ilbridge loslegen kann. Bei Interesse werden wir Sie gerne über den aktuellen Entwicklungsstand informieren. Wer sich schon jetzt für die GroupWiseAnbindung vormerken lassen will oder Fragen hat, erhält auf E-Mail an [email protected] oder telefonisch unter 02631 983-988 unverbindlich Auskunft. s SOLUTIONS EDUCATION - PROJEKTE - SUPPORT SQL-Server 2000 Neue Seminare zur Nachfolgegeneration des SQL Server 7.0 Um IT-Spezialisten einen Ersteinstieg in die neuen Features des SQL-Servers 2000 zu erleichtern, hat Microsoft drei neue Seminare ins Leben gerufen. Die Kurse bauen systematisch aufeinander auf und setzen grundlegende administrative Kenntnisse unter Windows 2000 voraus, wie sie etwa im Kurs “MS Win 2000 Network & Operating System Essentials” vermittelt werden. Im Mittelpunkt des Kurses “Querying Microsoft SQL Server 2000 with Transact-SQL (MS 2071)” steht das Erlernen der Abfragesprache Transact-SQL, um SQL-Server Daten strukturiert zu verarbeiten. Der Preis für das zweitägige Seminar beträgt 1.580,- DM. Kurs MS 2071: - Einführung in Transact-SQL Transact-SQL Abfrage Tools Kombinieren mehrerer Tabellen Arbeiten mit Unterabfragen Modifizieren von Daten Abfragen eines Full-Text Index Einführung in Programmierobjekte SOLUTIONS IT-Spezialisten, deren Aufgabe die Administration des SQL Server 2000 ist, werden im Seminar “Administering a Microsoft SQL Server 2000 Database” (MS 2072) mit umfangreichen Kenntnissen versehen, die sie befähigen, einen SQL 2000 Server professionell zu installieren, zu konfigurieren und zu supporten. Der 5-Tage-Kurs kostet 3.490,- DM. Kurs MS 2072: - SQL Server Übersicht - Installationsplanung - Verwalten von Datenbankdateien - Verwalten der Sicherheit - Durchführen administrativer Tasks - Speichern und Wiederherstellen - Überwachen der SQL Server Performance - Transferieren von Daten - Einführung in die Replikation - Verwalten der Hochverfügbarkeit Datenbankverwalter, die tiefere Einblicke in die Programmierung des SQL Servers benötigen, werden in dem fünftägigen Seminar “Proramming a Microsoft SQL Server 2000 Database” (MS 2073) mit allen Fähigkeiten ausgestattet, um eine komplette Datenbanklösung selbständig zu programmieren und zu implementieren. Preis: 3.590,- DM. Kurs MS 2073: - SQL Server Übersicht - Übersicht zu der Programmierung eines SQL Servers - Erzeugen und Verwalten von Datenbanken - Erzeugen von Datentypen und Tabellen - Implementierung der Datenintegrität - Planen von Indizes - Erzeugen und Verwalten von Indezes - Implementierung von Views, Stored Procedures, benutzerdefi nierten Funktionen und Triggern - Programmierung über mehrere Server - Query Performance - Analyse von Queries mit dem grafischen SHOWPLAN - Verwalten von Transaktionen und Locks Bei Fragen zu Schulungen, Zertifizierungen und Terminen der Compu-Shack Education steht Ihnen unter 02631-983-317 die Seminarorganisation gerne auch telefonisch zur Verfügung. Weitere Informationen zu den hier vorgestellten Kursen finden Sie auf der Compu-Shack Homepage unter www.seminar.compu-shack.com. Netzwerk-Know-how: Highlights im Mai und Juni 2001 Kursbezeichnung Programming a Microsoft SQL Server 2000 Database Administering a Microsoft SQL Server 2000 Database Programming a Microsoft SQL Server 2000 Database MS Win 2000 Network and Operating System Essentials NetWare: Integration Win NT Workstation & Server GroupWise 5 Administration Building Cisco Remote Access Networks Business Communication Manager CTI Managing Cisco Security NetWare Service & Support Vinca Workshop: NT Serverspiegelung Vinca Workshop: NetWare Serverspiegelung Kurs-Nr. MS 2071 MS 2072 MS 2073 MS 2151 NV 555 NV 350 Cis BCRAN NN 25037 Cis MCNS NV 580 WS 1425 WS 1424 Termin 02.-03.05.2001 07.-11.05.2001 25.-29.06.2001 11.-13.06.2001 27.-29.06.2001 11.-13.06.2001 14.-18.05.2001 23.05.2001 14.-18.05.2001 05.-08.06.2001 07.05.2001 08.05.2001 Ort Neuwied München Neuwied Neuwied Berlin München Frankfurt München München Berlin Neuwied Neuwied Preis 1.580,- DM 3.490,- DM 3.590,- DM 2.290,- DM 2.290,- DM 2.290,- DM 4.500,- DM 990,- DM 4.500,- DM 2.290,- DM ab 1840,- DM ab 1840,- DM (Alle im Text und den Terminen genannten Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer) 04 Ausgabe 04/2001 56 WORKSHOP PROJEKTE Serverspiegelung mit Vinca Netzwerkdesign Unterstützung durch Compu-Shack Projekt Team Redundante Datensicherheit durch Legato Bei der Planung eines komplexen Netzwerks ist die Unterstützung durch Experten unverzichtbar, wenn spezielles Know-how für ein optimales Design gefragt ist. Beratung findet der Anwender bei seinem Fachhändler oder dem Systemhaus. Zu einer kompletten Netzwerkausarbeitung kann als Consulting-Dienstleister die Projekt-Abteilung der Compu-Shack Solution hinzugezogen werden, weil sie auch die Spezialgebiete mit abdeckt. Ein Datenverlust ohne Absicherung stellt ein hohes wirtschaftliches Risiko dar. Die Systemingenieure aus dem Support-Team der Compu-Shack Solution zeigen in einem Workshop zu den Vinca StandbyServer-Lösungen von Legato, wie Ausfallzeiten verringert und Datenverluste bei Hardware-Defekten vermieden werden. W Wirksamen Schutz gegen Serverausfälle und Arbeitsausfälle bieten redundante Systeme mit Serverspiegelung. Die Vinca StandbyServer-Lösungen von Legato bieten eine zuverlässige Datensicherung über Serverspiegelung unter verschiedenen Netzwerkumgebungen, sowohl für Novell Netware als auch für Microsoft Windows NT. In den Workshops der Compu-Shack Solution zeigen die Systemingenieure aus dem Support-Team, wie Sie in der Praxis über die bewährte Vinca Software von Legato mit einer wirksamen Serverspiegelung Hochverfügbarkeit in Ihrem Unternehmen gewährleisten. N Netzwerkdesign ist ein sehr weites Feld, das in vielen Bereichen tiefgehende Kenntnisse erfordert und oftmals gar nicht mehr von einem einzelnen Consultant abgedeckt werden kann. Müssen dabei noch Leistungen und Produkte mehrerer Hersteller miteinander verglichen werden, um die bestmögliche Lösung für den jeweiligen Anwender zu finden, ist ein umfassendes Know-how notwendig. Der Fachhandel findet dabei Unterstützung beim Projektmanagement-Team der Compu-Shack. Denn hier sind zu jedem Themenbereich IT-Experten verfügbar, die in umfangreichen Trainings speziell ausgebildet wurden, um angesichts der Produktvielfalt und der verschiedensten Technologien immer auf dem aktuellen Stand zu sein. Hochverfügbarkeit Der Vinca StandbyServer für Netware läuft im Netzwerkbetrieb mit und übernimmt bei einem Ausfall des Hauptservers automatisch seine Aufgaben. Unter Netware gibt es mit der “Many-to-one”-Version auch die Möglichkeit, mit einem StandbyServer gleich mehrere Netware Server zu sichern. Beim Co-StandbyServer für NT gibt es zusätzlich die Option einer Aktiv-Passiv- und einer Aktiv-AktivInstallation. Erfahrene Systemingenieure zeigen Ihnen bis ins Detail in einem auf Ihre betrieblichen Anforderungen abgestimmten Workshop wertvolle Tricks und Kniffe. Durch Simulationen der verschiedenen Einsatzgebiete können Sie sie direkt ausprobieren. Auftretende Fragen werden unter professioneller Anleitung behandelt, Problemstellungen aus der Support-Praxis nachgestellt und Lösungen dazu gemeinsam erarbeitet. Die Teilnehmer können auch bei der Installation vor Ort auf Unterstützung des Teams zählen. Teilen Sie uns einfach unter [email protected] oder unter 02631/983-988 Ihre betrieblichen Anforderungen zum Workshop und geeignete Termine mit. Produktinformationen erhalten Sie bei Compu-Shack vom Business Team Server Networking unter 02631/983-4 55 oder [email protected]. Projekt-Partner Die Investition in Expertenwissen zahlt sich für Händler und Endkunden gleichermaßen aus. Denn nur wenn alle technischen und organisatorischen Vorgaben bei der Planung beachtet werden, wenn jedes Details erkannt und umgesetzt wird, kann das Netzwerkdesign genau die besonderen Anforderungen und Restriktionen des Anwenders berücksichtigen. In dieser Kooperation entsteht ein effektives und wirtschaftliches Netzwerk mit Investitionssicherheit für den Kunden. Das Projekt-Team der CompuShack Solution erbringt aufgrund seines fundierten know hows genau diese Leistungen als Unterstützung für den Fachhändler. Informationen erhalten Sie unter der Telefonnr. 02631/983 345 oder auf unserer Homepage unter www.projekte.compu-shack.com. 04 Ausgabe 04/2001 57 v VORSCHAU Sales Competence und IT-Know-How Dreiteiliger Ausbildungsgang zum zertifizierten IT Sales-Engineer Compu-Shack bietet eine neue Ausbildungsreihe zum IT Sales-Engineer. Sie gliedert sich in die drei Zertifizierungsstufen Bronze, Silber und Gold. Sie gibt Vertriebsleuten, Verkäufern und Kundenberatern erprobte Verkaufstechniken speziell für die IT-Branche an die Hand und vermittelt ihnen gleichzeitig das erforderliche technische Fachwissen für einen hochinnovativen Markt. Das erste Seminar startet im April. VORSCHAU U Um bestehende Kompetenzen zu spezialiseren und vorhandenes KnowHow zu erweitern, bietet CompuShack Vertriebsleuten, Verkäufern und Kundenberatern einen dreiteiligen Ausbildungsgang zum IT SalesEngineer an. Die neue Ausbildungsreihe umfaßt in drei Stufen jeweils zwei Wochen Ausbildungsprogramm, beginnend mit dem Bronze-Grundlehrgang, auf den die beiden Folgestufen Silber und Gold aufbauen. Inhalt der drei Zertifizierungsstufen ist die theoretische und praktische Vermittlung von technischem und verkäuferischem Know-How. Deshalb beinhaltet jede Lehrgangsstufe eine Woche Technik und eine Woche Vertrieb. Denn Technisches Wissen und fundierte vertriebliche Kenntnisse sind die Kernkompetenzen, um im komplexen Marktgeschehen der ITBranche erfolgreich verkaufen zu können. Nach jeder Lehrgangsstufe erhält der Teilnehmer ein Zertifikat, das ihn in hohem Maße qualifiziert. Bronze, Silber, Gold In der ersten Ausbildungsstufe werden Grundkenntnisse im sauberen Lösungsverkauf und Strategien der Kundengewinnung erarbeitet, Basisfaktoren, ohne die ein systematischer Verkauf unmöglich ist. Das Management der zwischenmenschlichen Beziehung wird transparent. In der Ausbildungsstufe Silber geht um Systematisches Markt-Management, um Spannungsfelder zu meistern und die strategische Kundenbearbeitung mit technischen Lösungen zu vereinen. In der Ausbildungsstufe Gold, im ”Club der Besten”, finden Kolloquien statt. Fallstudien, Strategien und Podiumsdiskussionen runden das anspruchsvolle Programm ab. Für den technischen Part wurden ausgewiesene Fachleute gewonnen, für den Vertriebsteil erfahrene und weit über die Grenzen Deutschlands hinaus D bekannte Verkaufstrainer. Für Auskünfte und Anmeldungen ist Frau Gabi Gräser unter Tel. 0261 983-190 zu erreichen. Das ausführliche Ausbildungsprogramm kann als Broschüre per Telefon angefordert werden. Weitere Informationen unter www.compu-shack.de. Terminplanung Vertrieb Bronze 23.- 27.04.2001 25.- 29.06.2001 10.- 14.09.2001 15.- 19.10.2001 Vertrieb Silber 02.- 06.07.2001 10.- 14.07.2001 18.- 22.07.2001 Vertrieb Gold 13.- 17.03.2002 Technik Bronze 07.- 11.05.2001 09.- 13.07.2001 08.- 12.10.2001 05.- 09.11.2001 Technik Silber 16.- 20.07.2001 14.- 18.01.2002 04.- 13.03.2002 Technik Gold 03.- 07.06.2002 Technik News Info Channel Das Novell One Net Test Drive mit einer umfassenden Applikationssammlung für die boomende Net Economy verschafft Ihnen einen umfassenden Überblick über Novell’s verzeichnisbasierende Unternehmenslösungen und eine wertvolle Planungsgrundlage zu den verschiedenen Lösungen. Sie können es unter www.compu-shack.de kostenlos bestellen, solange der Vorrat reicht. In einer praktischen Sammelmappe umfaßt es Novell Net Services Software auf 12 CDs, u.a die NetWare 5.1, Novell GroupWise 5.5, die Small Business Suite 5.1, den Novell Border Manager, das NDS eDirectory und ZENworks. Trialversionen finden Sie wie gewohnt auch bei Technik News online unter www.technik-news.de. Es gibt neue Demo-CDs zu ZenWorks for Servers 2, Border Manager 3.6 und NDS E-Directory 8.5. Über diesen Info Channel können Sie laufend aktuelle Informationen downladen und kostenlose Demo-CDs, Druckwerke und Broschüren bestellen. Weitere Downloads sowie Informationen zu ergänzenden Seminaren bietet die Compu-Shack Education unter seminar.compu-shack.de an. 04 Ausgabe 04/2001 58 MESSEN, ROADSHOWS, SEMINARE N 05 No 05/2001 Thema des Monats Mai HARD UND SOFT Firma zeitweise lahmlegt. Um sich vor solchen Angriffen zu schützen, wurden Firewalls entwikkelt. In dem Artikel werden wir Ihnen zeigen, wovor Sie sich schützen müssen, und vor allem welche technischen Einrichtungen, Kommunikationswege und Datenbestände es in einem Unternehmensnetzwerk besonders abzusichern gilt. Was sind Firewalls und was reine Filter. Welche Arten von Firewalls gibt es überhaupt, und welche ist für Ihr Firmennetz sinnvoll. Wir werden Ihnen Hard- und Software-Lösungen vorstellen, die Vorund Nachteile nennen und die besonderen Einsatzgebiete der verschiedenen Systeme näher beleuchten. Firewall Innere Sicherheit im Netzwerk Von Jörg Marx In der nächsten Ausgabe der In In der nächsten Ausgabe der Technik-News haben wir auf vielfachen Leserwunsch das Thema Firewall im Schwerpunktbeitrag des Monats Mai aufgegriffen. Mit der weltweiten Ausdehnung und dem unablässigen Wachstum des Internet steigt die Zahl der Benutzer und Anbieter ins Unermeßliche. Und mit ihnen wächst die vergleichsweise kleine Zahl derer, die die Technik mißbrauchen. Fast wöchentlich können Sie es nachlesen. Hier sind Hacker in ein System eingedrungen, dort hat ein Virus oder eine böswillige Attacke eine ganze Praxis: Ethernet Grundlagen, Teil III: Media Access Control Protokoll Schlüssel für die Sicherheit, Teil I: PKI und W2K Certificate-Server Über den Info Channel von Technik News online können Sie Demos und Trials auf Original Novell CDs und gedruckte Broschüren kostenlos bestellen oder Infos im PDF-Format downladen: www.technik-news.de Ausgewählte Termine 02.04.2001 23.- 27.04.2001 07.- 11.05.2001 25.- 29.06.2001 02.- 06.07.2001 09.- 13.07.2001 16.- 20.07.2001 10.- 14.09.2001 08.- 12.10.2001 15.- 19.10.2001 15.-19.10.2001 05.- 09.11.2001 CS und Nortel Networks: VPN Learning Cycle IT Sales-Engineer Vertrieb Bronze IT Sales-Engineer Technik Bronze IT Sales-Engineer Vertrieb Bronze IT Sales-Engineer Vertrieb Silber IT Sales-Engineer Technik Bronze IT Sales-Engineer Technik Silber IT Sales-Engineer Vertrieb Bronze IT Sales-Engineer Technik Bronze IT Sales-Engineer Vertrieb Bronze Systems 2001 IT Sales-Engineer Technik Bronze 04 Ausgabe 04/2001 59 München Neuwied Neuwied Neuwied Neuwied Neuwied Neuwied Neuwied Neuwied Neuwied München Neuwied 04 Ausgabe 04/2001 60