25.02.2014 Aufrufe

ADMIN Magazin Backup wichtige Daten richtig sichern (Vorschau)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

SSD Wie schnell ist die neue<br />

Vertex 3 von OCZ?<br />

DRBD Storage-Replikation<br />

mit freier Software<br />

<strong>ADMIN</strong><br />

Netzwerk & Security<br />

<strong>Daten</strong>schutz<br />

bei Logfiles<br />

Auf DVD:<br />

04 2011<br />

Juli – Aug.<br />

Neueste Version von<br />

Red Hats Community-<br />

Distribution<br />

BACKUP<br />

WICHTIGE DATEN RICHTIG SICHERN<br />

NEUE REIHE:<br />

High Availability<br />

mit Linux<br />

Große Marktübersicht für Enterprise-<strong>Backup</strong><br />

Open-Source-<strong>Backup</strong> mit Bacula<br />

Linux-Groupware<br />

für Outlook<br />

Das neue Zarafa 7<br />

Mailinglisten<br />

Mlmmj: Alternative<br />

zu Mailman<br />

RAID<br />

Storage <strong>richtig</strong><br />

dimensionieren<br />

Intune<br />

Windows-Verwaltung<br />

in der Cloud<br />

Security<br />

Server-Einbruch<br />

per Brechstange<br />

www.admin-magazin.de<br />

Fibre Channel<br />

Zoning und LUN<br />

Masking erklärt<br />

D EUR 9,80<br />

A EUR 10,80 - BeNeLux EUR 11,25<br />

CH sfr 19,60 - E / I EUR 12,75<br />

4 196360 509805 04


Von Cents und milliarden<br />

e ditoriA l<br />

Von Cents und<br />

Milliarden<br />

Liebe Leserinnen und Leser,<br />

was sind <strong>Daten</strong> wert? Das, was zu ihrer Wiederbeschaffung oder Wiederherstellung<br />

aufzuwenden ist, würden Versicherungen sagen, die entsprechende Policen im<br />

Angebot haben. Und das kann sich summieren: Eine ausgebildete <strong>Daten</strong>typistin<br />

schafft vielleicht 300 Anschläge in der Minute und würde damit 55 bis 60 Stunden<br />

brauchen, um ein einziges Megabyte neu zu erfassen. Kostet sie pro Stunde<br />

(inklusive Sozialabgaben) vielleicht um die 40 Euro, ist das MByte zwischen 2200<br />

und 2400 Euro teuer. Der Inhalt nur einer Terabyteplatte, wie man sie aus jedem<br />

Elektronikmarkt für deutlich unter 100 Euro mitnehmen kann, wäre nach dieser<br />

etwas vereinfachten Rechnung schon mehr als zwei Milliarden Euro wert.<br />

Das könnte freilich niemand ver<strong>sichern</strong>, und deswegen zahlt die Versicherung auch nur, wenn es ein <strong>Backup</strong> gibt.<br />

Natürlich bräuchte man sein Kopfrechenvermögen gar nicht so zu strapazieren, um zu erkennen, dass eine <strong>Daten</strong>sicherung<br />

unverzichtbar ist: Schließlich gehört das zum kleinen Einmaleins der IT. Komplizierter wird es schon<br />

beim Wie. Hier bieten sich zahlreiche Alternativen, und die Features und Preise einzelner Produkte unterscheiden<br />

sich stark. Deshalb vergleicht das <strong>ADMIN</strong>-<strong>Magazin</strong> in dieser Ausgabe ab Seite 36 acht <strong>Backup</strong>-Programme der<br />

Enterprise-Klasse anhand von etwa 100 Kriterien und schafft damit eine solide Entscheidungsgrundlage für die<br />

Auswahl der passenden <strong>Backup</strong>software.<br />

Andererseits gibt es sehr billige <strong>Daten</strong> – mein Familienstand wäre etwa bei einem Adresshändler für weniger als<br />

einen US-Cent zu bekommen, genau wie Informationen zu meinen Kreditkarten oder meinem Auto. Ob ich blogge<br />

oder gerne koche, wäre immerhin drei Cent wert. Daneben gibt es auch vollkommen wertlose <strong>Daten</strong> – und das<br />

sogar in jeder Menge. Dabei denke ich nicht nur an Spam und Werbemüll, sondern durchaus auch an die Unmengen<br />

weitgehend sinnfreier Tweets und anderer gehaltloser Kommunikation, mit der man in sozialen Netzen überschüttet<br />

wird. Klar, darüber lässt sich trefflich streiten. Und genau das wollen wir auch tun. Mit dem ersten Beitrag<br />

einer neuen Rubrik legen wir ab Seite 16 vor. Dieser Beitrag findet sich auch auf unserer Homepage und wartet<br />

dort (oder auf Facebook) auf Kommentare. Wir freuen uns auf eine angeregte und anregende Diskussion.<br />

P.S.: Was halten Sie vom <strong>ADMIN</strong>-<strong>Magazin</strong>? Bitte beteiligen Sie sich doch an unserer Leserumfrage unter [http://<br />

www.admin-magazin.de/Umfrage2011]. Schon mal herzlichen Dank!<br />

Viel Spaß beim Lesen und Mitreden wünscht<br />

@ leserbriefe@admin-magazin.de<br />

www.facebook.com/adminmagazin www.twitter.com/admagz<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

3


SERVIc E<br />

Inhalt<br />

<strong>ADMIN</strong><br />

Netzwerk & Security<br />

04/2011<br />

<strong>Backup</strong>-Software in Enterprise-Ausführung<br />

und als<br />

Open Source ab S. 28.<br />

Warum mehr nicht<br />

16Twittermania<br />

immer besser ist.<br />

Login<br />

8 Branchen-News<br />

Neues von Software, Firmen und<br />

Projekten<br />

Netzwerk<br />

18 OpenNMS<br />

Ein Schweizer Messer für das Fault<br />

Management.<br />

Schwerpunkt: <strong>Backup</strong><br />

28 Bacula<br />

Plattformübergreifende <strong>Backup</strong>s mit<br />

der Open-Source-Software.<br />

12 Recht<br />

Ist Wartung durch Dritte erlaubt? Eine<br />

Juristin erklärt, was das Urheberrecht<br />

besagt.<br />

16 Think Twice<br />

Eine Streitschrift wider das Verblöden<br />

durch Information, die sich auf 140<br />

Zeichen beschränkt.<br />

Service<br />

3 Editorial<br />

4 Inhalt<br />

6 Heft-DVD<br />

114 Impressum und <strong>Vorschau</strong><br />

22 Mlmmj<br />

Management von Mailing-Listen.<br />

36 Enterprise-<strong>Backup</strong><br />

Die große Marktübersicht vergleicht<br />

Enterprise-taugliche <strong>Backup</strong>-Lösungen<br />

anhand der wichtigsten praxisrelevanten<br />

Merkmale.<br />

Security<br />

50 Physische Sicherheit<br />

Penetrationstests decken häufig<br />

schlecht geschützte Räume auf.<br />

54 Diskrete Logs<br />

Logging kollidiert leicht mit dem <strong>Daten</strong>schutz.<br />

Wir erklären, wie man gesetzeskonform<br />

protokolliert.<br />

4 AUSgABE 04-2011 A DMIN WWW. <strong>ADMIN</strong>- MAgAZIN. DE


Inhalt<br />

S ERVIc E<br />

80DRBD<br />

Automatische<br />

Replikation von<br />

Block Devices unter Linux.<br />

Workshop zur<br />

86Exchange<br />

Messaging-<br />

Lösung von Microsoft.<br />

Der groupware-<br />

104Zarafa<br />

Server mit<br />

Outlook-Kompatibilität.<br />

Know-how<br />

58 Marionette Collective<br />

Flinkes System-Management aus den<br />

Puppet-Labs.<br />

64 Windows-Linux-<strong>Daten</strong>tausch<br />

<strong>Daten</strong> zwischen Linux- und Windows-<br />

Systemen auf demselben Rechner<br />

austauschen.<br />

68 Pacemaker<br />

High-Availability-Serie, Teil 1:<br />

grundlagen von Pacemaker und co.<br />

Basics<br />

80 DRBD<br />

Storage-Replikation mit Open Source.<br />

86 Exchange-Workshop<br />

Exchange 2010 mit Service Pack 1<br />

installieren und einrichten.<br />

94 Fibre Channel Zoning<br />

Sicherheit im Fibre channel SAN: So<br />

funktionieren Zoning und LUN Masking.<br />

Test<br />

98 SSD: OCZ Vertex 3<br />

Das neue SSD-Flaggschiff von OcZ im<br />

Benchmark-Test.<br />

100 Intune<br />

Microsoft Intune zur client-Verwaltung.<br />

76 RAID<br />

Level und größe bei RAID Storage<br />

genau nach Zielvorgaben passend<br />

dimensionieren.<br />

104 Zarafa<br />

Zarafa 7 mit MAPI und Outlook-<br />

Kompatibilität.<br />

fedora 15<br />

n Red Hats Community-Distribution, 64-Bit<br />

fedora 15<br />

n Über 9000 Software-Pakete<br />

n SE Linux, KVM-Virtualisierung u.v.m.<br />

Mehr Infos auf Seite 6<br />

WWW. <strong>ADMIN</strong>- MAgAZIN. DE<br />

A DMIN<br />

AUSgABE 04-2011<br />

5


serV ice<br />

Heft-dVd<br />

Heft-DVD<br />

Auf der beiliegenden Heft-DVD befindet sich das aktuelle<br />

Fedora 15, die Community-Distribution von Red Hat:<br />

◗ Neuestes Fedora-Release 15.<br />

◗ 64-Bit-Version für AMD64 und EM64T.<br />

◗ Über 9000 Software-Pakete.<br />

◗ Gnome 3, KDE Plasma Workspaces, Linux-Kernel 2.6.38,<br />

GCC-Compiler 4.6.<br />

◗ Virtualisierung mit KVM und Boxgrinder.<br />

◗ <strong>Daten</strong>träger ist die Ecodisc, die bei der Produktion nur halb<br />

so viel Energie verbraucht wie eine konventionelle DVD.<br />

DVD kaputt?<br />

Wir schicken Ihnen kostenlos<br />

eine Ersatz-DVD zu, E-Mail genügt:<br />

info@admin-magazin.de<br />

Legen Sie einfach die DVD ein und starten Sie den Rechner.<br />

Möglicherweise müssen Sie noch im BIOS die <strong>richtig</strong>e Boot-<br />

Reihenfolge einstellen, damit das DVD-Laufwerk vor der<br />

Festplatte an die Reihe kommt.<br />

n<br />

info<br />

[1] Fedora-Projekt: [http://www.fedora.org]<br />

[2] Boxgrinder: [http://boxgrinder.org]<br />

[3] Ecodisc: [http://www.ecodisc.org]<br />

6 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Server<br />

Linux<br />

Server<br />

Windows<br />

Server<br />

Managed<br />

STRATO PRO<br />

Wähle Dein System!<br />

Linux<br />

Server<br />

Windows<br />

Server<br />

Managed<br />

Server<br />

Dedicated Server Quad-Core<br />

Server<br />

e<br />

aged Managed<br />

Dedicated dS<br />

Server Hexa-Core<br />

AMD Opteron TM 1381 Prozessor<br />

4 x 2,5 GHz CPU-Leistung<br />

4 GB RAM<br />

2 x 500 GB Festplatte (RAID 1)<br />

3 Monate nur<br />

29 €<br />

Mon.*<br />

danach ab 59 €/Mon.<br />

AMD Opteron TM 4180 Prozessor<br />

Bis zu 2 x 6 x 2,6 GHz CPU-Leistung<br />

16 GB RAM<br />

2 x 1.000 GB Festplatte (RAID 1)<br />

3 Monate nur<br />

99 €<br />

Mon.*<br />

danach ab 129 €/Mon.<br />

* * * Keine Einrichtungsgebühr! * * * Aktion bis 31.07.2011 * * *<br />

Telefon: 0 18 05 - 007 677<br />

(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)<br />

strato-pro.de<br />

* Mindestvertragslaufzeit 12 Monate (alternative Vertragslaufzeiten unter<br />

www.strato-pro.de). Preise inkl. MwSt.


Login<br />

news<br />

+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte<br />

Neue Software und Produkte<br />

Branchen-News<br />

Opensuses Bilanz des World IPv6 Day<br />

Das Opensuse-Projekt hat größtenteils positive Erfahrungen mit<br />

dem IPv6-Testbetrieb am 8. Juni gemacht.<br />

Das berichtet der Suse-Entwickler Lars Vogdt in einem Blogeintrag<br />

[http://​news.​opensuse.​org/​2011/​06/​09/​world‐ipv6‐day‐results/​#​<br />

​more‐9227]. In Nürnberg sind seit diesem Datum Download-,<br />

Build- und viele Webserver sowohl per IPv4 als auch per IPv6<br />

erreichbar. Die Nutzung von IPv6 habe sich im Laufe des Tages<br />

von einem Prozent Anteil am Traffic auf sieben Prozent gesteigert,<br />

schreibt Vogdt.<br />

Am US-amerikanischen Standort in Provo, Utah laufen die Wikis,<br />

Foren und Blog-Aggregatoren des Projekts auch unter IPv6.<br />

Der Test sei bisher zum Großteil erfolgreich verlaufen, berichtet<br />

Lars Vogdt weiter. Einige wenige Nutzer meldeten Probleme<br />

mit MTU-Größen, daneben gäbe es einzelne bisher noch nicht<br />

nachvollziehbare Fehler.<br />

Das Opensuse-Projekt hat zudem Wichtiges über seine eigene<br />

Distribution herausgefunden: Fast alle Komponenten der eingesetzten<br />

Linux-Systeme haben sich als IPv6-tauglich erwiesen,<br />

lediglich das Geo-IP-Modul für den Apache 2 des Download-<br />

Servers benötigte Patches. Außerdem zeigte sich, dass Vsftpd<br />

und Torrent-Seeder nicht gleichzeitig mit IPv4 und IPv6 umgehen<br />

können.<br />

Torvalds erhöht auf Kernel 3.0<br />

Linus Torvalds hat sich entschlossen, die Kernelversionsnummern von<br />

2.6.xx auf 3.0 zu erhöhen und stellt einen ersten Release Candidate unter<br />

diese Zählweise. Als Grund nennt Linus Torvalds, dass sich das 20-jährige<br />

Jubiläum des Kernels nähere, was die neue Zählweise rechtfertigen könne.<br />

Scherzhaft fügt er hinzu, der wahre Grund dafür sei, dass es ihm Mühe<br />

bereite, schnell auf vierzig zu zählen. Der aktuelle Kernel ist bei 2.6.39<br />

angelangt.<br />

Die Diskussionen über die Kernel-Versionierung halten schon eine Weile<br />

an, hatten laut Torvalds beim vergangenen Kernel-Summit ihren Ursprung<br />

und waren – wie berichtet – Ende Mai nochmals aufgekommen. Er habe<br />

nun, ganz in Manier eines Alphamännchens, einfach selbst entschieden,<br />

schreibt Torvalds an die Mailingliste. In Verbindung mit dem von Torvalds<br />

beschlossenen engeren Merge-Zeitraum, der daher rührt, dass sich<br />

der oberste Kernel-<br />

Hüter in den nächsten<br />

Wochen auf<br />

Reisen befindet,<br />

nimmt er auch nur<br />

wirklich <strong>wichtige</strong><br />

Verbesserungen an.<br />

Er reise mit einem<br />

lahmen Laptop,<br />

und damit sei es<br />

kein Spaß, den<br />

Kernel zu kompilieren,<br />

schreibt er,<br />

und ja, er sei bereit,<br />

das Release unter<br />

dem Motto zu<br />

verbuchen: „Linus<br />

is being a difficult<br />

Historisches Datum auf Kernel.org: Der Linux-Kernel wird 3.0. ^&^hole.“<br />

Open Office geht an Apache –<br />

IBM wird Sponsor<br />

Oracle hat die Apache-Foundation um die Aufnahme<br />

von Open Office gebeten, und die Apache-<br />

Foundation hat zugesagt. Die finanzielle Unterstützung<br />

des Projekts kommt in Zukunft in erster<br />

Linie von IBM.<br />

Der Entschluss Oracles, die Office-Suite Open<br />

Office in ein Apache-Projekt zu überführen, bedeutet,<br />

dass Oracle keine Open-Office-Entwickler mehr<br />

bezahlt und Open Office unter die Apache-Lizenz<br />

kommt (bislang LGPL). Der Schritt erleichtert es<br />

einerseits Entwicklern, Code beizusteuern, andererseits<br />

ermöglicht es die neue Lizenz, den Code<br />

mit proprietären Zusätzen zu erweitern, ohne die<br />

daraus resultierenden Änderungen an das Projekt<br />

zurückgeben zu müssen.<br />

Wie Rob Weir von IBM in einem ausführlichen<br />

Blog-Eintrag [http://​www.​robweir.​com/​blog/​2011/​06/​<br />

​apache‐openoffice.​html] erläutert, ist es allerdings<br />

noch zu früh, um Open Office als Apache-Projekt<br />

zu bezeichnen, da die Software und das Projekt bis<br />

zur definitiven Aufnahme noch zahlreiche formale<br />

Schritte durchwandern müssen.<br />

Führende Firma hinter Open Office soll IBM sein,<br />

das mit Lotus Symphony bereits eine eigene Version<br />

der Bürosuite pflegt und diese nun vermutlich<br />

mit Open Office zusammenführt. IBM-Mitarbeiter<br />

Ed Brill schreibt in seinem Blog [http://​www.​edbrill.​<br />

​com], dass sich einige Entwickler aus dem Symphony-Projekt<br />

aktiv an der Open-Office-Entwicklung<br />

beteiligen. Bereits gestartete Entwicklungen von<br />

Symphony landen laut Brill in Open Office.<br />

8 AusgA be 04-2011 Admin


n immer auf http://www.admin-magazin.de<br />

Document Foundation benennt Advisory Board<br />

Die unter anderem für den Open-Office-Fork Libre Office zuständige<br />

Document Foundation hat erste Mitglieder ihres Beirats<br />

bekanntgemacht.<br />

Google, Suse, Red Hat, Freies Office Deutschland e.V., Software<br />

in the Public Interest und die Free Software Foundation zählen<br />

zu den Beiräten. Die genannten Firmen und Organisationen<br />

unterstützen die Foundation finanziell und entsenden im Gegenzug<br />

jeweils ein Mitglied für die Dauer von einem Jahr in<br />

das Advisory Board der in der Gründung befindlichen Stiftung.<br />

Der Beirat soll dem künftigen Vorstand mit Rat und Tat zur<br />

Seite stehen.<br />

IDC: EMEA-Servermarkt wächst zweistellig<br />

Marktforscher IDC hat den Servermarkt in der EMEA-Region<br />

ausgewertet und kommt im ersten Quartal 2011 mit einem Umsatzplus<br />

von elf Prozent gegenüber dem Vorjahreszeitraum auf<br />

das kräftigste Wachstum seit vier Jahren.<br />

Ein zweistelliger Zuwachs war zuletzt im ersten Quartal 2007<br />

messbar, so IDC. Der Umsatz stieg im EMEA-Markt (Europa, Naher<br />

Osten, Afrika) auf 3,5 Milliarden US-Dollar. In Stückzahlen<br />

heißt das ein Plus von 2,8 Prozent auf 580.000 Einheiten. Zum<br />

Umsatzanstieg gegenüber dem Vorjahresquartal haben High-<br />

End-Server (plus 13 Prozent) und Midrange-Maschinen (plus 15<br />

Prozent) in der Preisklasse zwischen 25.000 und 250.000 US-<br />

Dollar beigetragen. Der größte Motor für den Markt sind aber<br />

x86-Server, die 66 Prozent des Umsatzes stemmen und so rund<br />

2,3 Milliarden Dollar einspielen. Die sogenannten Standard-<br />

Server dominieren den Servermarkt seit dem Jahr 2007, so IDC,<br />

und haben seitdem die Enterprise-Server mit CISC-, RISC- und<br />

EPIC-Prozessoren abgehängt. Die High-End-Maschinen teilen<br />

sich den Markt laut IDC wie folgt: 50 Prozent CISC-basierte<br />

Mainframes, rund 30 Prozent RISC-Unix-Server und 19 Prozent<br />

CISC-Itanium-Prozessoren<br />

Beim Blick auf die einzelnen Regionen habe sich Zentral- und<br />

Osteuropa mit 30-prozentigem Umsatzwachstum hervorgetan.<br />

Russland, Tschechien und Polen zeigten dabei das stärkste<br />

prozentuale Wachstum. Bei den Betriebssystemen dominiert<br />

Windows mit fast 50 Prozent Umsatzanteil, gefolgt von Unix<br />

(21 Prozent) und Linux (17 Prozent). Bei den Herstellern führt<br />

HP vor IBM, Dell, Oracle und Fujitsu.<br />

CfP für Monitoring Conference 2011<br />

Die 6. Open Source Monitoring Conference, die am 29. und 30.<br />

November der Nürnberger IT-Dienstleister Netways ausrichtet,<br />

sucht Referenten.<br />

Vortragsideen für die Monitoring Conference nimmt der Veranstalter<br />

über ein CfP-Formular [http://​www.​netways.​de/​osmc/​y2011/​<br />

​call_for_papers/] entgegen. Willkommen sind Vorschläge rund um<br />

freie Monitoring-Lösungen, speziell Nagios oder dessen Forks<br />

und Ableger, noch bis zum 30. Juli 2011.<br />

Virtuelle Server<br />

Top-Performance zum Tiefpreis!<br />

• bis zu 3 CPU-Kerne<br />

• bis zu 8 GB RAM<br />

• bis zu 95 GB Festplatte<br />

• RAID-10-<strong>Daten</strong>sicherheit<br />

• 5.000 GB Traffic inklusive<br />

• SSL-Zertifikat inklusive<br />

• Root-Zugriff per SSH<br />

• 100 % <strong>Backup</strong>-Speicher<br />

• 99,9 % garantierte Verfügbarkeit<br />

• 30 Tage Geld-zurück-Garantie<br />

• auch als Managed Server erhältlich<br />

• viele 64-Bit-Betriebssysteme nach Wahl<br />

6 Monate<br />

kostenlos<br />

danach ab 12,99 €*<br />

Jetzt kostenlos informieren unter:<br />

080 0 638 2587<br />

www.netclusive.de/linux<br />

* Aktion „6 Monate kostenlos“ gilt bis 31.08.2011. Nach 6 Monaten regulärer monatlicher Grundpreis:<br />

VPS L 12,99 €, VPS XL 16,99 €, VPS XXL 29,99 €. Die Mindestvertragslaufzeit beträgt wahlweise 12 Monate<br />

(Aktion 6 Monate kostenlos entfällt) oder 24 Monate (6 Monate kostenlos). Abrechnung vierteljährlich. Einmalige<br />

Einrichtungsgebühr 9,99 €. Alle Preise inkl. MwSt. Preisänderungen und Irrtümer vorbehalten.


Login<br />

news<br />

+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte<br />

Industriestandard mit FreeRDP<br />

Thin Stuff, Univention, die Lisog, Lizenzspezialist<br />

Blackduck sowie die freien Terminalserverprojekte<br />

X2go und FreeRDP<br />

haben sich zur Open Thin client Allianz<br />

zusammengetan und wollen einen neuen<br />

Industriestandard für das Thinclient<br />

Computing schaffen. Geht es nach den<br />

Initiatoren der Open Thin client Alliance,<br />

dann wird FreeRDP, ein Fork des<br />

Rdesktop-Projektes, der nächste universelle<br />

Industriestandard für Remote<br />

Desktops. Das freie Tool erhält derzeit<br />

einige <strong>wichtige</strong> Erweiterungen, zum Beispiel<br />

Multimediafunktionen (Audio- und<br />

Videobeschleunigung, Remote FX) und<br />

Smartcard-Unterstützung.<br />

Neben dem FreeRDP-Projekt selbst findet<br />

sich auch X2go in der Allianz, ein<br />

freier Terminal Server, der bisher nur auf<br />

X11-Kompression und -Caching mithilfe<br />

angepasster NX-Libraries setzte. Mit dem<br />

Distributor Univention und Thinstuff<br />

(Hersteller eines eigenen RDP-Servers für<br />

Linux) finden sich auch zwei kommerzielle<br />

Anbieter in der Allianz, Thinstuff<br />

hat das FreeRDP-Projekt auch auf seinem<br />

Thin Stuff Summer of Code eingeladen,<br />

um die Entwicklung voranzutreiben.<br />

Interessant auch die Beteiligung von<br />

Lizenzspezialist Blackduck: Weil absehbar<br />

scheint, dass FreeRDP in zahlreiche<br />

Clientgeräte integriert werden soll, ist eine<br />

komplette Relizenzierung des Codes<br />

hin zur Apache Lizenz notwendig. Das<br />

zu unterstützen hat sich Blackduck bereiterklärt.<br />

FreeRDP ist bisher unter der<br />

GPL lizenziert.<br />

Komplettiert wird die Allianz durch das<br />

Open Thinclient Projekt, das eine (ebenfalls<br />

unter der GPL stehende) Komplettlösung<br />

für Thinclient-Netze anbietet, inklusive<br />

GUI und Enterprise-Funktionen.<br />

IT-Markt knackt 2012 die Billion<br />

Der Branchenverband Bitkom wagt einen Blick ins Jahr 2012<br />

und prognostiziert ein Wachstum des weltweiten IT-Markts um<br />

mehr als 5 Prozent, was den Umsatz auf über eine Billion Euro<br />

treiben würde. Basis des Ausblicks sind die Prognosen des European<br />

Information Technology Observatory (EITO).<br />

Im laufenden Jahr seien rund 4 Prozent Wachstum zu erwarten,<br />

was in 963 Milliarden Euro Umsatz weltweit resultiert.<br />

Unter dem IT-Markt verstehen die Auguren die Ausgaben für<br />

Computer und andere Hardware sowie für Software und IT-<br />

Dienstleistungen.<br />

Weltweit betrachtet gelten China, Russland, Indien und Brasilien<br />

mit meist zweistelligen Wachstumsraten als treibende Kräfte<br />

für das Plus. In der Europäischen Union sind die Zuwächse<br />

bescheidener: Das Wachstum liege aktuell bei 2,9 Prozent, was<br />

zu 314 Milliarden Euro Gesamtumsatz führe. Deutschland gilt<br />

als Musterknabe und erzielt besser als der Durchschnitt ein Plus<br />

von 4,3 Prozent. Der US-Markt legt um 3,9 Prozent zu. Japan<br />

muss laut den Schätzungen der EITO wegen der Folgen der in<br />

diesem Jahr erlittenen Naturkatastrophe mit einem Umsatzminus<br />

von 1,2 Prozent im Jahr 2011 rechnen.<br />

Österreichs Justiz zufrieden mit Open Office<br />

Christian Adorjan vom österreichischen<br />

Bundesrechenzentrum präsentierte anfang<br />

Juni auf der OSSBIG-Konferenz in<br />

der Hauptstadt Wien erstmals die Erfolge<br />

der Open-Office-Migration der österreichischen<br />

Justizbehörden. Dabei blicken<br />

die Verantwortlichen auf die erfolgreiche<br />

Migration mehrerer Tausend Arbeitsplätze<br />

zurück.<br />

Die Ausgangssituation: 2007 stand ein<br />

Betriebssystemwechsel an, weil der Windows-2000-Support<br />

von Microsoft auslief.<br />

Als Standard-Textverarbeitung kam Lotus<br />

Word Pro zum Einsatz. Für Justizanwednungen<br />

war ein eigens entwickelter Texteditor<br />

zuständig.<br />

Der Plan: Langfristig solle in der österreichischen<br />

Justiz nur noch eine Textverarbeitung<br />

zum Einsatz kommen, auf<br />

dem Desktop wie auch innerhalb von<br />

Anwendungen. Ab 2008 untersuchten<br />

die Mitarbeiter der IT in einer internen<br />

Studie Microsoft Word und Open Office<br />

Writer auf die Fähigkeit, innerhalb einer<br />

Java-Umgebung als Rich Client zu laufen.<br />

Open Office, so das Ergebnis, lasse sich<br />

optimal integrieren.<br />

Adorjan nennt weitere Entscheidungsgründe<br />

für Open Office: „Das ODF-Dokumentformat,<br />

die Hersteller- und Produktunabhängigkeit,<br />

die Vielzahl der unterstützten<br />

Dateiformate,<br />

Plattformunabhängigkeit<br />

bezüglich des Betriebssystems,<br />

der Einsatz von Java,<br />

Kompatibilität zu Lotus<br />

Notes, der direkte Export<br />

zu PDF (Langzeitarchivierung!)<br />

und die Kostenersparnis<br />

durch den Wegfall<br />

von Lizenzen.“<br />

Anfang 2008 stellten die<br />

Verantwortlichen allen<br />

Mitarbeitern Open Office<br />

für die freiwillige Benutzung zur Verfügung.<br />

Das IT-Team erweiterte das freie<br />

Office um Zusatzfunktionen und passte<br />

es an die internen Abläufe an. Auch der<br />

Schulungsaufwand hielt sich in Grenzen:<br />

Acht Trainer schafften es in knapp<br />

14 Monaten mehr als 2400 Kanzlei- und<br />

Schreibkräfte, Richter, Staatsanwälte und<br />

Rechtspfleger zu schulen.<br />

Aufbau des Workflows in der Textverarbeitung der Justiz.<br />

© Bundesrechenenztrum GmbH<br />

10 AusgA be 04-2011 Admin


n immer auf http://www.admin-magazin.de<br />

Join us for two full days of<br />

practical, informative workshops<br />

and presentations on IT<br />

infrastructure monitoring.<br />

CfP: Deutsche PostgreSQL-Konferenz 2011<br />

Am 11. November 2011 findet im Ruhrgebiet die PGConf.DE, die<br />

deutschsprachige PostgreSQL Konferenz statt. Bis zum 15. September<br />

nehmen die Organisatoren Vorschläge für Vorträge an.<br />

Zu den gewünschten Themen zählen PostgreSQL-Anwendung,<br />

die Administration großer Installationen, Werkzeuge und<br />

Hilfsprogramme, <strong>Daten</strong>bank-Tuning, Migration, Replikation,<br />

Benchmarking und Hardware sowie Produkte, die PostgreSQL<br />

verwenden. Die Vorträge dauern je 45 Minuten und können in<br />

Deutsch oder Englisch gehalten werden. Weitere Informationen<br />

gibt es auf der Call-for-Papers-Seite [http://​2011.​pgconf.​de/​de/​<br />

​callforpapers.​html].<br />

Der Austragungsort der Konferenz wird Oberhausen sein. Die<br />

Karten kosten im Vorverkauf 50 Euro (ermäßigt 10 Euro) und<br />

gelten auch für die Open Rhein Ruhr.<br />

Vom 18. bis zum 21. Oktober findet in Amsterdam die europäische<br />

PostgreSQL-Konferenz (PGConf.EU 2011) statt, in den USA<br />

gibt es im September die Postgres Open in Chicago.<br />

World Conference<br />

North America<br />

Saint Paul, MN<br />

September 27-29, 2011<br />

R<br />

Cacert erneuert Zertifikat<br />

Das Cacert-Projekt signiert sein 3-Subroot-Zertifikat neu, da der<br />

Hashing-Algorithmus von MD5 auf SHA-256 umgestellt wird.<br />

Hintergrund ist die Entscheidung des Browser-Herstellers Mozilla,<br />

ab 30. Juni in seinen Produkten keine MD5-Signatur mehr<br />

für Class 3-Subroot- und End-Zertifikate zu akzeptieren, da er<br />

den Algorithmus nicht mehr als ausreichend sicher einstuft.<br />

Nach diesem Termin veröffentlichte Firefox- und Thunderbird-<br />

Versionen reagieren auf MD5-signierte Zertifikate mit einer<br />

Fehlermeldung.<br />

Cacert signiert sein Class-3-Subroot-Zertifikat daher neu<br />

mit SHA-256 und stellt es ab 11. Juni zum Download bereit.​<br />

GUUG sucht Vortragende für<br />

Frühjahrsfachgespräch 2012<br />

Die German Unix User Group (GUUG) hat den Call for Papers<br />

für das Frühjahrsfachgespräch 2012 gestartet. Bis zum<br />

23. Oktober 2011 werden Referenten für Tutorien, Workshops<br />

und Vorträge gesucht. Die Referenten sollen neue Entwicklungen<br />

vorstellen, interessante Fragestellungen aufwerfen und<br />

Lösungswege zeigen, einen Überblick über ein interessantes<br />

Themengebiet ermöglichen oder aus ihrer Praxis oder ihren<br />

Projekten berichten. Die eingereichten Beiträge sollen sich in<br />

eine der folgenden Kategorien einordnen lassen:<br />

- Betriebssysteme und Applikationen<br />

- Netzwerke: Protokolle, Technologien<br />

- Virtualisierung, Hochverfügbarkeit, Cluster, SAN, Dateidienste<br />

und so weiter<br />

- Informationsssicherheit<br />

- Betrieb: Monitoring, Überwachung, <strong>Backup</strong>/ <strong>Daten</strong>sicherung<br />

- Nicht technische Themen: Arbeitsorganisation, rechtliche<br />

Fragestellungen, Lizenzen und Patente.<br />

Spaces are filling up fast -<br />

Register online now!<br />

Conference Highlights:<br />

- Key speakers from popular projects<br />

- Scalability and performance tuning<br />

- Mapping and visualization tools<br />

- Training courses and workshops<br />

- Best practices information<br />

- Development tutorials<br />

- Evening event and<br />

party with music<br />

featuring Dual Core<br />

15% Off<br />

for<br />

<strong>ADMIN</strong> <strong>Magazin</strong>e<br />

Readers<br />

For more info and to register, visit:<br />

http://go.nagios.com/adminmag


Login<br />

Recht<br />

Diego Cervo, 123RF<br />

Ist Wartung durch Dritte erlaubt? Was das Urheberrecht sagt...<br />

Freie Werkstatt<br />

dem kleinen mittelständler kommt es gerade recht, wenn er die billige wartung für eine standardsoftware vom<br />

systemhaus um die ecke statt vom Hersteller beziehen kann. dem software-Riesen wiederum, der erhebliche<br />

umsätze aus supportverträgen generiert, sind dritte, die seine Produkte supporten, ein dorn im Auge. Vilma niclas<br />

Der Softwarekonzern SAP wurde Anfang<br />

Februar 2011 vom United State<br />

District Court des Northern District of<br />

California wegen Urheberrechtsverletzungen<br />

zur Zahlung von 1,3 Milliarden<br />

US-Dollar, etwa einer Milliarde Euro, verurteilt<br />

– wohl die bislang höchste Summe<br />

in einem solchen Prozess.<br />

Dahinter stand eine Schlacht um Kunden:<br />

Oracle schluckte 2004 die Firmen<br />

PeopleSoft, J.D. Edwards und ein Jahr<br />

später Siebel. SAP kaufte Anfang 2005<br />

die texanische Software-Wartungsfirma<br />

TomorrowNow Inc.. Dieses Unternehmen<br />

hatte Kunden von PeopleSoft, Siebel und<br />

J.D.-Edwards unterstützt und zu weitaus<br />

attraktiveren Konditionen beraten als sie<br />

die jeweiligen Hersteller boten. SAP kündigte<br />

2006 an, nun über TomorrowNow<br />

auch Oracle-Kunden mit Siebel-Systemen<br />

billig zu beraten und hoffte, so dem Konkurrenten<br />

Kunden abzuwerben.<br />

Oracle reagierte 2007 mit der Klage gegen<br />

SAP zunächst wegen Industriespionage,<br />

dann wegen Urheberrechtsverletzungen<br />

und forderte etwa vier Milliarden<br />

Dollar. Die Begründung: TomorrowNow<br />

habe sich Zugang zu einer Oracle-Kundensupportseite<br />

verschafft und im passwortgeschützten<br />

Bereich zahlreiche Programme<br />

heruntergeladen – mithilfe vorgeschobener<br />

Kundendaten beim Login.<br />

SAP habe auf diese Weise systematisch<br />

illegal Zugang zu den Support-Systemen<br />

von Oracle erhalten, Tausende von Softwareprodukten<br />

und anderes widerrechtlich<br />

erlangt und so eine illegale Bibliothek<br />

von Oracle-Software erworben.<br />

Muss jetzt verunsichert sein, wer Wartung<br />

von Dritten nutzt? Ist es riskant,<br />

Anwender beim Gebrauch der Software<br />

eines anderen zu beraten? Oder ist nur<br />

der verändernde Eingriff in fremden Code<br />

oder fremde Hardware kritisch? Antwort<br />

gibt das Urheberrechtsgesetz. Es erlaubt<br />

dem Nutzer, Fehler im Programm selbst<br />

zu beseitigen und zwar ohne Zustimmung<br />

des Herstellers, sofern der Fehler<br />

die bestimmungsgemäße Nutzung beeinträchtigt.<br />

In den meisten Fällen bedeutet der Support<br />

nicht, dass Dritte in den Code eingreifen<br />

müssen, sondern nur, dass sie die<br />

Software einfach besser bedienen können<br />

als der Kunde. Berät das Unternehmen<br />

beim Gebrauch der Software, ist dies in<br />

der Regel kein Urheberrechtsproblem,<br />

solange die Software nicht illegal kopiert<br />

wird.<br />

Was darf man beheben?<br />

Da der Code bei proprietärer Software<br />

nicht ohne Weiteres zugänglich und<br />

nicht veränderbar ist, muss sich die<br />

Drittwartungsfirma Updates, Upgrades<br />

oder Patches vom Softwarehersteller organisieren.<br />

Dem Unternehmen ist dies<br />

nur mit einer eigenen Lizenz oder der<br />

Lizenz des Kunden gestattet, für den die<br />

Patches bestimmt sind. Am besten ist es,<br />

wenn der Kunde die Updates und neuen<br />

Versionen direkt vom Softwarehersteller<br />

bezieht. Dann ist es kein Problem, wenn<br />

die Wartungsfirma die Software installiert<br />

und den Kunden im laufenden Betrieb<br />

unterstützt. Weiß sie nicht mehr weiter,<br />

kann sie im Namen des Kunden, etwa im<br />

12 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Recht<br />

Login<br />

Rahmen der Gewährleistung, den Hersteller<br />

einschalten.<br />

Es sind im Rahmen der Fehlerbeseitigung<br />

grundsätzlich alle Handlungen erlaubt,<br />

die dazu dienen, die bestimmungsgemäße<br />

Benutzung des Programms entsprechend<br />

der Vorgabe im Softwarelizenzvertrag<br />

sicherzustellen, etwa die Konfiguration<br />

oder die Anpassung an geänderte Ausgangsdaten<br />

(zum Beispiel an neue Steuersätze<br />

in einer Buchhaltungssoftware).<br />

Zur Fehlerbeseitigung nach dem Gesetz<br />

dürften gehören: die Umgehung oder Beseitigung<br />

von Bugs, Funktionsstörungen,<br />

aber auch von Schadsoftware.<br />

Finger weg vom Code<br />

In Konflikt mit dem Urheberrechtsgesetz<br />

gerät man, wenn man für die Fehlerbeseitigung<br />

einen Kopierschutz entfernt<br />

oder umgeht. Dies untersagt das Urheberrechtsgesetz.<br />

Der Eingriff in den<br />

Quellcode ist ohne Erlaubnis des Softwareherstellers<br />

nicht zulässig. Auch die<br />

Dekompilierung ist zur Fehlerbeseitigung<br />

generell nicht erlaubt, sondern nur unter<br />

engen Voraussetzungen und ausschließlich,<br />

um die Interoperabilität zu anderen<br />

Programmen oder zu Hardware zu gewährleisten.<br />

Damit will man den Wettbewerb<br />

ankurbeln. Die Details regelt § 69 e<br />

Urheberrechtsgesetz.<br />

Eine weitere Ausnahme zugunsten des<br />

Lizenznehmers regelt § 69 d Absatz 3.<br />

Diese Vorschrift bezweckt ähnlich wie<br />

die Dekompilierungserlaubnis in § 69 e<br />

Urheberrechtsgesetz, dass ein berechtigter<br />

Lizenznehmer diejenigen Informationen<br />

herausfinden kann, die er zur Fortentwicklung<br />

von anderen Programmen<br />

auf dem Markt benötigt – im Rahmen<br />

des zulässigen Wettbewerbs – also etwa<br />

zu Zwecken der Kompatibilität. Danach<br />

kann der berechtigte Lizenznehmer ohne<br />

den Rechteinhaber vorher zu fragen, das<br />

Funktionieren seines Programms beobachten,<br />

untersuchen oder testen, um<br />

die einem Programmelement zugrunde<br />

liegenden Ideen und Grundsätze zu ermitteln,<br />

wenn dies durch Handlungen<br />

zum Laden, Anzeigen, Ablaufen, Übertragen<br />

oder Speichern des Programms<br />

geschieht, zu denen er berechtigt ist.<br />

Technisch dürfte dies Testläufe, Speicherdumps,<br />

Protokollierung der Signalkommunikation<br />

und Tools wie Debugger<br />

umfassen. Die Grenze: Die Übersetzung<br />

oder Bearbeitung und andere Umarbeitungen<br />

eines Computerprogramms sowie<br />

die Vervielfältigung der erzielten Ergebnisse<br />

sind nicht ohne Erlaubnis des Urhebers<br />

gestattet.<br />

Fazit: Die gesetzliche Befugnis zur Fehlerbeseitigung<br />

endet dort, wo Handlungen<br />

über den bestimmungsgemäßen<br />

Gebrauch laut Lizenzvertrag oder Featureliste<br />

hinausgehen. Die Vorschrift der<br />

Fehlerbe<strong>richtig</strong>ung ist eng auszulegen, da<br />

es sich um eine gesetzliche Ausnahme<br />

handelt. Effizienz, technischer Fortschritt<br />

und Verbraucherschutz sprechen hingegen<br />

für eine etwas weitere Auslegung.<br />

Wartung erlaubt<br />

Die Fehlerbe<strong>richtig</strong>ung und auch die<br />

Rechte aus § 69 d Absatz 3 Urheberrechtsgesetz<br />

können Dritte für den Nutzer<br />

wahrnehmen. Dies setzt zwingend<br />

voraus, dass der Kunde selbst dazu berechtigt<br />

wäre und eine gültige Lizenz hat.<br />

Das Wartungsunternehmen sollte sich die<br />

Lizenzen zeigen lassen. Vom Inhalt der<br />

Lizenz des Kunden leiten sich die Rechte<br />

des Serviceunternehmens ab. Erlaubt ist<br />

alles, was dem Kunden auch selbst erlaubt<br />

wäre, sowie die Beratung bei der<br />

Bedienung von Hard- und Software und<br />

der Konfiguration. Idealerweise sollte die<br />

Drittwartung vor Ort beim Kunden an<br />

dessen Systemen erfolgen. Das Risiko<br />

von Urheberrechtsverletzungen erhöht<br />

sich, sobald die Drittwartungsfirma die<br />

Software zur Fehlerbeseitigung kopiert –<br />

ohne ausdrückliche Lizenz dafür. Dies ist<br />

nicht in jedem Fall illegal, aber kaum ein<br />

Laie vermag, jeden Fall urheberrechtlich<br />

<strong>richtig</strong> einzuordnen.<br />

Es kann nach BGH im Einzelfall erlaubt<br />

sein, die Drittwartung beim Wartungsunternehmen<br />

auszuführen. Ein Praxisbeispiel<br />

aus dem Jahr 2000, über das der<br />

BGH entschied: Ein Großhandelsunternehmen<br />

hatte ein Computerprogramm<br />

zur Buchhaltung, Warenwirtschaft, Statistik,<br />

Mahnwesen und für den Ausdruck<br />

von Lieferscheinen für 60 000 DM erworben.<br />

Der Lizenzvertrag sah vor: „Die<br />

Software darf nicht für Zwecke Dritter<br />

benutzt oder Dritten zugänglich gemacht<br />

werden.“ Für den Fall des Verstoßes sah<br />

der Vertrag eine Vertragsstrafe in Höhe<br />

von 600 000 DM vor. Um das Programm<br />

auf einem neuen Betriebssystem laufen<br />

zu lassen, benötigte die Lizenznehmerin<br />

ein Übersetzungsprogramm von einem<br />

anderen Softwarehersteller. Das Buchhaltungssoftwarehaus<br />

übernahm keine<br />

Gewähr dafür, dass die Software in der<br />

neuen Umgebung problemlos laufen<br />

würde. In der Tat gab es Probleme: Einige<br />

Lieferscheine wurden nicht ausgedruckt,<br />

ohne dass die Sachbearbeiter dies hätten<br />

erkennen können. Das Buchhaltungssoftwarehaus<br />

führte dies auf Kompatibilitätsprobleme<br />

zurück und verwies das<br />

Großhandelsunternehmen an den Hardwarehersteller<br />

und die Lieferantin des<br />

Übersetzungsprogramms.<br />

Der Kunde schaltete ein weiteres Softwareunternehmen<br />

ein, das der Buchhaltungssoftware<br />

ein Modul hinzufügte<br />

und den Fehler beseitigte. Das Buchhaltungssoftwarehaus<br />

erhob Strafanzeige<br />

gegen das Drittwartungsunternehmen,<br />

die Staatsanwaltschaft durchsuchte die<br />

Geschäftsräume und fand eine mehr oder<br />

weniger vollständige Kopie der Buchhaltungssoftware,<br />

die das Großhandelsunternehmen<br />

der Drittwartungsfirma zur<br />

Fehlerbeseitigung überlassen hatte. Das<br />

Buchhaltungssoftwarehaus verklagte<br />

seine Kundin zudem auf die Vertragsstrafe<br />

von 600 000 DM. Sowohl Oberlandesgericht<br />

als auch der BGH wiesen die<br />

Klage zurück: Das Großhandelsunternehmen<br />

habe nicht gegen die Vertragsklausel<br />

verstoßen. Der BGH entschied am<br />

24.02.2000 (AZ I ZR 141/ 97, NJW 2000,<br />

OpenSource Training Ralf Spenneberg<br />

Schulungen direkt vom Autor<br />

Quality of Service mit Linux<br />

3 Tage 17.08. ­ 19.08.2011<br />

Sichere Mailserver Lösungen mit Postfix<br />

5 Tage 05.09. ­ 09.09.2011<br />

Hacking Webapplications<br />

4 Tage 12.09. ­ 15.09.2011<br />

Snort IDS/IPS Technology<br />

4 Tage 13.09. ­ 16.09.2011<br />

DHCP, DNS und DNSSEC<br />

3 Tage 27.09. ­ 29.09.2011<br />

Usage of the Kolab Groupware Solution<br />

2 Tage 27.09. ­ 28.09.2011<br />

Wege aus der Lizenzfalle mit Samba 4<br />

3 Tage 04.10. ­ 06.10.2011<br />

Spam Lösungen<br />

3 Tage 04.10. ­ 06.10.2011<br />

OpenVPN ­ Die IPsec Alternative<br />

3 Tage 04.10. ­ 06.10.2011<br />

Freie Distributionswahl:<br />

Opensuse, Fedora, Debian Squeeze,<br />

CentOS oder Ubuntu LTS<br />

Ergonomische Arbeitsplätze<br />

Umfangreiche Schulungsunterlagen mit<br />

Übungen<br />

Am Bahnhof 3­5<br />

48565 Steinfurt<br />

Tel.: 02552 638755<br />

Fax: 02552 638757<br />

Weitere Informationen unter www.os­t.de<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

13


Login<br />

Recht<br />

S. 3212 ff.): Die vertragliche Bestimmung<br />

untersage es nicht, das Programm einem<br />

Dritten allein zu Zwecken der Fehlerbeseitigung<br />

zugänglich zu machen. Das<br />

verständliche Geheimhaltungsinteresse<br />

des Softwarehauses ändere nichts daran,<br />

dass der Kunde berechtigt sei, Fehler<br />

durch eigene Mitarbeiter oder durch<br />

Dritte beheben zu lassen.<br />

Der BGH: Wolle man der Beklagten, die<br />

selbst nicht über die nötige fachliche<br />

Kompetenz verfügt, untersagen, Hilfe<br />

von außen in Anspruch zu nehmen, hindere<br />

man sie auch daran, Probleme im<br />

Zusammenspiel der verschiedenen Programme<br />

zu erkennen und zu lösen. Eine<br />

solche Auslegung des Vertrages scheide<br />

als unbillig und überraschend aus.<br />

Auch das zusätzliche Modul, das die<br />

Drittwartungsfirma programmiert hatte,<br />

sei nach BGH keine unzulässige Umarbeitung<br />

des Buchhaltungsprogramms<br />

gewesen, sondern erforderlich, um die<br />

Software weiterhin bestimmungsgemäß<br />

nutzen zu können. Es gab keine vertragliche<br />

Regelung, die dies untersagt habe.<br />

Hat der Kunde das Recht, den Fehler zu<br />

beseitigen, könne er damit auch einen<br />

Dritten betrauen.<br />

Klausel unwirksam<br />

Manche Softwarehersteller versuchen<br />

die Fehlerbeseitigung sowie auch die<br />

Drittwartung in AGBs oder Lizenz- und<br />

Wartungsverträgen zu untersagen. Dies<br />

dürfte in vielen Fällen unwirksam sein,<br />

in jedem Fall aber, wenn eine solche<br />

AGB derart weit geht, dass sie die Rechte<br />

des Nutzers auf null reduziert. Der BGH<br />

spricht von einem sogenannten abredefesten<br />

Kern an Nutzerbefugnissen, der<br />

für die vertragsgemäße Verwendung des<br />

Programms unerlässlich sei und der sich<br />

aus Erwägungsgrund 17 zur Europäischen<br />

Richtlinie über den Schutz von<br />

Computerprogrammen und Artikel 5<br />

ergebe. Die Fehlerbeseitigung und das<br />

Recht, dazu Dritte einzuschalten, dürfen<br />

Softwarehäuser nicht vollständig untersagen.<br />

Es wäre nach dem BGH allenfalls<br />

eine Klausel denkbar, die die Fehlerbeseitigung<br />

und Behebung von Kompatibilitätsproblemen<br />

dem Softwarehersteller<br />

vorbehalte, wenn er dazu willens und<br />

in der Lage sei. Es komme also auch<br />

immer darauf an, ob der Hersteller selbst<br />

auf eine dem Nutzer zumutbare Art und<br />

Weise anbietet, die Fehler zu beseitigen,<br />

dies dann auch tut und die dafür verlangten<br />

Preise zumutbar sind.<br />

Nicht jeder Preis ist erlaubt<br />

Durch ihre exklusiven Rechte am eigenen<br />

Code können Softwarekonzerne Kunden,<br />

die auf ein bestimmtes Programm angewiesen<br />

sind, relativ leicht finanziell<br />

ausbeuten. Doch nicht jeder Preis für<br />

Wartung ist erlaubt.<br />

In den ersten zwei Jahren nach Erwerb<br />

des Programms ist der Vertriebspartner<br />

oder der Verkäufer des Programms<br />

grundsätzlich zur kostenfreien Fehlerbeseitigung<br />

verpflichtet. Diesen gesetzlichen<br />

Gewährleistungsanspruch sollte<br />

der Kunde nutzen, bevor er zusätzlichen<br />

teuren Support bei Dritten oder beim<br />

Softwarehersteller einkauft. Umfasst der<br />

Wartungsvertrag mehr als nur die Fehlerbeseitigung,<br />

sollte ein reduzierter Preis<br />

während der Gewährleistungszeit vereinbart<br />

werden. Die Gewährleistung dürfen<br />

Softwarehäuser im Unternehmerverkehr<br />

auf ein Jahr reduzieren, aber nicht vollständig<br />

ausschließen.<br />

Auch für Softwarefehler muss der Softwarehändler<br />

einstehen. Klauseln wie<br />

„Software ist nie fehlerfrei“ helfen an<br />

dieser Stelle nicht weiter. Nach dem<br />

BGH schuldet der Vertragspartner eine<br />

Software nach dem „Stand der Technik<br />

bei einem mittleren Ausführungsstandard“,<br />

soweit vertraglich nichts anderes<br />

vereinbart ist. Fehler sind beispielsweise<br />

Defizite an Funktionalität, Sicherheit,<br />

Zuverlässigkeit, Benutzbarkeit, Komforteinschränkung,<br />

Effizienz oder Kompatibilität.<br />

Maßstab ist, was die Parteien im<br />

Vertrag vereinbart haben. Sichert man<br />

dem Kunden zu, das Textverarbeitungsprogramm<br />

sei kompatibel zur Spracherkennungssoftware,<br />

und agieren diese<br />

dann nicht problemlos miteinander, kann<br />

dies ein Fehler sein, der zur kostenfreien<br />

Fehlerbeseitigung oder aber, wenn dies<br />

fehlschlägt, zur Rückgabe berechtigt.<br />

Das Amtsgericht Hanau entschied am<br />

26.06.1998 (AZ 31 C 709/ 98-11): Ein kombinierter<br />

Software- und Wartungsvertrag<br />

kann sittenwidrig und nichtig sein, wenn<br />

dem vom Softwarehaus vereinnahmten<br />

Entgelt keine angemessene Gegenleistung<br />

gegenüberstehe. Ein Kunde hatte<br />

eine zeitlich unbefristete Lizenz für eine<br />

Software erworben. Er sollte aber laut<br />

Vertrag bei jeder Programmänderung,<br />

die Software erneut kaufen. Die Lizenz<br />

sei jeweils nur bis zum nächsten Update<br />

gültig. Lehnte der Kunde das Update ab,<br />

konnte er seine geschäftlich genutzten<br />

<strong>Daten</strong> nicht mehr verwenden. So war er<br />

gezwungen, jedes Update zu bezahlen.<br />

Das Gericht erklärte diesen Vertrag wegen<br />

seines Knebelungscharakters für sittenwidrig<br />

und nichtig. Der Kunde konnte<br />

seine Lizenzgebühr zurückverlangen.<br />

Fehlerbeseitigung in der EU<br />

Oft befinden sich Nutzer und Softwarehaus<br />

nicht in einem Land. Welches<br />

Recht gilt dann? Existiert ein Vertrag<br />

zwischen den Parteien, gilt das darin<br />

vereinbarte Recht, sofern sich nicht aus<br />

Verbraucherschutzvorschriften oder dem<br />

deutschen Urheberpersönlichkeitsrecht<br />

etwas anderes ergibt. In den Staaten<br />

der Europäischen Union kann man sich<br />

immer an der erwähnten Europäischen<br />

Computerrichtlinie orientieren, auf die<br />

auch das Recht zur Fehlerbeseitigung im<br />

deutschen Urheberrechtsgesetz zurückgeht.<br />

Letztlich ist nur das Landesrecht<br />

direkt anwendbar. Jedoch ist es nicht<br />

möglich, die Frage der Fehlerbeseitigung<br />

in den anderen EU-Staaten wegen der<br />

Harmonisierung durch die Europäische<br />

Richtlinie ganz anders zu beurteilen.<br />

Geht es um das Verhältnis von Drittwartungsunternehmen<br />

und Softwarehersteller,<br />

die selten einen Vertrag miteinander<br />

haben, dann gilt das sogenannte<br />

Schutzlandprinzip. Braucht ein Urheber<br />

in Deutschland den Schutz des Urheberrechts,<br />

dann gilt danach deutsches Recht.<br />

(jcb)<br />

n<br />

Die Autorin<br />

Die Autorin ist Rechtsanwältin<br />

& Fachjournalistin<br />

für IT-Recht in Berlin. Sie<br />

veröffentlicht seit 1997 in<br />

zahlreichen Medien zu Fragen<br />

des IT-Rechtes. Darüber<br />

hinaus referiert sie regelmäßig zu aktuellen<br />

Fragen des Internetrechtes, gibt Workshops zum<br />

Softwarelizenzrecht oder zur IT-Sicherheit und<br />

unterrichtet als Lehrbeauftragte für IT-Recht an<br />

der Beuth Hochschule für Technik, Berlin.<br />

14 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


lO gin<br />

Think Twice<br />

Güler Nazan ünel, 123RF<br />

Eine Streitschrift wider das Verblöden durch Information<br />

Drei Irrtümer<br />

bezüglich Vogelsang<br />

Twittern auf dem smartphone ist ein alter Hut, jetzt soll es auch die Armbanduhr lernen. der Hersteller Fossil<br />

entwickelte zusammen mit dem Chipkonzern Texas instruments eine „metawatch“ [1], die mails oder Tweets anzeigen<br />

kann. ist das der weg ins info-Paradies oder der information Overkill? Jens-Christoph brendel<br />

Endlich, endlich, jubelt Fossil in einer<br />

Pressemeldung, mache es sein „wearable<br />

development system“ möglich, zu jeder<br />

Zeit, überall und ohne lästige Zwischenschritte<br />

<strong>wichtige</strong> Informationen zu lesen.<br />

Erleben wir also mit der zwitschernden<br />

Uhr, die es in den USA ab diesem Sommer<br />

für rund 200 Dollar geben soll, tatsächlich<br />

eine „wrist revolution“ (O-Ton<br />

Fossil) – oder eher die schrille Kapriole<br />

einer überspitzten Infomanie? Wer das<br />

beurteilen will, muss zunächst mit ein<br />

paar Irrtümern aufräumen.<br />

Irrtum I: Alle twittern<br />

Alle twittern und was alle tun, das kann<br />

nicht falsch sein. Stimmt das? Nach einer<br />

Untersuchung des Pew Research<br />

Center’s Internet & American Life Project<br />

[2] twittern rund sechs Prozent aller<br />

erwachsenen Amerikaner. Das sind zwar<br />

ein paar Millionen – aber dennoch sind<br />

sie kaum mehr als eine verschwindende<br />

Minderheit.<br />

In Deutschland ist das Verhältnis noch<br />

eindeutiger: Im März 2011 haben 480 000<br />

Accounts aktiv auf Deutsch getwittert,<br />

melden die Webevangelisten [3]. Dem<br />

stehen laut Statistischem Bundesamt 29<br />

Millionen deutsche Haushalte (2009) mit<br />

einem Internetzugang gegenüber [4].<br />

Das heißt, in weniger als zwei Prozent<br />

der Haushalte lebte im Durchschnitt ein<br />

Twitterer. In Wirklichkeit ist der Anteil<br />

noch viel geringer, denn auch Österreicher<br />

und Schweizer schrieben deutsche<br />

Tweets.<br />

Der Anschein einer Mehrheit ist also<br />

reine Mimikry. Das hat gravierende Folgen,<br />

beispielsweise mit Blick auf die<br />

Funktion von Twitter als vermeintlichem<br />

Trendbarometer. Gemessen an der Grundgesamtheit<br />

aller mündigen Bürger fehlt es<br />

der Twitterer-Randgruppe offenkundig an<br />

statistischer Relevanz. In Amerika etwa<br />

twittern der Untersuchung zufolge vor<br />

allem junge erwachsene Angehörige von<br />

Minderheiten wie Farbige oder Hispanics,<br />

die einen mittleren Bildungsabschluss<br />

haben und in Städten leben. Schon unter<br />

Weißen oder Hochschulabsolventen fällt<br />

die Rate um rund die Hälfte und landet<br />

im unteren einstelligen Prozentbereich.<br />

Mit anderen Worten: Wer twittert, ist Außenseiter,<br />

nicht etwa umgekehrt.<br />

Dazu kommt: Von der Minderheit der<br />

Twitter-Nutzer zwitschert wiederum<br />

nur ein lächerlicher Bruchteil regelmäßig.<br />

Mehr als die Hälfte des Contents bei<br />

Twitter stammt von gerade einmal 20 000<br />

Nutzern, das sind kleinste Prozentbruchteile<br />

der Gemeinde, wie Yahoo Research<br />

ermittelt hat [5].<br />

diskutieren sie mit uns!<br />

Diskutieren Sie mit uns! Zum ersten Mal möchten<br />

wir Sie an dieser Stelle einladen, von nun<br />

an in jeder Ausgabe ein spannendes und strittiges<br />

Thema zu diskutieren. Die Redaktion<br />

legt vor, Sie haken ein. Mit Ihrer Meinung,<br />

Zustimmung oder Kritik. Das geht ganz leicht:<br />

Nutzen Sie einfach die Kommentarfunktion<br />

online unter [http://www.admin‐magazin.de/<br />

Twittermanie]<br />

16 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Think Twice<br />

Login<br />

Nichtsdestotrotz wird unaufhörlich suggeriert,<br />

niemand könne sich bei Strafe<br />

eines kommunikativen Supergaus dem<br />

atemlosen Gepiepse entziehen, und zwar<br />

nicht nur im Privaten, sondern auch im<br />

Geschäftsleben. „Twittern für Manager“,<br />

„Corporate Twitter“, „Tweetonomics“ –<br />

das sind tatsächlich ernst gemeinte Titel<br />

momentan erhältlicher Bücher. Meist<br />

ohne weitere Belege wird Twitter darin<br />

für unverzichtbar erklärt und jeder stigmatisiert,<br />

der dem Mitmachzwang kritisch<br />

begegnet. Man muss aber nur einen<br />

Schritt zurücktreten und sieht sofort: Der<br />

Kaiser hat ja gar nichts an!<br />

Irrtum II: Twitter überholt<br />

klassische Medien<br />

Zuweilen wird behauptet, Twitter sei<br />

viel schneller als Radio oder Fernsehen,<br />

von Zeitungen gar nicht zu reden. Man<br />

könnte es kurz machen: Tweets sind Äpfel<br />

und Nachrichten Birnen. Unbestätigt<br />

und ohne attestierte Glaubwürdigkeit<br />

das eine, verifiziert und meist durch einen<br />

renommierten Namen verbürgt das<br />

andere. Jeder kann alles twittern, noch<br />

dazu mehr oder weniger anonym – das<br />

Ergebnis ist deshalb kaum verlässlicher<br />

als ein Gerücht. Was eine Redaktion oder<br />

Nachrichtenagentur verlautbart, sind dagegen<br />

in der Regel überprüfte und glaubwürdige<br />

Fakten.<br />

Jede Kontrolle kostet Zeit, und so liegt<br />

es in der Natur der Sache, dass die verifizierte<br />

Nachricht stets etwas später<br />

erscheinen muss als die erste spontane<br />

Meldung eines vermeintlichen oder tatsächlichen<br />

Augenzeugen. Doch damit ist<br />

noch nicht gesagt, dass der kleine zeitliche<br />

Vorsprung auch einen praktischen<br />

Vorteil ergibt.<br />

Sohaib Athar wird berühmt, weil er über<br />

einen Hubschrauber über Abbottabad<br />

twittert („Ein Hubschrauber schwebt um<br />

ein Uhr nachts über Abbottabad (ist ein<br />

seltenes Ereignis)“), von dem sich im<br />

Nachhinein herausstellt, dass er die US­<br />

Soldaten brachte, die Bin Laden erschossen<br />

(„Uh oh, jetzt bin ich der Typ, der<br />

den Angriff gegen Osama live gebloggt<br />

hat“) [6]. Das ist übrigens ein beliebter<br />

Trick: Wenn sich später doch noch eine<br />

Bedeutung findet, wird sie nachgeliefert<br />

und dann so gefeiert, als sei sie von vornherein<br />

intendiert gewesen.<br />

„Da ist ein Flugzeug im Hudson River.<br />

Bin auf der Fähre, die versucht, die Leute<br />

aufzusammeln. Verrückt.“ Das twitterte<br />

Janis Krums, die zufällig zur <strong>richtig</strong>en<br />

Zeit am <strong>richtig</strong>en Ort war, und dieser<br />

Tweet gilt als Sternstunde des Microblogging<br />

und Ausweis seiner Überlegenheit.<br />

Allerdings: Wie viele Menschen werden<br />

wohl zufällig sofort auf diese Meldung<br />

gestoßen sein? (Die Hälfte der Twitterer<br />

hat weniger als fünf Follower.) Und was<br />

konkret hat es ihnen gebracht, dass sie<br />

von der Notwasserung eine halbe Stunde<br />

früher als ein Radiohörer wussten?<br />

Von Janis haben wir nichts weiter erfahren.<br />

Keine Schilderung der Rettungsaktion,<br />

kein Interview mit dem Piloten oder<br />

mit Überlebenden, keine Hintergründe<br />

zur Flugsicherheit, nichts über die Ursachen<br />

der Beinahe­Katastrophe. Das alles<br />

leisteten stattdessen klassische Medien.<br />

Irrtum III: So informiert<br />

man sich heute<br />

Twitter als Modell moderner Kommunikation<br />

– das ist schon deshalb zweifelhaft,<br />

weil es, wie gesagt, in der Regel<br />

gar nicht um Nachrichten geht (im Sinne<br />

einer objektiven Darstellung verifizierter<br />

Sachverhalte). Stattdessen drehen<br />

sich die Tweets um das Gegenteil, um<br />

unbestätigte, subjektive Meinungsäußerungen.<br />

Wenn überhaupt. Denn was der<br />

durchschnittliche Twitterer produziert,<br />

das ist viel eher geistiger Ballaststoff,<br />

der bei gesunder Peristaltik des Gehirns<br />

alsbald unverdaut wieder ausgeschieden<br />

wird.<br />

Wo es keine privaten Belanglosigkeiten<br />

sind („Setze gerade Nudelwasser auf,<br />

was macht ihr so?“), da ist es Marketinggewäsch<br />

(„We’re giving away an #iPad2<br />

at #XYZworld, booth 1118.“), sind es Werbebotschaften<br />

im Nachrichtenmantel, ist<br />

es das Lärmen bestellter Claqueure. Und<br />

wenn es das nicht ist, dann sind es zahllose<br />

URL­Appetizer, die der propagierten<br />

Verknappung auf das Wesentliche Hohn<br />

sprechen und Unbedarfte in die uferlosen<br />

Weiten des Web zu locken versuchen.<br />

Es mag das Twittern in anderen Weltgegenden<br />

andere Funktionen haben, es<br />

mag sogar hierzulande hin und wieder<br />

Nützliches produzieren. Aber lohnt die<br />

Erschließung angesichts der gigantischen<br />

Abraumberge aus Infomüll?<br />

Allerdings: Nutzen ist von Natur aus subjektiv.<br />

Offenbar geht es den Twitteren<br />

in erster Linie gar nicht um das Klügerwerden,<br />

den Wissenszuwachs oder<br />

Erkenntnisgewinn, sondern um diverse<br />

kostenfreie Zusatznutzen: die vorgebliche<br />

Anerkennung durch zahlreiche Follower,<br />

eine Arznei gegen Langeweile, das Zugehörigkeitsgefühl<br />

zu einer Gruppe, die<br />

Faszination der Technik, die Befriedigung<br />

des Spieltriebs oder gar einer Sucht oder<br />

ein vages Gefühl der Verbundenheit (für<br />

das der bombastische Terminus „Ambient<br />

Intimacy“ erfunden wurde).<br />

Daran ist weiter nichts Verwerfliches. Es<br />

stellt sich lediglich die Frage nach der<br />

Bilanz: Wer twittert, ist gezwungen, limitierte<br />

Ressourcen einzusetzen – Zeit<br />

etwa oder Aufmerksamkeit. Welchen Ertrag<br />

werfen sie ab?<br />

Fazit<br />

Wir haben sicher genug Informationen –<br />

vielleicht aber nicht immer die <strong>richtig</strong>en.<br />

Quantität kann der Qualität dabei durchaus<br />

abträglich sein. Die permanente Ablenkung<br />

durch nichtige Messages macht<br />

aus uns keine informierteren Menschen.<br />

Womöglich schon eher im Gegenteil: Bereits<br />

2005 fanden Forscher am Psychiatrischen<br />

Institut des King’s College, London,<br />

in einer von HP beauftragten Studie<br />

heraus, dass bei exzessiver elektronischer<br />

Kommunikation der IQ um durchschnittlich<br />

zehn Punkte sinkt. Man kann sich<br />

also im wahrsten Sinn des Wortes blöde<br />

informieren. (jcb)<br />

n<br />

Infos<br />

[1] Metawatch: [http:// www. metawatch. org]<br />

[2] Amerikanische Twitterer: [http://<br />

pewresearch. org/ pubs/ 1821/ twitter‐usersprofile‐exclusive‐examination]<br />

[3] Deutscher Twitter‐Zensus: [http://<br />

webevangelisten. de/ ? s=Zensus& x=0& y=0]<br />

[4] Internetzugänge in Deutschland:<br />

[http:// www. destatis. de/ jetspeed/<br />

portal/ cms/ Sites/ destatis/ Internet/<br />

DE/ Presse/ pm/ 2009/ 12/ PD09__464__<br />

IKT,templateId=renderPrint. psml]<br />

[5] Whos says what to whom on twitter?:<br />

[http:// research. yahoo. com/ pub/ 3386]<br />

[6] Militäreinsatz getwittert: [http:// www.<br />

tagesschau. de/ ausland/ osamaimnetz100.<br />

html]<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

17


n etzwerk<br />

Opennms<br />

Kheng Ho Toh, 123RF<br />

Die Schweizer Messer im Fault-Management<br />

Flexible Monitore<br />

monitore, die ihre informationen via snmP beziehen, sind eine Art Allzweckwaffe von Opennms. doch nicht<br />

jedem Admin ist bewusst, welche Vielfalt an informationen sich damit erschließen lässt. Jens michelsons<br />

Neben der hohen Skalierbarkeit zeichnet<br />

sich OpenNMS durch offene Schnittstellen<br />

und viele Standardmonitore aus,<br />

die bereits direkt nach der Installation<br />

zur Statusüberwachung von Diensten<br />

wie HTTP, SMTP, POP3 oder DNS einsetzbar<br />

sind. Dieses System ist über konfigurierbare<br />

Monitore noch erweiterbar,<br />

sodass dem Admin schnell eine Vielzahl<br />

an Überwachungsmöglichkeiten zur Verfügung<br />

steht, die er ohne Programmierkenntnisse<br />

nutzen kann.<br />

Als ganz besonders nützlich erweisen<br />

sich dabei die Monitore für SNMP sowie<br />

für Windows-Dienste und Prozesse, die<br />

ihre Informationen ebenfalls via SNMP<br />

beziehen. Dieser Artikel erklärt, wie sie<br />

sich ausnutzen lassen.<br />

SNMP im Überblick<br />

Das Simple Network Management Protokoll<br />

(SNMP) wurde zur Überwachung<br />

und Steuerung von Netzwerkkomponenten<br />

entwickelt und standardisiert. Welche<br />

Informationen im Einzelnen abfragbar<br />

sind, das verrät eine sogenannte Management<br />

Information Base (MIB). Diese<br />

baumartige Struktur (Abbildung 1) speichert<br />

alle abfragbaren Merkmale. Jedes<br />

Merkmal ist über einen Object Identifier<br />

(OID) erreichbar.<br />

Im produktiven Umfeld sind für das<br />

Netzwerk-Management die Bereiche der<br />

Standard MIB II (1.3.6.1.2.1.*) und der<br />

Herstellerbereich unter dem Enterprises-<br />

Zweig (1.3.6.1.4.1.*) relevant. Die Standard<br />

MIB II ist durch die IETF definiert,<br />

und alle Hersteller sollten sie einheitlich<br />

implementieren. Sie beinhaltet zum<br />

Beispiel Systeminformationen wie den<br />

SNMP-Gerätenamen, die Parameter von<br />

Netzwerkinterfaces, Routing- und Protokollinformationen.<br />

Im Enterprise-Teil<br />

gibt es für die Hersteller keine speziellen<br />

Vorgaben. Hier findet man insbesondere<br />

Hardwareinformationen, Performancecounter<br />

oder Statusinformationen.<br />

Häufig möchten Administratoren bei<br />

Hardwarekomponenten wie Festplatten,<br />

Prozessoren, Speicherbausteinen oder<br />

Lüftern den Funktionsstatus überwachen.<br />

Dabei herrscht nicht selten der Irrglaube,<br />

nur der Hersteller selbst könne<br />

ein entsprechendes Hardwaremonitoring<br />

liefern. Tatsächlich aber sind viele Hardwareinformationen<br />

auch mittels SNMP<br />

zu beziehen. Das nutzt auch der SNMP-<br />

Monitor von OpenNMS für ein herstellerunabhängiges<br />

Hardwaremonitoring aus.<br />

Die Management-Agenten der bekanntesten<br />

Hersteller sind:<br />

n HP Insight Manager Agent<br />

n Dell OpenManage<br />

n ServerView Agent (Fujitsu Siemens)<br />

n IBM Director Agent<br />

Auch Windows-Dienste und -Prozesse<br />

gilt es oft zu überwachen, und auch hier<br />

ist dem Administrator selten bewusst,<br />

wie hilfreich SNMP sein kann. Zusammenfassend<br />

kann man sagen, dass die<br />

Möglichkeiten fast unbegrenzt sind – von<br />

Zustandsabfragen der USV über den Status<br />

von Klimaanlagen und Sensorwerten<br />

bis hin zur Überwachung und Steuerung<br />

ganzer Systeme ist vieles möglich.<br />

Dienste erkennen<br />

OpenNMS kann zu überwachende Dienste<br />

automatisch erkennen. In den Versionen<br />

bis 1.8.x übernimmt diese Aufgabe der<br />

Capabilities Daemon (capsd) mithilfe von<br />

Plugins. Mit der Version 1.8 kommt ein<br />

neuer Mechanismus ins Spiel, der als sogenannte<br />

Foreign Source in den Provisioning<br />

Daemon (provisiond) integriert ist.<br />

Gegenwärtig unterstützt OpenNMS noch<br />

beide Mechanismen (Abbildung 2).<br />

Weil nach einer Standardinstallation auch<br />

in der Version 1.8.x noch die Erkennung<br />

über den Capabilities Daemon als Voreinstellung<br />

definiert ist, basieren die hier<br />

gezeigten Beispiele auf diesem Mechanismus.<br />

Wurde ein Dienst auf einem Gerät<br />

erkannt, steht der Überwachung nichts<br />

18 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Opennms<br />

n etzwerk<br />

die Parameter »minimum« und »maximum«<br />

angebbar, wie oft eine Übereinstimmung<br />

minimal beziehungsweise<br />

maximal erfolgen darf.<br />

Nach der Konfiguration der Monitore ist<br />

das System über »/etc/init.d/opennms<br />

restart« neu zu starten.<br />

Der Windows-Dienste-Monitor<br />

Abbildung 1: Die Object Identifier führen durch einen Merkmalsbaum, von dem Teile standardisiert und andere<br />

vom Gerätehersteller definiert wurden.<br />

mehr im Weg. Der Poller Daemon (pollerd)<br />

überprüft dafür per Default alle fünf<br />

Minuten, ob der Dienst noch verfügbar<br />

ist. Damit der Poller Daemon seine Arbeit<br />

erfüllen kann, müssen die Monitore in<br />

der Konfiguration definiert werden.<br />

Der SNMP-Monitor<br />

Wegen der zahlreichen Möglichkeiten<br />

von SNMP ist der SNMP-Monitor als eine<br />

Art Allzweckwaffe nutzbar. Durch die<br />

konfigurierbaren Parameter kann jeder<br />

vom Hersteller bereitgestellte Wert abgefragt<br />

und über eine Vergleichsfunktion<br />

ausgewertet werden. Listing 1 zeigt ein<br />

Konfigurationsbeispiel zum Environmental<br />

Monitoring mit Sensoren des Herstellers<br />

AKCP (Listing 1). Der Monitor ist<br />

über die Parameter »oid«, »operator«,<br />

»operand«, »walk«, »matchAll«, »minimum«<br />

und »maximum« konfigurierbar.<br />

Die OID gibt an, welcher Wert beziehungsweise<br />

welche Werte von dem Monitor<br />

ermittelt werden sollen. Ob ein oder<br />

mehrere Werte gefragt sind, wird über<br />

den »walk«-Parameter gesteuert: Der<br />

Wert »true« bedeutet, dass es sich um<br />

eine Tabelle handelt.<br />

Über den »operator«-Parameter lassen<br />

sich mithilfe der verschiedenen Vergleichsoperationen<br />

(=, >=,


n etzwerk<br />

Opennms<br />

Daemon bei seiner Arbeit auf die Finger<br />

zu sehen.<br />

Fazit<br />

Durch seine gute Skalierbarkeit und Flexibilität<br />

ist OpenNMS für Unternehmen<br />

jeder Größenordnung einsetzbar. Durch<br />

Mechanismen wie die konfigurierbaren<br />

Monitore ist es einfach zu erweitern. Dafür<br />

muss der Administrator nicht einmal<br />

programmieren können. Zusätzlich wird<br />

durch die regelbasierte Konfiguration der<br />

Verwaltungsaufwand erheblich reduziert,<br />

weil neu angelegte Dienste automatisiert<br />

durch das System erkannt, aufgenommen<br />

und selbstständig überwacht werden.<br />

(jcb)<br />

n<br />

Abbildung 2: Eine OpenNMS-Architekturübersicht zeigt auch die bereits besprochenen Komponenten wie<br />

Provisioning und Poller Daemon.<br />

Dienste-Monitors. Benötigt wird lediglich<br />

der Prozessname, der sowohl in dem<br />

Plugin als auch in dem Monitor unter<br />

»service-name« zu definieren ist.<br />

Debugging<br />

Das Debugging für die einzelnen Daemons<br />

steuert die Datei »/etc/opennms/log4j.<br />

Listing 2: beispiel druckwarteschlange<br />

Erkennung des Dienstes (»/etc/opennms/capsd‐configuration.<br />

xml«):<br />

<br />

<br />

<br />

<br />

<br />

Einrichten des Monitors (»/etc/opennms/poller‐configuration.<br />

xml«)<br />

...<br />

<br />

<br />

<br />

<br />

<br />

<br />

...<br />

<br />

properties«. Wird der Dienst nicht erkannt,<br />

ist das Logfile für den Capsd relevant.<br />

Wurde der Dienst dagegen erkannt,<br />

aber der Monitor erfüllt seinen Dienst<br />

nicht, benötigt man stattdessen das Debugging<br />

für den Pollerd-Daemon. Ein<br />

Neustart des Systems ist hier noch nicht<br />

einmal notwendig.<br />

Die fraglichen Log-Files sind nach einer<br />

Standardinstallation über den Paketmanager<br />

in der Regel im Verzeichnis »/var/<br />

log/opennms/daemon« zu finden. Für<br />

den Capsd und den Pollerd heißen sie<br />

»capsd.log« beziehungsweise »pollerd.<br />

log«. Mit einem »tail -f Logfilename«<br />

ist es dann möglich, dem zugehörigen<br />

Listing 3: beispiel OpenLdAP-Prozess<br />

Erkennung des Dienstes (»/etc/opennms/capsd‐configuration.xml«):<br />

Infos<br />

[1] SNM‐Monitor: [http://www.opennms.org/<br />

wiki/SNMP_Monitor]<br />

[2] Windows‐Dienst‐Monitor: [http://www.<br />

opennms. org/ wiki/ Win32ServiceMonitor]<br />

[3] HostResourceSwRunMonitor:<br />

[http://www. opennms.org/wiki/<br />

HostResourceSwRunMonitor]<br />

Der Autor<br />

Der Diplom‐Informatiker (FH) Jens Michelsons<br />

arbeitet als Consultant bei der NETHINKS GmbH.<br />

Die Firma plant, entwickelt, implementiert und<br />

betreut maßgeschneiderte IT‐Lösungen. Darüber<br />

hinaus ist NETHINKS erster offizieller Partner<br />

für OpenNMS in Deutschland und richtete<br />

2011 zum dritten Mal in Folge die OUCE aus, die<br />

europäische OpenNMS User Conference.<br />

<br />

<br />

<br />

<br />

<br />

Einrichten des Monitors (»/etc/opennms/poller‐configuration.xml«):<br />

...<br />

<br />

<br />

<br />

<br />

<br />

...<br />

<br />

20 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Rootserver<br />

Isgenug 2G<br />

Der is’ genug für mich!<br />

Rootserver<br />

Isgenug 16G<br />

Rootserver<br />

Isgenug 24G<br />

17,99 € 49,99 € 59,99 €<br />

/ Monat / Monat / Monat<br />

Einrichtungsgebühr Geschenkt *<br />

Geschenkt * Geschenkt *<br />

Prozessor<br />

Marke Intel ®<br />

Intel ® Intel ®<br />

Modell Celeron / Atom<br />

i5 i7<br />

Frequenz 1.20+ GHz<br />

4x 2.66+ GHz 4x 2(HT)x 2.66+<br />

Architektur 64 Bit<br />

64 Bit 64 Bit<br />

Arbeitsspeicher 2 GB<br />

16 GB 24 GB<br />

Festplatte 1 TB<br />

2 TB 2 TB<br />

FTP-<strong>Backup</strong> 100 GB<br />

100 GB 100 GB<br />

Netzwerk<br />

Garantierte Bandbreite 100 Mbit/s<br />

100 Mbit/s 100 Mbit/s<br />

Traffic / Monat Unbegrenzt**<br />

Unbegrenzt** Unbegrenzt**<br />

* : Die Einrichtungsgebühren sind bei jährlicher Zahlung geschenkt. Sonst: 49,99 €<br />

** : Der Traffic ist unbegrenzt. Sollte der Verbrauch 5 TB / Monat bei einem Isgenug 2G, 10 TB / Monat bei einem Isgenug 16G oder 15 TB / Monat bei einem Isgenug 24G<br />

überschreiten, wird die Bandbreite automatisch auf 10 Mbit/s reduziert. Kosten für Zusatztraffic: 2 TB für 29,80 €<br />

Betriebssysteme<br />

Linux/Webmin, Plesk oder Basisdistribution<br />

Windows ® /TSE (Remotedesktopverbindung) oder Plesk<br />

FreeBSD Basisdistribution, für die Fans von BSD<br />

Solaris Basisdistribution mit ZFS!<br />

Green IT<br />

Bei der Entwicklung der dedizierten Server von isgenug.de<br />

wurde auf maximale Umweltverträglichkeit geachtet. Bei ihrem<br />

Hosting werden die Energieeinsparungen kontinuierlich optimiert.<br />

Sie sind mit energiesparender Hardware ausgestattet,<br />

ohne dass dadurch die Leistung beeinträchtigt wird. Die Wärmeabfuhr<br />

erfolgt über ein selbstentwickeltes Flüssigkeits- und<br />

Luftkühlsystem, das 90% weniger Energie benötigt als eine<br />

klassische Klimaanlage.<br />

Inklusive attraktiver Dienstleistungen<br />

• Bearbeitung von Störungsmeldungen per Ticketsystem 24/7<br />

• Monitoring 24/7<br />

• 24/7 Reinstallation - Netboot - Hardreboot - Rescue Modus - vKVM<br />

•<br />

Das Isgenug Konzept<br />

Die Isgenug Server reichen ganz einfach für die meisten Ihrer<br />

Bedürfnisse im Internet aus. Um Ihnen den bestmöglichen Preis<br />

bei kompromissloser Qualität garantieren zu können, haben wir alles<br />

weggelassen, was teuer, aber nicht unbedingt notwendig ist.<br />

Wir haben also nur das behalten, was wirklich wichtig ist.<br />

Dadurch können wir Ihnen die bestmögliche Qualität mit der neuesten<br />

Technologie bieten. Ideal geeignet für Ihren Start ins Internet<br />

passt sich die Isgenug Reihe mit einer<br />

großen Auswahl an Betriebssystemen an<br />

Ihre Bedürfnisse an und erlaubt Ihnen die ><br />

Nutzung einer Vielzahl an Diensten.<br />

Alle Preise inklusive 19% MwSt. Aktuelle Preise und Konditionen auf isgenug.de. Isgenug ist ein eingetragenes Markenzeichen. GmbH mit 25.000,00 € Stammkapital -<br />

Amtsgericht Saarbrücken - HRB 15369 - USt-IdNr.: DE245768940 - Anschrift: OVH GmbH - Koßmannstr. 35 - 66119 Saarbrücken


n e Tzwerk<br />

mailinglisten<br />

© suze, photocase.com<br />

Mailinglisten mit Mlmmj verwalten<br />

Massenpost<br />

mlmmj ist ein noch wenig verbreiteter mailinglisten-manager, der eine interessante Alternative zu schwergewichten<br />

wie mailman darstellt. dieser Artikel beschreibt, wie das Libre-Office-Projekt davon gebrauch macht.<br />

Florian effenberger<br />

Wenn es um Mailinglisten geht, dann<br />

ist Mailman oft die erste Wahl. Das Programm<br />

ist nicht nur ausgereift und weitverbreitet,<br />

sondern beinhaltet zudem<br />

viele Funktionen, die es in einer komfortablen<br />

Weboberfläche anbietet. Doch für<br />

manche Anwendungsfälle gibt es bessere<br />

Alternativen: Mit Mlmmj (Mailing List<br />

Management Made Joyful) lernen Sie einen<br />

noch recht unbekannten Vertreter<br />

dieser Gattung kennen, auf den sich ein<br />

genauerer Blick lohnt [1].<br />

Aller Anfang ist schwer<br />

Bei der Planung der Infrastruktur für<br />

das heutige Libre-Office-Projekt spielten<br />

Mailinglisten eine zentrale Rolle, sind sie<br />

doch das Hauptkommunikationsmittel<br />

der Community. Die Anforderungen waren<br />

hier recht speziell: Traditionell gibt es<br />

im Projekt mehrere gleichnamige Mailinglisten<br />

in unterschiedlichen Subdomains,<br />

beispielsweise »discuss@de.libreoffice.<br />

org« und »discuss@si.libreoffice.org«,<br />

und die Moderation wird von zahlreichen<br />

Freiwilligen rund um den Globus per<br />

E-Mail durchgeführt.<br />

Genau bei diesen beiden Anforderungen<br />

musste Mailman passen – die Moderation<br />

wird dort vor allem ins Web verlagert,<br />

geschützt durch ein für alle Moderatoren<br />

gleiches Passwort, und gleichnamige<br />

Mailinglisten sind erst ab der kommenden<br />

Version 3.0 möglich. Nach der Evaluation<br />

mehrerer Systeme fiel die Wahl<br />

schließlich auf Mlmmj, das durch seine<br />

Ähnlichkeit zum damals bei OpenOffice.<br />

org eingesetzten Ezmlm geradezu prädestiniert<br />

war, mussten sich die Anwender<br />

doch nur wenig umgewöhnen. Während<br />

Ezmlm ausschließlich mit Qmail funktioniert,<br />

ist Mlmmj kompatibel zu den<br />

gängigsten Mailservern, darunter auch<br />

dem eingesetzten Postfix.<br />

Die Installation von Mlmmj ging auf dem<br />

Testsystem, einem aktuellen Ubuntu<br />

10.04 LTS, leicht von der Hand: Ein simples<br />

»apt-get install mlmmj« bringt das<br />

Paket auf den Server. Mlmmj läuft allein<br />

schon aus Sicherheitsgründen in seinem<br />

eigenen Benutzerkontext. Unter Ubuntu<br />

legt das Paket keinen Benutzer an, ein<br />

Aufruf von »adduser --system mlmmj«<br />

führt jedoch zum Ziel.<br />

Verzeichnisse<br />

Darüber hinaus ist es sinnvoll, Mails<br />

für den »mlmmj«-Systembenutzer an<br />

den Postmaster weiterzuleiten, je nach<br />

Mailsystem beispielsweise per ».forward-«Datei<br />

oder über »/etc/aliases«.<br />

Nach dem Anlegen des benötigten Spool-<br />

Verzeichnisses mittels<br />

mkdir /var/spool/mlmmj && chown U<br />

mlmmj: /var/spool/mlmmj<br />

ist die Paketinstallation abgeschlossen.<br />

Danach geht es an die Integration ins<br />

Mailsystem, die auf der Dokumentationsseite<br />

von Mlmmj gut beschrieben ist.<br />

Dieser Artikel erklärt im Weiteren, wie<br />

Sie Mlmmj mit dem Postfix- Mailserver<br />

verbinden.<br />

22 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


mailinglisten<br />

n e Tzwerk<br />

Die Listenadressen werden idealerweise<br />

in separaten Dateien, getrennt vom übrigen<br />

Mailsystem, abgelegt – beispielsweise<br />

in »/var/spool/mlmmj/virtual.regexp«<br />

und »/var/spool/mlmmj/transport«.<br />

Damit Postfix die Dateien überhaupt<br />

verarbeitet, müssen Sie die folgenden<br />

beiden Zeilen in »/etc/postfix/main.cf«<br />

hinzufügen:<br />

virtual_alias_maps = regexp:/var/spool/U<br />

mlmmj/virtual.regexp<br />

transport_maps = regexp:/var/spool/mlmmj/U<br />

transport<br />

Zudem sollten Sie noch die folgende<br />

Option aktivieren:<br />

mlmmj_destination_recipient_limit = 1<br />

Mlmmj bindet sich in Postfix als sogenannter<br />

Transport ein. Um den Dienst bekanntzumachen,<br />

müssen Sie daher noch<br />

eine weitere Zeile in die dafür zuständige<br />

Datei »/etc/postfix/master.cf« eintragen<br />

(Listing 1).<br />

Dieser Eintrag weist Postfix an, für den<br />

Mlmmj-Transport die Datei »/usr/bin/<br />

mlmmj-receive« aufzurufen, die sich um<br />

die Verarbeitung der Nachrichten kümmert.<br />

Zum Abschluss muss Postfix, sofern<br />

nicht bereits geschehen, noch Kenntnis<br />

über die virtuelle(n) Domain(s) erlangen,<br />

auf denen die Mailinglisten laufen,<br />

beispielsweise in Form eines Eintrags in<br />

»/etc/postfix/virtual«. Denken Sie daran,<br />

dem RFC entsprechend auch Aliase für<br />

»abuse@« und »postmaster@« anzulegen,<br />

die idealerweise auch weitestgehend<br />

ungefiltert bleiben. Nur so ist sichergestellt,<br />

dass bei Problemen ein <strong>richtig</strong>er<br />

Ansprechpartner erreichbar ist, was einem<br />

zudem lästige Einträge auf Blacklisten<br />

erspart. Ein korrekter Eintrag in<br />

»/etc/postfix/virtual« sieht beispielsweise<br />

so aus wie Listing 2. Zum Abschluss führen<br />

Sie noch »postfix reload« und »postmap<br />

/etc/postfix/virtual« aus, dann ist<br />

die Postfix-Integration abgeschlossen.<br />

Listing 1: »master.cf«<br />

01 mlmmj unix ‐ n n ‐ ‐ pipe<br />

02 flags=DORhu user=mlmmj argv=/usr/bin/<br />

mlmmj‐recieve ‐F ‐L /var/spool/mlmmj/$nexthop/<br />

Listing 2: »virtual«<br />

01 lists.admin‐magazin.de VIRTUAL<br />

02 abuse@lists.admin‐magazin.de root<br />

03 postmaster@lists.admin‐magazin.de root<br />

Listing 3: Transports für Libre Office<br />

01 /^(documentfoundation\.org‐‐announce).*$/<br />

mlmmj:documentfoundation.org/announce<br />

02 /^(documentfoundation\.org‐‐discuss).*$/<br />

mlmmj:documentfoundation.org/discuss<br />

03 /^(global\.libreoffice\.org‐‐l10n).*$/ mlmmj:global.<br />

libreoffice.org/l10n<br />

Das Anlegen der ersten Mailingliste erfordert<br />

mehrere Schritte, die sich je nach<br />

verwendetem Mailsystem unterscheiden.<br />

Im Fall von Postfix steht zunächst das Zuweisen<br />

des Transports in der Datei »/var/<br />

1. Lernen Sie!<br />

Ja, ã training-on-the-jobÒ , oft praktiziert, aber nicht<br />

Ÿ berzeugend. Denn die Kollegen haben nie Zeit<br />

fŸ r echte ErklŠ rungen, au§ erdem werden ã NeueÒ<br />

sofort von dem vereinnahmt, was im Unternehmen<br />

schon seit Ewigkeiten tradiert wird. Warum gibt's<br />

seit 2000 Jahren Schulen und UniversitŠ ten?<br />

ã LERNENÒ ist eine vollwertige TŠ tigkeit, auf die<br />

man sich konzentrieren mu§ , die man nicht 'mal<br />

eben so nebenbei tun kann, und die immer auch<br />

eine Prise ã ErneuerungÒ beinhalten sollte!<br />

2. Ineffiziente Arbeit nicht akzeptieren!<br />

Je spezialisierter Sie arbeiten, desto weniger<br />

echte, fachliche Kollegen haben Sie in Ihrem eigenen<br />

Unternehmen. Wir stellen deshalb Gruppen<br />

zusammen, in denen Sie neben hilfsbereiten<br />

Kollegen mit Š hnlichen Kenntnissen an IHREM<br />

Projekt arbeiten. Und stŠ ndig ist ein fachlicher Berater<br />

anwesend.<br />

ã Guided CoworkingÒ nennen wir das, und es<br />

kš nnte DIE Lš sung fŸ r so manches Projekt sein,<br />

das in Ihrer Firma ã haktÒ .<br />

3. Hintergrund<br />

Wer den riesigen OpenSource-Baukasten schnell<br />

beherrschen mu§ , geht zu einer unserer Ÿ ber 100<br />

Schulungen. Wer das bereits kann, aber schneller<br />

mit seinen Projekten vorankommen will, der<br />

kommt mit seiner Arbeit zum Guided Coworking.<br />

Wir sind eine der erfolgreichsten Schulungseinrichtungen<br />

im gesamten Bereich ã OpenSourceÒ<br />

- sowohl fŸ r Admins, als auch fŸ r Entwickler.<br />

Siehe www.linuxhotel.de


n e Tzwerk<br />

mailinglisten<br />

spool/mlmmj/transport« an. Das Format,<br />

wie in der Dokumentation beschrieben,<br />

lautet dabei idealerweise:<br />

/^(domain\.tld‐‐listenname).*$/ mlmmj:domainU<br />

.tld/listenname<br />

Im Fall der Libre-Office-Listen sieht die<br />

Konfiguration aus wie in Listing 3.<br />

Um den Aliasen nun Mailadressen zuzuweisen,<br />

bedarf es der zweiten Datei<br />

»/ var/spool/mlmmj/virtual.regexp«. Das<br />

Format lautet<br />

/^(listenname.*)@(domain\.tld)$/ domain.U<br />

tld‐‐${1}<br />

Listing 4 zeigt wieder die Konfiguration<br />

der Libre-Office-Listen.<br />

Das geübte Auge erkennt, dass durch<br />

diese Einträge drei Mailinglisten definiert<br />

werden: »announce@documentfoundation.org«,<br />

»discuss@documentfoundation.org«<br />

und »l10n@global.libreoffice.<br />

org«.<br />

Als Basispfad gilt dabei »/var/spool/<br />

mlmmj«. Die Liste »announce@docu-<br />

Listing 4: Transports für Libre Office<br />

01 /^(announce.*)@(documentfoundation\.org)$/<br />

documentfoundation.org‐‐${1}<br />

02 /^(discuss.*)@(documentfoundation\.org)$/<br />

documentfoundation.org‐‐${1}<br />

03 /^(l10n.*)@(global\.libreoffice\.org)$/ global.<br />

libreoffice.org‐‐${1}<br />

Listing 5: Listen einrichten<br />

01 sudo ‐u mlmmj /usr/bin/mlmmj‐make‐ml ‐s /var/spool/<br />

mlmmj/documentfoundation.org ‐L announce<br />

02 sudo ‐u mlmmj /usr/bin/mlmmj‐make‐ml ‐s /var/spool/<br />

mlmmj/documentfoundation.org ‐L discuss<br />

03 sudo ‐u mlmmj /usr/bin/mlmmj‐make‐ml ‐s /var/spool/<br />

mlmmj/global.libreoffice.org ‐L l10n<br />

Listing 6: »customheaders«<br />

01 Reply‐To: discuss@documentfoundation.org<br />

02 Errors‐To: postmaster@documentfoundation.org<br />

03 Precedence: list<br />

04 List‐Id: <br />

05 List‐Unsubscribe: <br />

06 List‐Archive: <br />

07 List‐Post: <br />

08 List‐Help: <br />

09 List‐Subscribe: <br />

10 List‐Owner: <br />

mentfoundation.org« findet sich folge<strong>richtig</strong><br />

in »/var/spool/mlmmj/documentfoundation.org/announce«<br />

wieder, die<br />

»l10n@global.libreoffice.org« indes in »/<br />

var/spool/mlmmj/global.libreoffice.org/<br />

l10n«.<br />

Nach einer Änderung der Virtual- und<br />

Transports-Dateien empfiehlt sich wieder<br />

ein »postfix reload«, um die Konfiguration<br />

zu aktivieren.<br />

Die erste Mailingliste<br />

Sind dem Mailsystem die benötigten<br />

Aliase bekannt, geht es an die Einrichtung<br />

der Listen. Diese Schritte sind unabhängig<br />

vom eingesetzten Mailserver.<br />

Dreh- und Angelpunkt ist das Programm<br />

»mlmmj-make-ml«, das als Parameter das<br />

Spool-Verzeichnis (in diesem Fall: mit<br />

Subdomain) sowie den Listennamen erwartet<br />

(Listing 5).<br />

Das Tool fragt nach der Subdomain,<br />

der Adresse des Listenbesitzers und der<br />

Sprache, die für die Listentexte benutzt<br />

werden sollen. Theoretisch ist die neue<br />

Liste damit einsatzbereit – eine E-Mail an<br />

»listenname+help@subdomain« sollte<br />

den Hilfetext als Antwort liefern. Der<br />

Hinweis von »mlmmj-list«, dass ein Eintrag<br />

in der »/etc/aliases« vonnöten sei,<br />

kann im gezeigten Postfix-Setup übrigens<br />

geflissentlich ignoriert werden.<br />

Wichtige Details<br />

Für den regulären Betrieb reichen die<br />

Standardeinstellungen jedoch noch nicht<br />

aus. Mlmmj speichert die Konfiguration<br />

im Unterverzeichnis »control« der jeweiligen<br />

Liste, also beispielsweise in »/var/<br />

spool/mlmmj/documentfoundation.org/<br />

announce/control«. In vielen kleinen<br />

Dateien – im Mlmmj-Sprachgebrauch<br />

„tunables“ genannt – lassen sich die Listen<br />

an die eigenen Wünsche anpassen.<br />

Änderungen an der Datei werden einfach<br />

wirksam, ein Mlmmj-Neustart ist nicht<br />

nötig. Die folgenden Abschnitte erklären<br />

die wichtigsten Optionen.<br />

In »customheaders« werden Kopfzeilen<br />

hinterlegt, um die die E-Mails ergänzt<br />

werden. Empfehlenswert ist, die im entsprechenden<br />

RFC empfohlenen Header<br />

einzufügen (Listing 6).<br />

Diese Header setzen das Reply-To-Feld<br />

auf die Listenadresse, geben eine Kontaktadresse<br />

für Fehlermeldungen an und<br />

– wichtig! – kennzeichnen die Mails als<br />

Listenmails, damit keine Urlaubsbenach<strong>richtig</strong>ungen<br />

verschickt werden. Die<br />

List-Kopfzeilen geben Mailclients und<br />

Webdiensten weitere Informationen zu<br />

An- und Abmeldeadressen sowie zum<br />

Ort des Archivs. Alternativ kennzeichnet<br />

ein »List-Post: NO« beispielsweise, dass<br />

es sich um eine reine Ankündigungsliste<br />

ohne Möglichkeit zur Antwort handelt.<br />

Die Datei »prefix« gibt an, ob dem Betreff<br />

eine Listen-ID vorangestellt werden soll,<br />

beispielsweise »[libreoffice-users]«. Der<br />

Text muss dazu mit Eckklammern, aber<br />

ohne abschließendes Leerzeichen in die<br />

Datei eingetragen werden.<br />

Absender: unbekannt<br />

Auch die Behandlung unbekannter Absender<br />

lässt sich einstellen. Existiert die<br />

Datei »subonlypost«, dürfen nur angemeldete<br />

Nutzer eine Nachricht schreiben,<br />

Nachrichten von unbekannten Adressen<br />

verwirft Mlmmj. Sollen diese stattdessen<br />

einem Moderator vorgelegt werden, muss<br />

zusätzlich die Datei »modnonsubposts«<br />

angelegt werden. Der Inhalt ist jeweils<br />

egal, da Mlmmj nur die Existenz der Datei<br />

prüft.<br />

Tabelle 1: <strong>wichtige</strong> konfigurationsdateien und -verzeichnisse<br />

Name<br />

Funktion<br />

archive<br />

Enthält alle E-Mails, eine Datei pro Nachricht, in aufsteigender Reihenfolge<br />

nummeriert.<br />

control<br />

Konfigurationsdateien.<br />

digesters.d<br />

Liste aller Abonnenten, die den Nachrichtenauszug (Digest) beziehen.<br />

mlmmj.operation.log Logdatei, unter anderem zu An- und Abmeldungen.<br />

moderation<br />

Nachrichten, die auf Moderation warten.<br />

nomailsub.d<br />

Liste aller Abonnenten, die die Nomail-Variante abonniert haben.<br />

subscribers.d Liste aller regulären Abonnenten.<br />

text<br />

Vorlagentexte, individuell pro Mailingliste.<br />

24 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


NAGIOS/<br />

ICINGA<br />

PUPPET<br />

Abbildung 1: Die Verwaltung von Mailinglisten geschieht bei Mlmmj auf der Kommandozeile über spezielle<br />

Befehle und Konfigurationsdateien.<br />

Wann Benutzer über Fehler benach<strong>richtig</strong>t<br />

werden, lässt sich ebenfalls einstellen.<br />

Standardmäßig sendet Mlmmj<br />

Benach<strong>richtig</strong>ungen bei allen Fehlern.<br />

Existieren jedoch die Dateien<br />

»notoccdenymails«, »noaccessdenymails«,<br />

»nosubonlydenymails« oder »nomaxmailsizedenymails«,<br />

versendet Mlmmj keine<br />

Hinweise bei fehlender Listenadresse<br />

im Empfängerfeld, geblockten E-Mails<br />

anhand der Access-Liste, Postings von<br />

unbekannten Mail adressen oder für den<br />

Fall, dass eine E-Mail zu groß ist.<br />

Generell empfiehlt sich, mit Benach<strong>richtig</strong>ungen<br />

sparsam umzugehen, da sonst die<br />

Gefahr besteht, dass der eigene Mailserver<br />

zum Spammen („Backscatter“) von<br />

Dritten genutzt wird und dann schnell<br />

auf einer Blacklist landet.<br />

Mehrere Adressen sind kein Problem,<br />

empfehlenswert ist jedoch, dass beide<br />

Dateien denselben Inhalt haben. Ein weiteres<br />

<strong>wichtige</strong>s Feature ist das Entfernen<br />

bestimmter Kopfzeilen über die Datei<br />

»delheaders«. Ist für die Liste eine fixe<br />

Antwortadresse gesetzt, lässt sich eine<br />

abweichende Einstellung des Absenders<br />

über<br />

Reply‐To:<br />

aus eingehenden Mails entfernen. Weit<br />

<strong>wichtige</strong>r noch ist das Filtern von Lesebestätigungen<br />

– denn im schlimmsten<br />

Fall wird jede Mailingliste binnen Sekunden<br />

durch Bestätigungsnachrichten zugemüllt.<br />

Folgende Kopfzeilen sind dafür<br />

verantwortlich und gehören deswegen<br />

auf jeden Fall in die »delheaders«-Datei:<br />

SLA<br />

REPORTING<br />

TERMINE UND INFOS ONLINE:<br />

www.netways.de/schulungen<br />

Spam aussortieren<br />

Die maximale Mailgröße inklusive Anhang<br />

ist übrigens in der Datei »maxmailsize«<br />

konfigurierbar. Wichtig ist auch die<br />

Datei »access«, in der Restriktionen für<br />

eingehende Mails definiert sind. So legt<br />

discard ^X‐Spam‐Flag: YES<br />

discard ^Subject:.*Auto Reply:<br />

allow<br />

fest, dass Mails, die von Spamassassin<br />

als Spam markiert wurden oder »Auto<br />

Reply:« im Betreff stehen haben, kommentarlos<br />

verworfen werden.<br />

Listenmoderatoren und Listenbesitzer<br />

kommen in die Datei »moderators«<br />

respektive »owner« (ohne s am Schluss).<br />

Return‐Receipt‐To:<br />

Disposition‐Notification‐To:<br />

X‐Confirm‐Reading‐To:<br />

X‐Pmrqc:<br />

Empfehlenswert ist es auch, die Datei<br />

»nolistsubsemail« anzulegen, die verhindert,<br />

dass jedermann die Abonnentenliste<br />

einsehen kann. Mlmmj stellt noch einige<br />

weitere Dateien zur Verfügung, die in der<br />

Readme-Datei der „tunables“ beschrieben<br />

sind. So lässt sich ein abweichender<br />

SMTP-Port einstellen, beispielsweise um<br />

Mails vor dem Versand zu signieren, und<br />

E-Mails lassen sich um Fußzeilen ergänzen.<br />

Zum letztgenannten Thema siehe<br />

auch weiter unten.<br />

Neben dem »control«-Verzeichnis gibt es<br />

noch eine Reihe weiterer interessanter<br />

Willkommen im Open Source<br />

Klassenzimmer von NETWAYS!<br />

Unser Wissen rund um Open Source<br />

Lösungen in den Bereichen Systems<br />

Management und Data Center Lösungen<br />

geben wir im Rahmen spezialisierter<br />

Trainings weiter.<br />

Zu fairen Preisen erhalten Sie eine<br />

qualitative Schulung in kleiner Gruppe<br />

und ein rundum Sorglos Paket für einen<br />

angenehmen Aufenthalt in Nürnberg.<br />

presented by NETWAYS ®


n e Tzwerk<br />

Die Konfiguration von Mlmmj erfolgt ausschließlich<br />

auf der Kommandozeile, eine<br />

Weboberfläche gibt es nicht. Einstellungen<br />

werden wie beschrieben in Steuerdateien<br />

abgelegt, pro Datei eine Option.<br />

Dieser Verzicht auf spezielle Tools oder<br />

XML-Formate ermöglicht die einfache<br />

Automatisierung mit Skripten. Besonders<br />

vorteilhaft ist, dass auch Postings auf die<br />

Liste in einzelnen Dateien abgelegt wermailinglisten<br />

Dateien und Ordner, die Tabelle 1 näher<br />

erklärt.<br />

Tools und Hilfsmittel<br />

Mlmmj gibt dem Administrator einige<br />

Tools an die Hand, die bei der Verwaltung<br />

der Listen behilflich sind. So gibt<br />

»mlmmj-list« Informationen zu Listen<br />

und deren Abonnenten aus (Abbildung<br />

1). Der Aufruf<br />

sudo ‐u mlmmj /usr/bin/mlmmj‐list ‐L /var/U<br />

spool/mlmmj/global.libreoffice.org/users ‐c<br />

‐d<br />

zählt beispielsweise die Digest-Abonnenten<br />

auf der Users-Liste. Der Befehl<br />

sudo ‐u mlmmj /usr/bin/mlmmj‐list ‐L /var/U<br />

spool/mlmmj/global.libreoffice.org/users ‐m<br />

gibt die Adressen der Moderatoren aus.<br />

Für das manuelle An- und Abmelden von<br />

Empfängern eignen sich »mlmmj-sub«<br />

beziehungsweise »mlmmj-unsub«. Um<br />

beispielsweise ein Listenarchiv bei "The<br />

Mail Archive" anzulegen, genügt:<br />

sudo ‐u mlmmj /usr/bin/mlmmj‐sub ‐LU<br />

/var/spool/mlmmj/global.libreoffice.org/U<br />

users ‐a archive@mail‐archive.com ‐c<br />

Archivierung<br />

Mlmmj versteht sich als reiner Mailinglisten-Manager<br />

und archiviert daher zwar<br />

E-Mails aller Listen im Filesystem, bringt<br />

aber keine eigenständige Oberfläche dafür<br />

mit, sodass man auf andere Lösungen<br />

zurückgreifen muss. Bekannt sind insbesondere<br />

Hypermail und das schon etwas<br />

in die Jahre gekommene Mhonarc. Alternativ<br />

kann man auch Internet-Archive<br />

wie Mail Archive, Gmane oder Nabble<br />

verwenden.<br />

Die Vorteile<br />

den – eine Datei pro E-Mail. Das hat im<br />

Vergleich zum großen Bruder Mailman<br />

einige entscheidende Vorteile: <strong>Backup</strong>s<br />

gehen wesentlich schneller, da nur die<br />

jeweils neuen Dateien, die aufsteigend<br />

nummeriert sind, gesichert werden<br />

müssen. Wer schon einmal ein mehrere<br />

Gigabyte großes Mailman-Archiv <strong>sichern</strong><br />

wollte, sei es übers Netzwerk oder per<br />

USB/ DVD, der weiß, wie umständlich<br />

das sein kann.<br />

Zugegeben, die oben gezeigte Konfiguration<br />

wirkt wenig intuitiv, sie lässt sich<br />

jedoch mit ein wenig Skriptarbeit im<br />

Handumdrehen auf einen Befehl reduzieren,<br />

mit dem binnen weniger Sekunden<br />

neue Listen eingerichtet und konfiguriert<br />

sind. Auch die komfortable Moderation<br />

per E-Mail ist ein <strong>wichtige</strong>r Bonus, den<br />

zumindest Mailman in der Form noch<br />

nicht bieten kann.<br />

Probleme und Lösungen<br />

Trotz der Vorteile lässt Mlmmj einige<br />

essenzielle Funktionen vermissen. So<br />

stellte sich schnell heraus, dass es zwar<br />

Möglichkeiten bietet, Inhalte zu blocken,<br />

aber Filtermöglichkeiten für Nachrichteninhalte<br />

fehlen. Anders ausgedrückt: Entweder<br />

werden HTML-Mails oder Nachrichten<br />

mit Anhang komplett verworfen,<br />

oder aber unmodifiziert zugestellt<br />

– beides keine gute Wahl. Abhilfe schafft<br />

hier die selbst geschriebene Erweiterung -<br />

PyMIME, die Mails um diese unnützen<br />

Elemente bereinigt und erst dann zustellt.<br />

Die komplett neu geschriebene Version,<br />

die in Kürze verfügbar ist, unterstützt<br />

dies sogar in Abhängigkeit von Absender,<br />

Empfänger und MIME-Typ.<br />

Auch eine weitere Unzulänglichkeit<br />

lässt sich mit PyMIME beheben: Zwar<br />

beherrscht Mlmmj das Anfügen von Footern<br />

unter jede E-Mail, patzt jedoch bei<br />

der Konvertierung. Wird der lokal meist<br />

in UTF-8 abgespeicherte Footer unter eine<br />

Mail mit ISO-8859-15-Zeichensatz angefügt,<br />

sind Umlaute und Sonderzeichen<br />

nicht mehr lesbar. PyMIME hingegen<br />

konvertiert ihn in den jeweils <strong>richtig</strong>en<br />

Zeichensatz und beherrscht in der neuen<br />

Version auch Vorlagen mit Variablen.<br />

Gewöhnungsbedürftig ist auch die Verwaltung<br />

der verschiedenen Abo-Varianten,<br />

denn neben der regulären Mailzustellung<br />

beherrscht Mlmmj auch den<br />

Digest-Modus und die Nomail-Variante,<br />

beispielweise für Nutzer von Gmane<br />

oder Nabble. Die Tatsache, dass die<br />

meisten Nutzer ohnehin nur einen Typ<br />

wählen, berücksichtigt es indes nicht,<br />

wodurch unverständliche Abmeldeadressen<br />

wie »discuss+unsubscribe-digest@<br />

de.libreoffice.org« entstehen, was regelmäßig<br />

für Verwirrung sorgt. In künftigen<br />

Versionen soll dieses Verhalten jedoch<br />

verbessert werden.<br />

Die Moderation selbst erfolgt per E-Mail.<br />

Moderatoren erhalten Nachrichten von<br />

unbekannten Absendern oder mit fragwürdigem<br />

Inhalt als Anhang – reagieren<br />

sie binnen sieben Tagen nicht mit einer<br />

Antwort an die Moderationsadresse,<br />

verfällt die Nachricht. Leider schneidet<br />

Mlmmj in der aktuellen Version die Moderationsvorlage<br />

nach 100 Zeichen ab und<br />

beherrscht das Dekodieren von Base64-<br />

Nachrichten noch nicht, doch auch dafür<br />

verspricht die kommende Version eine<br />

Lösung. Überhaupt wirkt die Community<br />

rund um den australischen Hauptentwickler<br />

Ben Schmidt sehr agil und<br />

implementiert Vorschläge sehr zügig.<br />

Fazit<br />

Mlmmj ist ein noch relativ unbekanntes<br />

Projekt, das trotz der umständlichen Konfiguration<br />

eine interessante Alternative<br />

zu Mailman und Sympa [2] darstellt.<br />

Der Konfigurationsansatz eröffnet interessante<br />

Möglichkeiten. Für Neulinge<br />

oder Postmaster, die Wert auf eine Webbasierte<br />

Konfiguration legen, ist es eher<br />

weniger geeignet. (ofr)<br />

n<br />

Infos<br />

[1] Mlmmj: [http://mlmmj.org]<br />

[2] Matthias Warkus, Die Mailinglistensoftware<br />

Sympa 6, <strong>ADMIN</strong> 03/ 2010, S. 16<br />

Der Autor<br />

Florian Effenberger engagiert sich seit vielen<br />

Jahren ehrenamtlich für freie Software. Er ist<br />

Gründungsmitglied und Mitglied des Steering<br />

Committee der Document Foundation. Zuvor<br />

war er fast sieben Jahre im Projekt OpenOffice.<br />

org aktiv, zuletzt als Marketing Project Lead.<br />

Zudem schreibt er regelmäßig für zahlreiche<br />

deutsch- und englischsprachige Fachpublikationen.<br />

Kontakt und weitere Informationen unter<br />

[floeff@documentfoundation.org]<br />

26 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


1&1 DUAL HOSTING<br />

DER NEUE STANDARD IM<br />

HOSTING<br />

Kein anderer Webhoster<br />

überzeugt durch so viel<br />

Kompetenz, Know-how<br />

und Qualität wie 1&1.<br />

&<br />

SOMMER-SPECIAL: 1&1 DUAL PERFECT<br />

1 JAHR 0,– €! *<br />

✓<br />

✓<br />

✓<br />

✓<br />

Maximal sicher:<br />

Paralleles Hosting Ihrer<br />

Website in zwei Hightech-<br />

Rechenzentren an verschiedenen<br />

Orten!<br />

Superschnell:<br />

210 GBit/s Anbindung!<br />

Umweltschonend:<br />

Grüner Strom!<br />

Zukunftssicher:<br />

1.000 eigene Entwickler!<br />

Ausgabe 08/11<br />

■ 6 Domains inklusive<br />

■ 5 GB Webspace<br />

■ UNLIMITEDTr a f fi c<br />

■ 20 FTP-Accounts<br />

■ 1&1 Webanalytics<br />

■ 10 MySQL <strong>Daten</strong>banken (je 1 GB)<br />

■ UNLIMITED Click & Build Apps<br />

(Auswahl aus 65 Applikationen, z. B.<br />

Joomla!, WordPress, eCommerce, CMS)<br />

■ PHP5, PHP Dev, Zend Framework,<br />

Ruby, SSI, git Versionsmanagement<br />

■ NEU: Geo-Redundanz! Maximale<br />

Verfügbarkeit durch paralleles<br />

Hosting in zwei Hightech-<br />

Rechenzentren<br />

■ u. v. m.<br />

Weitere reduzierte 1&1 Dual Hosting-Pakete und weitere Sparangebote unter www.1und1.info<br />

0 26 02 / 96 91<br />

0800 / 100 668 www.1und1.info<br />

* 1&1 Dual Perfect 1 Jahr für 0,– €/Monat, danach 9,99 €/Monat. Einmalige Einrichtungsgebühr 9,60 €. 24 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.


AckuP<br />

bacula<br />

frankie8, 123RF<br />

<strong>Backup</strong> mit Bacula: freie <strong>Daten</strong>sicherung für Rechenzentren<br />

Vorsorge<br />

datensicherung ist selbstverständlich unverzichtbar. dennoch macht es keine mühe, die Anzahl ernst zu nehmender<br />

backup-Programme im Open-source-bereich zu überblicken, die auch andere systeme als Linux <strong>sichern</strong>.<br />

eines, das besonders für die sicherung ganzer heterogener netze in Rechenzentren taugt, ist bacula. Philipp storz<br />

Bacula ist kein Tamagotchi, und das ist<br />

einer seiner größten Vorzüge: Es ruft<br />

nicht ständig nach der Aufmerksamkeit<br />

des Administrators. Stattdessen tut es still<br />

und absolut zuverlässig im Hintergrund<br />

seinen Dienst, nach <strong>richtig</strong>er Konfiguration<br />

lange Zeit ohne jeden administrativen<br />

Aufwand. Und selbst im schlimmsten<br />

Fall, nach einem Horror-Crash des<br />

<strong>Backup</strong>servers, ist nichts verloren. Dann<br />

lassen sich die <strong>Backup</strong>s direkt von den<br />

Sicherungsmedien wiederherstellen. Wo<br />

also Stabilität, Verlässlichkeit und Robustheit<br />

an erster Stelle stehen, lohnt es,<br />

einen Blick darauf zu werfen.<br />

Wer sich mit Bacula beschäftigt, dem<br />

springt eine Besonderheit gleich ins<br />

Auge: Für jede Aufgabe ist ein eigenes<br />

Programm im Bacula System zuständig.<br />

Zu diesen Aufgaben gehört etwa das Lesen<br />

der zu <strong>sichern</strong>den <strong>Daten</strong> und ihre<br />

Übertragung via Netzwerk, das Schreiben<br />

auf die Sicherungsmedien oder die<br />

Aktualisierung der Kataloge. Jede dieser<br />

Aufgaben nimmt in Bacula ein eigener<br />

Daemon wahr.<br />

Der File Daemon wird auf dem zu <strong>sichern</strong>den<br />

Computer installiert, und liest<br />

dort die zu <strong>sichern</strong>den <strong>Daten</strong>, um sie<br />

über das Netzwerk zu übertragen. Bei einer<br />

Rücksicherung empfängt er die <strong>Daten</strong><br />

und schreibt sie wieder auf die Platten<br />

zurück.<br />

Der Storage Daemon spricht im Bacula<br />

System die Sicherungsmedien an. Er<br />

erhält die vom File Daemon gelesenen<br />

<strong>Daten</strong> und legt sie dann auf den Sicherungsmedien<br />

ab. Bei Rücksicherungen<br />

liest er entsprechend<br />

umgekehrt die <strong>Daten</strong><br />

von den Sicherungsmedien<br />

und überträgt<br />

sie an den File<br />

Daemon.<br />

Der Director<br />

Daemon verwaltet<br />

die Informationen der<br />

Katalogdatenbank. In<br />

der Katalogdatenbank wird zu jeder <strong>Daten</strong>sicherung<br />

gespeichert, welche Datei<br />

bei welcher Sicherung von welchem File<br />

Daemon auf welchem Medium gespeichert<br />

wurde. Zudem ist der Director für<br />

die Zeitplanung und den pünktlichen<br />

Start der Sicherungen verantwortlich.<br />

Schließlich empfängt der Director auch<br />

Meldungen, Statistiken und Berichte und<br />

verarbeitet sie weiter.<br />

Die Bacula Console ist eine einfache Anwenderschnittstelle<br />

zum Bacula System<br />

und stellt für den Admin eine Verbindung<br />

zum Director Daemon her. Interaktiv<br />

Tabelle 1: bacula-Ports<br />

Name Port Beschreibung<br />

bacula-dir 9101/ tcp Bacula Director<br />

bacula-dir 9101/ udp Bacula Director<br />

bacula-fd 9102/ tcp Bacula File Daemon<br />

bacula-fd 9102/ udp Bacula File Daemon<br />

bacula-sd 9103/ tcp Bacula Storage Daemon<br />

bacula-sd 9103/ udP Bacula Storage Daemon<br />

28 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


acula<br />

bAckup<br />

lassen sich so Sicherungen und Rücksicherungen<br />

starten und der Zustand aller<br />

Daemons im Bacula System abfragen.<br />

Die vier Elemente des Bacula Systems<br />

sind in Abbildung 1 zu sehen. Die Kommunikation<br />

zwischen den verschiedenen<br />

Bacula Daemons erfolgt über bei der<br />

IANA registrierte Ports (Tabelle 1).<br />

Als Katalogdatenbank unterstützt Bacula<br />

SQLite, MySQL und PostgreSQL, eine der<br />

beiden letztgenannten <strong>Daten</strong>banken ist<br />

besonders bei größeren Installationen zu<br />

empfehlen.<br />

Die Konfiguration<br />

Jedes Element eines Bacula Systems verfügt<br />

über eine eigene Konfigurationsdatei.<br />

Die Syntax der Konfigurationsdateien ist<br />

dabei immer gleich. Jede Bacula Konfigurationsdatei<br />

besteht aus mehreren sogenannten<br />

Ressourcen. Jede Ressource besteht<br />

selbst aus Konfigurationsdirektiven<br />

in der Form »Schlüsselwort = Wert« und<br />

kann selbst auch wieder Unterressourcen<br />

enthalten.<br />

Das allgemeine Konfigurationsformat<br />

sieht so aus:<br />

ResourceTyp {<br />

Schlüsselwort = Wert<br />

Schlüsselwort = Wert<br />

UnterResourceTyp {<br />

Schlüsselwort = Wert<br />

Schlüsselwort = Wert<br />

}<br />

}<br />

Jede Ressource-Definition wird mit dem<br />

Namen eines Ressource-Typs eingeleitet.<br />

Darauf folgt der Inhalt der Ressource in<br />

der Form »Schlüsselwort = Wert«, wobei<br />

bei einigen Ressourcen zusätzlich Unterressourcen<br />

erlaubt sind. Je nach Schlüsselwort<br />

kann der Wertteil einen Text, einen<br />

Zahlenwert oder einen Verweis auf<br />

eine andere Ressource enthalten, wobei<br />

im letztgenannten Fall der Name der referenzierten<br />

Ressource eingetragen wird.<br />

Ein paar echte Ressourcen aus einer Director<br />

Daemon-Konfigurationsdatei sollen<br />

als Beispiel dienen (Listing 1). In der Director<br />

Resource wird der Daemon selbst<br />

konfiguriert. Die Fileset Resource ist ein<br />

gutes Beispiel für eine Ressource mit Unterressourcen.<br />

In der Director Resource<br />

wird mit der Zeile „Messages = Daemon“<br />

auf die unten definierte Messages Resource<br />

mit dem Namen „Daemon“ ver-<br />

wiesen. Nach der<br />

Erstkonfiguration<br />

für die Kommunikation<br />

mit dem<br />

Director sind normalerweise<br />

kaum<br />

noch Änderungen<br />

fällig. Weder in der<br />

Konfiguration des<br />

File Daemon noch<br />

der Console sind<br />

Eingriffe nötig, und<br />

auch Änderungen<br />

in der Konfiguration<br />

des Storage<br />

Daemon sind im<br />

Betrieb sehr selten.<br />

Die häufigsten<br />

Änderungen betreffen<br />

die Einstellungen<br />

des Bacula<br />

Director, die die<br />

Konfiguration für<br />

das Gesamtsystem<br />

enthalten. Die folgende<br />

Auflistung<br />

erläutert die in der<br />

Director-Konfigurationsdatei vorhandenen<br />

Ressourcen und deren Aufgaben:<br />

Director: In der Director Resource werden<br />

Konfigurationsparameter zum Director<br />

selbst eingestellt. Die zentralen Direktiven<br />

sind Name und Password, die für<br />

die Kommunikation der Bacula Console<br />

mit dem Director benötigt werden. Die<br />

Director Resource taucht genau einmal<br />

in der Konfiguration auf.<br />

Storage: In der Storage Resource des<br />

Directors wird konfiguriert, an welcher<br />

Adresse und mit welchem Passwort der<br />

Director einen Storage Daemon erreichen<br />

kann. Zusätzlich gibt die Konfiguration<br />

Über bacula<br />

Das Projekt wurde im Jahr 2000 von Kern Sibbald<br />

gegründet. Die Architektur und der wesentliche<br />

Teil der Programmierung und Dokumentation<br />

hat Kern Sibbald erstellt. Die Webseite des<br />

Bacula-Projektes ist unter [http://bacula.org]<br />

zu finden. [1]<br />

Es gibt eine aktive Community, die die Weiterentwicklung<br />

vorantreibt. Im Gegensatz zu<br />

anderen Open-Source-Projekten sind die Codequalität<br />

und die Dokumentation hervorragend;<br />

die Dokumentation umfasst inzwischen rund<br />

700 A4-Seiten.<br />

Das Bacula-Projekt hat das Urheberrecht der<br />

Software in einem treuhänderischen Verhältnis<br />

Abbildung 1: Die Komponenten eines Bacula-Systems im Zusammenspiel.<br />

Zentrale Steuerungsinstanz ist der Director, mit dem sich die<br />

Anwenderschnittstellen verbinden.<br />

Gerät und Medientyp dieses Speicherorts<br />

an.<br />

Catalog: Die Catalog Resource beschreibt<br />

den Zugriff des Directors auf die Katalog<br />

<strong>Daten</strong>bank: <strong>Daten</strong>bankname, Adresse<br />

des <strong>Daten</strong>bankservers, User Name und<br />

Passwort. In der <strong>Daten</strong>bank werden die<br />

Informationen zu allen gesicherten <strong>Daten</strong><br />

gespeichert.<br />

Messages: Bacula verfügt über ein ausgefeiltes<br />

System der Nachrichtenverarbeitung.<br />

Die vom System erzeugten Meldungen<br />

lassen sich flexibel verarbeiten. Jede<br />

Nachricht gehört zu einer Nachrichtenklasse,<br />

nach der gefiltert werden kann.<br />

an die Free Software Foundation Europe e.V.<br />

übertragen.<br />

Neben der Community-Version von Bacula.org<br />

gibt die Firma Bacula Systems eine auf den<br />

Unternehmenseinsatz zugeschnittene Version<br />

heraus. Diese Firma bietet dazu Support, Zertifizierungen,<br />

Schulungen und <strong>Backup</strong>-Plugins<br />

für die Sicherung von speziellen Anwendungen.<br />

Die Bacula Enterprise Edition ist über ein Subskriptionsmodell<br />

erhältlich.<br />

Sämtliche Software, auch die der Enterprise<br />

Edition, wird als Open-Source-Software angeboten.<br />

Die Weiterentwicklung von Bacula ist durch<br />

die Firma Bacula Systems gewährleistet.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

29


1&1 DSL: DAS<br />

Starten Sie jetzt mit 1&1 DSL in das beste WLAN aller Zeiten! Gemeinsam mit den Profis von AVM<br />

hat 1&1 den 1&1 HomeServer der nächsten Generation entwickelt. Er ist DSL-Modem, WLAN-<br />

Router und Telefonanlage in Einem, als zentrale Schnittstelle für Ihre kabellose Kommunikation<br />

in allen Räumen. Und er bietet mehr Power, mehr Sicherheit und mehr Komfort als je zuvor!<br />

HIGHSPEED-WLAN!<br />

Mit bis zu 300 MBit/s und optimaler<br />

Frequenzwahl wird kabelloses Surfen<br />

zum echten Highspeed-Erlebnis!<br />

BESTE REICHWEITE!<br />

Dank MIMO Mehrantennentechnik findet der 1&1 Home-<br />

Server stets die beste Verbindung zu Ihren Geräten.<br />

Für optimale Reichweite und besten <strong>Daten</strong>durchsatz.<br />

ECO-MODE!<br />

Der 1&1 HomeServer funkt nur,<br />

wenn er aktiv ist und <strong>Daten</strong> überträgt.<br />

Das heißt für Sie: geringstmöglicher<br />

Stromverbrauch.<br />

SICHERHEIT!<br />

Die TÜV-geprüfte Firewall und die<br />

spezielle WPA2-Verschlüsselung des<br />

1&1 HomeServers gewährleisten<br />

höchste Sicherheit.<br />

WPS! (WI-FI PROTECTED SETUP)<br />

Zur Einrichtung neuer WLAN-Geräte, die ebenfalls WPS<br />

unterstützen, drücken Sie einfach den WLAN-Knopf am<br />

1&1 HomeServer – die Eingabe spezieller Zugangscodes<br />

ist nicht mehr notwendig!<br />

GAST-ZUGANG!<br />

Das gibt‘s nur bei 1&1: Bieten Sie Besuchern einen eigenen<br />

WLAN-Zugang (z. B. für Netbooks, Smartphones) –<br />

natürlich getrennt von<br />

Ihrem Heimnetzwerk<br />

zum Schutz Ihrer <strong>Daten</strong>.<br />

100 GB SPEICHER!<br />

Nutzen Sie 100 GB Online-Speicherplatz in einem der<br />

1&1 Hochleistungs-Rechenzentren für Ihre Dateien,<br />

Bilder, Musik etc. Mit passwort-<br />

geschütztem Zugriff von<br />

zu Hause oder von<br />

unterwegs übers<br />

Internet.<br />

GELD ZURÜCK!<br />

Wir sind sicher, dass Sie von der<br />

Leistungsfähigkeit der 1&1 WLAN-<br />

Technik begeistert sein werden!<br />

30<br />

TAGE<br />

Geld-zurück<br />

G arantie<br />

Sollte das nicht der Fall sein, rufen Sie uns einfach an<br />

und schicken Sie uns den 1&1 HomeServer zurück. Ihr<br />

1&1 DSL-Vertrag endet dann umgehend und wir zahlen<br />

Ihnen Ihr Geld zurück. Fairer geht‘s nicht!<br />

* 1&1 Surf-Flat 6.000 für 24 Monate 19,99 €/Monat, danach 24,99 €/Monat. Telefonie (Privatkunden): für 2,9 ct/Min. ins dt. Festnetz, Anrufe in alle dt. Mobilfunknetze 19,9 ct/Min.<br />

Hardware-Versand einmalig 9,60 €. In den meisten Anschlussbereichen verfügbar. 24 Monate Mindestvertragslaufzeit.<br />

Geben Sie de<br />

Start-Co


BESTE WLAN!<br />

NEU!<br />

INTERNET & TELEFON<br />

19, 99<br />

€/Monat*<br />

Für volle 24 Monate,<br />

19,danach 24,99 €/Monat.<br />

Inklusive 1&1 HomeServer<br />

der nächsten Generation!<br />

Auszeichnungen der<br />

1&1 HomeServer-Familie<br />

www.connect.de<br />

Jetzt informieren und bestellen: 0 26 02 / 96 90<br />

www.1und1.de


AckuP<br />

bacula<br />

Die Messages Resource stellt wesentliche<br />

Parameter der Meldungsverarbeitung<br />

ein: Die Beispiel-Ressource mit<br />

dem Namen »Daemon« gibt Folgendes<br />

vor: Alle Nachrichten außer denen der<br />

Klasse »skipped« landen in der Datei<br />

»/var/lib/bacula/log«. Nachrichten, die<br />

zur Klasse »skipped« oder »saved« gehören,<br />

gibt die Konsole nicht aus. Alles<br />

außer »skipped« wird zudem per Mail<br />

an »root@localhost« versandt. Wie das<br />

geschehen soll, das definiert »Mail Command«.<br />

Pool: Die Medienverwaltung von Bacula<br />

fasst gleichartige Medien in sogenannten<br />

Pools zusammen. Für <strong>Daten</strong>sicherungen<br />

wird immer ein Pool angegeben,<br />

aus dem Bacula dann selbstständig das<br />

geeignete Medium auswählt.<br />

Console: Mit einer Console Resource<br />

lassen sich zusätzlich zum Vollzugriff<br />

auf den Director weitere Konsolenzugänge<br />

anlegen. Sie lassen sich dann<br />

bei Bedarf über ACLs auf bestimmte<br />

Clients, Pools oder andere Ressourcen<br />

beschränken.<br />

Listing 1: Auszug aus einer director-konfiguration<br />

01 Director {<br />

02 Name = bacula‐dir<br />

03 Messages = Daemon<br />

04 Password = "YdhKKoy2Huq1CVHwIR"<br />

05 Pid Directory = "/var/run"<br />

06 Query File = "/usr/lib/bacula/query.sql"<br />

07 Working Directory = "/var/lib/bacula"<br />

08 }<br />

09<br />

10 Fileset {<br />

11 Name = "Full Set"<br />

12 Include {<br />

13 File = /usr/sbin<br />

14 Options {<br />

15 Signature = MD5<br />

16 }<br />

17 }<br />

18 Exclude {<br />

19 File = /var/lib/bacula<br />

20 File = /tmp<br />

21 }<br />

22 }<br />

23<br />

24 Messages {<br />

25 Name = Daemon<br />

26 Append = "/var/lib/bacula/log" = all, !skipped<br />

27 Console = all, !skipped, !saved<br />

28 Mail = root@localhost = all, !skipped<br />

29 Mail Command = "/usr/sbin/bsmtp ‐h localhost ‐f \"\<br />

(Bacula\) \\" ‐s \"Bacula daemon message\" %r"<br />

30 }<br />

Client: Die Client Resource teilt dem<br />

Director mit, unter welchem Namen<br />

und mit welchem Passwort auf welcher<br />

Adresse ein Client Daemon erreicht werden<br />

kann. Statt »Client« kann auch das<br />

Synonym »File Daemon« verwendet werden.<br />

Wenn ein weiterer Computer in die<br />

<strong>Daten</strong>sicherung aufgenommen wird, so<br />

geschieht dies durch Anlegen einer Client<br />

Resource.<br />

Fileset: Ein Fileset gibt an, was zu <strong>sichern</strong><br />

ist. Die Resource enthält die Namen zu<br />

<strong>sichern</strong>der Verzeichnisse und Muster für<br />

Dateien und Verzeichnisse, die von der<br />

Sicherung auszunehmen sind.<br />

Schedule: Eine Schedule Resource repräsentiert<br />

einen Zeitplan, der beschreibt,<br />

wann eine Sicherung erfolgen soll. Der<br />

Zeitplaner in Bacula ist sehr mächtig und<br />

beherrscht eine Vielzahl von Intervallen<br />

(Tabelle 2). Wenn eine Zeitangabe fehlt,<br />

wird stattdessen »immer« angenommen.<br />

Die maximale Zeitspanne ist 1 Jahr.<br />

Job: Die Job Resource definiert die eigentliche<br />

<strong>Daten</strong>sicherung und fasst dafür<br />

andere Ressourcen zusammen: Welcher<br />

Computer soll gesichert werden(Client)?<br />

Was soll auf diesem Computer gesichert<br />

werden (Fileset)? Wann soll die Sicherung<br />

erfolgen (Schedule)? Auf welche<br />

Medien soll gespeichert werden (Pool)?<br />

Mit welchem Gerät sollen die Medien<br />

beschrieben werden (Storage Name)?<br />

Zusätzlich zu den Referenzierungen anderer<br />

Resourcen können noch viele weitere<br />

Konfigurationsdirektiven in einem<br />

Job definiert werden.<br />

JobDefs: Um den Konfigurationsaufwand<br />

zu minimieren, lassen sich in Bacula<br />

JobDefs-Ressourcen konfigurieren. Sie<br />

stellen Schablonen für Job-Ressourcen<br />

dar und enthalten alle Konfigurationsoptionen<br />

eines Jobs. Direktiven, die direkt<br />

im Job angegeben sind, überschreiben<br />

Tabelle 2: scheduler-intervalle<br />

Zeiteinheit<br />

Beispiel<br />

Stunde, Minute at 23:05<br />

Tag des Monats 12<br />

Tag der Woche<br />

Mon<br />

Woche des Monats 2nd<br />

Woche des Jahres w04<br />

Montag bis Samstag mon-sat at 23:10<br />

Erster Montag im Monat 1st mon at 23:10<br />

Montag der ersten Jahreswoche<br />

mon w01 at 23:10<br />

die Vorgaben aus der JobDef-Ressource.<br />

Mit JobDefs lassen sich in der Praxis zentralisierte<br />

Job-Gruppen konfigurieren.<br />

Neben den drei Bacula Hauptbestandteilen<br />

Director, Storage Daemon und File<br />

Daemon enthält das Bacula-Paket noch<br />

weitere Dienstprogramme, die eigenständig<br />

lauffähig sind (Tabelle 3).<br />

Daemons im Detail<br />

Der Bacula File Daemon ist für sehr viele<br />

Betriebssysteme verfügbar, konkret so<br />

gut wie für jedes Linux, Unix, Windows<br />

und MacOS. Neben der Sicherung von<br />

Dateien verfügt der File Daemon über die<br />

Fähigkeit, Filesystem-ACLs zu <strong>sichern</strong>.<br />

Unter Windows wird der VSS angesprochen,<br />

sodass hier konsistente <strong>Backup</strong>s<br />

aller VSS-fähigen Anwendungen automatisch<br />

erfolgen.<br />

Selbstverständlich kann der Bacula File<br />

Daemon Skripte vor und nach der <strong>Daten</strong>sicherung<br />

ausführen. Die Ausgaben<br />

der Skripte und Rückgabewerte werden<br />

berücksichtigt und in den Sicherungsbericht<br />

mit aufgenommen. Der Bacula<br />

File Daemon kann die Sicherungsdaten<br />

vor dem Senden an den Storage Daemon<br />

außerdem komprimieren und/ oder verschlüsseln.<br />

Die Verschlüsselung erfolgt transparent,<br />

jedoch kann nur der File Daemon, der<br />

über den <strong>richtig</strong>en Schlüssel verfügt,<br />

die <strong>Daten</strong> auch wieder zurück<strong>sichern</strong>.<br />

Ein sicher verwahrter Master-Schlüssel<br />

verhindert, dass bei Schlüsselverlust der<br />

Zugriff auf die gesicherten <strong>Daten</strong> unmöglich<br />

wird.<br />

Der Bacula Storage Daemon schreibt<br />

die <strong>Daten</strong> auf Sicherungsmedien. Als<br />

Sicherungsmedien kommen Festplatten,<br />

Einzelbandlaufwerk und Bandwechsler<br />

infrage. Für einen hohen Durchsatz und<br />

eine materialschonende Arbeitsweise benötigen<br />

Bandlaufwerke einen konstanten<br />

<strong>Daten</strong>strom. Um den zu garantieren,<br />

kann der Bacula Storage Daemon über<br />

ein Spool-Verzeichnis die ankommenden<br />

<strong>Daten</strong> zwischenspeichern und dann<br />

am Stück mit hoher Geschwindigkeit<br />

auf das Band übertragen. Die Ansteuerung<br />

von Bandwechslern übernimmt ein<br />

Skript. Grundsätzlich redet es mit jedem<br />

beliebigen Wechselgerät, das sich über<br />

Kommandozeilenbefehle steuern lässt.<br />

Zusätzlich verfügt der Storage Daemon<br />

32 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


acula<br />

bAckuP<br />

über die Möglichkeit, <strong>Daten</strong> von einem<br />

Speichermedium auf ein anderes zu kopieren,<br />

was Migrationsfunktionen und<br />

Virtual <strong>Backup</strong>s ermöglicht.<br />

Der Director Daemon<br />

Der Bacula Director baut auf die Unterstützung<br />

verschiedener <strong>Daten</strong>banken für<br />

seinen Catalog: SQLite, MySQL oder PostgreSQL.<br />

Besonders in größeren Umgebungen<br />

sind außerdem Access Control Lists<br />

(ACLs) interessant. Über sie lässt sich<br />

der Zugriff auf Ressourcen einschränken<br />

(Tabelle 4), sodass bestimmte Administratoren<br />

dann nur auf einer Gruppe von<br />

Servern arbeiten und auf Wunsch auch<br />

nur <strong>sichern</strong> und oder nur rück<strong>sichern</strong><br />

können.<br />

Ein Neustart des Bacula Director zur<br />

Laufzeit von <strong>Daten</strong>sicherungen ist besonders<br />

kritisch. Die meisten Änderungen<br />

der Bacula-Konfiguration kann der<br />

Director zur Laufzeit allerdings neu einlesen,<br />

ohne dabei laufende Sicherungen<br />

zu unterbrechen.<br />

Die Bacula Console<br />

Obwohl es sich bei der Bacula Console<br />

um ein Kommandozeileninterface (CLI)<br />

handelt, ist sie sehr komfortabel: Via<br />

»help« ist jederzeit eine Übersicht über<br />

die verfügbaren Kommandos abrufbar.<br />

Bei der Ausführung eines Kommandos<br />

werden die benötigten Parameter interaktiv<br />

über ein Menü abgefragt.<br />

Wenn die Bacula Console mit Readline-<br />

Unterstützung compiliert wurde, dann<br />

verfügt sie über den Komfort, den man<br />

aus der Bash-Shell kennt: Sowohl Tab<br />

Completion für Kommandos und Parameter<br />

als auch eine durchsuchbare Historie<br />

sind verfügbar.<br />

Die Bacula Console kann auf einfachste<br />

Art automatisiert werden: Einfach die Befehlsfolge<br />

per Pipe nach STDIN senden,<br />

und die Ausgabe der Befehle wird auf<br />

STDOUT ausgegeben.<br />

Accurate <strong>Backup</strong><br />

Neben den einfachen vollen, inkrementellen<br />

und differenziellen Sicherungen beherrscht<br />

Bacula noch weitere interessante<br />

Möglichkeiten: Im normalen Betrieb überwiegt<br />

die Menge der Sicherungsaufträge<br />

die Anzahl der Rücksicherungen bei Weitem.<br />

Bei erhöhten Sicherheitsbedürfnissen<br />

lässt sich der File Daemon so starten,<br />

dass er keine <strong>Daten</strong> schreiben, sondern<br />

nur lesen kann. Dadurch ist auch nach<br />

einem Einbruch in das <strong>Backup</strong>-System<br />

kein angeschlossenes System manipulierbar.<br />

Für die selteneren Rücksicherungen<br />

ist der File Daemon dann natürlich neu<br />

und im Schreibmodus zu starten.<br />

Wie die meisten <strong>Daten</strong>sicherungslösungen<br />

bestimmt auch Bacula bei inkrementellen<br />

und differenziellen Sicherungen anhand<br />

des Zeitstempels der letzten Sicherung<br />

und des Zeitstempels der Dateien,<br />

ob diese zu <strong>sichern</strong> sind. Dieses Prinzip<br />

ist einfach und bewährt, kann aber in<br />

einigen Fällen zu Problemen führen: Legt<br />

man Dateien mit altem Zeitstempel an,<br />

werden sie nie gesichert. Das Löschen<br />

von Dateien registriert Bacula so nicht,<br />

das heißt, eine Rücksicherung stellt auch<br />

Dateien wieder her, die mittlerweile gar<br />

nicht mehr existieren.<br />

Mit Accurate <strong>Backup</strong> kann Bacula all<br />

diese Probleme beheben. Vor der Sicherung<br />

wird eine Liste aller auf diesem<br />

System bekannten Dateien mit Größen,<br />

Rechten und Prüfsummen übertragen.<br />

Der File Daemon vergleicht diese Liste<br />

mit dem Dateisystem und sichert die Differenz.<br />

Accurate <strong>Backup</strong> benötigt dafür<br />

allerdings auf Server- und Client-Seite<br />

wesentlich mehr Ressourcen als ein herkömmliches<br />

<strong>Backup</strong>.<br />

Virtual <strong>Backup</strong>s<br />

Um die Redundanz zu erhöhen und um<br />

gesetzliche Anforderungen zu erfüllen,<br />

ist häufig die Auslagerung von <strong>Daten</strong>sicherungen<br />

gefordert. Mittels Copy Jobs<br />

lassen sich die auszulagernden <strong>Daten</strong><br />

auf Bänder kopieren. Solange die <strong>Daten</strong><br />

lokal vorliegen, greift Bacula auf die<br />

Originalsicherungen zu, wenn die nicht<br />

mehr verfügbar sind, fordert Bacula die<br />

ausgelagerten Sicherungen an. Auch für<br />

langfristige <strong>Daten</strong>sicherungen ist es möglich,<br />

Sicherungen auf andere Medien auszulagern.<br />

Die Quellmedien werden nach<br />

der Migration freigegeben.<br />

Üblicherweise werden bei <strong>Daten</strong>sicherungen<br />

in regelmäßigen Abständen Vollsicherungen<br />

durchgeführt. Diese sind<br />

sehr groß und benötigen entsprechend<br />

viel Zeit, Rechen- und Netzwerkkapazität.<br />

Die meisten der <strong>Daten</strong> eines Vollbackups<br />

befinden sich aber aufgrund<br />

vorheriger Sicherungen bereits auf den<br />

Medien.<br />

Mit Virtual Full <strong>Backup</strong> werden die zuvor<br />

gesicherten Vollbackups und inkrementellen<br />

oder differenziellen Sicherungen<br />

Tabelle 3: dienstprogramme<br />

Programm Verwendungszweck<br />

bcopy Kopiert Bacula-Medien<br />

bextract Kann Bacula-Medien öffnen und Dateien extrahieren.<br />

bscan Kann aus Baucula-Medien die CatalogDB rekonstruieren.<br />

bsmtp Bacula SMTP-Client<br />

btape Programm zum Test von Bandlaufwerken mit Bacula<br />

btraceback Programm, um bei Abstürzen Informationen zu sammeln.<br />

bregex, bwild Programme zum Test von regulären Ausdrücken bzw. von Wildcard Ausdrücken.<br />

dbcheck Programm zur Pflege und Plausibilitätsüberprüfung der Katalogdatenbank.<br />

Tabelle 4: bacula AcLs<br />

ACL-Name Bedeutung<br />

Catalog ACL Beschränkung auf bestimmte Kataloge<br />

Client ACL<br />

Beschränkung auf bestimmte Clients<br />

Command ACL Beschränkung auf bestimmte Konsolenkommandos, z.B nur restore<br />

Fileset ACL Beschränkung auf bestimmte Filesets<br />

Job ACL<br />

Beschränkung auf bestimmte Jobs<br />

Plugin Options ACL Beschränkung auf bestimmte Plugin-Optionen<br />

Pool ACL<br />

Beschränkung auf bestimmte Pools<br />

Storage ACL Beschränkung auf bestimmte Geräte<br />

Where ACL<br />

Beschränkung auf bestimmte Pfade bei der Rücksicherung<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

33


AckuP<br />

bacula<br />

aus dem vorhandenen <strong>Daten</strong>bestand und<br />

die Änderungen seit der letzten Differenzsicherung<br />

zu einem neuen Vollbackup<br />

zusammengeführt. Dies reduziert die<br />

Belastung von Netzwerk und Client auf<br />

die Belastung durch eine inkrementelle<br />

Sicherung, die üblicherweise unter zehn<br />

Prozent der Last einer Vollsicherung liegt.<br />

Verwendet man Virtual Full <strong>Backup</strong>s, ist<br />

jedoch der Einsatz von Accurate <strong>Backup</strong><br />

dringend empfohlen.<br />

Auch Deduplizierung ist für Bacula<br />

durchaus ein Thema: Mit sogenannten<br />

Base Jobs lassen sich beim Sichern vieler<br />

gleichartiger Systemen große <strong>Daten</strong>mengen<br />

einsparen. Der Base Job definiert<br />

dabei die gemeinsame Basis, auf<br />

der dann andere Sicherungen aufsetzen.<br />

Die bereits gesicherten <strong>Daten</strong> des Base<br />

Jobs sind fortan lediglich dort gespeichert<br />

und werden nicht nochmals andernorts<br />

gesichert.<br />

Plugins<br />

Bacula kann durch die Unterstützung des<br />

Volume Shadow Copy Service (VSS) unter<br />

Windows und dank Skripten schon viele<br />

Programme ohne weitere Hilfsmittel konsistent<br />

<strong>sichern</strong>. Dennoch gibt es einige<br />

Programme, die für konsistente <strong>Daten</strong>sicherungen<br />

nach einer Sonderbehandlung<br />

verlangen und dafür auch ihre eigenen<br />

Schnittstellen zur Verfügung stellen.<br />

Um solche Schnittstellen anzusprechen,<br />

verfügt der Bacula File Daemon über die<br />

Möglichkeit, sogenannte <strong>Backup</strong>-Plugins<br />

einzubinden. Diese Plugins kommunizieren<br />

dann jeweils mit der speziellen<br />

Sicherungsschnittstelle der fraglichen<br />

Software.<br />

Das NDMP-Plugin dient beispielsweise<br />

der Sicherung und Rücksicherung von<br />

NAS-Servern über eine standardisierte<br />

Schnittstelle. Für Windows-Betriebssysteme<br />

gibt es die Möglichkeit, den System<br />

State zu <strong>sichern</strong>, auch das <strong>Backup</strong><br />

von MS Exchange, MS SQL Server oder<br />

Sharepoint beherrscht Bacula mithilfe<br />

von Plugins.<br />

Ein weiteres interessantes Plugin ermöglicht<br />

Deduplizierung auf Block-Ebene,<br />

wodurch die Sicherung von sehr großen<br />

Dateien wesentlich effizienter wird. Das<br />

<strong>Backup</strong> von Anwendungen wie <strong>Daten</strong>banken<br />

und Virtualisierungslösungen<br />

profitiert sehr stark von dieser Möglich-<br />

keit. Auch die Software der Giganten SAP<br />

und Oracle werden über eigene Plugins<br />

durch Bacula gesichert.<br />

GUIs<br />

Neben der Bacula Console gibt es verschiedene<br />

weitere Programme zur Administration<br />

von Bacula. Drei bekannte<br />

browserbasierten Programme sind »bacula-web«,<br />

»webacula« und und »bweb«.<br />

Bacula-Web [2] ist einfach zu installieren<br />

und gibt eine Übersicht über den<br />

Systemzustand. Es kann jedoch nicht<br />

mit dem System interagieren. Webacula<br />

[3] ist wesentlich mächtiger und verfügt<br />

neben detaillierten Systeminformationen<br />

auch über die Möglichkeit, Sicherungen<br />

und Rücksicherungen anzustoßen. Bweb<br />

kann auf der Bacula-Webseite [4] im<br />

»bacula-gui«-Archiv heruntergeladen<br />

werden. Bweb wird von Bacula Systems<br />

weiterentwickelt und ist wie Webacula<br />

sehr mächtig. In der Enterprise-Version<br />

unterstützt es auch mehrere Director<br />

Daemons.<br />

Als natives Qt-Programm wird Bat (Bacula<br />

Admin Tool) vom Bacula-Projekt<br />

selbst entwickelt. Bat läuft unter verschiedenen<br />

Betriebssystemen und ist<br />

zudem sehr leistungsfähig. Besonders<br />

für Rücksicherungen ist es hervorragend<br />

geeignet.<br />

Besonders praktisch ist der Version<br />

Browser in Bat. Mit ihm können die<br />

gesicherten Dateien in einem virtuellen<br />

Dateibaum betrachtet werden.<br />

Zusätzlich werden zu jeder Datei alle<br />

gespeicherten Versionen dieser Datei<br />

angezeigt und lassen sich selektiv restaurieren.<br />

Über die Dateiprüfsumme ist<br />

Regressionstests<br />

Die Codequalität des Bacula Projekts wird<br />

über automatische Regressionstests sichergestellt.<br />

Jede Nacht werden auf vielen<br />

verschiedenen Plattformen vollautomatische<br />

Tests des aktuellen Bacula-Quellcodes<br />

durchgeführt. Der aktuelle Quellcode wird<br />

automatisiert ausgecheckt, compiliert und<br />

zurzeit 93 automatischen Tests unterworfen,<br />

die sämtliche <strong>wichtige</strong>n Funktionalitäten der<br />

Software testen. Dadurch wird sichergestellt,<br />

das sich im gesamten Entwicklungsprozess<br />

keine Bugs einschleichen können. Die Ergebnisse<br />

der Tests werden zentral auf [http://<br />

regress.bacula. org] gesammelt und sind dort<br />

für jedermann einsehbar.<br />

sofort erkennbar, wann sich die Datei<br />

geändert hat.<br />

Fazit<br />

Obwohl Bacula sehr leistungsfähig ist, so<br />

gibt es noch an zwei Punkten Verbesserungsmöglichkeiten:<br />

n Die Anzahl der Plugins für kommerzielle<br />

Software ist noch recht klein. Dieses<br />

Problem wurde jedoch von Bacula<br />

Systems erkannt, und eine große Zahl<br />

neuer Plugins steht auf dem Plan.<br />

n Die Konfiguration des Systems in<br />

Textdateien ist bei großen Systemen<br />

aufwändig und fehlerträchtig. Dieses<br />

Prob lem addressiert das in Entwicklung<br />

befindliche Programm »dassModus«<br />

des Autors, das die Konfigurationsdateien<br />

des Bacula Systems in<br />

einer grafischen Oberfläche konfigurierbar<br />

macht.<br />

Nichtsdestotrotz ist Bacula eine freie und<br />

dabei stabile, ausgereifte <strong>Daten</strong>sicherungslösung,<br />

die sich auch in größeren<br />

Umgebungen bewährt. Sie ist zuverlässig<br />

und besonders wartungsarm.<br />

Für weitergehende Informationen bietet<br />

sich neben der Webseite des Projekts<br />

vor allem die jährlich ausgerichtete Bacula-Konferenz<br />

an, die in diesem Jahr<br />

erstmalig zusammen mit der Bacula-<br />

Entwicklerkonferenz veranstaltet wird<br />

[5]. Schließlich wird dieses Jahr noch<br />

ein Bacula-Buch bei Open Source Press<br />

erscheinen. (jcb)<br />

n<br />

Infos<br />

[1] Bacula: [http://www.bacula.org]<br />

[2] bacula-Web: [http://bacula-web.dflc.ch]<br />

[3] Webacula: [(http://webacula.sourceforge.<br />

net]<br />

[4] Bweb: [http://www.bacula.org]<br />

[5] bacula-Konferenz; [http://www.<br />

bacula-konferenz. de]<br />

Der Autor<br />

Diplom-Informatiker (FH) Philipp Storz befasst<br />

sich seit 13 Jahren mit dem Thema Open Source<br />

und Linux und seit fünf Jahren mit der <strong>Backup</strong>-<br />

Software Bacula. Mit seiner Firma dass IT organisiert<br />

er jährlich die Bacula-Konferenz, sein Buch<br />

über Bacula erscheint in der zweiten Jahreshälfte.<br />

Sein Unternehmen ist auf Open-Source-<br />

Dienstleistungen spezialisiert und war der erste<br />

Partner von Bacula Systems in Deutschland.<br />

34 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


ACkuP<br />

marktübersicht<br />

Igor Goncharenko, 123RF<br />

Enterprise-<strong>Backup</strong>-Software im Vergleich<br />

Gut gesichert<br />

Rechnet man zwei Vorläufer-untersuchungen in der Linux Technical Review mit, stellen sich nun bereits zum<br />

dritten mal namhafte backup-Lösungen den Testern des Admin-magazins, die sie in rund 100 Punkten checken.<br />

Alle Features, stärken und schwächen einiger der bekanntesten datensicherungsprogramme. Jens-Christoph brendel<br />

Die erste Festplatte in einem kommerziell<br />

erfolgreichen Rechner, im IBM<br />

RAMAC 305, wog eine Tonne und fasste<br />

knapp lächerliche 5 MByte, von denen<br />

damals jedes aber 10 000 Dollar kostete.<br />

So lange, wie man vielleicht meint, ist<br />

das gar nicht her: gerade einmal 55 Jahre.<br />

In dieser Zeit hat sich bis zur heute üblichen<br />

3-TByte-Platte die Kapazität dieser<br />

Geräte versechshunderttausendfacht und<br />

der Megabytepreis ist um den Faktor 150<br />

Millionen gesunken. Ein unglaubliches<br />

Tempo. Dessen ungeachtet scheint es in<br />

der Storagewelt aber auch Konstanten zu<br />

geben: eine ist das <strong>Backup</strong>, das immer<br />

nötig war und nötig bleiben wird.<br />

Sieht man genauer hin, offenbaren sich<br />

natürlich auch auf dem Sektor <strong>Daten</strong>sicherung<br />

Entwicklungen. Ein wesentlicher<br />

Motor sind die schon angesprochenen<br />

exponenziell wachsenden Kapazitäten,<br />

die es zu <strong>sichern</strong> gilt. Dabei wachsen<br />

freilich die verfügbaren Zeitfenster nicht<br />

mit, aber die Auflagen und Bestimmungen<br />

werden strenger, und die Erwartungen<br />

an die Servicequalität steigen. Als<br />

Antwort darauf hat sich seit ein paar<br />

Jahren in nahezu allen <strong>Backup</strong>-Lösungen<br />

die Technik der Deduplikation etabliert,<br />

die Platz und Zeit sparen kann, indem<br />

sie Duplikate vermeidet. Allerdings ist<br />

der Begriff nicht sonderlich scharf, unter<br />

ein und derselben Flagge segeln einfache<br />

Verfahren, die lediglich Unterschiede auf<br />

Dateiebene detektieren können und ausgeklügelte,<br />

zuweilen besonders patentgeschützte<br />

Algorithmen, die gleiche <strong>Daten</strong><br />

auf Blockebene erkennen.<br />

Nun ist Deduplikation allerdings weder<br />

umsonst – sie kostet vor allem CPU-Zeit<br />

– noch für alle Arten von <strong>Daten</strong> geeignet,<br />

was Raum für weitere Ansätze lässt.<br />

Etwa synthetische <strong>Backup</strong>s, bei denen<br />

Vollbackups aus inkrementellen erzeugt<br />

werden und die mit wesentlich kleineren<br />

Zeitfenstern auskommen und das Netzwerk<br />

weit weniger belasten als regelmäßige<br />

Komplettsicherungen. Eine andere<br />

Herangehensweise, die sogenannte<br />

so haben wir getestet<br />

Für die Tests der verschiedenen <strong>Backup</strong>programme<br />

verwendeten wir jeweils eine<br />

virtuelle Maschine eines VMWare ESX­Servers.<br />

Die physische Grundlage bildete ein Server<br />

der Marke Pro Serv II von Exus Data mit<br />

2 Xeon Quadcore­Prozessoren und 16 GByte<br />

RAM (Abbildung 1 oben).<br />

Alle virtuellen Maschinen liefen unter SLES<br />

11 SP1. In der Regel waren sie mit 1 GByte<br />

RAM und einer zusätzlichen 50­GByte­Platte<br />

für Sicherungen neben der Systemdisk ausgestattet.<br />

Continous Data Protection, braucht sogar<br />

überhaupt keine Zeitfenster mehr,<br />

weil sie die <strong>Daten</strong> zum Zeitpunkt ihrer<br />

Änderung sichert, ähnlich wie bei einer<br />

Spiegelung, nur dass hier viele Versionen<br />

erhalten bleiben. Der Preis dafür ist allerdings<br />

eine hohe Netzwerklast und hoher<br />

Platzverbrauch.<br />

CDP oder Deduplikation sind deswegen<br />

nicht gleichmäßig im Testfeld verteilt, weil<br />

nicht jeder Hersteller von <strong>Backup</strong>-Software<br />

bei Bedarf jederzeit spezialisierte,<br />

kleinere Mitbewerber aufkaufen kann, um<br />

sich deren Technologien einzuverleiben.<br />

So geschehen mit Symantec, das Revivio<br />

schluckte, mit IBM, das FilesX kaufte<br />

oder EMC, das Kashya erwarb. Aufgrund<br />

dieser Historie ist CDP bis heute oft ein<br />

Alle <strong>Backup</strong>s landeten auf Festplatten. Dafür<br />

stand uns ein 6100 SATA Premium Raid von<br />

transtec (Abbildung 1 unten) zur Verfügung,<br />

ausgestattet mit zwölf Serial­ATA­Disks,<br />

einem 320­UW­SCSI­Controller für die Anbindung<br />

des Hosts und 512 MByte Cache.<br />

Auf dieser performanten Hardware konfigurierten<br />

wir verschiedene Diskgruppen und<br />

logische Volumes, die wir für die <strong>Backup</strong>server<br />

exportierten. Der Controller des Raidsystems<br />

bietet dafür RAID 0,1,5,10 oder die Behandlung<br />

der Platten als JBOD an.<br />

36 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


THE 6TH CONFERENCE ON NAGIOS<br />

Abbildung 1: Die Hardware für die <strong>Backup</strong>-Tests: oben der Server von Exus Data, unten das transtec-Raid.<br />

Zusatzprodukt (Symantec Net<strong>Backup</strong> Realtime,<br />

IBM TSM Fast<strong>Backup</strong> oder EMC<br />

RecoverPoint). Unser Testfeld beweist<br />

aber – etwa am Beispiel von SEP oder<br />

Bacula – dass auch kleinere Mitbewerber<br />

erfolgreich Nischen des <strong>Backup</strong>-Marktes<br />

erobern können.<br />

Auch die klassischen <strong>Backup</strong>-Strategien<br />

sind natürlich nach wie vor in Gebrauch<br />

und auch ihre Unterstützung haben die<br />

Tester in vielen Prüfpunkten untersucht.<br />

Daneben finden sich in den Ergebnisen<br />

Hinweise auf die Skalierbarkeit der<br />

verschiedenen Lösungen, auf spezielle<br />

Features, die von Zeit zu Zeit entscheidend<br />

sind und nicht zuletzt auch auf<br />

den Preis, der zugegebenermaßen schwer<br />

vergleichbar ist, weil sich gerade die<br />

Lizenzmodelle stark unterscheiden. Um<br />

überhaupt einen annähernd gleichen<br />

Nenner herstellen zu können, haben wir<br />

nach den Kosten für das einfachste Setup<br />

mit einem Server für die Laufzeit von<br />

einem Jahr gefragt.<br />

Acronis<br />

Die <strong>Daten</strong>sicherungslösung von Acronis<br />

(Abbildung 2) fällt gleich in mehrerlei<br />

Hinsicht ein wenig aus dem Rahmen dieses<br />

Vergleichs: Zum einen ist sie die einzige<br />

Lösung, die ohne Trennung in Client<br />

und Server auskommt, stattdessen beide<br />

Funktionen in einer Applikation vereint,<br />

zum anderen umfasst sie gleichzeitig<br />

Elemente des klassischen <strong>Backup</strong>s<br />

wie des Desaster Recoverys. Das mag<br />

insofern nachteilig sein, als verteilte und<br />

Early Bird Preise<br />

bis 15.08.2011 <strong>sichern</strong>:<br />

www.netways.de/osmc<br />

CALL<br />

FOR<br />

PAPERS<br />

BIS 30.7<br />

Die OSMC on Nagios<br />

(früher “Nagios Konferenz”) findet in<br />

diesem Jahr zum 6. Mal statt.<br />

Die Veranstaltung bildet eine<br />

Plattform, zum Austausch und zur<br />

Weiterbildung rund um das Thema<br />

Open Source Monitoring mit Nagios.<br />

Abbildung 2: So begrüßt Acronis <strong>Backup</strong> & Recovery 11 den Anwender.<br />

www.A dmin-mAgA zin.de<br />

NÜRNBERG<br />

29.-30. November 2011<br />

WWW.NETWAYS.DE/OSMC


ACkuP<br />

marktübersicht<br />

Tabelle 1: basisdaten<br />

Acronis Arkeia Bacula EMC<br />

Hersteller: Acronis Arkeia Software Bacula Systems SA EMC<br />

Produkt Acronis <strong>Backup</strong> & Recovery Arkeia Network <strong>Backup</strong> Bacula Enterprise Edition Networker<br />

Version 11 9 4.0.6 07.06.2001<br />

Betriebssysteme (Server)<br />

Linux<br />

Linux­Kernel > =2.4.20 und<br />

glibc >=2.3.2<br />

alle Distributionen<br />

RHEL 5, RHEL 6, Debian<br />

Squeeze/ Lenny, Ubuntu<br />

Hardy/ Jaunty/ Lucid/ Natty,<br />

Suse 10/ 11<br />

Suse, Red Hat<br />

BSD Nein Nein Nein Nein<br />

Unix­Varianten Nein Solaris, HPUX, AIX Solaris, z.T. OpenSolaris Solaris, Irix, AIX, HP­UX<br />

andere Nein Nein Nein Nein<br />

Mac OS X Nein Nein Nein Nein<br />

Windows­Versionen Windows 7, Vista, Win XP Prof.<br />

SP2+, Win 2000 Prof. SP4+,<br />

Nein Nein Windows 2003, Windows<br />

2008, R2<br />

Win 2000, 2003, /2003/ R2,<br />

2008/ 2008 R2 Server, Multi­<br />

Point Server 2010<br />

Betriebssysteme (Client)<br />

Linux Entfällt Linux (Generic), Debian (IBM<br />

PowerPC, Intel/ AMD x86­64,<br />

Digital ALPHA64), Mandrake, Mandriva,<br />

Suse, SLES 9, Novell OES,<br />

Fedora, RHEL 5.0, RHEL Advanced<br />

Server 4.0, RHEL Workstation<br />

3, Slackware 8.0 & 10.1, Ubuntu,<br />

Unitedlinux, Yellowdog 3.0<br />

RHEL 5, RHEL 6, Debian<br />

Squeeze/ Lenny/ Etch, Ubuntu<br />

Hardy/ Jaunty/ Lucid/ Natty,<br />

Suse 10, 11<br />

Suse, Red Hat<br />

BSD Entfällt Nein FreeBSD Nein<br />

Unix­Varianten Entfällt Nein HP­UX, AIX, Solaris 8, 9, 10, Solaris, AIX, HP­UX, Irix<br />

OpenSolaris,<br />

andere Entfällt Netware Nein Nein<br />

Mac OS X Entfällt Nein Ja Ja<br />

Windows­Versionen Entfällt Win 98 Intel/ AMD x86, NT 4 Workstation<br />

und Server Win 2000<br />

Prof/ Server/ Adv. Server, Windows<br />

7, Windows XP, Server 2003, Windows<br />

Vista, Windows Server 2008<br />

Windows 2000, 2003 R1/ R2<br />

i32/ i64, 2008 R1/ R2 i32/ i64,<br />

Windows 7, XP<br />

GUI Ja Nein Ja Ja<br />

Webinterface Nein Ja Ja Ja<br />

CLI Ja Ja Ja Ja<br />

Lizenztyp Proprietär pro Maschine Proprietär (teilweise Source),<br />

Berechnung nach Anzahl Clients/<br />

Server oder Volumen.<br />

AGPL, Standard Subscription<br />

deckt unbegrenzte Anzahl<br />

Maschinen ab<br />

7x24­Support Ja Ja Ja Ja<br />

Preis Ab 535 Euro (1 Server/ 1 Jahr) Ab 320 Euro (1 Server/ 1 Jahr und<br />

bis 1TB für <strong>Backup</strong>s auf Platten)<br />

Ab 1490 Euro für maximal 10<br />

Maschinen.<br />

URL http:// www.acronis.de http:// www.arkeia.com/ anb http:// www.baculasystems.<br />

com<br />

Unique Selling Point<br />

Disaster Recovery und<br />

<strong>Daten</strong>sicherung in einer<br />

umfassenden Lösung für SMB.<br />

Unterstützung für physische,<br />

virtuelle und Cloud­Umgebungen<br />

mit einer einfach bedienbaren<br />

Managementkonsole.<br />

Zusätzliche Sicherungsebene<br />

durch die Möglichkeit, <strong>Backup</strong>daten<br />

in eine Cloud zu<br />

speichern.<br />

Eine Lösung für physische wie virtuelle<br />

Umgebungen. Patentierte<br />

Deduplizierung, <strong>Backup</strong>server als<br />

Software oder physische oder virtuelle<br />

Appliance nutzbar, einfache<br />

Handhabung, sehr umfangreicher<br />

Plattformsupport, auch für Virtualisierungslösungen.<br />

Einzige hoch skalierbare<br />

Open­Source­<strong>Backup</strong>lösung<br />

für große Unternehmen<br />

und Rechenzentren, einzige<br />

<strong>Backup</strong>­Software mit einem<br />

Preismodell, das nicht von<br />

der Anzahl CPUs, Maschinen,<br />

Bandlaufwerke oder der<br />

<strong>Daten</strong>menge abhängt. Remote<br />

Monitoring und Management<br />

von <strong>Backup</strong>servern möglich.<br />

Windows 2003 R1/ R2, 2008<br />

R1/ R2, Vista , XP<br />

Proprietär, Preis je nach<br />

<strong>Daten</strong>menge und Features<br />

„EMC veröffentlicht keine<br />

Preise“<br />

http:// germany.emc.com/<br />

solutions/ business­need/<br />

backup­recovery­archiving/<br />

backup­Recovery.htm<br />

Hohe Recovery Performance.<br />

Einfache<br />

Bedienbarkeit und sehr<br />

gute Integration in das<br />

EMC­ Lösungsportfolio.<br />

Neue Technologien wie<br />

Snapshots, Imagesicherungen<br />

und Deduplizierung.<br />

38 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


marktübersicht<br />

bACkuP<br />

Tabelle 1: basisdaten (Fortsetzung)<br />

HP IBM SEP Syncsort<br />

Hersteller: Hewlett­Packard IBM SEP AG Syncsort<br />

Produkt HP Data Protector Tivoli Storage Manager SEP sesam <strong>Backup</strong> Express<br />

Version 6.2 6.2 4.0.3 3.4<br />

Betriebssysteme (Server)<br />

Linux RHEL 4.x/ 5.x/ 6.x, SLES 9,10,11 Linux x86_64, Linux on<br />

POWER, Linux zSeries<br />

SLES 9­11, RHEL 4­6, CentOS<br />

4­5, Debian Etch/ Lenny/<br />

Squeeze, Ubuntu 7­10, Univention2.0­2.3,<br />

OES1­2, IPBrick<br />

SLES 9­11, RHEL 4, RHEL 5,<br />

CentOS, Oracle Linux, Novel<br />

OES 1 und 2<br />

BSD Nein Nein FreeBSD 8 Nein<br />

Unix­Varianten HP­UX (PA­RISC, Itanium) 11.11, AIX, HP­UX, Solaris (SPARC 64 Solaris 9­10, SCO­UX<br />

AIX, SUN Solaris, HP­UX<br />

11.23, 11.31, Solaris (SPARC)<br />

8/ 9/ 10<br />

Bit und x86_64)<br />

andere Nein Nein Nein Nein<br />

Mac OS X Nein Nein Nein Nein<br />

Windows­Versionen Windows XP, 2000, 2003 (32/<br />

64 Bit), 2008, 2008 R2<br />

Windows Server 2003/<br />

2008 mit 32 Bit und 64 Bit<br />

(Standard, Enterprise oder<br />

Datacenter)<br />

Windows XP, 2003, 2003 R2,<br />

2008, W2008 R2, Windows 7<br />

Windows 2003, 2008, 2008<br />

R2<br />

Betriebssysteme (Client)<br />

Linux 32­Bit: RHEL4­6, SLES 8­11,<br />

Oracle EL 4/ 5, Debian 5,<br />

CentOS 5; 64­Bit: RHEL 4/ 5<br />

Linux x86 / x86_64, Linux on<br />

POWER, Linux zSeries (SLES<br />

10/ 11, RHEL 5/ 6 ab V6.2.2)<br />

SLES 7­11, RHEL 4­6, CentOS<br />

4­5, Debian Etch/ Lenny/<br />

Squeeze, Ubuntu 7­10, Univention<br />

SLES 9­11, RHEL 4/ 5, CentOS,<br />

Oracle Linux, Novell OES 1<br />

und 2<br />

(Itanium), RHEL 6 (x64), SLES<br />

8­11, Oracle EL 4/ 5, Debian<br />

5 (Itanium/ x64), CentOS 5<br />

(x64), Novell OES 2<br />

2.0­2.3, OES1­2, IPBrick<br />

BSD Nein Nein FreeBSD, OpenBSD FreeBSD<br />

Unix­Varianten HP­UX (PA­RISC, Itanium) 11.11,<br />

11.23, 11.31, Solaris (SPARC)<br />

8­10, TRU64 5, AIX 5.3,6.x,<br />

IRIX 6.5, SCO OpenServer 5,6,<br />

SCO UnixWare 7<br />

AIX, HP­UX, Solaris (SPARC<br />

64 Bit und x86_64), IBM z/<br />

OS UNIX<br />

AIX 4.3­5.x, Solaris 7­10, HP­<br />

UX 10­11, SCO­UX, Tru64 5.x<br />

AIX, Solaris, HP­UX<br />

andere<br />

Novell NetWare 6.5, OpenVMS<br />

7.3­2,8.2­1,8.3,8.4, (Alpha) und<br />

8.3,8.3­1H1,8.4 (Itanium)<br />

Novell NetWare 6.5 und Open<br />

Enterprise Server<br />

NetWare 5.1,­6.x, alpVMS,<br />

P­MACOS<br />

Mac OS X Ja, 10.4,10.5, 10.6 32&64Bit Ja Ja Nein<br />

Windows­Versionen Windows XP, Vista,7, 2003,<br />

2008, 2008R2, 2008 Core,<br />

2008R2 Core<br />

Windows 7, Vista, XP, Server<br />

2003/ 2008 32 Bit und 64 Bit<br />

(Standard, Enterprise oder<br />

Datacenter)<br />

Windows XP; 2003; 2003<br />

R2; Vista; 2008, W2008 R2,<br />

Windows 7<br />

Nein<br />

Windows 2003, 2008, 2008<br />

R2, Windows 7<br />

GUI Ja Ja Ja Ja<br />

Webinterface Nein Ja Nein Nein<br />

CLI Ja für TSM Server und <strong>Backup</strong>/ Ja<br />

Ja<br />

Archive Client<br />

Lizenztyp Proprietär Proprietär, Preismodell basiert<br />

Teils proprietär, teils GPL Proprietär<br />

auf Prozessorkernen<br />

bzw. <strong>Backup</strong>­Volumen<br />

7x24­Support Ja Ja Ja<br />

Preis<br />

Ab 397 Euro, Single Server<br />

Edition<br />

Ab ca. 800 Euro je nach<br />

Plattform<br />

Ab ca. 490 Euro, ein Server Ab 4995 Euro plus Maintenance<br />

URL<br />

Unique Selling Point<br />

http:// www.hp.com/ go/ dataprotector<br />

Beherrscht Single Item Recovery<br />

von Sharepoint­ oder<br />

VMware Image­<strong>Backup</strong>s, leicht<br />

bedienbare, grafische Steuerung,<br />

moderate Kosten<br />

http:// www­01.ibm.com/<br />

software/ tivoli/ products/<br />

storage­mgr/<br />

Beherrscht die Sicherungsstrategie<br />

„Incremental Forever“,<br />

ist hoch skalierbar und<br />

verwaltet die Metadaten in<br />

einer relationalen <strong>Daten</strong>bank<br />

http:// www.sep.de<br />

Auch als Appliance oder in<br />

einer VM einsetzbar, Audit­<br />

Compliant­Archiving, Multiple<br />

Streams auf Disk und Tape,<br />

Support für Novell Groupwise,<br />

eigene Extension für Citrix<br />

XenServer<br />

http:// www.syncsort.com<br />

Block Level Incremtal <strong>Backup</strong><br />

für heterogene Umgebungen.<br />

Perfect für Zero Load <strong>Backup</strong>s<br />

in virtuellen Environments<br />

mit der Möglichkeit, ganze<br />

Server in Minuten wiederherzustellen.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

39


ACkuP<br />

marktübersicht<br />

Tabelle 3: klassisches backup<br />

Hersteller:<br />

Alle<br />

Vollbackup<br />

Ja<br />

differenziell<br />

Ja<br />

inkrementell<br />

Ja<br />

Kompression<br />

Ja<br />

Verschlüsselung<br />

Ja<br />

Zeitpläne<br />

Frequenz: zyklisch, fester Ja<br />

Turnus<br />

Kalender: festes oder relatives<br />

Ja<br />

Datum<br />

Pre-/ Post-Skripte<br />

Post­<strong>Backup</strong>­Skripte Ja<br />

Pre­<strong>Backup</strong>­Skripte Ja<br />

Restore<br />

mit Verifikation<br />

Ja (außer EMC)<br />

an anderem Ort<br />

Ja<br />

spezialisierte Applikationen auf ihrem jeweiligen<br />

Gebiet womöglich eine größere<br />

Funktionsvielfalt bieten können, ist aber<br />

zugleich besonders für kleinere und mittlere<br />

Unternehmen ein Vorteil, weil der<br />

ganzheitliche Ansatz kostengünstig und<br />

einfacher zu administrieren ist.<br />

Acronis beherrscht normale File-basierte<br />

<strong>Backup</strong>s oder Image-Sicherungen, die das<br />

Betriebssystem mit allen Einstellungen<br />

konservieren und aus denen das gesamte<br />

System in einem Schritt wiederherstellbar<br />

ist. Dateien wie Images lassen sich auch<br />

via Netzwerk <strong>sichern</strong>, wofür natürlich<br />

auch Acronis das unvermeidliche Wort<br />

„Cloud“ im Munde führt.<br />

Die eben erschienene neue Version 11<br />

bringt einige interessante Funktionen<br />

für virtuelle Umgebungen mit. So reicht<br />

ein einzelner Agent für mehrere VMware<br />

ESX(i) Hosts, was für mehr Effizienz<br />

und eine einfachere Verwaltung sorgt.<br />

Abbildung 3: Die in Perl entwickelte Bacula Web-GUI »bweb« ermöglicht die Kommunikation mit dem<br />

sogenannten Director und gewährt dem Anwender damit Zugriff auf alle Jobs, Volumes oder Logs.<br />

Auch sind simultane <strong>Backup</strong>s mehrerer<br />

virtueller Maschinen für VMware ESX(i)<br />

und Microsoft Hyper-V möglich.<br />

Arkeia<br />

Arkeia adressiert mit seiner Network<br />

<strong>Backup</strong> Suite mittelständische<br />

Unternehmen, die aber durchaus größer<br />

sein dürfen, wie allein schon ein Blick<br />

auf das Architekturschema verrät: Hier<br />

gibt es einen Central Management Server,<br />

der in einer Ebene über den eigentlichen<br />

<strong>Backup</strong>servern residiert. Kleine<br />

Einschränkungen muss der Admin bei<br />

der Vielfalt nutzbarer Snapshots oder im<br />

Gerätemanagement hinnehmen, auch<br />

fehlen CDP oder synthetische <strong>Backup</strong>s,<br />

aber die <strong>wichtige</strong>n Funktionen sind<br />

vollzählig.<br />

Ganz besonders gefällt bei der Arkeia-<br />

Software die logische Konfiguration,<br />

die klar gliedert, was wann und wohin<br />

zu <strong>sichern</strong> ist. So definieren bei Arkeia<br />

sogenannte Savepacks Einstellungen<br />

wie Kompression, Verschlüsselung,<br />

Nachlaufkommandos Fehlerbehandlung,<br />

Symlink-Verfolgung oder die Sicherung<br />

von ACLs. Erst in einem zweiten<br />

Schritt wird den Savepacks eine konkrete<br />

Dateiauswahl (Trees) zugeordnet. Den<br />

Savepacks stehen Drivepacks gegenüber,<br />

mit denen die Sicherungs medien<br />

verwaltet werden. Beide verbindet ein<br />

Zeitplan. Das System ist eingängig und<br />

funktional.<br />

Bemerkenswert ist auch der breite Plattformsupport.<br />

Dröselt man alles auf, kann<br />

man an die 200 verschiedene Betriebssystemversionen<br />

zählen, unter denen<br />

C<br />

M<br />

Y<br />

Tabelle 2: Architektur<br />

Hersteller: Acronis Arkeia Bacula EMC<br />

Client­/ Server­Architektur Nein Ja Ja Ja<br />

optionale Mediaserver Ja Ja Ja Ja<br />

<strong>Backup</strong>-Medien<br />

Disks: Ja Ja Ja Ja<br />

Tapes: Ja: AIT,DLT, LTO, DAT Ja: AIT, DLT, LTO, DAT, QIC,<br />

SAIT, SDLT, MAGSTAR, EXB<br />

Ja: AIT,DLT, LTO, DAT, u.a. Uneingeschränkt alle Formate<br />

MAMMOTH, 9940CART und<br />

mehr<br />

Tape Libraries (Autoloader) Ja Ja Ja Ja<br />

Virtual Tape Libraries Ja Ja Ja Ja<br />

NAS via NDMP Nein Ja Nein Ja, direct attached oder<br />

LAN<br />

CM<br />

MY<br />

CY<br />

CMY<br />

K<br />

40 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


marktübersicht<br />

bACkuP<br />

die Software läuft. Auch Applikationen<br />

werden gut unterstützt, darunter sogar<br />

PostgreSQL und OpenXchange, was –<br />

sieht man von SEP sesam ab – ansonsten<br />

eine Seltenheit ist.<br />

Bacula<br />

Das Alleinstellungsmerkmal von Bacula<br />

(Abbildung 3) ist zweifelsohne, dass es<br />

Features erscheinen in der Regel sogar<br />

zuerst in der kostenlosen Community-<br />

Version. Bacula hat seine Eignung auch<br />

für große Umgebungen bereits vielfach<br />

unter Beweis gestellt. Dabei kommt ihm<br />

seine verteilte Architektur entgegen<br />

(siehe dazu einen gesonderten Artikel in<br />

diesem Heft ab Seite 28). Auch ein 7x24-<br />

Stunden-Support über externe Dienstleister<br />

ist flächen deckend gewährleissich<br />

dabei um die einzige komplett freie<br />

<strong>Daten</strong>sicherungslösung der Rechenzentrumsklasse<br />

handelt. Außerdem liegt<br />

das Urheberrecht an der Software treuhänderisch<br />

bei der Free Software Foundation<br />

Europe e.V.. Zwar existiert auch<br />

hier eine Enterprise-Version (die wir uns<br />

auch angesehen haben), für deren Support<br />

der Kunde bezahlt, aber der Quellcode<br />

ist frei und zugänglich, und neue<br />

Tabelle 2: Architektur (Fortsetzung)<br />

Hersteller: HP IBM SEP Syncsort<br />

Client­/ Server­Architektur Ja Ja Ja Ja<br />

optionale Mediaserver Ja Ja Ja Ja<br />

<strong>Backup</strong>-Medien<br />

Disks Ja Ja Ja Ja<br />

Tapes<br />

Ja: DAT, DDS, DLT, SDLT, LTO/ Ja: LTO, 3592, T10000, DLT, Ja: AIT, DLT, LTO, DAT, RDX Ja: AIT, DLT, SDLT, LTO,<br />

Ultrium, T3590/ 2,T9840,T9940, SDLT, AIT, SAIT, 8mm, 4mm und andere<br />

Jaguar, Magstar, und andere<br />

T10000, AIT, SAIT, DTF, Exabyte<br />

Tape Libraries (Autoloader) Ja Ja Ja Ja<br />

Virtual Tape Libraries Ja Ja Ja Ja<br />

NAS via NDMP Ja Ja, zusätzlich NetAPP­APIs Nein Ja<br />

deepsec_inserat_<strong>ADMIN</strong>_2011.pdf 1 14.04.11 15:17<br />

CALL FOR PAPERS - OPEN NOW<br />

This years conference topics:<br />

- Mobile computing and communications<br />

- IPv6 (yes, again!)<br />

- Security management and IT governance<br />

- Cloud computing and virtualisation<br />

- Security intelligence<br />

- Topics that have a high impact on IT security<br />

- Design flaws ("defective by design")<br />

WORKSHOPS<br />

CONFERENCE<br />

TH<br />

TH<br />

NOV 15 -16<br />

TH<br />

TH<br />

NOV 17 -18<br />

IN-DEPTH SECURITY


ACkuP<br />

marktübersicht<br />

tet. Zudem hilft eine aktive Community<br />

gerne kompetent weiter. Allerdings lässt<br />

sich auch das eine oder andere Manko<br />

schwer übersehen. So gibt es fast keine<br />

Module für das Online-<strong>Backup</strong> gängiger<br />

Applikationen. Zwar befinden sich etliche<br />

in Entwicklung oder in einem Beta-<br />

Stadium, aber noch ist auf diesem Gebiet<br />

der Abstand zur Kon kurrenz sehr groß.<br />

Auch die Konfiguration in Textdateien<br />

ist für sehr umfangreiche Installationen<br />

nicht das Nonplusultra. Auch hier wird<br />

bereits an einer Lösung programmiert.<br />

EMC<br />

Der EMC Networker (vormals Legato) ist<br />

ein <strong>Backup</strong>-Software-Veteran. Seit über<br />

20 Jahren ist die Software auf dem Markt<br />

und kommt heute entsprechend ausgereift<br />

daher. Die Funktionen sind komplett<br />

und in eine zentrale Managementkonsole<br />

integriert. Continous Data Protection<br />

und Deduplikation werden dabei durch<br />

Zusatzprodukte realisiert. Da EMC einer<br />

der größten Hersteller von Speichersystemen<br />

ist, ergeben sich Synergieeffekte, die<br />

das Unternehmen ausnutzt, indem es vorkonfigurierte<br />

Bundles aus Networker-Software<br />

und passende Speicherhardware anbietet,<br />

zum Beispiel das EMC Data Domain<br />

Global Deduplication Array. Das High-End-<br />

System skaliert bis 28,5 PByte und erreicht<br />

einen Durchsatz von bis zu 26,3 TByte/<br />

h. Es kann bis zu 270 Remote-Standorte<br />

anbinden, wobei nur deduplizierte und<br />

komprimierte <strong>Daten</strong> übers Netz wandern.<br />

Für moderatere Ansprüche gibt es aber<br />

nach wie vor die Networker-Software als<br />

separate <strong>Backup</strong>-Lösung für große Unternehmen<br />

oder in der Fast-Start-Version für<br />

Umgebungen mit nur 10 bis 20 Clients.<br />

HP<br />

Auch bei HP fügt sich die Data-Protector-<br />

Software für die <strong>Daten</strong>sicherung in ein<br />

umfassendes Produktangebot. So kann<br />

das <strong>Backup</strong>-Programm beispielsweise<br />

die Snapshot-Features der hauseigenen<br />

Diskarrays nutzen, um deren Volumes<br />

unterbrechungsfrei zu kopieren und anschließend<br />

bei Bedarf auf Band zu <strong>sichern</strong>.<br />

Dasselbe funktioniert mit replizierten<br />

HP-Arrays. Das „Zero Downtime“<br />

getaufte Verfahren funktioniert sogar mit<br />

einigen fremden Arrays (EMC Clariion<br />

und NetApp) In diesem Fällen wird kein<br />

produktionsfreies Zeitfenster benötigt.<br />

Wie bei einem Produkt dieser Klasse zu<br />

erwarten, fehlt kein wesentliches Feature.<br />

Und auch die Kehrseite ist dieselbe<br />

wie bei den vergleichbaren Lösungen<br />

von IBM oder EMC, nämlich die hohe<br />

Komplexität. Dass alleine das Installationshandbuch<br />

über 500 Din-A4-Seiten<br />

benötigt, mag ein Indiz dafür sein.<br />

Dafür erhält man eine Komplettlösung<br />

inklusive Desaster Recovery, eingebauter<br />

Wiederherstellung virtueller auf physische<br />

Maschinen oder umgekehrt, einem<br />

Reportingmodul mit mehr als 35 vordefinierten<br />

Berichten, Deduplikation, Optionen<br />

für das <strong>Backup</strong> laufender Applikationen<br />

und Managementkonsole.<br />

IBM<br />

Die Lösung von IBM zeichnet aus, dass<br />

sie sich in eine umfassende Angebotspalette<br />

des Herstellers integriert. Das macht<br />

Tabelle 4: spezielle Techniken<br />

Hersteller: Acronis Arkeia Bacula EMC<br />

Snapshots<br />

auf Basis der <strong>Backup</strong>­ Ja Nein Nein Ja, mit PowerSnap<br />

Software<br />

auf Basis Windows VSS Ja Ja Ja Ja<br />

auf Basis LVM Ja Nein, es sei denn durch<br />

Skripte<br />

Nein, es sei denn durch<br />

Skripte<br />

Nein<br />

auf Storage­Hardware Nein Nein, es sei denn durch<br />

Skripte<br />

auf Basis Filesysteme (ZFS,<br />

BTRFS …)<br />

Nein<br />

nur unter Windows, sonst<br />

durch Skripte<br />

andere Features<br />

Deduplikation Ja Ja, progressiv quell­ und<br />

zielseitig<br />

Nein, es sei denn durch<br />

Skripte<br />

Nein, es sei denn durch<br />

Skripte<br />

Ja, aber nur File­basiert,<br />

nicht auf Blocklevel<br />

CDP Nein Nein Nein Nein<br />

<strong>Backup</strong>­Clones Ja Nein Ja<br />

mehrere Kopien in einem Ja Ja Ja via Copy Jobs Nein<br />

Lauf<br />

synthetische <strong>Backup</strong>s aus<br />

Inkrementellen Sicherungen<br />

Ja Nein Ja Nein<br />

Replikation Replikation von Archiven Ja Ja, via Copy Jobs oder mit<br />

externer Software<br />

Ja<br />

Ja, über 3rd Party APIs<br />

Nein, es sei denn über die<br />

Integration der Produkte<br />

Avamar oder DataDomain<br />

Nein, es sei denn über die<br />

Integration der Produkte<br />

Avamar oder DataDomain<br />

Staging (z.B. D2D2T) Ja, von Archiven Ja Ja Ja<br />

Data Multiplexing Ja, auf Ebene der Agents Ja Ja Ja, abschaltbar<br />

Verifikation des <strong>Backup</strong>s Ja Ja Ja Nein<br />

Host­free <strong>Backup</strong>s Ja Ja Nein Ja, mit PowerSnap<br />

Bandbreitensteuerung Ja Ja Ja Nein<br />

42 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


marktübersicht<br />

bAckup<br />

Abbildung 4: Mit diesem Bildschirm begrüßt der Tivoli Storage Manager seine<br />

Anwender. Die schlichte Anmutung der Web-GUI täuscht: Es handelt sich um eines<br />

der mächtigsten <strong>Backup</strong>-Programme.<br />

es im Einzelfall sogar schwierig zu entscheiden,<br />

was man noch zu der hier verglichenen<br />

<strong>Backup</strong>-Software rechnen will<br />

und was nicht.<br />

Im Fall des Tivoli Storage Manager (Abbildung<br />

4) ist das besonders schwer, denn<br />

dabei handelt es sich um eine modulare,<br />

umfassende Lösung für die Speicherverwaltung,<br />

die auch die <strong>Daten</strong>sicherung<br />

beherrscht. Genauso<br />

aber die<br />

Zugriffsverwaltung<br />

oder Sicherheitsmechanismen<br />

wie Verschlüsselung,<br />

die<br />

Komprimierung,<br />

das Configuration<br />

and Policy<br />

Management,<br />

Monitoring und<br />

Reporting, das<br />

Error Logging<br />

und viele weitere<br />

Funktionen bis<br />

hin zu SCSI- und<br />

Fibre Channel<br />

Failover und vieles mehr. Aus Dutzenden<br />

Modulen kann sich der Anwender eine<br />

individuelle Lösung zusammenstellen,<br />

die unter anderem auch alles enthalten<br />

kann, woran man beim Thema <strong>Backup</strong><br />

denkt, inklusive aller anspruchsvollen<br />

Features wie Deduplikation, Bare Metal<br />

Restore, NDMP oder Continous Data Protection.<br />

Der große Charme dieses Ansatzes ist die<br />

einheitliche und zentralisierte Verwaltung<br />

und die sehr gute Integration der einzelnen<br />

Funktionsbausteine. Der Pferdefuß<br />

liegt im Preis und in der Komplexität. Je<br />

nach Umfang wird man Schulungen oder<br />

sogar spezialisierte Admins brauchen.<br />

Allein für einen Kurs „IBM Tivoli Storage<br />

Manager Implementierung und Administration<br />

– Teil 1 und 2“ veranschlagt ein<br />

IBM Trainingscenter 10 volle Tage zum<br />

Kleinwagenpreis.<br />

Für eine Handvoll Server ist diese Lösung<br />

überdimensioniert, Wer aber tatsächlich<br />

eine große Storage-Landschaft zu betreuen<br />

hat, wird in TSM ein Angebot finden,<br />

das zu prüfen sich bestimmt lohnt.<br />

SEP<br />

Die <strong>Backup</strong>-Lösung SEP sesam gehört<br />

zweifelsfrei zu den Favoriten in einer<br />

Open-Source-Umgebung. Während die<br />

Mitbewerber um <strong>wichtige</strong> freie Software<br />

wie MySQL oder PostgreSQL, Scalix,<br />

Zarafa oder SugarCRM eher einen Bogen<br />

machen, unterstützt SEP sesam hier eine<br />

Tabelle 4: spezielle Techniken (Fortsetzung)<br />

Hersteller: HP IBM SEP Syncsort<br />

Snapshots<br />

auf Basis der <strong>Backup</strong>- Nein Ja Nein Ja<br />

Software<br />

auf Basis Windows VSS Ja Ja Ja Ja<br />

auf Basis LVM Ja Ja, mit Tivoli FlashCopy Ja<br />

Ja<br />

Manager<br />

auf Storage-Hardware Ja Ja, mit Tivoli FlashCopy Ja<br />

Ja, mit SnapVault für NetApp<br />

Manager<br />

auf Basis Filesysteme (ZFS, Ja<br />

Ja, mit Tivoli FlashCopy Nein<br />

Nein<br />

BTRFS …)<br />

Manager<br />

andere Features<br />

Deduplikation Ja Ja Ja Ja<br />

CDP Nein Ja, auf Block- und Fileebene Ja<br />

Nein<br />

mit TSM FastBack<br />

<strong>Backup</strong>-Clones Ja Ja Ja Ja<br />

mehrere Kopien<br />

Ja Ja Nein Ja<br />

in einem Lauf<br />

synthetische <strong>Backup</strong>s aus Ja Ja Nein Ja<br />

Inkrementellen Sicherungen<br />

Replikation Nein Ja, mit TSM Fastback Ja Ja<br />

Staging (z.B. D2D2T) Ja Ja, Diskpool-HSM Ja Ja<br />

Data Multiplexing Ja Ja, (Source-Disk-Multiplexing<br />

Ja<br />

Ja<br />

bei SAP-Sicherungen,<br />

kein Tape-Multiplexing)<br />

Verifikation des <strong>Backup</strong>s Ja Ja Ja Ja<br />

Host-free <strong>Backup</strong>s Ja Ja, mit Zusatzmodul Ja Ja<br />

Bandbreitensteuerung Nein Ja, für Laptop-Sicherungen<br />

mit TSM Fastback for Workstations<br />

Ja<br />

Ja<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

43


ACkuP<br />

marktübersicht<br />

breite Auswahl vorbildlich mit Modulen<br />

für ein Online-<strong>Backup</strong>. Dabei kommen<br />

nicht einmal die proprietären Verwandten<br />

zu kurz, auch hier wird unsere Auswahl<br />

in diesem Test fast vollständig unterstützt.<br />

Ein ähnliches Bild ergibt sich auch beim<br />

Blick auf die Plattformen, unter denen<br />

sich Clients und Server installieren lassen:<br />

Ein bunter Linux-Mix ist darunter,<br />

FreeBSD für den Server, was sonst niemand<br />

bietet, aber natürlich auch das gängige<br />

Windows und ein paar Unixe.<br />

SEP sesam ist aber nicht nur für alle<br />

interessant, die ein sonst kaum unterstützes<br />

Ingres oder OpenXchange im Portfolio<br />

haben, auch wer weniger mit freier<br />

Software am Hut hat, findet hier eine<br />

Mischung, die gut zu kleinen und auch<br />

mittelgroßen Unternehmen passt, denen<br />

überschaubare Kosten und eine einfache<br />

Bedienung wichtig sind.<br />

Die neue Version 4 und die jüngsten Minor-Releases<br />

(getestet haben wir 4.0.3)<br />

haben gerade mit Blick auf größere<br />

Umgebungen noch einmal nachgelegt.<br />

So lassen sich in dieser Version Clients<br />

gruppieren und in der grafischen Darstellung<br />

hinter der Gruppenbezeichnung<br />

aus- und einblenden, um die Übersichtlichkeit<br />

zu wahren. Der Admin kann sich<br />

auch eigene Ansichten konfigurieren und<br />

speichern. Ausgebaut wurden die Filtermöglichkeiten.<br />

Man stößt bei SEP sesam nicht auf die<br />

exotischsten Features oder die höchstmögliche<br />

Skalierbarkeit, dafür bekommt<br />

man aber die Installation auch alleine<br />

hin und muss sich später nicht durch<br />

bändeweise Handbücher kämpfen. (Ganz<br />

ohne nachzulesen klappt es aber freilich<br />

auch nicht.) Vielleicht sollte man wegen<br />

der etwas gewöhnungsbedürftigen Konfiguration<br />

einer virtuellen Tape Library<br />

für das <strong>Backup</strong> auf Platten einen kleinen<br />

Abstrich machen, sonst aber geht die<br />

Einrichtung leicht von der Hand und die<br />

Bedienung ist weitgehend intuitiv. Zum<br />

Probieren kann man auf eine kostenfreie<br />

Community Edition zurückgreifen.<br />

Syncsort<br />

Syncsort ist der einzige Testkandidat<br />

von dem sich die Redaktion leider kein<br />

praktisches Bild machen konnte, weil der<br />

Hersteller eine Teststellung mit der Begründung<br />

verweigerte, die Installation sei<br />

derart kompliziert, dass selbst seine eigenen<br />

Techniker tagelang damit beschäftigt<br />

seien. Fremde seien quasi chancenlos.<br />

Das wirft natürlich Fragen auf, etwa danach,<br />

wie ein derart komplexes System<br />

in der Praxis zu administrieren ist und<br />

ob die Schwierigkeiten bei der Bedienung<br />

nicht womöglich einer schnellen Wiederherstellung<br />

der Sicherungen entgegenstehen,<br />

gerade wenn es im Fehlerfall<br />

ohnehin stressig wird. Wir haben diese<br />

Fragen gestellt, beantwortet wurden sie<br />

nicht. So bleibt uns nur ein Blick auf<br />

die Papierform. Das teuerste Produkt im<br />

Tabelle 5: datenselektion<br />

Hersteller: Acronis Arkeia Bacula EMC HP IBM SEP Syncsort<br />

Exclude-Filter<br />

Verzeichnisse Ja Ja Ja Ja Ja Ja Ja Ja<br />

RegEx für Dateinamen Nein Ja Ja Ja Ja Ja Ja Ja<br />

Dateigröße Nein Ja Nein Nein Nein Nein Ja Ja<br />

Dateiendung Ja Ja Ja Ja Nein Ja Nein Ja<br />

Datum Nein Ja Nein Nein Nein Nein Ja Ja<br />

Eigentümer Nein Ja Nein Nein Nein Ja Ja Ja<br />

Tabelle 6: medienmanagement<br />

Hersteller: Acronis Arkeia Bacula EMC HP IBM SEP Syncsort<br />

Media Pools Ja Ja Ja Ja Ja Ja Ja Ja<br />

Retention Policies Ja, per Job Ja Ja Ja Ja Ja Ja Ja, per Job<br />

<strong>Daten</strong>klassifikation Nein Ja Ja, durch Ja Ja Ja Ja Nein<br />

Pools<br />

Barcode­Unterstützung Ja Ja Ja Ja Nein Ja Ja Ja<br />

C<br />

M<br />

Y<br />

CM<br />

MY<br />

Tabelle 7: gerätemanagement/ Reporting<br />

Hersteller: Acronis Arkeia Bacula EMC<br />

Laufwerks­Loadbalancing Nein Nein In beschränktem Umfang Ja<br />

Deaktivierung einzelner Nein Ja Ja, konfigurierbar Ja<br />

Laufwerke<br />

Laufwerks­Failover Nein Nein Nein Ja<br />

Monitoring<br />

laufender Prozess Ja Ja Ja Ja<br />

Integrierter Log­Viewer Ja Ja Ja, mit einigen GUIs Ja<br />

Reporting Ja Ja Ja Ja<br />

Alerts Ja Ja Ja, konfigurierbar Ja<br />

CY<br />

CMY<br />

K<br />

44 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


marktübersicht<br />

bACkuP<br />

Testfeld gibt sich danach keine Blöße,<br />

was die Feature-Liste betrifft. Auch die<br />

Online-Sicherung von Applikationen aller<br />

Art unterstützt es breit.<br />

<strong>Backup</strong> Express offeriert dabei offenbar<br />

eine Kombination aus <strong>Backup</strong> und Desaster<br />

Recovery mit einer Imagesicherung,<br />

aus der sich einzelne Files ebenso wie<br />

das komplette System wiederherstellen<br />

lassen. Blocklevel Incremental <strong>Backup</strong>s<br />

sollen dabei I/ O- und Netzwerkbandbreite<br />

schonen und die Wiederherstellungszeiten<br />

drastisch verkürzen. Laut<br />

Herstellerangaben sollen dadurch bis zu<br />

90 Prozent der Ausgangsdaten einzusparen<br />

sein. Für die längerfristige Archivierung<br />

ist auch die stufenweise Migration<br />

auf Tapes möglich.<br />

Eine weitere Besonderheit der Lösung ist,<br />

dass sich aus jedem Wiederherstellungspunkt<br />

eines Windows-<strong>Backup</strong>s automatisch<br />

eine virtuelle Maschine erstellen<br />

lassen soll, die dank integrierter Migrationsfunktionen<br />

– so der Hersteller – auch<br />

auf einen anderen Virtualisierungshost<br />

oder eine physische Maschine zu verlagern<br />

sein soll.<br />

Zusammenschau<br />

Bei einer so relativ klar umrissenen Aufgabe<br />

wie der <strong>Daten</strong>sicherung könnte man<br />

meinen, die Software für ihre Erledigung<br />

Tabelle 7: gerätemanagement (Fortsetzung)<br />

Hersteller: HP IBM SEP Syncsort<br />

Laufwerks­Loadbalancing Ja Ja, für IBM­Laufwerke und Ja<br />

Ja<br />

Treiber<br />

Deaktivierung einzelner Laufwerke Ja Ja Ja Ja<br />

Laufwerks­Failover Ja Ja Nein Ja<br />

Monitoring<br />

laufender Prozess Ja Ja Ja Ja<br />

Integrierter Log­Viewer Ja Ja Ja Ja<br />

Reporting Ja Ja Ja Ja, via SNMP<br />

Alerts Ja Ja Ja<br />

getD_043_<strong>Magazin</strong>e_Ad_3.ai 1 6/22/11 9:22 PM<br />

IT-Admin? Computerfreak? Technikfan?<br />

Dann schau rein bei getDigital.de, dem Shop mit Gadgets,<br />

T-Shirts und Geschenken für Geeks und alle Computerfans!<br />

USB Gadgets<br />

USB Stressball<br />

=C23,90<br />

Drücken lässt<br />

den Bildschirm<br />

schrumpfen!<br />

USB Webcam Raketenwerfer<br />

Mit Webcam<br />

und fernsteuerbar<br />

per<br />

Skype!<br />

=C59,95<br />

Tools für Nerds T-Shirts für Admins Vorteilsgutschein<br />

USB Batterien<br />

Turning it off and on again RFID Schutzhülle<br />

ab<br />

=C16,95<br />

Batterien sind am USB-Anschluss<br />

aufladbar.<br />

Anyloader<br />

Lädt Handy und<br />

Co. mit<br />

Solarstrom.<br />

=C34,95<br />

=C= 34<br />

No.<br />

Alternativ<br />

geht<br />

natürlich<br />

auch diese<br />

Antwort.<br />

ab<br />

=C14,90<br />

Die<br />

Standardantwort<br />

im Support<br />

ab<br />

=C15,90<br />

=C4,95<br />

Mit dem Gutscheincode<br />

ITAM_TKKNRQ<br />

gibt es für Leser des IT-Admin-<br />

<strong>Magazin</strong>s eine RFID Schutzhülle<br />

kostenlos zur Bestellung dazu!<br />

www.getdigital.de


ACkuP<br />

marktübersicht<br />

würde sich womöglich kaum unterscheiden.<br />

Und tatsächlich gibt es Standardjobs,<br />

die jede <strong>Backup</strong>-Software beherrschen<br />

muss, will sie ernst genommen<br />

werden. Daneben aber zeigt sich doch<br />

eine erstaunliche Vielfalt im Detail, auf<br />

die sich zu achten lohnt.<br />

Das beginnt bereits mit den server- und<br />

clientseitig unterstützen Systemen. Besonders<br />

wer eine BSD-Variante oder MacOS<br />

<strong>sichern</strong> oder darunter gar seinen Server<br />

betreiben will, sollte die Kompatibilitätsmatrix<br />

des Herstellers genau studieren<br />

– nur wenige unterstützen diese Exoten.<br />

In einer ähnlichen Lage befinden sich alte<br />

Netware-Systeme und auch das langsam<br />

aussterbende Windows XP. Da sieht es<br />

mit Linux scheinbar besser aus, allerdings<br />

ist das Bild auch hier differenzierter:<br />

Nur SEP, Arkeia und HP unterstützen<br />

eine wirklich breite Palette verschiedener<br />

Distributionen. Support für Linux auf<br />

Power- und zSeries- Plattformen gibt es<br />

dagegen nur von IBM. Für etliche andere<br />

ist Linux dagegen offenbar identisch<br />

mit RHEL und SLES. Schon mit einem<br />

De bianserver bleibt man da außen vor.<br />

Der nächste <strong>wichtige</strong> Unterschied betrifft<br />

Lizenz und Preis. Hier gibt es –<br />

wie etwa bei Bacula – sehr einfache und<br />

klare Regelungen und andererseits von<br />

vielen Parametern abhängige Preismodelle,<br />

die nicht leicht zu durchschauen<br />

sind. IBM zum Beispiel vergibt pro Core<br />

einer bestimmten CPU eine gewisse<br />

Anzahl von Punkten – von 30 Punkten<br />

(Prozessor Value Units, PVUs) für einen<br />

Core einer alten Sparc T1-CPU bis zu<br />

120 Punkten etwa pro Core eines modernen<br />

Power7-Prozessors – und berechnet<br />

dann Lizenzpreise auf Grundlage dieser<br />

PVUs. In andere Rechnungen gehen Features,<br />

<strong>Daten</strong>volumen oder Laufzeiten ein.<br />

Damit unterliegt auch was als absolute<br />

Zahl am Ende auf der Rechnung steht<br />

einer enormen Schwankungsbreite. Ein<br />

Hersteller, nämlich EMC, zog es vor, in<br />

der Öffentlichkeit generell vornehm über<br />

seine Preise zu schweigen. Man darf<br />

spekulieren, warum. Allgemein gilt, dass<br />

sich die Hersteller der funktionsreichsten<br />

Kandidaten ihre Alleskönner sehr<br />

gut bezahlen lassen. Wer sich vor Augen<br />

führt, was er mindestens braucht und<br />

was verzichtbar wäre, der kommt unter<br />

Umständen deutlich billiger davon.<br />

Der dritte Komplex beachtlicher Differenzen<br />

zeichnet sich bei den Modulen<br />

für das <strong>Backup</strong> von <strong>Daten</strong>banken und<br />

anderen Applikationen im laufenden Betrieb<br />

ab. Bacula, eine ansonsten durchaus<br />

rechenzentrumstaugliche <strong>Backup</strong>-<br />

Anwendung, steckt in dieser Hinsicht<br />

Tabelle 8: Online-backup-module<br />

Hersteller: Acronis Arkeia Bacula EMC<br />

<strong>Daten</strong>banken<br />

Oracle Nein Ja Nein Ja<br />

DB2 Nein Ja Nein Ja<br />

Informix IDS Nein Nein Nein Ja<br />

Microsoft SQL geplant Ja Ja, Beta­Version Ja<br />

MySQL Nein Ja Nein Nein<br />

Ingres Nein Nein Nein Nein<br />

MaxDB Nein Ja Nein Ja<br />

Sybase ASE Nein Nein Nein Ja<br />

PostgreSQL Nein Ja Nein Nein<br />

Mailserver und Groupware<br />

Open Xchange Nein Ja Nein Nein<br />

MS Exchange geplant Ja Ja, Beta­Version Ja<br />

Scalix Nein Nein Nein Nein<br />

Novell Groupwise Nein Ja Nein Nein<br />

Zarafa Nein Nein Nein Nein<br />

Lotus Domino Nein Ja Nein Ja<br />

MS SharePoint Nein Ja Ja, Beta­Version Ja<br />

CRM<br />

Sugar CRM Nein Nein Nein Nein<br />

Siebel CRM Nein Nein Nein Nein<br />

Verzeichnisdienste<br />

LDAP Nein Ja Nein Ja<br />

Novell­ eDirectory Nein Ja Nein Nein<br />

MS Active Directory Nein Ja Ja, Beta­Version Ja<br />

Virtualisierungslösungen<br />

VMware Ja Ja Nein, aber in Entwicklung Ja<br />

Citrix Xen Server Ja Nein Nein Ja<br />

HyperV Ja Ja Nein Ja<br />

BI-Software<br />

SAP R/ 3 Nein Nein Nein, aber in Entwicklung Ja<br />

46 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


marktübersicht<br />

bACkuP<br />

noch ganz in den Kinderschuhen – am<br />

anderen Ende unterstützen IBM oder<br />

auch Syncsort fast alles. Fast – denn<br />

um Open Source machen auch sie einen<br />

merkwürdigen Bogen. Beim Online-<br />

<strong>Backup</strong> freier Software hat SEP sesam<br />

keine Konkurrenz.<br />

Der vierte Bereich, in dem sich die Lösungen<br />

deutlich unterscheiden, ist das<br />

Gebiet der speziellen Features, die nicht<br />

jeder benötigt, die aber durchaus ein<br />

KO-Kriterium sein können. Wer etwa einen<br />

NAS-Server betreibt und ihn direkt<br />

via Network Data Management Protocol<br />

(NDMP) <strong>sichern</strong> will, sollte die Featurelisten<br />

studieren und prüfen, ob sein<br />

Wunschkandidat das kann. Zudem kann<br />

man über die Sinnhaftigkeit einzelner<br />

Features sicher auch geteilter Meinung<br />

sein: EMC etwa glaubt, ein Verifizieren<br />

des <strong>Backup</strong> sei nahezu unmöglich und<br />

außerdem könne man im Fehlerfall sowieso<br />

nichts tun. Auch auf eine Bandbreitensteueung<br />

will der Hersteller bewusst<br />

verzichten, weil das Einhalten von<br />

SLAs im Vordergrund stehe. Man mag<br />

dem folgen oder nicht – mit Blick auf eine<br />

Kaufentscheidung ist zunächst einmal<br />

wichtig, dass man diese Features auch in<br />

der Oberklasse nicht einfach voraussetzen<br />

kann. Schließlich gibt es eine Reihe von<br />

Features, die typischerweise in großen<br />

Umgebungen relevant sind und deshalb<br />

in Software, die eher den SMB-Bereich<br />

adressiert, nicht vorkommen. Dazu zählt<br />

beispielsweise das Loadbalancing oder<br />

Failover zwischen Tape-Laufwerken, das<br />

nur in einer größeren Tape Library Sinn<br />

macht, die wiederum nur für ein ausgewachsenes<br />

Rechenzentrum lohnt.<br />

Ein fünftes Feld, auf dem sich deutliche<br />

Unterscheide abzeichnen, wird durch die<br />

Integration in das Lösungsportfolio der<br />

Hersteller umschrieben. Das reicht von<br />

einfachen Standalone-<strong>Backup</strong>-Programmen<br />

bis zu modularen Ungetümen, bei<br />

denen <strong>Daten</strong>sicherung nur eine Funktion<br />

unter vielen ist. (jcb)<br />

n<br />

Tabelle 8: Online-backup-module (Fortsetzung)<br />

Hersteller: HP IBM SEP Syncsort<br />

<strong>Daten</strong>banken<br />

Oracle Ja Ja, mit TSM for Databases Ja Ja<br />

DB2 Ja Ja Ja Ja<br />

Informix IDS Ja Ja Ja Ja<br />

Microsoft SQL Ja Ja, mit TSM for Databases Ja Ja<br />

MySQL Nein Nein Ja Nein<br />

Ingres Nein Nein Ja Nein<br />

MaxDB Ja Ja Ja Ja<br />

Sybase ASE Ja Ja, via TSM­Interface in Nein<br />

Ja<br />

Sybase<br />

PostgreSQL Nein Nein Ja Nein<br />

Mailserver und Groupware<br />

Open Xchange Nein Nein Ja Nein<br />

MS Exchange Ja Ja, via TSM for Mail Ja Ja<br />

Scalix Nein Nein Ja Nein<br />

Novell Groupwise Ja Nein Ja Ja<br />

Zarafa Nein Nein Ja Nein<br />

Lotus Domino Ja Ja, via TSM for Mail Ja Ja<br />

MS SharePoint Ja Ja, via TSM for Sharepoint Ja Ja<br />

CRM<br />

Sugar CRM Nein Nein Ja Ja<br />

Siebel CRM Ja Nein Ja Ja<br />

Verzeichnisdienste<br />

LDAP Ja Nein Ja Ja<br />

Novell­ eDirectory Ja Ja, Netware mit TSM B­/<br />

A­Client,<br />

OES mit eMTool Ja Ja<br />

MS Active Directory Ja Ja Ja Ja<br />

Virtualisierungslösungen<br />

VMware Ja Ja, TSM for Virtual Environments<br />

(vSphere API und VCB) Ja Ja<br />

Citrix Xen Server Ja Ja, transparent für TSM B­/ Ja<br />

Ja<br />

A­Client<br />

HyperV Ja Ja Ja Ja<br />

BI-Software<br />

SAP R/ 3 Ja Ja, mit TSM for ERP Ja Ja<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

47


s ecurity<br />

Physische sicherheit<br />

Penetrationstests decken häufig schlecht geschützte Räume auf<br />

Die vergessene<br />

Sicherheit<br />

Anfang des Jahres 2011 verschwanden aus dem Landratsamt in bad Hersfeld zehn server, auf denen sich unter<br />

anderem die daten der zulassungsstelle befanden. die Verblüffung war groß: eines Hackerangriffs, an den man<br />

beim stichwort datendiebstahl gemeinhin zuerst denkt, hatte es gar nicht bedurft. wie so oft war stattdessen<br />

einfach die physische sicherheit aus dem blickfeld geraten. Jens Liebchen<br />

Die Schwachstellensuche mithilfe von<br />

Penetrationstests ist eine übliche Maßnahme,<br />

um die Sicherheit von IT-Systemen<br />

zu verbessern. Einer der Grundsätze<br />

solcher Tests lautet: Der Tester verhält<br />

sich wie ein echter Angreifer. Allerdings<br />

führt das leicht in ein Dilemma. Während<br />

in der digitalen Welt dabei kaum<br />

Probleme entstehen, ist der Auftraggeber<br />

selten bereit, sich auch Fenster einschlagen<br />

oder Türen aufbrechen zu lassen,<br />

um einen gewaltsamen Einbruch zu simulieren.<br />

Im Ergebnis wird die physische<br />

Sicherheit nur mit Checklisten und Best-<br />

Practise-Ansätzen überprüft, nicht aber<br />

mit tatsächlichen Penetrationstests.<br />

Doch selbst wenn sich der Tester nur<br />

auf zerstörungsfreie Ansätze beschränkt,<br />

kommt er oft erschreckend weit. Oft kann<br />

er auch in gut abgesicherte Räume innerhalb<br />

von wenigen Minuten vordringen.<br />

Viele der dabei verwendeten Techniken<br />

sind sehr einfach. Zwei stellt dieser Artikel<br />

beispielhaft vor.<br />

Funksignale und<br />

Drahtstücke<br />

Das erste Beispiel ist geradezu ein Klassiker:<br />

Es geht um die Zutrittskontrolle<br />

mithilfe von RFID oder an- deren<br />

Funktechniken. Wie überwindet<br />

ein Angreifer derart<br />

gesicherte Türen? Viele denken<br />

hier zuerst an Angriffe auf<br />

die Funkschnittstelle, und solche<br />

Angriffe sind in den letzten Jahren<br />

auch tatsächlich öffentlich geworden.<br />

In einigen Fällen ließen sich die genutz-<br />

© sergey titov, Fotolia<br />

ten Transponder auslesen und kopieren,<br />

in anderen Fällen öffnete der originale<br />

Transponder die Türe, obwohl er sich<br />

gar nicht in der Nähe befand. Stattdessen<br />

wurden die Funksignale über<br />

ein anderes Medium – etwa Mobilfunk<br />

– weitergeleitet, indem<br />

ein Angreifer in der Nähe des<br />

originalen Transponders, der<br />

andere an der betreffenden Türe<br />

stand.<br />

Doch alle diese Angriffe sind<br />

technisch aufwändig. Oft hat es<br />

der Angreifer sehr viel einfacher.<br />

Was die Türe verschlossen hält, ist<br />

nämlich oft nur der Schnapper, eine<br />

kleine Metallnase, die mit Federkraft<br />

in den Rahmen springt. Er ist<br />

aber kein Problem, lässt<br />

er sich doch für einen<br />

nur etwas Geübten<br />

auf geradezu triviale<br />

Weise<br />

zurückdrücken.<br />

Ein<br />

entsprechend<br />

gebogenes<br />

Werkzeug, der sogenannte Keilformgleiter<br />

(Abbildung 1) oder auch<br />

einfach nur ein passend<br />

gebogener Draht,<br />

eine sogenannte<br />

Türfallennadel<br />

(Abbildung 2),<br />

und die Türe<br />

ist im Nu offen.<br />

In der<br />

Praxis gelingt<br />

dies einigermaßen<br />

Geübten innerhalb<br />

von<br />

Sekunden<br />

und ist<br />

50 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Physische sicherheit<br />

s ecurity<br />

Abbildung 1: Mit handelsüblichem Werkzeug aus dem Sortiment der Schlüsseldienste wie diesen<br />

Keilformgleitern, sind Türen mit Schnapper im Nu offen.<br />

selbst auf Videoüberwachungen kaum<br />

zu erkennen.<br />

Fluchttüren<br />

Doch was ist mit Außentüren? Zumindest<br />

die sind doch wenigstens nachts abgeschlossen.<br />

Auch hier hilft oft schon ein<br />

genauer Blick: Was ist das Besondere an<br />

vielen dieser Türen? Es sind Fluchttüren.<br />

Das heißt, sie müssen sich im Brandfall<br />

schnell und einfach öffnen lassen.<br />

Technisch ist dies häufig so gelöst, dass<br />

das Betätigen der Klinke nicht nur den<br />

Schnapper, sondern auch den Riegel<br />

der bis dahin abgeschlossenen Türe zurückzieht.<br />

Wie kann das ein Angreifer<br />

ausnutzen? Hier hilft eine sogenannte<br />

Türklinkenangel (Abbildung 3). Ein entsprechend<br />

gebogener Draht wird unter<br />

der Türe von außen nach innen geschoben<br />

und legt sich innen über die Klinke.<br />

Durch einen Seilzug wird diese nun von<br />

außen betätigt, und die Türe ist offen.<br />

Analog verfährt der Eindringling auch<br />

bei anderen Fluchttürmechanismen:<br />

Mancherorts und speziell in Amerika<br />

finden sich häufig auch Fluchttüren, die<br />

eine Querstange besitzen, die im Prinzip<br />

wie die Türklinke funktioniert. Allerdings<br />

reicht es für die Öffnung hier aus, dass<br />

eine Person gegen diese Querstange läuft.<br />

Ein Mechanismus, der speziell in Paniksituationen<br />

hilfreich ist. Auch er lässt sich<br />

von außen auslösen.<br />

Tür, die ihm den Zutritt doch deutlich<br />

erschwert. Und spätestens hier glauben<br />

viele, wird der Angreifer scheitern. Leider<br />

ist dies häufig falsch. Obwohl die<br />

meisten Verantwortlichen betonen, dass<br />

ihre Serverräume immer abgeschlossen<br />

sind, stellt sich bei Penetrationstests immer<br />

wieder heraus, dass die Türen nur<br />

zugezogen werden und daher schon mit<br />

einem einfachen Draht zu öffnen sind.<br />

Der zweite Fehler, dem ein Penetrationstester<br />

in der Praxis immer wieder begegnet,<br />

besteht darin, dass vermutet wird,<br />

die Serverraumtüre würde sicherlich keinen<br />

Fluchttürmechanismus beinhalten.<br />

Schließlich betreten hier ja nur wenige<br />

speziell geschulte Personen den Raum.<br />

Dies stimmt aber nur so lange, wie keine<br />

Feuerlöschanlange installiert ist. Spätestens<br />

mit der Installation einer Gaslöschanlage<br />

wird oft auch ein Fluchttürmechanismus<br />

eingebaut, sodass auch hier die<br />

Türklinkenangel gute Dienste leistet.<br />

Warum geht man aber überhaupt davon<br />

aus, dass ein Angreifer den Serverraum<br />

betreten möchte? Gerade, wenn er unbemerkt<br />

und ohne Beschädigungen zu<br />

hinterlassen im Gebäude unterwegs ist,<br />

ist es für ihn oft sinnvoller, die Arbeitsplätze<br />

aufzusuchen. Mit Insiderkenntnissen<br />

oder auch durch einfachste Hinweise<br />

wie Türschilder sind lohnende Arbeitsplätze<br />

schnell gefunden. Oft liegen dann<br />

sensible Unterlagen herum, die nicht<br />

eingeschlossen wurden, oder das allseits<br />

bekannte Post-It mit dem Passwort. Doch<br />

selbst wenn nicht, kann ein Keylogger<br />

installiert werden, der alle Tastaturanschläge<br />

aufzeichnet.<br />

Solche Keylogger gibt es in Gestalt kleiner<br />

Adapter, die sich einfach zwischen Tastatur<br />

und PC stecken lassen (Abbildung 4).<br />

Sie sind für Virenscanner nicht entdeckbar<br />

und selbst für erfahrene Anwender kaum<br />

von normaler IT-Hardware zu unterscheiden.<br />

Wer kontrolliert schon täglich unter<br />

seinem Schreibtisch die Anschlüsse an<br />

der Rückseite des PCs und würde einen<br />

solchen Keylogger erkennen? Im Rahmen<br />

eines zweiten „Besuchs“ kann der Angreifer<br />

sich dann normalerweise bequem<br />

am betroffenen PC anmelden und von<br />

„Klar ist abgeschlossen“<br />

Wohin will der Angreifer eigentlich?.<br />

Vielleicht möchte er in den Serverraum.<br />

Hier findet sich hoffentlich eine stabile<br />

Abbildung 2: Nicht viel mehr als ein Stück gebogener<br />

Draht: Sogenannte Türfallennadeln öffnen<br />

eingeschnappte Türen in Sekunden.<br />

Abbildung 3: So wird die Fluchttüre durch eine<br />

sogenannte Türklinkenangel von außen geöffnet.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

51


s ecurity<br />

Physische sicherheit<br />

Abbildung 4: In diesem kleinen, unscheinbaren<br />

Gehäuse steckt ein Keylogger, der alle<br />

Tastaturanschläge aufzeichnet und so später die<br />

Passwörter verrät.<br />

dort auch auf die Server zugreifen. Die<br />

Passwörter kennt der Keylogger, sofern<br />

der reguläre Benutzer sie in der Zwischenzeit<br />

verwendet hat.<br />

Darüber hinaus ist es wichtig, die Sicherheitsmaßnahmen<br />

nicht nur auf den direkten<br />

Arbeitsort zu beschränken. Wichtige<br />

Unterlagen und Laptops befinden<br />

sich heute zwangsweise nicht mehr nur<br />

in den eigenen Räumen, sondern etwa<br />

auch in Hotels. Dort existieren genau die<br />

gleichen Probleme, so sind fast alle Zimmertüren<br />

in Hotels mit einem Fluchttürmechanismus<br />

ausgestattet.<br />

Bereits mit den bis hierher vorgestellten<br />

Methoden kommt ein Angreifer in der<br />

Praxis relativ weit in einem Gebäude.<br />

Ein Angreifer braucht nur den Fluchtwegen<br />

rückwärts zu folgen. Besonders<br />

kritisch ist, dass ein Abfluss von <strong>Daten</strong><br />

so meist gar nicht auffällt. Ähnlich wie<br />

bei rein digitalen Angriffen bleiben keine<br />

offensichtlichen Spuren zurück. Und genau<br />

das macht die zerstörungsfreien Öffnungsmöglichkeiten<br />

gefährlich.<br />

Gegenmaßnahmen<br />

Wie kann man sich schützen? Während<br />

man für einzelne Türen im Rahmen einer<br />

Brandschutzbegehung vielleicht sogar<br />

den Fluchttürmechanismus entfernen<br />

darf, ist dies in der Regel natürlich nicht<br />

möglich. Wird eine Türe im Alltag gar<br />

nicht genutzt, wie zum Beispiel Fluchttüren,<br />

die ins Freie führen, hilft eine akustische<br />

Alarmierung, ähnlich wie es heute<br />

jedes Kaufhaus macht. Wichtig ist natürlich,<br />

dass die Mitarbeiter auch geschult<br />

sind, einem Alarm direkt nachzugehen.<br />

Denn wenn er nicht auf eine Gefahrenmeldeanlage<br />

aufgeschaltet ist, bringt ein<br />

Dauerton alleine nichts. Ist das Gebäude<br />

zu bestimmten Zeiten nicht besetzt, so<br />

hilft nur eine Gefahrenmeldeanlage mit<br />

Alarmverfolgung. Hierdurch wird der<br />

Einbruch zwar auch nicht abgewehrt,<br />

aber er wird zunächst einmal überhaupt<br />

bemerkt und außerdem beschränken sich<br />

die Möglichkeiten des Angreifers massiv,<br />

wenn so nur wenig Zeit bis zum Eintreffen<br />

des Wachdienstes oder auch der<br />

Polizei bleibt.<br />

Gibt es eine Alarmverfolgung, sollte man<br />

sie regelmäßig testen. Es ist erstaunlich,<br />

welche Fehler selbst professionellen,<br />

VDS-zertifizierten Dienstleistern unterlaufen.<br />

So wurde einer der Penetrationstester<br />

aus der Firma des Autors einmal<br />

auf dem Betriebsgelände vom Wachdienst<br />

überrascht. Da aber am nächsten<br />

Morgen keine Einbruchsspuren und auch<br />

keine gestohlenen Gegenstände aufgefallen<br />

sind, wurde der Vorfall dem Kunden<br />

überhaupt nicht mitgeteilt. Auch wenn<br />

Personen den Mitarbeitern innerhalb<br />

des Gebäudes auffallen, ist es schwierig,<br />

<strong>richtig</strong> zu reagieren. Denn der Angreifer<br />

kann sich vorher eine genaue Legende<br />

für diesen Fall zurechtlegen, der Mitarbeiter<br />

hingegen kommt unerwartet in die<br />

Situation.<br />

Wird der Eindringling angesprochen, hat<br />

sich beispielsweise eine Antwort wie die<br />

folgende bewährt: „Schön, dass Sie mich<br />

ansprechen. Wir testen hier gerade im<br />

Auftrag der Geschäftsführung, ob unbekannte<br />

Personen im Gebäude auffallen<br />

und angesprochen werden. Kann ich mir<br />

Ihren Namen notieren, damit ich Sie im<br />

Bericht lobend erwähnen kann? Und bitte<br />

bewahren Sie über den Test Stillschweigen,<br />

damit wir weiter testen können.“<br />

Klassisches Social-Engineering: Zumindest<br />

im Rahmen von Penetrationstests<br />

wird nicht einmal gelogen. Lügen fällt den<br />

meisten Personen von Natur aus schwer<br />

und könnte daher zu Misstrauen führen.<br />

Weiterhin wird dem Mitarbeiter ein Vorteil<br />

für die Kooperation in Aussicht gestellt<br />

und zu guter Letzt auch noch Druck<br />

aufgebaut. Eine Nicht-Kooperation würde<br />

nämlich zu einem Problem führen: Der<br />

im Auftrag der Geschäftsführung durchgeführte<br />

Test müsste dann abgebrochen<br />

werden.<br />

Dieses einfache Beispiel zeigt anschaulich,<br />

wie wichtig es ist, Mitarbeiter genau<br />

darin zu schulen, wie sie sich in solchen<br />

Situationen verhalten sollen und dürfen.<br />

Gerade durch den Einsatz von Gefahrenmeldeanlagen<br />

finden viele Angriffe zu<br />

Geschäftszeiten statt.<br />

Fazit<br />

Jeder Administrator sollte seine Sicherheitsmaßnahmen<br />

regelmäßig hinterfragen<br />

und testen. Sind die Türen wirklich<br />

abgeschlossen? Existieren wirklich keine<br />

aufgeschalteten Netzwerkdosen in den<br />

Besprechungsräumen oder ist das interne<br />

Netzwerk wirklich vom Netzwerk der<br />

Überwachungskamera außen am Gebäude<br />

getrennt? Aber auch: Kommt der<br />

Wachdienst überhaupt, wenn Alarm ausgelöst<br />

wird? Ein professioneller Dienstleister<br />

für die Alarmverfolgung hat keine<br />

Einwände gegen solche nicht angekündigten<br />

Tests, sofern die Kostenübernahme<br />

vorab geklärt ist.<br />

Standardansätze aus der digitalen Welt<br />

lassen sich häufig auch in den Bereich<br />

der physischen Sicherheit übertragen.<br />

Niemand bräuchte eine demilitarisierte<br />

Zone (DMZ), wenn davon ausgegangen<br />

würde, dass kein Angreifer einen bestimmten<br />

Server erreichen könnte. Warum<br />

glaubt man aber im anderen Fall,<br />

dass ein Angreifer nicht in bestimmte<br />

Räume gelangen kann? Es ist an der<br />

Zeit, die bekannten Konzepte auch in<br />

den Bereich der physischen Sicherheit<br />

zu übertragen. Oft hilft es schon, sich<br />

zu überlegen, was es bedeuten würde,<br />

wenn ein Angreifer zehn Minuten Zugriff<br />

auf einen bestimmten Arbeitsplatz und<br />

das vorhandene Netzwerk gehabt hätte<br />

und welche Konsequenzen sich daraus<br />

ergeben würden. (jcb)<br />

n<br />

Der Autor<br />

Jens Liebchen arbeitet als Penetrationstester<br />

bei der RedTeam Pentesting GmbH in Aachen.<br />

RedTeam Pentesting veröffentlicht regelmäßig<br />

Advisories zu aktuellen Sicherheitsfragen und ist<br />

auf vielen Konferenzen vertreten.<br />

52 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


IN KÜRZE<br />

VERFÜGBAR!<br />

DIE NEUE INTEL ®<br />

SOLID-STATE DRIVE<br />

320 / 510 SERIES<br />

JETZT WERDEN THOMAS KRENN SERVER NOCH SCHNELLER!<br />

Die Highlights:<br />

• Bis zu 600GB Speicherkapazität<br />

• Geringerer Stromverbrauch als HDDs<br />

Profitipps:<br />

Alles über SSDs im Thomas Krenn Wiki<br />

http://www.thomas-krenn.com/Intel-SSDs<br />

• Bis zu 300x mehr Random-IOPS als HDDs<br />

• Flash-Chips mit 25nm Technologie (320 Series)<br />

• Erweiterte Power-Loss Data Protection<br />

• Random-IO Lese-Performance bis zu<br />

39.500 IOPS (320 Series)<br />

Flächendeckendes Händler- und<br />

Servicenetz in der Schweiz:<br />

www.thomas-krenn.com/ch<br />

www.thomas-krenn.com<br />

EU: +49 (0) 8551 9150-0 · AT: +43 (0) 7282 20797-3600 · CH: +41 (0) 848 207970<br />

Made in Germany!<br />

Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung vorbehalten.<br />

Unsere Versandkosten richten sich nach Gewicht und Versandart. Genaue Preisangaben finden Sie unter: www.thomas-krenn.com/versandkosten. Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung


s ecuR i T y<br />

Protokollierung<br />

<strong>Daten</strong>schutzfreundliche Protokollierung<br />

Diskrete<br />

Logs<br />

Protokollierung von netzwerkdaten ist einerseits<br />

zur Fehlersuche unabdingbar, andererseits<br />

besteht die gefahr, dass sie zum gläsernen<br />

mitarbeiter führt. der widerspruch scheint<br />

unvereinbar, doch mit wenig Aufwand ist ein<br />

Ausweg realisierbar. Rainer w. gerling und Thomas blaß<br />

©paxi, Fotolia<br />

Die gängige Vorstellung vieler ITler ist,<br />

dass der <strong>Daten</strong>schutzbeauftragte und<br />

der IT-Sicherheitsbeauftragte ständig im<br />

Clinch liegen. Der <strong>Daten</strong>schutzbeauftragte<br />

will möglichst keine Protokollierung,<br />

und der IT-Sicherheitsbeauftragte<br />

will die totale Überwachung und Kontrolle.<br />

<strong>Daten</strong>schutz und<br />

IT-Sicherheit<br />

Das Bundesdatenschutzgesetz gibt in §<br />

3a vor: „Gestaltung und Auswahl von<br />

<strong>Daten</strong>verarbeitungssystemen haben sich<br />

an dem Ziel auszurichten, keine oder<br />

so wenig personenbezogene <strong>Daten</strong> wie<br />

Abbildung 1: Eine typische Information einer<br />

automatisierten Warnmeldung. Wenn die IP-Adresse<br />

zu einem NAT-Gateway gehört, können die beiden<br />

Quellports zu verschiedenen internen Rechnern<br />

gehören.<br />

möglich zu erheben, zu verarbeiten oder<br />

zu nutzen.“ Das beschreibt die Zielvorstellungen<br />

des <strong>Daten</strong>schutzes perfekt.<br />

Denn eine <strong>Daten</strong>verarbeitungsanlage,<br />

in der keine personenbezogenen <strong>Daten</strong><br />

gespeichert sind, kann das Grundrecht<br />

auf „informationelle Selbstbestimmung“<br />

nicht verletzen.<br />

Zudem ist klar, dass das Missbrauchsrisiko<br />

einer <strong>Daten</strong>sammlung umso geringer<br />

ist, je weniger personenbezogene <strong>Daten</strong><br />

in dem System vorhanden sind. Da raus<br />

folgt, dass man für einen vorgegebenen<br />

Zweck nur die <strong>Daten</strong> erheben sollte, die<br />

zur Zweckerfüllung erforderlich sind.<br />

Eine Speicherung von <strong>Daten</strong>, die derzeit<br />

nicht benötigt werden, für den Fall, dass<br />

sie später einmal zu gebrauchen wären<br />

(Vorratsdatenspeicherung), ist nicht<br />

zulässig.<br />

Der IT-Sicherheitsbeauftragte muss die<br />

Sicherheit der im Unternehmen eingesetzten<br />

<strong>Daten</strong>verarbeitungsanlagen verbessern.<br />

Dazu gehört nach allgemeiner<br />

Meinung auch die Aufklärung eventueller<br />

Missbrauchsfälle. Hierzu werden Kommunikationsvorgänge<br />

protokolliert und<br />

geloggt, insbesondere wird auf Servern,<br />

Firewalls, IDS-Systemen und vielen weiteren<br />

Netzwerkkomponenten das Nutzungsverhalten<br />

der Benutzer in Protokolldateien<br />

gespeichert. In der Praxis lassen<br />

sich bei manchen Verantwortlichen allerdings<br />

immer wieder eigenartige Vorstellungen<br />

über Art und Umfang ihrer rechtlichen<br />

Verpflichtungen zur Speicherung<br />

und Aufbewahrung dieser Log-Dateien<br />

feststellen. So sind manche Verantwortliche<br />

beispielsweise der irrigen Meinung,<br />

sie müssten alle <strong>Daten</strong> bevorraten, die<br />

von einer Strafverfolgungsbehörde in der<br />

Zukunft irgendwann einmal angefordert<br />

werden könnten, weil sie sich sonst strafbar<br />

machen würden.<br />

Das Dilemma lässt sich leicht auflösen:<br />

In einem Unternehmen dürfen alle die<br />

<strong>Daten</strong> gespeichert werden, die zur Aufrechterhaltung<br />

der IT-Sicherheit und zur<br />

Fehlersuche nötig sind. Bei der Auslegung<br />

des Begriffs „erforderlich“ sind strenge<br />

Maßstäbe anzulegen. Auf keinen Fall ist<br />

es zulässig, <strong>Daten</strong> zu speichern, die man<br />

eventuell irgendwann einmal benötigt.<br />

Für die Fehlersuche auf einem Mail-Server<br />

reicht zum Beispiel eine Speicherdauer<br />

von wenigen Tagen. Kein Nutzer geht<br />

nach einigen Monaten zum Administrator<br />

des Mail-Servers und beschwert sich,<br />

dass eine E-Mail nicht angekommen ist.<br />

Automatische Warnungen<br />

Für seinen Warn-Dienst wertet das<br />

DFN-CERT (Verein zur Förderung eines<br />

54 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Protokollierung<br />

s ecuR i T y<br />

Deutschen Forschungsnetzes – DFN)<br />

eine Anzahl von öffentlichen und nichtöffentlichen<br />

Quellen aus, um Probleme<br />

zu entdecken, die einen Bezug zu Rechnersystemen<br />

in den Netzen der Mitglieder<br />

des DFN haben. Außerdem betreibt<br />

es eigene Sensoren wie etwa Honey Pots,<br />

um die Informationsbasis weiter auszudehnen.<br />

Das DFN-CERT sammelt, korreliert<br />

und normiert diese <strong>Daten</strong> und stellt<br />

jedem DFN-Anwender den Zugriff auf<br />

die <strong>Daten</strong> seiner Einrichtung zur Verfügung.<br />

Dies umfasst die Möglichkeit zur<br />

Konfiguration einrichtungsspezifischer<br />

Einstellungen.<br />

Viele Nutzer betreiben ihr internes Netz<br />

hinter einem NAT-Gateway, um die interne<br />

Netzstruktur zu verbergen oder<br />

auch, weil nicht ausreichend offizielle<br />

IP-Adressen zur Verfügung stehen. In den<br />

Warnmeldungen findet sich dann nur die<br />

IP-Adresse des NAT-Gateways. Und damit<br />

kommt man bei der Suche nach dem<br />

möglicherweise mit Schadsoftware befallen<br />

Rechner nicht weiter. Die Konsequenz<br />

beim IT-Sicherheitsbeauftragten ist dann<br />

unter Umständen, alle Verbindungen<br />

durch das NAT-Gateway zu protokollieren.<br />

Hier kommt dann sehr schnell der<br />

Betriebs- oder Personalrat mit ins Boot,<br />

da eine Verhaltenskontrolle der Beschäftigten<br />

mit technischen Mitteln gegeben<br />

sein kann (etwa § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz<br />

oder § 75 Abs. 3<br />

Nr. 17 Bundespersonalvertretungsgesetz<br />

in Verbindung mit der ständigen Rechtsprechung<br />

des Bundesarbeitsgerichts).<br />

Über die Auswertung der protokollierten<br />

Verbindungen wäre schließlich die komplette<br />

Internetnutzung der Belegschaft<br />

nachzuvollziehen. Die Brisanz der Protokolle<br />

liegt auf der Hand.<br />

Ein datenschutzfreundlicher<br />

Ansatz<br />

Cisco führte im Jahr 2005 die 5500 Serie<br />

der Adaptive Security Appliances, kurz<br />

ASA, ein. Mit den vier Zeilen aus Listing 1<br />

lässt sich eine Protokollierung aktivieren,<br />

die nur noch die interne IP-Adresse des<br />

Rechners, die NAT-IP und den NAT-Port<br />

der Verbindung der ASA protokolliert.<br />

Da in den Warnmeldungen des DFN der<br />

Quellport der Verbindungen angegeben<br />

wird, lässt sich mit dieser Information<br />

der interne Rechner identifizieren. In<br />

Lis ting 2 sind die Protokoll-Einträge zu<br />

sehen, die zur Warnmeldung aus Abbildung<br />

1 gehören. Der datenschutzrechtliche<br />

(und beschäftigtenfreundliche)<br />

Vorteil dieses Verfahrens ist, dass der<br />

Inhalt der Protokoll-Datei völlig wertlos<br />

ist, solange es keine Beschwerden von<br />

Externen gibt. Es kann lediglich ausgewertet<br />

werden, wie viele Verbindungen<br />

ein Rechner aufgebaut hat. Da die Ziel-IP<br />

und der Zielport fehlen, sind keine weiteren<br />

Auswertungen möglich.<br />

Listing 1 zeigt die Konfiguration einer<br />

Cisco ASA, um das beschriebene Protokoll<br />

zu generieren. In der zweiten Zeile<br />

wird die Nummer der Loginformation<br />

angegeben, die zusätzlich protokolliert<br />

werden soll. In der letzten Zeile wird<br />

das Logging auf einen Syslog-Server (193.<br />

aaa.bbb.ddd) konfiguriert. Hier werden<br />

zusätzlich das Protokoll (17 = UDP) und<br />

der Zielport (1514) angegeben.<br />

Die Zuordnung der Einträge aus dem<br />

NAT-Gateway (Linsting 2, ASA mit Version<br />

8.2) zur Warnmeldung aus Abbildung<br />

1 erfolgt über die Quellports. Über<br />

den Quellport wird dann die interne IP<br />

aufgedeckt. Die Uhrzeit in diesem Log ist<br />

in Mitteleuropäischer Zeit (GMT+0100)<br />

angegeben.<br />

Eine Mitarbeitervertretung tut sich leicht,<br />

einem solchen Protokoll zuzustimmen,<br />

da letztendlich keine Überwachung der<br />

Beschäftigten möglich ist. Erst eine Beschwerde<br />

oder Warnmeldung liefert die<br />

Zusatzinformation, die erforderlich ist,<br />

um eine konkrete Verbindung aufzudecken.<br />

Und in diesen Fällen ist es dann<br />

auch zwingend erforderlich, den Vorfall<br />

zu verfolgen.<br />

Manchmal kommt eine Beschwerde, die<br />

keine Quellports beinhaltet. Ein Apache<br />

Web-Server protokolliert zum Beispiel typischerweise<br />

nur die Quell-IPs und nicht<br />

die Quellports. Da aber das Protokoll eines<br />

solchen Abrufs in der Regel mehrere<br />

Verbindungen beinhaltet, kann über die<br />

zeitlichen Abstände der Verbindungen<br />

zueinander in den meisten Fällen der<br />

interne Rechner identifiziert werden. Die<br />

zeitlichen Abstände der Verbindungen eines<br />

Abrufs sind dafür individuell genug,<br />

sodass sie eindeutig gefunden werden<br />

können. Dieses Verfahren hat sogar noch<br />

den Vorteil, dass es keine wirklich synchronisierten<br />

Uhren auf beiden Seiten<br />

benötigt. Ein eventueller Offset der Uhren<br />

der beteiligten Rechner fällt beim Bilden<br />

der Zeitdifferenzen heraus.<br />

Fazit<br />

IT-Sicherheit und <strong>Daten</strong>schutz sind bei<br />

sachgerechter Anwendung der Protokollierung<br />

(unter Maßgabe der Erforderlichkeit,<br />

das heißt die <strong>Daten</strong> sind tatsächlich<br />

nötig) kein Widerspruch. Mit<br />

ein bisschen Kreativität lassen sich sehr<br />

datenschutzfreundliche Lösungen finden.<br />

Diese Lösungen schützen die Beschäftigten<br />

vor permanenter Überwachung und<br />

stellen gleichzeitig den IT-Sicherheitsbeauftragten<br />

zufrieden, da er Sicherheitsvorfälle<br />

aufklären kann. <strong>Daten</strong>schutz und<br />

IT-Sicherheit müssen kein Widerspruch<br />

sein. (jcb)<br />

n<br />

Die Autoren<br />

Prof. Rainer W. Gerling ist seit 1993 <strong>Daten</strong>schutzbeauftragter<br />

und seit 2006 auch<br />

IT-Sicherheitsbeauftragter der Max-Planck-<br />

Gesellschaft in München und seit 2003 Honorarprofessor<br />

für das Fachgebiet „IT-Sicherheit“ im<br />

Fachbereich Informatik an der Hochschule München.<br />

Er ist Mitglied des Herausgeberbeirats<br />

der Zeitschrift „<strong>Daten</strong>schutz und <strong>Daten</strong>sicherheit“<br />

und veröffentlichte zahlreiche Beiträge in<br />

verschiedenen Fachzeitschriften und Büchern,<br />

darunter als Coautor das Buch „Einführung<br />

in das <strong>Daten</strong>schutzrecht: <strong>Daten</strong>schutz und<br />

Informationsfreiheit in europäischer Sicht“.<br />

Außerdem ist er Mitglied des Präsidiums der<br />

GDD-<strong>Daten</strong>schutz-Akademie sowie seit Anfang<br />

2008 des Ausschusses für Recht und Sicherheit<br />

des DFN-Vereins.<br />

Thomas Blaß ist Gruppenleiter IT-Sicherheit<br />

in der Generalverwaltung der Max-Planck-<br />

Gesellschaft. Seit fünf Jahren betreut sein Team<br />

die VPN- und Firewall-Infrastruktur an rund 80<br />

Standorten und entwickelt sie stetig weiter.<br />

Listing 1: Protokollierung auf einer cisco AsA<br />

01 logging list DefaultFilter level warnings<br />

02 logging list DefaultFilter message 305011<br />

03 logging trap DefaultFilter<br />

04 logging host extern 193.aaa.bbb.ddd 17/1514<br />

Listing 2: Logeinträge des nAT-gateway<br />

01 Jan 27 16:33:47 193.aaa.bbb.cc %ASA‐6‐305011: Built<br />

dynamic TCP translation from<br />

02 intern:10.90.x.14/2551 to extern:193.aaa.bbb.cc/46352<br />

03 Jan 27 17:33:25 193.aaa.bbb.cc %ASA‐6‐305011: Built<br />

dynamic TCP translation from<br />

04 intern:10.90.x.2/3427 to extern:193.aaa.bbb.cc/48988<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

55


MAde<br />

in<br />

GerMAny


Produktlogos ausgeschrieben<br />

Virtualisierung<br />

hosted-business cloud<br />

…wir machen keine Wissenschaften daraus!<br />

Produktsäulen + Shorticons<br />

Application<br />

O/S<br />

vServer<br />

Virtualisierung<br />

Server Hardware<br />

Storage<br />

Netzwerk<br />

RZ<br />

Endlich ist eine Cloud intuitiv konzipiert. Sie wollen administrieren, nicht<br />

„Raumfahrttechnik“ studieren. Ob eine Cloud im eigenen Unternehmen<br />

= Kunde = VIRTUAL-CORE<br />

oder als Hosted-Service: Mit der Virtualisierungslösung Virtual-Core®<br />

werden alle Vorteile des Cloud Computings genutzt und Kosten reduziert.<br />

Entdecken Sie neue Welten und virtualisieren Sie Ihre IT doch einfach –<br />

mit Virtual-Core®!<br />

Mehr unter www.virtual-core.de


Know-How<br />

marionette Collective<br />

Flinkes System-Management aus den Puppet Labs<br />

Großes Orchester<br />

jeancliclac, 123RF<br />

Admins kennen das Problem: mal schnell ein Kommando auf einer Vielzahl von systemen ausführen. mit dem<br />

marionette Collective Framework (mCollective) steht hierfür ein mächtiges Tool aus den Puppet Labs zur<br />

Verfügung. dank modernster Technologie setzt es sich deutlich von der Konkurrenz ab. Thorsten scherf<br />

Ähnlich wie das in <strong>ADMIN</strong> 02/ 2011 [1]<br />

vorgestellte Func bietet MCollective [2]<br />

die Möglichkeit, beliebige Job-Ketten auf<br />

einer Vielzahl von Systemen parallel zu<br />

starten. Im Unterschied zu Func oder<br />

beispielsweise Fabric [3] und Capistrano<br />

[4] benutzt MCollective eine Middleware<br />

auf Basis der Publish-/ Subscribe-<br />

Methode, um Jobs auf den einzelnen<br />

Knoten zu starten. Als Middleware unterstützt<br />

das Framework dabei sämtliche<br />

auf STOMP (Apache Streaming Text<br />

Orientated Messaging Protocol) basierenden<br />

Server- Implementationen beispielsweise<br />

ActiveMQ [5] und RabbitMQ [6].<br />

Die auf dem Management-System erzeugten<br />

Job-Ketten werden erst einmal nur an<br />

den Middleware-Rechner gerichtet. Von<br />

hier aus versendet dieser die Anfragen<br />

dann mittels Broadcast. Über entsprechende<br />

Filter kann der Admin dabei nur<br />

Subsets der vorhandenen Knoten ansprechen.<br />

Als Lowlevel-Protokoll zwischen<br />

den beteiligten Systemen kommt Simple-<br />

RPC zum Einsatz, das sich auch um die<br />

Authentifizierung, Autorisierung und das<br />

Auditing der einzelnen Requests (Abbildung<br />

1) kümmert.<br />

Darauf setzt dann das Messaging-Protokoll<br />

der Middleware auf. Die eigentlichen<br />

Aktionen führt MCollective mithilfe<br />

von Agents auf den einzelnen Knoten<br />

aus. Das Framework bietet bereits eine<br />

Vielzahl fertiger Agents an, und mit<br />

etwas Ruby-Kenntnissen sollte es kein<br />

großes Problem sein, eigene Agents mit<br />

zusätzlichen Funktionen zu schreiben,<br />

Die MCollective-Website bietet hierfür<br />

ausführliche Beispiele [7] an. In Kombination<br />

mit einem Konfigurationsmanagement-Tool<br />

wie beispielsweise Puppet<br />

[8], stellt MCollective ein sehr mächtiges,<br />

aber dennoch leicht zu verwaltendes<br />

System-Management-Tool dar.<br />

Dank der eingesetzten Middleware ist<br />

MCollective in der Lage, Jobs mit sehr<br />

hoher Geschwindigkeit auszuführen. Der<br />

Autor benutzt das Framework beispielsweise<br />

in einer Umgebung mit über 3000<br />

Systemen, wobei die Ausführung eines<br />

Jobs auf sämtlichen Knoten selten länger<br />

als 30 Sekunden dauert.<br />

Ein weiterer Vorteil sind die Yaml-basierten<br />

Facts-Dateien, die eine Möglichkeit<br />

darstellen, Systemen bestimmte Eigenschaften<br />

beispielsweise einem Rechenzentrum<br />

oder Land zuzuordnen. Die<br />

Eigenschaften können beim Generieren<br />

von Jobs als Filter-Kriterium dienen –<br />

somit entfällt die lästige Angabe von<br />

Rechner- oder Domänennamen. Kommt<br />

Puppet beim Konfigurationsmanagement<br />

zum Einsatz, hat der Admin die Möglichkeit,<br />

auch die Puppet-Classes als Filter-<br />

Kriterium zu verwenden.<br />

Installation und<br />

Konfiguration<br />

Unter [9] stellt Puppet Labs verschiedene<br />

Pakete für RPM- und Deb-basierte Systeme<br />

bereit. Um zu entscheiden, welches<br />

Paket auf welchem System zu installieren<br />

ist, hier noch einmal eine Auslistung der<br />

einzelnen Funktionalitäten. Die Beispiele<br />

basieren auf Red Hat Enterprise Linux<br />

5, gelten aber genauso für alle anderen<br />

unterstützten Systeme, lediglich die<br />

Paket-Namen sind hier teilweise leicht<br />

anzupassen:<br />

n Management-System (Workstation):<br />

Dieses System dient als Client-System<br />

für den Administrator, der hier Job-<br />

Ketten in Auftrag gibt. Benötigt die<br />

58 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


marionette Collective<br />

Know-H ow<br />

Pakete »mcollective-common« und<br />

»mcollective-client«.<br />

n Middleware: Hier läuft das Messaging-System.<br />

Benötigt neben der<br />

eigentlichen Middleware (beispielsweise<br />

ActiveMQ) ebenfalls das Paket<br />

»mcollective-common«. Um alle Ruby-<br />

Abhängigkeiten auflösen zu können,<br />

sollte auf diesem System ebenfalls der<br />

Zugriff auf das EPEL-Repository [10]<br />

möglich sein.<br />

n Nodes: Hierbei handelt es sich um die<br />

eigentlichen Systeme, die MCollec tive<br />

verwalten soll. Diese benötigen die<br />

Pakete »mcollective-common« und<br />

»mcollective«.<br />

Im ersten Schritt geht es an die Installation<br />

des Middleware-Servers. In diesem<br />

Artikel kommt ActiveMQ als Middleware-<br />

Implementierung zum Einsatz. Am einfachsten<br />

ist es, für die unter [9] und<br />

[10] aufgeführten Installationsquellen<br />

ein Yum-Repository einzurichten. Die In-<br />

stallation des Messaging-Systems sollte<br />

dann mittels »yum install activemq« ohne<br />

Probleme funktionieren. Das RPM-Frontend<br />

Yum löst dabei sämtliche Abhängigkeiten<br />

auf und installiert die Pakete auf<br />

Nachfrage. Listing 1 zeigt ein Beispiel für<br />

die Konfigurationsdatei des ActiveMQ-<br />

Servers, der mindestens in Version 5.4<br />

vorliegen sollte. Der Benutzer-Account,<br />

mit dem ein MCollective-Client auf den<br />

Server zugreift, ist entsprechend anzupassen.<br />

ActiveMQ kann auch gegen einen<br />

LDAP-Server authentifizieren, der Einfachheit<br />

halber kommt in diesem Artikel<br />

jedoch lediglich ein lokaler Account in<br />

der Konfigurationsdatei des Servers zum<br />

Einsatz. Um einen Single-Point-of-Failure<br />

(SPoF) zu vermeiden, bietet der Server<br />

auch eine High-Availability-Konfiguration<br />

an, die unter [11] näher dokumentiert<br />

ist. Ein abschließendes »service activemq<br />

start« erweckt den Server zum Leben.Auf<br />

dem Management-System sind die bei-<br />

den Pakete »mcollective-client« und<br />

»mcollective-common« zu installieren.<br />

Ersteres enthält die Konfigurationsdatei<br />

»/etc/mcollective/client.cfg«<br />

(Listing 2) und ist für die Kommunikation<br />

mit der Middleware zuständig. Das<br />

zweite Paket stellt die Konfigurationsdatei<br />

»/etc/ mcollective/server.cfg« (Listing 3)<br />

bereit, über die MCollective Zugriff auf<br />

die einzelnen Server-Facts (Listing 4)<br />

erhält, sofern sie definiert sind. Sicherheitsbewusste<br />

Admins entfernen sensible<br />

Informationen aus der globalen<br />

Client-Konfigurationsdatei und legen<br />

stattdessen eine zusätzliche Konfigurationsdatei<br />

»~/.mcollective« auf dem<br />

Management-System an. Diese muss<br />

jedoch sämtliche Einstellungen aus der<br />

globalen Konfiguration enthalten. Für die<br />

Server-Konfigurationsdatei bietet es sich<br />

an, die Rechte entsprechend zu ändern,<br />

für die Client-Konfigurationsdatei ist dies<br />

leider nicht möglich.<br />

Listing 1: »/etc/activemq/activemq.xml«<br />

01 <br />

08<br />

09 <br />

10 <br />

11 <br />

12 <br />

13<br />

14 <br />

15 <br />

16 <br />

17 <br />

18 <br />

19 <br />

20 <br />

21 <br />

22 <br />

23 <br />

24 <br />

25 <br />

26 <br />

27 <br />

28 <br />

29 <br />

30 <br />

31 <br />

32 <br />

33 <br />

34 <br />

35 <br />

36<br />

37 <br />

38 <br />

39 <br />

40 <br />

41 <br />

42 <br />

43 <br />

44 <br />

45 <br />

46 <br />

47 <br />

48 <br />

49 <br />

50<br />

51 <br />

52 <br />

53 <br />

54 <br />

55 <br />

56 <br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

59


Know-How<br />

marionette Collective<br />

Abbildung 1: Eine Middleware sorgt für den schnellen Austausch von<br />

Nachrichten zwischen den einzelnen Knoten und einem Management-<br />

System.<br />

Auf den mit MColletive verwalteten<br />

Systemen sind ebenfalls die Pakete<br />

»mcollective-common« (stellt sozusagen<br />

die Server-Komponente des Frameworks<br />

zur Verfügung) und »mcollective« zu installieren.<br />

Die Server-Konfiguration ist<br />

dabei identisch mit der des Management-<br />

Systems, die Facts-Datei ist entsprechend<br />

Listing 2: »/etc/mcollective/client.cfg«<br />

01 # main config<br />

02 topicprefix = /topic/mcollective<br />

03 libdir = /usr/libexec/mcollective<br />

04 logfile = /dev/null<br />

05 loglevel = debug<br />

06 identity = rawhide.tuxgeek.de<br />

07<br />

08 # connector plugin config<br />

09 connector = stomp<br />

10 plugin.stomp.host = activemq.tuxgeek.de<br />

11 plugin.stomp.port = 6163<br />

12 plugin.stomp.user = unset<br />

13 plugin.stomp.password = unset<br />

14<br />

15 # security plugin config<br />

16 securityprovider = psk<br />

17 plugin.psk = foobar<br />

Listing 3: »/etc/mcollective/server.cfg«<br />

01 # main config<br />

02 topicprefix = /topic/mcollective<br />

03 libdir = /usr/libexec/mcollective<br />

04 logfile = /var/log/mcollective.log<br />

05 daemonize = 1<br />

06 keeplogs = 1<br />

07 max_log_size = 10240<br />

08 loglevel = debug<br />

09 identity = rawhide.tuxgeek.de<br />

10 registerinterval = 300<br />

11<br />

12 # connector plugin config<br />

13 connector = stomp<br />

01 # main config<br />

02 topicprefix = /topic/mcollective<br />

03 libdir = /usr/libexec/mcollective<br />

04 logfile = /dev/null<br />

05 loglevel = debug<br />

06 identity = rawhide.tuxgeek.de<br />

07<br />

08 # connector plugin config<br />

09 connector = stomp<br />

10 plugin.stomp.host = activemq.tuxgeek.de<br />

11 plugin.stomp.port = 6163<br />

12 plugin.stomp.user = unset<br />

13 plugin.stomp.password = unset<br />

14<br />

15 # security plugin config<br />

16 securityprovider = psk<br />

17 plugin.psk = foobar<br />

14 plugin.stomp.host = activemq.tuxgeek.de<br />

15 plugin.stomp.port = 6163<br />

16 plugin.stomp.user = mcollective<br />

17 plugin.stomp.password = marionette<br />

18<br />

19 # facts<br />

20 factsource = yaml<br />

21 plugin.yaml = /etc/mcollective/facts.yaml<br />

22<br />

23 # security plugin config<br />

24 securityprovider = psk<br />

25 plugin.psk = foobar<br />

anzupassen. Der Server<br />

startet schließlich nach<br />

dem Aufruf von »service<br />

mcollective start«. Um die<br />

Konfigurationsdatei sowie<br />

angepasste Facts-Dateien<br />

auf die einzelnen Systeme<br />

zu verteilen, bietet es sich<br />

an, ein Tool wie Puppet<br />

oder Cfengine zu verwenden.<br />

Auch ein Red-Hat-Satellite-<br />

oder Spacewalk-Server<br />

lassen sich für diesen<br />

Zweck einsetzen.<br />

Sind die ersten Systeme mit<br />

dem MCollective-Server installiert,<br />

kann der Admin<br />

erste Tests durchführen und überprüfen,<br />

ob die Kommunikation mit dem Messaging-System<br />

funktioniert (Listing 5). Die<br />

Tests finden dabei auf dem Management-<br />

System mithilfe des Tools »mco« statt,<br />

dem MCollective Controller.<br />

Durch das modulare Konzept von<br />

MCollective hat der Admin die Möglichkeit,<br />

auf den einzelnen Knoten diverse<br />

Agenten aufzurufen. Je nachdem, welche<br />

Aufgabe zu bewerkstelligen ist, kommen<br />

dabei unterschiedlichste Agenten zum<br />

Einsatz, die meistens eigene Client-Tools<br />

auf dem Management-System besitzen.<br />

MCollective bringt bereits einige Agenten<br />

mit, weitere stehen über die Community-<br />

Page [12] zum Download bereit.<br />

Beispielsweise gibt es auf dieser Seite das<br />

Plugin »mc-service«, das einen in Ruby<br />

geschriebenen Agenten »services.rb« zur<br />

Verfügung stellt, der auf den Nodes im<br />

Verzeichnis »$libdir/mcollective/agent«<br />

liegen muss. Das Verzeichnis »$libdir«<br />

ist dabei in der Datei »server.cfg« definiert.<br />

Die passende Client-Anwendung<br />

»mc-service« findet sich auf dem Management-System<br />

im Verzeichnis »/usr/local/<br />

bin/«. Listing 6 zeigt einen Probelauf mit<br />

»mc-service«.<br />

Eigene Agenten in Ruby<br />

Wer auf der Community-Seite von<br />

MCollective keinen passenden Agenten<br />

für seine Aufgaben findet, kann natürlich<br />

auch selbst neue Agenten mit passenden<br />

Clients entwickeln. Dafür sind nur paar<br />

rudimentäre Ruby-Kentnisse nötig, um<br />

alles Weitere kümmert sich das Simple-<br />

RPC-Framework, das die grundlegenden<br />

MCollective Client- und Server-Strukturen<br />

kapselt. Mit dem Tool »mc-call-agent«<br />

lassen sich selbst geschriebene Agenten<br />

testen, bevor man hierfür einen eigenen<br />

Client bereitstellt. Dies kann beim Entwickeln<br />

von komplexen Agenten sehr<br />

hilfreich sein. Unter [13] findet sich eine<br />

Anleitung zum Thema.<br />

Natürlich bietet MCollective auch umfassendes<br />

Reporting. Das geht bei einfachen<br />

Knoten-Statisken los und endet bei sehr<br />

detaillierten Auflistungen bestimmter Eigenschaften<br />

der einzelnen Systeme. Das<br />

Tool »mc-facts« zeigt beispielsweise Statistiken,<br />

basierend auf den Eigenschaften<br />

von Systemen, die in der Facts-Datei definiert<br />

sind. Auch der MCollective Controller<br />

»mco« bietet einige interessante<br />

Funktionen zum Reporting.<br />

Fazit<br />

MCollective ist ein sehr mächtiges Tool für<br />

die Verwaltung großer Server-Landschaften,<br />

wie sie insbesondere bei virtuellen<br />

60 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


und Cloud-Setups immer häufiger werden.<br />

Wer nur eine Handvoll Systeme zu<br />

betreuen hat, dem wird der Einrichtungsaufwand<br />

der einzelnen Knoten wohl zu<br />

hoch sein. Wer aber viele Systeme zu verwalten<br />

hat, lernt das modulare Konzept<br />

von MCollective und seinen Nutzen sehr<br />

schnell zu schätzen. Dank der Möglichkeit,<br />

eigene Agenten in das Framework zu<br />

integrieren und die gesamte Umgebung<br />

mit einem Konfigurationsmanagements-<br />

Tool der Wahl einzusetzen, lassen sich<br />

die Funktionen des Frameworks nahezu<br />

unbegrenzt erweitern. (ofr)<br />

n<br />

Infos:<br />

[1] Thorsten Scherf, Agiles System-Management<br />

in großen Systemlandschaften,<br />

<strong>ADMIN</strong> 02/ 2011, S. 16<br />

[2] MCollective Projektseite:<br />

[http://docs. puppetlabs.com/<br />

mcollective/]<br />

[3] Fabric Projektseite:<br />

[http://fabfile. org/]<br />

[4] Capistrano Projektseite:<br />

[http://www. capify.org/]<br />

[5] ActiveMQ Apache Projekt:<br />

[http://activemq. apache.org/]<br />

[6] RabbitMQ Projektseite:<br />

[http://www. rabbitmq.com/]<br />

[7] SimpleRPC-Agents:<br />

[http://docs. puppetlabs.com/mcollective/<br />

simplerpc/ agents. html]<br />

[8] Thomas Gelf, Konfigurationsverwaltung<br />

mit Puppet, <strong>ADMIN</strong> 06/2010<br />

[9] MCollective und ActiveMQ RPMs: [http://<br />

puppetlabs. com/ downloads/mcollective/]<br />

[10] EPEL-Software Repository: [http://<br />

download. fedora. redhat.com/pub/epel/5/<br />

i386/epel-release-5-4.noarch.rpm]<br />

[11] ActiveMQ HA-Setup: [http://www.devco.<br />

net/archives/ 2009/ 11/10/activemq_clustering.php]<br />

[12] MCollective Plugins:<br />

[http:// projects. puppetlabs. com/ projects/<br />

mcollective-plugins/wiki]<br />

[13] MCollective Writing Agents Howto:<br />

[http://docs. puppetlabs.com/mcollective/<br />

reference/ basic/ basic_agent_and_client.<br />

html]<br />

Der Autor<br />

Thorsten Scherf arbeitet als Senior Consultant<br />

für Red Hat EMEA. Er ist oft als Vortragender<br />

auf Konferenzen anzutreffen. Wenn ihm neben<br />

der Arbeit und Familie noch Zeit bleibt, nimmt<br />

er gerne an Marathonläufen teil.<br />

Listing 4: »/etc/mcollective/facts.yaml«<br />

01 ‐‐‐<br />

04 location: dus<br />

02 stage: prod<br />

05 type: web<br />

03 country: de<br />

Listing 5: Kommunikationstest<br />

01 # mco ping<br />

02 www1.virt.tuxgeek.de<br />

time=1195.07 ms<br />

03 ldap1.virt.tuxgeek.de<br />

time=1195.62 ms<br />

04 spacewalk.virt.tuxgeek.de<br />

time=1195.62 ms<br />

05 dirsec.virt.tuxgeek.de<br />

time=1195.62 ms<br />

06 ipa.virt.tuxgeek.de<br />

time=1195.62 ms<br />

07 cs1.virt.tuxgeek.de<br />

time=1195.62 ms<br />

08 cs2.virt.tuxgeek.de<br />

time=1195.62 ms<br />

09 [...]<br />

10<br />

11 # mco find ‐‐with‐fact type=web<br />

12 www1.virt.tuxgeek.de<br />

13 www2.virt.tuxgeek.de<br />

14 [...]<br />

Listing 6: Plugin »mc-service«<br />

01 # mc‐service ‐‐with‐id /www/ httpd<br />

status<br />

02 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<br />

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<br />

03 Hostname: www1.virt.tuxgeek.de<br />

Status: OK<br />

04 Message: httpd (pid 31117) is<br />

running...<br />

05<br />

06 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<br />

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<br />

07 Hostname: www2.virt.tuxgeek.de<br />

Status: OK<br />

08 Message: httpd (pid 23673) is<br />

running...<br />

09<br />

10 [...]<br />

11 Finished processing 40 / 40 hosts in<br />

842.11 ms


Mitbewerber auf der Strecke lassen:<br />

High Performance VoIP - Reselling.<br />

Ihr VoIP - Angebot: Von 0 auf 100<br />

Mit connectPlus starten Sie in Rekordzeit Ihr eigenes<br />

VoIP - Business. Legen Sie Kunden an und bestimmen Sie<br />

Ihren Gewinn durch eigene Tarifmodelle. Nutzen Sie dazu<br />

unser webbasiertes Admintool oder die outbox - API.<br />

Ihr Kraftstoff: Rufnummern + Features<br />

Vergeben Sie mit connectPlus Rufnummern aus allen<br />

5.204 Deutschen Vorwahlbereichen an Ihre Kunden und<br />

weisen Sie ihnen Features wie Fax 2 Mail, Voiceboxen oder<br />

callManager zu.<br />

Ihre Systeme: Leistung unter Kontrolle<br />

Als Profi nutzen Sie mit connectPlus auch Ihre eigenen<br />

Telefonieserver wie z.B. eine Asterisk - Anlage. So konfigurieren<br />

Sie Ihre Systeme nach eigenen Vorstellungen.<br />

175 Rufnummern gratis!<br />

* Bei Vertragsabschluss bis 15. 09. 2011 erhalten Sie 175 Rufnummern<br />

ohne Setup-Gebühr ; zzgl. Routingentgelte. Nur für Neukunden,<br />

die in den letzen sechs Monaten nicht Kunden der outbox AG waren.<br />

Aktionscode: AM411<br />

Jetzt mehr erfahren: www.outbox.de / admin


Jetzt noch Testangebot<br />

<strong>sichern</strong>!<br />

connectPlus<br />

connectPlus<br />

Wegen großer Nachfrage bis<br />

15. September 2011 verlängert:<br />

Test-Aktion mit über 970 €<br />

Preisvorteil!<br />

connectPlus ist das Komplettpaket für<br />

Ihren Schnellstart ins Telefonie - Business.<br />

Schaffen Sie eigene Tarife, bestimmen Sie<br />

Leistungen und Preise. Bieten Sie Ihren<br />

Kunden diesen Mehrwert und seien Sie<br />

Ihrer Konkurrenz voraus - per Mausklick!<br />

Fortlaufender Verdienst<br />

durch Telefonminuten und Grundgebühren.<br />

Sofort startklar<br />

durch die Nutzung unserer vorkonfigurierten<br />

VoIP - Server inkl. Online - Verwaltung.<br />

Infos und Beratung: 0800 / 66 474 640


KnOw-HOw<br />

datentausch<br />

elwynn, 123RF<br />

<strong>Daten</strong>austausch zwischen Windows 7 und Linux<br />

Brückenbau<br />

um daten zwischen windows und Linux auf demselben Rechner auszutauschen, gibt es mehrere wege. sie<br />

führen entweder über Open-source-Treiber für windows oder über Virtualisierungslösungen. Thomas Joos<br />

Administratoren und Anwender, die<br />

auf ihrem Computer parallel Linux und<br />

Windows 7 betreiben, wollen in den<br />

meisten Fällen auch <strong>Daten</strong> zwischen<br />

den Systemen austauschen. Auch der<br />

Zugriff von Linux-Rechnern auf Freigaben,<br />

zum Beispiel von Windows Server<br />

2008 R2, ist notwendig, wenn im Netzwerk<br />

Linux und Windows 7 parallel im<br />

Einsatz sind. Ein Ansatz dafür ist meistens<br />

der Einsatz von Samba. Es gibt aber<br />

auch Open-Source-Treiber für Windows<br />

7, die den Zugriff auf Linux-Partitionen<br />

ermöglichen. In den meisten Linux-Distributionen<br />

ist der Zugriff auf FAT32- und<br />

NTFS-Partitionen bereits standardmäßig<br />

integriert. Wer aber umgekehrt von Windows<br />

auf Linux-Partitionen zugreifen<br />

möchte, braucht Zusatztools, die dieser<br />

Artikel im Weiteren vorstellt.<br />

Wollen Sie von Ihrer Windows 7-Installation<br />

aus direkt auf Linux-Partitionen des<br />

Computers zugreifen, ist der einfachste<br />

Weg der kostenlose Linux-Reader von<br />

Disk Internals [1]. Nach der Installation<br />

navigieren Sie per Doppelklick in den Linux-Ordnern<br />

wie im normalen Explorer.<br />

Nach dem Start des Tools haben Anwender<br />

unter Windows die Möglichkeit, auf<br />

die Linux-Dateisysteme Ext2/ Ext3/ Ext4,<br />

HFS und ReiserFS zuzugreifen. Die Software<br />

ist kostenlos, ermöglicht allerdings<br />

nur das Lesen von Linux-Partitionen,<br />

schreiben kann sie nicht. Die Bedienung<br />

ist in englischer Sprache gehalten und<br />

funktioniert ähnlich wie im Windows-<br />

Explorer (Abbildung 1).<br />

Anders als beim Linux-Reader, der Laufwerke<br />

nur innerhalb der Tool-Oberfläche<br />

einbindet, lassen sich Linux-Partitionen<br />

auch als feste Laufwerke in Windows einbinden.<br />

So installieren die beiden Zusatztools<br />

Ext2IFS [2] und Ext2Fsd [3] eigene<br />

Treiber und binden die Linux-Partitionen<br />

wie Windows-Partitionen in den Explorer<br />

ein. Zunächst ist es wichtig, dass die<br />

entsprechenden Linux-Partitionen eine<br />

Inode-Größe von 128 Bytes haben. Hier<br />

verwenden aktuelle Distributionen leider<br />

oft mehr, in den meisten Fällen eine<br />

Größe von 256 Bytes. Mit einer größeren<br />

Anzahl kann das Tool Ext2IFS allerdings<br />

nicht umgehen.<br />

Wollen Sie sich die Inode-Größe des<br />

Dateisystems anzeigen lassen, geben Sie<br />

erst mit »fdisk -l« die Festplatten und<br />

Partitionen Ihres Systems aus, im Zweifelsfall<br />

mit Root-Rechten. Geben Sie den<br />

Befehl »sudo tune2fs -l /dev/sdaNummer<br />

| grep Inode« ein, um sich den Inode an-<br />

64 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


datentausch<br />

KnOw-HOw<br />

Neben der Möglichkeit, Linux parallel zu<br />

installieren und Tools für den <strong>Daten</strong>auszeigen<br />

zu lassen. In der Zeile »Inode size«<br />

steht die Größe der Partition (Abbildung<br />

2). Hat die Partition eine Inode-Größe<br />

von mehr als 128 Bytes, versagt das<br />

Tool Ext2IFS seinen Dienst. Stattdessen<br />

können Sie auf Ext2Fsd zurückgreifen.<br />

Hat die Partition eine Inode-Größe von<br />

128, finden Sie auf der Seite [4] eine<br />

Anleitung, wie Sie das Tool einbinden<br />

können.<br />

Repariert<br />

Testen Sie zuerst, ob der Zugriff auch<br />

bei aktivierter Benutzerkontensteuerung<br />

funktioniert. Laden Sie das Tool Ext2Fsd<br />

von der Seite [5] herunter und starten<br />

Sie die Exe-Datei. Aktivieren Sie die Aufgaben<br />

beim Fenster »Select Additional<br />

Tasks«. Dies ist notwendig, damit das<br />

Tool beim Systemstart automatisch laden<br />

kann. Nach der Installation startet der<br />

Ext2 Volume Manager. Diesen können<br />

Sie über seine Programmgruppe auch<br />

jederzeit nachträglich starten. Klicken<br />

Sie mit der rechten Maustaste die Linux-<br />

Partitionen an, die Sie einbinden wollen,<br />

und wählen Sie »Change Drive Letter«,<br />

falls der Partition noch kein Buchstabe<br />

zugewiesen wurde (Abbildung 3).<br />

Über die Schaltfläche »Add« fügen Sie<br />

einen Laufwerksbuchstaben hinzu. Im<br />

neuen Fenster aktivieren Sie für den<br />

Zugriff entweder das Kontrollkästchen<br />

»Automatic mount via MountMgr« oder<br />

»Create a permanent<br />

MountPoint via Session<br />

Manager«. Wenn Sie die<br />

Einstellungen mit »OK«<br />

bestätigt haben und den<br />

Windows-Explorer aufrufen,<br />

zeigt dieser das Linux-<br />

Laufwerk wie jedes andere<br />

Laufwerk an. Ist das Laufwerk<br />

noch nicht zu sehen,<br />

starten Sie den Computer<br />

neu. Sie können über den<br />

Volume Manager jederzeit<br />

den Laufwerksbuchstaben<br />

ändern oder Optionen anpassen.<br />

Haben Sie die Konfiguration korrekt vorgenommen,<br />

bleibt das Laufwerk auch<br />

nach dem Booten aktiv. Ist das nicht der<br />

Fall, deaktivieren Sie die Benutzerkontensteuerung<br />

in Windows 7. Ohne die<br />

Deaktivierung geht der Zugriff auf die<br />

Linux-Partitionen beim Neustart teilweise<br />

verloren. Geben Sie im Suchfeld<br />

des Startmenüs »wscui.cpl« ein, um das<br />

Wartungscenter zu öffnen. Klicken Sie<br />

auf »Einstellungen der Benutzerkontensteuerung<br />

ändern«, ziehen Sie den Regler<br />

ganz nach unten und bestätigen Sie<br />

mit »OK«. Starten Sie schließlich den<br />

Computer neu.<br />

Gemeinsame Ordner<br />

Abbildung 1: Von Windows auf Linux-Partitionen zugreifen mit Disk Internals Linux Reader.<br />

Abbildung 2: Anzeigen der Inode-Größe einer Linux-Partition.<br />

tausch zu verwenden, können Sie Linux<br />

auch als virtuelles System installieren,<br />

zum Beispiel in Virtualbox. In diesem Fall<br />

können Sie einen gemeinsamen Ordner<br />

festlegen, über den Sie im Linux-Gastsystem<br />

und dem Windows-Host-System <strong>Daten</strong><br />

austauschen. Der Vorteil bei diesem<br />

Betrieb ist, dass Windows parallel zum<br />

Linux-System läuft. So können Sie mit<br />

Administrationswerkzeugen in Windows<br />

7 arbeiten und parallel mit Linux.<br />

Der <strong>Daten</strong>austausch erfolgt dann mit<br />

Linux-Werkzeugen direkt im gestarteten<br />

Linux-System und im Windows-Explorer<br />

des Windows-Host-Systems. Dazu legen<br />

Sie auf dem Windows-7-Computer ein<br />

beliebiges Verzeichnis fest und konfigurieren<br />

es als gemeinsamen Ordner. Alle<br />

Dateien, die Sie in diesen Ordner kopieren,<br />

sind in beiden Computern verfügbar.<br />

Die folgenden Abschnitte gehen von einer<br />

virtuellen Linux-Maschine auf Basis von<br />

Ubuntu aus. Installieren Sie zunächst die<br />

Gasterweiterungen im Linux-System, die<br />

für den <strong>Daten</strong>austausch notwendig sind.<br />

Öffnen Sie dann über »Start | Anwendungen<br />

| System | Terminal« eine Eingabeaufforderung<br />

und geben Sie den Befehl<br />

»sudo apt-get install dkms« ein. Haben<br />

Sie das Sudo-Passwort eingegeben, installiert<br />

der Assistent die notwendigen Erweiterungen<br />

auf dem System. Starten Sie<br />

den virtuellen Computer neu und klicken<br />

Sie in der virtuellen Maschine auf »Geräte<br />

| Gemeinsame Ordner«. Fügen Sie<br />

einen neuen gemeinsamen Ordner hinzu,<br />

wählen Sie das Verzeichnis aus und geben<br />

Sie einen Namen an, zum Beispiel<br />

»temp«. Aktivieren Sie das Kontrollkästchen<br />

»Permanent erzeugen«. und klicken<br />

Sie zweimal auf »OK«, um den Ordner<br />

einzubinden (Abbildung 4). Öffnen Sie<br />

ein Terminal und wechseln Sie ins Home-<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

65


KnOw-HOw<br />

datentausch<br />

Abbildung 5: Eingeben der notwendigen <strong>Daten</strong> in »rc.local«.<br />

Abbildung 3: Zuweisen von Laufwerksbuchstaben für Linux-Partitionen.<br />

Verzeichnis. Legen Sie ein Verzeichnis<br />

an, zum Beispiel »windows-austausch«.<br />

Zeigen Sie sich mit »id« die ID des aktuellen<br />

Benutzerkontos an. Wichtig sind<br />

die UID und die GID, die Sie benötigen,<br />

um die Freigabe zu verbinden. Editieren<br />

Sie dann die Datei »rc.local« und geben<br />

Sie am Ende der Datei oberhalb des<br />

Befehls »exit« den folgenden Befehl ein<br />

(Abbildung 5):<br />

mount ‐t vboxsf ‐o rw,uid=UID,gid=GID U<br />

Name‐des‐gemeinsamen‐Ordners /home/U<br />

User/Ordner‐im‐Home‐Verzeichnis<br />

Wichtig ist, dass Sie den Namen des gemeinsamen<br />

Ordners, den Sie in Virtualbox<br />

festgelegt haben, mit dem neuen<br />

Verzeichnis verbinden, das Sie in Linux<br />

angelegt haben.<br />

Öffnen Sie in Linux den Datei-Manager<br />

und klicken Sie auf »Persönlicher Ordner«,<br />

sehen Sie das neue Verzeichnis.<br />

Funktioniert die Anbindung nicht, stellen<br />

Sie sicher, dass in der Datei »/etc/rc.local«<br />

die Namen, IDs und Bezeichnungen kor-<br />

rekt gesetzt sind.<br />

Wollen Sie<br />

von Linux aus<br />

auf Windows-<br />

Freigaben zugreifen,<br />

also<br />

nicht innerhalb<br />

des gleichen Computers, kann NFS<br />

in Windows Server 2008 R2 ein sinnvoller<br />

Weg sein. Das NFS ermöglicht<br />

Unternehmen, die Windows Server 2008<br />

R2 und Unix/ Linux-Systeme einsetzen,<br />

den <strong>Daten</strong>austausch. Bei NFS handelt<br />

es sich um eine Aktualisierung der<br />

Windows Services for Unix 3.5 [6].<br />

Wollen Sie NFS nutzen, können Sie<br />

diese Funktion im Server-Manager als<br />

Rollendienst für die Rolle Dateidienste<br />

installieren. Für den Zugriff auf Dateien<br />

auf NFS-Servern benötigt jeder<br />

Windows-Benutzer eine Identität im<br />

Unix-Format. Neu ist unter anderem,<br />

dass Active Directory-Objekte jetzt direkt<br />

für NFS genutzt werden können,<br />

Sie müssen keine zwei anlegen. NFS in<br />

Windows Server 2008 R2 unterstützt 64<br />

Bit und weist daher eine deutlich höhere<br />

Leistung auf. Microsoft hat in NFS<br />

im Vergleich zu den Windows Services<br />

for Unix 3.5 einige Neuerungen integriert.<br />

Die Unix Identity Management<br />

Active Directory Schema Extension<br />

enthält Unix User Identifier (UID) und<br />

Group Identifier (GID)-Felder, welche<br />

es den NFS-Clients ermöglichen, Unix-<br />

Identitätsinformationen direkt in Active<br />

Directory abzufragen. Die Performance<br />

und den Zugriff hat Microsoft erheblich<br />

verbessert. Mknod-Geräte unter Unix<br />

werden jetzt auch von NFS unterstützt.<br />

NFS besteht hauptsächlich aus drei Komponenten,<br />

um Unix-Systeme mit Windows<br />

Server 2008 R2 zu verbinden.<br />

n Identitätsverwaltung für Unix: Mit<br />

dieser Funktion können Benutzerkonten<br />

zwischen Windows- und Unix-<br />

Domänen assoziiert werden. Dadurch<br />

müssen sich Benutzer nicht mehr separat<br />

an den Windows-Systemen und<br />

an Unix anmelden, sondern es reicht<br />

entweder die Anmeldung an Windows<br />

oder an Unix.<br />

n Server für NFS: Mit dieser Funktion<br />

können Unix-Clients auf Freigaben<br />

von Windows-Servern zugreifen.<br />

n Client für NFS: Mit dieser Funktion<br />

wiederum können Windows-Clients<br />

auf Freigaben von Unix-Servern zugreifen.<br />

Für die Verwaltung von NFS gibt es die<br />

Verwaltungskonsole »Dienste für NFS«,<br />

die Sie über »Start | Verwaltung« starten<br />

können, sowie verschiedene Befehle für<br />

die Befehlszeile (Abbildung 6).<br />

Abbildung 4: Einbinden des erstellten gemeinsamen Ordners in<br />

die virtuelle Linux-Maschine.<br />

Tabelle 1: nFs-befehle unter windows<br />

Kommando Funktion<br />

Mapadmin Mit diesem Tool können Sie die Identitätsverwaltung für Unix (User-<br />

Mapping) konfigurieren, falls diese installiert ist.<br />

Mount Mit diesem Befehl werden NFS-Netzlaufwerke bereitgestellt.<br />

Nfsadmin Mit dem Tool verwalten Sie den Client und den Server für NFS<br />

Nfsshare Das Tool dient zur Verwaltung der NFS-Freigaben.<br />

Nfsstat Zeigt die Anzahl der Zugriffe auf den NFS-Server an oder setzt die<br />

Anzeige zurück.<br />

Showmount Zeigt die bereitgestellten Systeme an, die durch den Server für NFS<br />

exportiert wurden.<br />

Unmount Mit diesem Tool werden die über NFS bereitgestellten Laufwerke<br />

ausgehängt.<br />

66 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


datentausch<br />

KnOw-HOw<br />

Abbildung 6: Verwalten von NFS über das Snap-In.<br />

Die einzelnen Befehlszeilentools zur<br />

Verwaltung bieten auch eine ausführliche<br />

Hilfe über deren Syntax, die Sie<br />

über »Toolname/?« aufrufen können. Die<br />

wichtigsten Befehlszeilentools für NFS<br />

zeigt Tabelle 1.<br />

Identitätsverwaltung<br />

für Unix<br />

Die Identitätsverwaltung für Unix installieren<br />

Sie nicht durch die Installation<br />

der NFS-Dienste für den Rollendienst<br />

»Dateidienste«, sondern als zusätzlichen<br />

Rollendienst der Active-Directory-Domänendienste.<br />

Wollen Sie Kennwörter und<br />

Benutzerdaten zwischen Ihrer Windowsund<br />

Unix-Infrastruktur replizieren, sollten<br />

Sie daher diesen Rollendienst nachträglich<br />

installieren.<br />

Wenn er installiert ist, müssen Sie den<br />

Domänencontroller neu starten. Zur<br />

Verwaltung der Identitätsverwaltung<br />

für Unix steht in der Programmgruppe<br />

Verwaltung das neue Snap-In Microsoft<br />

Identity Management für Unix zur Verfügung.<br />

Rufen Sie die Eigenschaften der<br />

Identitätsverwaltung für Unix auf, um<br />

die Benutzerdaten des Unix-Systems zu<br />

konfigurieren, mit dem Sie Ihre <strong>Daten</strong><br />

replizieren wollen.<br />

Um die Server zu autorisieren, die auf den<br />

Dienst zugreifen, stellt dieser eine Textdatei<br />

mit der Bezeichnung ».maphosts«<br />

zur Verfügung, die sich im Verzeichnis<br />

»C:\Windows\msnfs« befindet und die<br />

Namen aller Systeme auflistet, die berechtigt<br />

sind, diesen Dienst abzufragen.<br />

Hier müssen Sie alle Server eintragen, die<br />

entweder als NFS-Server oder als NFS-<br />

Client fungieren. Starten Sie die Konsole,<br />

erscheint zunächst eine Fehlermeldung.<br />

Diese wird dadurch verursacht, dass der<br />

Systemdienst NIS-Server deaktiviert ist.<br />

Setzen Sie diesen Dienst auf »Automatisch«<br />

und starten Sie diesen, bevor Sie<br />

die Verwaltungskonsole starten. Der mit-<br />

www.A dmin-mAgA zin.de<br />

geliefert Server für NIS ermöglicht<br />

es dem Server, im Netz als<br />

sogenannter Master-Server für<br />

NIS zu arbeiten.<br />

Als Teil der Installationsroutine<br />

wird das Active-Directory-<br />

Schema so erweitert, dass Anwender-<br />

und Gruppendaten von<br />

NIS in Active Directory gespeichert<br />

werden können. Damit<br />

steht dem Administrator ein gemeinsames<br />

Tool zur Verwaltung von Windowsund<br />

Unix-Authentifizierungen und -Anmeldungen<br />

zur Verfügung.<br />

Nach der Installation der Identitätsverwaltung<br />

für Unix können Sie in den Eigenschaften<br />

von Benutzern und Gruppen<br />

über die Registerkarte »Unix-Attribute«<br />

<strong>Daten</strong> eintragen, die von Unix-Servern<br />

und -Clients abgefragt werden können.<br />

Durch diese Konfiguration können Sie<br />

Gruppen sowohl in Active Directory als<br />

auch auf den Unix-Computern pflegen.<br />

In den Eigenschaften der Benutzerkonten<br />

können Sie ebenfalls<br />

Unix-Attribute pflegen.<br />

Dadurch können<br />

Sie diese Benutzerkonten<br />

für die Anmeldung<br />

an Windows-PCs<br />

sowie über Unix verwenden.<br />

Klicken Sie mit der<br />

rechten Maustaste im<br />

Snap-In auf den Eintrag<br />

»Server für NIS«,<br />

können Sie die Einstellungen<br />

vornehmen,<br />

über die Sie <strong>Daten</strong><br />

zwischen Unix und<br />

Windows replizieren<br />

können. Über die Eigenschaften<br />

können<br />

Sie die <strong>Daten</strong> auswählen,<br />

die Sie zwischen<br />

Unix und Windows<br />

replizieren wollen.<br />

Für die Replikation benötigen<br />

Sie ebenfalls<br />

Replikationsdateien,<br />

die Sie vorher auf den<br />

Domänencontroller<br />

kopieren. Der Assistent<br />

kann auf diese<br />

<strong>Daten</strong> zugreifen, um<br />

die Replikation vorzunehmen.<br />

Um diese<br />

■<br />

Funktion nutzen zu können, müssen<br />

Sie in der NFS-Verwaltungskonsole die<br />

Eigenschaften des Knotens »Dienste«<br />

für NFS aufrufen. Hier lassen sich die<br />

Benutzerdaten hinterlegen, die zum<br />

<strong>Daten</strong>ausgleich zwischen Active Directory<br />

und der Unix-Umgebung verwendet<br />

werden. Hier können Sie auch einen Server<br />

angeben, der die Benutzerdaten von<br />

Unix synchronisiert. (ofr)<br />

n<br />

Infos<br />

[1] Linux-Reader: [http://www.diskinternals.<br />

com/download/ Linux_Reader.exe]<br />

[2] Ext2IFS: [http://www.fs-driver.or]<br />

[3] Ext2Fsd: [http://www.ext2fsd.com]<br />

[4] Mount Ext3 in Windows 7 x64:<br />

[http://www. robertbeal.com/528/<br />

mount-ext3-in-windows-7-x64]<br />

[5] Ext2-Treiber: [http://sourceforge.net/<br />

projects/ext2fsd]<br />

[6] Ken Hess, Telnet, NFS und SUA in Windows<br />

7 einrichten, <strong>ADMIN</strong> 03/ 2010, S. 110<br />

SIGS_admin_04_2011:SIGS_2_9_Seminar_JS_01_10.qxd 21.06.11 14:52 Sei<br />

mit eigenem<br />

Laptop<br />

KONTAKT: Anja Keß<br />

www.sigs-datacom.de<br />

Lindlaustraße 2c<br />

D-53842 Troisdorf<br />

Tel.: +49 (0) 22 41 / 23 41-201<br />

Fax: +49 (0) 22 41 / 23 41-199<br />

Email: anja.kess@sigs-datacom.de<br />

WISSENSVERMITTLUNG aus 1. Hand<br />

Best Practices für sichere Web-Anwendungen<br />

Sicherheitslücken in Webanwendungen<br />

erkennen, schließen und vermeiden<br />

Thomas Schreiber<br />

21. – 23. September 2011, München<br />

23. – 25. November 2011, München 1.990,- € zzgl. MwSt.<br />

■ Secure Coding mit Java EE<br />

Entwicklung einbruchssicherer Webanwendungen<br />

unter Java EE<br />

Mirko Richter<br />

26. – 27. September 201, München<br />

21. – 22. November 2011, München 1.590,- € zzgl. MwSt.<br />

■<br />

■<br />

mit eigenem<br />

Laptop<br />

mit eigenem<br />

Laptop<br />

SAML, WS-Security, XACML & Co.<br />

Sicherheit in einer WebService-Welt<br />

Jörg Bartholdt<br />

10. – 11. Oktober 2011, München 1.590,- € zzgl. MwSt.<br />

Die ultimative Ethical Hacking-Akademie<br />

Erfolgreiche Abwehr von Hacker-Angriffen<br />

und sicherer Schutz Ihres Netzwerks<br />

Klaus Dieter Wolfinger<br />

02. – 04. November 2011, Frankfurt 2.150,- € zzgl. MwSt.


KnOw-HOw<br />

Pacemaker<br />

Artem Merzlenko, 123RF<br />

HA-Serie, Teil 1: Grundlagen von Pacemaker und Co.<br />

Der Cluster­Leitstand<br />

Klassischerweise unterteilt sich das<br />

Cluster­Management in die beiden Komponenten<br />

Cluster Communication Management<br />

(CCM) und Cluster Resource<br />

Management (CRM). Für Linux steht mit<br />

Pacemaker ein reinrassiger Cluster Reunverzichtbarer<br />

bestandteil eines Hochverfügbarkeits-Clusters ist ein Cluster-manager, der im Problemfall weiß,<br />

was zu tun ist. mit Pacemaker liegt zum ersten mal überhaupt ein brauchbarer Cluster-manager für Linux auf der<br />

grundlage von Open source vor. martin Loschwitz<br />

Der Failover, also die Übernahme von<br />

Diensten eines havarierten Systems auf ein<br />

überlebendes, ist das wichtigste Prinzip<br />

eines Hochverfügbarkeits­Clusters. Damit<br />

der Failover funktioniert, benötigt man<br />

eine zentrale Software, die die Steuerung<br />

des Clusters übernimmt. Im Fachjargon<br />

heißt diese Software Cluster Manager. Ihre<br />

Hauptaufgabe ist es, alle Knoten eines<br />

Clusters auf Verfügbarkeit zu überprüfen.<br />

Darüber hinaus soll sie auch erkennen,<br />

wenn womöglich nur einzelne Programme<br />

auf einem ansonsten noch erreichbaren<br />

Knoten abgestürzt sind.<br />

Ressourcen-Management<br />

und Kommunikation<br />

source Manager zur Verfügung, der wahlweise<br />

mit den Cluster Communication<br />

Managern Corosync oder Heartbeat 3<br />

betrieben werden kann (siehe auch Kasten<br />

„Die Geschichte von Pacemaker“).<br />

Pacemaker empfängt im Zusammenspiel<br />

von Heartbeat oder Corosync Informationen<br />

über die zwei oder mehr Knoten,<br />

überwacht deren Ressourcen und greift<br />

im Falle eines Fehlers ein.<br />

Die Installation von Pacemaker fällt je<br />

nach Linux­Version unterschiedlich aus.<br />

Debian und Ubuntu liegen fertige Pakete<br />

bei. Wer RHEL 6 nutzt, braucht Red Hats<br />

HA­Addon; ganz ähnlich verhält es sich<br />

mit SLES: Auch hier ist der Erwerb der<br />

SUSE Linux High Availability Extension<br />

notwendig. Für andere Distributionen ist<br />

vermutlich Handarbeit angesagt. In allen<br />

Fällen heißt das Paket, das Pacemaker<br />

enthält, allerdings »pacemaker« – es installiert<br />

benötige Software gleich mit.<br />

Admins stehen zu Beginn der Installation<br />

vor der Entscheidung: Soll Pacemaker mit<br />

dem Heartbeat­3­CCM oder dem Corosync­CCM<br />

laufen? Im Alltag gibt es zwar<br />

kaum Funktionsunterschiede, doch beide<br />

Ansätze haben ihr Für und Wider.<br />

Soll eine Applikation zum Einsatz kommen,<br />

die den DLM, also den Distributed<br />

Locking Manager, verwendet, ist Corosync<br />

Pflicht, denn Heartbeat unterstützt<br />

die Kommunikation mit dem DLM nicht.<br />

Auch wer ein Cluster­Setup auf Grundlage<br />

von RHEL oder SLES mit dem entsprechenden<br />

HA­Addon konstruiert, kommt<br />

nicht an Corosync vorbei; denn hier ist<br />

Corosync die einzige offiziell unterstützte<br />

Lösung. Wer aber Ubuntu oder Debian<br />

nutzt, kann sich zwischen Heartbeat und<br />

Corosync entscheiden.<br />

Andere Gründe sprechen für Heartbeat:<br />

Es unterstützt seit jeher das Unicast­Protokoll<br />

für die Cluster­Kommunikation.<br />

Corosync kann das erst seit der aktuellen<br />

Version 1.3.0 – frühere Versionen kommunizierten<br />

nur per Multicast, was zu<br />

Naserümpfen bei Netzwerkern führt.<br />

68 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Pacemaker<br />

KnOw-HOw<br />

Abbildung 1: In den Ordnern »/etc/ha.d« und »/etc/corosync« sind die Konfigurationsdateien von Heartbeat<br />

und Corosync zu finden.<br />

Außerdem bietet Corosync keine Unterstützung<br />

für den automatischen Wiederaufbau<br />

des Kommunikationspfads zwischen<br />

zwei Knoten. Das Feature heißt<br />

Automatic Link Recovery und ist bei<br />

Heartbeat Standard. Corosync dagegen<br />

merkt nichts davon, wenn der Kommunikationspfad<br />

zwischen zwei Knoten ausfällt<br />

und später wieder in Gang kommt.<br />

Es bedarf händischer Intervention.<br />

Cluster-Praxis<br />

Grau ist alle Theorie – der beste Weg,<br />

um Pacemaker zu verstehen, besteht darin,<br />

mit ihm zu arbeiten. Das Konfigurationsbeispiel<br />

dieses Artikels dreht sich<br />

um einen Zwei­Knoten­Cluster. Zwar<br />

sind theoretisch bis zu 255 Knoten möglich,<br />

real dürfte die Grenze des Machbaren<br />

aber bei rund 40 liegen.<br />

Wenn man sich noch nicht für Corosync<br />

oder Heartbeat entschieden hat, ist diese<br />

Entscheidung jetzt fällig. Denn Pacemaker<br />

lässt sich nicht direkt von der Kommandozeile<br />

aus starten. Stattdessen handelt<br />

es sich bei ihm immer um ein Plugin,<br />

das entweder von Heartbeat oder von<br />

Corosync nachgeladen wird. Zuvor sind<br />

also immer Corosync oder eben Heartbeat<br />

zu installieren.<br />

Die Corosync-Konfiguration<br />

Alle großen Distributoren liefern bei ihren<br />

Corosync­Paketen die von den Autoren<br />

zur Verfügung gestellte Standard­Konfi­<br />

guration mit. Das ist vor allem deshalb<br />

sehr praktisch, weil darin nur eine einzige<br />

Zeile zu verändern ist, damit Corosync<br />

läuft. Corosyncs Konfigurationsdatei<br />

ist »/etc/corosync/corosync.conf« (Abbildung<br />

1); in der Standardversion dieser<br />

Datei findet sich ein einzelner Eintrag für<br />

einen Kommunikationsstring, der allerdings<br />

auf die Loopback­Adresse 127.0.0.1<br />

konfiguriert ist. Hinter »bindnetaddr« in<br />

diesem »interface«­Eintrag gehört die<br />

Adresse eines Netzwerkes, über das die<br />

beiden Clusterknoten miteinander reden.<br />

Ist die Änderung vollzogen, kopiert man<br />

die Datei auf den anderen Knoten. Im<br />

Anschluss erstellt »corosync­keygen« einen<br />

Authentifizierungsschlüssel in »/etc/<br />

corosync/authkey«, der ebenfalls auf den<br />

anderen Knoten zu kopieren ist. Danach<br />

genügt es, Corosync zu starten. Unter<br />

Debian oder Ubuntu ist gegebenenfalls<br />

vorher noch in der Datei »/etc/default/<br />

corosync« Corosync zu aktivieren.<br />

Übrigens: Wer einen zweiten Kommunikationsring<br />

verwenden will, kann einen<br />

»interface«­Eintrag nach dem Muster des<br />

bereits vorhandenen Absatzes hinzufügen,<br />

muss diesem aber eine entsprechend<br />

erhöhte »ringnumber« sowie eine andere<br />

Multicast­Adresse angeben. Außerdem<br />

ist in diesem Falle der Wert hinter »rrp_<br />

mode« auf »active« zu setzen.<br />

Heartbeat konfigurieren<br />

Wer statt Corosync lieber Heartbeat<br />

verwendet, bearbeitet für die Funktion<br />

des Cluster Communication Managers<br />

vor allem »ha.cf« in »/etc/ha.d«. Im<br />

Standard­Lieferumfang für Heartbeat<br />

fehlt diese Datei leider vollständig, sodass<br />

sie erst händisch anzulegen ist. Im Listing<br />

1 finden Sie ein vollständiges Beispiel.<br />

Die einzelnen Zeilen haben diese<br />

Funktionen:<br />

n »keepalive 2« sorgt dafür, dass Heartbeat<br />

alle 2 Sekunden alle anderen<br />

Cluster­Knoten anpingt und auf Antwort<br />

wartet. Kommt auf diese Pings<br />

keine Antwort, schreibt Heartbeat mit<br />

»warntime 20 « nach 20 Sekunden eine<br />

entsprechende Warnung ins Logfile.<br />

Nach 30 Sekunden erklärt Heartbeat<br />

einen Link zu einem Clusterknoten für<br />

tot, wenn »deadtime 30« gesetzt ist.<br />

n »initdead 30« legt fest, dass Heartbeat<br />

nach dem Programmstart bis zu 30<br />

Sekunden wartet, bis alle festgelegten<br />

Clusterknoten vorhanden sind.<br />

n »logfacility local0« legt die Syslog­Facility<br />

fest, die Meldungen von Heartbeat<br />

erhalten sollen.<br />

n »bcast ethx« sowie »mcast br0 ...« legen<br />

die Kommunikationspfade fest,<br />

die Heartbeat verwenden darf.<br />

n »node alice« und »node bob« definieren<br />

von vornherein, welche Knoten im<br />

Cluster vorhanden sind.<br />

n »autojoin none« verhindert, dass andere<br />

Clusterknoten automatisch in<br />

den Cluster­Verbund aufgenommen<br />

werden, ohne in der Konfigurationsdatei<br />

zu stehen.<br />

n »crm yes« aktiviert Pacemaker. An<br />

dieser Stelle könnte auch »crm respawn«<br />

stehen. Der Unterschied zwischen<br />

»yes« und »respawn« ist, dass<br />

bei Ersterem Heartbeat einen Reboot<br />

des Servers initiiert, falls »crmd« unerwartet<br />

abstürzt. Mit »respawn« wird<br />

Pacemaker einfach neu gestartet.<br />

Listing 1: exemplarische »ha.cf«<br />

01 keepalive 2<br />

02 warntime 20<br />

03 deadtime 30<br />

04 initdead 30<br />

05 logfacility local0<br />

06 bcast ethx<br />

07 mcast br0 225.0.0.41 694 1 1<br />

08 node alice<br />

09 node bob<br />

10 autojoin none<br />

11 crm yes<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

69


KnOw-HOw<br />

Pacemaker<br />

Abbildung 2: Pacemaker startet eine Applikation via Cluster Resource Manager, Local Resource Manager und<br />

Resource Agent.<br />

Auch Heartbeat wünscht sich einen Authentifizierungsschlüssel,<br />

um sich bei<br />

den anderen Clusterknoten vorstellen zu<br />

können. Der Schlüssel liegt in »/etc/ha.d/<br />

authkeys«, bei Heartbeat gibt es aber kein<br />

Werkzeug, das diese Datei anlegt. Ein<br />

Beispiel – alle Teile mit Ausnahme von<br />

foobar sind zu übernehmen – könnte so<br />

aussehen:<br />

auth 2<br />

2 sha1 foobar<br />

Ist »authkeys« an ihrem angestammten<br />

Platz, startet »/etc/init.d/heartbeat«<br />

Heartbeat sowie Pacemaker. Ob Pacemaker<br />

läuft, ist mit der obigen Konfiguration<br />

nach ungefähr einer Minute daran zu<br />

erkennen, dass »crm_mon ­1 ­rf« beide<br />

Clusterknoten als »online« sieht.<br />

Kommunikationspfade<br />

Ein abschließendes Wort zur Cluster­<br />

Konfiguration – grundsätzlich gilt: Die<br />

Knoten eines Clusters sollten redundant<br />

miteinander kommunizieren können,<br />

also mindestens zwei voneinander unabhängige<br />

Kommunikationspfade zur<br />

Verfügung haben. Falls ein Kommunikationspfad<br />

stirbt, steht der andere noch<br />

immer zur Verfügung. Sowohl Heartbeat<br />

als auch Corosync unterstützen Setups<br />

mit zwei Kommunikationspfaden. Achten<br />

Sie darauf, dass bei mindestens einem<br />

Kommunikationspfad eine direkte Verbindung<br />

zwischen den zwei Clusterknoten<br />

existiert – also eine, die nicht durch<br />

Switches geht. Wenn DRBD im Cluster<br />

zum Einsatz kommt, kann der zweite<br />

Pfad auch einen eventuellen Back­to­<br />

Back­Link verwenden.<br />

Ressourcen<br />

Zentral ist im Pacemaker­Kontext der Begriff<br />

der Ressource. Er wird einem im<br />

Cluster­Kontext immer wieder begegnen.<br />

Er meint nichts anderes als einen Dienst,<br />

der von Pacemaker verwaltet wird. Es<br />

kann sich also um eine DRBD­Ressource<br />

handeln, um eine MySQL­Instanz oder<br />

auch um eine IP­Adresse.<br />

Pacemaker selbst ist der Ressourcen­<br />

Manager – aber wie wickelt er das Management<br />

von Ressourcen eigentlich ab?<br />

Wenn Pacemaker den Dienst MySQL<br />

starten soll, ruft das Programm nicht<br />

»/usr/sbin/mysqld« mit den passenden<br />

Parametern auf. Stattdessen bedient er<br />

sich einer eigenen Shell­basierten API.<br />

Außerdem verwendet Pacemaker einige<br />

Wasserträger, die ihm das Starten und<br />

Stoppen von Ressourcen abnehmen. Die<br />

Abbildung 2 zeigt, wie Dienste von Pacemaker<br />

gestartet werden.<br />

Pacemaker, der – einmal gestartet – in der<br />

Prozess­Tabelle als »crmd« erscheint, läuft<br />

auf jedem Clusterknoten. Zusätzlich dazu<br />

läuft ebenso auf jedem Clusterknoten der<br />

Dienst »lrmd«, der »Local Resource Management<br />

Daemon«. Die einzige Aufgabe<br />

des LRMDs ist es, Befehle von Pacemaker<br />

auf der einen Seite entgegenzunehmen<br />

und im Anschluss Shell­Skripte aufzurufen,<br />

um den von Pacemaker gewünschten<br />

Vorgang durchzuführen.<br />

Diese Shell­Skripte nennen sich im<br />

Cluster­Jargon »Resource Agents«. Sie<br />

sind dafür verantwortlich, das passende<br />

Binary mit den konfigurierten Parametern<br />

aufzurufen. Pacemaker unterstützt<br />

momentan drei Arten eben dieser Resource<br />

Agents: Zum einen Heartbeat­<br />

1­kompatible Agents, die allerdings als<br />

veraltet gelten, außerdem unterstützt es<br />

LSB­Agents, die gemeinhin auch als Init<br />

Scripts bezeichnet werden und schließlich<br />

gibt es noch die Königsklasse der<br />

Resource Agents: OCF­basierte Agents<br />

(Abbildung 3). Sie verwenden einen<br />

eigenen Standard, der speziell für die<br />

Benutzung im Cluster gestaltet worden<br />

ist. Grundsätzlich gilt: Damit ein Skript in<br />

Pacemaker als Resource­Agent eingesetzt<br />

werden kann, muss es mindestens die<br />

Parameter »start«, »stop« und »monitor«<br />

kennen. Vorsicht ist auf Debian­Systemen<br />

geboten, denn viele Init­Skripte bei Debian<br />

kennen das »monitor«­Argument<br />

nicht.<br />

OCF­Resource­Agents weisen im Gegensatz<br />

zu den beiden anderen Gruppen eine<br />

Besonderheit auf, denn sie gehören jeweils<br />

zu einem eigenen »Provider«, sind<br />

also nochmals in Gruppen aufgeteilt. Der<br />

DRBD­Resource­Agent kommt vom Provider<br />

»linbit«, der Resource­Agent für das<br />

Mounten von Dateisystemen kommt vom<br />

Anbieter »heartbeat«. Die Anbieter der<br />

Abbildung 3: Die OCF-Resource-Agents liegen typischerweise im Ordner »/usr/lib/ocf/resource.d/Provider«.<br />

70 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Pacemaker<br />

KnOw-HOw<br />

am häufigsten genutzten Resource Agents<br />

werden schnell geläufig. Und das ist gut<br />

so – wer regelmäßig Pacemaker­Cluster<br />

administriert, sollte sich jedenfalls die<br />

Namen der drei Kategorien sowie die Bezeichnung<br />

der wichtigsten OCF Resource<br />

Agents sehr gut merken.<br />

Grundlegende Konfiguration<br />

Bisher waren die Konfigurationsdateien<br />

»corosync.conf« oder »ha.cf« Gegenstand<br />

des Artikels – je nachdem, welcher CCM<br />

zum Einsatz kommt. Aber bei diesen Dateien<br />

handelt es sich eben nicht um die<br />

Konfigurationsdateien von Pacemaker.<br />

Pacemaker hat seine eigene Konfiguration,<br />

die allerdings nicht als Datei auf<br />

der Festplatte liegt, sondern intern von<br />

Pacemaker verwaltet wird. Es handelt<br />

sich um eine Datei im XML­Format – im<br />

Fachjargon heißt sie CIB, das steht für<br />

Cluster Information Base. Aus der CIB<br />

bezieht Pacemaker seine Informationen<br />

darüber, wie er sich verhalten soll. Das<br />

gilt für den Umgang mit Ressourcen genauso<br />

wie für die Konfiguration, die das<br />

Verhalten von Pacemaker im gesamten<br />

Cluster­Kontext beschreibt (hierfür gibt<br />

es in der CIB die sogenannten »property«­<br />

Flags). Handelt es sich um einen Cluster<br />

mit zwei Knoten, sind in den »property«­<br />

Flags von Pacemaker mindestens zwei<br />

Parameter zu setzen, um unerwünschtes<br />

Verhalten zu verhindern. Und das Setzen<br />

eben dieser Property­Flags ist die erste<br />

Gelegenheit, sich mit der CRM­Shell vertraut<br />

zu machen.<br />

Die CRM-Shell<br />

Wer die Konfiguration von Heartbeat 2<br />

noch in schaudernder Erinnerung hat,<br />

wird von der CRM­Shell begeistert sein.<br />

Denn sie bietet zum ersten Mal in der<br />

Linux­HA­Geschichte die Möglichkeit,<br />

den Cluster­Manager mit einem überaus<br />

flexiblen und komfortablem Tool von der<br />

Kommandozeile aus zu administrieren.<br />

Ein »crm« auf der Kommandozeile genügt,<br />

um auf die CRM­Shell zu gelangen.<br />

Zu jedem Zeitpunkt zeigt »help« einen<br />

ausführlichen Hilfetext mit den möglichen<br />

Kommandos an. Die CRM­Shell ist<br />

in ein Hauptmenü und diverse Untermenüs<br />

aufgeteilt. Cluster­Admins werden<br />

im Normalfall die Menüs »configure« und<br />

Abbildung 4: »crm_mon« zeigt, was los ist – auf diesem Cluster ist einiges im Argen.<br />

»resource« bemühen, gelegentlich auch<br />

»node«. Übrigens: Die CRM­Shell ist auch<br />

skriptbar.<br />

Stonith und das Quorum<br />

Ein Zwei­Knoten­Cluster wie im Beispiel<br />

leidet unter einem Problem, das sich auf<br />

das sogenannte Quorum bezieht. Das<br />

Quorum im Cluster­Kontext ist die Zahl<br />

der Clusterknoten, die mindestens vorhanden<br />

sein müssen, damit der Cluster­<br />

Manager den Cluster für funktional hält.<br />

Im Normalfall existieren zwei Knoten,<br />

und ein Quorum ist gegeben. Fällt allerdings<br />

ein Knoten aus, wäre kein Quorum<br />

mehr da. Pacemaker würde in der Standardkonfiguration<br />

alle Ressourcen anhalten<br />

und auf ein neues Quorum warten.<br />

Der Effekt ist freilich ungewollt. Deshalb<br />

gilt es, bei einem frischen Pacemaker­<br />

Cluster diesen Effekt abzustellen.<br />

Ein entsprechender »property«­Eintrag<br />

existiert; er heißt »no­quorum­policy«.<br />

Der nötige Wert ist »ignore«. Er lässt sich<br />

mithilfe der CRM­Shell setzen: Mittels<br />

»crm configure« landet man direkt im<br />

Konfigurationsmodul von Pacemaker; der<br />

passende Befehl lautet danach » property<br />

no­quorum­policy="ignore"«. Übrigens:<br />

Die CRM­Shell unterstützt die automatische<br />

Komplettierung mittels [TAB] – hinter<br />

»no­quorum­policy=« hätte die CRM­<br />

Shell mit [TAB] beispielsweise alle möglichen<br />

Parameter aufgelistet, die für diesen<br />

Konfigurationswert vorhanden sind.<br />

Für das Beispiel ist eine zweite Konfigurationsänderung<br />

notwendig, die sich<br />

auf STONITH bezieht. STONITH heißt<br />

»Shoot The Other Node In The Head«; es<br />

handelt sich um einen Fencing­Mechanismus,<br />

der es Pacemaker auf einem Knoten<br />

des Clusters erlaubt, den anderen Knoten<br />

neu zu starten, sollte dieser Probleme<br />

Abbildung 5: Mittels des Werkzeugs »cl_status« erfährt man mehr über seinen Cluster – vorausgesetzt,<br />

dieser nutzt Heartbeat.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

71


KnOw-HOw<br />

Pacemaker<br />

Grundsätzlich ist Pacemaker jetzt einsatzbereit<br />

– Gelegenheit, die erste Ressource in<br />

die Clusterkonfiguration zu übernehmen.<br />

Einzelne Ressourcen sind in Pacemaker<br />

stets »primitive«­Ressourcen; der Befehl,<br />

um sie in die CIB einzubauen, heißt geverursachen.<br />

STONITH ist insbesondere<br />

im Kontext von <strong>Daten</strong>sicherheit wichtig,<br />

weil sie verhindert, dass mehrere Knoten<br />

zeitgleich zum Beispiel dieselben Platten<br />

mounten. Dafür wird das konkurrierende<br />

System gewaltsam angehalten,<br />

Die Technik wird üblicherweise mittels<br />

IPMI­ oder ILO­Karten realisiert; aber<br />

auch andere Varianten existieren. In einem<br />

2­Knoten­Cluster ist STONITH nicht<br />

zwingend notwendig – gerade dann nicht,<br />

die geschichte von Pacemaker<br />

Wenn Sie sich schon mit dem Thema Cluster-<br />

Management unter Linux auseinandergesetzt<br />

haben, sind Ihnen vermutlich diverse Begriffe<br />

begegnet. Heartbeat, Pacemaker, Corosync,<br />

OpenAIS – Einsteigern fällt es oft schwer, zwischen<br />

den einzelnen Lösungen zu unterscheiden<br />

(Abbildung 6). Welche Komponente beherrscht<br />

welche Funktionen? Der folgende historische<br />

Abriss gibt einen Überblick über die wichtigsten<br />

Stationen von HA-Lösungen unter Linux.<br />

Grundsätzlich gilt: Linux hinkte sehr lange hinter<br />

anderen Systemen her, wenn es um das Thema<br />

Clustering ging. So steht beispielsweise Suns<br />

Cluster Suite für Solaris seit über 15 Jahren zur<br />

Verfügung. Andere Cluster-Manager wie Veritas<br />

haben eine ähnlich lange Versionsgeschichte.<br />

Linux hingegen konnte erst 1998 zum ersten<br />

Mal auf so etwas Ähnliches wie einen Cluster-<br />

Manager zurückgreifen: Heartbeat 1. Ursprünglich<br />

kam die Initiative von Alan Robertson, einem<br />

IBM-Entwickler. Dieser hatte sich bereits mit<br />

dem Thema Clustering beschäftigt und eine beachtliche<br />

Sammlung von Shellscripts verfasst.<br />

Für Heartbeat 1 fügte er diese zu einem Paket<br />

zusammen und schrieb einige Zeilen C-Code<br />

dazu, der diese Scripts in passender Reihenfolge<br />

aufrief und dafür sorgte, dass die Clusterknoten<br />

miteinander kommunizieren konnten.<br />

Heartbeat 1 und langer Stillstand<br />

Heartbeat 1 war allerdings in vielerlei Hinsicht<br />

sehr beschränkt. Zum einen war die im<br />

Artikel angesprochene Trennung zwischen<br />

den zwei Cluster-Komponenten – Ressourcen-<br />

Management und Cluster-Kommunikation – bei<br />

Heartbeat 1 auf Code-Ebene nicht umgesetzt.<br />

Stattdessen war die erste Heartbeat-Version<br />

ein großer monolithischer Code-Block. Auch<br />

im Hinblick auf die unterstützten Features war<br />

Heartbeat 1 als Lösung für Cluster-Management<br />

im Enterprise-Einsatz praktisch uninteressant.<br />

Denn es merkte zwar, wenn einer der vorhandenen<br />

Cluster-Knoten ausfiel, und konnte einen<br />

Failover initiieren. Ging dabei aber etwas schief,<br />

dann stoppte der Cluster-Manager alle Cluster-<br />

Ressourcen, und ein Eingreifen des Administrators<br />

war unvermeidlich. Außerdem fehlten<br />

überaus <strong>wichtige</strong> Features wie die Möglichkeit,<br />

wenn die Cluster­Knoten mehrere und<br />

voneinander unabhängige Kommunikationspfade<br />

haben. Im Beispiel bleibt es<br />

daher deaktiviert. Das geht mit »property<br />

stonith­enabled="false"« – ebenfalls im<br />

»configure«­Menü der CRM­Shell.<br />

Die Änderung der Quorum­Policy sowie<br />

der STONITH­Funktion sind schließlich<br />

in den Cluster­Manager mittels »commit«<br />

zu übermitteln – das gilt für alle Änderungen,<br />

die wie beschrieben im »crm<br />

einen Dienst innerhalb des Clusters zu überprüfen<br />

(Monitoring) und ihn neu zu starten, sollte<br />

er abgestürzt sein.<br />

Red Hat war an Heartbeat 1 übrigens überhaupt<br />

nicht beteiligt; die Red Hat Cluster Suite, die bis<br />

heute Bestandteil von Red Hat Enterprise Linux<br />

ist, lag in Alpha-Versionen bereits 1996 vor und<br />

wurde seither konsequent weiterentwickelt.<br />

Die technischen Unzulänglichkeiten von Heartbeat<br />

1 glich später in den Augen vieler Admins<br />

ein neues Heartbeat 2 aus. Das kam allerdings<br />

erst 2005. Denn besonders dadurch, dass es<br />

immer wieder zu Meinungsverschiedenheiten<br />

zwischen Robertson und der Linux-HA Community<br />

kam, war es schwierig, einen gemeinsamen<br />

Nenner zu finden. Heartbeat 2 war letztlich in einer<br />

Art feindlicher Übernahme zu großen Teilen<br />

von Mitgliedern der HA-Community erarbeitet<br />

worden, Robertson spielte bei der Entwicklung<br />

letztendlich nur noch eine Nebenrolle.<br />

Heartbeat 2 – alt beim Erscheinen<br />

Heartbeat 2 räumte zwar einige der Probleme<br />

aus, die Heartbeat 1 das Leben schwer gemacht<br />

hatten. Denn Heartbeat 2 führte die Trennung<br />

von Ressourcen- und Kommunikationsmanagement<br />

auf Code-Ebene ein und hatte erstmals<br />

Enterprise-Funktionen wie das Überwachen von<br />

Diensten. Das vermag aber nicht darüber hinwegzutäuschen,<br />

dass Heartbeat 2 bei seinem<br />

Erscheinen bereits veraltet war. Denn in den<br />

6 Jahren zwischen den beiden Releases war in<br />

Sachen Hochverfügbarkeit einiges fernab von<br />

Linux-HA passiert.<br />

Bereits 2001 hatte sich das Service Availability<br />

Forum gegründet, ein Industrie-Konsortium<br />

verschiedener großer Anbieter, das einen grundlegenden<br />

Standard für die Kommunikation in<br />

Multi-Node-Clustern schaffen wollte. Die erste<br />

Definition dieses Standards lag 2003 vor, gemeint<br />

ist die »Application Interface Specification«,<br />

kurz »AIS«.<br />

Außerdem hatte Novell Ende 2003 den deutschen<br />

Linux-Distributor SUSE gekauft und wollte<br />

SUSE-Linux als Enterprise-Produkt in seine eigene<br />

Produktpalette einbauen. Schlagartig war<br />

damit auch bei SUSE ein sehr großes Interesse<br />

an HA-Diensten entstanden.<br />

configure«­Menü der Shell ausgeführt<br />

werden.<br />

Die erste Ressource<br />

Zunächst lag nach der Veröffentlichung des AIS-<br />

Standards aber der Ball bei Red Hat. Red Hat<br />

stellte einen Entwickler ab, der den nunmehr<br />

verfügbaren Standard auf Code-Ebene umsetzen<br />

sollte. 2005 erschien die erste freie Implementierung<br />

von AIS, die auf den Namen »OpenAIS«<br />

hört. Schon damals war das Ziel, die Red Hat<br />

Cluster Suite auf den neuen Standard umzurüsten.<br />

Schließlich ergriff Novell die Initiative: Mit<br />

Heartbeat 2 hatte man einen Cluster-Manager,<br />

der mittlerweile im Enterprise-Umfeld zu gebrauchen<br />

war. Obendrein war Heartbeat 2 auf<br />

Code-Ebene sinnvoll zu trennen – der Cluster<br />

Resource Manager und der Cluster Communication<br />

Manager waren separate Teile und leicht<br />

voneinander abzukoppeln. Das Unternehmen<br />

gab dem Australier Andrew Beekhof den Auftrag,<br />

den CRM aus Heartbeat 2 auf OpenAIS<br />

lauffähig zu machen. Das Resultat dieser Arbeit<br />

ist Pacemaker.<br />

Aus OpenAIS wird Corosync<br />

Durchaus bemerkenswert ist, dass Beekhof<br />

Pacemaker von Anfang an so konzipiert hat, dass<br />

er auch heute noch mit dem Cluster Communication<br />

Manager von Heartbeat 2 arbeiten kann.<br />

Dieser firmiert mittlerweile als Heartbeat 3. Bei<br />

Heartbeat 3 handelt es sich also nicht mehr um<br />

einen vollständigen Cluster-Manager.<br />

Die letzte Wendung der Geschichte vom Clustering<br />

unter Linux wurde von Red Hat im Jahre<br />

2007 initiiert, hat aber eher geringe Auswirkungen:<br />

Der Distributor beschloss, dass ihm OpenAIS<br />

als einzelnes Projekt zu groß ist, und spaltete<br />

OpenAIS nochmals auf – aus dem Projekt wurden<br />

die Komponenten, die sich ausschließlich mit<br />

der Cluster-Kommunikation beschäftigen, in ein<br />

eigenes Projekt namens Corosync ausgelagert.<br />

Als Ironie der Geschichte muss gelten, dass die<br />

übrigen Teile von OpenAIS nicht mehr weiterentwickelt<br />

werden – OpenAIS ist praktisch tot.<br />

Damit steht fest: Wer gegenwärtig mit Linux-<br />

Systemen einen Cluster konstruieren möchte,<br />

nimmt dafür eine Kombination aus Pacemaker<br />

(Cluster Resource Manager) und entweder Corosync<br />

oder Heartbeat (Cluster Communication<br />

Manager).<br />

72 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


Pacemaker<br />

KnOw-HOw<br />

nauso und gehört zum »configure«­Menü<br />

der CRM­Shell. Er kennt verschiedene<br />

Parameter und Optionen. Grundsätzlich<br />

hat er folgende Syntax:<br />

primitive Name_der_Ressource RA‐KlasseU<br />

[:Provider]: Name‐des‐RA params Parameter<br />

n Name der Ressource ist eine frei wählbare<br />

Zeichenkette. Die komplette Bezeichnung<br />

des Ressource­Agents mag<br />

umständlich wirken, ist aber notwendig,<br />

um OCF­Agents entsprechend abbilden<br />

zu können.<br />

n RA­Klasse kann derzeit entsprechend<br />

der Erklärung weiter oben entweder<br />

»heartbeat«, »lsb« oder »ocf« sein.<br />

n Provider kommt nur bei OCF­Agents<br />

zum Einsatz und bezeichnet den Provider,<br />

der zu einem OCF­Agent gehört<br />

– die eckigen Klammern sind in diesem<br />

Falle wegzulassen.<br />

n Name des RA ist selbsterklärend.<br />

n Das Schlüsselwort »params« legt Parameter<br />

fest, die sich auf die Konfiguration<br />

des Resource Agents beziehen.<br />

[Tab] führt zu einer Übersicht aller Parameter,<br />

die der jeweilige Ressource­Agent<br />

unterstützt. Auch bei der Angabe des RAs<br />

ist es übrigens für jedes der drei Felder<br />

möglich, sich mit [Tab] eine Liste aller<br />

verfügbaren Einträge anzeigen zu lassen.<br />

Das hilft, falls der Name eines RAs nicht<br />

oder nur ungefähr bekannt ist.<br />

Ein praktisches Beispiel: Pacemaker<br />

soll sich um die Verwaltung einer IP­<br />

Adresse kümmern. Der entsprechende<br />

Ressource­Agent dafür heißt »IPaddr2«;<br />

er ist ein OCF­Resource Agent vom Provider<br />

»heartbeat« und benötigt mindestens<br />

zwei Parameter – die eigentliche<br />

IP­Adresse und die Netmask dieser IP.<br />

Die passende Konfigurationszeile Zeile<br />

könnte so aussehen:<br />

primitive p_ip1 ocf:heartbeat:IPaddr2 U<br />

params ip=192.168.0.10 cidr_netmask=24<br />

Diese Konfigurationszeile führt dazu,<br />

dass Pacemaker im Falle eines Failovers<br />

die IP auf dem jeweils verbliebenen<br />

Cluster­Knoten mit genau diesen<br />

Parametern starten würde. Noch nicht<br />

abgedeckt ist im Beispiel die Situation,<br />

dass die IP­Adresse aus irgendwelchen<br />

Gründen von dem System, auf dem sie<br />

läuft, verschwindet. Es ist deshalb notwendig,<br />

die Ressource­Definition um eine<br />

»Operation« zu erweitern – nämlich um<br />

Abbildung 6: Wie aus Heartbeat 1 Pacemaker wurde: Die Grafik gibt einen Überblick über rund elf Jahre<br />

Entwicklungsarbeit.<br />

eine Monitoring­Operation. In Ressource­<br />

Definitionen leiten sich Operationen mit<br />

dem Schlüsselwort »op« ein. Anders als<br />

bei den Parametern, wo nur einmal »params«<br />

steht, ist jede Operation mit »op«<br />

einzuleiten. Um dafür zu sorgen, dass<br />

Pacemaker in einem Interval von 15 Sekunden<br />

überprüft, ob die IP noch existiert,<br />

reicht es, am Ende der Zeile oben<br />

»op monitor interval=15s« einzufügen.<br />

Das sorgt für Ressourcen­Monitoring.<br />

Nach dem Hinzufügen einer Primitive­<br />

Ressource schaltet Pacemaker die neue<br />

Konfiguration durch »commit« scharf.<br />

Statusinformationen über den Cluster<br />

sind für den Administrator wichtig. Mit<br />

»crm_mon« (Abbildung 4) steht ein<br />

Werkzeug zur Verfügung, um sich schnell<br />

einen Überblick über den Zustand des<br />

Systems zu verschaffen (Abbildung 5).<br />

»crm_mon ­1« zeigt den gegenwärtigen<br />

Zustand an und beendet sich danach wieder.<br />

Dagegen führt »crm_mon« zu einer<br />

Cluster­Konsole, die jeder neue Event<br />

aktualisiert. Erweitert um die Parameter<br />

»­rf« zeigt der CRM­Monitor auch Fehler<br />

sowie deaktivierte Ressourcen an.<br />

Im Cluster aufräumen<br />

So wichtig wie das Hinzufügen von Ressourcen<br />

ist das Aufräumen des Clusters,<br />

wenn beim Hinzufügen etwas schiefgegangen<br />

ist. Wenn nämlich schon der erste<br />

Start einer Ressource auf einem Knoten<br />

fehlschlägt, unternimmt Pacemaker keine<br />

weiteren Versuche. Dann ist es nötig, die<br />

jeweilige Ressource mittels »crm resource<br />

cleanup Name« von der Shell aus aufzuräumen.<br />

Pacemaker setzt dann den<br />

»failcount« auf »0«, vergisst also quasi,<br />

dass die Ressource nicht gestartet werden<br />

konnte. Ob das Aufräumen funktioniert<br />

hat, ist wiederum mittels »crm_mon ­rf«<br />

herauszufinden.<br />

Was kommt<br />

Dieser einleitende Artikel kratzte nur an<br />

der Oberfläche dessen, was Pacemaker<br />

leisten kann. Die nächsten Teile der HA­<br />

Serie beschäftigen sich mit der Integration<br />

von DRBD­Ressourcen in Pacemaker<br />

und mit Abhängigkeiten zwischen einzelnen<br />

Ressourcen. Der dritte Artikel wird<br />

die Schaffung eines hochverfügbaren<br />

MySQL­Servers unter Verwendung von<br />

DRBD und Pacemaker beispielhaft demonstrieren.<br />

Der vierte Artikel beschäftigt<br />

sich mit dem Thema Virtualisierung<br />

im Clusterkontext. (jcb)<br />

n<br />

Der Autor<br />

Martin Gerhard Loschwitz arbeitet als Consultant<br />

bei LINBIT und ist seit über drei Jahren im<br />

HA-Umfeld aktiv. Er hilft dabei, den gesamten<br />

Linux-Cluster-Stack für Debian GNU/ Linux zu<br />

pflegen.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

73


K now-how<br />

RAid <strong>richtig</strong> dimensionieren<br />

© Ben, Fotolia<br />

Level und Größe bei RAID <strong>richtig</strong> wählen<br />

Genau vermessen<br />

welcher RAid-Level eignet sich am besten? was muss der server können? Lassen sich engpässe vorausberechnen?<br />

der schlüssel zur beantwortung vieler dieser Fragen liegt im Charakter des zu verarbeitenden workloads.<br />

wie man dessen Kenngrößen ermittelt und auf dieser grundlage ein dazu passendes storagesystem entwirft,<br />

erklärt dieser Artikel. nick Anderson<br />

Ein-/ Ausgabeoperationen (I/ O) kommen<br />

prinzipiell in zwei Formen vor:<br />

Zufällig oder in einer geordneten Folge<br />

(sequenziell). Zufällige Zugriffe, wie<br />

sie für <strong>Daten</strong>banken, E-Mail-, File- oder<br />

Webserver typisch sind, beinhalten eine<br />

große Anzahl Bewegungen der Schreib-/<br />

Leseköpfe. Sequenzieller I/ O, wie er besonders<br />

durch das Lesen und Schreiben<br />

großer Files entsteht, etwa beim <strong>Backup</strong>,<br />

bei der <strong>Daten</strong>migration oder beim Abspielen<br />

von Videos, ist auf der anderen<br />

Seite durch das Bearbeiten aufeinanderfolgender<br />

Blöcke gekennzeichnet. Dieser<br />

Artikel beschäftigt sich hauptsächlich mit<br />

zufälligem I/ O – ähnliche Techniken sind<br />

aber auch für sequenzielles Schreiben<br />

und Lesen anwendbar.<br />

Informationen<br />

zusammentragen<br />

Abbildung 1: »sadc« sammelt auf Wunsch auch statistische <strong>Daten</strong> zu Blockdevices.<br />

Die grundlegende Maßeinheit für die folgenden<br />

Betrachtungen heißt IOPS (Input/<br />

Output Operations Per Seconds), manchmal<br />

spricht man auch von der Transferrate<br />

und TPS (Transfers Per Second). Um<br />

abzuschätzen, wie viele I/ O-Operationen<br />

eines gegebenen Workloads von einem<br />

76 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


RAid <strong>richtig</strong> dimensionieren<br />

knOw-hOw<br />

Abbildung 2: Die Spezifikation der Seagate ST9146852SS.<br />

bestimmten Subsystem maximal bewerkstelligt<br />

werden können, braucht man folgende<br />

Angaben:<br />

n die Umdrehungsgeschwindigkeit der<br />

Festplatten<br />

n gegebenenfalls den Level des RAID-<br />

Systems<br />

n die Anzahl Platten im RAID-Verbund<br />

n das Verhältnis von Lese- zu Schreiboperationen<br />

im Workload<br />

Der RAID-Level, die Anzahl Festplatten<br />

(ohne Spare-Platten) und die Umdrehungsgeschwindigkeit<br />

der Platten sind<br />

schnell ermittelt. Das Verhältnis der Leseund<br />

Schreiboperationen ist aber nicht<br />

so offensichtlich. Diese Kenngröße des<br />

Workloads misst man besten über eine<br />

gewisse Zeit. Dafür eignet sich sehr gut<br />

ein Network Monitoring System (NMS),<br />

das die passenden Zahlen (Anzahl der<br />

Schreib-/ Lesevorgänge) sammelt, Mittelwerte<br />

berechnet und Grafen zeichnet.<br />

Sollte so ein System nicht zur Hand sein,<br />

leistet auch »sar« aus dem Sysstat-Paket<br />

gute Dienste.<br />

Der Sysstat-<strong>Daten</strong>sammler »sadc« (System<br />

Activity Data Collector) läuft auf den<br />

meisten Systemen nach der Installation<br />

als Cronjob (»/etc/cron.d/sysstat«) und<br />

sammelt alle zehn Minuten eine Fülle<br />

Tabelle 1: schätzwerte für iOPs<br />

Rotational Speed (RPM) IOPS<br />

5400 50-80<br />

7200 75-100<br />

10K 125-150<br />

15K 175-210<br />

Dabei gilt es zu berücksichtigen, dass<br />

sich die Seek Time beim Lesen und<br />

Schreiben unterscheidet. Nicht alle Hersteller<br />

geben beide Werte an. Findet man<br />

nur einen Wert, ist entweder ein Mittelwert<br />

gemeint oder die Seek Time für Leseoperationen,<br />

die kürzer ist und deshalb<br />

besser aussieht.<br />

Die Platte aus dem Enterprise-Angebot<br />

von Seagate, deren Spezifikation Abbilvon<br />

<strong>Daten</strong> zu Speicher-<br />

und CPU-<br />

Auslastung, Paging<br />

oder netzwerkbezogenen<br />

Metriken.<br />

Die Aktivität der<br />

Blockdevices steht<br />

aber normalerweise<br />

nicht auf der Liste.<br />

Das lässt sich leicht<br />

mit dem Kommando<br />

»sar -dp« überprüfen<br />

(vergleiche auch den<br />

Kasten Sar-Tipp).<br />

Wenn Blockdevicedaten<br />

ermittelt wurden,<br />

ergibt sich eine<br />

Ausgabe wie in Abbildung<br />

1.<br />

Berechnung des erwarteten<br />

IOPS-Maximums<br />

Nun sind alle Informationen beisammen,<br />

um das erwartete Maximum an IOPS zu<br />

berechnen:<br />

d*<br />

dIOPS<br />

IOPS =<br />

% r+<br />

( F*% w)<br />

darin sind<br />

n d: die Anzahl Festplatten<br />

n dIOPS: Die IOPS pro Platte<br />

sar-Tipp<br />

Neben der periodischen <strong>Daten</strong>sammlung durch<br />

einen Cronjob kann »sar« auch auf Anforderung<br />

Statistiken generieren. Für eine solche Ad-hoc-<br />

Statistik muss man dem Kommando noch den<br />

Wert für die Dauer eines Sammelintervalls und<br />

optional für eine Anzahl solcher Intervalle mitgeben.<br />

Bei neueren Sysstat-Versionen funktioniert<br />

beispielsweise »sar -dp 1«. Es gibt dann<br />

fortlaufend <strong>Daten</strong> im Sekundentakt aus. Ältere<br />

Versionen von Sysstat beenden sich allerdings<br />

bei diesem Kommando nach einer Sekunde. In<br />

diesem Fall erreicht man das Gewünschte mit<br />

»sar -dp 1 5«; dabei werden die <strong>Daten</strong> fünfmal<br />

im Abstand einer Sekunde erhoben.<br />

Wie man dem »sadc«-Kommando mitteilt, dass<br />

man von ihm auch Blockdevice-<strong>Daten</strong> erwartet,<br />

unterscheidet sich von Distribution zu Distribution<br />

ein wenig. Zumindest bei RHEL-kompatiblen<br />

Versionen bewirkt das aber die Sar-Option<br />

»-d«.<br />

Der Anteil der Leseoperationen, der später für<br />

die Berechnung der maximalen IOPS benötigt<br />

wird, lässt sich relativ einfach nach folgender<br />

Formel ermitteln<br />

n %w: der prozentuale Anteil Schreiboperationen<br />

am Work load<br />

n %r: der prozentuale Anteil Leseoperationen<br />

am Workload<br />

n F: der RAID-Faktor (Anzahl der Schreiboperationen<br />

für den ausgewählten<br />

RAID-Typ, Tabelle 2).<br />

Diese Berechnung bezieht allerdings<br />

keine Effekte ein, die sich durch einen<br />

Cache oder das Queueing des Controllers<br />

ergeben könnten. Die IOPS pro Disk<br />

(»dIOPS«) lassen sich aus der zuvor ermittelten<br />

Umdrehungsgeschwindigkeit<br />

der Festplatte anhand von Tabelle 1 abschätzen.<br />

Der IOPS-Wert für eine bestimmte Platte<br />

ist eine Funktion von Suchzeit (seek time)<br />

und Latenz. Eine genauere Abschätzung<br />

mit diesen Kenngrößen errechnet sich<br />

nach der folgenden Formel:<br />

dIOPS=1/(seek time in sec + latency in sec).<br />

rd _sec<br />

% r =<br />

rd _sec + wr _sec<br />

Dafür sollten die »rd_sec/s«- und »wr_sec/s«-<br />

Werte über mehrere Tage gesammelt werden.<br />

Der Anteil der Schreiboperationen ergibt sich<br />

dann mit<br />

wr _sec<br />

% w =<br />

rd _sec + wr _sec<br />

Es kann günstig sein, die <strong>Daten</strong> nur während der<br />

Spitzenlast zu erheben, damit sie nicht durch<br />

zufällige Effekte verfälscht werden.<br />

Zufälligen I/ O identifiziert man mithilfe der Ausgabe<br />

von »sar -b« nach der Formel<br />

(bread/s+bwrtn/s)/(rtps+wtps) < 16KByte<br />

Wenn diese Bedingung erfüllt ist, ist der Workload<br />

überwiegend zufällig. Ist der errechnete<br />

Wert sehr viel höher (>128 KByte), dann ist der<br />

Workload überwiegend sequenziell. Aber Achtung:<br />

Diese Unterscheidung ist zwar meistens<br />

ein ganz guter Indikator, aber ziemlich grob.<br />

Auch hier ist darauf zu achten, dass Messwerte<br />

und Erwartungen in Einklang zu bringen sind.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

77


K now-how<br />

RAid <strong>richtig</strong> dimensionieren<br />

dung 2 zeigt, hat eine durchschnittliche<br />

Latenz von 2,0 ms, wobei sowohl der<br />

Wert für Lesen als auch der für Schreiben<br />

angegeben ist. Damit berechnet sich die<br />

maximale Anzahl IOPS für diese Platte<br />

wie folgt:<br />

$ echo "scale=0; 1/(.0031 + .002)" | bc ‐l<br />

196<br />

Das Resultat 196 fällt in den Bereich 175<br />

bis 210, den Tabelle 1 für eine Platte mit<br />

15k RPM ausweist.<br />

Kommt eine RAID-Konfiguration ins Spiel<br />

wird es etwas interessanter. Tabelle 2<br />

illustriert einige grundlegende Unterschiede<br />

zwischen den RAID-Leveln und<br />

dem zugehörigen RAID-Faktor für die<br />

Berechnung der maximalen IOPS.<br />

Ein Beispiel: CVS<br />

Der CVS-Server wurde vor Urzeiten installiert<br />

und war schon immer langsam.<br />

Warum, darüber gab es verschiedene<br />

Theorien, angefangen von schlechten<br />

Treibern bis zu Fehlern im Versionskontrollsystem<br />

selbst. Allerdings wurde die<br />

Ursache nie untersucht, und die Symptome<br />

wurden nie genau nachgemessen.<br />

Mit der Zeit spitzte sich die Situation aber<br />

so zu, dass dringend Handeln geboten<br />

war.<br />

Das Storage Subsystem bestand aus vier<br />

Fibre-Channel-Platten mit einer Rotationsgeschwindigkeit<br />

von 10k RPM, die<br />

sich in einem RAID-10-Verbund befanden.<br />

Der CVS-Server verbrachte bis zu<br />

90 Prozent der Zeit im Status »iowait«.<br />

Die <strong>Daten</strong>sammlung erfolgte via Zenoss<br />

[3] und Nagios sowie dessen Plugin<br />

»check-sar-perf« [2].<br />

Im Verlauf mehrerer Tage bewahrheitete<br />

sich der hohe Anteil »iowait«. Die Anzahl<br />

IOPS (oder »tps« in der Terminologie<br />

von »sar«) belief sich auf einen Mittelwert<br />

von 574. Wegen des pausenlosen<br />

»iowait«-Status wurden die Werte aus<br />

Spitzenlastzeiten verwendet, die sich auf<br />

27780 rd_sec/ s beziehungsweise 2070<br />

wr_sec/ s beliefen<br />

Für die Lese- und Schreibanteile ergibt<br />

sich damit:<br />

$ echo "scale=3; percentrdsec=27.78; U<br />

percentwritesec=2.07; percentrdsec/U<br />

(percentwritesec+percentrdsec)" | bc ‐l<br />

.930<br />

$ echo "scale=3; percentrdsec=27.78; U<br />

percentwritesec=2.07;§§ percentwritesec/U<br />

(percentwritesec+percentrdsec)" | bc ‐l<br />

.069<br />

Damit sind alle benötigten Werte zusammen,<br />

um die vermutliche maximale<br />

Anzahl IOPS zu berechnen. Legt man<br />

dabei den Höchstwert für 10k-Laufwerke<br />

zugrunde, so ergibt sich (ohne Cache<br />

und Controller-Effekte) ein Wert von 562.<br />

Dieser Wert ist niedriger als der zuvor<br />

gemessene Wert von 574, was ein weiteres<br />

Indiz dafür ist, dass das I/ O-System<br />

überlastet ist.<br />

$ echo "scale=0; disks=4; diops=150; U<br />

readpercent=.93; f=2; writepercent=.068; U<br />

(disks*diops)/(readpercent+U<br />

(f*writepercent))" | bc ‐l<br />

562<br />

Für die Linderung der Probleme mit dem<br />

überlasteten I/ O-Subsystem bieten sich<br />

verschiedene Optionen an. Beispielsweise<br />

ließen sich die Anforderungen<br />

verringern, man könnte aber auch mehr<br />

Spindeln (Platten) hinzufügen, auf die<br />

sich die Last dann verteilen würde, oder<br />

man könnte einen besser geeigneten<br />

RAID-Level wählen.<br />

Entschärfung der Lage<br />

Die folgenden Beispiele illustrieren, welchen<br />

Einfluss zusätzliche Platten und/<br />

oder eine andere RAID-Konfiguration<br />

haben würden. In diesem Beispiel, das<br />

bereits mit einem RAID 10 arbeitet, hätte<br />

allerdings eine andere RAID-Konfiguration<br />

ohne zusätzliche Platten keinen<br />

positiven Effekt.<br />

n RAID 5 mit vier Platten:<br />

$ echo "scale=0; disks=4; diops=150; U<br />

readpercent=.93; f=4; writepercent=.068; U<br />

(disks*diops)/(readpercent+U<br />

(f*writepercent))" | bc ‐l<br />

499<br />

n RAID 5 mit fünf Platten:<br />

$ echo "scale=0; disks=5; diops=150; U<br />

readpercent=.93; f=4; writepercent=.068; U<br />

(disks*diops)/(readpercent+U<br />

(f*writepercent))" | bc ‐l<br />

623<br />

n RAID 5 mit sechs Platten:<br />

$ echo "scale=0; disks=6; diops=150; U<br />

readpercent=.93; f=4; writepercent=.068; U<br />

(disks*diops)/(readpercent+U<br />

(f*writepercent))" | bc ‐l<br />

748<br />

Tabelle 2: RAid-Level-Charakteristiken<br />

RAID-Level Operationen pro<br />

Schreibvorgang<br />

(RAID-Faktor)<br />

Schreibcharakterisik<br />

0 1 Hoher Durchsatz, geringe CPU-<br />

Auslastung, keine Redundanz<br />

1<br />

(passt<br />

ebenso auf<br />

RAID 1+0)<br />

2 Nur so schnell wie eine einzelne<br />

Platte<br />

5 4 Erfordert zwei Lese- und zwei<br />

Schreiboperationen pro Schreibanforderung.<br />

Wenn der HBA über<br />

keinen dedizierten I/ O-Prozessor<br />

verfügt, wird die CPU stärker belastet<br />

und der Durchsatz ist geringer.<br />

6 6 Erfordert drei Lese- und drei<br />

Schreiboperationen pro Schreibanforderung<br />

Operationen<br />

pro Lesevorgang<br />

Lesecharakteristik<br />

1 Hoher Durchsatz, geringe CPU-Auslastung,<br />

keine Redundanz<br />

1 Es sind zwei Schemata verfügbar: Lesen von beiden<br />

Platten oder von der Platte, die am schnellsten <strong>Daten</strong><br />

liefern kann. Das eine führt zu höherem Durchsatz, das<br />

andere zu kürzeren Suchzeiten.<br />

1 Hoher Durchsatz, CPU-Auslastung normal, im Fehlerfall<br />

dramatische Performance-Verluste durch Paritätsberechnungen<br />

und Rebuild-Operationen.<br />

1 Hoher Durchsatz, CPU-Auslastung normal, im Fehlerfall<br />

dramatische Performance-Verluste durch Paritätsberechnungen<br />

und Rebuild-Operationen.<br />

78 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


RAid <strong>richtig</strong> dimensionieren<br />

K now-how<br />

n RAID 10 mit sechs Platten:<br />

$ echo "scale=0; disks=6; diops=150; U<br />

readpercent=.93; f=2;writepercent=.068; U<br />

(disks*diops)/(readpercent+U<br />

(f*writepercent))" | bc ‐l<br />

844<br />

Beispiellösung<br />

Migration<br />

In diesem Fall entschloss man sich zu<br />

einer Migration von CVS zu Subversion,<br />

dem Löschen unnötiger <strong>Daten</strong> und der<br />

Umstellung des automatischen Buildsystems<br />

von Poll- zu Trigger-basierten<br />

Builds. Danach fiel der durchschnittliche<br />

IOPS-Wert von 574 auf unter 250.<br />

Logischerweise erhöhte sich im Gegenzug<br />

die Performance dramatisch, die<br />

Builds liefen jetzt problemlos durch und<br />

es gab von diesem Zeitpunkt an überhaupt<br />

keine Beschwerden mehr.<br />

Das Beispiel zeigt, wie wichtig es ist,<br />

für eine Performance-Analyse alle Fakten<br />

zusammenzutragen. Manchmal liegt die<br />

einfachste Antwort aber bereits auf der<br />

Hand: Tu weniger.<br />

Nach der Umstellung ist es eine gute<br />

Idee, das neue System weiter zu beobachten<br />

und Benchmarks zu fahren, die<br />

eine Vorstellung davon liefern, welche<br />

Last das System im Normalzustand produziert<br />

(base line). Spätere Messungen<br />

ergeben dann womöglich Abweichungen<br />

in die eine oder andere Richtung von<br />

diesem Ausgangswert. Gute Tools für<br />

ein solches Benchmarking sind Iometer<br />

[4] oder Bonnie++ [5]. Die wichtigste<br />

Regel der Performance-Analyse: Zeichne<br />

alles auf und archiviere es. (jcb) n<br />

Infos<br />

[1] „Fundamentals of RAID Storage“:<br />

[http://www. sqlservercentral.com/blogs/<br />

sqlmanofmystery/ archive/2009/12/07/fund<br />

amentals-of-storage-systems-raid-an-introduction.aspx]<br />

[2] check-sar-perf:<br />

[http://github. com/nickanderson/<br />

check-sar-perf]<br />

[3] Zenoss Community:<br />

[http://community. zenoss.org]<br />

[4] Iometer User Guide:<br />

[http://www. iometer.org]<br />

[5] Bonnie++:<br />

[http://www. coker. com.au/bonnie++/]<br />

[6] LOPSA Mentor Program:<br />

[https://lopsa. org/ mentor]<br />

[7] „Considerations for RAID-6 Availability<br />

and Format/ Read Performance on the<br />

DS5000“ : [http:// www.redbooks.ibm.com/<br />

redpapers/ pdfs/ redp4484.pdf]<br />

Der Autor<br />

Nick Anderson ist ein Systemadministrator mit<br />

Erfahrung im High Performance Computing,<br />

im E-Commerce, Hosting und im Bereich Infrastruktur.<br />

Nick beteiligt sich aktiv am LOPSA<br />

Mentorship-Programm [6], und technische<br />

Ausführungen von ihm finden sich unter [http://<br />

www.cmdln. org].<br />

www.NETHINKS.com<br />

Flexibel, nützlich<br />

und einzigartige<br />

Fähigkeiten:<br />

Unser Team für<br />

Ihre Aufgaben<br />

Gerne flexibler?<br />

Wir planen, entwickeln,<br />

implementieren, betreuen<br />

und betreiben für Unternehmen<br />

aller Branchen sowie<br />

öffentliche Einrichtungen<br />

unter Einsatz modernster<br />

Produkte maßgeschneiderte<br />

IT-Infrastrukturlösungen.<br />

Sprechen Sie uns an!<br />

NETHINKS GmbH | Bahnhofstr. 16 | 36037 Fulda<br />

T +49 661 25000-0 | info@NETHINKS.com<br />

www.A dmin-mAgA zin.de<br />

Nethinks_AZ_90x128_4c.indd 1 11.05.11 17:55<br />

Admin<br />

AusgA be 04-2011<br />

79


Asics<br />

dRbd<br />

DRBD-Replikation<br />

Storage für<br />

HA-Cluster<br />

Hochverfügbarkeit ist in modernen iT-setups ein muss. ein kritischer Faktor ist dabei das redundante<br />

speichern von daten. um dieses Problem kümmert sich LinbiTs freies dRbd, das zum vollständigen ersatz<br />

für ein sAn werden kann. dieser beitrag beschreibt die brandneue Version 8.4. martin Loschwitz<br />

Khursaini A Fatah, 123RF<br />

Computer sind fehleranfällig – eine<br />

Binsenweisheit, die schon so manchem<br />

Admin schlaflose Nächte bereitet hat. Die<br />

Antwort heißt Hochverfügbarkeit. Das ist<br />

kein Produkt, sondern vielmehr ein Konzept<br />

aus verschiedenen Komponenten.<br />

Eine häufige Ausprägung dieses Konzepts<br />

ist der sogenannte Hochverfügbarkeits-<br />

Cluster. Er beruht auf dem simplen Prinzip,<br />

dass ein zweiter Rechner die Aufgaben<br />

eines ausgefallenen Systems übernimmt.<br />

Dieser Prozess heißt Failover.<br />

Hochverfügbarkeit<br />

Damit der Failover funktionieren kann,<br />

müssen einige Bedingungen erfüllt sein.<br />

Allen voran steht die doppelte Transparenz:<br />

Der Failover muss sowohl für den<br />

Client wie auch für die betroffene Applikation<br />

transparent sein. Damit nach<br />

der Verlagerung von Diensten auf ein<br />

anderes, noch funktionierendes System<br />

nicht die IP-Adressen geändert werden<br />

müssen, unter denen die Clients die umgezogenen<br />

Dienste erreichen, gehört zu<br />

einem Failover-Setup typischerweise eine<br />

IP-Adresse, die fest mit einem Dienst statt<br />

mit einem spezifischen Server verbunden<br />

ist. Aber auch die Netzwerkprotokolle<br />

müssen mitspielen. Stateless-Protokolle<br />

wie HTTP funktionieren perfekt, denn ob<br />

eine Antwort auf einen Request von einem<br />

oder dem anderen Server zum Client<br />

wandert, ist einerlei. Stateful-Protokolle<br />

– oft geht es dabei um <strong>Daten</strong>banken –<br />

müssen sich selbst darum kümmern,<br />

dass ihre Clients im Anschluss an einen<br />

Failover die Verbindung zu ihrem Dienst<br />

wiederherstellen. Sämtliche gängigen<br />

<strong>Daten</strong>bank-Clients haben aber entsprechende<br />

Funktionen.<br />

Hochverfügbare <strong>Daten</strong><br />

Transparent ist ein Failover für eine<br />

Applikation vor allem dann, wenn es<br />

für sie keinen Unterschied macht, auf<br />

welchem Rechner eines Hochverfügbarkeitsclusters<br />

sie läuft. Idealerweise sind<br />

auf allen Servern die gleichen Versionen<br />

der Applikation vorhanden, außerdem<br />

müssen sämtliche <strong>wichtige</strong>n Konfigurationsdateien<br />

identisch sein. Der wichtigste<br />

Faktor sind aber die <strong>Daten</strong>, die<br />

die Applikation verwendet. Niemandem<br />

wäre geholfen, würde die Applikation<br />

auf dem überlebenden Knoten nicht mit<br />

denselben <strong>Daten</strong> weiterarbeiten können,<br />

die vorher der ausgefallenen Instanz zur<br />

Verfügung standen.<br />

Die klassische Lösung für dieses Problem<br />

sind SANs. Hauptbestandteil eines<br />

SAN ist im einfachsten Fall ein einzelner<br />

Computer mit vielen Festplatten und<br />

einem speziellen Storage-Controller, der<br />

seine <strong>Daten</strong> den Clients im angrenzenden<br />

Netz direkt zur Verfügung stellt –<br />

beispielsweise mittels iSCSI oder NFS.<br />

Typische SANs sind aber auch Single<br />

Points of Failure, weil die <strong>Daten</strong> verloren<br />

sind, sollte das komplette System trotz<br />

interner Redundanz abgeschaltet werden<br />

müssen oder ein Concurrent Write stattfinden<br />

– also gleichzeitiger, unkoordinierter<br />

Schreibzugriff von zwei Seiten. Beides<br />

ist zwar nicht hochwahrscheinlich, aber<br />

auch nicht ausgeschlossen. Beispielsweise<br />

kann ein Brand im Rechenzentrum<br />

dazu zwingen, die Stromversorgung<br />

komplett zu unterbrechen.<br />

Shared-Nothing-Storage<br />

Die Linux-Replikationslösung DRBD<br />

nutzt einen anderen Ansatz als das SAN.<br />

Bei DRBD ist ein <strong>Daten</strong>satz stets zweimal<br />

vorhanden, nämlich einmal auf dem<br />

einen Knoten eines Zweiknoten-Clusters<br />

und einmal auf dem anderen Knoten. Im<br />

Normalbetrieb sorgt DRBD dafür, dass<br />

die <strong>Daten</strong>bestände der beiden Storagelaufwerke<br />

immer gleichbleiben, indem<br />

es sich zwischen Speichermedium und<br />

Dateisystem klemmt und Änderungen<br />

von einem Server sofort auf den anderen<br />

repliziert. Weil es so immer zwei<br />

voneinander völlig unabhängige <strong>Daten</strong>sätze<br />

gibt, spricht man bei DRBD vom<br />

„Shared Nothing Storage“. Im Gegensatz<br />

dazu sind klassische SANs sogenannte<br />

„Shared Everything Storages“.<br />

80 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


dRBd<br />

Basics<br />

Was tut DRBD genau? Die Erklärung<br />

des Funktionsprinzips von DRBD steckt<br />

bereits im Namen, denn DRBD ist das<br />

Distributed Replicated Block Device. Der<br />

Begriff erklärt sich am besten, wenn man<br />

das sprichwörtliche Pferd von hinten aufzäumt:<br />

Block Device verkörpert DRBDs Eigenschaft,<br />

Teil des Block Device Layers des<br />

Linux-Kernels zu sein (Abbildung 1). Gemeint<br />

ist ein Universum von Treibern,<br />

die die blockbasierte Speicherfunktion<br />

gemein haben. Sämtliche Treiber des<br />

Block Device Layers können die gleiche<br />

Infrastruktur verwenden. Klassische<br />

Block-Device-Treiber sind die Treiber für<br />

Festplatten oder auch USB-Sticks; aber<br />

auch LVM und Mdraid gehören zu diesem<br />

Layer. Treiber dieses Layers lassen<br />

sich nahtlos über- oder untereinander<br />

stapeln, ohne dabei Performance-Einbußen<br />

zu erleiden. Eine DRBD-Resource<br />

sieht aus Systemsicht aus wie jede andere<br />

Festplatte auch; sie kann auf einem Software-RAID<br />

liegen oder auf einem LVM,<br />

das seinerseits auf einem Software-RAID<br />

liegt. Hieraus ergibt sich die Tatsache,<br />

dass DRBD „applikationsagnostisch“ ist.<br />

Weil im täglichen Gebrauch auf einem<br />

DRBD-Laufwerk genauso ein Dateisystem<br />

zu finden sein sollte wie auf einem LVM,<br />

merken Programme keinen Unterschied.<br />

Replicated meint im DRBD-Kontext,<br />

dass jeder Schreibvorgang, der auf einem<br />

DRBD-Laufwerk abgewickelt wird,<br />

immer zweimal passiert.<br />

Distributed erklärt, wo der doppelte<br />

Schreibvorgang passiert – nämlich an unterschiedlichen<br />

Stellen. Die Abbildung 1<br />

vermittelt einen guten Eindruck davon,<br />

wo DRBD im Linux-Kern ansetzt.<br />

Wie DRBD funktioniert<br />

Eine typische DRBD-Ressource umfasst<br />

zwei Server. Auf beiden Servern nimmt<br />

der DRBD-Treiber nach dem Start ein<br />

Storage-Device exklusiv in Beschlag. Es<br />

heißt im DRBD-Kontext Backing Device.<br />

Gleichzeitig baut er eine Netzwerkverbindung<br />

mittels TCP/ IP zum anderen<br />

DRBD-Server auf. Im Cluster gibt es zwei<br />

Rollen: Ein Server hat die Primary-Rolle<br />

und der andere hat die Secondary-Rolle.<br />

Ausschließlich auf dem primären DRBD-<br />

Knoten ist es möglich, die DRBD-Resource<br />

lesend und schreibend zu nutzen.<br />

PAGE CACHE<br />

FILE SYSTEM<br />

I/O SCHEDULER<br />

DISK DRIVER<br />

SERVICE<br />

RAW DEVICE<br />

NETWORK STACK<br />

NIC DRIVER<br />

Im normalen Betrieb ist DRBD darauf<br />

ausgelegt, den Inhalt des Storage vom<br />

primären Knoten mit dem des sekundären<br />

Knoten identisch zu halten. Dazu<br />

wird jeder Schreibzugriff auf das lokale<br />

Storage-Device automatisch auch über<br />

den TCP/ IP-Stack auf<br />

das andere Device im<br />

sekundären Knoten<br />

repliziert. Sobald sich<br />

auf dem primären Knoten<br />

ein Block auf der<br />

Platte ändert, kopiert<br />

DRBD den Block auch<br />

auf den sekundären Server.<br />

Ist der Block heil<br />

am sekundären Server<br />

angekommen und<br />

dort ebenfalls auf die<br />

Platte geschrieben, gilt<br />

der Schreibvorgang als<br />

abgeschlossen. Dieser<br />

Prozess läuft im Hintergrund<br />

permanent. Er<br />

heißt Replikation.<br />

Verlieren die beiden<br />

DRBD-Clusterknoten<br />

ihre Verbindung, setzen<br />

diverse Prozesse ein.<br />

Auf dem primären Server<br />

legt DRBD nun eine<br />

Bitmap an, in der er alle<br />

Blöcke vermerkt, die<br />

sich zwischenzeitlich<br />

ändern. Ist der primäre<br />

Clusterknoten ausgefallen,<br />

braucht DRBD Unterstützung<br />

von einem<br />

RAW DEVICE<br />

NETWORK STACK<br />

NIC DRIVER<br />

SERVICE<br />

Abbildung 1: So integriert sich DRBD in den Linux-Kernel und realisiert die Replikation.<br />

PAGE CACHE<br />

FILE SYSTEM<br />

I/O SCHEDULER<br />

DISK DRIVER<br />

Clustermanager wie Pacemaker (siehe<br />

den Beitrag zum Thema auf S. 68 in diesem<br />

Heft). Dieser macht dann aus dem<br />

vormals sekundären DRBD ein primäres<br />

und legt auf diesem eine Bitmap an.<br />

Kommt der andere Clusterknoten zurück,<br />

Die Zalando Gmbh ist ein dynamisches E-Commerce<br />

Fashion Unternehmen im herzen Berlins.<br />

Seit Oktober 2008 ist www.zalando.de online.<br />

Aufgrund unserer schnellen Expansion sind wir auf<br />

Verstärkungen für unser talentiertes und motiviertes<br />

Team stets angewiesen. Zum weiteren Aufbau<br />

unseres Technologieteams suchen wir ab sofort:<br />

SYSTEM-<br />

<strong>ADMIN</strong>ISTRATOR<br />

(M/W)<br />

> Administration und Monitoring unserer<br />

hochverfügbaren Linux-Serversysteme<br />

> Problemanalyse, Störungsbeseitigung und<br />

Dokumentation<br />

> Zeitversetztes Arbeiten im Team, sowie<br />

Bereitschaft zur Wochenend- und Nachtarbeit<br />

IhR PROFIL<br />

> Erfahrung in der Administration von Debianund<br />

Redhat-Linux-Servern<br />

> Selbständige, zuverlässige und systematische<br />

Arbeitsweise<br />

> h ohe Einsatzbereitschaft, Teamfähigkeit und<br />

Belastbarkeit<br />

UNSER ANGEBOT<br />

> Ein dynamisches und hoch motiviertes Team<br />

mit flachen hierarchien<br />

> Festanstellung in Vollzeit, ab sofort<br />

> Attraktive Vergütung<br />

Mehr Informationen unter: www.zalando.de/sysad<br />

Sind Sie interessiert, die Zalando Erfolgsgeschichte<br />

mitzuschreiben? Dann freuen wir uns auf Ihre Bewerbung!<br />

www.admin-magazin.de


Asics<br />

dRbd<br />

kopiert DRBD alle in der erwähnten Bitmap<br />

verzeichneten Blöcke vom aktuellen<br />

primären Knoten auf den zurückgekehrten<br />

anderen Knoten. Der Prozess dauert<br />

so lange, bis alle Clusterknoten wieder<br />

exakt den gleichen <strong>Daten</strong>bestand haben.<br />

Der Vorgang heißt Resynchronisation. Er<br />

findet nur statt, wenn die beiden DRBD-<br />

Clusterknoten ihre Verbindung nach einem<br />

Ausfall wiederaufbauen.<br />

Replikation und Resynchronisation passieren<br />

gleichzeitig, doch kommt der Replikation<br />

das größere Gewicht zu. Verändert<br />

sich bei der Replikation ein Block erneut,<br />

der bereits in der Bitmap steht, weil<br />

er noch resynchronisiert werden muss,<br />

so kopiert DRBD den betroffenen Block<br />

direkt und streicht ihn aus der Bitmap.<br />

Die DRBD-Protokolle<br />

DRBD kennt drei unterschiedliche Protokolle.<br />

Diese betreffen jedoch nur die<br />

Replikation. Sie heißen A, B und C. Sie<br />

unterscheiden sich in der Frage, wann<br />

DRBD einer Applikation meldet, dass ein<br />

Schreibvorgang erfolgreich beendet ist.<br />

Das Standard-Protokoll ist Protokoll C.<br />

Protokoll C sorgt für vollständig synchrone<br />

Replikation. Wenn eine Applikation<br />

schreibend auf ein DRBD-Laufwerk<br />

zugreift und das Protokoll C zum Einneues<br />

in dRbd 8.4<br />

Dieser Artikel beschäftigt sich ausschließlich<br />

mit DRBD 8.4, das jetzt erschienen ist. DRBD<br />

8.4 bringt im Vergleich zu vorherigen DRBD-Versionen<br />

einige Neuerungen, die der Erwähnung<br />

bedürfen. Grundsätzlich gilt: DRBD 8.4 kann<br />

auch mit den Konfigurationsdateien von DRBD<br />

8.3 verwendet werden, nicht aber umgekehrt.<br />

Die wichtigste Änderung in DRBD 8.4 sind zweifellos<br />

die Replication Volumes. Bis einschließlich<br />

DRBD 8.3 konnte eine einzelne DRBD-Resource<br />

lediglich ein Storage-Device bereitstellen. In<br />

DRBD 8.4 ist das anders. Denn hier hat man die<br />

Möglichkeit, Volumes zu erstellen, die mehrere<br />

Storage-Devices umfassen.<br />

Alle Storage-Volumes, die zu einer DRBD-Ressource<br />

gehören, verwenden die gleiche TCP/<br />

IP-Verbindung. Diese Funktion ist von großer<br />

Bedeutung, wenn <strong>Daten</strong>bankdaten DRBD<br />

nutzen: Bricht die Verbindung zwischen zwei<br />

Rechnern ab, kann man für sämtliche Volumes<br />

einer DRBD-Ressource sicher annehmen, dass<br />

die Verbindung exakt an der gleichen Stelle<br />

abgerissen ist. Ist die <strong>Daten</strong>bank auf diverse<br />

DRBD-Ressourcen verteilt, ist das wichtig: Der<br />

Admin kann dann nämlich definitiv voraussetzen,<br />

dass die Inhalte der einzelnen Tablespaces<br />

tatsächlich mit den Metadaten der <strong>Daten</strong>bank<br />

übereinstimmen.<br />

DRBD 8.4 bringt weitere Neuerungen. Viele<br />

Konfigurationsparameter sind aus Gründen<br />

der Konsistenz umbenannt worden – alle Parameter,<br />

die ein »no-« vor dem Namen hatten<br />

(»no-md-flushes«, »no-disk-flushes«), haben<br />

dieses Präfix in DRBD 8.4 verloren und sind jetzt<br />

Boolsche Konfigurationsparameter. Die vorher<br />

eigenständige Protokolldefinition wandert aus<br />

dem Konfigurationsblock einer Ressource in den<br />

Net-Block ab.<br />

Und auch in Sachen Performance hat sich einiges<br />

getan; so kann DRBD 8.4 ab sofort beliebig<br />

große »max-bio-size«-Einträge benutzen – implizit<br />

bedeutet das, dass DRBD nativ 4k-Blöcke<br />

unterstützt. Die Anzahl der maximal erlaubten<br />

Activity-Log-Extents ist auf über 6000 angewachsen.<br />

Ausführliche Informationen zu DRBD 8.4 und<br />

den Veränderungen im Vergleich zu den Vorgängerversionen<br />

finden Sie im aktualisierten DRBD<br />

User’s Guide, der kurz nach der Veröffentlichung<br />

von DRBD 8.4.0 verfügbar sein wird.<br />

satz kommt, meldet DRBD erst dann<br />

den Erfolg, wenn es vom DRBD auf dem<br />

anderen, sekundären Clusterknoten erfahren<br />

hat, dass der veränderte Block<br />

dort auf der Platte gelandet ist. Bis dieses<br />

Acknowledgement eingetroffen ist, ist<br />

es nicht möglich, auf das DRBD weiter<br />

schreibend zuzugreifen.<br />

Demgegenüber steht die asynchrone Replikation<br />

mit Protokoll A. DRBD erlaubt<br />

den weiteren Zugriff bei Protokoll A bereits,<br />

wenn es einen zu verändernden<br />

Block in den TCP/ IP-Stack des lokalen<br />

Systems am primären Knoten übergeben<br />

hat. Asynchrone Replikation ist insbesondere<br />

dort praktisch, wo die Distanz<br />

zwischen zwei Clusterknoten groß und<br />

die Verbindung langsam ist.<br />

Eine Mischung aus Protokoll A und C ist<br />

halbsynchrone Replikation mittels Protokoll<br />

B. Hier müssen die Pakete lediglich<br />

den Netzwerkstack auf dem sekundären<br />

Clusterknoten erreichen, damit DRBD<br />

den weiteren Schreibzugriff ermöglicht.<br />

Der Artikel geht im weiteren Verlauf davon<br />

aus, dass Protokoll C und damit das<br />

Standardprotokoll zum Einsatz kommt.<br />

Im Hinblick auf einen DRBD-Cluster gilt<br />

die Empfehlung, dass für die Kommunikation<br />

von DRBD grundsätzlich ein sogenannter<br />

Back-to-Back-Link vorhanden<br />

sein sollte. Es sollte also in beiden Systemen<br />

jeweils mindestens ein freier Netzwerk-Port<br />

vorhanden sein. Über diese<br />

freien Ports verbinden sich die beiden<br />

Clusterknoten miteinander und stellen<br />

so sicher, dass für DRBD ein möglichst<br />

direkter Kommunikationspfad existiert.<br />

Die DRBD-Installation<br />

Je nach verwendeter Distribution ist die<br />

Installation von DRBD mehr oder weniger<br />

aufwändig. Wenn Sie Debian oder<br />

Ubuntu verwenden, bekommen Sie<br />

DRBD ab Werk geliefert – allerdings in<br />

möglicherweise veralteten Versionen.<br />

Der Squeeze-Standardkernel kommt mit<br />

DRBD 8.3.7, der Backports-Kernel, der zu<br />

Redaktionsschluss aktuell war, hat DRBD<br />

8.3.9 mit an Bord. Um DRBD auf SUSE<br />

Linux Enterprise Server einzusetzen, benötigen<br />

Sie entweder die vom Hersteller<br />

bereitgestellte High Availability Extension<br />

(HAE) oder Pakete von LINBIT. Für Red-<br />

Hat Enterprise Linux beziehungsweise<br />

kompatible Systeme ist Handarbeit angesagt,<br />

wenn die offiziellen LINBIT-Binaries<br />

nicht zum Einsatz kommen sollen.<br />

Die Konfigurationsdateien<br />

Seit Version 8.3.7 unterstützt DRBD Configuration<br />

Sniplets. Das heißt, dass die<br />

vormalige Hauptkonfiguration »/etc/<br />

drbd.conf« bloß noch Verweise auf Dateien<br />

im Ordner »/etc/drbd.d« enthält.<br />

In diesem liegt dann eine Datei namens<br />

»global_common.conf« sowie die Konfiguration<br />

der einzelnen DRBD-Ressourcen<br />

– jeweils eine pro Datei, wobei diese Dateien<br />

die Endung ».res« haben. Gegenwärtige<br />

DRBD-Versionen sind bereits auf<br />

dieses System hin ausgerichtet.<br />

Die Datei »global_common.conf« unterteilt<br />

sich in zwei Konfigurationsabschnitte<br />

– einerseits jenen, der auf den Namen<br />

»global« getauft ist. In ihm legt DRBD<br />

selbst Konfigurationsparameter fest.<br />

Weitere Einstellungen müssen im Global-<br />

Abschnitt zunächst nicht vorgenommen<br />

werden. Wichtiger ist der Common-<br />

Abschnitt: Er enthält Parameter, die die<br />

einzelnen DRBD-Ressourcen direkt betreffen.<br />

Allerdings lassen sich die Einstellungen<br />

der »common«-Sektion später<br />

für einzelne Ressourcen in deren Konfigurationsdateien<br />

überschreiben. Wichtig<br />

ist, dass im Abschnitt »net« das Protokoll<br />

82 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


dRbd<br />

bAsics<br />

auf C gesetzt ist; dann zumindest, wenn<br />

es sich um einen lokalen Zwei-Knoten-<br />

Cluster mit Back-to-Back-Link handelt.<br />

Die Zeile »protocol C;« erledigt das. Es<br />

empfiehlt sich auch, die »Syncer-Rate«<br />

zu setzen; diese legt fest, mit welcher<br />

Geschwindigkeit die Resynchronisation<br />

vonstatten gehen darf. Ein passender Eintrag<br />

wäre »resync-rate 50M«, diesmal im<br />

»disk«-Abschnitt. Hier gibt man allerdings<br />

nicht »Megabit« an, sondern »Megabyte«.<br />

Das heißt: Der genannte Eintrag würde<br />

DRBD für die Resynchronisation maximal<br />

50 Megabyte pro Sekunde zugestehen.<br />

Wenn die »global«- und die »common«-<br />

Einträge passend geändert sind, kann es<br />

losgehen mit der ersten Ressource.<br />

DRBD-Ressource<br />

Eine DRBD-Ressourcen-Konfiguration besteht<br />

aus aus mindestens einer » volume«-<br />

Definition, die selbst wenigstens die Optionen<br />

»device«, »disk « sowie »meta-disk«<br />

festlegen muss. Hinzu kommen zwei Abschnitte,<br />

welche mit »on hostname {«<br />

eingeleitet werden und wenigstens die IP-<br />

Adresse sowie den Port festlegen, damit<br />

DRBD anschließend mit diesen Angaben<br />

eine Verbindung zum Cluster-Partner aufbauen<br />

kann. Die Volume-Definition kann<br />

wahlweise innerhalb oder außerhalb dieser<br />

»on«-Blöcke liegen. Wenn die Parameter<br />

für die genannten Einträge »device«,<br />

»disk« und »meta-disk« auf beiden Computern<br />

identisch sind, empfiehlt es sich,<br />

den Volume-Eintrag außerhalb der On-<br />

Blöcke zu pflegen. Die gesamte Ressourcen-Konfiguration<br />

ist mit eingerahmt von<br />

einem »resource Name«-Statement und<br />

geschwungenen Klammern.<br />

Für das folgende Beispiel gelten diese<br />

Bedingungen: Angelegt wird eine simple<br />

DRBD-Ressource, die »nfs« heißt und genau<br />

ein Volume enthält. Dieses Volume<br />

nutzt auf beiden Clusterknoten das Logical<br />

Volume »nfs« der Volume Group »vg«<br />

als Backing Device. Es kommen interne<br />

Metadaten zum Einsatz. Der erste Clusterknoten,<br />

Alice, hat als IP-Adresse auf<br />

dem internen Interface 10.42.0.1 und soll<br />

den Port 7788 benutzen, der zweite Knoten,<br />

Bob, hat die Adresse 10.42.0.2, und<br />

der Port ist ebenfalls 7788. Auf beiden<br />

Seiten soll das DRBD-Device die Minor-<br />

Nummer 0 bekommen, sodass es später<br />

im System als »/dev/drbd0« erscheint.<br />

Die komplette Konfiguration der Ressource<br />

zeigt Listing 1. Diese Ressource<br />

könnte selbstverständlich zu einem späteren<br />

Zeitpunkt um weitere Volumes ergänzt<br />

werden; diese müssten analog zum<br />

Volume 0 ebenfalls in die Konfigurationsdatei<br />

eingetragen werden. Wollte der<br />

Admin statt eines LVs ein physikalisches<br />

Speicherlaufwerk verwenden, würde er<br />

bei »disk« das passende Device eintragen,<br />

beispielsweise: »disk /dev/sda1«.<br />

Speichern sollte man die Konfiguration<br />

in einer Datei namens »nfs.res«, die im<br />

Ordner »/etc/drbd.d« landet – selbstverständlich<br />

auf beiden Clusterknoten.<br />

Ressource startklar<br />

Wenn alle Voraussetzungen geschaffen<br />

sind, kann man die DRBD-Ressource aktivieren.<br />

Das leistet das Userland-Werkzeug<br />

»drbdadm«. Neben Drbdadm gibt<br />

es zwei weitere Userland-Werkzeuge,<br />

um DRBD-Ressourcen händisch zu bearbeiten:<br />

»drbdsetup«, für das »drbdadm«<br />

ein benutzerfreundliches Frontend ist,<br />

sowie »drbdmeta«. Weder Drbdsetup<br />

noch Drbdmeta sind im Normalfall nötig,<br />

das Werkzeug der Wahl ist Drbdadm.<br />

Einen recht guten Überblick gewährt<br />

»drbd-overview« .<br />

Drbdadm lässt sich verwenden, um<br />

DRBDs Metadaten anzulegen. Meta-<br />

<strong>Daten</strong> sind notwendig, weil DRBD Platz<br />

auf der Platte braucht, um Informationen<br />

wie den aktuellen Zustand der Ressource<br />

auf beiden Clusterknoten zu speichern.<br />

Ebenso schreibt DRBD die Bitmap in<br />

die Metadaten, sollte ein Clusterknoten<br />

ausgefallen sein. Die Metadaten liegen<br />

jeweils am Ende des Backing-Devices.<br />

Man legt die Metadaten auf beiden Seiten<br />

des Clusters an, indem man den Befehl<br />

»drbdadm create-md nfs« ausführt. Wenn<br />

die Metadaten angelegt sind, erscheint<br />

eine entsprechende Erfolgsmeldung.<br />

Der nächsten Schritt startet die Ressource<br />

mit »drbdadm up nfs« auf beiden Clusterknoten.<br />

Wer nun »cat /proc/drbd«<br />

eingibt, sieht, dass eine DRBD-Ressource<br />

existiert. Im Feld »ds«, das Disk State<br />

beschreibt, steht auf beiden Seiten<br />

»Inconsistent«. Bisher ist ja noch nicht<br />

festgelegt, welche Seite die guten <strong>Daten</strong><br />

enthält. Im letzten Schritt gilt es also<br />

zu definieren, welche Seite zum ersten<br />

Mal im Leben dieser DRBD-Ressource<br />

primär werden soll. Sind beide Backing<br />

Devices leer, ist es freilich egal, welchen<br />

Knoten man auswählt. Wird aber DRBD<br />

nachträglich auf einem Device installiert,<br />

sollte man den Knoten auswählen, der<br />

bereits die <strong>richtig</strong>en <strong>Daten</strong> hat – sonst<br />

werden die überschrieben. Wenn klar<br />

ist, welcher Knoten primär werden soll,<br />

führt man im Beispiel dieses Kommando<br />

aus: »drbdadm -- --force primary nfs«.<br />

Ein erneuter Blick nach »/proc/drbd« verrät,<br />

dass das DRBD nun auf einem Knoten<br />

primär ist und dass der sogenannte<br />

»Initial Fullsync« bereits läuft. Nutzen<br />

kann man die Ressource aber bereits jetzt<br />

– sogar ein Rollentausch wäre möglich:<br />

Dazu führt der Admin auf dem gleichen<br />

Rechner, den er gerade zum Primary-<br />

Knoten erklärt hat, den Befehl »drbdadm<br />

secondary nfs« aus und auf dem anderen<br />

»drbdadm primary nfs«. <strong>Daten</strong>, die<br />

eventuell noch nicht synchronisiert sind,<br />

würde DRBD sich vom anderen Clusterknoten<br />

holen.<br />

Ressource verwenden<br />

Die einfachste Möglichkeit das gerade<br />

angelegte DRBD zu nutzen, ist wohl<br />

ein Dateisystem darauf anzulegen. Das<br />

tut man mittels »mkfs« für ein Dateisystem<br />

der Wahl mit dem Pfad »/dev/<br />

drbdMinor‐Number«. Hat die Ressource<br />

mehrere Volumes, dann gibt es entsprechend<br />

im Ordner »/dev« auch mehrere<br />

DRBD-Einträge .<br />

Sein volles Potenzial entfaltet DRBD freilich<br />

im HA-Cluster erst dann, wenn Sie<br />

es mit einem Clustermanager verbinden.<br />

Diesem Thema widmet sich der Artikel<br />

auf S. 68. (jcb)<br />

n<br />

Listing 1: Konfiguration einer dRbd-Ressource<br />

01 ressource nfs {<br />

02 volume 0 {<br />

03 device minor 0;<br />

04 disk /dev/vg/nfs;<br />

05 meta‐disk internal;<br />

06 }<br />

07<br />

08 on alice {<br />

09 address 10.42.0.1:7788;<br />

10 }<br />

11<br />

12 on bob {<br />

13 address 10.42.0.2:7788;<br />

14 }<br />

15 }<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

83


Asics<br />

exchange 2010<br />

Exchange Server 2010 mit SP1 installieren und einrichten<br />

Zielfahrt<br />

exchange ist die standard-messaging-Lösung unter windows. dieser<br />

Artikel erklärt, wie sie exchange 2010 installieren und dabei auftretende<br />

Klippen elegant umschiffen. Thomas Joos<br />

Stuart Monk, 123RF<br />

Um Exchange Server 2010 zu installieren,<br />

unabhängig ob das in einer Testumgebung<br />

oder einem produktiven<br />

Netzwerk stattfinden soll, müssen Sie<br />

einige Voraussetzungen erfüllt sein. Auf<br />

dem Server muss Windows Server 2008,<br />

besser Windows Server 2008 R2 laufen.<br />

Außerdem muss im Netzwerk ein Active<br />

Directory vorhanden sein. Idealerweise<br />

installieren Sie auch das Service Pack 1<br />

für Windows Server 2008 R2 vor der Installation<br />

von Exchange Server 2010. Sind<br />

diese Vorbereitungen getroffen, können<br />

Sie Exchange Server 2010 installieren.<br />

Dieser Artikel verrät, welche Schritte<br />

dazu notwendig sind.<br />

Vorbereitung<br />

Auch wenn Sie nur eine typische Installation<br />

von Exchange Server 2010<br />

durchführen, ist es sinnvoll, die Active<br />

Directory-Erweiterungen, die das Installationsprogramm<br />

durchführt, vorher<br />

manuell zu starten. Bevor Sie überhaupt<br />

erst mit der Installation beginnen, sollten<br />

Sie sicherstellen, dass der Betriebsmodus<br />

der Gesamtstruktur und der Modus der<br />

Domäne mindestens auf Windows Server<br />

2003 steht, besser Windows Server 2008<br />

oder Windows Server 2008 R2. Um das<br />

zu überprüfen, starten Sie das Verwaltungsprogramm<br />

»Active Directory-Domänen<br />

und -Vertrauensstellungen«.<br />

Klicken Sie mit der rechten Maustaste<br />

auf den obersten Menüpunkt »Active<br />

Directory-Domänen und -Vertrauensstellungen«<br />

und wählen Sie den Menüpunkt<br />

»Gesamtstrukturfunktionsebene<br />

heraufstufen«. Hier sehen Sie, welchen<br />

Modus die Gesamtstruktur aktuell hat<br />

und können den Modus gegebenenfalls<br />

einstellen. Klicken Sie anschließend auf<br />

die einzelnen Domänen mit der rechten<br />

Maustaste und rufen Sie den Menüpunkt<br />

»Domänenfunktionsebene heraufstufen«<br />

auf. Auch hier sollte bei allen Domänen<br />

mindestens Windows Server 2003 eingestellt<br />

sein.<br />

Wollen Sie Exchange Server 2010 in eine<br />

bestehende Organisation mit Exchange<br />

Server 2003/ 2007 integrieren, müssen Sie<br />

in jeder Domäne der Gesamtstruktur den<br />

Befehl »Setup /PrepareLegacyExchange-<br />

Permissions« des Exchange-Installationsprogramms<br />

ausführen, damit notwendige<br />

Rechte im AD eingetragen und Sicherheitsgruppen<br />

angelegt werden. Das Setup-Programm<br />

von Exchange Server 2010<br />

finden Sie direkt im Stammverzeichnis<br />

der Installations-DVD. Legen Sie dazu die<br />

DVD am besten in einen Domänencontroller<br />

ein. Wollen Sie die Erweiterungen<br />

direkt auf dem Exchange-Server durchführen,<br />

müssen Sie die Active-Directory-<br />

Verwaltungstools über den Server-Manager<br />

installieren. Diese installieren Sie<br />

über den Server-Manager mit »Features |<br />

Features hinzufügen | Remoteserver-Verwaltungstool<br />

| Rollenverwaltungstools |<br />

AD DS und AD LDS-Tools«.<br />

Bei einer Neuinstallation von Exchange<br />

Server 2010 geben Sie noch den Befehl<br />

»setup /PrepareSchema« ein, damit der<br />

Assistent das Active-Directory-Schema<br />

erweitert. Nachdem der Vorgang fehlerfrei<br />

durchgelaufen und in größeren<br />

Umgebungen auch entsprechend Zeit<br />

für die Replikation der Schemaveränderungen<br />

vergangen ist, geben Sie<br />

den Befehl »setup /PrepareAD /OrganizationName:<br />

Organisationsname«<br />

ein. Neben Schemaerweiterungen und<br />

Rechten legen diese Befehle eine neue<br />

86 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


exchange 2010<br />

bAsics<br />

Features vorher zu installieren, ist aber<br />

wesentlich sauberer.<br />

Nach dem Neustart des Servers melden<br />

Sie sich an und öffnen wieder eine Konsole<br />

der Windows Powershell. Geben Sie<br />

dann den Befehl<br />

Set‐Service NetTcpPortSharing ‐StartupU<br />

Type Automatic<br />

Abbildung 1: Der Befehl »setup /PrepareAllDomains« bereitet alle Domänen für Exchange vor.<br />

Organizational Unit (OU) mit den entsprechenden<br />

Sicherheitsgruppen an.<br />

Mit diesem Schritt können Sie beispielsweise<br />

überprüfen, ob die OU »Microsoft<br />

Exchange Security Groups« in der<br />

Domäne vorhanden ist und unter anderem<br />

folgende Gruppen enthält:<br />

n Organization Management<br />

n Recipient Management<br />

n Public Folder Management<br />

n Exchange Servers<br />

n Server Management<br />

Mit »setup /PrepareAllDomains« bereiten<br />

Sie alle Domänen der Gesamtstruktur<br />

für Exchange vor (Abbildung 1). Dann<br />

Befehlen ist das Active Directoy für Exchange<br />

Server 2010 vorbereitet. Sie können<br />

für die ganzen Vorbereitungen auch<br />

direkt die Installationsdatei des SP1 für<br />

Exchange Server 2010 verwenden. Dazu<br />

müssen Sie das Archiv des SP1 entpacken<br />

und können anschließend direkt die<br />

Setupdatei des SP1 verwenden.<br />

Bei der Erweiterung des Schemas besteht<br />

unter Umständen die Möglichkeit, dass<br />

die Erweiterung in der Registry auf dem<br />

Schema-Master deaktiviert ist. Sollte<br />

das der Fall sein, bricht die Schema-Erweiterung<br />

ab. In diesem Fall sollten Sie<br />

auf dem Schema-Master zu folgendem<br />

Registry-Key wechseln: »HKLM/System/<br />

CurrentControlSet/Services/NTDS/Parameters«.<br />

Weisen Sie den beiden Dword-<br />

Werten »Schema Update Allowed« und<br />

»Schema Delete Allowed« den Wert 1 zu.<br />

Warten Sie nach den Änderungen 10 bis<br />

15 Minuten, bevor Sie die Schema-Erweiterung<br />

erneut ausführen. Sind die Werte<br />

nicht vorhanden, erstellen Sie diese als<br />

Dword.<br />

Windows Server 2008 R2<br />

Auf dem Exchange-Server müssen Sie<br />

wie erwähnt auch die Verwaltungstools<br />

für Active Directory installieren. Wollen<br />

Sie Smartcards zur Authentifizierung einsetzen,<br />

laden Sie sich noch die Aktualisierung<br />

von der Seite [1] herunter. Für<br />

eine typische Installation oder der Installation<br />

der Serverrollen Hub Transport<br />

oder Mailbox benötigen Sie das Microsoft<br />

Filter Pack. Dieses finden Sie auf der Seite<br />

[2]. Die Installation besteht aus wenigen<br />

Klicks und erfordert keinerlei Eingaben.<br />

Als Nächstes öffnen Sie auf dem Server<br />

die Powershell und geben den Befehl<br />

»import-Module ServerManager« ein. Für<br />

eine typische Installation geben Sie den<br />

Befehl aus Listing 1 ein, um die notwendigen<br />

Serverrollen und -funktionen zu<br />

installieren.<br />

Sie müssen die verschiedenen Features<br />

natürlich nicht über die Powershell installieren,<br />

sondern können auch den Server-Manager<br />

verwenden. Es besteht auch<br />

die Möglichkeit, die Features einzeln zu<br />

installieren. Starten Sie die Installation<br />

von Exchange Server 2010 SP1, können<br />

Sie notwendige Features auch über die<br />

Installationsoberfläche von Exchange<br />

installieren lassen. Die notwendigen<br />

ein. Führen Sie anschließend über die<br />

Systemsteuerung ein Windows-Update<br />

durch, damit der Server über alle notwendigen<br />

Updates verfügt.<br />

Typische Installation<br />

Um Exchange Server 2010 gleich mit integriertem<br />

SP1 zu installieren, laden Sie<br />

sich das SP1 herunter und entpacken Sie<br />

das Archiv. Starten Sie anschließend die<br />

Installation des Servers mit »setup.exe«.<br />

Anschließend können Sie einen neuen<br />

Server installieren, genauso wie beim<br />

normalen Exchange-Installationsmedium.<br />

Nach der Auswahl der Sprachen,<br />

starten Sie die typische Installation von<br />

Exchange Server 2010. Bestätigen Sie die<br />

ersten Fenster und wählen Sie dann »Typische<br />

Installation von Exchange Server«<br />

aus (Abbildung 2). Installieren Sie einen<br />

neuen Server direkt mit dem SP1, finden<br />

Sie im unteren Bereich noch die Option<br />

»Für Exchange Server erforderliche<br />

Windows Server-Rollen und -Funktionen<br />

automatisch installieren«. Aktivieren Sie<br />

diese Option, installiert der Setup-Assistent<br />

automatisch alle fehlenden Rollen<br />

und Features nach.<br />

Während der Installation können Sie den<br />

externen Namen des Clientzugriff-Servers<br />

festlegen, über den Anwender aus dem<br />

Internet auf den Server zugreifen dürfen.<br />

Als Nächstes überprüft der Assistent, ob<br />

die Installation problemlos durchgeführt<br />

werden kann. Fehler sollten Sie möglichst<br />

beheben, Warnungen können Sie<br />

teilweise ignorieren. Nach der Installation<br />

startet die Exchange-Verwaltungskonsole.<br />

In manchen Situationen bricht die Installation<br />

des Servers ab. Ist das der Fall,<br />

Listing 1: serverrollen und -funktionen installieren<br />

01 Add‐WindowsFeature NET‐Framework,RSAT‐ADDS,<br />

02 Web‐Server,Web‐Basic‐Auth,Web‐Windows‐Auth,Web‐Metabase,Web‐Net‐Ext,Web‐Lgcy‐Mgmt‐Console,WAS‐Process‐ Model,RSAT‐Web‐Server,Web‐ISAPI‐Ext, Web‐Digest‐<br />

Auth,Web‐Dyn‐Compression,NET‐HTTP‐Activation, RPC‐Over‐HTTP‐Proxy ‐Restart.<br />

www.A dmin-mAgA zin.de<br />

Admin<br />

AusgA be 04-2011<br />

87


Asics<br />

exchange 2010<br />

Abbildung 2: Erweiterte Installationsmöglichkeiten mit Exchange Server 2010 SP1.<br />

können Sie mit der Schaltfläche »Wiederholen«<br />

die erneute Installation der entsprechenden<br />

Komponenten veranlassen,<br />

ohne den Server oder die Installation neu<br />

starten zu müssen. Die Installationsroutine<br />

von Exchange Server 2010 führt eine<br />

eigene Logdatei, in der alle Informationen<br />

der Installation gespeichert sind. Diese<br />

Datei heißt »ExchangeSetup.log« und liegt<br />

im Verzeichnis »C:\Exchange SetupLogs«.<br />

Hier speichert der Installationsassistent<br />

alle Informationen, die während der Installation<br />

anfallen. Geben Sie den entsprechenden<br />

Fehler in einer Suchmaschine<br />

ein, finden Sie bereits ausführliche Hilfen<br />

zum Problem. Die Logdateien der<br />

Exchange-Server-2010-Installation liegen<br />

im Textformat vor. Sie können diese Datei<br />

auch während der Installation aufrufen,<br />

wenn Sie das Gefühl haben, dass die<br />

Installation einer Rolle zu lange dauert.<br />

Tritt ein Fehler während der Installation<br />

auf, wartet das Setup-Programm häufig<br />

nach verschiedenen Intervallen und hält<br />

den Fehler auch in der Logdatei fest. So<br />

können Sie bereits nach dem Fehler suchen,<br />

während Exchange noch versucht,<br />

den Server zu installieren. Fehler sehen<br />

Sie dann am Ende der Datei.<br />

Nach der erfolgreichen Installation sollten<br />

Sie das SP1 auf dem Server installieren,<br />

wenn Sie nicht die Installation bereits mit<br />

den Setup-Dateien des SP1 durchgeführt<br />

haben. Setzen Sie mehrere Server mit<br />

Exchange Server 2010 im Netzwerk ein,<br />

empfiehlt Microsoft zunächst die Aktualisierung<br />

der Clientzugriff-Server mit<br />

dem SP1. Nach der<br />

Aktualisierung der<br />

Clientzugriff-Server<br />

empfiehlt Microsoft<br />

die Aktualisierung<br />

der Hub-Transport-<br />

Server, dann der<br />

Mailbox-Server, der<br />

Unified-Messaging-<br />

Server und zum<br />

Schluss der Edge-<br />

Transport-Server.<br />

Das Service Pack<br />

1 für Exchange<br />

Server 2010 lässt<br />

sich nicht deinstallieren.<br />

Sie müssen<br />

den Server komplett<br />

neu installieren,<br />

wenn Sie das<br />

Service Pack entfernen wollen.<br />

Nach der Installation eines Servers sollten<br />

Sie auch das jeweils aktuelle Roll up<br />

Package installieren. Für Exchange Server<br />

2010 gibt es bereits mindestens drei Packages<br />

nach dem Service Pack 1. Diese<br />

enthalten eine Sammlung <strong>wichtige</strong>r Aktualisierungen.<br />

In den meisten Fällen sind<br />

die Packages kumulativ, enthalten also<br />

auch die Patches des vorangegangenen<br />

Packages. Das Rollup Package 3 enthält<br />

zum Beispiel alle Patches, die auch im<br />

Rollup Package 1 und 2 für Exchange Server<br />

2010 SP1 zur Verfügung stehen. Installieren<br />

Sie zunächst immer das aktuelle<br />

Service Pack und danach die verfügbaren<br />

Rollup Packages. Den Link und Informationen<br />

zum aktuellen Rollup Package<br />

erhalten Sie immer auf der Blogseite der<br />

Exchange-Entwickler unter [3].<br />

Die Installation von Exchange Server 2010<br />

erfordert keinen Produktschlüssel. Geben<br />

Sie auch nach der Installation keinen<br />

Schlüssel ein, können Sie diese Exchange-<br />

Installation 120 Tage lang testen. Danach<br />

stellt der Server den Betrieb ein. Besitzen<br />

Sie einen Produktschlüssel, geben Sie ihn<br />

über die Exchange-Verwaltungskonsole<br />

ein. Klicken Sie dazu auf den Menüpunkt<br />

»Serverkonfiguration« und klicken Sie<br />

mit der rechten Maustaste auf den noch<br />

nicht lizenzierten Server. Wählen Sie aus<br />

dem Kontextmenü die Option »Product<br />

Key eingeben«. In dem folgenden Fenster<br />

geben Sie den Produktschlüssel ein<br />

und klicken auf »Eingeben«. Stimmt der<br />

Schlüssel, zeigt die Verwaltungskonsole<br />

den Server als lizenziert an. Sie sollten<br />

nach der Eingabe am besten den Server<br />

neu starten, mindestens aber den Systemdienst<br />

des Informationsspeichers. Sie<br />

können den Produktschlüssel auch über<br />

die Exchange-Verwaltungsshell eingeben.<br />

Verwenden Sie dazu den Befehl<br />

set‐exchangeserver ‐Identity ServernameU<br />

‐ProductKey Produktschlüssel<br />

Best Practices Analyzer<br />

Im nächsten Schritt sollten Sie die Installation<br />

mit dem Best Practices Analyzer<br />

überprüfen. Diesen finden Sie in<br />

der Toolbox der Exchange-Verwaltungskonsole.<br />

Auf der ersten Seite aktivieren<br />

Sie zunächst die Option »Beim Starten<br />

nach Aktualisierungen suchen«, damit<br />

sich das Tool neue Regeln und Aktualisierungen<br />

herunterladen kann. Der Server<br />

muss dazu über eine Internetverbindung<br />

verfügen. Anschließend starten Sie die<br />

Aktualisierung mit dem Link »Jetzt nach<br />

Aktualisierungen suchen«. Der Assistent<br />

überprüft dann, ob er neue Regeln oder<br />

eine neue Version des BPAs findet. Lassen<br />

Sie diese herunterladen und fahren<br />

Sie fort. Wählen Sie »Optionen für neue<br />

Überprüfung auswählen« und geben Sie<br />

auf der nächsten Seite den Namen eines<br />

Domänencontrollers ein und klicken auf<br />

den Link »Mit Active Directory-Server<br />

verbinden«. Über den Link »Erweiterte<br />

Anmeldeoptionen anzeigen« können Sie<br />

eine alternative Authentifizierungsmethode<br />

eingeben.<br />

Der Server verbindet sich jetzt mit dem<br />

Active Directory und zeigt das Überprüfungsfenster<br />

an. Hier wählen Sie<br />

verschiedene Bereiche zur Überprüfung<br />

aus. Geben Sie im Feld »Bezeichnung«<br />

einen Namen der Überprüfung ein. Sie<br />

können nach einer Überprüfung im Best<br />

Practices Analyzer das Ergebnis bereits<br />

ausgeführter Scans erneut anzeigen. Als<br />

Nächstes wählen Sie aus, welche Server<br />

Sie überprüfen wollen. Im Bereich »Auszuführender<br />

Überprüfungstyp« reicht<br />

beim ersten Start die Option »Systemdiagnose«.<br />

Stellen Sie dann noch die Netzwerkgeschwindigkeit<br />

ein und klicken Sie<br />

auf »Überprüfung starten«.<br />

Abhängig von der Netzwerkgeschwindigkeit<br />

und der Auslastung der Server<br />

schließt der Assistent den Scan-Vorgang<br />

88 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


exchange 2010<br />

bAsics<br />

ab. Nach erfolgreichem Abschluss, lassen<br />

Sie sich mit dem Link »Bericht für diese<br />

bewährte Methoden-Überprüfung« das<br />

Ergebnis anzeigen. Zu jedem Problem<br />

schlägt der Analyzer einen Lösungsansatz<br />

vor (Abbildung 3). Stellen Sie sicher,<br />

dass Sie alle Probleme beheben. Lassen<br />

Sie nach der Behebung den Test erneut<br />

durchführen, um sicherzustellen, dass<br />

die Konfiguration keinen Fehler enthält.<br />

Der nächste Schritt besteht darin, dass<br />

Sie in der Ereignisanzeige im Protokoll<br />

»Anwendung« überprüfen, ob die<br />

Exchange-Dienste Fehler protokollieren.<br />

Der nächste Schritt besteht darin, dass<br />

Sie die Systemdienste überprüfen, die auf<br />

dem Server installiert sind. Achten Sie<br />

vor allem darauf, dass die Dienste mit<br />

dem Starttyp »Automatisch« auch gestartet<br />

sind.<br />

Exchange-Zertifikat ändern<br />

Exchange Server 2010 setzt konsequenter<br />

als die Vorgänger auf SSL-gesicherte<br />

Verbindungen und Verschlüsselung. Aus<br />

diesem Grund benötigt jeder Exchange-<br />

Server ein eigenes Server-Zertifikat.<br />

Während der Installation stellt sich jeder<br />

Exchange-Server ein selbst signiertes<br />

Zertifikat aus und verwendet es zur Verschlüsselung.<br />

Das Problem dabei ist, dass<br />

kein Client dieser Zertifizierungsstelle<br />

vertraut, was in Zertifikatsfehlermel-<br />

Abbildung 3: Der Best Practices Analyzer zeigt Probleme und Lösungsansätze an.<br />

dungen resultiert. Eine Lösung für das<br />

Problem ist, entweder auf eine interne<br />

Zertifizierungsstelle auf Basis der Active-<br />

Directory-Zertifikatsdienste zu setzen<br />

oder ein Zertifikat eines Drittherstellers<br />

zu erwerben.<br />

Internen Zertifizierungsstellen vertrauen<br />

Clients, die Mitglied der gleichen Active-<br />

Directory-Gesamtstruktur sind, automatisch.<br />

Bei Zertifizierungsstellen von<br />

Drittherstellern müssen Sie das Zertifikat<br />

der Zertifizierungsstelle manuell in<br />

die vertrauenswürdigen Stammzertifizierungsstellen<br />

integrieren, sofern diese<br />

noch nicht bekannt ist.<br />

Neu in Exchange Server 2010 ist die Möglichkeit,<br />

Serverzertifikate direkt in der<br />

Exchange-Verwaltungskonsole zu verwalten.<br />

Sie benötigen dazu nicht mehr<br />

unbedingt die Exchange-Verwaltungsshell.<br />

Klicken Sie in der Verwaltungskonsole<br />

dazu auf »Serverkonfiguration« und<br />

dann auf den Server, dessen Zertifikat<br />

Sie verwalten wollen. Auf der rechten<br />

mit Kern Sibbald - Hauptentwickler von Bacula,<br />

Entwickler- und Anwendervorträgen<br />

20.-21. September 2011, Köln<br />

"Bacula – die Enterprise-Class <strong>Backup</strong> Software"<br />

Programm und Anmeldung unter:<br />

http://www.bacula-conference.org


Asics<br />

exchange 2010<br />

Abbildung 4: Ausstellen eines Zertifikats für den Exchange-Server.<br />

Seite sehen Sie dann die beiden Menüpunkte<br />

»Neues Exchange-Zertifikat« und<br />

»Exchange-Zertifikat importieren«. Die<br />

beiden Menüpunkte finden Sie auch im<br />

Kontextmenü zu dem Server. Die einzelnen<br />

Zertifikate sehen Sie im unteren<br />

Bereich der Konsole.<br />

Um ein neues Zertifikat zu installieren,<br />

verwenden Sie »Neues Exchange-Zertifikat«.<br />

(Abbildung 4) Der Assistent erstellt<br />

eine Zertifikatanforderung, die Sie<br />

dann entweder über die Active-Directory-<br />

Zertifikatdienste eingeben oder über das<br />

Webfrontend des Drittherstellers. Im ersten<br />

Schritt des Assistenten geben Sie den<br />

Namen ein, mit dem das Zertifikat in<br />

der Konsole angezeigt werden soll. Auf<br />

der nächsten Seite legen Sie fest, dass<br />

Sie auch untergeordnete Domänen mit<br />

dem gleichen Zertifikat anbinden wollen.<br />

Sehr wichtig ist, dass Sie den Namen,<br />

mit dem der Server aus dem Internet<br />

erreichbar ist, als allgemeinen Namen<br />

hinterlegen. Sonst erhalten Clients, die<br />

aus dem Internet auf den Server zugreifen,<br />

eine Fehlermeldung, da der Name<br />

des Zertifikats nicht mit der URL für den<br />

Zugriff übereinstimmt.<br />

Arbeiten Sie mit den Active-Directory-<br />

Zertifikatdiensten, können Sie die Anfrage<br />

des Zertifikats über die Adresse<br />

»http://Servername/certsrv« erreichen.<br />

Achten Sie aber beim Installieren der Serverrolle<br />

für die Zertifikatdienste darauf,<br />

dass Sie auch die Webschnittstelle mit<br />

installieren. Wählen Sie anschließend auf<br />

der Webseite für die Zertifizierungsstelle<br />

die Option »Ein Zertifikat anfordern« und<br />

wählen Sie dann<br />

die erweiterte Anforderung<br />

aus. Als<br />

Nächstes wählen<br />

Sie »Reichen Sie<br />

eine Zertifikatanforderung<br />

ein«,<br />

die eine Base64-<br />

codierte CMDoder<br />

PKCS10-Datei<br />

verwendet, oder<br />

eine Erneuerungsanforderung,<br />

die<br />

eine Base64-codierte<br />

PKCS7-Datei<br />

verwendet. Im<br />

nächsten Fenster<br />

kopieren Sie ins<br />

Feld »Gespeicherte<br />

Anforderung« den kompletten Text der<br />

Req-Datei, die Sie im Vorfeld erstellt haben.<br />

Laden Sie das Zertifikat als Cer-<br />

Datei herunter. Anschließend wechseln<br />

Sie in die Exchange-Verwaltungskonsole<br />

und klicken Sie auf »Serverkonfiguration«.<br />

Wählen Sie dort den Exchange-<br />

Server aus, für den Sie die Anfrage erstellt<br />

haben und klicken Sie im unteren Bereich<br />

des Fensters mit der rechten Maustaste<br />

auf das Zertifikat. Wählen Sie aus dem<br />

Kontextmenü die Option »Anstehende<br />

Anforderung abschließen«. Wählen Sie<br />

die Cer-Datei aus und schließen Sie den<br />

Vorgang ab.<br />

Sind die Zertifikate installiert, müssen<br />

Sie noch die einzelnen Exchange-Dienste<br />

damit verbinden. Auch das geht über<br />

das Kontextmenü. Wählen Sie dazu für<br />

das Zertifikat die Option »Dem Zertifikat<br />

Dienste zuordnen«. Dieser Befehl<br />

erscheint aber nur, dann wenn das Zertifikat<br />

keinen Fehler anzeigt. Auf der<br />

nächsten Seite des Assistenten wählen<br />

Sie zunächst über »Hinzufügen« den Server<br />

aus, auf dem Sie die Dienste dem<br />

neuen Zertifikat zuweisen wollen. Anschließend<br />

wählen Sie die entsprechenden<br />

Dienste aus.<br />

Echte E-Mails<br />

Der Empfang und Versand von E-Mails<br />

setzt sich in Exchange Server 2010 aus<br />

verschiedenen Komponenten zusammen.<br />

Bei dieser Konfiguration spielen die folgenden<br />

sechs Bereiche eine Rolle, die<br />

angepasst werden müssen:<br />

n E-Mail-Empfang: Exchange nimmt zunächst<br />

nur E-Mails an Domänen an,<br />

die auf der Registerkarte »Akzeptierte<br />

Domänen« über »Organisationskonfiguration/Hub-Transport«<br />

hinterlegt sind.<br />

n Damit ein Exchange-Server E-Mails<br />

entgegennehmen kann, muss ein<br />

Empfangsconnector erstellt und so<br />

konfiguriert sein, dass er E-Mails vom<br />

Sender akzeptiert. Empfangsconnectoren<br />

finden sich über »Serverkonfigurationen/Hub-Transport/Servername«.<br />

n Damit E-Mails zugestellt werden können,<br />

muss die E-Mail-Adresse in der<br />

Mail in der Organisation vorhanden<br />

sein. Welche E-Mail-Adressen der<br />

Server an die Anwender verteilt, sehen<br />

Sie auf der Registerkarte »E-Mail-<br />

Adressenrichtlinien« über »Organisationskonfiguration/Hub-Transport«.<br />

n Postfächer für Anwender erstellen Sie<br />

über das Kontextmenü der Empfänger<br />

über »Empfängerkonfiguration« .<br />

n Damit Exchange E-Mails versenden<br />

kann, muss mindestens ein Sendeconnector<br />

erstellt sein. Diese Konfiguration<br />

finden Sie unter »Organisationskonfiguration/Hub-Transport«<br />

auf der<br />

Registerkarte »Sendeconnectors«.<br />

n Sendeconnectoren verschicken E-Mails<br />

auf Basis der Remote-Domänen, die<br />

Sie auf der Registerkarte »Remotedomänen«<br />

über »Organisationskonfiguration/Hub-Transport«<br />

konfigurieren.<br />

Standardmäßig ist bereits der Platzhalter<br />

»*« angelegt. (ofr)<br />

n<br />

Infos<br />

[1] Problem mit Clientzertifikat für SSL-<br />

Authentifizierung:<br />

[http://support. microsoft.com/kb/972251]<br />

[2] 2007 Office System-Konverter: Microsoft<br />

Filter Pack:<br />

[http://www. microsoft.com/downloads/<br />

details.aspx? FamilyId=60C92A37-719C-407<br />

7-B5C6-CAC34F4227CC&displaylang=de]<br />

[3] Exchange Team Blog:<br />

[http://msexchangeteam.com]<br />

Der Autor<br />

Thomas Joos ist freiberuflicher IT-Consultant<br />

und seit über 20 Jahren in der IT tätig. Neben<br />

seinen Projekten schreibt er praxisnahe Fachbücher<br />

und Fachartikel rund um Windows und<br />

andere Microsoft-Themen. Online trifft man ihn<br />

unter [http:// thomasjoos.spaces.live.com].<br />

90 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


ABC<br />

springer.de<br />

Windows 7<br />

in Unternehmensnetzen mit Service Pack 1, IPv4, IPv6<br />

M. Grotegut, Berlin<br />

Der Autor stellt die Systemarchitektur, die Einrichtung und den<br />

Betrieb von Windows 7 in Unternehmensumgebungen sowie<br />

Änderungen und Neuerungen im Vergleich zu früheren<br />

Windows-Versionen dar. Das Buch wendet sich an Systemadministratoren<br />

und Consultants, die bereits Erfahrung mit der<br />

Verwaltung von Windows-Systemen haben und die neue<br />

Windows-Version kennenlernen möchten. Windows 7 wird in<br />

diesem Buch anschaulich und mit zahlreichen Praxistipps und<br />

Abbildungen beschrieben. Außerdem ist es für die Vorbereitung<br />

auf die Microsoft MCP-Prüfung geeignet.<br />

2011. XXIV, 592 S. 302 Abb. (X.systems.press) Geb.<br />

ISBN 978-3-642-01034-7<br />

7 € (D) 49,95 | € (A) 51,35 | *sFr 67,00<br />

SunCluster<br />

Serververfügbarkeit unter Solaris<br />

R. Dietze, Berlin<br />

Technologien der Hochverfügbarkeit, Bedingungen im<br />

SunCluster-Umfeld und ein detaillierter Einblick in die Struktur<br />

des SunCluster 3. Der Autor behandelt Installation, Konfiguration,<br />

Einbindung eigener HA-Services und den Betrieb - inklusive<br />

der Beschreibung und Bearbeitung von Fehlerszenarien,<br />

Recoveryverfahren, Erweiterungen, Softwarewartung und<br />

Troubleshooting. Im Anhang: SunCluster 2 als Referenz. Mit<br />

enthalten sind: Runbooks und Beschreibungen zur Installation<br />

und Konfiguration sowohl der SunCluster-Software, als auch der<br />

HA-Agentensoftware sowie der Services. Das Buch schließt ab<br />

mit der Beschreibung von Testverfahren des SunCluster 3.<br />

2010. XXIV, 593 S. 188 Abb. (X.systems.press) Geb.<br />

ISBN 978-3-540-33805-5<br />

7 € (D) 59,95 | € (A) 61,63 | *sFr 80,50<br />

Embedded Linux<br />

Das Praxisbuch<br />

J. Schröder, Universität Karlsruhe; T. Gockel, Aschaffenburg;<br />

R. Dillmann, Universität Karlsruhe<br />

Eingebettete Systeme steuern unbemerkt die Waschmaschine<br />

oder als Digitaler Sound Prozessor das Autoradio. Der Autor stellt<br />

leistungsfähige Linux-Derivate vor, die den Komfort der<br />

Schnittstellentreiber, des Multi-Threadings und eines Dateisystems<br />

bieten. Alle Beispiele sind vollständig durchimplementiert<br />

und online frei verfügbar. Das Buch eignet sich als Begleitbuch<br />

für Administratoren und Linux-Anwender, hilft aber auch<br />

Entwicklern in der Industrie, bei diesem Trend den Anschluss<br />

nicht zu verlieren.<br />

2009. 449 S. 102 Abb. (X.systems.press) Geb.<br />

ISBN 978-3-540-78619-1<br />

7 € (D) 49,95 | € (A) 51,35 | *sFr 67,00<br />

Leistungsbewertung bei Computersystemen<br />

Praktische Performance-Analyse von Rechnern und ihrer Kommunikation<br />

H. G. Kruse, Universität Mannheim<br />

Die Leistung von Computersystemen ist die ausschlaggebende<br />

Größe für ihren Einsatz. Zur Messung der Leistung wird sehr oft<br />

das Benchmark-Verfahren eingesetzt, obwohl bekannt ist, dass<br />

die Ergebnisse nur sehr beschränkt aussagekräftig sind.<br />

Modellbildende Techniken dagegen werden häufig zu Recht als<br />

„mathematiklastig“ empfunden. Ausgehend von einer<br />

Kombination beider Ansätze erläutert der Autor Methoden zur<br />

Leistungsbewertung von Computersystemen, die eine<br />

wesentlich bessere Messung, Analyse und Bewertung gestatten.<br />

2009. VIII, 201 S. (X.systems.press) Geb.<br />

ISBN 978-3-540-71053-0<br />

7 € (A) 61,63 | € (A) | *sFr 87,00 | *sFr 80,50<br />

Bei Fragen oder Bestellung wenden Sie sich bitte an 7 Springer Customer Service Center GmbH, Haberstr. 7, 69126 Heidelberg 7 Telefon: +49 (0) 6221-345-4301<br />

7 Fax: +49 (0) 6221-345-4229 7 Email: orders-hd-individuals@springer.com 7 € (D) sind gebundene Ladenpreise in Deutschland und enthalten 7% MwSt; € (A) sind gebundene<br />

Ladenpreise in Österreich und enthalten 10% MwSt. Die mit * gekennzeichneten Preise für Bücher und die mit ** gekennzeichneten Preise für elektronische Produkte sind unverbindliche<br />

Preisempfehlungen und enthalten die landesübliche MwSt. 7 Preisänderungen und Irrtümer vorbehalten.<br />

015012x


BASi CS<br />

Fibre Channel<br />

Sicherheit im Fibre Channel SAN: So funktionieren Zoning und LUN Masking<br />

Maskiert<br />

Fibre Channel SANs (Storage Area Networks) spielen im Storage-Umfeld auch in Zukunft eine tragende Rolle. Dieser<br />

Artikel erklärt die grundlegende Funktionsweise eines Fibre Channel SANs und beschreibt, wie man sie mit<br />

Zoning und LUN Masking besser strukturiert. Werner Fischer<br />

Salih Külcü, 123RF<br />

Viele Firmen verwenden Fibre Channel<br />

und iSCSI SANs, um <strong>Daten</strong> nicht lokal<br />

auf einzelnen Servern, sondern zentral<br />

zu speichern. Ein SAN besteht daher immer<br />

aus Servern, Netzwerkkomponenten<br />

(Switches) und Speicher- oder Tape-Systemen.<br />

Abbildung 1 zeigt ein Fibre Channel<br />

SAN mit vier Servern, zwei Switches<br />

und zwei Speichersystemen.<br />

Host Bus Adapter (HBAs) werden in Servern<br />

eingebaut und verbinden diese mit<br />

Fibre Channel Switches oder in einfachen<br />

Konfigurationen auch direkt mit einem<br />

Speichersystem. Mehrere HBAs in einem<br />

einzelnen Server erlauben den gleichzeitigen<br />

Anschluss eines Servers an zwei<br />

unterschiedliche Switches. Ähnlich wie<br />

im Ethernet-Umfeld gibt es für diesen<br />

Zweck auch Dual-Port-HBAs.<br />

Diese sind im Vergleich zu<br />

zwei einzelnen Single-<br />

Port-HBAs günstiger<br />

und belegen nur einen<br />

Erweiterungsslot im<br />

Server, allerdings<br />

sind bei einem<br />

Ausfall des<br />

HBAs auch<br />

beide Ports<br />

offline (Abbildung<br />

2).<br />

Fibre Channel<br />

Switches<br />

verbinden<br />

mehrere Server<br />

mit mehreren<br />

Speicher- oder<br />

Tape-Systemen.<br />

Welche Server-<br />

Ports (Initiators)<br />

dabei auf welche<br />

Ports der Speicheroder<br />

Tape-Systeme<br />

(Targets) zugreifen<br />

dürfen, regelt der Administrator<br />

über die<br />

Zoning-Konfiguration<br />

– dazu gleich<br />

mehr. Die Zoning-<br />

Konfiguration ist<br />

dabei immer<br />

für die gesamte<br />

Fabric<br />

gültig.<br />

Eine solche Fabric besteht zumindest aus<br />

einem Switch, kann sich aber auch aus<br />

mehreren Switches zusammensetzen,<br />

die miteinander verbunden sind. Dual-<br />

Fabric-Konfigurationen mit zwei voneinander<br />

vollkommen unabhängigen Fabrics<br />

beugen Komplettausfällen des SANs bei<br />

Konfigurationsfehlern im Zoning vor.<br />

Selbst wenn eine Fabric vollständig ausfällt,<br />

können die Server noch über die<br />

verbleibende Fabric auf Speicher- und<br />

Tape-Systeme zugreifen.<br />

Fibre-Channel-Speichersysteme besitzen<br />

daher in der Regel auch zumindest zwei<br />

FC Ports, um solche Dual-Fabric-Konfigurationen<br />

zu ermöglichen. Für eine<br />

höhere Ausfallsicherheit gibt es außerdem<br />

Speichersysteme mit zwei Storage-<br />

Con trollern. Diese unterteilen sich in<br />

Active-/ Passive-Systeme wie das linke<br />

in Abbildung 1 und im Vergleich dazu<br />

teurere Active-/ Active-Systeme. Bei einem<br />

Active-/ Passive-System steuert ein<br />

Controller dabei ein oder mehrere RAID<br />

Volumes exklusiv an. Erst wenn dieser<br />

Controller ausfällt oder ein Server einen<br />

Failover eines RAID Volumes veranlasst,<br />

wird der zweite Controller für dieses<br />

RAID Volume aktiv. Im Normalbetrieb<br />

können aber durchaus beide Controller<br />

aktiv arbeiten – aber eben nur für unterschiedliche<br />

RAID Volumes. Active-/<br />

Active-Systeme erlauben im Gegensatz<br />

dazu den gleichzeitigen Zugriff von mehreren<br />

Controllern auf ein einzelnes RAID<br />

Volume. Was die Festplatten betrifft, lassen<br />

sich in den meisten Speichersystemen<br />

sowohl SAS/ Nearline-SAS- als auch SATA-<br />

Festplatten einsetzen, Enterprise-Systeme<br />

nutzen mitunter auch Fibre Channel als<br />

Festplatteninterface. SAS-, Nearline-SASund<br />

Fibre-Channel-Festplatten besitzen<br />

zwei Ports pro Festplatte, was wiederum<br />

die Ausfallsicherheit innerhalb des Storage-Systems<br />

erhöht [1].<br />

94 AUSgABe 04-2011 A DMi N WWW. ADMi N - MAgAZi N . D e


Fibre Channel<br />

BASi CS<br />

In der Fibre-Channel-Terminologie werden<br />

Kommunikationsgeräte wie HBAs<br />

oder Storage Controller als Nodes bezeichnet,<br />

deren Ports als N_Ports (Node<br />

Ports) deklariert. N_Ports können direkt<br />

miteinander verbunden werden, etwa<br />

wenn der HBA eines Servers direkt an<br />

den Port eines Storage Systems angeschlossen<br />

werden soll. Alternativ kann<br />

ein N_Port an einen F_Port (Fabric Port)<br />

eines Fibre Channel Switch angeschlossen<br />

werden. Sollen mehrere Switches untereinander<br />

verbunden werden, um die<br />

Fabric zu vergrößern, werden E_Ports<br />

(Expansion Ports) der Switches untereinander<br />

verbunden. Bei aktuellen Switches<br />

kann jeder Switch-Port sowohl als F_Port<br />

als auch E_Port genutzt werden – man<br />

spricht in diesem Zusammenhang dann<br />

von G_Ports (Generic Ports) [2].<br />

Eindeutig<br />

Nodes und Ports in einem Fibre Channel<br />

SAN werden über eindeutige World Wide<br />

Names (WWNs) identifiziert. Diese bestehen<br />

aus 8 Bytes (64 Bits) und werden<br />

für Nodes auch als WWNNs (World Wide<br />

Node Names) und für Ports als WWPNs<br />

(World Wide Ports Names) bezeichnet.<br />

Ein Dual-Port HBA besitzt in der Summe<br />

drei WWNs: einen WWNN und zwei<br />

WWPNs [3]. Obwohl die WWNs den<br />

MAC- Adressen aus dem Ethernet-Umfeld<br />

sehr ähnlich sind, da sie weltweit einmalig<br />

vergeben werden, kommen WWNs<br />

nicht für das Routen von Frames zum<br />

Einsatz. Zusätzlich zum WWPN bekommt<br />

jeder N_Port einer Fibre Channel<br />

Fabric zu diesem Zweck eine 24 Bit<br />

Portadresse (N_Port ID). Die N_Port ID<br />

vergibt dabei der Simple Name Server<br />

(SNS) beim Login des Ports in der Fabric.<br />

Der SNS ist dabei im Fibre Channel<br />

Switch integriert. Dieser Aufwand lohnt,<br />

da durch die kürzeren 24-Bit-Portadressen<br />

der Overhead im Frameheader im<br />

Vergleich zu 64-Bit-WWPNs sinkt.<br />

Abbildung 1: Aufbau eines Fibre Channel SANs mit vier Servern, zwei Switches und zwei Speichersystemen<br />

(einem Dual-Controller Active-/ Passive-System mit SAS/ NL-SAS-HDDs und einem Single-Controller-System<br />

mit SATA-HDDs).<br />

nander kommunizieren können. Eine<br />

einzelne Node-Komponente – sei es der<br />

Port eines HBAs, eines Servers oder der<br />

Port eines Storage- oder Tape-Systems –<br />

kann dabei gleichzeitig Mitglied in mehreren<br />

Zonen sein.<br />

Zoning unterbindet damit den Zugriff<br />

von unberechtigten Servern auf für sie<br />

verbotene Storage-Systeme. Daneben verhindert<br />

Zoning auch die ungewünschte<br />

Kommunikation zwischen Servern untereinander<br />

sowie Unterbrechungen durch<br />

sogenannte Registered State Change<br />

Notifications (RSCNs) in der gesamten<br />

Fabric. RSCNs dienen der Benach<strong>richtig</strong>ung<br />

von Zustandsänderungen in der<br />

Fabric. Obwohl Zoning dafür sorgt, dass<br />

nur berechtigte Server überhaupt auf ein<br />

Storage-System zugreifen können, bleibt<br />

noch ein anderer Punkt bezüglich des<br />

Zugriffsschutzes offen.<br />

Sichtschutz<br />

Typischerweise werden auf einem Storage-System<br />

mehrere RAID Volumes<br />

erstellt, die vom Server aus über unterschiedliche<br />

Logical Units Numbers<br />

(LUNs) zugreifbar sind. Diese RAID Volumes<br />

sollen jeweils nur für bestimmte<br />

Server sichtbar sein – nicht alle Server,<br />

die grundsätzlich auf das Storage-System<br />

zugreifen dürfen, sollen auch alle dort<br />

vorhandenen RAID Volumes sehen.<br />

Was ist Zoning?<br />

Zoning ist eine Gruppierung von Nodes<br />

im SAN (zum Beispiel des HBA eines Servers<br />

mit Storage- oder Tape-Systemen).<br />

Durch das Zoning erreicht man einen<br />

Zustand, in dem nur Nodes, die sich gemeinsam<br />

in einer Zone befinden, mitei-<br />

Abbildung 2: FC Dual-Port-HBA QLE2562 von Qlogic.<br />

WWW. ADMi N - MAgAZi N . D e<br />

A DMi N<br />

AUSgABe 04-2011<br />

95


BASi CS<br />

Fibre Channel<br />

Die Lösung dafür heißt LUN Masking<br />

und kann sowohl am HBA als auch am<br />

Storage System vorgenommen werden,<br />

wobei die letztere Methode die verbreitetere<br />

und empfohlene ist (Abbildung 3).<br />

Zoning-Typen<br />

Zoning kann in der Regel über zwei Arten<br />

erreicht werden, und zwar mit Zoning<br />

basierend auf WWPNs (WWN Zoning)<br />

oder Domain- und Port-IDs (D, P; Port<br />

Zoning). Bei beiden Methoden unterstützen<br />

die Fabrics der Switch-Hersteller<br />

die Vergabe von Aliasnamen zur einfacheren<br />

Identifikation. WWPN basiertes<br />

Zoning erfordert zwar Konfigurationsänderungen,<br />

wenn ein HBA durch einen<br />

anderen ersetzt wird und sich damit<br />

dessen WWPN ändert. Allerdings kann<br />

hierbei ein HBA Port an beliebigen Ports<br />

am Fibre Channel Switch angeschlossen<br />

werden, ohne die Konfiguration zu ändern.<br />

Zoning basierend auf D-/P-IDs war<br />

früher weiter verbreitet und sollte heute<br />

bei Neuimplementierungen nicht mehr<br />

verwendet werden, da ein einfaches Vertauschen<br />

von Kabeln am Fibre Channel<br />

Switch zu falschen Partnern in einer Zone<br />

führt.<br />

Nachdem Zonen definiert sind, stellt sich<br />

die Frage, wie ein Fibre Channel Switch<br />

die Einhaltung dieser Zonen erzwingt.<br />

Früher weitverbreitet war das sogenannte<br />

Software Enforcement. Dabei filtert der<br />

Name Server in der Fabric jene Einträge<br />

heraus, die ein jeweiliger Host nicht sehen<br />

soll. Loggt sich ein Host in der Fabric<br />

ein, liefert ihm der Name Server nur die<br />

Adressen jener Kommunikationspartner,<br />

die sich in seiner Zone befinden. Diese<br />

Methode verhindert dabei aber keinen<br />

Zugriff, wenn ein Server Host die Adresse<br />

eines Storage Hosts etwa schon kennt.<br />

Wird also ein Storage Host nachträglich<br />

aus einer Zone entfernt, muss ein erneutes<br />

Einloggen des Server Nodes erzwungen<br />

werden, damit der Server die Adresse<br />

des Storage Hosts vergisst.<br />

Hardware-Schutz<br />

Hardware Enforcement bietet im Vergleich<br />

dazu einen weitaus besseren Zugriffsschutz.<br />

Hier wird die Kommunikation<br />

direkt in den ASICs (Application<br />

Specific Integraded Circuits) in Hardware<br />

gefiltert. Jeder Switch-Port hat dazu einen<br />

Filter hinterlegt, der nur jeden <strong>Daten</strong>verkehr<br />

zulässt, der von der Zoning-<br />

Konfiguration erlaubt wird.<br />

Bei den ersten Zoning Implementierungen<br />

der Switch-Hersteller war oft Hardware<br />

Enforcement nur bei Port Zoning<br />

möglich. WWN Zoning beruhte im Gegensatz<br />

dazu nur auf Software Enforcement.<br />

Dies führte zur Verwendung der<br />

Begriffe "Hard Zoning" für Port Zoning<br />

und "Soft Zoning" für WWN Zoning und<br />

zum Glauben, dass Port Zoning sicherer<br />

sei als WWN Zoning – was heute so nicht<br />

mehr zutreffend ist. Die Begriffe Hard<br />

Zoning / Port Zoning und Soft Zoning /<br />

WWN Zoning sollte man heute also am<br />

besten nicht mehr verwenden, um Missverständnissen<br />

vorzubeugen. Am besten<br />

ist es, von WWPN basierten oder D/ P-<br />

ID-basierten Zoning mit Software- oder<br />

Hardware-Enforcement zu sprechen.<br />

WWPN-basiertes Zoning mit Hardware-<br />

Enforcement kann dabei als Best Practise<br />

angesehen werden.<br />

Zoning-Ansätze<br />

Abschließend stellt sich noch die Frage,<br />

wie man die einzelnen N_Ports zu Zonen<br />

zusammenfasst. Diese könnten etwa basierend<br />

auf Storage-Systemen, Serverbetriebssystemen,<br />

Anwendungen oder Lage<br />

im Rechenzentrum gewählt werden. Jede<br />

dieser Gruppierungen hat aber ihre individuellen<br />

Nachteile, es hat sich daher das<br />

Single Initiator Zoning (SIZ), manchmal<br />

auch als Single HBA Zoning bezeichnet,<br />

durchgesetzt.<br />

Beim SIZ befinden sich in jeder Zone nur<br />

ein einzelner HBA-Port und die jeweiligen<br />

Storage-Ports, auf die der HBA-Port<br />

Infos<br />

[1] Desktop, Nearline & Enterprise Disk Drives:<br />

[http:// www. snia. org/ sites/ default/<br />

education/ tutorials/ 2007/ fall/ storage/<br />

WillisWhittington_Deltas_by_Design. pdf]<br />

[2] Fibre Channel naming and addressing conventions:<br />

[http:// features. techworld. com/<br />

storage/ 215/ fibre‐channel‐naming‐and‐add<br />

ressing‐conventions/]<br />

[3] How to interpret worldwide names:<br />

[http:// howto. techworld. com/ storage/ 156/<br />

how‐to‐interpret‐worldwide‐names/]<br />

[4] Secure SAN Zoning, Best Practices:<br />

[http:// www. brocade. com/ forms/ getFile?<br />

p=documents/ white_papers/ Zoning_Best_<br />

Practices_WP‐00. pdf]<br />

Abbildung 3: LUN Masking: Im Step 3 wählt man bei dieser EMC AX-4 aus, welcher Server auf die neue Virtual<br />

Disk zugreifen soll. Hinter dem Aliasnamen esx2.thomas-krenn.com sind dabei die WWPNs der HBAs dieses<br />

Servers hinterlegt.<br />

Der Autor<br />

Werner Fischer ist seit 2005 Technology Specialist<br />

bei der Thomas‐Krenn.AG und Chefredakteur<br />

des Thomas Krenn Wikis. Seine Arbeitsschwerpunkte<br />

liegen in den Bereichen Hardware‐<br />

Monitoring, Virtualisierung, I/ O‐Performance<br />

und Hochverfügbarkeit.<br />

96 AUSgABe 04-2011 A DMi N WWW. ADMi N - MAgAZi N . D e


Fibre Channel<br />

BASi CS<br />

zugreifen soll. So darf in Abbildung 4<br />

der Server 1 nur auf das Storage-System<br />

1 zugreifen.<br />

Wenn ein HBA-Port sowohl für den Zugriff<br />

auf Storage-Systeme als auch Tape-<br />

Systeme eingesetzt wird, werden dafür<br />

zwei separate Zonen eingerichtet. Damit<br />

erhalten die Tape-Systeme, die für Störungen<br />

durch RSCNs anfälliger sind,<br />

keine RSCNs von Storage-Systemen.<br />

Fazit<br />

Zoning und LUN Masking stellen zwei<br />

<strong>wichtige</strong> Bestandteile einer jeden sicheren<br />

SAN-Konfiguration mit Fibre-Channel-Technologie<br />

dar. Beide Mechanismen<br />

sollten daher in jedem Fibre Channel<br />

SAN zum Einsatz kommen [4]. WWPNbasiertes<br />

Zoning mit Hardware-Enforcement<br />

und die Implementierung von Single<br />

Initiator Zoning führen zu größtmöglicher<br />

Übersichtlichkeit und vereinfachen die<br />

Verwaltung des SANs erheblich. (ofr) n<br />

Abbildung 4: Ein Port eines HBAs und ein Port eines Storage-Systems befinden sich jeweils in einer Zone (blau und grün).<br />

Für Leser des <strong>ADMIN</strong>-<strong>Magazin</strong>s:<br />

Gutschein für 3 Storage-Kompendien gratis.<br />

Einfach unter www.searchstorage.de/registrierung anmelden und den Aktionscode „admin“<br />

verwenden.<br />

Sie gehen keine Verpflichtungen ein und bekommen die drei Ausgaben automatisch zugeschickt:<br />

• Storage-Konsolidierung: Intelligentes Sparen<br />

• Cloud Storage im Business-Fokus<br />

• Skalierbarer Storage für den Mittelstand<br />

Der Gutschein ist bis zum 31. Juli 2011 gültig.<br />

NEU!<br />

Jetzt Gutschein einlösen:<br />

www.SearchStorage.de/<br />

registrierung


TesT<br />

OCz Vertex 3<br />

OCZ SSD Vertex 3 im Test<br />

Am Gipfel<br />

der Hersteller OCz präsentiert einen neuen ssd-massenspeicher, der sich<br />

mit einem 6 gbps schnellen sATA-3-interface an die spitze der benchmarks<br />

katapultieren möchte. Oliver Frommel<br />

Wer dieses Jahr auf der Cebit war,<br />

konnte am Stand von OCZ schon erste<br />

Exemplare der neuen SSD OCZ Vertex<br />

3 bewundern. Mittlerweile hat ein solches<br />

Gerät auch den Weg in die <strong>ADMIN</strong>-<br />

Redaktion gefunden.<br />

Gegenüber den Modellen der Vorgängerserie<br />

Vertex 2 hat vor allem der Controller-Chip<br />

ein Upgrade erfahren. Der<br />

Sandforce SF-2281 beschert der SSD ein<br />

6Gbps-SATA-Interface und Support für<br />

verschiedene NAND-Standards wie 25nm<br />

Tabelle 1: benchmark<br />

Testfall Lesen Schreiben<br />

IOPS Sequenziell 18039 46906 14451 39571<br />

IOPS Random 17587 45983 6474 13907<br />

Durchsatz Sequenziell 356 MB/ s 381 MB/ s 181 MB/ s 188 MB/ s<br />

Durchsatz Random 356 MB/ s 380 MB/ s 181 MB/ s 187 MB/ s<br />

NAND und asynchrones NAND, das beispielsweise<br />

in den OCZ Agility 3 zum<br />

Einsatz kommt. Die Vertex-3-Laufwerke<br />

verwenden MLC-NAND-Chips (Multi-<br />

Level-Cell) in 25nm-Bauweise von Intel<br />

(siehe [1]).<br />

Eine andere Baureihe mit dem Namenszusatz<br />

„MAX IOPS“ greift auf 32nm-<br />

Chips von Toshiba zurück. Neben der<br />

Standard-Ausführung der Vertex 3 bietet<br />

der Hersteller auch noch eine Pro-Version<br />

an, deren Performance aber weitgehend<br />

identisch zur Standardausführung<br />

ist. Die von uns getestete OCZ Vertex<br />

3 beherrscht Native Command Queuing<br />

(NCQ) und das für die Performance und<br />

die Lebensdauer <strong>wichtige</strong> TRIM-Kommando<br />

(siehe [2]).<br />

Naturgemäß sind Benchmarks mit SSD-<br />

Speichern schwierig, denn ihre Leistung<br />

hängt stark von der Art der Nutzung ab.<br />

Unser Testsystem war ein Dell Poweredge<br />

T110 mit 8 GByte Hauptspeicher und einem<br />

zusätzlichen SATA-3-Controller Asus<br />

U3S6 in einem PCI-Express-Steckplatz.<br />

Für die Benchmarks haben wir »fio« verwendet,<br />

ein I/ O-Benchmarking-Tool von<br />

Jens Axboe, dem Maintainer des Block-<br />

Layers im Linux Kernel [3]. Die Methode<br />

gleicht derjenigen, die der <strong>ADMIN</strong>-Autor<br />

Werner Fischer in seiner Tätigkeit als<br />

Technology Specialist bei Thomas Krenn<br />

für eigene Tests verwendet hat [4]. Er<br />

misst sequenzielles und zufälliges Lesen<br />

und Schreiben, jeweils mit einzelnen und<br />

vier parallelen Prozessen.<br />

Technische daten OCz Vertex 3<br />

n Kapazität: 240 GBytes<br />

n Interface: Serial ATA-600<br />

n Abmessungen: 6.4 cm x 1/ 8H, 77 g<br />

n Interne Bandbreite: 550 MBps (lesen)/ 520<br />

MBps (schreiben) (Herstellerangaben)<br />

n Stromverbrauch : 3 Watt<br />

n Straßenpreis: 450 – 470 Euro<br />

98 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


SELBST IST DER<br />

<strong>ADMIN</strong>!<br />

Mit der MobyDick Telefonanlage haben Sie<br />

alle Fäden selbst in der Hand. Außerdem<br />

verbinden Sie die Features modernster<br />

Telefonie mit den Vorteilen von Voice over IP.<br />

NEU<br />

Kostenlose<br />

Community<br />

Version<br />

erhältlich<br />

Abbildung 1: Die OCZ Vertex 3 überzeugt durch hohe Lese-Performance.<br />

Die Testergebnisse sind in Tabelle 1 zu sehen. Mit einer Leserate<br />

von etwa 380 MByte/ s ist die Vertex 3 eine der schnellsten<br />

SSDs auf dem Markt (Abbildung 1). Auch eine Schreibrate von<br />

etwa 180 MByte/ s ist immer noch beeindruckend. Zum Test<br />

ist noch anzumerken, dass wir die SSD vor dem Benchmark<br />

bereits mehrfach beschrieben hatten, die Ergebnisse also eher<br />

einem Worst Case entsprechen.<br />

Das ist unter anderem der Grund für die starke Abweichung<br />

von den Herstellerangaben (siehe den Kasten „Technische <strong>Daten</strong>“),<br />

die für Lesen und Schreiben über 500 MByte/ s angeben.<br />

Ein weiterer Faktor ist die von uns verwendete Benchmark-<br />

Methode, deren zufällige <strong>Daten</strong> weniger gut für die Komprimierung<br />

durch den Sandforce-Controller geeignet ist. Der Hersteller<br />

selbst bevorzugt den unter Windows laufenden ATTO-Benchmark<br />

[5]. Auf Anfrage erklärte OCZ, dass nur SATA-Controller<br />

mit Intels Sandy Bridge die volle Performance der SSD ermöglichen:<br />

„If a P67 board is used, the SATA 3 controller limits the<br />

performance to a maximum of 400 Gbps. Sandybridge or the<br />

new Z68 boards have the native SATA III controller on board<br />

and utilize the full bandwidth of 600Gbps. In reality read /<br />

write scores will be maximum 370 / 380 Gbps.“<br />

Fazit<br />

Auch wenn unsere Testergebnisse sich deutlich von den Herstellerangaben<br />

unterscheiden, ist die OCZ Vertex 3 mit 240<br />

GByte derzeit einer der schnellsten SSD-Speicher auf dem<br />

Markt – die kleinere Schwester mit 120 GByte ist aufgrund der<br />

Bauart deutlich langsamer. Diese Performance hat allerdings<br />

ihren Preis, denn für 240 GByte muss der Kunde etwa 450 Euro<br />

auf den Tisch legen. (ofr)<br />

n<br />

Einfache Administration<br />

Intuitive Bedienbarkeit<br />

Hoch skalierbar von 1 bis 1000 User pro Server<br />

Standortvernetzung und Home Office Integration<br />

Quelloffen anpassbar<br />

auf OpenSource basierend<br />

Hochverfügbar<br />

Günstiger als Sie glauben<br />

Unified Communications:<br />

Telefon<br />

Video<br />

VoiceMail<br />

Präsenzmanager<br />

Instantmessaging<br />

FaxEmail Gateway<br />

PrintFax Gateway<br />

Conferencing<br />

Infos<br />

[1] Werner Fischer, So funktionieren SSD-Speicher, <strong>ADMIN</strong> 02/ 2011, S. 40<br />

[2] Werner Fischer, SSD-Performance optimieren, <strong>ADMIN</strong> 03/ 2011, S. 66<br />

[3] Fio: [http:// git.kernel.dk/ ?p=fio.git;a=summary]<br />

[4] I/ O-Performance-Vergleich:<br />

[http://www. thomas-krenn.com/de/wiki/I/O_Performance_Vergleich_<br />

von_Festplatten_mit_SSDs_und_Fusion-io_ioDrive]<br />

[5] ATTO-Benchmark: [http://www.attotech.com/products/product.php?<br />

sku=Disk_Benchmark]<br />

www.A dmin-mAgA zin.de<br />

Mehr Informationen finden Sie unter:<br />

http://www.pascom.net<br />

http://community.pascom.net<br />

pascom<br />

Netzwerktechnik GmbH & Co. KG<br />

Berger Straße 42<br />

94469 Deggendorf<br />

Tel.: +49 991 27006 - 0


TesT<br />

windows intune<br />

Windows Intune: PC-Verwaltung in der Cloud<br />

Im Einklang<br />

nyul, 123RF<br />

mit intune bietet microsoft eine zentrale unternehmenslösung für die Verwaltung und Absicherung von Clients<br />

ohne eigene Anschaffungskosten auf basis eines Cloud-dienstes. björn bürstinghaus<br />

Am gegenwärtigen Trend zur Cloud<br />

kommt niemand vorbei, und Microsoft<br />

bietet neben der eigenen Azure-Cloud<br />

auch fertig konfigurierte Dienste an. Einer<br />

davon ist Intune, das eine gehostete<br />

Lösung zur Verwaltung von Windows-<br />

Rechnern darstellt.<br />

Verwaltung in der Cloud<br />

Die folgenden Absätze verraten, welche<br />

Funktionen die cloudbasierte Verwaltungslösung<br />

beinhaltet und welche Voraussetzungen<br />

die Computer eines Unternehmens<br />

für die Nutzung des Dienstes<br />

erfüllen müssen.<br />

Da Microsoft einen 14-tägigen Testzeitraum<br />

für die Evaluierung von Windows<br />

Intune einräumt, kann jeder mit einer<br />

Windows Live ID [1] den Cloud-Dienst<br />

ausprobieren. Für die Installation der<br />

Client-Software muss auf den zu verwaltenden<br />

Systemen Windows XP Professional,<br />

Windows Vista (Business, Ultimate<br />

oder Enterprise) oder Windows 7 (Professional,<br />

Ultimate oder Enterprise) installiert<br />

sein. Das Management von Serverbetriebssystemen<br />

wie Windows Server 2008<br />

ist zum jetzigen Zeitpunkt mit Windows<br />

Intune nicht möglich.<br />

Die für Windows Intune benötigte<br />

Client-Software können Sie über die<br />

Weboberfläche herunterladen und entweder<br />

manuell pro System installieren<br />

oder bei vorhandener Active-Directory-<br />

Domäne per Gruppenrichtlinie oder mit<br />

einem benutzerdefinierten System-Center-Configurations-Manager-Skript<br />

automatisch<br />

verteilen. Die Zuweisung zu Ihrem<br />

Windows Intune Account geschieht<br />

automatisch über das im gezippten Paket<br />

enthaltene Zertifikat.<br />

Erst mal warten<br />

Die erste Kommunikation zwischen PC<br />

und Cloud findet direkt nach der Installation<br />

statt, sodass der neu hinzugefügte<br />

PC sofort in der Weboberfläche auftaucht.<br />

Die Inventarisierung dauert ein wenig<br />

länger, und Ergebnisse der Ermittlung auf<br />

potenzielle Probleme werden erst nach<br />

mehreren Stunden in der Weboberfläche<br />

angezeigt.<br />

100 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de


windows intune<br />

TesT<br />

u<br />

gen und der Verwaltung der Computer<br />

und den Windows Server Update Services<br />

(WSUS) für die Auslieferung von<br />

genehmigten Updates, realisiert der von<br />

Microsoft gehostete Live-Meeting-Dienst<br />

die Easy-Assist-Remote-Unterstützung.<br />

Erster Kontakt mit der<br />

Weboberfläche<br />

Abbildung 1: Hauptbestandteil der Client-Software ist das Windows Intune Center.<br />

Nach der Installation der Client-Software<br />

können Sie das Windows Intune Center<br />

(Abbildung 1) für die Suche nach neuen<br />