ADMIN Magazin Performance Tuning (Vorschau)

SSD: Der sichere Speicher
mit Selbstzerstörung
Zones: Container
ADMIN
Netzwerk & Security
20 Jahre Linux
Zahlen und Fakten
Scalr: Cloud-Anwendungen
automatisch skalieren
05 2011
Sep. – Okt.
Performance
Tuning
Tools und Know-how
Grundlagen richtiger I/O-Benchmarks
PostgreSQL-Datenbank beschleunigt
mit Open Solaris
Auf DVD:
Virtualisierungs-
Starter Kit
MIT EXTrA-BEILAGE
“VIrTuALISIEruNG”
Jetzt:
16 Seiten
mehr
gleicher Preis
E-Mail
Mit Sieve auf dem
Server filtern
High Availability
Artikelreihe zu HA
mit Linux
Wireshark
Fundierte Analyse
des Netz-Verkehrs
www.admin-magazin.de
Xenserver
Automatisierte
Installation
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 05

Managed
Hosting
sicher, flexibel und
verfügbar
Profitieren Sie von:
aktueller Clustertechnologie
ISO 27001 zertifiziertem
Hochsicherheits-Datacenter
Hosting direkt am DE-CIX
IPv4 und IPv6 Anbindung
24/7 Service und Support
Entdecken Sie den Unterschied
Professionelles Hosting mit persönlichem
und kompetentem Support.
Individuelle Hostinglösungen vom Server
bis zum Clustersystem. Beratung, Planung
und Service 24/7.
Wir bieten über 10 Jahre Erfahrung in
Hosting und Systemadministration.
Für mehr Performance, Sicherheit und
Verfügbarkeit, jeden Tag, rund um die Uhr.
www.hostserver.de/hosting
0 30 / 420 200 24 hostserver.de
Berlin Marburg Frankfurt am Main

das kleine zig
e ditoriA l
Das kleine ZIG
Liebe Leserinnen und Leser,
„Das kleine ZIG ist ein Fanal, / mit zwanZIG kommt’s zum erstenmal. / Du find’st
das kleine ZIG recht fein / und möchtest gar noch älter sein.“ (unbekannter Dichter)
Gerade, weil ich eigentlich Lyrik mag, löst diese Art volkstümelnder Pennälerpoesie
bei mir stets ein massives körperliches Unbehagen aus. Ich höre die Wildecker
Herzbuben grüßen, sehe Wackeldackel und gehäkelte Klopapierhüte vor meinem
inneren Auge, und mir wird flau in der Magengegend. Aber in diesem besonderen
Fall verlangt mir das Schicksal vielleicht eine schwere Prüfung in Selbstüberwindung
ab: Linux, der Jubilar feiert einen runden Geburtstag, ist prominent, das
Publikum bunt und würde das mit dem kleinen ZIG nicht doch passen?
Aber halt, vielleicht ja auch nicht. Wie alt werden Betriebssysteme eigentlich?
Wenn man sich unter Zeitgenossen und Altvorderen des Geburtstagskindes umsieht, gewinnt man eher den Eindruck,
Linux sei ein Greis, dem alle Altersgenossen bereits weggestorben sind. OS/ 2 zum Beispiel (1987-1999)
wurde schon mit 12 von seinem glücklosen Dasein erlöst. BeOS (1998-2001), das vorgebliche Multimedia-Betriebssystem,
kam bereits in frühester Jugend nicht mehr mit den Spielgefährten mit und schied im zarten Alter
von vier Jahren von hinnen. Auch seinen Nachfolger Zeta (2003-2007) ereilte der plötzliche Kindstod. Zuvor
hatte CP/ M (1974-1983) immerhin fast eine zweistellige Zahl an Jahren erreicht, die ihm post mortem sogar
zugebilligt werden kann, wenn man die Klone SCP und CP/ A mitrechnet, die noch bis über das Ende der Achtzigerjahre
hinaus in der DDR auf PC 1715 und Konsorten Dienst taten. Auf ein vergleichsweise biblisches Alter
brachte es MS-DOS: Zwischen der ersten (1981) und der letzten Version (DOS 8.0 in Windows ME, 1999) lagen
immerhin 18 Jahre. Aber eben keine 20. Und Windows ist nur dann ein Twen, wenn man viele Ausgaben am Anfang
mitzählt, die eigentlich gar kein Betriebssystem waren, sondern bloß ein grafischer Aufsatz für das dabei
unverzichtbare DOS.
Tatsächlich ältere Betriebssysteme – und hier deutet sich vielleicht ein genetischer Zusammenhang an – finden
sich vor allem im familiären Umfeld von Linux, unter den Unixen. AIX wurde 1986 geboren und erfreut sich heute
als Mitzwanziger noch immer bester Gesundheit. Rechnet man die ersten SunOS-Versionen (gebürtige BSDs)
mit, ist Solaris (verheiratetes System V) noch ein paar Jahre älter. Genauso alt ist HP-UX (*1982). Auch Sinix
(*1984) ist lange kein Teeny mehr, und Irix (*1983) liegt zwar auf dem Sterbebett (abgekündigt für 2013), wird
dann aber immerhin dreiZIG gewesen sein. Noch älter ist BSD (*1977), auch wenn es unter dem jugendlichen
Namen 4.4BSD firmiert.
Auf jeden Fall gibt der Stammbaum Grund zur Hoffnung auf noch ein paar Linux-Jahrzehnte, die die Erfolgsgeschichte
im Rechenzentrum fortsetzen. Desktop-Betriebssysteme gibt es dann, der Cloud sei dank, eh nicht
mehr, und so hat sich auch der Kleinkrieg mit Mac OS um die Brosamen erledigt, die von Microsofts Tisch fallen.
Linux aber lebt.
„Und werden’s hundert Jahr – famos! / – dann bist das ZIG Du wieder los!“
In diesem Sinn: Happy Birthday Linux!
@ leserbriefe@admin-magazin.de
www.facebook.com/adminmagazin www.twitter.com/admagz
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
3

SErvICE
Inhalt
ADMIN
Netzwerk & Security
05/2011
Software und Know-how für
Benchmarks und Performance-
Tuning ab S. 48.
Fundierte Netzwerk-
34Wireshark
Analyse mit dem
grafischen Open-Source-Tool.
Login
8 Branchen-News
Neues von Firmen und Projekten.
Netzwerk
30 Bonding
Netzwerke redundant auslegen.
Schwerpunkt: Performance-Tuning
48 Grundlagen
Basics des Performance-Tunings.
16 Vorgelesen
Bücher über Linux-Server und
Wireshark.
18 Admin-Story
Tagebuch eines IT-Nomaden.
22 20 Jahre Linux
Zahlen und Fakten zum Geburtstag.
34 Wireshark
Netzwerkanalyse mit Wireshark.
44 IPv6
Im Test: Autokonfiguration von
IPv6-Clients.
54 PostgreSQL
Die SQL-Datenbank aufgebohrt.
58 Windows Performance Toolkit
Analyse-Tools von Microsoft.
64 I/O-Benchmarks mit Fio
Storage-Analyse und -Tuning.
Security
24 Recht
Ist das Mitschneiden im Netzwerk legal?
Service
3 Editorial
4 Inhalt
6 Heft-DVD
130 Impressum und Vorschau
74 Phpass
PHP-Bibliothek für Passwortsicherheit
in Webanwendungen.
78 Securedrive
Der sicherste Datenspeicher der Welt.
4 AuSGABE 05-2011 A DMIN WWW. ADMIN- MAGAZIN. DE

Inhalt
S E rvICE
Das mutmaßlich
78Securedrive
sicherste SSD-Laufwerk
der Welt zerstört sich im
Notfall selbst.
Availability
Private Linux-
98High
Cloud mit KvM,
Libvirt und Pacemaker.
122Scalr
Cloud-Anwendungen
in der
Server-Farm skalieren.
Know-how
Basics
Test
80 Xenserver
Automatisierte Installation von
Xenserver.
114 Sieve-Mailfilter
Mails filtern mit Sieve.
122 Scalr
Die Cloud-Computing-Plattform Scalr.
86 Active Directory
Überblick über Active Directory:
Geschichte und Funktion.
92 Cloud-Forensik
Forscher untersuchen: Was brauchen
Cloud-Anwender für ihre Sicherheit?
118 Solaris Zones
Erste Schritte mit Open Solaris Zones.
126 Office 365
Office 365 vs Google Apps.
98 HA-Serie, Teil 2
Private Cloud mit Libvirt und KvM.
106 HA-Serie, Teil 3
Schritt für Schritt zum MySQL-Cluster.
Mehr Infos auf Seite 6
WWW. ADMIN- MAGAZIN. DE
A DMIN
AuSGABE 05-2011
5

serV ice
Heft-dVd
Heft-DVD
Auf der beiliegenden Heft-DVD befindet sich das Virtualisierungs-Starter
Kit, Edition 2011 von Microsoft:
◗ Aktuelle Vorträge, Case Studies, Tipps und Tricks.
◗ ISO-Image des Hyper-V Servers R2 mit Service Pack 1.
◗ Webcasts zu den Themen Virtualisierung und Cloud Computing.
◗ Datenträger ist eine Ecodisc, die bei der Produktion nur halb
so viel Energie verbraucht wie eine konventionelle DVD.
Wenn Sie auf Windows-Systemen die DVD einlegen, startet
automatisch der Browser und zeigt die Startseite des Starter-
Kits an. Auf Linux und Mac OS X können Sie einfach im
Browser die Datei »default.htm« öffnen.
n
DVD kaputt?
Wir schicken Ihnen kostenlos
eine Ersatz-DVD zu, E-Mail genügt:
info@admin-magazin.de
info
[1] Virtualisierungs-Seite bei Microsoft:
[http://technet.microsoft.com/de-de/virtualization]
[2] Hyper-V-Server:
[http://www.microsoft.com/germany/server/hyper-v-server]
[3] Ecodisc: [http://www.ecodisc.org]
6 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Der perfekte Auftritt
macht unseren Erfolg:
auf dem Laufsteg
und im Web.
Stefan Klos mit Model Janina
www.famepr.de
Erstellt mit dem PowerPlus-Paket
Stefan Klos
STRATO
Hosting
Für Anwender mit hohen Ansprüchen
Hosting PowerPlus L
statt
*
Ihre Website mit echten Profi-Features:
8 Domains und 5.000 MB Speicher im Paket inklusive
Unlimited Traffic und 10 MySQL-Datenbanken nutzbar
Pro-Features: PHP, Perl, Python, Ruby 8, Web-FTP u. v. m.
NEU! Inklusive neu entwickeltem STRATO Communicator
6 Monate für
Aktionsangebot nur
bis zum 30.09.2011
*
€/Mon.
Jetzt bestellen unter: s trato.de / hosting
Servicetelefon: 0 18 05 - 055 055
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
* 6 Monate 0 €/mtl., danach 14,90 €/mtl. Einrichtungsgebühr 14,90 €. Mindestvertragslaufzeit 12 Monate. Preis inkl. MwSt.

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Software und Produkte
Branchen-News
OpenNMS-Konferenz sucht Referenten
Die OpenNMS User Conference Europe (OUCE), die am 10. und
11. Mai 2012 zum vierten Mal in Fulda stattfinden wird, sucht
noch Vortragende. Die Referate sollten die verschiedenen Facetten
des freien Netzwerk-Management-Tools beleuchten und
dem Erfahrungsaustausch dienen. Als Hauptreferenten stehen
bereits Tarus Balog, CEO der OpenNMS Group, Inc. sowie David
Hustace, President der OpenNMS Group, Inc., fest.
Die Konferenz gliedert sich in einen Best Practice Day am ersten
Tag mit der Zielgruppe Geschäftsführer mit IT-Verantwortung,
IT-Leiter und Administratoren sowie dem bereits bewährten
Bar-Camp am folgenden Tag, das speziell für Anwender und
Administratoren konzipiert ist.
Der Call for Papers bezieht sich auf beide Tage, wobei am ersten
Tag 45-minütige Vorträge mit anschließender viertelstündiger
Diskussion erwartet werden, wogegen die Wortmeldungen
während des Bar-Camps fünf bis zehn Minuten umfassen und
in einer gemeinsamen Diskussion münden sollten. Vorschläge
lassen sich unter der Adresse [http://​www.​opennms‐conference.​info]
einreichen.
Erstmals veranstaltet der Konferenzausrichter NETHINKS GmbH
gemeinsam mit der OpenNMS Group direkt vor der OUCE eine
zweitägige, separat buchbare OpenNMS-Schulung, gegliedert
in eine Basic Session sowie eine Advanced Session. Der erste
Schulungstag richtet sich an Anwender, Administratoren und
interessierte IT-Leiter, die erste praktische Erfahrungen im Umgang
mit OpenNMS sammeln möchten. Am zweiten Tag lassen
sich erweiterte Kenntnisse erwerben, wenn bereits Erfahrungen
im Betrieb von OpenNMS vorhanden sind.
Konsolidierung: Novell zu Zukunftsplänen
Open Cloud Initiative gegründet
Bob Flynn, Präsident und General Manager bei Novell, gibt nach knapp drei
Monaten im Amt einen Ausblick auf die künftige Ausrichtung des Unternehmens
unter den Fittichen von Attachmate.
Flynn spricht in seinem Blogpost [http://​www.​novell.​com/​prblogs/​?​p=3907] vom
verschlankten Produktportfolio und dem auf die Bereiche Collaboration, Dateimanagement,
Netzwerk und Endpoint-Management ausgerichteten Fokus.
Novell werde dafür seine Entwicklungsmannschaft verstärken, kündigt Flynn
an, mit dem Ziel, die Produktzyklen zu beschleunigen. Im vierten Quartal
gäbe es dann bereits Neuerungen bei Groupwise, Open Enterprise Server,
ZENworks und Vibe.
Um Bestandskunden das Upgrade auf neue Versionen zu erleichtern, sei auch
eine Verlängerung und Verbesserung des Supportangebots geplant, damit
Kunden besser entscheiden können, wann der geeignete Zeitpunkt für einen
Umstieg gekommen ist.
Netware 6.5, Groupwise 7, ZENworks 7 werden in diesem Zusammenhang
genannt. Zudem will Novell laut Flynn bestehende Produkte konsolidieren
und verschränken und dafür etwa Funktionen
von Vibe in Groupwise integrieren.
Die auf Collaboration ausgelegte Vibe-Plattform
soll in diesen Planungen die Basis bilden
und wiederum Funktionen von Vibe Cloud
übernehmen. Der Vibe Cloud Service fällt
diesen Umstellungen laut Flynn zum Oper, er
soll Ende September eingestellt werden.
Nach der Übernahme durch Attachmate gibt
es unter dem Dach der gemeinsamen Holding
vier Geschäftseinheiten, die aus Attachmate,
Bob Flynn setzt auf Konsolidierung NetIQ, Novell und Suse bestehen. Suse fällt
und Verschlankung.
dabei das Linux-Enterprise-Portfolio zu.
Auf der Open Source Convention 2011 in Portland
gab die neu gegründete Open Cloud Initiative
OCI ihr Debüt. Ziel sei es, ein gesetzliches
Framework für offenes Cloud Computing zu
erstellen.
Als ersten Ansatz definiert sich die OCI auf
ihrer Webseite [http://​www.​opencloudinitiative.​
​org] als nicht kommerzieller Anwalt des freien
Cloud Computings und stellt die Open Cloud
Principles als „ein Set von Anforderungen für
offene Wolken auf, mit dem die Community
von Cloud-Anwendern und -Providern einen
Konsens erreichen kann.“ Ebenfalls mithilfe
von Community-Prozessen sollen die Prinzipien
dann in Produkten und Diensten Anwendung
finden.
Die verwendeten Standards müssen zwingend
vier Kriterien erfüllen, die da heißen: offen, detailliert
dokumentiert, veröffentlicht und unwiderruflich
kostenfrei verwendbar. Trademarks
sind nur zulässig, wenn sie der Compliance
dienen und nicht diskriminierend eingesetzt
sind. Unter den Client-Implementierungen muss
mindestens eine einer von der Open Source
Initiative (OSI) anerkannten freien Lizenz unterliegen
oder als Public Domain veröffentlicht
werden. Ferner verlangt das Manifest mehrere,
voll funktionsfähige und sorgfältige („faithful“)
Implementierungen von Server und Client.
8 AusgA be 05-2011 Admin
www.A dmin-mAgA zin.de

n immer auf http://www.admin-magazin.de +++++ neues
Eine Million Nutzer – Änderungen bei Ubuntu One
Für Ubuntus Cloud-Lösung Ubuntu One
kündigen die Entwickler Neuerungen an
und feiern einen Meilenstein.
Eine Million Anwender nutzen mittlerweile
den Ubuntu-One-Service. Das schreibt
das Projekt in einer Mitteilung in seinem
Blog. Ob das Canonical etwas Geld in die
Taschen spült, bleibt allerdings offen: Der
Leser erfährt nicht, ob diese Massen die
Gratis- oder Bezahlangebote nutzen.
Im gleichen Zug verbessert das Projekt
die Nutzungsbedingungen: Ubuntu One
Basic heißt nun Ubuntu One Free. Jedem
Nutzer stehen nun kostenlos 5 GByte freier
Speicherplatz zur Verfügung anstatt 2
GByte wie bisher. Auch die Bedingungen
für das kostenpflichtige Musik-Streaming
für iPhones und Androiden haben die
Ubuntu-One-Macher angepasst: Für 4 US-
Dollar im Monat erhält man 20 GByte
Speicherplatz und kann weltweit die
eigene Musiksammlung auf das Smartphone
streamen. Für drei US-Dollar mehr
lässt sich der Speicherplatz jeweils um 20
GByte erweitern.
Nicht zuletzt setzt die Ubuntu-One-Crew
deutlich mehr auf externe Anwendungsentwickler:
Ein eigenes App Developer
Program [https://​one.​ubuntu.​com/​developer/]
soll Interessierten dabei helfen, ihre Tools
an Ubuntu One anzupassen oder neue
Apps zu entwickeln. Die entsprechenden
APIs findet man im App Developer
Program.
STRATO
Hosting
Für Anwender mit
hohen Ansprüchen
Zuwachs bei Open Stack: HP steigt ein
Das ursprünglich von der NASA und dem
Hoster Rackspace initiierte Open-Stack-
Konsortium ist um ein Schwergewicht
der IT-Branche reicher: Hewlett-Packard.
Emil Sayegh, Vizepräsident Cloud Services
bei HP, vermeldet in seinem Blog
die Beteiligung am Open-Source-Cloud-
Computing-Projekt.
Auch HP habe erkannt, dass offene und
interoperable Infrastrukturen für den Erfolg
von Cloud Computing kritisch seien.
Open Stack mit seiner schnell wachsenden
Community und dem Konsortium,
das mittlerweile aus über 90 Firmen oder
Behörden und mehr als 1200 Teilnehmern
bestünde, sei da der richtige Weg.
HP will eine „aktive Rolle“ einnehmen,
auch deshalb tummeln sich bereits Mitarbeiter
auf Launchpad [https://​launchpad.​
​net/​openstack] und im IRC Channel. Darüber
hinaus wolle man auch die beiden
Veranstaltungen Open Stack Design
Summit und Open Stack Conference mitfinanzieren.
Open Stack stellt eine freie Cloud-Computing-Umgebung
bereit und bringt dazu
Dienste fürs Management, die Rechenarbeit
und Storage mit. Geht es nach den
Initiatoren des Projektes, dann soll Open
Stack demnächst der Industriestandard
unter den Cloud Computing Plattformen
werden.
www.famepr.de
Erstellt mit dem PowerPlus-Paket
Hosting
PowerPlus L
6 Monate
für
*
€/Mon.
Gewinner von Open-Source-Förderung stehen fest
Anlässlich der Froscon-Konferenz 2011
in Sankt Augustin wurden die Sieger der
diesjährigen Open-Source-Förderungen
bekanntgegeben: Die Projekte Kanotix,
X2go, Gridcalendar, Coreboot und ReactOS
erhalten Server-Hardware im Gesamtwert
von 6500 Euro. Mit der Aktion
will die Thomas Krenn AG gemeinsam
mit dem Linuxhotel und Univention förderungswürdige
Open-Source- und Community-Projekte
aktiv unterstützen und
bekannt machen. Dazu stellt das firmeneigene
Wiki die Projekte näher vor.
Die Förderaktion fand dieses Jahr zum
zweiten Mal statt, die Preise wurden wieder
von der Thomas Krenn AG gestiftet.
Peter Ganten (Univention / Open Source
Business Alliance), Ingo Wichmann
(Linuxhotel), Jacqueline Rahemipour
(Referentin für Freie Projekte LinuxTag
e.V.) und Werner Fischer (Technology
Specialist bei Thomas Krenn) bildeten
die Jury. Weitere Informationen zur
Open-Source-Förderung sind unter [http://​
​www.​thomas‐krenn.​com/​de/​wiki/​Thomas_Krenn_
Open_Source_Förderung_2011] zu finden.
Aktionsangebot nur
bis zum 30.09.2011
Jetzt bestellen unter:
strato.de
Servicetelefon: 0 18 05 - 055 055
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
www.A dmin-mAgA zin.de
* 6 Monate 0 €/mtl., danach 14,90 €/mtl. Einrichtungsgebühr 14,90 €.
Mindestvertragslaufzeit 12 Monate. Preis inkl. MwSt.

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Red-Hat-Chef zur Linux-Zukunft
Red Hats CEO Jim Whitehurst, der auf der
kommenden LinuxCon Nordamerika die
Keynote am Eröffnungstag halten wird,
äußerte sich jetzt in einem Gespräch mit
der Linux Foundation zur Zukunft des
freien Betriebssystems.
Auf die Frage, wo er Linux an seinem
20.Geburtstag sehe, sagte Whitehurst:
„Linux ist ganz klar das Betriebssystem
des Web 2.0 und der Cloud. Praktisch
jede neue Applikation und jedes neue
Start-up im Web entwickelt einen Linux-
Stack. Linux wandelte sich von einer
brauchbaren Alternative zu traditionellen
Betriebssystemen zum Standard. Darauf
sollten wir alle sehr stolz sein.“
Weiter ging Whitehurst darauf ein, wie
sich die Erwartungen der Kunden verändert
haben. „Das ist eine schwere Frage“,
Sieht Linux als Betriebssystem des Web 2.0: Red-
Hat-CEO Jim Whitehurst.
sagte er. „Während Linux wuchs und reifte,
haben sich die Anwendererwartungen
stärker auseinanderentwickelt. Da gibt es
einerseits die technisch orientierten Kunden,
die ganz spezielle Anforderungen an
die Skalierbarkeit, Zuverlässigkeit und/
oder Sicherheit haben. Und andererseits
ist da die breite Masse von Kunden, denen
es hauptsächlich darauf ankommt,
dass alles gut funktioniert. Sie wollen,
dass ihre bevorzugten Anwendungen für
Linux zertifiziert werden und dass Partner
Linux-Dienstleistungen anbieten.“
Was ist die bedeutendste Herausforderung
für Linux, wurde Whitehurst weiter
gefragt, und was ist nötig, um ihr zu begegnen?
„Ich glaube, heute wird jeder mit
mir darin übereinstimmen, dass Linux
eine brauchbare Alternative zu anderen
Betriebssystemen ist. Diese Schlacht ist
gewonnen. In den nächsten Jahren muss
es darum gehen, diese Akzeptanz in konkrete
Einsatzfälle umzumünzen.“
Konferenz „Powering the Cloud“ in Frankfurt
Am 2. und 3. November 2011 finden im Kongresszentrum
Frankfurt/Main unter dem Motto „Powering the Cloud“ die
drei Konferenzen SNW Europe, Datacenter Technologies und
Virtualization World statt. Nach der Vorstellung der Veranstalter
reflektiert der Leitspruch den aktuellen Trend zum Cloud Computing,
das als natürliche Weiterentwicklung von Virtualisierungstechnologie
in Form von serviceorientierten Architekturen
beinahe jedes Unternehmen erfasst, unabhängig von dessen
Größe und Art.
Zu den Themen der diesjährigen Konferenzen gehören Datenspeicherung,
Datenverwaltung, Datenschutz und Datensicherheit
für die Cloud, Virtualisierung von Desktop, Server, Speicher
und Netzwerken, konvergierende Netzwerke von Datenzentren
sowie ergänzende Architekturen und Technologie.
Die Themen werden in 130 Vorträgen präsentiert und in Tutorien
und Training Labs vertieft. Mehr Informationen zu
der Veranstaltung finden sich unter der Adresse [http://​www.​
​poweringthecloud.​com].
Microsoft und Suse verlängern Zusammenarbeit
Microsoft und der Linux-Distributor Suse verlängern ihre Zusammenarbeit
um weitere vier Jahre. Microsoft verpflichtet
sich im Rahmen der bis 2016 datierten Kooperation, 100 Million
US-Dollar in neue Suse Linux Enterprise Zertifikate für Kunden
zu investieren, die Linux Support von Suse erhalten. In den
vergangenen fünf Jahren sollen weltweit bereits 725 Kunden
aus allen Branchen von der Zusammenarbeit der beiden Unternehmen
profitiert haben. Ziel ist es dabei, vor allem die
Interoperabilität zu verbessern und Support für beide Welten
aus einer Hand anbieten zu können. Auch mit Blick auf Cloud-
Angebote sind die plattformübergreifenden Dienstleistungen
besonders interessant.
„Unsere Zusammenarbeit mit Suse hilft unseren Kunden, nicht
nur heute erfolgreich zu sein“, sagt Sandy Gupta, General Manager
der Open Solutions Group bei Microsoft. „sie legt auch ein
solides Fundament für die Zukunft. Dank unseres fortgesetzten
Engagements auf der technischen Seite, der außerordentlichen
Supportangebote von Suse und unserer Zusicherungen im Gegenzug
sind wir sicher, unseren Kunden, die gemischte Umgebungen
betreiben, auch in Zukunft – und in der Cloud – zentrale
Werte weitergeben zu können.“
© Microsoft
Lukratives Areal für den Suse-Gecko: Microsofts Campus in Redmond.
10 AusgA be 05-2011 Admin
www.A dmin-mAgA zin.de

n immer auf http://www.admin-magazin.de
Lisog + Live = Open Source Business Alliance
Der Linux-Unternehmerverband Live und der Open-Source-
Verein Lisog tun sich zusammen. Die Mitglieder haben nun dem
seit Längerem geplanten Vorhaben zugestimmt.
Auf ihren Mitgliederversammlungen Ende Juli 2011 haben die
Linux Solutions Group e.V. (Lisog) und Live Linux-Verband e.V.
beschlossen, beide Vereine zu verschmelzen, heißt es in der
gemeinsamen Mitteilung.
Schon Ende 2010 hatten sich die Vorstandsvertreter der beiden
Unternehmervereinigungen auf eine gemeinsame Absichtserklärung
verständigt. Äußeres Zeichen dafür war im November
die Erweiterung des Lisog-Vorstandes durch die Vorstände des
Linux-Verbandes, Elmar Geese, Peter Ganten und Rico Barth.
Der neue gemeinsame Name lautet Open Source Business Alliance
e.V. (OSBA). Der 1997 gegründete Linux-Verband bringt
103 Mitglieder mit, die seit 2005 bestehende Linux Solutions
Group 124.
Die Kooperation bedurfte einiger Vorarbeiten, weil es doppelte
Mitgliedschaften gibt und auch das Vereinsrecht bei einer Fusion
beachtet sein will. Unterschiedliche Interessen und Finanzierungsfragen
taten ein Übriges.
Gemeinsames Ziel ist es, den Einsatz von Linux- und auf Open-
Source basierender Software in Unternehmen und öffentlichen
Einrichtungen zu fördern sowie Open-Source-Anbieter zu vertreten.
Mit der Fusion hofft man auf eine stärkere Position bei
der Interessenvertretung gegenüber Politik und Verwaltung.
Bis zur ersten Mitgliederversammlung der OSBA soll ein aus
den gewählten Vorständen von Live und Lisog bestehendes
Gremium die Leitung des neuen Vereins übernehmen. Sitz der
Open Source Business Alliance sei Stuttgart, eine Repräsentanz
in Berlin sei geplant.
TM
MobyDick
Die Zukunft der Telefonie
Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
der Hand. Außerdem verbinden Sie die Features modernster
Telefonie mit den Vorteilen von Voice over IP.
Die Kommunikationslösung für Ihr
Unternehmen
Cent OS 6.0 auch als Live-CD
Der freie Red-Hat-Klon Cent OS ist in Version 6.0 auch als Live-
Distribution verfügbar. Damit unterscheidet sich das Community-Linux
vom Vorbild Red Hat Enterprise Linux, aus dessen
GPL-Quelltext es entsteht. Zum Anfertigen der Live-Medien
kommen die Livemedia-Tools des Fedora-Projekts zum Einsatz.
Die Pakete entstammen dem regulären Cent OS 6.0, darunter
Kernel 2.6.32, Glibc 2.12 und Bash 4.1.
Als Desktop-Umgebung dient Gnome 2.28.0. Die Macher weisen
allerdings darauf hin, dass nicht alle üblichen Desktop-
Anwendungen auf der Live-CD Platz gefunden haben. Unter
anderem sind aber Firefox, Thunderbird, Gimp, Gthumb und
Pidgin an Bord.
Weitere Informationen finden sich in den Release Notes [http://​
​wiki.​centos.​org/​Manuals/​ReleaseNotes/​CentOSLiveCD6.​0] und beim
Cent-OS-Live-CD-Projekt [https://​projects.​centos.​org/​trac/​livecd/].
Die Cent-OS-Live-CD eignet sich beispielsweise unter anderem
auch zur Festplatteninstallation. ISO-Images für x86 und
x86_84 stehen auf den Mirror-Servern [http://​www.​centos.​org/​
​modules/​tinycontent/​index.​php?​id=30] des Projekts zum Download
bereit.
www.A dmin-mAgA zin.de
Unified Communications:
Telefon
Video
VoiceMail
Präsenzmanager
Instantmessaging
FaxEmail Gateway
PrintFax Gateway
Conferencing
Mehr Informationen finden Sie unter:
http://www.pascom.net
http://community.pascom.net
NEU
Kostenlose
Community
Version
erhältlich
pascom
Netzwerktechnik GmbH & Co. KG
Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0

Login
news
SmartOS bringt Open Solaris und Linux-
Virtualisierung zusammen
Die Firma Joyent hat das Betriebssystem
SmartOS freigegeben, das
auf Open Solaris und der Linux-
Virtualisierungslösung KVM basiert.
Als Code-Basis diente den
Entwicklern der vom Storage-Hersteller
Nexenta initiierte Open-Solaris-Fork
Illumos. Darauf haben
sie den Linux-Hypervisor KVM
portiert, der als leistungsfähige
Virtualisierungstechnologie seit
einiger Zeit etablierten Lösungen
wie Xen und VMware Konkurrenz
macht.
Beispielsweise basiert auch Red
Hats „Enterprise Virtualization“
auf KVM. SmartOS richtet sich an
jeden Anwender, der einen Server
betreiben möchte, und wird
laut FAQ von Joyent bereits produktiv
im eigenen Datacenter
eingesetzt. Einer der maßgeblichen
Entwickler hinter SmartOS
ist Bryan Cantrill, der früher bei
Sun an Solaris arbeitete, aber nach
der Übernahme durch Oracle das
Unternehmen verließ. Er sieht
großes Potenzial darin, Schlüsseltechnologien
wie ZFS und
DTrace von Solaris und KVM von
Linux in einem fortschrittlichen
Betriebssystem zusammenzubringen.
Diese Rolle soll nun SmartOS
übernehmen, das unter der CDDL
lizenziert ist. In dem Blog-Eintrag
[http://​dtrace.​org/​blogs/​bmc/​2011/​08/​
​15/​kvm‐on‐illumos/] berichtet er von
den Erfahrungen, die sein Team
bei der Portierung von KVM gemacht
hat. Im Joyent-Blog [http://​
​smartos.​org/​blog/] sind einige Hinweise
zu den Downloads sowie
farbige Grafiken über den bisherigen
Zuspruch zu finden.
IT-Arbeitsmarkt wächst
Software- und IT-Services werden in diesem Jahr – wie
schon im vergangenen – einen Jobzuwachs von 4,4
Prozent generieren. Allein in diesem Segment wird es
dann hierzulande über 600 000 Arbeitsplätze geben, wie
der Branchenverband BITKOM jetzt vorrechnet. Mehr
als die Hälfte der Hightech-Firmen wollen in diesem
Jahr neue Mitabeiter einstellen, in der gesamten ITK-
Branche wird eine Zunahme um mehr als 10 000 auf
858 000 Stellen prognostiziert. Gleichzeitig sind nach
einer BITKOM-Untersuchung 29 000 Stellen für Informatiker
in der deutschen Wirtschaft unbesetzt. Diese
Zahl liegt weit über den bei der Bundesanstalt für Arbeit
gemeldeten offenen Stellen, weil viele Personalchefs
Informatiker eher über Stellenbörsen oder Headhunter
zu rekrutieren versuchen. Entsprechend sehen fast 60
Prozent der Unternehmen den Fachkräftemangel als
Wachstumshemmnis an. Innerhalb der Branche zeigt
sich ein uneinheitliches Bild: So verzeichnen Telekommunikation
und Hardware-Produktion leichte Rückgänge
beim Stellenangebot, wogegen Softwarehäuser und
IT-Dienstleister überdurchschnittlich zulegten. Alles in
allem, so BITKOM-Präsident Prof. Dieter Kempf, baue
die Branche ihre Position als zweitgrößter industrieller
Arbeitgeber kurz hinter dem Maschinenbau weiter aus.
Red Hat Enterprise Virtualization 3.0 Beta verfügbar
Red Hat hat die Betaversion von Red Hat Enterprise Virtualization
(RHEV) 3.0 veröffentlicht. Der Red Hat Enterprise Virtualization
Manager ist in der neuen Version eine Java-Anwendung,
die auf der JBoss Enterprise Application Platform läuft. RHEV
unterstützt bis zu 128 logische CPUs, 2 TByte Speicher für Hosts
sowie bis zu 64 virtuelle CPUs und 2 TByte Speicher in Gastsystemen.
Anwender können über ein Webportal virtuelle Maschinen
einrichten, Templates definieren und ihre eigene Umgebung
administrieren. Über eine REST-Webservice-Schnittstelle lassen
sich alle Aspekte der Virtualisierungslösung in eigenen Programmen
und Skripts konfigurieren und steuern.
Zum Einsatz in sehr großen Installationen bietet Red Hat Enterprise
Virtualization neue, mehrstufige Administrationsfunktionen.
Eine standardmäßig integrierte Reporting Engine erlaubt
die Analyse der Nutzung von Applikationen und der Auslastung
virtueller Maschinen. Schließlich profitieren auch Anwender
von Desktop-Virtualisierung von der neuen RHEV-Version durch
WAN- und Performance-Optimierungen von SPICE, einschließlich
dynamischer Kompression und einem automatischen Tuning
der Desktop-Darstellungen. Mehr Informationen zu Red
Hat Enterprise Virtualization finden sich unter [http://​www.​
​red‐hat.​com/​rhev].
Programm für 1. Deutsche Python-Konferenz steht
Vom 4. bis 9. Oktober 2011 findet im Leipziger Kubus die 1.
Deutsche Python-Konferenz (PyCon DE 2011) statt. Nun haben
die Organisatoren das Programm fertiggestellt.
Den Auftakt gibt am 4. Oktober das kostenlose Python-Barcamp.
Gleichzeitig finden die kostenpflichtigen Tutorials statt, in denen
die Dozenten ihr Know-how zu Django, Zope, Plone und
weiteren Themen vermitteln. Auch ein Einsteiger-Tutorial für
Python-Neulinge ist dabei.
Das Kernstück bilden die Vorträge vom 5. bis 7. Oktober. Sie
bieten eine Themenmischung für Anfänger und Fortgeschrittene.
Unter anderem geht es um das Framework Web2py, Python
und Postgresql, Kryptografie mit der Skriptsprache und das Paketieren
von Anwendungen. Zope und Plone sind mit mehreren
Referaten vertreten, außerdem geht es um Django 3000, das
Mischwesen Cython, XML, IPv6-Socketprogrammierung und
die Suchmaschine PyLucene.
Anschließend stehen der 8. und 9. Oktober für Entwickler-
Sprints zur Verfügung, zu denen eine Anmeldung erwünscht,
ein Ticket aber nicht erforderlich ist.
Weitere Informationen zur Veranstaltung sowie Ticket-Preise
finden sich auf der Homepage der Python-Konferenz [http://​de.​
​pycon.​org/​2011/​home/].
12 AusgA be 05-2011 Admin
www.A dmin-mAgA zin.de

news
Login
Oracle reserviert Ksplice für seine Kunden
Nach dem Kauf der Firma Ksplice schließt Oracle seine Konkurrenten von der Nutzung
der Technologie aus. Oracle hat den Abschluss des Kaufs der Firma Ksplice bekanntgegeben,
die die gleichnamige Technologie entwickelt, die das Einspielen von Bugfixes in
den Linux-Kernel ohne Reboot erlaubt. In Zukunft will Oracle den Ksplice-Service im
Rahmen seines Premier-Support-Programms anbieten. Explizit weist Oracle in seinem
Brief an die Kunden darauf hin, dass der Ksplice-Dienst nur Anwendern des eigenen
Unbreakable Enterprise Kernel zur Verfügung steht. Der Support von Red Hat Enterprise
Linux und Suse Enterprise Linux sei
nicht geplant.
In einer Präsentation (PDF) [http://​www.​
​oracle.​com/​us/​corporate/​Acquisitions/​ksplice/​
​general‐presentation‐430138.​pdf] stellt
Oracle die eigene Linux-Variante (die
im Wesentlichen auf Red Hat Enterprise
Linux basiert) dem Produkt von
Red Hat gegenüber und hebt hierbei die
Verfügbarkeit von „Zero Downtime Updates
with Ksplice“ als Vorteil heraus.
Im Forum der IT-News-Site Slashdot
wurden Rufe nach einem Ksplice-Fork, Oracles Vergleich des hauseigenen Linux (links) mit dem
beispielsweise durch Red Hat, laut. von Red Hat (rechts) fällt recht einseitig aus.
Samba 3.6.0 unterstützt
SMB-2-Protokoll
Über SMB 2 sollten alle Features nutzbar
sein, laut den Entwicklern sind
lediglich Modifikationen der Nutzer-
Quotas mit den Windows Quota Management
Tools nicht möglich. SMB
2, seit Windows Vista im Einsatz, ist
allerdings nicht die Default-Einstellung
und muss aktiviert werden.
Samba 3.6.0 bringt zudem mehr
Sicherheit in den Standardeinstellungen,
einen stark überarbeiteten
Druckbereich, vereinfachtes ID-Mapping
und ein neues Modul für die
Traffic-Analyse.
Die Release Notes listen Details und
Änderungen auf. Die Quellen gibt es
auf dem Download-Server des Samba-Projekts
[http://​download.​samba.​org/​
​samba/​ftp/​stable].
1. Lernen Sie!
Ja, ã training-on-the-jobÒ , oft praktiziert, aber nicht
Ÿ berzeugend. Denn die Kollegen haben nie Zeit
fŸ r echte ErklŠ rungen, au§ erdem werden ã NeueÒ
sofort von dem vereinnahmt, was im Unternehmen
schon seit Ewigkeiten tradiert wird. Warum gibt's
seit 2000 Jahren Schulen und UniversitŠ ten?
ã LERNENÒ ist eine vollwertige TŠ tigkeit, auf die
man sich konzentrieren mu§ , die man nicht 'mal
eben so nebenbei tun kann, und die immer auch
eine Prise ã ErneuerungÒ beinhalten sollte!
2. Ineffiziente Arbeit nicht akzeptieren!
Je spezialisierter Sie arbeiten, desto weniger
echte, fachliche Kollegen haben Sie in Ihrem eigenen
Unternehmen. Wir stellen deshalb Gruppen
zusammen, in denen Sie neben hilfsbereiten
Kollegen mit Š hnlichen Kenntnissen an IHREM
Projekt arbeiten. Und stŠ ndig ist ein fachlicher Berater
anwesend.
ã Guided CoworkingÒ nennen wir das, und es
kš nnte DIE Lš sung fŸ r so manches Projekt sein,
das in Ihrer Firma ã haktÒ .
3. Hintergrund
Wer den riesigen OpenSource-Baukasten schnell
beherrschen mu§ , geht zu einer unserer Ÿ ber 100
Schulungen. Wer das bereits kann, aber schneller
mit seinen Projekten vorankommen will, der
kommt mit seiner Arbeit zum Guided Coworking.
Wir sind eine der erfolgreichsten Schulungseinrichtungen
im gesamten Bereich ã OpenSourceÒ
- sowohl fŸ r Admins, als auch fŸ r Entwickler.
Siehe www.linuxhotel.de

«Seitdem ich Microsoft ® Exchange benutze, hindert mich nichts mehr daran,
effizient zu sein, wenn ich unterwegs bin. Ich synchronisiere meine Aufgaben
und meine Kalender und teile sie mit meinen Mitarbeitern.»
1 bis 1000 E-Mail-Accounts pro Domain
25 GB Speicherplatz pro Account
Gemeinsam genutzte Kalender und Aufgaben
Anti-Virus, Anti-Spam
Webmail (OWA), Outlook ®
(MAPI)
Mobile Synchronisation (ActiveSync)

Die professionelle
Groupwarelösung
Hosted 2010
Ihre E-Mail-Accounts mit 25 GB Speicherplatz
TM
3, 96 €
inkl. MwSt. / Monat / Account
Mehr Informationen: www.ovh.de/mail oder 0049 (0) 681 906730
Ortsnetznummer
Europas Webhoster Nr. 1
Quelle NetCraft – Juni 2011
Domains | | E-Mails | | Hosting | VPS | VPS | | Server | | Private Cloud | | Cloud | SMS | SMS | | Telefonie
OVH.DE

Login
bücher
Bücher über Wireshark und Linux-Server
Vorgelesen
ein dicker wälzer will Administratoren von Linux-servern bei ihren täglichen
Aufgaben helfen. das zweite werk ist englischsprachig und vermittelt
die netzwerkanalyse mit wireshark. udo seidel, michael müller
Der Netzwerk-Sniffer Wireshark gehört
schon lange zur Werkzeugkiste des
Admin. Die Vielfalt der Anwendungsmöglichkeiten
kann man inzwischen sogar
in einem offiziellen Trainingsprogramm
erlernen. Das Buch von Laura Chappell
basiert auf diesem Lehrgang, ist im Eigenverlag
erschienen und soll dem Leser
unter anderem helfen, ein „Wireshark
Certified Network Analyst“ zu werden.
Mit rund 800 Seiten wirkt das Buch zunächst
etwas abschreckend, aber schon
ein erstes Durchblättern zeigt, dass der
Umfang durch viele Screenshots zustandekommt.
Dies lässt sich bei einem grafischem
Tool wohl auch kaum vermeiden.
Positiv fällt auf, dass die Autorin die Details
in den Screenshots beschriftet hat.
Eine ernstzunehmende Beschreibung eines
Netzwerk-Analyse-Werkzeugs muss
zumindest den TCP/ IP-Stack besprechen,
besser noch wäre das ISO-OSI-Schichtenmodell.
Laura Chappell behandelt dieses
Thema leider erst nach zirka 40 Prozent
des Buches. Dieser Kritikpunkt wiegt
aber weniger schwer, weil die Autorin
den wichtigsten Netzwerk-Protokollen
wie DNS, DHCP, HTTP(S), FTP, SMTP,
POP, WLANs, und VoIP jeweils ein Kapitel
widmet. Am Ende der Kapitel befinden
sich Fragen, damit der Leser seinen
Wissenszuwachs überprüfen kann.
Das im Buch vermittelte Wissen ist keineswegs
akademisch – die Praxisrelevanz
zeigt sich in vielen Beispielen aus dem
Admin-Alltag, und zu jedem Fall bekommt
der Leser einen Arbeitsplan in die
Hand. An manchen Stellen ist diese Auflistung
aber zu umfangreich und wirkt
dann unübersichtlich. Das volle Potenzial
des Buches erschließt sich dem Leser
erst per Online-Zugabe: Auf der Webseite
[http://​www.​wiresharkbook.​com] finden
sich über 200 MByte an Netzwerk-Traces
begleitend zum Buch.
Laura Chapell bietet dem Leser eine Fülle
an Informationen. Durch sein Konzept
eignet sich das Buch allerdings eher zum
Lernen als zum Nachschlagen. Mit 70
Euro ist der Preis für das Buch recht
stattlich.
Server-Handbuch
Das Buch „Linux-Server“ von Dirk
Deimeke und seinen Mitverfassern reiht
sich nicht zwischen die vielen Bücher
zur Installation und Administration des
Betriebssystems ein. Das Autorenteam
setzt vielmehr solides Grundwissen voraus,
um sich typischen Server-Themen
zu widmen.
Es behandelt Fileserver, Web- und Mailserver,
Druckserver, Hochverfügbarkeit,
Virtualisierung und mehr. Dazu gesellt
sich Grundlegendes wie Bootvorgang
oder Berechtigungen, wozu die Autoren
detailliertes Wissen vermitteln. Dabei
schürfen die Verfasser jedoch nicht derart
tief wie Bücher, die sich auf ein einziges
Thema konzentrieren – der Band ist in
der Lücke zwischen Grundlagen und Spezialthemen
angesiedelt. Am ehesten lässt
er sich mit einem Buch wie dem „Official
Ubuntu Server Book“ vergleichen.
Der erste Teil „Grundlagen“ befasst sich
mit dem Bootvorgang, mit Festplatten,
Dateisystemen und Berechtigungen. Dabei
geht es nicht einfach darum, wie man
einen Bootloader installiert, sondern wie
der Bootvorgang im Detail abläuft und wie
der Administrator Störungen beseitigen
kann. Die weiteren Abschnitte widmen
sich Aufgaben, Diensten, Infrastruktur,
Kommunikation, Automatisierung sowie
Sicherheit, Verschlüsselung und Zertifikaten.
Jeder Teil besteht aus mehreren Kapiteln.
Aus dem Bereich Kommunikation
sei das Netzwerk-Kapitel herausgegriffen:
Hier behandeln die Autoren nicht die üblichen
Tools, sondern deren (noch) nicht
ganz so bekannte Nachfolger wie »ip«
oder »iproute2«. Daneben geht es um
Bonding, Netfilter, Iptables sowie Netzdienste
wie DHCP und DNS.
Das Buch lässt sich angenehm lesen und
verwendet überschaubare Listings. Theorie
und Praxis wechseln einander ab. Den
Schreibstil der Autoren hat das Lektorat
soweit angeglichen, dass Unterschiede
zwar noch erkennbar sind, aber keinen
Bruch im Lesefluss verursachen. An manchen
Stellen wäre etwas mehr Tiefgang
wünschenswert. Doch es wird sicherlich
eine Menge Leser geben, die Gefallen gerade
an der Mischung zwischen Grundwissen
und Spezialthemen finden, die
diesen Band ausmacht. (mhu)
n
Wireshark Network Analysis
Wireshark Network Analysis
Laura Chappell
University, 2010
800 Seiten
70 Euro
ISBN 978-1-893939-99-8
Linux-Server
Linux-Server
Dirk Deimeke, Charly Kühnast,
Stefan Kania, Stefan Semmelroggen,
Daniel von Soest
Galileo Computing 2011
815 Seiten 50 Euro
ISBN 978-3-8362-1469-8
16 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

HOCHVERFÜGBARKEIT
WIRD ENDLICH BEZAHLBAR
Ausfallsicherheit - unkompliziert, sicher und kostengünstig!
IHRE VORTEILE
• Hochverfügbarkeit eingebaut
• Eingebaute Fehlermustererkennung
• Simple WEB-GUI
• eingebaute Virtualisierung
powered by
Rufen sie uns an unter:
Tel: 08551/9150-171
Infos unter:
www.thomas-krenn.com/stratus-tk
Flächendeckendes Händler- und Servicenetz
in der Schweiz: www.thomas-krenn.com/ch
www.thomas-krenn.com
EU: +49 (0) 8551 9150-0 · AT: +43 (0) 7282 20797-3600 · CH: +41 (0) 848 207970
Made in Germany!

LO gin
Admin-story
Tagebuch eines IT-Nomaden
Auf Knopfdruck
webapplikationen unkompliziert in die Cloud schicken: mit dem neuen Paas-service Openshift gelingt dies mit
nur wenigen Handgriffen. Thorsten scherf
Freitag 17 Uhr: Das Notebook ist seit
15 Minuten aus, und ich bin schon fürs
Lauftraining umgezogen, um das Wochenende
einzuläuten, da klingelt das
Telefon. Eine Kollegin und Freundin aus
Kalifornien ruft an und erzählt mir stolz
von einer neuen Perl-Webanwendung,
die sie geschrieben hat. Zum Wochenende
möchte sie diese gerne der Welt
zur Verfügung stellen, hat aber leider keinen
Webspace mehr frei und fragt mich
nun, ob ich ihr aus der Patsche helfen
könne. Genau die richtige Gelegenheit,
um Openshift ein wenig näher an die US-
Westküste zu bringen, denke ich mir, und
vergesse erstmal das Training, um ihr zu
erklären, worum es dabei geht.
Cloud-Service für lau
Openshift ist ein Platform-as-a-Service
(PaaS) Cloud-Service, der diverse Programmiersprachen,
Frameworks und
Datenbanken unterstützt. Der Zugriff ist
auf Basis diverser Level organisiert. Der
Einsteiger-Level nennt sich Express und
ist für jedermann – und frau – frei zugänglich.
Über ein Kommandozeilen-Tool
bietet es die Möglichkeit, eigene Applikationen
in einer Cloud-Umgebung bereitzustellen.
An Programmiersprachen
unterstützt die Express-
Variante Java 6 EE, Ruby,
PHP und Perl. Im Backend
kommen MySQL oder SQLite zum Einsatz.
128 MByte Festplattenplatz und
256 MByte RAM sind die zur Verfügung
stehenden Hardware-Ressourcen in einer
Shared-Hosting-Umgebung.
Wer mehr möchte, muss auf den nächsten
Level „Flex“ upgraden, braucht dafür jedoch
einen Amazon Webservice Account.
Damit erhält der Benutzer wesentlich größere
Kontrolle über die Umgebung, Shell-
Zugriff und er kann seine Java-Applikationen
entweder auf einem JBoss- oder
Tomcat-Applikationsserver bereitstellen.
Der höchste Level „Premium“ steht zurzeit
noch nicht zur Verfügung, soll
aber im Kürze erscheinen.
Hier ist das das komplette
Programm eines
Cloud-Anbieters verfügbar.
Beispielsweise
lassen sich Standalone-Programme
ohne Webfrontend
bereitststellen, ein
Templating-System
für virtuelle Systeme
hilft bei der
Skalierung, und
auch die Anzahl
der unterstützten Programmiersprachen
ist hier größer.
Für meine kalifornische Kollegin und
ihre Perl-Applikation reicht aber erst mal
der Express-Level. Also erkläre ich ihr
alle Schritte, die zum Einstieg notwendig
sind. Als Erstes wäre da die Registrierung
auf der Openshift-Webseite [1]. Um die
notwendigen Client-Tools zu installieren,
fehlt noch ein zusätzliches Software-
Repository. Für Fedora 14/ 15 oder RHEL 6
zeigt Listing 1 die entsprechende Yum-Repository-Datei,
für andere Systeme (auch
Windows oder Mac OS X) finden sich auf
der Openshift-Website Installationsanleitungen.
Die Konfigurationsdatei
ist unterhalb von »/etc/yum.
repos.d/« abzuspeichern,
beispielsweise als »openshift.repo«.
© skvoor; 123RF
18 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Admin-story
LO gin
Schließlich holt »yum install rhc« die
Client-Tools auf den eigenen Rechner.
Damit es richtig losgehen kann, ist im
ersten Konfigurationsschritt ein Domänenname
zu generieren. Dieser wird
nachher Teil der Applikations-URL und
ist innerhalb der Openshift-Umgebung
eindeutig. Man ist also gut beraten, einen
sinnvollen Namen zu wählen. Listing 2
zeigt ein Beispiel.
Nun muss der Cloud-Service nur noch
wissen, wie die eigene Applikation heißt
und in welcher Sprache sie geschrieben
ist. Hier ist neben der Sprache selbst auch
die Version derselbigen anzugeben. Die
Idee dabei ist, dass die Plattform später
einmal mehrere Versionen derselben
Sprache unterstützt, und dann natürlich
wissen muss, welche Version die Applikation
verwendet. Es wäre unschön, wenn
auf der Serverseite beispielsweise Python
2 zum Einsatz käme, das Programm aber
in Python 3 realisiert ist. Wie auch beim
Erzeugen der Domäne reicht auch für
das Anlegen der eigenen Applikation ein
einziger Befehl (Listing 3).
Das war’s auch schon fast. Wie Listing 3
zeigt, ist zum Abschluss nun noch die eigentliche
Applikation auf den Server zu
schieben. Da als Versionkontrollsystem
Git [2] zum Einsatz kommt, stellt auch
dies kein großes Problem dar und gelingt
in wenigen Schritten. Beim Anlegen der
Applikation hat das Tool auch einen Git-
Projektordner erzeugt. Darin enthalten ist
eine vorgeschriebene Directory-Struktur.
Beispielsweise nimmt der Unterodner
»spaceuploader/perl« die eigenen Code-Dateien
auf. In der Datei »deplist.txt «lassen
sich Perl-Module auflisten, die zum Betreiben
der Anwendung notwendig sind, diese
werden dann automatisch installiert.
Eine Readme-Datei gibt Auskunft über
die weiteren Ordner und deren Aufgabe.
Die eigenen Dateien sind schließlich mit
»git commit -a -m "first commit for world
domination"« in das Git-Repository zu
befördern. Ein »git push origin master«
übertragt die Daten vom lokalen in das
entfernte Git-Repository. Somit steht die
Anwendung nun über die oben genannte
URL der ganzen Welt zur Verfügung.
Der Aufruf von »rhc-user-info« zeigt noch
einmal die Details zur Anwendung an,
also beispielsweise die HTTP- und Git-
URL, sowie das verwendete Framework,
in diesem Fall also Perl 5.10. Möchte
man die einmal erzeugte Anwendung im
Nachgang modifizieren, also beispielsweise
eine Datenbank hinzufügen oder
den Webdienst stoppen oder eventuell
auch dauerhaft von der Bildfläche verschwinden
lassen, so gelingt dies mit
dem Tool »rhc-ctl-app«.
Auf die Plätze ...
Geschafft: Die Anwendung ist online,
meine Kollegin ist glücklich und kann
über das Wochenende nach Herzenslust
neue Versionen ihrer Applikation in die
Cloud stellen. Ich bin mir sicher, dass
meine Hilfe dazu nicht mehr notwendig
ist. Ich wünsche viel Spaß und verabschiede
mich von ihr und kann endlich
loslaufen – heute stehen allerdings nur
15 km auf dem Programm, ich sollte also
schnell wieder zurück sein. (ofr) n
Infos
[1] Openshift: [http:// openshift. redhat. com]
[2] Git: [http:// git‐scm. com]
Der Autor
Thorsten Scherf arbeitet als Senior Consultant
für Red Hat EMEA. Er ist oft als Vortragender
auf Konferenzen anzutreffen. Wenn ihm neben
der Arbeit und Familie noch Zeit bleibt, nimmt
er gerne an Marathonläufen teil.
Listing 3: Anlegen der Applikation
01 # rhc‐create‐app ‐a spaceuploader ‐t perl‐5.10
‐l tscherf@gmail.com
02 Password:
03
04 Found a bug? Post to the forum and we'll get
right on it.
05 IRC: #openshift on freenode
06 Forums: https://www.redhat.com/openshift/
forums
07
08 Attempting to create remote application space:
spaceuploader
09 Contacting https://openshift.redhat.com
10
11 RESULT:
12 Successfully created application: spaceuploader
13
14 Checking ~/.ssh/config
15 Contacting https://openshift.redhat.com
16 Adding rhcloud.com to ~/.ssh/config
17 Now your new domain name is being populated
worldwide (this might take a minute)...
18 Pulling new repo down
19 Warning: Permanently added
Listing 1: Yum-Konfiguration für Openshift-Tools
01 [openshift‐express]
02 name=Openshift‐express
03 baseurl=https://openshift.redhat.com/app/repo/
rpms/$releasever/$basearch/
04 failovermethod=priority
05 skip_if_unavailable=1
06 gpgkey=https://openshift.redhat.com/app/repo/
RPM‐GPG‐KEY‐redhat‐beta
07 ggpkey=https://openshift.redhat.com/app/repo/
RPM‐GPG‐KEY‐redhat‐release
08 enabled=1
09 gpgcheck=1
Listing 2: eigene domäne in Openshift
01 # rhc‐create‐domain ‐n tuxgeek ‐l tscherf@gmail.com
02 Password:
03 Generating Openshift Express ssh key to /home/
tscherf/.ssh/libra_id_rsa
04 Generating public/private rsa key pair.
05 Created directory '/home/UserName/.ssh'.
06 Enter passphrase (empty for no passphrase):
07 Enter same passphrase again:
08 Your identification has been saved in /home/
UserName/.ssh/libra_id_rsa.
09 Your public key has been saved in /home/UserName/.
ssh/libra_id_rsa.pub.
10 Creation successful
11
12 You may now create an application. Please make note
of your local config
13 file in /home/tscherf/.openshift/express.conf which
has been created and
14 populated for you.
'spaceuploader‐tuxgeek.rhcloud.
com,174.129.129.190' (RSA) to the list of known
hosts.
20 Enter passphrase for key '/home/tscherf/.ssh/
libra_id_rsa':
21 Confirming application spaceuploader is
available
22 Attempt # 1
23
24 Success! Your application is now published
here:
25
26 http://spaceuploader‐tuxgeek.rhcloud.com/
27
28 The remote repository is located here:
29
30 ssh://df488b98f21847c6907a6b2193bff2dc@
spaceuploader‐tuxgeek.rhcloud.com/~/git/
spaceuploader.git/
31
32 To make changes to your application, commit to
spaceuploader/.
33 Then run 'git push' to update your OpenShift
Express space
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
19

http://www.linuxfoundation.org/

lO gin
Recht
imagesource, 123RF
Was beim Sniffen erlaubt ist und was nicht
Chef hört mit
ein unternehmer möchte Fehlern in seinem netz auf den grund gehen
und den netzwerkverkehr aufzeichnen, um ihn zu analysieren. was aber
sagt das datenschutzrecht dazu? Vilma niclas, elisabeth Opfermann
Jedes Unternehmen ist daran interessiert,
IT-Probleme möglichst zu vermeiden
oder, so schnell es geht, zu beheben.
Soweit dabei das Netzwerk im Spiel ist,
hilft es zuweilen, wenn man analysiert,
was genau übertragen wurde. Je nachdem,
ob man nur einen bestimmten
Rechner oder den gesamten Netzwerkverkehr
überwacht oder mitschneidet,
gelangt man dabei zwangsläufig an die
unterschiedlichsten Protokoll- und/ oder
Benutzungsdaten von Betriebssystemen,
Softwareanwendungen, Online-Abrufen,
Telekommunikationsanlagen, Routern,
E-Mail-Servern, Firewalls, Proxy-Servern
und so weiter. Der Administrator hat Einblick
in E-Mail-Kommunikationen, beispielsweise
wer an wen wann eine E-Mail
versandt hat, sieht E-Mail-Adressen von
Empfängern, etwa von Freunden der Angestellten
und kann auch den Inhalt von
E-Mails einsehen. Auch sämtliche Websites,
die besucht wurden, lassen sich
mitloggen. Es fallen sehr viele sensible
Daten an. Der Chef erfährt so unter Umständen
Sachen, die ihn nichts angehen.
Nicht nur juristisch, auch in technischer
Hinsicht, ist eine uneingeschränkte Netzwerküberwachung
problematisch: Die
anfallende Datenmenge wäre bei einem
kompletten Mitschnitt sehr groß. In der
Praxis wird der Netzwerkverkehr daher
oft nur anlässlich eines konkreten Fehlers
protokolliert oder überwacht. Dies ist
auch in datenschutzrechtlicher Hinsicht
zu empfehlen.
Ist Sniffen erlaubt?
Grundsätzlich gilt: Das Datenschutzrecht
verbietet es, den Netzwerkverkehr uneingeschränkt
und vollständig zu überwachen
oder mitzuschneiden – ohne
Differenzierung für den Einzelfall. Eine
teilweise oder vorübergehende Überwachung
kann aus bestimmten Gründen
erlaubt sein. Es kommt dafür auf den
Zweck der Überwachung und auf die Art
der erfassten Daten an.
Nicht jeder Datensatz ist geschützt. Datenschutzgesetze
wie das Telekommunikationgesetz
(TKG), das Telemediengesetz
(TMG) und das Bundesdatenschutzgesetz
(BDSG) schützen ausschließlich
personenbezogene Daten. Das sind nach
§ 3 BDSG: „Einzelangaben über persönliche
oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen
Person“.
Schutzwürdige Daten sind zum Beispiel
Name, Geburtsdatum, Adresse sowie
Kontodaten, Patientenakten, Informationen
über die ethnische Herkunft, die
politische oder sexuelle Orientierung.
Entscheidend ist, ob eine Person anhand
der Daten direkt oder mittelbar zu identifizieren
ist.
Insbesondere bei IP-Adressen scheiden
sich die Geister. Man kann intern leicht
feststellen, wer mit welcher IP-Adresse
an welchem Rechner wo im Internet war.
Darf man diese Daten unbefristet speichern
oder die IP-Adressen der Nutzer der
Website? Das Amtsgericht Berlin-Mitte
24 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

(AZ: 5 C 314/ 06) geht davon aus, dass IP-
Adressen personenbezogene Daten seien
und untersagte dem Bundesministerium
der Justiz (BMJ), die IP-Adressen der Nutzer
der Webseite des BMJ zu speichern.
Diese Ansicht teilten das schweizerische
Bundesgericht im September 2010 sowie
der Düsseldorfer Kreis, eine Expertenrunde
deutscher Datenschützer. Anderer
Meinung ist das Amtsgericht München
(Urteil v. 30.09.08; AZ: 133 C 5677/ 08):
Aufgrund der dynamischen Vergabe von
IP-Adressen sei der Personenbezug nur
temporär, weshalb davon ausgegangen
werden könne, dass IP-Adressen keine
personenbezogenen Daten seien. Dieser
Streit könnte sich lösen, wenn mithilfe
von IPv6 jeder nur noch statisch vergebene
Adressen nutzt. Dann bestünde
der Personenbezug dauerhaft und eine
IP-Adresse würde unumstritten zum personenbezogenen
Datum.
Sind die Mitarbeiter
einverstanden?
Oberstes Gebot im Datenschutz ist die
Datenvermeidung. Es sollen nur so wenig
personenbezogene Daten wie möglich
gespeichert werden. Um so geringer
ist die Missbrauchsgefahr. Ferner dürfen
Daten nur für einen bestimmten Zweck
erhoben und später dann allein dazu verwendet
werden. Darüber hinaus erlauben
es deutsche Datenschutzvorschriften
nur unter engen Voraussetzungen,
personenbezogene Daten zu erheben, zu
verarbeiten oder zu speichern. Voraussetzung
ist: Entweder erlaubt dies ein
Gesetz ausdrücklich, oder derjenige, auf
betriebsrat einbeziehen
Sofern ein Betriebsrat vorhanden ist, ist dieser
bei technischen Maßnahmen wie dem
Mitschneiden des Netzwerkverkehrs darüber
zu informieren und einzubeziehen. Nach § 75
Absatz 2 Betriebsverfassungsgesetz (BetrVG)
sind Betriebsrat und Arbeitgeber verpflichtet,
für die freie Entfaltung der Persönlichkeit der
Arbeitnehmer zu sorgen. Dazu gehört, dass der
Arbeitnehmer selbst bestimmen kann, was mit
seinen Daten passiert – die sogenannte informationelle
Selbstbestimmung. Der Betriebsrat
ist nach § 80 Abs. 1 Nr. 1 BetrVG verpflichtet,
den Arbeitnehmerdatenschutz durchzusetzen.
Er ist mitbestimmungspflichtig bei der Protokollierung
und Auswertung von Arbeitnehmerdaten,
§ 87 Abs. 1 Nr. 6 BetrVG, also bei jeglicher
den sich die Daten beziehen, hat sich
im Vorfeld damit einverstanden erklärt.
Das kann etwa im Arbeitsvertrag erfolgt
sein, einem Annex dazu, einer separaten
Einwilligung zur Datenspeicherung (§ 4 a
BDSG) oder der Arbeitgeber hat in einer
Betriebsvereinbarung die gelegentliche
Netzwerküberwachung geregelt (siehe
Kasten).
Eine Einwilligung muss im Vorfeld,
schriftlich und freiwillig erfolgen. Der Betroffene
muss über den genauen Umfang
der Einwilligung Bescheid wissen. Ändern
sich Umstände, ist die Einwilligung
zu erneuern. Sie gilt immer nur für den
darin jeweils genau formulierten Zweck
der Datenerhebung. Eine Einwilligung
von allen Betroffenen einzuholen, ist oft
kompliziert und zeitaufwendig. Bei einer
E-Mail etwa müssten theoretisch Absender
und Empfänger der Überwachung
zustimmen. Es ist daher immer besser,
wenn das Gesetz eine Speicherung erlaubt.
Je nach konkretem Sachverhalt
gibt es einige Paragrafen, nach denen die
Protokollierung von Unternehmensdaten
zur IT-Sicherheit ohne mühsame Einwilligung
erlaubt ist.
Was erlaubt das Gesetz?
So erlaubt etwa das Telekommunikationsgesetz
in § 100 Absatz 1: „Soweit erforderlich,
darf der Diensteanbieter zum
Erkennen, Eingrenzen oder Beseitigen
von Störungen oder Fehlern an Telekommunikationsanlagen
die Bestandsdaten
und Verkehrsdaten der Teilnehmer und
Nutzer erheben und verwenden.“ Auf
diese gesetzliche Erlaubnis kann sich ein
Einführung von technischen Einrichtungen zur
Überwachung oder Kontrolle der Arbeitnehmer.
Diese dürfen nicht die allgemeinen Persönlichkeitsrechte
des Arbeitnehmers verletzen. Eine
Betriebsvereinbarung sollte die Speicherung,
deren Zweck und auch die Art und Weise sowie
den Umfang der Auswertung von Protokolldateien
eindeutig regeln, etwa Fragen wie: Zu welchem
Zweck wird die Netzwerküberwachung
durchgeführt (etwa zur Fehlerbehebung), wer
hat Zugriff auf die Daten, wie lange werden
diese gespeichert, was sind die Konsequenzen
für Mitarbeiter, die dagegen verstoßen? Ferner
kann darin die private Internetnutzung am Arbeitsplatz
gestattet, verboten und/ oder unter
besondere Voraussetzungen gestellt werden.
stark · schnell · innovativ
www.A dmin-mAgA zin.de

lO gin
Recht
Arbeitgeber jedoch nur beziehen, wenn
er die private Nutzung von Internet und
E-Mail am Arbeitsplatz erlaubt hat und
er damit nach einer Rechtsansicht gleichzeitig
ein Diensteanbieter für seine Angestellten
ist. Aber es spricht vieles dafür,
die private Nutzung von Anlagen den
Arbeitnehmern zu verbieten.
Bestandsdaten sind Daten eines Kunden,
die den Vertrag mit dem Telekommunikationsanbieter
betreffen, wie Name und
Adresse des Vertragskunden. Je nach Art
des Vertrags können weitere Daten dazugehören
wie die E-Mail-Adresse oder
das Geburtsdatum. Diese Daten speichert
jeder Provider zu Abrechnungs- und
Vertragszwecken. Noch sensibler sind
Verkehrsdaten, die im Rahmen der Telekommunikation
erhoben, verarbeitet
oder genutzt werden, also zum Beispiel
wer wann mit wem telefoniert oder mit
welcher E-Mail-Adresse kommuniziert
hat, Nummer oder Kennung der beteiligten
Anschlüsse, Beginn und Ende der
jeweiligen Verbindungen oder die übermittelten
Datenmengen. Zur Speicherung
von Bestands- und Verkehrsdaten nach §
100 TKG entschieden das LG Darmstadt
(Urteil vom 06.06.2007, Az. 10 O 562/ 03)
und das AG Bonn (Urteil vom 5.07.2007,
Az. 9 C 177/ 07): Die Speicherung von
Daten kann bis zu sieben Tage nach dem
Ende der jeweiligen Internetverbindung
erforderlich und zulässig sein, um Störungen
zu beheben. Eine gesetzliche
Grundlage für diese Speicherdauer gibt es
nicht. Oft löschen Provider Verkehrsdaten
sofort oder spätestens nach sieben Tagen
– aufgrund des Urteils des Bundesverfassungsgerichtes
zur Vorratsdatenspeicherung.
Das Gericht hatte die deutschen
Gesetze zur Vorratsdatenspeicherung für
verfassungswidrig erklärt. Die europäischen
Vorgaben sind weiterhin in Kraft,
eine neue gesetzliche Regelung zur Vorratsdatenspeicherung
in Deutschland
steht aus.
Was erlaubt der
Arbeitnehmerdatenschutz?
Während ein Betriebsinhaber sein Netzwerk
vor Fehlfunktionen schützen will,
haben Arbeitnehmer, Kunden oder Dritte
an der Kommunikation Beteiligten, ein
großes Interesse am Schutz ihrer personenbezogenen
Daten.
Das BDSG regelt in § 32 Absatz 1: „Personenbezogene
Daten eines Beschäftigten
dürfen für Zwecke des Beschäftigungsverhältnisses
erhoben, verarbeitet oder
genutzt werden…“ Zwecke des Beschäftigungsverhältnisses
sind der Beginn,
die Durchführung und das Ende eines
Arbeitsverhältnisses. Werden die Daten
also zum Beispiel erhoben, um den Arbeitsvertrag
zu vervollständigen oder den
Lohn zu zahlen, erlaubt das Gesetz dem
Arbeitgeber, die Daten ohne Einwilligung
des Beschäftigten zu erheben. Diese
Rechtsgrundlage hilft aber nicht weiter,
wenn der Arbeitgeber aus rein technischen
Gründen, also zum Beispiel zur
Fehlersuche, die personenbezogenen Daten
wie die private E-Mail-Adresse oder
die Adresse eines flüchtigen Bekannten
des Arbeitnehmers speichert. Dies hat
nichts mit dem speziellen Beschäftigungsverhältnis
zu tun.
Kundendaten speichern?
Daten von Kunden dürfen nach § 28 Absatz
1 Nummer 1 BDSG nur für den jeweiligen
Vertrag gespeichert werden oder
soweit besondere Steuer- oder Archivierungsvorschriften
eine Speicherung vorsehen.
Diese Daten dürfen aufgrund der
engen Zweckbindung jedoch nicht zur
Fehlerbehebung im Netzwerk ausgewertet
oder gar dafür gespeichert werden. Der
Kunde müsste dafür im Vorfeld der Speicherung
seiner Daten zustimmen. Dem
Unternehmer könnte bei der Speicherung
Fragen an den datenschützer
Wir fragten Marco Tessendorf, Geschäftsführer
der procado Consulting, IT- & Medienservice
GmbH in Berlin, der als Datenschutzbeauftragter
für diverse Unternehmen tätig ist.
Darf man als Inhaber eines mittelständischen
Unternehmens den Netzwerkverkehr uneingeschränkt
überwachen?
Tessendorf: Auf gar keinen Fall ist eine uneingeschränkte
Überwachung zulässig. Jedoch muss
er den sicheren Betrieb seiner Infrastruktur
gewährleisten können. § 9 BDSG schreibt dazu
im Detail umzusetzende Kontrollziele vor, dazu
gehört ggf. auch die Überwachung des Netzwerkverkehrs.
Muss ich die Daten anonymisieren? Muss ich
vor einem Mitschnitt den Betriebsrat einbeziehen?
von weiteren Kunden- und Arbeitnehmerdaten
zur Fehlerbeseitigung aber je nach
Sachverhalt gegebenenfalls § 28 Absatz
1 Nummer 2 BDSG helfen. Darin heißt
es: „Das Erheben, Speichern, Verändern
oder Übermitteln personenbezogener
Daten oder ihre Nutzung als Mittel für
die Erfüllung eigener Geschäftszwecke
ist zulässig, ……2. soweit es zur Wahrung
berechtigter Interessen der verantwortlichen
Stelle erforderlich ist und kein
Grund zu der Annahme besteht, dass das
schutzwürdige Interesse des Betroffenen
an dem Ausschluss der Verarbeitung oder
Nutzung überwiegt,….“
Zunächst muss die Datenerhebung erforderlich
sein. Dies ist der Fall, wenn
es keine objektiv zumutbare Alternative
dazu gibt. An zweiter Stelle steht eine
Abwägung zwischen den Interessen des
Unternehmens und denen der von der
Speicherung betroffenen Personen. Ein
zulässiger Netzwerkscan setzt voraus,
dass die Interessen des Unternehmers im
Einzelfall ebenso wichtig sind, wie die
des Betroffenen. Überwiegen schutzwürdige
Interessen des Betroffenen, dessen
Daten gespeichert werden, ist die Maßnahme
nicht erlaubt. Dies könnte der
Fall sein, wenn dessen Recht auf informationelle
Selbstbestimmung etwa durch
eine Profilbildung besonders stark tangiert
wird. Wiegen die Interessen gleich
schwer, wäre die technische Maßnahme
erlaubt. Eine sehr vage Vorschrift zu der
gleichzeitig wenig Rechtsprechung existiert.
Kann der Unternehmer gewährleis-
Tessendorf: Der interne Netzwerkmitschnitt
weist in der Regel nur IP/ MAC-Adressen aus,
keine Benutzernamen. Ohne den zeitlichen Bezug
zur Anmeldung eines Benutzers an einem
Rechner sind die Rohdaten bereits quasi pseudonymisiert.
Das heißt, eine erste Erhebung kann
man auch ohne den Betriebsrat durchführen.
Eine konkrete personenbezogene Auswertung
sollte aber immer mit dem Betriebsrat und dem
Datenschutzbeauftragten abgestimmt werden.
Am besten sollte man die Netzwerküberwachung
in einer Betriebsvereinbarung regeln, vor allem
unter welchen Voraussetzungen eine Netzwerküberwachung
erforderlich ist, wer Zugriff auf
die erhobenen Daten hat, Speicherdauer der
Aufzeichnungen, wie die sichere Aufbewahrung
gewährleistet wird, welche arbeitsrechtlichen
Konsequenzen bei festgestelltem Fehlverhalten
eines Mitarbeiters zu ergreifen sind.
26 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

ten, dass die personenbezogenen Daten bei ihm sicher aufbewahrt
werden, wäre dies ein Pluspunkt für den Unternehmer und könnte
dazu führen, dass die Interessenabwägung zugunsten des Unternehmers
ausfällt. Zur IT-Sicherheit ist jedes Unternehmen ohnehin
verpflichtet, mithin ein guter Grund, das Unternehmen mal wieder
einem IT-Sicherheits-Check-Up zu unterziehen.
IT-Sicherheit gewährleisten
Der Unternehmer muss sich um die IT-Sicherheit in seinem Betrieb
kümmern. Er ist sogar nach dem Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich (KonTraG) ausdrücklich zur
IT-Sicherheit verpflichtet, umgesetzt ist das etwa im Aktiengesetz
in § 91 Absatz 2: „Der Vorstand hat geeignete Maßnahmen zu treffen,
insbesondere ein Überwachungssystem einzurichten, damit
die den Fortbestand der Gesellschaft gefährdenden Entwicklungen
früh erkannt werden.“
Der Vorstand muss dies mit der Sorgfalt eines ordentlichen und
gewissenhaften Geschäftsleiters tun, § 93 Aktiengesetz. Vorstandsmitglieder,
die ihre Pflichten verletzen, sind der Gesellschaft fünf
Jahre lang zum Ersatz des daraus entstehenden Schadens verpflichtet,
§ 93 Absatz 2 Aktiengesetz. Ein Beispiel: Der Vorstand
unterschreibt einen Fernwartungsvertrag ohne die IT-Sicherheit
zu gewährleisten und Dritte greifen daraufhin illegal auf Daten
zu. Ist streitig, ob der Vorstand die Sorgfalt eines ordentlichen
und gewissenhaften Geschäftsleiters angewandt hat, trifft ihn die
Beweislast, § 93 Absatz 2 Aktiengesetz. Die Vorschrift gilt entsprechend
für andere Gesellschaftsformen wie GmbHs, also nicht nur
für Aktiengesellschaften.
Dies bedeutet: Jedes Unternehmen muss sich um die IT-Sicherheit
zwingend kümmern. Sie ist Prüfungsinhalt der Wirtschaftsprüfer.
Das Datenschutzrecht regelt in § 7 BDSG: „Fügt eine verantwortliche
Stelle dem Betroffenen durch eine nach diesem Gesetz oder
nach anderen Vorschriften über den Datenschutz unzulässige oder
unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen
Daten einen Schaden zu, ist sie oder ihr Träger dem
Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht
entfällt, soweit die verantwortliche Stelle die nach den Umständen
des Falles gebotene Sorgfalt beachtet hat.“ Die Haftung scheidet
nur aus, wenn das Unternehmen die Integrität und Vertraulichkeit
der gespeicherten personenbezogenen Daten gewährleistet und
dies belegen kann, etwa durch eine Zertifizierung oder durch Dokumente
des Datenschutzbeauftragten.
In § 9 BDSG heißt es zur IT-Sicherheit: „Öffentliche und nicht-öffentliche
Stellen, die selbst oder im Auftrag personenbezogene Daten
erheben, verarbeiten oder nutzen, haben die technischen und
organisatorischen Maßnahmen zu treffen, die erforderlich sind,
um die Ausführung der Vorschriften dieses Gesetzes, insbesondere
die in der Anlage zu diesem Gesetz genannten Anforderungen, zu
gewährleisten.“
Was ist zu kontrollieren?
Nach der Anlage zu § 9 BDSG sind insbesondere folgende Maßnahmen
zu treffen, um die IT-Sicherheit zu gewährleisten:
n Zutrittskontrolle: Unbefugte Personen dürfen keinen Zutritt zu
den Datenverarbeitungsanlagen haben.
www.A dmin-mAgA zin.de
Virtuelle Server
Top-Performance zum Tiefpreis!
• bis zu 3 CPU-Kerne
• bis zu 8 GB RAM
• bis zu 95 GB Festplatte
• RAID-10-Datensicherheit
• 5.000 GB Traffic inklusive
• SSL-Zertifikat inklusive
• Root-Zugriff per SSH
• 100 % Backup-Speicher
• 99,9 % garantierte Verfügbarkeit
• 30 Tage Geld-zurück-Garantie
• auch als Managed Server erhältlich
• viele 64-Bit-Betriebssysteme nach Wahl
6 Monate
kostenlos
danach ab 12,99 €*
Jetzt kostenlos informieren unter:
080 0 638 2587
www.netclusive.de/linux
* Aktion „6 Monate kostenlos“ gilt bis 31.10.2011. Nach 6 Monaten regulärer monatlicher Grundpreis:
VPS L 12,99 €, VPS XL 16,99 €, VPS XXL 29,99 €. Die Mindestvertragslaufzeit beträgt wahlweise 12 Monate
(Aktion 6 Monate kostenlos entfällt) oder 24 Monate (6 Monate kostenlos). Abrechnung vierteljährlich. Einmalige
Einrichtungsgebühr 9,99 €. Alle Preise inkl. MwSt. Preisänderungen und Irrtümer vorbehalten.

lO gin
Recht
n Zugangskontrolle: Unbefugte dürfen
die Datenverarbeitungssysteme nicht
benutzen.
n Zugriffskontrolle: Es müssen Zugriffsberechtigungen
für Ordner und Daten
für die berechtigten Nutzer eingerichtet
und unbefugter Zugriff unterbunden
werden.
n Weitergabekontrolle: Personenbezogene
Daten dürfen bei der elektronischen
Übertragung oder während ihres
Transports oder ihrer Speicherung
auf Datenträger nicht unbefugt gelesen,
kopiert, verändert oder entfernt
werden können.
n Eingabekontrolle: Es soll jederzeit
festgestellt werden können, wer wann
welche Daten eingegeben, verändert
oder gelöscht hat.
n Auftragskontrolle: Personenbezogene
Daten dürfen nur entsprechend den
Weisungen des Auftraggebers verarbeitet
werden.
n Verfügbarkeitskontrolle: Die gespeicherten
personenbezogenen Daten
müssen jederzeit abrufbar und gegen
Verlust geschützt sein.
n Verarbeitungskontrolle: Daten, die zu
unterschiedlichen Zwecken erhoben
wurden, dürfen nicht zusammen verarbeitet
werden.
Was ist beim Auswerten
erlaubt?
Darf das Unternehmen die Daten wegen
einer Einwilligung oder eines Gesetzes
speichern, so darf es diese entsprechend
dem darin vorher festgelegten
Zweck auch auswerten. Im Gesetz heißt
es: „Personenbezogene Daten, die ausschließlich
zu Zwecken der Datenschutzkontrolle,
der Datensicherung oder zur
Sicherstellung eines ordnungsgemäßen
Betriebes einer Datenverarbeitungsanlage
gespeichert werden, dürfen nur für diese
Zwecke verwendet werden“ (§31 BDSG).
Das soll etwa verhindern, dass die Daten
zur Leistungs- oder Verhaltenskontrolle
der Mitarbeiter ohne deren vorherige Einwilligung
verwendet werden.
Ganz entscheidend ist also immer der bei
der Erhebung festgelegte Zweck der Speicherung.
Nach § 100 Urheberrechtsgesetz
haftet der Inhaber eines Unternehmens
auch für Verstöße gegen das Urheberrechtsgesetz,
die seine Arbeitnehmer
im Betrieb begangen haben. Es drohen
Abmahnungen, Gerichtsverfahren,
schlimmstenfalls die Beschlagnahmung
der Rechner. In § 32 BDSG heißt es: "Zur
Aufdeckung von Straftaten dürfen personenbezogene
Daten eines Beschäftigten
nur dann erhoben, verarbeitet oder genutzt
werden, wenn zu dokumentierende
tatsächliche Anhaltspunkte den Verdacht
begründen, dass der Betroffene im Beschäftigungsverhältnis
eine Straftat begangen
hat, die Erhebung, Verarbeitung
oder Nutzung zur Aufdeckung erforderlich
ist und das schutzwürdige Interesse
des Beschäftigten an dem Ausschluss der
Erhebung, Verarbeitung oder Nutzung
nicht überwiegt, insbesondere Art und
Ausmaß im Hinblick auf den Anlass nicht
unverhältnismäßig sind."
Die Datenschutzvorschriften sind sehr
komplex. Ein betrieblicher oder externer
Datenschutzbeauftragter sollte bei der
Umsetzung helfen. Den benötigt jedes
Unternehmen, in dem mehr als neun Personen
ständig mit personenbezogenen
Daten befasst sind. § 5 BDSG verlangt,
dass bei der Datenverarbeitung beschäftigte
Personen bei der Aufnahme ihrer
Tätigkeit auf das Datengeheimnis zu verpflichten
sind. Das Datengeheimnis besteht
nach Beendigung der Tätigkeit fort.
Die Auswertung sensibler Daten sollte
möglichst nur im Vier-Augen-Prinzip erfolgen
und mit anonymen Auswertungsmethoden.
Ausblick: Neues Gesetz
geplant
Im August 2010 hat die Bundesregierung
einen vieldiskutierten Gesetzesentwurf
zum „Beschäftigtendatenschutz“ auf
den Weg gebracht. Danach soll das präventive
Scannen von Daten ohne konkreten
Tatverdacht per Gesetz erlaubt
sein. Der Entwurf plant bei verbotener
privater Nutzung, dem Arbeitgeber zu
erlauben, Verkehrsdaten zu speichern,
um Mitarbeiter zu kontrollieren, Vertragsverletzungen
oder Straftaten präventiv
zu verhindern oder aufzudecken. Das
betrifft zum Teil Inhalte der Kommunikation,
sofern keine schutzbedürftigen
Interessen des Beschäftigten entgegenstehen,
es sich etwa um private Inhalte handelt
oder Gespräche mit dem Betriebsrat.
Im Mai 2011 forderten die Justizminister
der Länder und Sachverständige deutliche
Verbesserungen. Unter anderem
müssten Arbeitgeber die Beschäftigten
verpflichtend informieren, welche Daten
erhoben und gespeichert werden. Eine
anlasslose Überwachung müsse dagegen
ausgeschlossen werden.
Der Gesetzesentwurf wird zurzeit überarbeitet.
Würde das Gesetz in dieser Form
in Kraft treten, wäre dies ein Freifahrtschein
für die Überwachung am Arbeitsplatz
und in jedem Fall kein Gesetz zum
Schutz der Arbeitnehmer. Der Entwurf
würde vielmehr die Rechte von Arbeitgebern
verbessern. Er hebelt nämlich
einige der obersten Grundsätze des Datenschutzes
aus, darunter beispielsweise
die Zweckgebundenheit der gespeicherten
Daten.
Als Fazit ergibt sich: Derzeit darf der
Arbeitgeber den Netzwerkverkehr im
Unternehmen nicht uneingeschränkt
überwachen. Trotzdem muss er jedoch
dafür sorgen, dass die Sicherheit seiner
IT gewährleistet ist. Für die Fehlerbehebung
im Netzwerk darf er kurzzeitig den
Netzwerkverkehr mitschneiden. Die dabei
erhobenen personenbezogenen Daten
muss er jedoch nach der Fehlerbehebung
sofort wieder löschen und darf sie insbesondere
in keinem Fall für andere Zwecke
nutzen. (jcb)
n
Der Autor
Die Autorin ist Rechtsanwältin
& Fachjournalistin
für IT-Recht in Berlin. Sie
veröffentlicht seit 1997 in
zahlreichen anderen Medien
zu Fragen des IT-Rechtes.
Darüber hinaus referiert sie regelmäßig zu
aktuellen Fragen des Internetrechtes, gibt
Workshops zum Softwarelizenzrecht oder zur
IT-Sicherheit und unterrichtet als Lehrbeauftragte
für IT-Recht an der Beuth Hochschule für
Technik, Berlin. Ihre Beratungsschwerpunkte
sind das Softwarelizenz- und das Internetrecht,
der Check von Webshops und Webseiten, das
Urheber-, Vertrags- und Markenrecht sowie das
Online-Marketing und Datenschutzfragen als
auch internationales Privat- und Europarecht.
Sie ist Mitglied in der Deutschen Vereinigung für
Gewerblichen Rechtsschutz und Urheberrecht
e.V. (GRUR), der Deutschen Gesellschaft für
Recht und Informatik e.V. (DRGI) sowie im Deutschen
Fachjournalistenverband.
28 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Bla Bla Bla gibt´s bei uns nicht:
Business - Telefonie der outbox AG.
Telefonie ist die Grundlage Ihres Unternehmens.
Ohne sie läuft nichts!
Deshalb konzentriert sich die outbox AG auf das
Wichtigste: Ein funktionierendes Telefonnetz,
praxiserprobte Produkt - Module und einen technisch
versierten Kundensupport.
Überzeugen Sie sich jetzt von unserem
Know - How aus mehr als sieben
Jahren Telefonnetzbetrieb –
Exklusiv für Geschäftskunden.
Auch auf
SIP - Basis und
für Reseller
Infos und Beratung: 0800 / 66 474 640
www.outbox.de/admin

n etzwerK
bonding
© Andrey Khrobostov, 123RF
Netzwerk-Bonding mit Linux
Gebündelt
Für hochverfügbare installationen ist eine redundante netzwerkanbindung
unverzichtbar. dieser Artikel führt die entsprechende Konfiguration
eines Linux-stacks vor. Hannes Kasparick
Viele Anwender und Administratoren
wünschen sich eine möglichst hohe Verfügbarkeit
wichtiger Anwendungen und
Dienste. Neben der Ausfallsicherheit
von Serverhardware und dem möglichen
Clustering von Serverdiensten spielt das
Netzwerk eine elementare Rolle, damit
Anwender die gewünschten Dienste nutzen
können.
Dieser Artikel zeigt Linux-Administratoren
einige Möglichkeiten auf, wie sie mit
möglichst wenig Komplexität ein möglichst
hochverfügbares Netzwerk im Unternehmen
aufbauen können. Dabei geht
es von den Netzwerkkarten der Server,
über die Switches und Router bis hin
zur Firewall ohne die Verwendung von
(Rapid) Spanning-Tree oder ähnlichen
Protokollen.
Listing 1: bonding-device
01 alias bond0 bonding
02 options bonding mode=1 miimon=100
Listing 2: netzwerkkonfiguration
01 auto lo
02 iface lo inet loopback
03
04 auto bond0
05 iface bond0 inet static
06 address 192.168.60.10
07 netmask 255.255.255.0
08 post‐up ifenslave bond0 eth0 eth2
09 gateway 192.168.60.254
Fällt ein Stockwerk-Switch aus, sind im
besten Fall nur wenige Anwender betroffen,
trifft der Ausfall jedoch einen
zentralen Switch im Serverraum, steht
vielleicht gleich bei vielen Nutzern, die
Dienste auf Servern nutzen, die Arbeit
still. Bei Servern mit nur einer aktiven
Netzwerkkarte führt ein Ausfall dieser
zum Totalausfall des Servers aus Sicht
der Anwender. Der Ausfall eines zentralen
Routers würde weite Teile der Firma
lahmlegen, während ein Ausfall der Firewall
zumindest noch die Arbeit mit der
internen IT-Infrastruktur ermöglicht.
Die Anforderungen in Unternehmen sind
immer individuell zu bewerten, sodass
dieser Artikel keine allgemeingültige
Lösung für alle Netzwerke geben kann.
Abbildung 1 zeigt daher schematisch,
wie der Netzwerkadministrator sein
Netzwerk vom Server bis zur Firewall
redundant aufbauen kann. Soll auch der
Ausfall des Internetproviders berücksichtigt
werden, hilft ein zweiter Internetanschluss
zumindest für ausgehende
Verbindungen auf einfache Weise weiter.
Für eingehende Verbindungen ist mehr
Planung nötig, da sich IP-Adressen bei
einem Provider-Failover ändern.
In welcher Reihenfolge das Netzwerk redundant
aufgebaut wird, ist Geschmackssache.
Dieser Artikel beschreibt den Weg
von unten nach oben durch den Netzwerk-Stack
(Abbildung 1).
Administratoren aktueller Linux-Distributionen
haben es leicht, den Server über
mehrere Netzwerkverbindungen redundant
an einen oder sinnvollerweise zwei
Switches anzubinden. Das Zauberwort
heißt Bonding, und die Technik funktioniert
seit vielen Jahren problemlos und
zuverlässig. Der Autor verwendet Ubuntu
10.04 in der 64-Bit-Version, für andere
Distributionen muss man die Befehle anpassen.
Falls nicht bereits installiert, befördert
»aptitude install ifenslave ethtool« die
benötigten Pakete auf die Festplatte. Nun
gilt es, die »/etc/modprobe.d/aliases.
conf« anzupassen oder falls noch nicht
vorhanden zu erstellen. Listing 1 zeigt
eine Active-Standby-Konfiguration, die
alle 100 Millisekunden prüft, ob die Verbindung
zum Switch funktioniert. Der
Mode-Parameter gibt an, auf welche Art
Netzwerkkarten miteinander zusammenarbeiten
sollen (lastverteilt und redundant
oder nur redundant). Unter [1] auf
der Webseite der Linuxfoundation befindet
sich eine detaillierte Beschreibung
der verschiedenen Modi. Die Einstellung
»mode=1« hat sich bei Tests des Autors
als die am einfachsten zu konfigurierende
und unempfindlichste Einstellung erwiesen.
Die Switches müssen dafür keinerlei
besondere Voraussetzungen erfüllen,
im Gegensatz zu »mode=4«, bei dem
der Switch 802.3ad (LACP) unterstützen
muss.
Im letzten Konfigurationsschritt ist die
Konfigurationsdatei »/etc/network/interfaces«
nach dem Vorbild von Listing 2
anzupassen. Dort werden eine Onboard-
Netzwerkkarte (»eth0«) und eine Zusatznetzwerkkarte
(»eth2«) zum logischen
Interface »bond0« zusammengefasst. Ein
Neustart des Netzwerks mittels »/etc/
init.d/networking restart« aktiviert die
Einstellungen. Wer keine Remotekonsole
zu seinem Server hat, sollte vorher die
Konfiguration sorgfältig prüfen, da bei
30 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

onding
n etzwerK
Fehlkonfigurationen die Netzwerkverbindung
abreißt.
Mittels »ifconfig« lässt sich anschließend
prüfen, ob das Interface »bond0« aktiv
ist. Unter »/sys/class/net/bond0/bonding/«
finden sich die entsprechenden
Informationen des Kernels, wie zum Beispiel
die gerade aktive Netzwerkkarte,
die in »active_slave« steht. Man sollte
die erwartete Fehlertoleranz auch einmal
physisch testen, etwa indem man
den Port des Switches deaktiviert oder
das entsprechende Netzwerkkabel zieht.
Funktioniert alles ordnungsgemäß, geht
maximal ein Ping-Paket beim Failover
verloren (siehe Abbildung 2).
Wer bereits Nagios im Einsatz hat, dem
sei das Plugin „check_linux_bonding“
von Trond Hasle Amundsen von der
Universität Oslo empfohlen [2], da ein
einfacher Ping-Check den Ausfall eines
Netzwerklinks nicht mehr feststellen
kann. Das Plugin zeigt im OK-Zustand
den aktiven Link mit einem Ausrufezeichen
an (siehe Abbildung 3) und geht
beim Ausfall eines Links in den Zustand
„Warning“ (siehe Abbildung 4).
Den Wunsch, auch Failovers zu überwachen,
um eventuelle Probleme im Netzwerk
frühzeitig zu erkennen, konnte der
Autor leider nicht erfüllen. Dies ist nicht
möglich, da es im Kernel selbst keine
Informationen über einen vergangenen
Failover gibt und eine Speicherung des
Status seitens des Plugins zu einem
unlösbaren Problem führen würde: Ein
Hin- und Rück-Failover zwischen zwei
Prüfungen des Plugins ist nicht unterscheidbar.
Switches
Nun ist einem Serveradministrator schnell
klar, dass es nicht unbedingt sinnvoll ist,
beide Netzwerkkabel an einen Switch zu
Abbildung 2: Weitgehend ausfallsicher: Nur ein Paket ging verloren.
Abbildung 1: Aufbau des redundant ausgelegten Linux-Netzwerks durch alle Schichten hindurch.
Ziel ist es, (Rapid) Spanning Tree und
andere Implementierungen zur Vermeidung
redundanter Netzwerkpfade nicht
zu verwenden, da dies in vielen Fällen
eher Probleme bereitet als löst. Manche
Administratoren ziehen sogar ein manuelles
Failover (von Hand umstecken) vor.
Das ist an sich nichts Schlechtes und in
vielen Fällen vollkommen ausreichend,
es gibt aber viele Situationen, in denen
dies nicht möglich ist beziehungssweise
zu langen Ausfallszeiten führen würde,
weil zum Beispiel das Rechenzentrum
weit entfernt ist.
Stacking-Funktionen bieten die für den
Unternehmenseinsatz gebauten Switches
aller großen Hersteller, sodass sich die
in diesem Artikel verwendeten Cisco-
Techniken auch auf andere Hersteller
übertragen lassen. Auf OSI Layer 2 kommen
Cisco 2960-S Switches mit Flexstack-
Technologie zum Einsatz. Der Flexstack
wird über ein zusätzliches Modul (siehe
Abbildung 5) auf der Rückseite der Switstecken,
da bei einem Ausfall des Switch
der Server trotzdem offline wäre. Der
Netzwerkadministrator muss nun einen
zweiten Switch bereitstellen und dafür
sorgen, dass dabei keine Ethernet-Loops
entstehen und so das Netzwerk lahmlegen.
Eine sehr einfache und effektive Lösung
für dieses Problem ist das sogenannte
Stacking von Switches. Dabei verhalten
sich zwei oder mehr Switches wie ein einziger.
Der (zweifache) Uplink von diesem
Stack zu weiteren
Switch-Stacks oder
Router-Stacks wird
wiederum mittels
Bonding auf
Switch-Ebene realisiert
(je nach
Hersteller kann
dies zum Beispiel
Link Aggregation,
Etherchannel oder
Trunk heißen).
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
31

n etzwerK
bonding
Abbildung 3: Zurzeit ist beim Bonding-Device alles in Ordnung.
Abbildung 4: Nagios meldet: Ein Fehler ist aufgetreten.
Abbildung 5: Die Cisco-Lösung für die Verbindung zweier Switches ist eine proprietäre Verbindung.
ches mit zwei Cisco-proprietären Kabeln
realisiert. Die Konfiguration ist dabei
denkbar einfach und erfreut den Netzwerkadministrator:
anstecken, ein paar
Minuten warten, fertig.
Die automatische Konfiguration lässt sich
mit »show switch« auf der Konsole des
Switch mitverfolgen. Der Status ändert
sich von »waiting« auf »initializing« zu
»ready« und damit zum einsatzbereiten
Status. Einer der beiden Switches ist Master
des Stacks und sowohl durch ein LED
am Switch selbst als auch auf der Konsole
zu erkennen. Natürlich ist es auch
beim Switch-Stack empfehlenswert, den
Status des Stacks zu überwachen [3].
Dies ist beispielsweise mit dem Skript
»check_snmp_cisco_stack.pl« möglich,
das zwar für den 3750 gedacht ist, aber
auch zum 2960 kompatibel ist.
Routing
Im nächsten Schritt wird der Stack von
zwei Switches mit einem beziehungsweise
zwei Routern / Layer-3-Switches
verbunden. Der Router ist wiederum
als Stack ausgeführt (zum Beispiel zwei
Cisco 3750). Nähme der Netzwerkadministrator
einfach zwei Kabel und verbände
den Switch-Stack mit dem Router-
Stack, würde das zu einem Ethernet-Loop
führen und das Netzwerk massiv beeinträchtigen.
Daher wird auch zwischen
Switch- und Router-Stack mit Bonding
gearbeitet, bei Cisco also Etherchannel.
Um den Ausfall eines Routers und eines
Switches gleichzeitig verarbeiten zu
können, müssen vier Kabel kreuzweise
zwischen Switch- und Routerstack verwendet
werden.
Firewall
Den letzten Außenposten eines Unternehmensnetzwerks
bildet die Firewall.
Auch sie kann einzeln oder im Verbund
verwendet werden, allerdings gibt es hier
keine Out-of-the-Box Lösungen, die nach
wenigen Minuten funktionieren. Das liegt
weniger an der weit höheren Komplexität
von Firewalls, die wesentlich mehr Funktionen
abdecken als Switches. Eine einzelne
Linux-Firewall mit IP-Tables / Netfilter
kann wie zu Beginn des Artikels mit
einem Server und ausreichender Anzahl
Netzwerkkarten leicht realisiert werden.
Allerdings ist in diesem Fall die Firewall-
Hardware und damit der Firewall-Dienst
nicht redundant.
Eine einfache Lösung für höhere Verfügbarkeit
wäre ein zweiter Standby-Server,
der über Remotemanagement (zum
Beispiel iDRAC, iLO, IMM) in Betrieb
genommen werden kann. Der Nachteil
einer spürbaren Downtime liegt bei dieser
Lösung auf der Hand. Diese einfache
Lösung bietet allerdings den Vorteil, dass
man sich nicht um die komplexe Konfiguration
eines ausgewachsenen Clusters
kümmern muss.
Alternativ gibt es in der Open-Source-
Welt mit Carp vom OpenBSD-Projekt
seit Jahren eine Lösung, die in Kombination
mit »pfsync« eine hochverfügbare
Firewall realisiert (siehe [4]). Carp
wurde auch auf Linux portiert, sodass
nicht zwingend OpenBSD zum Einsatz
kommen muss. Anbieter hochwertiger
kommerzieller Firewalls bieten derartige
Hochverfügbarkeitsfunktionen natürlich
ebenfalls.
An dieser Stelle stellt sich fast zwangsläufig
die Frage nach einer redundanten
Internetanbindung, da sich ein einzelnes
„Internetkabel“ nicht an zwei Firewalls
anschließen lässt, es sei denn, es kommt
wieder ein Switch vor den Firewalls zum
Einsatz. Der Provider müsste also zwei
Kabel zum Kunden bereitstellen, die im
Idealfall über verschiedene Wege zum
Peering Point des Providers führen.
Fazit
Hohe Verfügbarkeit im lokalen Netzwerk
muss nicht aufwendig oder kompliziert
sein. Für hochverfügbares Internet muss
der Provider entsprechende Angebote
haben. Open-Source-Betriebssysteme
bringen alle benötigten Features für den
LAN- und WAN-Bereich mit. Wer bisher
Spanning Tree & Co im LAN gemieden
hat, der kann mit Stacks sehr einfach
die Verfügbarkeit erhöhen, ohne Gefahr
zu laufen, durch Fehlkonfigurationen
letztendlich die Verfügbarkeit sogar zu
verringern. (ofr)
n
Infos
[1] Bonding-Howto: [http://www.
linuxfoundation. org/collaborate/
workgroups/ networking/bonding]
[2] Linux Bonded Network Monitoring with
Nagios: [http:// folk.uio.no/trondham/
software/ check_linux_bonding. html]
[3] Status-Check für Cisco 3750: [http://
exchange. nagios. org/directory/
Plugins/Hardware/ Network-Gear/Cisco/
Check-cisco-3750-stack-status/details]
[4] Stephan A. Rickauer, HA-fähige Firewall
mit OpenBSD/ PF, Linux-Magazin 12/ 2005,
[http://www. linux-magazin.de/Heft-Abo/
Ausgaben/ 2005/ 12/Wehrhaft-abtauchen]
32 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

1&1 DUAL HOSTING
DOPPELT SICHER!
DOPPELT GUT...
✓
&
1.000 Mitarbeiter!
Maximal sicher:
Paralleles Hosting Ihrer Website
in zwei Hightech-Rechenzentren
an verschiedenen Orten!
✓ Superschnell:
210 GBit/s Anbindung!
✓ Zukunftssicher:
1&1 DUAL HOSTING
VIELE PAKETE JETZT SCHON AB
0,–€/Monat*
Dual Hosting gibt´s nur von 1&1! Kein anderer bietet Ihnen georedundante
Sicherheit und maximale Performance für Ihre Projekte.
1&1 DUAL
PERFECT
6 Domains aus .de, .com, .net, .org, .at, .eu
5 GB Webspace
UNLIMITED T r a f fi c
UNLIMITED Click & Build Apps uvm.
0,–
€
In den ersten 3 Monaten,
danach 9,99 €/Monat.*
.DE, .EU, .COM, .NET, .ORG, .AT
0, OHNE EINRICHTUNGSGEBÜHR! 29*
ab
€/Monat
im ersten Jahr
Weitere leistungsstarke
1&1 Dual Hosting-Pakete
und tolle Sparangebote
unter www.1und1.info Ausgabe 08/11
0 26 02 / 96 91
0800 / 100 668 www.1und1.info
&1 * Dual Perfect 1 3 Monate für 0,– €/Monat, danach 9,99 €/Monat. Einrichtungsgebühr 9,60 €. Domains im ersten Jahr .de, .eu 0,29 €/Monat, .com, .net, .org, .at 0,99 €/Monat, danach .de
0,49 €/Monat, .eu , .com, .net, .org 1,49 €/Monat, .at 1,99 €/Monat. Einrichtungsgebühr entfällt. 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

n e Tzwerk
wireshark
© Reinhard Eisele
Netzwerkanalyse mit Wireshark
Hai-teres
Paketeraten
ein Administrator gewinnt nur dann nützliche erkenntnisse aus der
netzwerkanalyse, wenn er die grundlegenden Verfahren und Protokolle
beherrscht. die eben erschienene neue wireshark-Version 1.6 kennt unter
anderem rund 30 neue Protokolle. Thomas drilling
wahlweise an der Standardausgabe dar
oder speichert sie in Dateien, die der Admin
zum Auswerten heranziehen kann.
Tcpdump gefällt vor allem wegen seines
gut bestückten Filter-Sortiments. Diese
Capture-Filter basieren auf der Libpcap,
einer C/ C++-Bibliothek, die den Zugriff
auf die Link-Layer-Ebene von Netzwerkinterfaces
erlaubt. Der Admin steuert
das Verhalten von Tcpdump vollständig
von der Kommandozeile aus durch das
Übergeben von Parametern, dazu gehört
auch das Übergeben der zu verwendenden
Filter.
Etheral und Wireshark
Dass Linux eine Reihe brauchbarer
Tools zur Netzwerkanalyse mitbringt,
ist kein Geheimnis. Viele davon liefern
hervorragende Ergebnisse, die durchaus
mit denen kommerzieller Werkzeuge
mithalten können. Trotzdem schrecken
Windows-Administratoren gelegentlich
vor dem Einsatz von Open-Source-Werkzeugen
zurück, falls diese etwa keine
grafische Benutzeroberfläche bieten. Im
Wesentlichen tut eine Netzwerkanalyse-
Software nichts anderes, als den gesamten
Datenverkehr auf dem angegebenen
Netzwerkinterface aufzuzeichnen, wozu
die Software sämtliche Datenpakete kontinuierlich
abfängt und auf der Festplatte
speichert.
In einem zweiten Schritt dekodiert die
Software die Daten und zeigt sie am Bildschirm
an. Im Unix-Umfeld ist beispiels-
weise das freie Tcpdump ein Klassiker
und dessen Einsatz unter Fachleuten
weitverbreitet. Allerdings besitzt es nur
eine Kommando-Schnittstelle. Tcpdump
gibt es für nahezu alle Unix-Derivate wie
AIX, BSD, Solaris und ist beispielsweise
bei Linux fast immer in den Standardpaketquellen
enthalten und oft auch per
Default installiert. Für Windows gibt es
übrigens die Portierung Windump, die
auf Winpcap basiert. Tcpdump braucht
direkten Zugriff auf die Hardware und
läuft daher in der Regel mit Root-Rechten,
lediglich bei Mac OS X und Solaris
benötigt der Benutzer nur die für die
Gerätedatei der Netzwerkkarte erforderlichen
Rechte.
Tcpdump liest per Default alle Daten, die
das spezifizierte Netzwerkinterface über
das Netzwerk erreichen, und stellt sie
Da die CLI-Steuerung nicht jedem behagt,
gibt es schon relativ lange auch
grafische Lösungen, die ebenfalls auf
der Libpcap-Bibliothek aufsetzen, wie
etwa das seit dem Jahr 2006 verfügbare
Wireshark, das früher Ethereal hieß und
unter diesem Namen vielen Admins bekannt
sein dürfte. Die Umbenennung mit
Veröffentlichung der Wireshark-Version
0.99.1 wurde notwendig, weil der Ethereal-Entwickler
Gerald Combs seinen Arbeitgeber
Ethereal Software verließ. Beim
neuen Arbeitgeber CACE Technologies
startete er ein Nachfolge-Projekt unter
dem Namen Wireshark, mit dessen Erfolg
Ethereal Software die Weiterentwicklung
des Vorgängers einstellte.
Heute wird Wireshark maßgeblich von
der Wireshark-Community entwickelt.
Ethereal und Wireshark sind echte Open-
Source-Projekte, wenngleich sich Ethereal
34 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

wireshark
n e Tzwerk
an Netzwerk-Analyse-Produkten kommerzieller
Hersteller orientiert. Meilensteine
der Wireshark-Entwicklung sind
die seit März 2008 verfügbare Version
1.0 sowie die von einigen Bugs befreite
Version 1.4 vom Sommer 2008, die neben
experimenteller Unterstützung von
Python-Skripten unter anderem auch die
Möglichkeit eröffnet, in der Paketliste mit
einem Rechtsklick auf die Paketdetails
Protokollfelder hinzuzufügen.
Außerdem lassen sich seit Libpcap 1.0.0
die Puffergrößen für die Aufzeichnungen
einstellen und Jpeg-Dateien direkt in
Wireshark öffnen. Anlass dieses Beitrages
ist die im Juli 2011 veröffentlichte Version
1.6, die unter anderem bessere Unterstützung
für große Dateien von mehr als
2 GByte implementiert und ähnlich wie
Text2pcap auch Textdumps importieren
kann. Außerdem haben die Entwickler
die GUI anwenderfreundlicher gestaltet,
sodass man Spalten ausblenden wie
auch maßgeschneiderte Spalten für die
gewünschten Felder anlegen kann.
Hauptmerkmal der neuen Version ist
aber, dass diese über 30 neue Protokolle
unterstützt, darunter auch Json, Wi-Fi
P2P (Wi-Fi Direct) und Fibre Channel
over InfiniBand. Außerdem kann
Wireshark 1.6.0 SSL-Schlüssel und SMB-
Objekte exportieren. Eine weitere Neuerung
in Wireshark 1.6 ist, dass die Software
VLAN-Tags (IEEE 802.1q) direkt im
Ethernet-II-Protokoll-Baum anzeigt.
glossar
n Ein im Promiscuous Mode („freizügiger
Modus“) betriebenes Netzwerkgerät liest
sämtliche am Gerät eintreffenden Daten mit,
auch wenn sie nicht für die Station selbst
bestimmt sind, und leitet sie an das Betriebssystem
weiter. Da die meisten Dienste
im Netzwerk eine Authentifizierung voraussetzen,
kann der Admin im Promiscuous
Mode keine Pakete eines Netzwerks abfangen,
zu denen er keinen Zugang hat. Der
Promiscucous Mode funktioniert außerdem
nicht in geswitchten Netzen.
n Im Non-Promiscuous-Mode analysiert
Wireshark nur Pakete, die an die Station
selbst gerichtet sind, auf der Wirshark installiert
ist oder von dieser versendet wurden.
Sämtliche Datenpakete mit fremder
Empfänger- oder Sender-Adresse werden
verworfen.
n Port Mirroring (Port-Spiegelung) ermöglicht
das Spiegeln des Netzwerkverkehrs
Wireshark ist unter der GPLv2 lizenziert
und lässt sich bei nahezu allen Linux-Distributionen
über das Paketmanagement
installieren. Allerdings bringt selbst ein
leidlich aktuelles Ubuntu Natty nur die
Wireshark-Version 1.4.6 mit.
Auf der Download-Seite unter [1] finden
sich Quellpakete der aktuellen Version
für Unix-Systeme und Binärpakete für
Windows und aktuell (ab 1.6) auch für
Mac OS X. Das Installieren der 32-Bit-
Windows-Version ist selbsterklärend.
Hier genügt das Herunterladen und anschließende
Doppelklicken der Installer-
Datei »wireshark-win32-1.6.1.exe«. Der
Wireshark-Installationsassistent startet
übrigens einen Helfer für die Installation
von WinPcap.
Datenmassen
Einer Netzwerkanalyse mit Wireshark
sollte stets eine vernünftige Planung vorangehen.
Das gilt zwar prinzipiell für
den Einsatz jedes Systemwerkzeugs, bei
der Netzwerkanalyse ist aber in Zeiten
von Gigabit-Ethernet unbedingt darauf zu
achten, dass genügend Systemressourcen
zur Verfügung stehen. Daher sollte sich
der Admin ungefähr über das zu erwartende
Datenvolumen im Klaren sein. Das
hängt wiederum davon an, welchen Datenverkehr
mit welchem Ziel er abhören
möchte, wonach er die zu verwendenden
Filter auswählt. Dabei ist möglicherweise
an einem Switch. Wer Wireshark in einem
geswichten Netz zur Analyse von Daten einsetzen
möchte, die nicht die lokale Station
betreffen, braucht einen Switch mit Port-
Mirror-Funktion, weil sonst jedes Device nur
die Pakete erhält, die auch für es bestimmt
sind. Die Konfiguration von Port Mirroring
passiert normalerweise im Webinterface des
Switches. Es gibt sogar Geräte, die den Datenverkehr
mehrerer Switch-Ports auf einem
Mirror-Port ausgeben können, allerdings ist
dabei die Bandbreite am Zielport zu berücksichtigen,
damit dieser die Datenmengen der
gespiegelten Ports auch bewältigen kann.
Außerdem beeinträchtigt Port-Mirroring die
Switch-Performance, weil der Switch für das
Spiegeln sämtliche Pakete duplizieren muss.
Im Übrigen verzerrt ein Switch stets auch
die Ergebnisse von Messungen im Rahmen
der Netzanalyse, weil er automatisch alle
schadhaften Datenpakete verwirft.
auch zu berücksichtigen, dass der verwendete
Sniffer selbst nicht die Messung
beeinflusst, weil er etwa Pakete automatisch
verwirft.
Für das Messen von Netzwerkdaten, die
nicht an den Host gerichtet sind, in dem
das Netzwerkinterface steckt, gibt es im
Wireshare-Konfigurations-Dialog die Option,
das Netzwerkgerät wahlweise im
Promiscuous-Mode oder im Non-Promiscuous-Mode
zu betreiben. Im Non-
Promiscuous-Mode analysiert Wireshark
dann nur solche Pakete, die an den eigenen
Host gesendet oder von diesem versandt
werden. Alle anderen Datenpakete
(mit fremder Empfängeradresse) verwirft
Wireshark.
Im Promiscuous-Mode dagegen kann
Wireshark sämtliche Datenpakete von allen
im Netz existierenden Rechnern analysieren,
weil dieser Modus auch Datenpakete
mit fremden Empfängeradressen akzeptiert.
Sind im Netz sämtliche Ressourcen
ausschließlich über Hubs verbunden,
stellt das Verwenden des Promiscuous-
Mode zum Lesen aller Datenpakete auch
kein Problem dar, weil Hubs sämtliche
Datenpakete an alle Ports versenden.
Pakete spiegeln
Allerdings sind heute schon in kleinen
Heimnetzen Switches sehr verbreitet, von
Unternehmensnetzen ganz zu schweigen.
Der Sinn von geswitchten Netzen besteht
gerade in einer Entzerrung des Datenverkehrs,
sodass eine an einem Switch
angeschlossene Station ohnehin nur noch
solche Datenpakete erhält, die auch für
sie bestimmt sind. Aus diesem Grund
bietet sich für die Analyse in geswitchten
Netzen das Verwenden der bei vielen
Geräten implementierten Port-Mirror-
Funktion an, um die gespiegelten Port-
Daten der zu analysierenden Station der
Netzwerkkarte der lokalen Station, auf
der Wireshark installiert ist, von außen
zuzuleiten. Einzelheiten dazu sind im
Kasten „Glossar“ zu finden.
Vor dem ersten Einsatz ist Wireshark zu
konfigurieren. Im Menü »Capture | Options«
legt der Admin beispielsweise im
Listenfeld rechts oben fest, über welche
Netzwerkschnittstelle Wireshark den Datenverkehr
mitschneidet (Abbildung 1).
Er kann aber auch zuvor im Menü »Capture
| Interfaces«, das sämtliche im Host
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
35

n e Tzwerk
wireshark
auf diese MAC-Adresse beschränken, lautet
die zugehörige Display-Filter-Syntax:
eth.addr==00.25.4b.bd.24.94
Display-Filter sind allerdings deutlich
flexibler. So kann der Admin etwa bei
Display-Filtern nach einzelnen Feldern
in allen unterstützten Pakettypen selektieren
(Abbildung 2).
Die Entscheidung zum Verwenden von
Capture- oder Display-Filtern hängt
von einer Reihe von Faktoren ab. Die
wichtigsten Vor- und Nachteile führt die
Tabelle „Capture-Filter versus Display-
Filter“ auf.
Wireshark konfigurieren
Abbildung 1: Vor dem Start der Protokollierung steht die grundlegende Konfiguration von Wireshark unter
»Capture | Options«.
Um sich mit Wireshark vertraut zu machen,
kann sich der Admin beispielsweise
einen groben Überblick über den
Netzwerkverkehr verschaffen, der beim
gewünschten Host ankommt. Dazu ist
es notwendig, sämtliche bekannten Applikationen,
die regelmäßig über das
Netz kommunizieren, wie Browser,
E-Mail- Clients oder Messenger zunächst
zu schließen. Anschließend wählt er im
Menü »Capture | Options« die betreffende
Netzwerkkarte aus und passt gegebenenfalls
die Puffergröße seinen Wünschen
an. Von der gewählten Puffergröße hängt
es ab, wie viele Pakete Wireshark im
Speicher festhalten kann, bevor das Programm
Daten auf die Festplatte schreiben
muss. Bei Netzen mit extrem hohen Datenaufkommen
empfiehlt sich ein großer
Wert.
Mit der Option »Capture packets in promiscucous
mode« liest das Interface wie
beschrieben den gesamten ankommenden
Datenverkehr mit und gibt die Daten
zum Verarbeiten an das Betriebssystem
weiter. Ein Limitieren der Paketgröße ist
normalerweise nicht erforderlich, weshalb
die entsprechende Option per Deeingebauten
Netzwerkinterfaces zeigt,
bei der gewünschten Netzwerkkarte auf
die Schaltfläche »Options« klicken und
landet dann im gleichen Dialog.
Außerdem kann er hier eine Reihe weiterer
Rahmenbedingungen für die Aufzeichnung
festlegen. So lassen sich im
Feld rechts neben der Schaltfläche »Capture
Filter« eigene Filter definieren. Für
das aufkommende Datenvolumen ist es
entscheidend, wie der zu analysierende
Host mit dem Internet verbunden ist. Ein
Filter kann dann unter anderem dafür
sorgen, dass Wireshark nur den Internet-Datenverkehr
dieses Hosts akzeptiert
oder sich auf Protokolle beschränkt, die
das zu untersuchende Problem auch
wirklich tangieren. Andernfalls müsste
sich der Admin aus einer riesigen Anzahl
von Protokollen oder Broadcasts erst die
relevanten Pakete heraussuchen.
Wireshark kennt zwei Arten von Filtern,
deren Syntax leider unterschiedlich ist,
nämlich Capture-Filter und Display-Filter.
Mit Capture-Filtern legt der Admin fest,
welche Pakete Wireshark überhaupt mitprotokolliert.
Capture-Filter bestimmen
das zu erwartende Datenvolumen und
sind somit für die zur Analyse verfügbare
Datenbasis zuständig. Auf das Ergebnis
der Capture-Filterung kann der Admin
zur weiteren Analyse Display-Filter anwenden.
Capture-Filter benutzen die
Syntax von Libpcap. Das Filtern nach
einer bestimmten MAC-Adresse sieht in
der Libpcap-Syntax so aus:
ether host 00:25:4b:bd:24:94
Möchte der Admin dagegen die Anzeige
Abbildung 2: Wireshark bringt vordefinierte Display-
Filter mit und erlaubt mit seiner Filter-Toolbar auch
das interaktive Erstellen von Display-Filtern.
Tabelle 1: Capture-Filter versus display-Filter
Pro
Contra
Capture-Filter Ein auf das Problem bezogener
Capure-Filter reduziert die Netzlast,
insbesondere wenn sehr viele Pakete
zu speichern sind; bei sehr hoher
Netzlast können ohne Capture-Filter
sogar Pakete verloren gehen.
Dafür ist ein einmal ausgefiltertes
Paket definitiv verloren und lässt sich
nicht mehr zurückholen.
Display-Filter
Alle Pakete einer Session bleiben
erhalten und lassen sich nach
Bedarf ein- und ausblenden.
Bei Änderungen am Display-Filter muss
Wireshark sämtliche Pakete des Datenstroms
neu überprüfen.
36 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

wireshark
n e Tzwerk
Admin das Aufzeichnen mit »Capture
| Stop« anhalten, und Wireshark zeigt
sämtliche eingesammelten Pakete an
(Abbildung 3).
Wireshark praktisch
Abbildung 3: Der komplette, ungefilterte Datenverkehr auf dem gewählten Interface.
fault nicht gesetzt ist. Da der komplette
Datenverkehr analysiert werden soll,
kommt zunächst kein Capture-Filter zum
Einsatz. Im Bereich »Display Options«
empfiehlt es sich außerdem, »Update list
of packets in real time« zu deaktivieren,
damit Wireshark nicht zu viele Systemressourcen
beansprucht.
Außerdem gibt es rechts unten im Bereich
»Name Resolution« noch weitere
wichtige Optionen. Mit »Enable Network
Name Resolution« wandelt Wireshark
sämtliche IP-Adressen mittels DNS in
Namen um, was unter Umständen recht
lange dauern kann, weshalb die Option
per Default zugunsten von »Enable MAC
name resolution« deaktiviert ist.
Im Bereich »Capture Files(s)« kann der
Admin Einfluss auf das Speichern der
Capture-Daten nehmen. Normalerweise
speichert Wireshark sämtliche Capture-
Daten in einer einzigen Datei, die der
Admin an dieser Stelle spezifizieren
kann. Gibt er keine Datei an, speichert
Wireshark die Daten automatisch temporär,
und der Admin kann jederzeit mithilfe
des Menüs »File« wählen, in welcher
Datei er die Daten ablegen möchte.
Mit der Option »Use multiple Files« ist
es aber auch möglich, das Speichern auf
mehrere Dateien zu verteilen. Außerdem
lässt sich deren Größe begrenzen
oder die Datenmenge durch Aktivieren
eines Ringpuffers beschränken, sodass
Wireshark bei einem Überschreiten der
vorgegebenen Größen immer die schon
existierenden Daten
überschreibt.
Mit »Start« beginnt Wireshark
mit dem Aufzeichnen
der Daten.
Zum Protokollieren des
Datenverkehrs für das
ausgewählte Device
genügt es, Wireshark
einfach eine Zeit lang
laufen zu lassen, wobei
das Hauptfenster von
Wireshark permanent
die mitprotokollierten
Pakete in der Paket-
Liste anzeigt.
Mit den Funktionen im
Menü »Go« navigiert
der Admin durch die
Paketliste. Jetzt kann
der Nutzer oder Admin
auch einige typische
Applikationen, etwa
Webanwendungen im
Browser oder VoIP-
Tools, starten.
In der Spalte »Protocol«
lässt sich erkennen,
zu welcher Protokollgruppe
das jeweilige
IP-Paket gehört. Nach
einiger Zeit kann der
Das Ergebnisfenster zeigt hauptsächlich
häufig wiederkehrende Pakete, die stets
zur gleichen Protokoll-Gruppe gehören
wie etwa Cups-Broadcast, IGMP-Pakete,
DHCP-Anforderungen oder ARP-Anfragen,
mit deren Hilfe die Netzwerkinterfaces
die zu einer IP gehörende MAC-
Adresse ermitteln. Außerdem tauschen
Router oder Switches untereinander Informationen
aus, ebenso wie Samba- oder
Windows-Hosts Browser-Nachrichten im
Netz verbreiten: alles Vorgänge, die man
getrost als „normalen“ Netzwerkverkehr
betrachten darf.
Bei diesem einfachen Beispiel fällt aber
auch auf, dass der lokale Host, der im
Beispiel die IP-Adresse 192.168.0.30 hat,
SIP-Pakete an das Ziel 66.151.151.20 sen-
www.A dmin-mAgA zin.de

1&1 DSL: DAS
ÜBERALL VOLLER EMPFANG!
Jetzt bei 1&1: das beste WLAN aller Zeiten! Gemeinsam mit den Profis von AVM hat 1&1 den
neuen 1&1 HomeServer entwickelt. Er ist DSL-Modem, WLAN-Router und Telefonanlage in
einem, als zentrale Schnittstelle für Ihre kabellose Kommunikation in allen Räumen.
Mit mehr Power, mehr Sicherheit und mehr Komfort als je zuvor!
✓ HIGHSPEED-WLAN!
Mit bis zu 300 MBit/s und optimaler
Frequenzwahl.
✓ BESTE REICHWEITE!
Höchste Reichweite und bester Datendurchsatz
dank MIMO Mehrantennentechnik.
✓ ECO-MODE!
Funkleistung nur bei aktiver Datenübertragung,
dadurch geringstmöglicher Stromverbrauch.
✓ SICHERHEIT!
TÜV-geprüfte Firewall und WPA2-Verschlüsselung.
✓ GAST-ZUGANG!
Eigener WLAN-Zugang für Gäste – getrennt von
Ihrem Heimnetzwerk zum Schutz Ihrer Daten.
✓ 100 GB ONLINE-SPEICHER
* 1&1 Surf-Flat 6.000 für 24 Monate 19,99 €/Monat, danach 24,99 €/Monat. Telefonie (Privatkunden): für 2,9 ct/Min. ins dt. Festnetz, Anrufe in alle dt. Mobilfunknetze 19,9 ct/Min.
Hardware-Versand einmalig 9,60 €. In den meisten Anschlussbereichen verfügbar. 24 Monate Mindestvertragslaufzeit.

BESTE WLAN!
NEU!
INTERNET & TELEFON
19, 99
€/Monat*
Für volle 24 Monate,
danach 24,99 €/Monat.
Inklusive 1&1 HomeServer
der nächsten Generation!
Auszeichnungen der
1&1 HomeServer-Familie
30
TAGE
Geld-zurück
G arantie
www.connect.de
Jetzt informieren und bestellen: 0 26 02 / 96 90
www.1und1.de

n e Tzwerk
wireshark
Daher empfiehlt es sich, solche Pakete
mithilfe eines Capture-Filters unmittelbar
bei der Aufzeichnung auszufiltern,
wozu der Admin den Dialog »Capture |
Options« erneut aufruft und rechts neben
der Schaltfläche »Capture-Filter« einen
Capture-Filter gemäß der oben beschriebenen
libpcap-Syntax einträgt. Mit
host IP‐Adresse
beschränkt er das aufkommende Datenvolumen
ausschließlich auf Pakete, die
von oder zum Host mit der angegebenen
IP-Adresse fließen (Abbildung 4).
Möchte er die erwähnten Management-
Pakete ausschließen, genügt ein
host IP‐Adresse and not arp U
and not igmp
Abbildung 4: Capture-Filter lassen sich direkt im Options-Dialog formulieren.
det. Da auf dem betreffenden Rechner
aber keine Internet-Telefonie zum Einsatz
kommt, forschen wir weiter nach.
Ein Doppelklick auf das Paket öffnet ein
neues Wireshark-Fenster mit einer Detailansicht,
dessen Titel aus Quell-IP, Ziel-IP,
Protokoll und Infotext besteht.
Schon aus der Info-Spalte in der Listenansicht
geht hervor, dass SIP-Anfragen an
die Webseite »sip.sightspeed.com« gerichtet
sind. Ein Klick auf das Pluszeichen im
Detailfenster bei »Session Initiation Protocol«
bestätigt den Sachverhalt. Zurück
im Hauptfenster lässt sich per Rechtsklick
auf das betreffende Paket aus dem Kontextmenü
mit »Apply as Filter« direkt ein
Display-Filter erstellen. Sollen alle Pakete
von oder an diesen Host untersucht werden,
ist der Menü-Eintrag »Selected« die
richtige Wahl. Wireshark zeigt die Syntax
des so erstellten Display-Filters in der
Filter-Zeile oben grün hinterlegt an.
ip.src == 192.168.0.30
Wendet man den Filter mit »Apply« an,
zeigt Wireshark nur noch Pakete von
oder zu dieser Station an.
Der Service »sip.sightspeed.com« wird
von der Firma Logitech betrieben, was
nach weiterer Nachforschung den folgenden
Sachverhalt aufdeckte: Der Nutzer
des Arbeitsplatzes hatte vor einiger Zeit
eine Webcam installiert, deren mitgelieferte
Software unter anderem Logitechs
eigene Videotelefonie-Lösung Vid HD
den US amerikanischen Videotelefonie-
Provider Sightspeed nutzt. Zu diesem Fall
ist noch zu bemerken, dass Wireshark im
Menü »Telephony« eine Reihe leistungsfähiger
Funktionen und Filter explizit zum
Analysieren von Telefonie-Problemen
mitbringt.
Filter nutzen
Nutzt der Admin keinen Filter, zeichnet
Wireshark den kompletten Datenverkehr
auf und präsentiert als Ergebnis dann
auch alle Pakete, die für das ganz alltägliche
Management
im Netzwerk
notwendig sind
wie etwa ARP-
Requests, Net-
BIOS- und Cups-
Broadcast sowie
IGMP- und STP-
Pakete (Spanning
Tree Protocol).
Im Bezug auf die
Netzwerkanalyse
sind solche Pakete
meist nicht relevant,
es sei denn
der Admin vermutet
einen Hacker-
Angriff mittels
ARP-Poisoning. zusammenklicken.
Zahleiche weitere nützliche Praxisbeispiele
für Capture-Filter [2] und Display-
Filter [3] finden sich im Wireshark-Wiki
[4]. Ein sehr gutes Handbuch hat außerdem
Ludwig Hein von Lupocom verfasst
[5]. Trotz relativ gut verständlicher und
gut dokumentierter Syntax ist das Erstellen
von Filtern eine komplexe Angelegenheit.
Wireshark unterstützt den Admin
dazu mit einer Filter-Toolbar im Menü
»Analyze | Display Filters«.
Das Tool erlaubt neben der Auswahl einer
ganzen Reihe vordefinierter Display-
Filter mit der »New«-Schaltfläche auch
die direkte Eingabe von Filterausdrücken.
Der Admin kann mit einem Klick
auf die Schaltfläche »Expression« seinen
Wunschfilter so im Dialog-Verfahren zusammenklicken
(Abbildung 5). Zwar
Abbildung 5: Display-Filter lassen sich in Wireshark auch im Dialog-Verfahren
40 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Sie haben Ihre
IT im Griff.
In Zukunft auch
ohne Überstunden?
Abbildung 6: Wireshark kennt eine riesige Anzahl wichtiger Protokolle, die der Administrator in eigenen
Filterausdrücken verwenden kann, um nur relevanten Traffic mitzuschneiden.
gibt es analog für Capture-Filter einen
Menüeintrag »Capture | Capture-Filters«,
dieser bietet allerdings keine Expression-
Schaltfläche.
Der Filter-Dialog zeigt übrigens nicht
nur die verfügbaren Protokollfelder an,
sondern auch die mit dem jeweiligen
Protokoll anwendbaren Operatoren, die
der erfahrene Admin zu individuellen
Ausdrücken kombinieren kann. Mit »OK«
überträgt er den Ausdruck dann in die
Filterliste, um ihn dort auszuwählen und
mit »Apply« anzuwenden.
Weitergehende Analysen
Alle bisher beschriebenen Funktionen
beziehen sich mehr oder weniger nur
auf das Erfassen der zu analysierenden
Daten. Filter dienen im Wesentlichen
dazu, das zu erwartende Datenaufkommen
einzuschränken, aber auch dazu,
die Analyse auf die zu untersuchenden
(möglicherweise verdächtigen) Ports
oder Protokolle einzuschränken.
Darüber hinaus bietet Wireshark aber
auch ein beachtliches Sortiment an Analyse-Funktionen
im Menü »Analyze«.
Neben der erwähnten Toolbar zum Definieren
von Display-Filtern lassen sich
hier auch gezielt einzelne Protokolle deaktivieren
(Abbildung 6).
Sehr nützlich und leistungsfähig ist auch
der Menüpunkt »Analyze | Expert Infos«,
mit dessen Hilfe der Admin sich einen
Überblick über einen ausgewählten Protokollablauf
verschaffen kann, um daraus
für die Fehlersuche nützliche Informationen
zu gewinnen.
Möchte der Admin beispielsweise einen
Authentifizierungs-Handshake im Detail
verfolgen, bietet Wireshark dazu die
Funktion der Stream-Verfolgung unter
»Analyze | Follow TCP Stream« (alternativ
»Follow UDP Stream« und »Follow
SSL Stream«). Die Funktion lässt sich
etwa anhand eines SSH-Logins illustrieren,
wozu der Admin auf einem zweiten
Rechner einen SSH-Server aktiviert und
dann auf dem ersten Rechner Wireshark
sowie ein SSH-Login startet. Zuvor konfiguriert
er Wireshark so, dass ein Protokoll-Filter
dafür sorgt, dass Wireshark
ausschließlich Pakete aufzeichnet, die zu
einer SSH-Sitzung gehören. Dazu muss er
die Aufzeichnung zunächst via Captureoder
Display-Filter auf das SSH-Protokoll
beschränken. Als Capture-Filter sieht das
so aus:
port 22
Dann startet der Administrator die Aufzeichnung,
loggt sich auf der Konsole per
SSH auf dem anderen Rechner ein und
wählt anschließend aus dem Menü »Analyze«
den Punkt »Follow TCP Stream«.
Das Ergebnis sollte etwa so aussehen wie
in Abbildung 7.
NETHINKS unterstützt Sie
als zertifizierter deutscher
OpenNMS-Partner mit:
a Support
a Schulung
a Neukonzeptionen
a Systemoptimierungen
Sprechen Sie uns an!
www.NETHINKS.com
Nächste OpenNMS-Schulung:
26.09. – 30.09.2011
www.admin-magazin.de
NETHINKS GmbH | Bahnhofstr. 16 | 36037 Fulda
T +49 661 25000-0 | info@NETHINKS.com

n e Tzwerk
wireshark
Analyse unter »Telephony | SIP | Stream
Analysis« erzeugt dann für den gewählten
RTP-Stream eine Statistik, die unter
anderem die Ankunftszeit eines Paketes,
den Delay und den Jitter anzeigt.
Fazit
Abbildung 7: Nützlich ist die Option, TCP- oder UDP-Streams Paket für Paket zu verfolgen.
Da SSH die Verbindung verschlüsselt,
kann kein Hacker durch den Einsatz von
Wireshark nennenswerte Informationen
aus der Analyse gewinnen. Das Beispiel
verdeutlicht aber auch, wie einfach sich
mit der Funktion »Follow TCP Stream«
etwa ein Telnet-Login – oder etwas zeitgemäßer
– ein nicht via SSL gesicherter
HTTP-Login mitlesen lässt.
Statistik
Wireshark bietet im Menü »Statistics« außerdem
eine ganze Reihe nützlicher Statistik-Funktionen.
Mit deren Hilfe kann
der Admin beispielsweise Statistiken über
IP-Adressen, Paketlängen, Protokolltypen,
Kommunikations-Endpunkte (Endpoints),
Kommunikationsbeziehungen
rechtslage
Selbstverständlich lässt sich Wireshark auch
hervorragend zur Netzwerk-Analyse im WLAN
nutzen. Allerdings ist das vorsätzliche Abhören
und Protokollieren von fremden Funkverbindungen
in Deutschland verboten, es sei
denn, der Netzbetreiber erlaubt dies explizit.
Der Einsatz von WLAN-Sniffern im eigenen
Funknetz ist zwar unproblematisch, allerdings
geht damit aufgrund der WLAN-Dichte oft
auch ein unbeabsichtigtes Abhören fremder
Netze einher. Dieses „ungewollte Abhören“
ist im deutschen Telekommunikationsgesetz
erlaubt, nicht aber das Speichern, Benutzen
oder Weitergeben der so gewonnenen Daten.
Mehr dazu verrät der Artikel auf S. 24.
(Conversations), Service-Antwortzeiten
und vieles mehr erstellen.
Interessant und nützlich ist auch der
Menüpunkt »Statistics | UDP Multicast-Streams«.
Vermutet der Admin Probleme
im Bereich VoIP beziehungsweise
bei der Internet-basierten Sprachübertragung
im Allgemeinen, sollte er sich auch
im Menü »Telephony« umsehen. Hier
lässt sich der Datenverkehr im Handumdrehen
zum Zwecke der Analyse von
Telefonie-Daten filtern. Bei der Internet-
Telefonie basieren sowohl der Signal-
Traffic (SIP) als auch der Voice-Traffic
(RTP) auf UDP. Das Erstellen von passenden
Filtern und Statistiken ist daher
mithilfe der Menüpunkte »Telephony |
SIP ...« und »Telephony | RTP« schnell
erledigt. Insbesondere Letzterer ist sehr
leistungsfähig.
Mit »Telephony | RTP | Show All Streams«
sind im Nu alle vorhandenen RTP-Streams
gefiltert und visualisiert. Die RTP-Stream-
Farben
Wireshark verfügt über ein umfangreiches
Regelwerk zum Verwenden von Farben in
der Anzeige der Paketliste. Der zugehörige
Profil-Editor ist unter »View | Coloring Rules«
zu finden. Per Default zeigt Wireshark etwa
SMB-Traffic gelb, HTTP-Traffic hellgrün und
ARP-Requents mintgrün an. Eine neue Farbregel
lässt sich wahlweise mit »View | Colorize
Conversation | New Coloring Rule« oder »View
Coloring Rules« erstellen.
Wireshark ist einer der leistungsfähigsten
Paket-Sniffer und kommerziellen Produkten
mindestens ebenbürtig. Allein die unterstützten
Protokolle, die mitgelieferten
Filter und Analyse-Funktionen könnten
Bände füllen. Allerdings wird eine fundierte
Netzwerkanalyse trotz zahlreicher
Assistenten und Filter nicht besser oder
einfacher, wenn das nötige Protokoll-
Wissen fehlt.
Deshalb erfordert der Einsatz von
Wireshark viel Handarbeit, auch wenn
der Werkzeugkasten mit jeder Version
größer wird. Wer nicht über fundiertes
Netzwerk-Fachwissen und das Zusammenwirken
der beteiligten Protokolle
und Dienste verfügt, wird Hacker-Angriffe,
Performance-Schwachstellen oder
Konfigurationsfehler auch mit dem Einsatz
von Wireshark nicht schneller aufdecken.
(ofr)
n
Infos
[1] Download Wireshark:
[http:// www. wireshark. org/ download. html]
[2] Beispiele Capture-Filter:
[http:// wiki. wireshark. org/ CaptureFilters]
[3] Beispiele Display-Filter:
[http:// wiki. wireshark. org/ DisplayFilters]
[4] Wireshark-Wiki: [http:// wiki. wireshark. org]
[5] Wireshark-Handbuch
von Ludwig Hein:
[http:// www. lupocom. com/
artikel/ artikel-allgemein/
498-wiresharkhandbuch-teil-1. html]
Der Autor
Thomas Drilling ist seit mehr als zehn Jahren
hauptberuflich als freier Journalist und Redakteur
für Wissenschafts- und IT-Magazine tätig.
Er selbst und das Team seines Redaktionsbüros
verfassen regelmäßig Beiträge zu den Themen
Open Source, Linux, Server, IT-Administration
und Mac OS X. Außerdem arbeitet Thomas
Drilling als Buchautor und Verleger, berät als
IT-Consultant kleine und mittlere Unternehmen
und hält Vorträge zu Linux, Open Source und
IT-Sicherheit.
42 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Virtualisierung
Die besten Virtualisierer und die
Features ihrer Produkte im Vergleich:
• VMware
• Hyper-V
• Oracle VM
• Citrix Xen Server
• Qemu
• ConVirt
• OpenQRM
• Red Hats RHEV
• KVM
• Novell
• Proxmox
Große
Technical Review
Marktstudie
Powered by
www.admin-magazin.de
ADMIN
Netzwerk & Security
© Dmitry Sunagatov, Fotolia.und Diego Alíes, 123RF
Mehr als
500 Stunden
Recherche, Tests
und Vergleiche
für nur
98 Euro
und andere
Leseprobe mit 10 Seiten unter
www.admin-magazin.de/tr-studie

NetzW erK
IPv6
Im Test: Autokonfiguration von IPv6-Clients
Sitzengeblieben
Die meisten Clients in einem Netz brauchen neben einer Adresse auch Umgebungsinformationen wie einen
Nameserver oder einen Webproxy. Ob aktuelle Betriebssysteme sich in einem reinen IPv6-LAN zurechtfinden,
untersucht dieser Artikel. Konstantin Agouros
Horrormeldungen, dass die IPv4-Adressen
ausgegangen sind, machen seit einiger
Zeit die Runde. Die mittlerweile selbst
schon in die Jahre gekommene Version 6
des Internet Protocol soll Abhilfe schaffen.
Dieser Artikel untersucht, ob IPv6 im
lokalen Netz schon eine vollwertige Alternative
zu IPv4 darstellt. Aller Euphorie
zum Trotz holte die Realität den Autor bei
den ersten Untersuchungen aber schnell
ein, sodass hieraus ein Bericht über einen
Selbstversuch in einem reinen IPv6-Netz
wurde.
Die Theorie
Wie sich ein Rechner in einem IPv6-
Netz zurechtfindet, ist theoretisch
in [1] beschrieben. Der RFC spezifiziert
das Neighbor Discovery
Protocol, das unter anderem
das Address Resolution
Protocol (ARP) ablöst. Es
ist zuständig für die Zuordnung
von MAC-Adressen
zu IP-Adressen, findet
aber auch die zuständigen
Router für
Adressen in anderen
Netzen und
verteilt optio-
nal Adress-Präfixe für das lokale Netz.
Der Ablauf sieht dabei so aus:
n Sobald das Interface aktiv ist, wird
ein Router Solicitation Request an die
Multicast-Adresse »ff02::2« (alle Router
im lokalen LAN-Segment) gesendet.
Alle IPv6-Router in diesem Netz
antworten darauf mit einem Router
Advertisement.
n Abhängig von den Flags im empfangenen
Advertisement konfiguriert der
Client entweder automatisch eine IP-
Adresse im empfangenen Präfix aus
der MAC-Adresse im EUI64-Format
(siehe Kasten „Adressen erzeugen
mit EUI64“) oder in der anonymisierenden
temporären Version [2]. Das
Flag dazu heißt »AdvAutonomous«.
n Wenn das »AdvManagedFlag« gesetzt
ist, dient das „Administered Protocol“
zusätzlich zur Autokonfiguration. Damit
ist DHCPv6 gemeint. Sind beide
Flags gesetzt, bezieht der Client eine
Adresse per DHCP und vergibt sich
selbst die automatisch konfigurierte.
Damit ist der Client im LAN erreichbar
und findet auch seine Nachbarn. Außerdem
kennt der Client die IPv6-Routen,
um auch Rechner jenseits des LANs zu
erreichen. Wenn kein DHCP verwendet
wird, weiß der Client zum jetzigen
Zeitpunkt aber weder, welchen
Nameserver er verwenden soll, noch
wo sich sonstige Netzwerkdienste
befinden. Der RFC [3] definiert
deshalb eine Erweiterung für die
Router Advertisements, die den
Clients auch den Nameserver
mitteilen können.
Es gibt noch ein weiteres
Flag, das hier
eine Rolle spielt:
© Rainer Plendl, 123RF
44 AU sgABe 05-2011 A D m IN WWW. ADm IN-mAgA z IN. D e

IPv6
NetzW erK
wie von den Router
Advertisements vorgegeben:
Alle Flags werden
entsprechend umgesetzt
(Abbildung 1).
RDNSS-Support fehlt
allerdings.
Ist DHCPv6 im Einsatz,
erfährt das Client-System
auch den Nameserver.
Eine Untersuchung
mit Wireshark
förderte zutage, dass
der Client lediglich
nach einem Nameserver
und der Liste der
lokalen Domains fragt.
Außerdem werden
noch Microsoft-spezifische
Optionen abgefragt.
Damit erfährt
der Client alles, was er
im Microsoft-Netz benötigt,
da er über DNS
mittels Service Discovery
(SRV Records für
Dienste) alle Komponenten
findet, die zum
Funktionieren notwendig
sind.
xistest verwendete
der Autor Systeme
mit Linux (Gentoo),
Windows 7
Ultimate und Mac
OS X Snow Leopard.
Windows 7
Das Windows-
Testsystem wurde
als frische Installation
mit Standardeinstellungen
in einer VM mit
Virtualbox aufgesetzt.
Das Netzwerkinterface
der
VM war mit einem
Abbildung 1: Musterschüler Windows 7: Abgesehen von RDNSS werden alle IPv6-
Parameter richtig konfiguriert.
VLAN-Segment
verbunden, in dem
kein IPv4 gesprochen
Das »AdvOtherConfig«-Flag. Laut [1] und
der Manpage des Radvd soll es in [4]
erklärt sein. Die Dokumenthistorie verrät,
wurde (wie bei allen Testsystemen).
Die Adresskonfiguration funktioniert bei
Windows 7 wie erwar-
dass es zwar aus dem RFC entfernt tet beziehungsweise
wurde, aber nicht deprecated, also noch
gültig ist. Die Bedeutung dieses Flags
ist laut Radvd-Dokumentation: „When
set, hosts use the administered (stateful)
protocol for autoconfiguration of other
(non-address) information.“ Also genau,
dass DHCPv6 eingesetzt werden soll, um
Dienste wie Nameserver und so weiter
zu finden.
DHCPv6 verhält sich im Prinzip wie
DHCP für IPv4, mit dem Unterschied,
dass es keine Broadcasts (die es in IPv6 ja
nicht mehr gibt) sondern eine Multicast-
Adresse verwendet, und sich der DHCP-
Server auf Port 547/ UDP bindet. Zum Pra-
Adressen erzeugen mit eUI64
EUI64 wird verwendet, um aus der MAC-Adresse
eines Rechners eine IPv6-Adresse zu
erzeugen. Dazu wird die MAC-Adresse, etwa
»00:11:22:33:44:55«, in der Mitte geteilt
und dort die zwei Byte »FF:FE« eingefügt.
Damit hat man 64 Bit. Wenn als Basis eine
Adresse verwendet wird, die global eindeutig
ist (was bei Ethernet-Adressen der Fall sein
sollte), wird das siebte Bit noch gekippt. Im
Beispiel wären die letzen 64 Bit der Adresse,
die den Host-Anteil in einem üblicherweise
für ein LAN verwendeten 64er-Block bilden,
»02:11:22:FF:FE:33:44:55«.
Im ersten Versuch gab es jedoch eine
kuriose Besonderheit: Über einen WPAD-
DNS-Eintrag wurde die IP-Adresse eines
Webservers bekanntgegeben, der über
die Datei »wpad.dat« eine Proxy-Autokonfigurationsdatei
bereitstellt. In dieser
befand sich der auch mit IPv6-Adresse
auflösbare Webproxy im LAN, der auch
über IPv4 verbunden war, also auf beide
Welten zugreifen kann. Der BITS-Dienst,
den Microsoft für die Patches verwendet,
funktionierte damit auf Anhieb. Ebenso
konnte ein nachinstallierter Firefox-Browser,
der auf Autokonfiguration eingestellt
war, auf den Proxy zugreifen.
Internet Explorer patzt
Der installierte Internet Explorer 8 versagte
aber den Internet-Dienst – der Rest
des Netzes war so konfiguriert, dass
keine direkte IPv6-Verbindung ins Internet,
sondern nur über den Proxy möglich
war. IPv6-fähige Webserver im LAN
konnten vom IE angesprochen werden.
MySQL
aktuell zur Version 5.5 und 5.6
750 S., 2011, mit DVD, 49,90 €
» www.GalileoComputing.de/2533
Admin-Know-how
CouchDB
Das Praxisbuch
303 S., 2011, 34,90 €
» www.GalileoComputing.de/2205
Citrix XenApp 6 und
XenDesktop 5
608 S., 4. Auflage 2011, 59,90 €
» www.GalileoComputing.de/2465
www.GalileoComputing.de
Linux-Server
Bestseller!
815 S., 2011, 49,90 €
» www.GalileoComputing.de/2205
WWW. ADm IN-mAgA z IN. D e
Wissen, wie’s geht.

NetzW erK
IPv6
einträgt. Dazu
wird die Netlink-
Schnittstelle verwendet.
Bei Kernel-Versionen
vor
2.6.24 versucht
der Dienst selbst,
die Advertisements
abzugeifen
und auszulesen.
Der Daemon heißt
»rdnssd« und gehört
zum Ndisc6-
Paket, das weitere
nützliche Werkzeuge
für IPv6-
Abbildung 2: Zur Not lassen sich IPv6-Nameserver unter Mac OS X von Hand
eintragen.
Netzwerke unter
Linux enthält.
Abhilfe schaffte erst das Deaktivieren von DHCPv6-Clients für Linux gibt es etwa
IPv4 in den Netzwerkeigenschaften, womit
dann auch der Internet Explorer den das auch den weitverbreiteten DHCP Ser-
vom Internet Software Consortium (ISC),
Proxy verwendete.
ver bereitstellt oder im Paket »dhcpv6«,
Wenn Windows 7 keine DNS-Server findet,
verwendet es drei Standard-Adressen Pakete erlauben es in mehr oder weniger
das ebenfalls einen Server enthält. Die
als Nameserver: »fec0::1«, »fec0::2« und ausgeprägtem Umfang (die ISC-Version
»fec0::3«. Das Präfix »fec0« war einmal ist da umfassender), neben einer Adresse
als Gegenstück zu den RFC1918-Adressen auch Optionen wie Nameserver oder
gedacht, ist jedoch als Deprecated eingestuft.
Hat man keinen DHCPv6-Server Das Problem im Vergleich zu Windows
NTP-Server abzufragen.
zur Hand, kann man sich aber trotzdem 7 ist, dass man bei der Konfiguration
damit behelfen, dieses Präfix zu verteilen eines Clients wissen muss, ob DHCPv6
und einem Server im Netz ebenfalls eine eingesetzt wird oder nicht. Es gibt keinen
Daemon, der die Managed-Option
der »fec0«-Adressen zu geben, und dort
einen IPv6-fähigen Nameserver wie BIND des Advertisements ausliest und danach
laufen zu lassen.
den DHCP-Client-Prozess startet oder
Was bei Windows 7 im Test nicht funktionierte,
ist das Eintragen in den DNS- Programmierer noch Grundlagenarbeit
eben nicht. Hier kann ein Open-Source-
Server. Ein Mitschnitt der DNS-Pakete, leisten.
die der Client sandte, förderte keine Update-Pakete
zutage, mit denen der Client DHCPv6 über die Advertisments sowohl
Trotzdem lernt Linux beim Einsatz von
seinen Hostnamen und die zugeteilte die Routen wie auch weitere Konfigurationsparameter,
und der Client steht funk-
IP einträgt. Dies ist in Active-Directory-
Umgebungen zumindest hilfreich für das tionstüchtig im Netz. Sollten die Clients
Funktionieren des Clients im Netz. per DHCP sowieso nur den Nameserver
beigebracht bekommen, so reichen auch
Advertisements mit RDNSS-Flag.
Linux
Der Linux-Kernel beherrscht schon seit
Langem IPv6, was die Adresskonfiguration
angeht. Er beachtet auch den Wert
des Autonomous Flags. Damit hört es
aber eigentlich schon fast auf. Seit 2.6.24
unterstützt Linux auch das RDNSS-Flag.
Hierfür benötigt man jedoch einen
Daemon, der im Userspace läuft und aus
den Advertisements den Nameserver ausliest
und in die Datei »/etc/resolv.conf«
Mac OS X 10.6
Apple stellte in diesem Test die größte
Enttäuschung dar, vor allem angesichts
der Tatsache, dass die letzten Betriebssystemversionen
und Anwendungen wie
Mail und Safari IPv6 schon einige Jahre
unterstützen. Auch verwendet Apple für
sein Bonjour-Protokoll zum Auffinden
von Diensten IPv6 mit Linklocal-Adressen
(Präfix »fe80«). Selbst ein iPhone
3G, das im WLAN-Testbetrieb mit Router
Advertisements versorgt wurde, schickte
einen DHCPv6-Request und fragte nach
dem Nameserver.
Jedoch wertet ein Snow-Leopard-Client
lediglich die Flags in den Router Advertisements
aus, Support für RDNSS fehlt.
Und wenn das Managed Flag gesetzt
ist, gibt es keinen DHVPv6-Client, der
die notwendigen Daten bezieht. Es ist
möglich, über die Systemeinstellungen
im Netzwerkbereich IPv6-Adressen als
Nameserver manuell einzutragen (Abbildung
2). Für einen Einsatz im großen Stil
empfiehlt sich diese Praxis jedoch nicht.
Während der Arbeit an diesem Artikel
erschien Apples Version 10.7 „Lion“. Hier
ist nun ein DHCPv6 Client vorhanden
und die Autokonfiguration funktioniert
laut diverser Beiträge in Netzwerkerforen
standardkonform
Fazit
Richtig überzeugen konnten die Ergebnisse
des IPv6-Tests nicht, da immer
noch manuelle Eingriffe notwendig waren.
Eine funktionierende Konfiguration
ist so möglich, bedeutet aber für den
überarbeiteten Administrator mehr Arbeit
als eigentlich nötig.
Der Autor probierte sein Glück mit Linux
(Gentoo), Windows 7 Ultimate und Mac
OS X Snow Leopard. Von diesen Systemen
funktionierte letztlich keines out of
the box. (ofr)
n
Infos
[1] RFC4861 Neighbor Discovery Protocol:
[http://tools. ietf. org/html/rfc4861]
[2] RFC4941 Privacy Extensions for Stateless
Address Autoconfiguration in IPv6:
[http://tools. ietf. org/html/rfc4941]
[3] RFC5006 IPv6 Router Advertisement Option
for DNS Configuration:
[http://tools. ietf. org/html/rfc5006]
[4] IPv6 Stateless Address Autoconfiguration:
[http://tools. ietf. org/html/rfc4862]
Der Autor
Konstantin Agouros arbeitet bei der n.runs AG
als Berater für Netzwerksicherheit. Dabei liegt
sein Schwerpunkt im Bereich Telekommunikationsanbieter.
Sein Buch „DNS/ DHCP“ ist bei
Opensource Press erschienen.
46 AU sgABe 05-2011 A D m IN WWW. ADm IN-mAgA z IN. D e

STRATO PRO
Vergleichen lohnt sich richtig!
Anbieter Hetzner SERVER4YOU
Server EQ4 EcoServer LARGE X5 HighQ-Server SR-7
Monatliche Grundgebühr 49,00 € mtl. 44,99 € mtl. 49,00 € mtl. € mtl.
• Quad-Core
• Quad-Core
• Quad-Core
• 4 x 2,66 GHz • 4 x 2,3 GHz
• 4 x 2,5 GHz
Leistungsda te n
• 8 GB RAM
• 8 GB RAM
• 4 GB RAM
• 2 x 750 GB Storage • 2 x 1.000 GB Storage
• 2 x 500 GB Storage
Vertragslaufzeit 1 Monat 1 Monat 12 Monate
Pauschale für erweiterte Nutzung 15,00 € mtl. 0,00 € mtl. inklusive
Netzunabhängiger Remotezugriff 19,00 € mtl. (KVM) nicht angeboten inklusive (Serielle Konsole)
Setup Netzunabhängiger
149,00 € nicht angeboten inklusive
Remotezugriff (einmalig)
Sofortiger Reboot inklusive 5,00 € mtl. ** inklusive
Sofortige Neuinstallation
inklusive 10,00 € mtl.
mit Wechsel des Betriebssystems
** inklusive
Sofortiges Recovery-System inklusive 10,00 € mtl. ** inklusive
100% FTP-Backupspace nur 100 GB 10,00 € mtl. ** inklusive
ja
7,90 € mtl.
inklusive
Parallels® Plesk Panel
inklusive (30 Domains)
(30 Domains)
(10 Domains)
Inklusiv-Domains 0 0 5 Domains
Kosten für 5 Domains (.de) 4,95 € mtl. 5,10 € mtl. keine Kosten (5 Domains inkl.)
Einrichtungsgebühr 49,00 € 0,00 € keine Einrichtungsgebühr
Einmalige Kosten 198,00 € 0,00 € keine
einmaligen ige
nK
Kosten
Monatliche Kosten
inkl. Features
95 ,85 69 ,09 ,00
€/Mon.
€/Mon.
€/Mon.
3 Monate nur:
Stand: 09.08.11
** Oder Komplett-Paket für 19,00 €/ Mon.inkl. MwSt.
Sie sparen im
ersten Jahr mind.
330,- €
*
€/Mon.
Telefon: 0 18 05 - 00 76 77
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
strato-pro.de
* Mindestvertragslaufzeit 12 Monate. Traffic-Unlimited: Keine zusätzlichen Kosten durch Traffic (bei Traffic-
Verbrauch über 1.000 GB/Monat und danach je weitere 300 GB erfolgt eine Umstellung der Anbindung
auf max. 10 MBit/s. Freischaltung jeweils kostenlos über den Kundenservicebereich). Preise inkl. MwSt.

Tuning
Tuning
© Itsallgood, Fotolia
Grundregeln des Performance-Tunings
Pimpen nach Plan
Tunen nach Kochrezept ist problematisch, weil oft viele individuelle Faktoren in die Rechnung einzubeziehen
sind. Aber ein paar Leitlinien für das Performance-Tuning gibt es doch. Jens-Christoph brendel
Wenn es eine goldene Regel des Tunings
gibt, dann lautet sie: Geh planvoll vor!
Wer dies und das willkürlich ausprobiert,
mal an diesem, mal an jenem Schräubchen
dreht, in der Hoffnung, irgendwann
werde sich schon zufällig ein günstiger
Effekt einstellen, der kommt bestimmt
nicht ans Ziel. Denn gerade beim Beschleunigen
von Rechnern gilt: Failing to
plan is planning to fail. Was allein Erfolg
verspricht, ist ein Plan, der sich zum einen
auf ein gutes Verständnis der Mechanismen
stützt, die es zu beschleunigen
gilt, zum anderen auf handfeste Messwerte.
Vor diesem Hintergrund durchläuft
der Tuner den Kreislauf Messen-Analysieren-Ändern
so lange, bis das gewünschte
Ergebnis maximiert ist. Dieser Artikel beleuchtet
Methodik und Tools.
Messen
Anwender sprechen häufig über subjektive,
über gefühlte Performance. Das ist
unvermeidlich und deshalb auch berechtigt.
Der Admin aber muss sich bemühen,
eine Aussage wie „Heute ist wieder alles
so langsam …“ zu objektivieren. Er muss
wissen, was genau wie schnell ist, weil
er nur so einen Ansatzpunkt für zielgerichtete
Verbesserungen finden kann.
Dabei liefert ihm das Performance-Monitoring
konkrete Messwerte. Auf zwei
Schwierigkeiten stößt er dabei allerdings
ziemlich schnell: Erstens: Was soll man
messen? Es bieten sich sehr viele Möglichkeiten
an. Und zweitens: Was sagt
ein bestimmter Messwert aus? Sind 2417
Pakete pro Sekunde gut oder schlecht?
Liegt der Messwert im Erwartungsbereich,
darunter oder darüber? Markiert
er einen Trend?
Der ersten Schwierigkeit wird man am
besten Herr, wenn man vom Allgemeinen
zum Konkreten absteigt und sich zuerst
einen Überblick verschafft, bevor man
die Details unter die Lupe nimmt. Liegen
zum Beispiel ein paar Gigabyte Hauptspeicher
brach, ist es sinnlos, aufwendig
den Speicherverbrauch einzelner Funktionen
einer Applikation zu untersuchen.
Befindet sich die CPU zu 90 Prozent im
Leerlauf, braucht man nicht mit einzelnen
Takten geizen. In diesen Fällen muss
der Engpass – wenn es denn einen gibt
– woanders zu finden sein.
Beim zweiten Problem, der Einordnung
der Messwerte, hilft es, wenn man ein paar
Eckdaten im Hinterkopf hat: Wie schnell
kann eine Festplatte oder ein 10-GBit-
Netzwerk maximal sein? Vielleicht aber
noch wichtiger ist eine Technik, die sich
auf die konkrete Anwendung bezieht:
Das sogenannte Baselining. Dabei sammelt
man über längere Zeit Vergleichswerte
aus der Beobachtung der eigenen
Applikationen: Welche Antwortzeiten ergeben
sich im Normalbetrieb? Wie viele
Useranfragen werden üblicherweise pro
Zeiteinheit bearbeitet? Und so weiter. Das
ermöglicht später hilfreiche Vergleiche:
Haben sich die Antwortzeiten tatsächlich
verlängert (wenn ja,wie stark?) – oder
hat der Anwender nur den Eindruck? Ist
die Veränderung plötzlich eingetreten
oder schleichend? Ist sie zyklisch? Die
Antworten helfen die Stelle zu finden,
an der man den Hebel ansetzen muss.
48 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Tuning
Tuning
Dagegen nützt eine isolierte, schwer einzuordnende
Version portiert,
Momentaufnahme ohne Ver-
wäre übrigens
gleichsmöglichkeit weitaus weniger. willkommen). Daneben
existieren
Überblick verschaffen
Hilfsmittel, um
Nmon-Daten in
Wer sich einem Performanceproblem
nach der Top-Down-Methode nähert, erkennt
auf der obersten Ebene drei große
Gruppen von Ressourcen, von denen prinzipiell
jede zum Nadelöhr werden kann:
RRD-Datenbanken
zu schleusen. Das
bewerkstelligen
etwa [3] und [4].
Neben Nmon gibt
Die Kapazität der CPU, das Leistungsvermögen
es eine ganze
des I/ O-Systems inklusive des Reihe weiterer
Netzwerks und die Aufnahmefähigkeit Tools, die einen Abbildung 1: Mit Nmon kann sich der Anwender seine Performanceübersichten
des Hauptspeichers. Eine erste Übersicht Überblick über selbst in einem Terminalfenster zusammenstellen. Rootrechte sind nicht nötig.
über die Auslastung dieser Ressourcen die Systemperformance
liefern generelle Performancetools.
Ein brauchbarer Vertreter der Kategorie
Generalistentools fürs Performance-Monitoring
ist Nmon [1] (Abbildung 1). Das
Werkzeug liefert in komprimierter Form
viele relevante Daten zu CPU- oder Speicherauslastung,
Filesystemen, Virtual
Memory, Kernel-Statistik, Platten-I/ O
oder Netzwerk. Dabei kann es ein normaler
User starten, es benötigt keine Rootaufgestellten
ermöglichen. Zu den breiter
gehören beispielsweise Top
und seine zahlreichen Derivate. Speziell
für das Baselining aber bietet sich ein
bestimmtes Kommandozeilentool ganz
besonders an: Der System Activity Reporter
(Sar).
Sar kann nicht nur ad hoc sehr detaillierte
Performancestatistiken ausgeben,
die alle relevanten Ressourcen einschließen,
zen hält und dabei jederzeit über alle
relevanten Parameter auskunftsbereit ist.
Zudem gibt es auch für Sar Auswertungstools,
beispielsweise das kommerzielle
Sarcheck [5], das anhand eines Regelwerks
und hinterlegter Schwellwerte die
Messungen automatisiert beurteilt und
so gezielt Hinweise auf Flaschenhälse
nebst Optimierungsempfehlungen liefert
(Abbildung 2).
Rechte, was oft ein großer Vorteil ist.
sondern es ist darüber hin-
Bis jetzt leider nur für Windows existiert
der Nmon Analyzer [2], der die längere Zeiträume hinweg zu sammeln
aus in der Lage, diese Werte auch über
I/ O im Blick
gesammelten Performancedaten in einem
Spreadsheet auswerten hilft und
auch grafische Darstellungen erstellt;
(ein Freiwilliger, der das auf Visual Basic
basierende Tool in eine Open-Sourceund
dann automatisch zu Wochen- oder
Monatsübersichten zu verdichten. Damit
lässt sich bequem ein permanentes
Performance-Monitoring einrichten, das
seinen Platzbedarf automatisch in Gren-
Wer nach einem ersten Überblick seine
Erkenntnisse über eine bestimmte Ressource
vertiefen möchte, dem bieten sich
viele spezialisierte Monitore und Benchmarks
an. Eine der Schwachstellen, die
dabei am häufigsten in den Blick gerät,
sind die Festplatten.
Das liegt einfach daran, dass sich in
den vergangenen Jahrzehnten die Rechenleistung
der CPU sehr viel schneller
entwickelt hat als die I/ O-Leistung der
Festplatten. Ein Blick in die Computergeschichte
macht das klar: Der Urahn
heutiger CPUs, Intels 8086, erblickte im
Juni 1978 das Licht der Welt und brachte
es anschließend, getaktet mit bescheidenen
4.77 MHz, auf gerade einmal 0,33
MIPS (Million Instructions Per Second).
Eine heutige CPU, etwa Intels Quadcore-
Prozessor Core i7 Extreme Edition 990x,
kommt bei 3,46 GHz auf 59 000 MIPS.
Bei den Festplatten sieht die Lage aber
ganz anders aus. Kurz nachdem der legendäre
Stammvater der Intel-Prozessoren
auf den Markt kam, konstruierte
Seagate seine erste 5,25-Zoll-Festplatte,
Abbildung 2: Sarcheck produziert auf Wunsch einen HTML-Report, der in einfachem Englisch mit Tabellen und
bei Bedarf auch Graphen die Auslastung aller Ressourcen erläutert.
das Modell ST-506. Die aus heutiger Perspektive
winzige 5-MByte-Platte kostete
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
49

Tuning
Tuning
Abbildung 3: Latencytop zeigt, auf das Freiwerden welcher Ressourcen ein
Prozess warten musste und womit er selbst die meiste Zeit verbrachte.
stolze 1500 Dollar und brachte es bei
einer Umdrehungsgeschwindigkeit von
3600 RPM auf eine mittlere Lesegeschwindigkeit
von 85 ms. Eine aktuelle
Barracuda 7200.7 (ST-380011A) hat zwar
ihre Kapazität auf vergleichsweise riesige
80 GByte vergrößert, rotiert aber nur doppelt
so schnell und das Lesen dauert hier
immer noch 8,5 ms im Schnitt.
Das heißt: Während die CPU ihre Rechenpower
auf das 178.000-fache steigerte,
stieg die Lesegeschwindigkeit der Platten
nur um das Zehnfache. Der Grund
liegt in den Gesetzen der Mechanik: Die
Rotationsgeschwindigkeit der Platten ist
nicht beliebig steigerbar, unter anderem
weil dann die unvorstellbar hohe Positioniergenauigkeit
der Köpfe nicht mehr
zu gewährleisten wäre, die wiederum die
Voraussetzung für hohe Spurdichten und
damit Kapazitäten ist.
Die enorme Diskrepanz in der Leistungsentwicklung
von CPU und I/ O-Subsystem
ist die häufigste Ursache für Performanceprobleme
überhaupt und das Dilemma
wäre noch sehr viel größer, hätte man
nicht verschiedene Maßnahmen der Gegenwehr
ersonnen. Dazu zählen etwa
Plattenverbünde, die die I/ O-Last auf
viele Spindeln verteilen können, oder
und vor allem Caches, die Plattenzugriffe
durch Hauptspeicherzugriffe substituieren.
Getreu dem Motto: „The only good
fast read is the one you didn’t have to
do.“ Das Lesen aus dem Cache kostet nur
Mikrosekunden, von der Platte mindestens
eine Handvoll Millisekunden, also
wenigstens das Tausendfache.
Damit lässt sich der Leistungsunterschied
zumindest ein wenig angleichen,
allerdings um den Preis einer höheren
Komplexität. Ein Plattenzugriff durch-
läuft auf seinem
Weg von der Applikation
über das
Filesystem den
Page Cache des Betriebssystems,
den
Block I/ O Layer,
den I/ O Scheduler,
den Gerätetreiber,
die Plattenelektronik
bis schließlich
zur Magnetschicht
der Festplatte
zahlreiche Ebenen
(Abbildung 5), die
zwar oft nichts voneinander wissen, unter
Umständen aber gleichwohl jeweils
auf ihre Art versuchen, die Performance
zu verbessern. Das kann durchaus nach
hinten losgehen. Auch das Tuning stößt
hier an Grenzen, weil sich die verschiedenen
Effekte nur sehr schwer einzeln
messen und beeinflussen lassen. Komplexe
Disk-Setups, etwa in einem SAN,
können eine Performanceprognose fast
unmöglich machen.
Eine der Faustregeln, die es für das Plattentuning
dennoch gibt, heißt Lastverteilung.
Jede einzelne Platte sollte höchstens
zu einem Drittel ausgelastet sein,
wenn man Wert auf Geschwindigkeit
legt. Dann kann sie zwei von drei Leseoder
Schreibanforderungen sofort bedienen.
Außerdem helfen schnelle Platten
und große Caches. Benutzt der Admin
RAID-Konstruktionen, sollte er deren
Auswirkungen auf die Performance im
Blick haben. So steigert Striping (RAID
0) oder eine davon abgeleitete Mischform
(RAID 01, RAID 10 und so weiter)
die Transferrate, dagegen bremst RAID 5
das Schreiben wegen der dabei nötigen
Prüfsummenberechnung deutlich.
Zwar kann man auch versuchen, mit Filesystem-Parametern
zu experimentieren
oder mit der Auswahl und Einstellung
des I/ O-Schedulers [6], allerdings ergeben
sich dabei im Zusammenwirken mit
allen anderen Komponenten nicht immer
nachvollziehbare Resultate.
Regeln für den RAM
Hauptspeicher kann man eigentlich nicht
genug haben – wäre er nicht teuer. Wer
sich keinen maximalen Hauptspeicherausbau
zur Prophylaxe leisten kann, für
den kommt es stattdessen darauf an, den
Speicher klug zwischen User-Prozessen,
Shared Memory und Filesystem Cache
auszubalancieren.
Unter Linux kann nicht jeder virtuellen
Speicherseite von Anfang an bereits ein
physisches RAM-Äquivalent gegenüberstehen,
denn es gibt viel mehr virtuellen
als physischen Hauptspeicher. Das Mapping
von virtuellen auf physische Seiten
geschieht deshalb erst zum Zeitpunkt
des ersten Zugriffs (Demand Paging).
Versucht das OS dabei auf eine virtuelle
Speicherseite zuzugreifen, der momentan
kein physischer Speicher zugeordnet ist,
kommt es zu einem sogenannten Page
Fault. Um ihn zu beheben, muss dann
die fragliche physische Seite von der
Festplatte, auf der sie ausgelagert war,
wieder eingelesen und dem virtuellen
Gegenstück zugewiesen werden. Beim
Swapping wird statt einer einzelnen Seite
der gesamte Seitensatz eines Prozesses
ausgelagert oder wieder eingelesen.
Paging ist mithin normal und notwendig,
aber eine zu hohe Pagingfrequenz
oder Swapping können Anzeichen von
zu knappem RAM sein. Der Swapspace
sollte übrigens nicht ausgehen, denn
dann bleibt Linux stehen.
Schließlich ist auch die sogenannte Scan-
Rate ein Indiz. Sie gibt an, wie oft der
freie Speicher in einem bestimmten Zeitintervall
unter den Wert »lostfree« gefallen
ist und sich der Pagescanner deshalb
auf die Suche nach wenig benutzten
Speicherseiten begeben musste, die er
wiederverwenden kann. Unter Solaris
gibt »vmstat« diese Scanrate direkt aus,
unter Linux findet man Vergleichbares
mit »sar -B«. Weiteren Aufschluss über
die Memory-Statistik gibt »vmstat« mit
der Option »-s«.
Rechenzeit
Die CPU-Auslastung ist einer der am einfachsten
zu beobachtenden Leistungsparameter.
Die gebräuchlichste Maßeinheit
ist dabei der sogenannte Load Average,
definiert als die mittlere Anzahl der ausführbaren
Prozesse in der Run Queue der
CPU. Uneinigkeit herrscht hier allerdings
darüber, ob Prozesse, die auf I/ O-Operationen
warten, als ausführbar gezählt werden
oder nicht. Solaris etwa klammert sie
aus, Linux bezieht sie aber ein.
50 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Tuning
Tuning
Als Faustregel kann man sich merken,
dass der Load Average die Anzahl der
CPUs nicht um das Zwei-, unter Linux
vielleicht auch kurzzeitig das Dreifache
übersteigen sollte – andernfalls bildet die
CPU den Flaschenhals, und das System
reagiert nur noch träge. Ein Load Average
von eins bei einer CPU würde bedeuten,
dass ein Prozess den Prozessor belegt
und keiner wartet. Weil Linux nun auch
Prozesse in den Load Average einrechnet,
die warten müssen, bis Platten Daten
liefern, darf man den kritischen Wert hier
etwas höher als eins pro CPU ansetzen.
Doch spätestens wenn die Länge der Run
Queue mehr als das Dreifache der CPU-
Anzahl beträgt, warten zu viele Prozesse
auf die knappe Ressource CPU. Den Load
Average für die letzten ein, fünf und fünfzehn
Minuten geben Tools wie »uptime«
oder »top« aus.
Der Load Average ist allerdings nicht die
einzige CPU-bezogene Metrik. Eine weitere
ist etwa die Anzahl der sogenannten
Context Switches. Damit sind
die Umbauarbeiten gemeint,
die jedes Multitasking-System
ausführen muss, bevor es eine
neue Task der CPU übergibt
– entweder durch den Prozess-Scheduler
oder weil es
eine Interrupt-Service-Routine
ausführt. Damit der unterbrochene
Prozess später an
derselben Stelle wieder fortgesetzt
werden kann, sind im
Zuge des Context Switch der
Program Counter und andere
Register im RAM zu sichern.
Das kostet Zeit, und zwar unverhältnismäßig
mehr als die
Ausführung einer normalen
Instruktion. Sehr viele Context
Switches bremsen also, (Ähnliches
gilt für sehr viele Interrupts, die ihrerseits
auch immer einen Context Switch
erzwingen). Noch teurer ist der Spaß,
wenn der Prozess in einem Mehrprozes-
Abbildung 4: Oprofile sammelt im Hintergrund die Werte
spezieller Performance Counter. Neben Entwicklern können auch
Admins von den detaillierten Statistiken profitieren.
sorsystem bei Wiederaufnahme die CPU
wechselt und dadurch seinen Cache verliert.
Moderne Betriebssysteme wie Linux
sind deshalb darauf bedacht, die Anzahl
ADMIN
Netzwerk & Security
Online-Archiv
Rund 2.000 Seiten Artikel,
Studien und Workshops aus
fünf Jahren Technical Review
+
nur
4,-e*
im Monat
Onlinezugriff auf alle
Heftartikel aus dem
ADMIN-Magazin
der Jahrgänge
2009 bis 2011!
Volltextsuche
Praxisrelevante Themen
für alle IT-Administratoren
* Angebot gültig nur
für Abonnenten eines
Print- oder vollen
digitalen ADMIN Abos
Bestellen Sie unter: www.admin-magazin.de/archiv

Tuning
Tuning
Abbildung 5: Der I/O-Stack von Linux ist ein komplexes Gebilde.
der Context Switches zu optimieren und
Prozesse an eine bestimmte CPU zu binden
(CPU-Affinität).
Will man sich auf Prozessebene ansehen,
wo die Rechenzeit abgeblieben ist, hilft
»time« mit einer groben Übersicht, wie
viel Zeit im User- und im Kernel-Modus
bei der Ausführung eines Programms verbraucht
wurde. Feiner granular sind die
Ausgaben von »latencytop« (Abbildung
3). Voraussetzung dafür ist ein Kernel
der Version 2.6.25 oder höher, in den
die Optionen »CONFIG_HAVE_LATEN-
CYTOP_SUPPORT=y« und »CONFIG_
LATENCYTOP=y« einkompiliert sind.
Danach lässt sich mit dem Userspace-
Tool »latencytop« nachvollziehen, wo genau
eine Verzögerung entsteht. Dies kann
sich der Admin dann sowohl global für
alle Prozesse als auch aufgeschlüsselt pro
Prozess ansehen (Abbildung 3).
Will man noch tiefer einsteigen und wissen,
welche Events nicht nur innerhalb
eines Prozesses, sondern auch im Kernel
wie viel Zeit verbrauchen, hilft der Profiler
»oprofile« weiter, für den es auch
eine GUI gibt (Abbildung 4). Oprofile
benutzt dafür Performancecounter moderner
CPUs und kann sich auch auf Softwaresymbole
beziehen, sodass für Entwickler
ein Quelltext mit Anmerkungen
des Profilers entsteht. Für eine Offline-
Analyse legt das Werkzeug Archive an.
Analysieren
Hat man Werte erhoben, gilt es, sie zu
bewerten. Wie schon erwähnt, helfen
hier Vergleichsmöglichkeiten weiter.
Auch eine Software wie das
ebenfalls schon erwähnte
Sarcheck mit eingebauter
Einstufung der Messwerte
kann hilfreich sein. Am
Ende der Bewertung sollte
eine Rangfolge der Probleme
stehen, denen man
sich zuwenden will. Selbst
wenn man alle gleichzeitig
angehen könnte – was in
der Regel ausgeschlossen ist
– wären dann die Effekte
der einzelnen Maßnahmen
nicht mehr zu trennen. Deshalb
sollte der Tuner seine
Aufgaben zunächst priorisieren
und dann von der
dringlichsten absteigend immer nur eine
nach der anderen abarbeiten.
Auf das Messen und Bewerten folgt das
Ändern der Konfiguration. Dabei sollte
man sich angewöhnen, von Anfang an
jeden Schritt peinlich genau zu dokumentieren.
Nur so lässt sich am Ende sicher
nachvollziehen, welche Maßnahme
welche Wirkung gehabt hat.
Das Messen, Analysieren, Ändern und
wieder Messen funktioniert allerdings
nur, wenn der Tuner eine gute Vorstellung
von der Funktionsweise des Subsystems
hat, das er beschleunigen will.
Hier gilt es, sich nötigenfalls einzulesen.
Nur wer ein klares Bild davon hat, wie
die Rädchen ineinandergreifen, auf die er
einwirken will, kann einen vernünftigen
Plan entwickeln. Und nur ein vernünftiger
Plan führt zum Erfolg. Für nicht zielgerichtete
Anstrengungen sind heutige
Rechner zu komplex.
Ausblick
Eine unzweckmäßige Konfiguration oder
Fehler in den Applikationen haben sicher
eine größere Auswirkung auf die
Performance als das Drehen an einer exotischen
Schraube im Kernel. Ähnliches
trifft beispielsweise auch auf die Optimierung
von SQL-Abfragen im Vergleich zum
Tunen der internen Datenbank-Einstellungen
zu. Eine verkorkste Architektur
oder ungünstige Algorithmen sind mit
Parameter-Tuning nicht wettzumachen.
Zudem sind moderne Betriebssysteme
in der Lage, sich verschiedenen Bedingungen
selbstständig und dynamisch anzupassen,
sodass dort keine Justierung
von Hand mehr nötig ist. Ein weithin bekanntes
Beispiel sind etwa die gleitenden
Fenster (Sliding Windows) bei der TCP-
Flusskontrolle, die eine automatische
Anpassung an die Fehlerrate während
der Übertragung ermöglichen. Ähnlich
verhält es sich mit den lastabhängigen
Taktraten moderner CPUs.
Diese Adaptionsfähigkeit bewirkt zugleich
eine erhöhte Komplexität und untergräbt
zum Teil Annahmen, die einfachen
Faustformeln zugrunde liegen, auf
die man sich früher verlassen konnte.
Da rechnete man beispielsweise mit einem
eingeschwungenen Zustand (steady
state), einer konstanten Servicezeit oder
einer zufälligen Verteilung der Anforderungen
über die Zeit. Schwankt nun aber
beispielsweise die Taktrate der CPU oder
bucht ein virtueller Server bei Bedarf
CPUs hinzu, wird die Annahme falsch,
dass eine bestimmte Aufgabe immer eine
reproduzierbare Zeit für ihre Erledigung
braucht. Rechnet man dann beispielsweise
mit einer Auslastung von 30 Prozent
bei 3 GHz, erhält man tatsächlich
70 Prozent Auslastung bei 1,5 GHz, auf
die die CPU zum Stromsparen zurückgeschaltet
hat. Dies exakt vorauszuberechnen
ist bis heute unmöglich.
Trotzdem ist man nicht machtlos. Wer
sich auf die überschaubaren Probleme
beschränkt und diese mit solidem Knowhow
systematisch angeht, wird Leistungsreserven
erschließen können. (jcb) n
Infos
[1] Nmon:
[http:// www. ibm. com/ developerworks/ aix/
library/ au‐analyze_aix/]
[2] Nmon Analyzer:
[http:// www. ibm. com/ developerworks/ aix/
library/ au‐nmon_analyser/]
[3] nmon2rrd:
[http:// www. ibm. com/ developerworks/
wikis/ display/ WikiPtype/ nmon]
[4] nmon2web:
[http:// www. aixtips. com/ AIXtip/ nmon2web.
htm]
[5] sarcheck: [http:// www. sarcheck. com]
[6] I7O‐Scheduler und RAID‐Performance:
[http:// www. admin‐magazin. de/
Online‐Artikel/ Technical‐Review/ I‐O
‐Scheduler‐und‐RAID‐Performance/
%28language%29/ ger‐DE]
52 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

2. und 3. November 2011
Congress Frankfurt
Wer powert Ihre Cloud?
Durch die Teilnahme an SNW Europe, Datacenter Technologies und Virtualization World
können Sie herausfinden, welche Produkte, Technologien und Serviceleistungen die derzeitig
verfügbaren Public und Private Cloud Lösungen powern. Diese werden Ihnen durch das
Branchenwissen verschiedener Verbände, unabhängiger Analysten und Kommentatoren
sowie Ihrer eigenen IT Kollegen aus ganz Europa vermittelt. Es gibt keinen besseren Ort und
Zeitpunkt, um sich auf die zukünftigen Anforderungen Ihrer IT im Unternehmen vorzubereiten.
“Cloud allows IT to return to innovating for the business”
William Fellows, VP Research EMEA, the 451 Group
Sparen Sie 120€ Eintrittsgebühr!
Kostenloser Eintritt mit
Promocode: D42M11 auf
www.poweringthecloud.com
Platin Sponsoren
VIRTUALIZATION
WORLD
SNW
EUROPE
DATACENTER
TECHNOLOGIES
Die Eigentumsrechte an SNW Europe liegen bei
SNIA und Computerworld. Die Eigentumsrechte
an Datacenter Technologies und Virtualization
World liegen bei SNIA Europe und Angel Business
Communications. Alle drei Konferenzen werden von
Angel Business Communications Ltd organisiert und
von SNIA Europe unterstützt.
Sponsoring Möglichkeiten - Bitte
kontaktieren Sie Carly Stephens:
T: +44 (0)1923 690 223
E: carly.stephens@angelbc.com

Tuning
PostgresQL-Tuning
Kirsty Pargeter, 123RF
An welchen Stellschrauben man drehen kann
PostgreSQL tunen
Von dutzenden datenbankparametern sind nicht alle wichtig. dieser beitrag erklärt, welche einstellungen für ein
schnelles PostgresQL am wichtigsten sind. susanne ebrecht, greg smith
„Meine Datenbank ist langsam“ – solche
Hilferufe erreichen den Datenbanksupport
häufig. Dann drängen sich immer
zwei Fragen auf: Was genau ist langsam?
Und: Ist es wirklich die Datenbank? Häufig
wird die Schuld an allem Übel zu
schnell auf die Datenbank geschoben.
Aber selbst die schnellste und bestoptimierte
Datenbank kann keinen unvorteilhaft
gewählten Algorithmus in der
Anwendung wettmachen. Manchmal entpuppt
sich auch das Netzwerk als Übeltäter,
aber das ist heutzutage seltener der
Fall. Als dritte Gruppe von Verdächtigen
kommen schließlich graphische Tools
von Drittanbietern wie PgAdmin, PhpPg-
Admin oder Tora in Betracht.
Prinzipiell findet sich die Ursache für
langsame Datenbanken aber wie gesagt
am häufigsten auf der SQL-Ebene. Ungenügend
durchdachtes Design und wachstumsbedingte
Verwerfungen führen die
Hitliste der Fehler an. Weitere Beispiele
sind: Sich gegenseitig blockierende Statements,
unvorteilhaft formulierte Statements,
Probleme bei Massenimporten,
Probleme mit der Indizierung, langsame
Algorithmen in Funktionen und anderes
mehr. Nun soll es in diesem Artikel zwar
weniger um SQL-Optimierung gehen,
aber es ist wichtig, darauf zu verweisen,
dass hier normalerweise der Schwerpunkt
allen Tunings liegen muss.
Speicher-Stellschrauben
Dieser Artikel wird sich hauptsächlich
mit der Optimierung von Datenbankparametern
auseinandersetzen. Schon die
Vielzahl der Variablen in der Datei »postgresql.conf«
kann dabei dazu führen,
dass der Admin den Überblick verliert,
an welchen Schrauben gedreht werden
sollte. Tröstlich ist: Für viele Installationen
ist nur ein kleiner Bruchteil der
mehr als hundert Tuningparameter von
Bedeutung.
In vielen Fällen wichtig ist aber beispielsweise
die Variable »max_connections«,
die die Anzahl zeitgleicher Verbindungen
zum Datenbankserver begrenzt. Ergänzend
legt die Variable »superuser_reserved_connections«
fest, wie viele Verbindungen
von »max_connections« für
Superuser reserviert sind (auch für Replikationen
sind Superuser erforderlich).
Ist der Wert von »max_connections« zu
hoch, geht die Performance in den Keller.
Mehr als zwei oder drei aktive Verbindungen
pro Core lassen die CPU ein
Swap-Wettrennen veranstalten, das die
Performance herunterschraubt. Besser ist
es hier, über Connection Pooling zwischen
Server und Anwendung nachzudenken.
Gängige Pooler für diesen Zweck
sind PgBouncer und pgpool-II.
54 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

PostgresQL-Tuning
Tuning
Das Betriebssystem stellt Pufferspeicher
(Cache) für alle Anwendungen bereit, so
auch für PostgreSQL. Daneben verwaltet
PostgreSQL eigenen Zwischenspeicher
in der mit »shared_buffers« festgelegten
Größe. Dieser Speicher steht ausschließlich
PostgreSQL zur Verfügung.
Die Voreinstellungen sind relativ niedrig,
da die meisten Unix-Kernel für größere
Werte erst angepasst werden müssen.
Danach sollte »shared_buffers« auf mindestens
256 MByte gesetzt werden. Die
obere Grenze liegt unter Windows bei
512 MByte und unter Unix/ Linux bei 8
GByte. Für weniger als 32 GByte RAM gilt
der Daumenwert: 1/ 4 RAM als »shared_
buffers«. Bei 32 GByte und mehr sind 8
GByte für »shared_buffers« üblich. Die
verbleibenden 3/ 4 RAM werden in reinen
Datenbankservern »effective_cache_size«
zugeordnet. Durch diesen Parameter wird
PostgreSQL mitgeteilt, mit wie viel Betriebssystem-Cache
es rechnen kann, um
bei der Query-Planung herauszufinden,
ob größere Indexe in den RAM passen
oder nicht.
Wer »shared_buffers« umkonfigureren
will, muss übrigens unter Umständen
im Linux-Kernel die Maximalgröße eines
Shared-Memory-Segments (SHMAX) anpassen,
was über
sysctl ‐w kernel.shmax=Wert
möglich ist.
Checkpoints
Checkpoints bewirken, dass im Shared-
Buffer-Cache abgelegte, geänderte Daten
in regelmäßigen Abständen auf die Platte
geschrieben werden. Der Vorgabewert
von 5 Minuten (»checkpoint_timeout«)
ist normalerweise ausreichend. Daneben
werden Checkpoints auch ausgelöst,
wenn die Anzahl an geschriebenen WAL-
Dateien (Write Ahead Log) den Wert
von »checkpoint_segments« übersteigt.
WAL-Dateien sind je 16 MByte groß und
»checkpoint_segments« ist mit 3 voreingestellt.
Daraus ergibt sich, dass alle 48
MByte ein Checkpoint initiiert wird. Für
Systeme mit guter Auslastung ist das viel
zu häufig. Auf reinen Datenbankservern
wird »checkpoint_segments« meist auf
einen Wert zwischen 32 und 128 gesetzt.
Bei massiv schreibenden Anwendungen
kann der Zwischenspeicher zum Schrei-
Abbildung 1: Der Logfile-Analyzer PgFouine entlarvt hier lang laufende Queries.
Festplattenköpfe sind deutlich schneller
beim Datenlesen, wenn die Daten direkt
hintereinander auf der Platte liegen, als
wenn sie chaotisch hin- und herspringen
müssen, um die Daten zu finden. Der
Parameter »random_page_cost« gibt der
Datenbank eine ungefähre Vorstellung,
um wie viel langsamer das Lesen zufällig
verteilter Daten ist. Voreingestellt ist
hier der Faktor 4.0. Der Wert sollte nicht
auf den tatsächlichen Unterschied gesetzt
werden, sondern wird in der Praxis
häufig auf einen weitaus kleineren Wert
eingestellt. Der Grund dafür ist, dass die
meisten der gängigen, zufällig verteilten
Daten (etwa sehr häufig genutzte Indexe)
sowieso bereits im RAM liegen. Es ist
durchaus üblich, auf schnellen Systemen
beziehungsweise auf Systemen mit
viel Arbeitsspeicher den Wert für »ranben
von WAL (»wal_buffers«) schnell
überlaufen. Zwischen 1 und 16 MByte
reichen aus, damit »wal_buffers« nicht
die Hauptbremse ist.
Speicher für Wartungsarbeiten an Tabellen
wird durch »maintainance_work_mem«
begrenzt. Das Erzeugen von Indexen und
die Ausführung des Vacuum-Prozesses
sind hier inbegriffen. Meist laufen nicht
mehr als drei oder vier Wartungsprozesse
zeitgleich. »RAM/16« ist dann ein guter
Daumenwert.
Standardmäßig gibt der Server erst ein
Commit an den Client zurück, nachdem
die Informationen auf die Platte geschrieben
wurden. Durch Setzen von »synchronous_commit
(on/off)« kann das Verhalten
selbst im laufenden Betrieb individuell
für jede Sitzung geändert werden. Das
Risiko ist, dass ohne synchronen Commit
bei einer plötzlichen Abschaltung Daten
verloren gehen, die noch nicht auf
die Platte geschrieben wurden. Es gibt
jedoch Anwendungen, bei denen der Geschwindigkeitsvorteil
das Verlustrisiko
überwiegt.
Verfügbarer Speicher
Jede Verbindung kann eine bestimmte
Menge Arbeitsspeicher zur Ausführung
von Queries nutzen. Hauptsächlich
werden hier zu sortierende Daten und
Hash-Tabellen abgelegt, die sowohl zum
Verknüpfen von Tabellen als auch zur
Umsetzung von Klauseln wie »GROUP
BY« verwendet werden. Der Wert wird
mit »work_mem« festgelegt. Zu bedenken
ist, dass der Parameter einschränkt, wie
viel Speicher jede einzelne Sortier- oder
Hashoperation nutzt; einzelne Queries
können durchaus mehrere dieser Operationen
beinhalten. Das heißt, jede Verbindung
kann in Summe ein Vielfaches an
»work_mem« nutzen. Ein guter Startwert
für work_mem ist: »RAM/(max_connections
* 16)«. Da der Wert von der Komplexität
der Queries abhängt, kann er
bei einfachen Queries eventuell sogar um
das Vierfache erhöht werden. Die Variable
»work_mem« lässt sich im laufenden
Betrieb ändern. Getunte Server haben
»work_mem« meist auf einen Wert zwischen
4 und 128 MByte gesetzt. Es ist in
der Praxis durchaus üblich, den Wert für
ein einzelnes, sehr aufwendiges Query
signifikant (bis zu 2 GByte) zu erhöhen.
Random I/ O und Logs
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
55

Tuning
PostgresQL-Tuning
Abbildung 2: So skalieren zufällige Suchoperationen
mit steigender Anzahl Threads auf verschiedenen
Speicherlösungen.
dom_page_cost« auf 2.0 zu setzen. Wenn
sicher ist, dass die gesamte Datenbank
oder große Teile von ihr im RAM zwischengelagert
werden, kann der Tuner
»random_page_cost« sogar auf einen sehr
kleinen Wert wie 1.01 setzen.
PostgreSQL unterstützt das Protokollieren
einer Vielzahl von Informationen. Viele
Optionen sind anfangs abgeschaltet. Es
ist ratsam, zu Beginn alle Queries und
auch »autovacuum«-Prozesse, die länger
als eine Sekunde dauern, im Log festzuhalten.
Wenn das zu unübersichtlich
wird, lässt sich die Zeit erhöhen, die der
Prozess mindestens laufen muss. Bei der
Analyse der Protokolldateien kommen
meist externe Tools zum Einsatz. Pg-
Fouine ist gut für kleine und mittlere Log-
Dateien. Um die Protokollierung für die
häufigsten Bremser einzuschalten und sie
auf die Analyse mit PgFouine (Abbildung
1) vorzubereiten, bedarf es der folgenden
Anpassung in »postgresql.conf«:
log_line_prefix='%t[%p]:[%l‐1] U
user=%u,db=%d'
log_min_duration_statement=1s
log_autovacuum_min_duration=1s
log_temp_files=0
log_checkpoints=on
log_lock_waits=on
Festplatten als Bremse
Den Titel „RAM- und I/ O-Sau“ haben
sich Datenbanken durchaus redlich verdient.
Dabei sind Lese- und Schreibgeschwindigkeit
teuer, und genau deshalb
sparen hier Hardwarehersteller gerne. Bei
Hardwarekäufen ist ein gesundes Misstrauen
grundsätzlich angebracht, denn
der Verkäufer verfolgt naturgemäß eigene
Interessen. Eigene Hardware-Benchmarks
sind zwingend erforderlich. Auf
jeden Fall sollte der Käufer darauf
bestehen, dass er Hardware
zurückgeben kann, die nach eigenem
Benchmarking seinen Erwartungen
nicht entspricht.
Spätestens wenn die Datenbank so
groß geworden ist, dass sie nicht
mehr vollständig in das RAM passt
und manchmal sogar schon vorher,
werden die Festplatten zur
Bremse. Daher sollten die Platten
sorgfältig auf vier Faktoren hin getestet
werden:
n sequenzielle Lesegeschwindigkeit
(read),
n sequenzielle Schreibgeschwindigkeit
(write),
n Geschwindigkeit bei zufällig verteilten
Zugriffen (Random I/ O) und
n Commit-Rate.
Die Commit-Rate gibt an, wie schnell Daten
permanent auf die Platte geschrieben
werden. Ist die Geschwindigkeit erheblich
höher als erwartet, ist das ein Zeichen
dafür, dass ein Write-Cache die Daten
zwischenspeichert, was bei Absturz oder
Ausfall des Systems zu Datenverlusten
führen kann. Wenn kein flüchtiger Speicher
vorhanden ist, dann ist die Commit-
Rate der Platte gleich der IOPS-Rate (I/ O
operations per second). Selbst sehr teure
Disk-Array-Hardware wie SAN oder NAS
kann Schwächen in einer der Disziplinen
haben, die für Datenbanken besonders
wichtig sind. Auch hier sind also vorherige
Tests unabdingbar.
Die sequenzielle Lese- und Schreibgeschwindigkeit
lässt sich unter UNIX einfach
mit Tools wie »dd« testen. Um ein
brauchbares Ergebnis zu bekommen,
sollte hierbei natürlich sichergestellt
werden, dass mehr Daten geschrieben
werden, als in den RAM passen. Die
meistverbreitete Anwendung zum Testen
dieser Leistungsfaktoren ist der Benchmark
Bonnie++. Einige der Tests, etwa
das zeichenweise Lesen und Schreiben,
sind aber für Datenbanken belanglos. Dagegen
führt ein Aufruf wie
bonnie++ ‐f ‐n 0 ‐u root
zu einem Ergebnis, das Tests vermeidet,
die für Datenbanken nicht relevant sind.
Die Random-I/ O-Seeks können mithilfe
des Programms »sysbench« getestet
werden. Dieser ursprünglich für MySQL
entworfene Benchmark ist aber für PostgreSQL
erst relativ aufwendig anzupassen..
Drei Vergleichswerte von realen Systemen:
n Ein einfaches 2-Platten RAID1-Array
mit 15000 U/ min SAS Festplatten, 80
MByte/ s sequenzielle Schreibzugriffe
und 110 MByte/ s Lesezugriffe.
n Ein 20-Platten-RAID10-Array mit gleichen
Festplatten, 630 MByte/ s sequenzielle
Schreibzugriffe und 950 MByte/ s
Lesezugriffe.
n Ein SSD der Intel 320 Serie, 120 GByte
Kapazität. 150 MByte/ s sequenzielle
Schreibzugriffe und 250 MByte/ s Lesezugriffe.
Allein durch Testen der sequenziellen
Lese- und Schreibgeschwindigkeiten lassen
sich schon einige Hardwareprobleme
erkennen. Allerdings sind Zugriffe der
Datenbank selten sequenziell, sondern
meist zufällig verteilt. Wie der Suchdurchsatz
mit steigender Threadanzahl
bei Random-I/ O skaliert, zeigt die Abbildung
2.
Lohnen SSDs?
Zu erkennen ist hier, dass die regulären
SAS-Platten nur eine Transferrate von
1,5 MByte/ s bei zufällig verteilten Daten
haben. Bei mehreren zeitgleichen
Zugriffen kann der Plattenkopf mehr
passende Daten beim Überfahren der
Platte einsammeln. Wenn ein Lagerist
beim Durchkämmen des Lagers gleich
Material für mehrere Aufträge zusammenstellt
und in passende Fächer auf
seinen Wagen legt, ist er auch schneller,
als wenn er für jeden Auftrag einzeln
loszieht.
Die Abbildung zeigt, dass bei 20 zeitgleichen
Anfragen das Zwei-Platten-Array
5 MByte/ s und das 20-Platten-Array 10
MByte/ s erreicht. Das ist ein gewaltiger
Unterschied gegenüber der sequenziellen
Suchgeschwindigkeit. Das einzelne
SSD sticht die Mitbewerber in dieser Disziplin
ganz klar aus. Aber das Blatt kann
sich auch schnell wenden. Sobald es
um sequenzielle Zugriffe geht, reichen
schon wenige reguläre Platten in einem
Verbund aus, um das SSD zu übertrumpfen.
Im Vergleich mit großen Arrays gerät
das SSD dabei dann endgültig ins
Hintertreffen.
56 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

PostgresQL-Tuning
Tuning
Die Entscheidung zwischen SSD und regulären
Platten ist nicht einfach. Es gilt
hier, zwischen sequenziellen und zufällig
verteilten Zugriffen abzuwägen. SSDs
sind bekannt dafür, gut im Halten von
Datenbankindizes zu sein, da diese meist
zufällig verteilt sind, und es hier zu massiven
zufällig verteilten Schreibzugriffen
bei der Ausführung von Update-Operationen
kommen kann.
Die Auswahl der richtigen Hardware
kann entscheidend sein, um mit PostgreSQL
eine gute Leistung zu erzielen.
Eine weitere, ausschlaggebende Komponente
für gute Schreibgeschwindigkeit ist
der batteriegestützte Schreibpuffer (Write
Cache), der üblicherweise auf RAID-Controller-Karten
zu finden ist. Es ist wärmstens
zu empfehlen, dass das SSD eine
Batterie für den Write Cache hat. Mit einem
guten Write Cache kann PostgreSQL
bis zu hundertmal höhere Transaktions-
Commit-Raten erzielen. Server mit flüchtigem
Write Cache (ohne eine Batterie)
oder Controller, die behaupten, dass die
Daten geschrieben wurden, ohne sicherzustellen,
dass sie sich wirklich auf der
Platte oder im batteriegestützten Cache
befinden, können bei einem Absturz die
Datenbank korrumpieren.
Dateisystemfragen
Für dedizierte PostgreSQL-Datenbankserver
wird meistens Linux als Betriebssystem
verwendet. Dabei gilt es, ein paar
Einstellungen und Optimierungen zu
beachten, um die beste Leistung herauszukitzeln.
Ältere Linuxsysteme nutzen
meist als Dateisystem Ext3, das ist zwar
zuverlässig, aber nicht das schnellste.
Ext4 ist schneller, aber für PostgreSQL
noch nicht gut genug ausgetestet. Bleibt
als guter Kompromiss XFS. Das ist sehr
stabil und gleichzeitig recht schnell. Bei
allen Dateisystemen ist die Nutzung des
Mount-Parameters »noatime« von Vorteil.
Er deaktiviert das Anpassen der
Information, wann auf eine Datei zum
letzten Mal zugegriffen wurde – für Datenbanken
ist das normalerweise nicht
von Bedeutung. Wird Hardware mit batteriegestütztem
Write Cache eingesetzt,
dann brauchen sowohl XFS als auch Ext4
die Mountoption »nobarrier«, um damit
schnell zu sein. Hiermit wird die Kontrolle
des Dateisystems darüber abgestellt,
ob der Platten- oder Controller-
Cache geleert ist. Es ist ratsam,
diesen Job der Hardware zu
überlassen.
Um eine gute Lesegeschwindigkeit
bei sequenziellen Tabellenscans
über große Tabellen
zu erhalten, ist PostgreSQL auf
das Read-Ahead des Betriebssystems
angewiesen. Linux
hat eine hervorragende Read-
Ahead-Implementierung, aber
voreingestellt ist meist eine viel
zu kleine Anzahl an Blöcken
(256). Ein guter Anfangswert
sind 4096 Blöcke. Das lässt sich wie folgt
ändern:
/sbin/blockdev ‐‐setra 4096 /dev/sda
An der Schreibfront erwartet PostgreSQL,
dass das Betriebssystem normale
Schreibaktionen zwischenspeichert und
sie nur dann auf der Festplatte ausführt,
wenn der Checkpoint erreicht ist. Die
Größe des Write Cache war mit alten
Linux-Kerneln (vor 2.6.22) erheblich zu
groß. Der neue Vorgabewert kann in alten
Kerneln durch folgende Befehle eingestellt
werden:
echo 10 > /proc/sys/vm/dirty_ratio
echo 5 > /proc/sys/vm/dirty_background_U
ratio
Damit wird erlaubt, dass 10 Prozent des
RAMs für einen einzelnen Prozess als
Write Cache verwendet werden. Wenn 5
Prozent geänderte Daten im Write Cache
liegen, wird der Auslagerungsprozess
angestoßen. Die Werte können bei Systemen
mit vielen Gigabyte RAM immer
noch zu hoch sein. Seit Linux-Kernel
2.6.29 lassen sich die Werte unter Verwendung
von »dirty_background_bytes«
und »dirty_bytes« noch niedriger setzen.
Anzumerken ist hier, dass einige Massenoperationen
in PostgreSQL, besonders
»VACUUM«, durch eine zu starke Reduzierung
des Linux-Write-Cache signifikant
langsamer werden können.
Monitoring
PostgreSQL kümmert sich weder darum,
wie das Betriebssystem Read-Ahead oder
Write-Caching ausführt, noch verfolgt
es, was auf der Hardware passiert. Eine
separate Überwachung des Systems ist
Abbildung 3: Mit Munin lassen sich relativ einfach Graphen
darstellen, aus denen ein Trend ablesbar ist. Dieser zeigt Zugriffe
auf Datenbanktupel im Tagesverlauf.
deshalb wärmstens zu empfehlen. Am
besten durch eine Anwendung zur Trendermittlung.
Wichtig sind hier vor allem
Trends der CPU-Aktivität, Speicherverbrauch,
Plattenauslastung und Datenbankstatistiken.
Die beiden gängigsten
Open-Source-Pakete, die diese Anforderungen
erfüllen, sind Munin und Cacti.
Munin lässt sich leichter aufsetzen und
beinhaltet mehr Einblicke in PostgreSQL-
Interna. Munins größter Nachteil ist, dass
es bei der Datensammlung einer großen
Anzahl von Servern nicht mehr allzu gut
skaliert. Wie ein typischer Trendgraph
der Datenbankstatistiken in Munin aussieht,
zeigt die Abbildung 3.
Abgebildet ist ein Server, bei dem die
meisten Zugriffe auf Datenzeilen (intern
Tuple genannt) sequenzielle Scans erfordern.
In diesem Beispiel ist das kein
Problem, da viele der Tabellen zu klein
sind, als dass die Verwendung von Indizes
sinnvoll wäre. Allerdings ist es für
das Erkennen von Problemen im Zusammenspiel
mit dem Server und der
Anwendung extrem wichtig, die Unterschiede
zwischen den Statistiken von Index-
gegenüber sequenziellen Zugriffen
zu sehen.
PostgreSQL kommt sehr gut mit einer
Vielfalt an Geschwindigkeitsanforderungen
zurecht. Aber es ist nur eine Komponente
des Baukastens, der auch das
Betriebssystem und Zusatzsoftware von
Connection-Pooling bis hin zur Trendermittlung
enthält. Den Server zu tunen, ist
wichtig. Geschwindigkeitsüberwachung,
das Lesen der Datenbank-Logs und die
Abstimmung des Datenbankdesigns sind
entscheidend, um das gute Geschwindigkeitsniveau
auch dann noch zu halten,
wenn die Datenbank wächst. (jcb) n
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
57

Tuning
windows
KrishnaKumar Sivaraman, 123RF
Windows Performance Toolkit und Windows System State Analyzer
Unter dem Mikroskop
microsoft bietet mit dem windows Performance Toolkit eine sammlung von Tools, die dabei helfen, Performance-
Probleme bei servern und langsames booten von desktop-systemen zu untersuchen. Thomas Joos
Mit dem kostenlosen Windows Performance
Toolkit von Microsoft können
Administratoren die Leistung eines
Systems analysieren und anschließend
Performance-Probleme beheben. Die
neue Version des Windows Performance
Toolkits ist für die Verwendung mit Windows
Server 2008/2008 R2 und Windows
Vista/ 7 optimiert, lässt sich aber auch
mit Windows Server 2003 R2 oder XP
SP3 einsetzen.
Mit dem Toolkit lassen sich Leistungsengpässe
sowie Startprobleme und Verzögerungen
von Anwendungen angehen.
Auch Verzögerungen beim Booten
kann man damit untersuchen. Erfahrene
Anwender und Entwickler erhalten mit
dem Toolkit die Möglichkeit, Ressourcenmessungen
von Anwendungen und
Interrupts durchzuführen. Im Gegensatz
zur Windows-internen Leistungsüberwachung
arbeitet das Tool nicht mit Indikatoren,
die man eigens starten muss, sondern
verwendet integrierte Messpunkte.
Der ebenfalls kostenlose Windows System
State Analyzer kann Änderungen am
System überprüfen.
Mit den beiden Tools ist eine effiziente
Überwachung und Analyse von Servern
möglich, die auch Entwicklern dabei
hilft, Auswirkungen ihrer Programme
auf Windows-Servern zu verstehen. Die
beiden Tools erstellen exportierbare Protokolldateien,
sodass sich beide auch für
das Troubleshooting eignen. Dazu muss
der entsprechende Administrator nur die
Messung durchführen und diese dem
Spezialisten zukommen lassen, der den
Fehler analysiert. Auf diesem Weg versucht
unter anderem auch der Microsoft-
Support, Leistungsprobleme von Kunden
zu beheben.
Windows Performance
Toolkit
Das Windows Performance Toolkit ist
Bestandteil des Windows Software Development
Toolkit (SDK), das Sie kostenlos
von [1] herunterladen können.
Sie benötigen für den Betrieb das Dotnet
Framework 4, das Sie unter [2] erhalten.
Wollen Sie Windows 7 oder Windows
Server 2008 R2 mit dem Tool untersuchen,
brauchen Sie das Windows Performance
Toolkit 4.7, das zum Windows
Software Development Toolkit 7.1 gehört.
Sie müssen auf einem Server aber nicht
das komplette SDK installieren, sondern
können auch einfach aus dem Verzeichnis
»Setup\WinSDKPerformanceTool-
Kit_amd64« (64-Bit) oder »WinSDKPerformanceToolKit«
(32-Bit) die Installation
starten. Die Installation besteht lediglich
aus dem Bestätigen einiger Fenster, eine
Konfiguration ist nicht notwendig. Das
Tool installiert auch keine Treiber oder
ständig laufende Hintergrundprozesse.
Lediglich die Messungen (Traces) laufen
im Hintergrund, wenn Sie diese gestartet
haben.
Das Windows Performance Toolkit besteht
im Wesentlichen aus den drei Tools
Xperf, Xperfview und Xbootmgr. Leistungsmessungen
nehmen Sie zunächst
mit dem Befehlszeilen-Tool Xperf vor,
dem Sie beim Start verschiedene Optionen
mitgeben. Während der Analyse
speichert es eine Trace-Datei, die Sie
später mit Xperfview analysieren. Die
Analyse selbst findet in einer grafischen
Oberfläche statt, die sehr gute Filtermöglichkeiten
und Zoomstufen bietet.
Mit Xbootmgr können Sie wiederum den
Bootvorgang des Rechners untersuchen
beziehungsweise die entsprechenden
Abläufe nach einem Standby oder dem
58 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

windows
Tuning
Ruhezustand. Microsoft stellt dazu unter
[3] ein umfangreiches Whitepaper zur
Verfügung. Um Messungen durchzuführen,
müssen Sie sich aber nicht erst durch
Hunderte Seiten Whitepaper quälen, sondern
erhalten nach der Installation recht
schnell ein Messergebnis.
Haben Sie das Windows Performance
Toolkit installiert, starten Sie eine einfache
Systemanalyse auf folgendem Weg:
n Öffnen Sie eine Eingabeaufforderung
mit Administratorrechten.
n Geben Sie den Befehl »xperf -start -on
diageasy« ein. Alternativ reicht auch
die Eingabe von »xperf -on diageasy«.
n Anschließend läuft das Tool im Hintergrund
und misst die Systemleistung.
n Starten Sie die Programme und Tools,
deren Leistung Sie messen wollen. Im
Hintergrund misst das Tool die Reaktionszeiten
des Computers.
n Haben Sie alle Aufgaben durchgeführt,
die Sie in der Messung berücksichtigen
wollen, geben Sie den Befehl
»xperf -stop« ein, um die Messung
zu beenden. Sie können die Messung
auch mit »xperf -d trace.etl« beenden
und so alle Daten in die Datei »trace.
etl« übernehmen.
Sie erhalten dann die Meldung, dass das
Windows Performance Toolkit die Messdatei
»C:\kernel.etl« erstellt hat. Beenden
Sie den Ablauf mit »xperf -d trace.etl«,
liegt die Datei »trace.etl« vor. Um diese zu
öffnen, geben Sie »xperf trace.etl« ein.
Reagiert Windows 7 zum Beispiel beim
Start zu langsam, können Sie verschiedene
Trace-Vorgänge starten. Mit »xperf
-on -f kernel.etl« starten Sie einen Trace-
Vorgang für den Windows-Basisstart. Anschließend
leiten Sie mit »xperf -start User-
Trace -on Microsoft-Windows-Win32k -f
user.etl« einen weiteren Vorgang parallel
zum ersten für die Anmeldung und Messung
der Benutzeraktionen ein. Führen
Sie dann die problematischen Anwendungen
aus und beenden Sie die Trace-
Vorgänge mit den Befehlen »xperf -stop
UserTrace« und »xperf -stop«.
Die beiden ETL-Dateien können Sie später
noch zusammenfügen. Dazu verwenden
Sie »xperf -merge user.etl kernel.etl
Neuedatei.etl«. Diese Datei analysieren
Sie, um festzustellen, warum der Computer
langsam reagiert (Abbildung 1).
Wollen Sie zusätzlich noch den Bootvorgang
und die damit verbundenen
Abbildung 1: Analysieren einer Trace-Datei nach der Messung.
Abläufe messen, verwenden Sie das
Tool Xbootmgr. Geben Sie den Befehl
»xbootmgr -trace boot -resultpath c:\
temp« auf der Befehlszeile an. Anschließend
startet das Tool den Computer neu
und misst den Bootvorgang. Auch hier
speichert das Tool eine ETL-Datei direkt
im Pfad »C:\temp«. Den Pfad können
Sie dabei frei wählen. Sobald der Bootvorgang
abgeschlossen ist, stehen die
ETL-Dateien zur Analyse bereit. Den
Bootvorgang können Sie auch auf Basis
verschiedener anderer Optionen messen
lassen, abhängig von der Umgebung, die
Sie testen wollen. Folgende Beispiele erstellen
vernünftige Analysen:
n Bootvorgang erweitert: »xbootmgr
- trace boot - traceFlags BASE+
CSWITCH+ DRIVERS+POWER -resultPath
C:\temp«
n Herunterfahren: »xbootmgr -trace shutdown
-traceFlags BASE+ CSWITCH+
DRIVERS+POWER -resultPath C:\
temp«
n Standby: »xbootmgr -trace standby
-traceFlags BASE+ CSWITCH+ DRI-
VERS+ POWER -resultPath C:\temp«
n Start nach Ruhezustand: »xbootmgr
-trace hibernate -traceFlags BASE+
CSWITCH+DRIVERS+POWER -resultPath
C:\temp«
Erweiterte Analysen mit
Xperf
Neben der einfachen Standardanalyse,
können Sie mit Xperf auch erweiterte
Messungen durchführen. Alle wichtigen
Optionen des Tools lassen Sie sich mit
dem Befehl »xperf -help start« anzeigen.
Wie Sie die Messvorgänge beenden und
welche Optionen das Windows Perfor-
mance Toolkit dafür zur Verfügung stellt,
verrät der Befehl »xperf -help stop«.
Für Entwickler und erfahrene Administratoren
gibt es auch die Möglichkeit,
mit »xperf -providers k« eine Liste der
Kernel-Flags anzuzeigen, die das Tool
verwendet.
Der erste Ansatz für eine Messung
ist immer der Befehl »xperf -start -on
diageasy«. Dieser erstellt automatisch die
Datei »kernel.etl«. Wollen Sie den Namen
und Pfad der Messdatei selbst bestimmen,
verwenden Sie dafür die Option »-f
Dateiname«.
Messdateien auswerten
Die erstellten Dateien können Sie mit dem
Windows Performance Analyzer öffnen,
den Sie in der Programmgruppe „Windows
Performance Toolkit“ finden. Um
die Ergebnisse anzuzeigen, öffnen Sie die
Datei »C:\kernel.etl« oder die ETL-Datei
des Bootvorgangs über »File | Open«.
Die Messdateien sind transportabel. Das
heißt, Sie können nach der Leistungsmessung
durch Xperf oder Xbootmgr die
Analyse mit Xperfview auch auf einem
anderen Computer durchführen. In manchen
Fällen erhalten Sie beim Öffnen eine
Fehlermeldung. Starten Sie in diesem Fall
eine Eingabeaufforderung mit Administratorrechten
und tippen Sie den Befehl
»xperfview Datei -tti« ein.
Die Anzeige der verschiedenen Bereiche
filtern Sie über den Menübereich, den
Sie durch Anklicken des linken Fensterteils
einblenden. Klicken Sie dazu auf
das Symbol am linken Rand in der Mitte
des Fensters. An dieser Stelle stehen die
verschiedenen Messbereiche zur Verfügung,
die Sie einblenden lassen können.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
59

Tuning
windows
Abbildung 2: Anzeige einer Tabelle der Messdaten.
Entfernen Sie den Haken bei einem Kontrollkästchen,
verschwindet auch das entsprechende
Diagramm im Viewer.
Die Anzeige ist dynamisch, das heißt,
einmal eingeblendete Diagramme können
Sie jederzeit ausblenden und umgekehrt.
So müssen Sie nur die Daten
betrachten, die Sie aktuell analysieren
wollen. Lassen Sie sich zum Beispiel
beim Messen des Bootvorgangs nur »CPU
Usage by Process« anzeigen, sehen Sie,
wie viel CPU-Last die einzelnen Prozesse
verursachen. Mit »Disk I/O« sehen Sie die
Festplattenzugriffe.
Klicken Sie auf die Grafik in einem Diagramm,
können Sie zu Teilen der Anzeige
heranzoomen. Dazu markieren
Sie mit der Maus den Bereich, den Sie
vergrößern wollen, und klicken diesen
mit der rechten Maustaste an. Mit dem
Menübefehl »Zoom to Selection« starten
Sie den Zoomvorgang. Neben Grafiken
können Sie auch Tabellen erstellen, indem
Sie im Kontextmenü die Option
»Summary Table« auswählen. Die Tabelle
zeigt Informationen ähnlich wie
der Task-Manager über den gemessenen
Zeitraum. Sie erkennen auf diese Weise
sehr schnell, welche Prozesse zum Beispiel
über den Messzeitraum die meiste
CPU-Last verursacht haben.
Die Ansicht lässt sich sortieren, indem
Sie auf die entsprechende Spalte der Tabelle
klicken. Markieren Sie verschiedene
Zeilen der Tabelle, können Sie im Kontextmenü
durch Auswahl von »Export
Selection« die Daten in eine CSV-Datei
exportieren. Diese lassen sich später mit
Excel weiterbearbeiten. In diesem Zusammenhang
ist auch ein weiteres Tool
zur Leistungsmessung interessant. Zur
Fehlersuche und Analyse reicht es nicht
immer aus, die Echtzeit-Daten im Task-
Manager oder Zusatztools einzulesen.
Hier stellt die Excel-Tabelle »Taskmanager.xls«
von der Seite [4] eine wertvolle
Hilfe dar. Öffnen Sie die Tabelle in Excel,
können Sie einfach die aktuellen Prozesse
und deren Daten aus dem Task-
Manager einlesen. In die Tabelle können
Sie dann noch die CSV-Dateien des Windows
Performance Toolkits importieren,
um zum Beispiel Vergleiche anzustellen
(Abbildung 2).
Eine weitere Möglichkeit der Analyse ist
die Überlagerung von Diagrammen im
Fenster des Viewers. Dazu klicken Sie mit
der rechten Maustaste in das Diagramm,
über das Sie ein anderes Diagramm legen
wollen. Wählen Sie im Kontextmenü
die Option »Overlay Graph« und die gewünschte
Grafik aus, die Sie einblenden
wollen. Auf diesem Weg können Sie zum
Beispiel im Diagramm für die CPU-Messung
noch das Diagramm der Festplattenbenutzung
integrieren.
Benötigen Sie noch detailliertere Informationen,
können Sie zum Beispiel über
das Kontextmenü der Anzeige »Disk I/O«
oder »Disk Utilization« die Option »Detail
Graph« auswählen Mit dieser Option zeigen
Sie genaue Schreib- und Lesezugriffe
Festplattenaktivität
während des Messvorgangs
an. Diese
Daten helfen dabei
zu verstehen, welche
Vorgänge eine
Festplatte aktuell belastet
haben. Für die
Überwachung der
Festplattennutzung
helfen auch andere
Zusatztools von Microsoft
ergänzend
zum Windows Performance
Toolkit. In
den meisten Fällen
ist es sinnvoll, parallel
weitere Tools
einzusetzen, um die
Messergebnisse besser
analysieren zu
können.
Das freie Tool Diskmon der Microsoft-
Sysinternals [5] zeigt alle Schreib- und
Lesevorgänge der Festplatte in Echtzeit
in einem Fenster an. Das Tool lässt sich
ohne Installation direkt starten. Sie sehen
den physischen Zugriff und die aktuellen
Vorgänge der Festpatte. Das Tool zeigt
die Aktion, Sektor, Zeit, Dauer und auf
welcher Festplatte der Computer aktuell
schreibt. Sie haben die Möglichkeit,
die Ausgabe auch in eine Logdatei zu
speichern.
Aktivieren Sie die Funktion »Minimize
to Tray Disk Light« im Menü »Options«,
minimiert sich das Tool direkt in die Taskleiste
und zeigt die aktuelle Nutzung der
Festplatte an. Auf diese Weise sehen Sie
den Festplattenzugriff in Echtzeit. In
der minimierten Ansicht zeigt das Tool
Schreibzugriffe rot an und Lesezugriffe in
grün. Klicken Sie auf das Symbol, öffnet
sich wieder die ausführliche Ansicht. Wollen
Sie das Tool gleich als Symbol starten,
verwenden Sie die Option »diskmon /l«.
Damit es Daten auslesen kann, müssen
Sie es mit Administratorrechten starten,
wenn Sie die Benutzerkontensteuerung
aktiviert haben.
Windows Server 2008 R2 und Windows
7 blenden das Symbol nach einiger Zeit
aus. Um es dauerhaft einzublenden, klicken
Sie in der Taskleiste auf die zwei
kleinen Pfeile, um auch die ausgeblen-
60 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

windows
Tuning
deten Symbole anzuzeigen. Wählen Sie
»Anpassen« und dann für das Symbol die
Option »Symbol und Benachrichtigungen
anzeigen«. Um die Echtzeitanzeige zu
deaktivieren, klicken Sie auf die kleine
Lupe. Bewegen Sie die Maus über ein
Symbol, erhalten Sie eine kleine Hilfe zur
entsprechenden Schaltfläche.
Sie können innerhalb des Capture-Fensters
auch nach bestimmten Einträgen suchen.
Mit »History Depth« legen Sie die
maximale Anzahl an Daten fest, die Sie
in der grafischen Oberfläche anzeigen
lassen wollen. Diskmon ermöglicht auch
den Start mehrerer Instanzen zur Überwachung
verschiedener Festplatten im
System. Lassen Sie das Tool zum Beispiel
automatisch als LED minimiert starten,
lässt es sich dennoch noch einmal parallel
starten, sodass die LED aktiv bleibt,
auch wenn Sie mit Diskmon arbeiten.
Systeminformationen
Führen Sie eine Messung mit dem Windows
Performance Toolkit an mehreren
Servern durch, ist es auch interessant
zu wissen, wie die Systemkonfiguration
des untersuchten Computers aussieht
und zu welchem Computer die Messdatei
gehört, die Sie aktuell überprüfen.
Diese Informationen speichert das Windows
Performance Toolkit ebenfalls in
der ETL-Datei. Klicken Sie im Viewer auf
»Trace | System Configuration«,
öffnet
sich ein neues Fenster,
das ausführliche
Informa tionen zum
Computer liefert.
Das Fenster zeigt den
Namen des Computers,
die Domäne,
das installierte Betriebssystem,
den
Versionsstand, die
Taktung des Prozessors
und die Größe
des Arbeitsspeichers an (Abbildung 3).
Auf verschiedenen Registerkarten erhalten
Sie weitere Informationen, die vielen
Tools zur Systemanalyse in nichts
nachstehen. Auch hier können Sie durch
Markieren und Rechtsklick Daten in CSV-
Dateien exportieren. Auf der Registerkarte
Traces sehen Sie, wann Sie die Messung
genau durchgeführt haben.
In der Befehlszeile aktualisieren Sie die
Systemkonfiguration mit dem Befehl
»xperf -i trace.etl -a sysconfig«. Mit dem
Befehl »systeminfo« in der Befehlszeile
zeigen Sie alle Informationen eines Servers
in der Eingabeaufforderung an, darunter
finden sich Infos über Hotfixes,
Netzwerkkarten, Prozessor, Betriebssystem,
Hersteller und so weiter – sogar
die aktuelle Systembetriebszeit (also wie
lange der Rechner bereits läuft) und das
AZ_WebDevCon_210x107.qxd:Layout 1 23.08.2011 12:14 Uhr Seite 1
Abbildung 3: Anzeigen der Systemkonfiguration eines Servers.
ursprüngliche Installationsdatum lassen
sich anzeigen. Hier empfiehlt sich die
Umleitung in eine Textdatei, wobei Sie
zusätzlich den Parameter »/FO list« angeben
sollten, um die Informationen formatiert
zu speichern. Um alle Infos in die
Textdatei »C:\sysinfo.txt« zu speichern,
verwenden Sie den Befehl »systeminfo
/FO list > C:\sysinfo.txt«. Diese Datei
können Sie anschließend mit der ETL-
Datei des Windows Performance Toolkits
zur Analyse verwenden.
Windows System State
Analyzer
Leistungsprobleme auf Computern treten
häufig nach der Installation von Anwendungen
oder Treibern auf. Auch hier
bietet Microsoft ein Tool, das bei der Leis-
web DevCon
Die Konferenz für Web-Entwickler
Themen der Web DevCon sind u.a.:
- Web-Technologien - Web-Architekturen
- JavaScript - PHP
- RIA - Frameworks
- Cloud Computing - Social Web
17.-18. Oktober 2011
InterContinental Hamburg
Teilnahmegebühr
ab € 399,–
präsentiert von:
Partnerkonferenz:
zzgl. MwSt.
Ihr Code:
www.web-devcon.de
web_devcon
#wdc11
PROwdc11lnm

Tuning
windows
Abbildung 4: Erstellen von Snapshots zum Erkennen von Systemänderungen.
tungsmessung helfen kann. Installieren
Sie eine Anwendung auf einem Computer,
führt sie meistens viele Änderungen
an Systemdateien, Verzeichnissen und
der Registry durch. Als Ergebnis dieser
Änderungen kann ein System mit der Zeit
sehr träge reagieren. Windows System
State Analyzer (WSSA) ist Bestandteil
des Software Certification Toolkit. Dieses
steht in einer 32-Bit- und einer 64-Bit-
Version zur Verfügung [6][7].
Vergleich von Snapshots
Damit Sie mit dem Tool eine Messung
durchführen können, erstellen Sie erst
einen Snapshot, installieren dann die
entsprechende Anwendung und erstellen
einen weiteren Snapshot. Anschließend
haben Sie die Möglichkeit die beiden
Snapshots miteinander zu vergleichen:
n Starten Sie Windows System State
Analyzer.
n Aktivieren Sie die Registerkarte
»Snapshot«.
n Belassen Sie die Option »Create
New«.
n Legen Sie den Pfad fest, in dem Windows
den Snapshot speichern soll.
n Klicken Sie auf »Start«.
Das Tool erstellt einen Schnappschuss
des aktuellen Systemzustandes. Das
kann mehrere Minuten dauern. Sie sehen
den Status im unteren Bereich des
Fensters. Anschließend installieren Sie
die Anwendung, deren Änderungen Sie
überwachen wollen. Dabei lassen Sie
WSSA gestartet. Führen Sie ansonsten
keinerlei Änderungen durch, um das Ergebnis
nicht zu verfälschen. Haben Sie
die Anwendung installiert, klicken Sie
auf der rechten Seite des Tools auf die
Option »Create New«. Wählen Sie auch
hier den Pfad aus.
Ihnen stehen anschließend beide
Schnappschüsse zur Verfügung und Sie
können die Änderungen vergleichen.
Dazu klicken Sie unten im Fenster auf die
Schaltfläche »Compare«. Anschließend
beginnt das Tool die beiden Schnappschüsse
miteinander zu vergleichen und
zeigt die vorgenommenen Änderungen
an. Im neuen Fenster zeigt das Tool
Änderungen strukturiert nach Dateisystem,
Registry, Dienste und Treiber an
(Abbildung 4).
Boot-Zeit
Neben der reinen Leistungsmessung mit
Zusatztools bietet Windows 7 auch interne
Möglichkeiten, um kleinere Messungen
durchzuführen. Nehmen Sie Tuningmaßnahmen
an Installationen von Windows
7 vor, ist es sinnvoll zu erfahren, wie
sich diese auf den Systemstart auswirken.
Den Zeitraum, den Windows zum Starten
braucht, hält das Betriebssystem in der
Ereignisanzeige fest. Auf folgendem Weg
zeigen Sie den Zeitraum an:
n Geben Sie »eventvwr« im Suchfeld des
Startmenüs ein.
n Navigieren Sie zu »Anwendungs- und
Dienstprotokolle | Microsoft | Windows
| Diagnostics-Performance | Betriebsbereit«.
n Ereignisse mit der ID 100 zeigen die
Startdauer an, Ereignisse mit der ID
200 die Dauer zum Herunterfahren.
In Windows Server 2008 R2 fehlt diese
Diagnosemöglichkeit jedoch.
Geben Sie den Begriff Zuverlässigkeit
im Suchfeld des Startmenüs ein, erstellt
Windows 7 einen Bericht, über den Sie
Fehler und Informationen zum Betriebssystem
schnell und einfach anzeigen
können. Sie bekommen einen Index
der Systemleistung angezeigt und erhalten
zusätzliche Informationen, wenn
Sie eine Meldung anklicken. Auch auf
diesem Weg können Sie Änderungen
erkennen und zusammen mit den anderen
erwähnten Tools feststellen, warum
das System zu einem bestimmten
Zeitraum nicht zuverlässig funktioniert
hat. (ofr)
n
Infos
[1] Windows Performance Analysis Developer
Center: [http:// msdn. microsoft. com/ de‐de/
performance/ cc752957]
[2] Dotnet Framework Developer Center:
[http:// go. microsoft. com/ fwlink/ ?
LinkID=187668]
[3] Windows On/ Off Transition Performance
Analysis: [http:// msdn. microsoft. com/
en‐us/ windows/ hardware/ gg463386. aspx]
[4] Blog von Didier Stevens:
[http:// blog. didierstevens. com]
[5] DiskMon für Windows 2.01:
[http:// technet. microsoft. com/ de‐de/
sysinternals/ bb896646]
[6] Software Certification Toolkit 32 Bit:
[http:// go. microsoft. com/ fwlink/ ?
LinkID=140110]
[7] Software Certification Toolkit 64 Bit:
[http:// go. microsoft. com/ fwlink/ ?
LinkID=140109]
Der Autor
Thomas Joos ist freiberuflicher IT‐Consultant
und seit über 20 Jahren in der IT tätig. Neben
seinen Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und
andere Microsoft‐Themen. Online ist er unter
der Adresse [http:// thomasjoos. spaces. live.
com] anzutreffen.
62 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Admin-mAGAZin
im JAhres-Abo
Jede Ausgabe des Admin-Magazins bietet praktisch anwendbares Wissen
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle
Systemverwalter von Linux, Unix und Windows. Die Schwerpunkte reichen von
Storage und Backup bis hin zu Netzwerk-Themen und Security.
Ein Sonderteil hilft Admins heterogener Welten.
15 % sparen
Jetzt bestellen unter:
www.admin-magazin.de/abo
sichern sie sich ihr
GrAtis Admin t-shirt!
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-Magazins zum Vorzugspreis von E 49,90 * statt E 58,80 *
(Lieferung frei Haus).
* Preise gelten für Deutschland. Schweiz: SFr 99,90; Österreich: E 54,90; anderes Europa: E 59,90

T uning
i/ O-benchmarks
johnjohnson, 123RF
I/​O-Benchmarks​mit​Fio
Blockweise
einfache disk-benchmarks messen oft nur einen bestimmten Anwendungsfall. der flexible i/ O-Tester Fio simuliert
ganz unterschiedliche workloads und misst neben der bandbreite auch die Anzahl der i/ Os pro sekunde,
Latenzen sowie die CPu-Auslastung. martin steigerwald
Der Maintainer der Blockgeräte-Ebene
des Linux-Kernels Jens Axboe entwickelte
Fio, um die Performance in unterschiedlichen
Anwendungsfällen zu messen.
Einfache Benchmarks wie »hdparm«
oder »dd« sind zu beschränkt und testen
beispielsweise nur sequenzielles I/ O,
das in üblichen Workloads mit vielen
kleinen Dateien keine große Rolle spielt.
Für jeden Workload ein eigenes Testprogramm
zu schreiben, ist indes ziemlich
aufwendig.
Aktuell ist die Version 1.57. Für Debian
gibt es ein vom Artikel-Autor erstelltes
Paket, das Ubuntu-Entwickler in Ubuntu
übernommen haben. Für Suse-Versionen
ab SLES 9 sowie Open Suse 11.3 stellt
das Benchmark-Repository ein aktuelles
Paket bereit [1].
In Fedora ist Fio ebenfalls enthalten.
Die Quellen aus dem Tarball oder dem
Git-Repository lassen sich mit den Entwicklerdateien
zur »libaio«, bei Debian
und Abkömmlingen als »libaio-dev«, bei
RPM-basierten Distributionen üblicherweise
als »libaio-devel«, mit einem simplen
Make übersetzen [2][3]. Auch unter
verschiedenen BSD-Varianten und Win-
dows lässt sich Fio zum Laufen bringen,
wie die Dokumentation erklärt.
Ein I/ O-Workload besteht aus einem
oder mehreren Jobs. Die Job-Definitionen
nimmt Fio als Parameter auf der Befehlszeile
oder als Job-Dateien in dem von
Windows und KDE bekannten Ini-Format
entgegen.
So richtet Fio mit dem einfachen Aufruf
fio ‐‐name=zufälliglesen ‐‐rw=randreadU
‐‐size=256m
den Job »zufälliglesen« ein und führt
ihn aus: Fio erstellt dazu im aktuellen
Verzeichnis eine Datei mit der Größe
256 MiB und einen Prozess für den Job.
Dieser Prozess liest den gesamten Datei-
Inhalt in zufälliger Abfolge. Fio führt
dabei Buch über bereits gelesene Bereiche
und liest jeden Bereich nur einmal.
Währenddessen misst das Programm die
CPU-Auslastung, die erzielte Bandbreite,
die Anzahl der I/ Os pro Sekunde und die
Latenzen. Das Ganze funktioniert natürlich
auch als Job-Datei:
[zufälliglesen]
rw=randread
size=256m
Von da aus lässt sich der Workload beliebig
erweitern. So definiert
[global]
rw=randread
size=256m
[zufälliglesen1]
[zufälliglesen2]
zwei Jobs, die jeweils eine 256 MiB große
Datei in zufälliger Reihenfolge einlesen.
Alternativ erreicht die Option »numjobs=2«
den gleichen Effekt.
Fio führt standardmäßig alle Jobs aus.
Mit der Option »stonewall« wartet Fio,
bis alle vorher laufenden Jobs fertig sind,
bevor es weitermacht. So liest Fio mit
[global]
rw=randread
size=256m
[zufälliglesen]
[sequenzielllesen]
stonewall
rw=read
zunächst eine Datei zufällig und dann die
zweite Datei sequenziell (Abbildung 1).
Die Optionen in der Sektion »global« gelten
dabei für alle Jobs und lassen sich pro
64 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

i/ O-benchmarks
Tuning
Job abändern. Möchte man
jeweils zwei Gruppen von
zwei gleichzeitig laufenden
Jobs hintereinander laufen
lassen, muss die Option
»stonewall« beim dritten
Job stehen. Vor dem Ausführen
einer Job-Gruppe
verwirft Fio den Pagecache,
wenn nicht »invalidate=0«
gesetzt ist.
Während Fio den Workload
ausführt, informiert es
über seine Fortschritte:
Jobs: 1 (f=1): [rP] [64.7% U
done] [16948K/0K /s] [4137 /U
0 iops] [eta 00m:06s]
Im Beispiel läuft der erste
Job mit sequenziellem Lesen,
in den eckigen Klammern
markiert als »r«,
während Fio den zweiten
noch nicht initialisiert
hat, markiert als »P«. Der
Buchstabe »R« steht für sequenzielles
Lesen, »w« für
zufälliges Schreiben, »W« für sequenzielles
Schreiben und so weiter (siehe Manpage
unter »OUTPUT«). Das Programm
gibt zusätzlich den prozentualen Fortschritt
der aktuellen Job-Gruppe, dann
die aktuelle Lese- und Schreibgeschwindigkeit,
die aktuellen Lese- und Schreib-
IOPS sowie die voraussichtliche Dauer
des Tests aus.
Sind alle Jobs fertig, präsentiert das Programm
die Ergebnisse. Neben der erreichten
Bandbreite und den IOPS zeigt
Fio unter anderem die CPU-Auslastung
und die Anzahl der Kontext-Switches. Im
Abschnitt »IO« findet sich die prozentuale
Verteilung, wie viele I/ O-Requests Fio in
Bearbeitung hatte (»IO depths«) und wie
lange deren Abarbeitung dauerte (»lat«
für Latenz).
Abbildung 1 zeigt die Ergebnisse eines
Testlaufs auf einem ThinkPad T520 mit ei-
Tabelle 1: iOPs-Richtwerte
Laufwerk
IOPS-Richtwert
SATA-Platte, 7200 RPM 40 - 100
SATA-Platte, 10 000 RPM 100 - 150
SATA-Platte, 15 000 RPM 170 - 220
SATA-300-SSD 400 - 10 000
PCIe-SSD
bis zu eine Million
Abbildung 1: Ein einfacher Testlauf mit zwei Jobs, die Fio hintereinander durchführt.
ner 300 GB Intel SSD 320 und dem Linux-
Kernel 3.0. Bei Performance-Messungen
empfiehlt es sich, vorher zu überlegen,
was man misst, und dann nachzuprüfen,
ob die Ergebnisse glaubwürdig sind.
Das Programm verwendete die Standard-
Blockgröße von 4 KiB wie ganz am Anfang
in der Ausgabe bei den Job-Gruppen
zu sehen. Die etwa 16 000 KiB/ s und 4000
I/ O-Operationen pro Sekunde (IOPS) für
zufälliges Lesen liegen im Rahmen des
für eine SSD Möglichen (siehe Tabelle
und Kasten IOPS-Richtwerte). Bei den
über 65 000 IOPS und 260 MiB/ Sekunde
für sequenzielles Lesen hatten jedoch
Readahead und Pagecache ihre Finger
im Spiel.
Motorenvielfalt
Wie Fio die I/ O-Operationen durchführt,
hängt davon ab, welche I/ O-Engine es
mit welchen Einstellungen verwendet. Einen
Überblick über die vielen beteiligten
Komponenten gibt Abbildung 2. Mehrere
Anwendungen lesen und schreiben Daten,
indem sie mit einem oder mehreren
Prozessen und etwaigen Thre ads System-
Funktionen aufrufen. Die System-Routinen
verwenden oder umgehen je nach
iOPs-Richtwerte
Wie viele IOPS ein Laufwerk erreichen kann,
richtet sich nach dessen Leistungsfähigkeit sowie
dem definierten Workload. Der Schnittstellentyp
wie SATA, SAS, Fibre Channel oder PCIe
und der Controller üben ebenfalls einen Einfluss
aus. In der Regel geht es darum, die Geschwindigkeit
beim Arbeiten mit kleinen I/ Os zu testen.
Daher kommt typischerweise eine Blockgröße
von 4 KiB zum Einsatz. In diesem Fall erreicht
eine Festplatte mit 70 IOPS maximal eine Datentransferrate
von 70 * 4 KiB also 280 KiB
pro Sekunde – ein Wert, der deutlich unter der
maximalen sequenziellen Datentransferrate bei
großen Blockgrößen liegt. Die mittlere Zugriffszeit
errechnet sich aus dem Kehrwert der IOPS
und beträgt für die genannten 70 IOPS knapp
14,3 Millisekunden. Eine SSD braucht bei 4000
IOPS circa 0,25 Milli- oder 250 Mikrosekunden
(siehe Abbildung 1).
Einige Messwerte für Festplatten, SSDs und das
PCIe-Flash Fusion ioDrive finden sich unter [4]
und [5]. Bei Festplatten setzt sich die mittlere
Zugriffszeit aus der Spurwechselzeit (seek time)
und der durchschnittlichen Latenz, also der
Dauer einer halben Umdrehung der Festplatte
[6]​zusammen. Bei kleinen I/ O-Größen ist die
Datenübertragungsrate in der Regel vernachlässigbar,
ebenso wie der Controller-Overhead.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
65

T uning
i/ O-benchmarks
Abbildung 2: Viele Ebenen spielen ineinander, um Daten zu lesen und zu
speichern.
Parameter den Pagecache. Zugriffe auf
Dateien setzt ein Dateisystem in Zugriffe
auf Blöcke um, während systemnahe Programme
wie »dd«, der Linux-Kernel beim
Auslagern auf ein Swap-Gerät sowie entsprechend
konfigurierte Anwendungen
wie einige Datenbanken oder der Newsfeeder/
Reader Diablo direkt auf Blockgeräte
schreiben [7]. Im Block Layer
gibt der gerade laufende I/ O-Scheduler
die Requests nach festgelegten Regeln
an die Gerätetreiber weiter. Der Controller
schließlich spricht das Gerät an,
das ebenfalls einen mehr oder weniger
aufwendigen Controller mit eigener Firmware
besitzt.
Für Ergebnisse von Performance-Messungen
ist es ausschlaggebend, ob Requests
asynchron oder synchron verarbeitet
werden. Auch die Länge der Request-
Warteschlange sowie der Einsatz oder
das Überspringen des Pagecaches sind
bedeutsam. Allerdings
gibt es asynchrones
und synchrones Verhalten
sowie Warteschlangen
sowohl
auf der Anwendungsebene
als auch auf der
Geräte-Ebene.
So arbeitet die in
den bisherigen Beispielen
verwendete
I/ O-Engine »sync«, die
die Systemfunktionen
»read«, »write« und
gegebenenfalls »lseek«
verwendet, auf Anwendungsebene
synchron,
ebenso wie
»psync« und »vsync«:
Der Aufruf der Funktion
kehrt erst zurück,
wenn die Daten gelesen
oder zum Schreiben im Pagecache gelandet
sind. Daher ist die Länge der Warteschlange
auf Anwendungsebene immer
eins. Solange der Prozess aber nicht zu
viele Daten auf einmal schreibt, landen
diese erst einmal nicht auf der Platte (Abbildung
3). Der Kernel sammelt sie im
Pagecache und schreibt sie auf Geräte-
Ebene später doch asynchron.
Das Lesen geschieht bei den synchronen
Engines auch auf Geräte-Ebene synchron,
es sei denn, mehrere Prozesse lesen
gleichzeitig. Das ist dann aber nicht so
effizient wie asynchrones I/ O auf der
Anwendungsebene. Wer den Pagecache
umgehen und damit das Gerät selbst
messen möchte, verwendet die Option
»direct=1«. Auf Geräte-Ebene synchrones
und damit unrealistisch langsames
Arbeiten aktiviert die Option »sync=1«,
die bei den meisten Engines der Funktion
»open()« das Flag »O_SYNC« übergibt.
Dann kehrt der System-Aufruf erst zurück,
wenn die Daten auf dem Laufwerk
sind.
Auf der Anwendungsebene asynchron
arbeiten unter anderem die Engines
»libaio«, »posixio«, »windowsaio« und
»solarisaio«[8]. Mit asynchronen I/ Os
setzt die Anwendung mehrere Requests
ab, ohne auf jeden einzelnen Request
zu warten. So rechnet sie mitunter mit
bereits erhaltenen Daten, während weitere
Requests in Bearbeitung (pending)
sind. Wie viele Requests Fio maximal in
Bearbeitung hält, kontrolliert die Option
»iodepth«, wie viele das Programm auf
einmal losschickt »iodepth_batch« und
»iodepth_batch_complete«. Allerdings
funktioniert dies unter Linux nur mit direktem
I/ O, also unter Umgehung des Pagecaches.
Gepuffertes I/ O ist unter Linux
auf Anwendungsebene immer synchron.
Zudem funktioniert direktes I/ O nur mit
einem Vielfachen der Sektorgröße als
Blockgröße.
So ergibt der Job in Listing 1 deutlich
weniger Bandbreite und IOPS für das sequenzielle
Lesen Werte, die näher an den
tatsächlichen Fähigkeiten des Laufwerks
liegen (siehe Abbildung 4). Da die meisten
Anwendungen auf die Vorzüge gepufferten
I/ Os zurückgreifen, machen Tests,
die den Pagecache einbeziehen, durchaus
Listing 1: synchrones i/ O
01 [global]
02 ioengine=sync
03 direct=1
04 rw=randread
05 size=256m
06 filename=testdatei
07
08 [zufälliglesen]
09 [sequentielllesen]
10 stonewall
11 rw=read
Abbildung 3: Knapp 1 GiB/ s und 256000 IOPS sind auch für eine Intel SSD 320 unrealistisch.
66 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

i/ O-benchmarks
Tuning
Listing 2: Puffer neu füllen
01 [global]
02 ioengine=libaio
03 direct=1
04 filename=testdatei
05 size=2g
06 bs=4m
07
08 refill_buffers=1
09
10 [schreiben]
11 rw=write
12 write_bw_log
13
14 [lesen]
15 stonewall
16 rw=read
17 write_bw_log
Abbildung 4: Direktes I/ O unter Umgehung des Pagecache liegt näher an den tatsächlichen Fähigkeiten des Laufwerks.
Sinn. Für solche ist jedoch eine große Datenmenge
von mindestens zweimal der
RAM-Größe empfehlenswert. Ohnehin
ist es sinnvoll, eine Messung mindestens
dreimal durchzuführen und nach Abweichungen
zu schauen.
Durch die Angabe eines Dateinamens im
allgemeinen Bereich verwenden beide
Tests die gleiche Datei. Durch Jobs erstellte
Dateien löscht Fio nicht. Das Programm
füllt solche Dateien mit Nullen.
Für Festplatten ist das in der Regel okay.
In Zusammenhang mit Dateisystemen
oder SSDs, die komprimieren, wie etwa
SSDs mit neuerem Sandforce-Chipsatz
oder BTRFS mit der entsprechenden
Mount-Option, misst Fio so jedoch, wie
effizient der Komprimier-Algorithmus
Nullen zusammenfasst. Für zufällige Daten
sorgt entweder das vorherige Anlegen
der Datei mit »dd« aus »/dev/urandom«
oder das vorherige Schreiben in die Datei
mit Fio selbst. Die Option »refill_buffers«
weist Fio an, den Schreibpuffer nicht nur
einmal, sondern jedes Mal mit neuen zufälligen
Daten zu füllen (Listing 2).
Die sequenzielle Transferrate bei großen
Blöcken protokolliert Fio mit der Option
»write_bw_log« in »schreiben_bw.log«
oder »lesen_bw.log«, so lange man kein
anderes Präfix angibt. Aus den Protokollen
im aktuellen Verzeichnis erstellt das
kleine Skript »fio_generate_plots« einen
Graphen (Abbildung 5). Als Argumente
nimmt es einen Titel und in der aktuellen
Git-Fassung auch die Auflösung entgegen.
Dieser Workload erreicht mit 54
großen IOPS beim Schreiben ungefähr
220 MiB/ s und mit 68 IOPS beim Lesen
circa 280 MiB/ s und liegt damit
nur knapp unter dem theoretischem
Limit für eine SATA-300-
Schnittstelle. Wichtig: Trotz 20
GBytes pro Tag für minimal 5
Jahre bei einer Intel SSD 320
ist es empfehlenswert, mit SSD-
Schreibtests achtsam zu sein
und die SSD mithilfe des »fstrim«-Befehls
aus einem aktuellen »util-linux«-Paket zu
entlasten [9].
Der Workload aus Listing 3 zum Messen
der IOPS mit einer variablen Blockgröße
von 2 bis 16 KiB verwendet die zuvor angelegte
Datei weiter (Abbildung 6). Am
Leistungslimit ist die SSD damit jedoch
noch nicht, wie die 68 beziehungsweise
Abbildung 5: Ein kleines Skript erstellt Graphen aus Bandbreiten- oder Latenz-Protokollen.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
67

T uning
i/ O-benchmarks
Um immer noch ein paar zusätzliche
Requests in Bearbeitung zu haben, empfiehlt
sich ein Versuch mit der doppelten
Anzahl. Mit »iodepth=64« steigt
die Performance erheblich, Kernel und
SSD-Firmware haben bei längeren Warteschlangen
mehr Spielraum für Optimierungen
(siehe Abbildung 7). Allerdings
braucht die SSD durchschnittlich auch
deutlich länger, um Requests zu beantworten.
Da der Kernel auch mit synchronen I/ O
auf Anwendungsebene beim gepufferten
Schreiben vieler Daten oder beim gleichzeitigen
Lesen und Schreiben durch viele
Prozesse auf Geräte-Ebene ebenfalls viele
Requests in Bearbeitung hält, macht es
durchaus Sinn, mit verschiedenen Warteschlangenlängen
zu testen. Eine einfache
Möglichkeit ist es, in der Job-Datei
»iodepth=$IODEPTH« zu schreiben und
Fio die Länge als Umgebungsvariable
mitzuteilen.
Variation
Abbildung 6: Das mit einer Warteschlangenlänge von eins quasi synchrone I/ O lastet die Intel SSD nur zu etwa
67 Prozent aus.
67 Prozent für »util« für das logische
Laufwerk und die SSD selbst aussagen.
Beim sequenziellen Workload lag die
Auslastung bei 97 Prozent. Die maximale
Laufzeit von 60 Sekunden unterschreitet
die SSD bei einer 2 GiB großen Datei
dennoch bei einigen Tests.
Mit einer Warteschlangenlänge von eins
wartet auch die I/ O-Engine »libaio« auf
jeden Request, bevor sie den nächsten
abschließt. Das lastet bei kleinen Blockgrößen
die Warteschlange auf Geräte-
Ebene nicht aus. Die SSD unterstützt
Listing 3: Variable blockgrößen
01 [global]
02 ioengine=libaio
03 direct=1
04 # Für zufällige Daten über die komplette Länge
05 # der Datei vorher Job sequentiell laufen
lassen
06 filename=testdatei
07 size=2G
08 bsrange=2k‐16k
09
10 refill_buffers=1
11
12 [zufälliglesen]
13 rw=randread
14 runtime=60
Native Command Queuing mit bis zu 32
Requests:
$ hdparm ‐I /dev/sda | grep ‐i queue
Queue depth: 32
* Native Command Queueing (NCQ)
15
16 [sequentielllesen]
17 stonewall
18 rw=read
19 runtime=60
20
21 [zufälligschreiben]
22 stonewall
23 rw=randwrite
24 runtime=60
25
26 [sequentiellschreiben]
27 stonewall
28 rw=write
29 runtime=60
Eine anderer Weg ist, mit vielen Prozessen
gleichzeitig zu testen oder viele Daten
gepuffert zu schreiben. So liefert ein
Test mit »numjobs=64« ebenfalls deutlich
höhere Werte, die die Option »group_
reporting« pro Gruppe zusammenfasst.
Die Befehlszeilen-Option »--eta=never«
schaltet die überlange Fortschrittsanzeige
ab. Hohe Latenzen bei der Reaktion auf
Benutzereingaben selbst auf einem Intel
Sandybridge i5 Dualcore und etwa
770 000 Kontext-Switches zeigen den höheren
Overhead dieser Methode. Doch
immerhin sind auch damit circa 160 bis
180 MB/ s und 18 000 bis 19 000 IOPS
beim Lesen und ungefähr 110 MiB/ s und
12500 IOPS beim Schreiben drin. Die
Messprotokolle stehen auf der ADMIN-
Website zum Download bereit.
Damit sind die Möglichkeiten von Fio
noch lange nicht ausgeschöpft. Das
Programm arbeitet auch direkt mit der
Hardware, wie der Beispiel-Job »diskzone-profile«
zeigt, der über die gesamte
Größe eines Laufwerks in Abständen die
Lese-Transferrate misst. Für hardwarenahe,
realistische Messungen ist es bei
Festplatten empfehlenswert, immer das
ganze Laufwerk zu verwenden, da die
Transferrate bei den außen liegenden Sektoren
aufgrund des größeren Zylinderumfangs
höher ist. So ergeben sich bei einer
2,5-Zoll-Hitachi-Platte mit 500 GByte via
eSATA beim zufälligen Lesen von 2 bis 16
KiB-Blöcken mit »iodepth=1« noch etwa
50 IOPS (Abbildung 8). Alternativ verwendet
man nur den Anfang der Platte.
Bei Lese-Tests mit ganzen Laufwerken,
70 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

i/ O-benchmarks
Tuning
Fio ebenfalls. Ein Blick in die Manpage
und das Howto offenbart die ganze Funktionsvielfalt.
So sehr Workload und Test-Setup gemessene
Performance-Werte beeinflussen,
so individuell sind auch die Tuningdie
wertvolle Daten enthalten,
bietet die Befehlszeilen-Option
»--readonly« zusätzliche
Sicherheit.
Weiterhin simuliert Fio mit der
Engine »mmap« Workloads,
die Dateien in den Speicher
einblenden, während »net«
mit »filename=host/port« Daten
über »TCP/IP« sendet oder
empfängt und »cpuio« CPU-Zeit
verbraucht. Zudem verwenden
die Engines »splice« und »netsplice«
die linux-spezifischen
Kernel-Funktionen »splice()«
und »vmsplice()«, um Kopien
von Pages zwischen User- und
Kernelspace zu vermeiden
(Zero Copy). Auf »splice()«
greift die Funktion »sendfile()«
zurück, die zum Beispiel der
Webserver Apache verwendet,
um statische Dateien schneller
auszuliefern.
Auch typische Workloads mit
vielen gepufferten, asynchronen
Schreibzugriffen und mehr
oder weniger »fsync«-Aufrufen
lassen sich mit den Optionen »fsync«,
»fdatasync« oder gar »sync_file_range«
simulieren. Gemischte Workloads mit
einstellbaren Gewichtungen zwischen
Lesen und Schreiben sowie zwischen unterschiedlichen
Blockgrößen unterstützt
Abbildung 7: Hält Fio bis zu 64 Requests gleichzeitig in Bearbeitung, steigen Auslastung und Latenz.
Möglichkeiten. Allgemein gilt die Regel:
Use the defaults [10] – verwende die
Standardwerte, so lange es keinen Grund
gibt, daran etwas zu ändern. Denn erfahrungsgemäß
bringt ein einfaches Drehen
an Optionen oft nur wenige Prozent und
Linux-Magazin
ACADEMY
Online-Training
Monitoring mit Nagios
mit Michael Streb von Netways
Netzwerk überwachen leicht gemacht (Auszug):
❚ das Webfrontend
❚ Überwachung von Windows/Linux/Unix
❚ Strukturieren der Konfiguration
❚ Überwachen von SNMP-Komponenten
❚ Addons Nagvis, Grapher V2, NDO2DB
20%
Treue-Rabatt für
Abonnenten
Mit vielen
Praxisbeispielen
Information und Anmeldung unter: academy.linux-magazin.de/nagios

T uning
i/ O-benchmarks
reduziert mitunter sogar die
Performance.
Die sinnvollen Maßnahmen
hängen auch von der Intelligenz
des Storage ab. Bei einem
intelligenten und selbst puffernden
SAN-System empfiehlt es
sich, die Intelligenz im Linux zu
reduzieren. Der I/ O-Scheduler
»noop«, durchaus auch für SSDs
sinnvoll, erspart dem Kernel
das möglicherweise gar nicht
zu den Algorithmen im SAN-
System passende Umsortieren
von Requests (siehe dazu das
Verzeichnis »/sys/block/Gerät/
queue«). Bei Readahead im SAN
ist es mitunter sinnvoll, mit
»blockdev -setra« das Read ahead
auf Linux-Seite zu reduzieren,
jedoch die Länge der Warteschlange
zum SAN hin »find /
sys -name "*queue_depth*"«)
zu vergrößern, so weit das SAN
mit der akkumulierten Wartenschlange
aller Clients zurechtkommt.
Es ist sinnvoll, Partitionen und Dateisysteme
an SANs, RAIDs, SSDs und Festplatten
mit 4-KiB-Sektoren, die alle mit größeren
Datenblöcken als 512 Byte arbeiten,
auszurichten. Hier sind dann durchaus
auch mal Geschwindigkeits-Zuwächse im
zweistelligen Prozentbereich drin. Neuere
Versionen von »fdisk« richten sich
mit »-c« automatisch an 1-MiB-Grenzen
aus. Das ist ein guter Standardwert, da
es sich durch übliche Werte wie 4, 64,
128 und 512 KiB teilen lässt. So verwendet
»mdadm« mittlerweile eine Chunksize
von 512 KiB, frühere Versionen und
Hardware-RAIDs oft 64 KiB. Gängige
Dateisysteme wie Ext3 und 4 sowie XFS
unterstützten entsprechende Parameter
in ihren Mkfs- und Mount-Optionen. Für
Dateisysteme gilt: Die Standardwerte
aktueller Mkfs-Versionen bringen häufig
die besten Ergebnisse. Das komplette
Ausschalten der Atime-Aktualisierung
via Mount-Option »noatime« reduziert
Schreibvorgänge gegenüber »relatime«
mitunter spürbar [11].
Fazit
Dieser Artikel zeigt, wie wichtig es ist,
bei Performance-Messungen den beabsichtigten
Workload zu berücksichtigen.
Abbildung 8: Eine 2,5-Zoll-Festplatte via eSATA schafft deutlich weniger IOPS als eine SSD.
Alle Angaben zu erzielten IOPS sind relativ
zum Test-Setup und zum Workload zu
verstehen. Die hier beschriebenen Test-
Szenarien sind am Lesen und Schreiben
von Daten ausgerichtet. Auch wenn Fio
mit »nrfiles« mehrere Dateien für einen
Job verwendet, eignen sich für Metadaten-intensive
Workloads andere Benchmarks
wie »bonnie++« oder »compilebench«
besser. (ofr)
n
Infos
[1] Benchmark-Repository für Suse: [http://
download. opensuse.org/repositories/
benchmark/]
[2] Quelltext-Archive für Fio:
[http://brick. kernel.dk/snaps/]
[3] Git-Repository zu Fio:
[git://git. kernel. dk/ fio.git]
[4] Einige IOPS-Messwerte aus dem Wiki
der Thomas Krenn AG: [http://www.
thomas-krenn. com/de/wiki/I/O_Performance_Vergleich_von_Festplatten_mit_
SSDs_und_Fusion-io_ioDrive]
[5] IOPS-Richtwerte für Fusion ioDrive:
[http://kb. fusionio. com/KB/a29/verifyinglinux-system-performance.aspx]
[6] Abschnitt IOPS im Artikel Messen von I/
O-Performance:
[http://www. thomas-krenn.com/de/wiki/
Messen_von_I/ O_Performance#IOPS]
[7] Newsfeeder/ reader Diablo: [http://www.
openusenet. org/ diablo/]
[8] Kernel Asynchronous I/ O (AIO) Support for
Linux: [http:// lse. sourceforge.net/io/aio.
html]
[9] Intel Solid-State Drive 320 Series Product
Specification, 2.6 Reliability:
[http://www. intel. com/content/
www/us/en/ solid-state-drives/
ssd-320-specification.html]
[10] XFS FAQ, Q: I want to tune my XFS filesystems
for : [http://xfs.org/
index.php/ XFS_FAQ#Q:_I_want_to_tune_
my_XFS_filesystems_for_.3Csomething.3E]
[11] Theodore T’so, SSD’s, Journaling,
and noatime/ relatime: [http://www.
linuxfoundation. org/news-media/blogs/
browse/2009/ 03/ ssd%E2%80%99s-journ
aling-and-noatimerelatime]
Der​Autor
Martin Steigerwald arbeitet als Trainer, Consultant
und Systemadministrator bei der team(ix)
GmbH in Nürnberg. Schwerpunkte seiner Tätigkeit
sind Linux-Schulungen, die Konzeption,
Installation und Wartung solider IT-Infrastruktur
auf Basis von Debian Linux von teamix(ix). Er
hält bei mehreren Schulungsanbietern eine
Schulung zum Thema Performance-Analyse
und Tuning. Der Autor dankt Jens Axboe für
das Beantworten vieler Fragen und der Teamix
GmbH für das Bereitstellen des Test-Laptops.
72 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Linux-Magazin
ACADEMY
... wir qualifizieren Ihre Mitarbeiter!
IT Trainings Online
Linux und Open Source
Nutzen Sie die Vorteile
der Linux-Magazin Academy!
✓
✓
✓
✓
✓
Kompetent: Unsere Dozenten sind ausge wiesene
Profis mit lang jähriger Schulungserfahrung.
Flexibel: Der Schulungsteilnehmer lernt, wann,
wo und sooft er möchte.
Kosteneffizient: Nutzen Sie Einsparungen
gegenüber Vor-Ort-Schulungen.
Übersichtlich: Die komfortable Web- Oberfläche
zeigt gleich zeitig den Trainer und dessen
Arbeitsfläche
Individuell: Jeder Teilnehmer folgt seinem eigenen
Lerntempo.
Trainingspakete:
Monitoring mit Nagios
• WordPress 3.0
www.lpi.org
LPIC-1- / LPIC-2-Training
IT-Sicherheit Grundlagentraining
OpenOffice – Arbeiten mit Vorlagen
Was Teilnehmer über die
Linux-Magazin Academy sagen:
„Mit den Videos haben Sie ins Schwarze
getroffen. Es gibt nichts Vergleichbares.“
„Eine hervorragende Anleitung zum
praktischen A rbeiten“
Testen Sie unsere Demovideos:
academy.linux-magazin.de/demo
Präsentiert von:
www.linux-magazin.de
www.linuxhotel.de
Weitere Infos: academy.linux-magazin.de

SecuriT y
Phpass
Passwortsicherheit in Webanwendungen mit Phpass
Nützlicher
Fleischwolf
Wie merkt sich eine Webanwendung ein Passwort? Gar nicht. Sie verwandelt
es in ein Pfund Gehacktes. Dabei hilft Phpass, das in immer mehr bekannten
Webanwendungen für Passwortsicherheit sorgt. Tim Schürmann
Das nigelnagelneue, hochpolierte Content-Management-System
wartet nur
darauf, von zahlreichen Nutzern mit Inhalten
gefüttert zu werden. Damit die
keinen Schabernack treiben, müssen sie
sich vorher mit einem Passwort authentifizieren.
Dessen Überprüfung scheint
zunächst trivial: Die Web-Anwendung
sucht in ihrer Datenbank das zum Benutzer
gehörige Passwort und vergleicht
es mit dem eingegebenen. Dazu müsste
sie jedoch die Passwörter im Klartext in
der Datenbank ablegen – während dem
sicherheitsbewussten Entwickler bei
diesem Gedanken die Haare zu Berge
stehen, knallen bei den Angreifern die
Sektkorken.
Man könnte jetzt selbst geeignete Sicherheitsmaßnahmen
ergreifen – oder besser
gleich zu fertigen Softwarekomponenten
von Sicherheitsprofis greifen. Eine solche
Lösung ist das Passwort Hashing Framework,
kurz Phpass [1]. Es verschlüsselt
Passwörter knacksicher und kommt in
bekannten Webanwendungen wie dem
Content-Management-System Drupal
oder der Blog-Software Wordpress zum
Einsatz – dort teilweise allerdings mit
einigen Einschränkungen (dazu später
mehr). Bevor man Phpass mit wenigen
Handgriffen in die eigene Anwendung
integrieren kann, ist ein kurzer Blick auf
seine Arbeitsweise notwendig.
Hash mich
Phpass steckt jedes übergebene Passwort
in eine spezielle mathematische Funktion.
Wie ein Fleischwolf macht sie aus
dem Passwort ein Pfund gehackte Zeichenkette.
Die Funktion ist so aufgebaut,
dass sie für ein Passwort immer das gleiche
Ergebnis liefert, aus dem sich nur mit
großem Aufwand das originale Passwort
rekonstruieren lässt. Eine solche Funktion
bezeichnet man als Hash-Funktion, die
chaotische Ausgabe als Hash-Wert (oder
auch Fingerabdruck des Passworts).
Die Webanwendung muss jetzt nur noch
diesen unleserlichen Hashwert in der Datenbank
speichern (Abbildung 1). Sobald
sich ein Benutzer später mit seinem Passwort
anmeldet, berechnet Phpass aus der
Zeichenkette erneut den Hashwert und
vergleicht ihn mit dem in der Datenbank
hinterlegten.
Fünf ist Trümpf
© Michael Möller, fotolia
Nach diesem Prinzip arbeiten schon
länger alle großen Web-Anwendungen.
Wie das Content-Management-System
Joomla benutzen sie als Hash-Funktion
allerdings durchweg den Message Digest
Algorithm 5, kurz MD5. Er ist sogar praktischerweise
in jeder PHP-Umgebung mit
einer eigenen Funktion vertreten:
$hashwert =
md5($passwort);
MD5 wurde jedoch von seinen Erfindern
für eine schnelle Verarbeitung optimiert.
74 AuSGAbe 05-2011 A D min WWW. ADmin-mAGAzin.D e

Phpass
SecuriT y
Mit genügend großer
Rechenkraft und ein
paar Tricks lassen
sich mittlerweile aus
den von ihr berechneten
Hash-Werten
die Passwörter herausfinden.
Moderne
Mehrkernprozessoren
oder Grafikchips
(Stichwort GPGPU)
rechnen für ein Passwort
mehrere Millionen
MD5-Hashes pro
Sekunde durch und vergleichen sie mit
dem gespeicherten Hash. Dank Clouds
und billigen Terabyte-Platten kann man
sogar einfach für jedes mögliche Passwort
vorab den zugehörigen Hashwert
berechnen und in einer langen Tabelle
ablegen (sogenannte Rainbow Tables).
Wie in einem Telefonbuch muss man
dann nur nachschlagen, welcher Hashwert
zu welchem Passwort gehört.
Glücklicherweise bietet die PHP-Umgebung
über die etwas umständlich zu nutzende
Funktion »crypt()« noch weitere,
bessere Hashfunktionen an [2]. Welche
dabei tatsächlich zur Verfügung stehen,
hängt von der PHP-Version und dem
Betriebssystem ab. Phpass fährt deshalb
notgedrungen eine mehrstufige Strategie:
Zunächst versucht es den wesentlich sichereren
Bcrypt-Algorithmus zu verwenden,
der wiederum auf dem Blowfish-
Verfahren basiert [3].
Sollte Bcrypt nicht greifbar sein, zieht
Phpass das Extended-DES-Verfahren heran.
Kann es auch dies nicht nutzen, fällt
es als Notlösung auf MD5 mit ein paar
eigenen Sicherheitserweiterungen zurück.
Der Phpass-Entwickler hat Blowfish
und Extended-DES bewusst zu seinen
Favoriten gekürt, da sie in den meisten
Systemen besonders effizient in C implementiert
sind.
Ilsebill salzt nach
Die gewählte Hashfunktion ruft Phpass
mehrfach auf, hängt also mehrere
Fleischwölfe hintereinander. Es dauert
dann wesentlich länger, bis ein Angreifer
einfach alle möglichen Passwörter hintereinander
durchprobiert hat – bei acht
Fleischwölfen bis zum Faktor 8. Ganz
nebenbei verlängert sich auch der Hash-
Abbildung 1: Hat ein Angreifer Zugriff auf die Datenbank, sieht er dort nur kryptische Zeichenketten. Hier gewährt PhpMyAdmin
Einblick in das Content-Management-System Joomla, welches das MD5-Verfahren mit Salt verwendet.
wert, die Fachleute nennen das auch Key
Stretching.
Um die Sicherheit noch weiter zu erhöhen,
bezieht Phpass eine zufällig gewählte
Zeichenkette, das sogenannte
Salt, mit in die Berechnung ein. Für jedes
eingetippte Passwort kommt dabei ein
anderes Salt zum Einsatz. Damit muss
ein Angreifer wesentlich mehr Passwörter
in seiner Rainbow Table ablegen,
was Rechenaufwand und Platzbedarf
beträchtlich erhöht. Als Quelle für das
Salt benutzt Phpass auf Unix-Systemen
»/dev/urandom«. Sollte sie nicht zur
Verfügung stehen, greift es auf einen eigenen
Pseudo-Zufallsgenerator zurück.
Obwohl dieser eigentlich nur für die Erzeugung
von Salt ausgelegt ist, nutzt ihn
das Content-Management-System Drupal
7 in einer abgewandelten Variante auch
noch an anderen Stellen.
Das Salt hängt Phpass offen an den generierten
Hash an. Dies ist notwendig, da
das Salt bei der nächsten Anmeldung des
Besuchers erneut in die Hash-Funktion
einfließen muss – andernfalls käme ein
falscher Hash-Wert heraus. Das ist jedoch
keine Sicherheitslücke, da das Salt lediglich
die Zahl der möglichen Hash-Werte
erhöhen soll.
Sicherheitsklasse
Phpass funktioniert bereits ab PHP 3.0.18.
Möchte man sichergehen, dass Phpass
garantiert Bcrypt als Hashfunktion verwendet,
sollte man mindestens PHP 5.3.0
verwenden. Erst diese Version integriert
Blowfish, Extended-DES und MD5 fest in
den Interpreter. Um das in den Vorversionen
zu erreichen, kann man den Suhosin
Patch einspielen [4] – was in einigen
Linux-Distributionen sowie verschiede-
nen BSD-Systemen bereits geschehen
ist. Für Python existiert übrigens eine
vollständige Portierung, eine abgespeckte
Variante auch noch für Perl [1].
Mittlerweile setzen Phpass unter anderem
Wordpress ab Version 2.5, bbPress
und Vanilla ein. Modifizierte beziehungsweise
auf die MD5-Notfallvariante beschnittene
Versionen stecken zudem in
phpBB3 und Drupal 7. Für Drupal 5 und
6 sowie Typo3 existieren Erweiterungen,
die Phpass in den Content-Management-
Systemen nachrüsten.
Klasse Sache
Phpass besteht im Wesentlichen aus
einer kleinen PHP-Klasse, die sich kinderleicht
in eigene PHP-Anwendungen
einbinden lässt: Zunächst angelt man
sich das Archiv von der etwas unübersichtlichen
Homepage [1], entpackt es
und integriert die Datei »PasswordHash.
php« in das eigene Skript:
require('PasswordHash.php');
Als Nächstes instanziiert man die darin
ausgelieferte Klasse »PasswordHash«:
$hasher = new PasswordHash(8, FALSE);
Der erste Parameter des Konstruktors gibt
an, wie oft Phpass die Hashfunktion aufrufen
soll. Der Wert ist eine Potenz von 2,
im Beispiel würde Phpass also die Hashfunktion
2^8 und somit 256 Mal hintereinander
aufrufen. Der höchstmögliche
Wert ist 31. Steht der zweite Parameter
auf »TRUE«, nutzt Phpass grundsätzlich
immer das alte, wenn auch diesmal gesalzene
MD5-Verfahren. Damit sind die
Ergebnisse zwar portabel und auf älteren
PHP-Installationen lauffähig, im Gegenzug
aber auch etwas weniger sicher. Bei
WWW. ADmin-mAGAzin.D e
A D min
AuSGAbe 05-2011
75

SecuriT y
Phpass
einem »FALSE« versucht Phpass hingegen
zunächst immer erst Bcrypt heranzuziehen.
Web-2.0-Anwendungen, die Phpass
nutzen, erlauben häufig, diese beiden
Einstellungen entweder in einer Konfigurationsdatei
oder direkt in der Administrationsoberfläche
zu ändern. Über
das Objekt »$hasher« lässt man jetzt das
Passwort durchdrehen:
$passwort = "geheim123";
$hashwert = $hasher‐>HashPassword($passwort);
Der Hashwert in »$hashwert« wandert in
die Datenbank. Diese Zeichenkette enthält
übrigens nicht nur den eigentlichen
Hashwert, sondern auch gleich noch alle
Zusatzinformationen, die Phpass später
bei der Passwortprüfung benötigt:
$2a$08$zEIaPFIg...
Die beiden Zeichen hinter dem ersten
Dollarzeichen verraten die verwendete
Hashfunktion. Hier weist »2a« auf Bcrypt
hin. Die Zahl nach dem zweiten Dollarzeichen
gibt an, wie oft diese Hash-Funktion
hintereinander aufgerufen wurde (als
Listing 1: beispiel für den einsatz von phpass
01
Potenz von 2, im Beispiel also 2^8 = 256
mal). Anschließend folgt das Salt, dessen
Länge vom Hashverfahren abhängt, bei
Bcrypt ist es 16-stellig. Dahinter steht
schließlich der eigentliche Hashwert.
Das von »HashPassword()« ausgespuckte
Ergebnis ist immer mindestens 20 Zeichen
lang. Mit diesem Wissen kann man
ganz nebenbei prüfen, ob die Hashfunktion
erfolgreich war:
if (strlen($hashwert) < 20) echo "Hashing U
schlug fehl!";
Prüfung
Wenn sich der Benutzer später erneut am
System anmeldet, holt man den in der
Datenbank gespeicherten Hashwert, legt
ihn in einer Variablen ab, etwa »$passwortausdb«,
und startet die Prüfung:
$passwort = "geheim123";
$passwortausdb = holeHashAusDB();
$ergebnis = $hasher‐>CheckPassword($passwortU
, $passwortausdb);
Die Funktion »CheckPassword()« liefert
»TRUE« zurück, wenn die beiden Hashwerte
übereinstimmen und somit das
Passwort gültig ist. Listing 1 zeigt noch
einmal ein durchgehendes Beispiel, das
sich ohne Datenbank direkt aufrufen
lässt. Ein noch ausführlicheres Beispiel
liegt dem Phpass-Archiv in der Datei
»test.php« bei.
Horch, was kommt von
draußen rein
Phpass nimmt Entwicklern von Web-
Anwendungen einige Arbeit ab, ist aber
kein Allheilmittel. Ein vom Benutzer aus
Faulheit gewähltes Geburtsdatum als
Passwort kann man schlichtweg erraten,
da nützt dann auch kein noch so gutes
Hashing. Man sollte daher in der eigenen
Webanwendung alle eingegebenen
Passwörter auf ihre Länge und Qualität
abklopfen.
Zudem sollte man die Übertragung der
Passwörter via SSL absichern. Schließlich
nützt es wenig, wenn die Webanwendung
die Passwörter knacksicher verwahrt,
ein Lauscher aber die Kommunikation
zwischen Client und Server mitschneidet
und so das eingetippte Passwort im
Klartext abfängt.
Ein Angreifer könnte zu einem Benutzernamen
einfach alle möglichen Passwörter
durchprobieren. Um ihm dies zu
erschweren, kann man die Zeitspanne
zwischen zwei Anmeldeversuchen mit
jeder Fehleingabe künstlich erhöhen. Ein
normaler Benutzer, der sich nur dreimal
vertippt, bekommt davon nicht viel mit,
ein Programm, das systematisch mehrere
Hundert Passwörter nacheinander
durchprobiert, wird dadurch aber massiv
ausgebremst.
Letztlich ist Passwortsicherheit nur ein
kleiner Baustein einer sicheren Webanwendung.
Unter anderem gilt es, jede Benutzereingabe
auf Schadcode hin abzuklopfen
(Stichwort SQL-Injections [5]).
Fazit
Phpass verhilft einfach und schnell zu einem
sicher gehashten Passwort. Es ist in
der Praxis erprobt, von vielen Augen analysiert
und dank Public-Domain-Lizenz
kostenlos nutzbar. Hinter Phpass steckt
übrigens Solar Designer (alias Alexander
Peslyak), der auch für den bekannten
Passwort-Knacker John the Ripper verantwortlich
ist. Unter [6] gibt er noch
viele weitere Tipps für sichere Webanwendungen,
die über die Verwendung
von Phpass hinausgehen. (ofr) n
Infos
[1] Phpass:
[http:// www. openwall. com/ phpass/]
[2] Informationen zur Crypt-Funktion:
[http:// no2. php. net/ manual/ en/ function.
crypt. php]
[3] Wikipedia-Eintrag zu Bcrypt:
[http:// en. wikipedia. org/ wiki/ Bcrypt]
[4] Suhosin-Patch:
[http:// www. hardened-php. net/ suhosin/]
[5] Wikipedia-Eintrag zu SQL-Injections:
[http:// de. wikipedia. org/ wiki/ SQL-Injection]
[6] Ausführliche Anleitung zu Phpass und Passwort-Sicherheit:
[http:// www. openwall.
com/ articles/ PHP-Users-Passwords]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als
freier Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften
und auf Internetseiten in mehreren Ländern
veröffentlicht wurden.
76 AuSGAbe 05-2011 A D min WWW. ADmin-mAGAzin.D e

Alle AusgAben der letzten 12 MonAte
Sie haben ein admin verpaSSt? Kein problem!
bei uns können Sie alle ausgaben des admin magazin
der letzten 12 monate ganz einfach und versandkostenfrei
unter www.admin-magazin.de/einzelheft nachbestellen:
admin 05/2010 admin 06/2010 admin 01/2011
Ausverkauft, aber
als PDF verfügbar! Ausverkauft, aber
als PDF verfügbar!
admin 02/2011 admin 03/2011 admin 04/2011
damit Sie keine ausgabe mehr verpassen,
bestellen Sie am besten gleich ein abo
vom admin magazin und sparen:
Telefonisch unter: 07131 / 2707 274,
per Fax: 07131 / 2707 78 601 oder
E-Mail: abo@admin-magazin.de,
Web: www.admin-magazin.de/abo

s ecurity
securedrive
Das sicherste Speichergerät der Welt
SSD 007
ein externer datenspeicher, der sich selbst zerstört, wenn datendiebe
darauf zugreifen wollen? was nach einem geheimdienst-gadget aus dem
Labor von James bonds „Q“ klingt, können auch nicht-Agenten auf dem
freien markt erwerben. Oliver Frommel
© kamphi, 123RF
Als sicher angepriesene Massenspeicher
gibt es viele. Da sind einmal die beliebten
USB-Sticks mit Verschlüsselung, die
ihre Daten nur nach dem Eintippen eines
geheimen Schlüssels wieder freigeben.
Für größere Datenmengen gibt es SSD-
Drives, die ebenfalls mit starker Kryptographie
versuchen, die gespeicherten
Daten zu schützen. So bietet beispielsweise
Digittrade eine SSD mit 128 GByte
Speicherkapazität an, die Daten per 256-
Bit AES-CBC-Standard verschlüsselt und
legitime Benutzer über eine zweistufige
Authentifizierung durch Smartcard und
eine achtstellige PIN verifiziert [1]. Was
aber passiert, wenn ein solches Gerät in
die falschen Hände gerät?
Diese Frage haben sich auch die Entwickler
der Securedrives [2] gestellt, die
noch einen entscheidenden Schritt weiter
gehen: Sie statten ihre SSD-Speicher mit
Sensoren und einem Selbstzerstörungsmechanismus
aus, der jeden unautorisierten
Zugriff endgültig verhindern soll.
Der Hersteller preist sein Produkt als der
Welt sicherstes Speichergerät an (Ab-
Abbildung 1: Das angeblich sicherste Speichergerät der Welt.
bildung 1). Es besitzt Schnittstellen für
USB 3.0 und eSATA bei einer Datenrate
von bis zu 6 Gbps über SATA-3. Wie
das Digittrade-Gerät verwendet es AES-
CBC-Verschlüsselung mit 256 Bit, die ein
Krypto-Prozessor übernimmt, der nach
dem amerikanischen Standard FIPS 140-2
zertifiziert ist [3]. Der zugehörige PIN-
Code für den Zugriffsschutz darf zwischen
acht und 20 Stellen lang sein.
Zum Backup lassen sich zwei Securedrives
ohne weitere manuelle Eingriffe
über das vom Hersteller sogenannte Zero
Touch Backup synchronisieren. Auch bei
der Datenübertragung, die bis zu etwa
130 Mbps schnell ist, kommt wieder
AES-Verschlüsselung zum Einsatz. Das
erfordert allerdings neben einem zweiten
Securedrive noch eine separate Docking-
Station.
Der Clou des Securedrive ist aber seine
Fähigkeit, sich selbst zu zerstören, wenn
es in die falschen Hände gerät. Hierbei
bietet das Gerät mehrere Möglichkeiten.
Der Selbstzerstörungsmechanismus kann
zum Beispiel starten, wenn die Anzahl
der Fehlversuche
bei der Eingabe
des PIN-Codes
einen Wert überschreitet,
den der
legitime Besitzer
vorher festgelegt
hat – möglich sind
hierbei zwischen
zwei und acht
Fehlversuche.
Eingebaute Sensoren
versuchen außerdem
zu erkennen,
ob jemand
das Securedrive
gewaltsam öffnet. Stellen sie das fest,
beginnt die Selbstzerstörung. Da diese
Sensoren logischerweise Strom benötigen,
aber die eingebauten Batterien irgendwann
leer sind, haben die Entwickler
auch diese Lücke geschlossen: Ist das
Gerät entsprechend konfiguriert, zerstört
es sich auch kurz vor dem endgültigen
Stromausfall selbst!
Schließlich bietet das Securedrive auch
noch die Möglichkeit, ein GSM-Funksignal
zu tracken, um den eigenen Aufenthaltsort
zu bestimmen. Verliert es
das Signal, weil ein Dieb es ins Auto
packt und damit davonrast, leitet es die
Selbstzerstörung ein. Alternativ lässt sich
die Selbstzerstörung auch aktiv per GSM
starten.
Selbstzerstörung
Das Unbrauchbarmachen des Securedrive
geschieht nach Herstellerangaben innerhalb
von 300 Millisekunden und läuft in
vier Schritten ab:
n das Securedrive ändert den gespeicherten
Schlüssel, was im Fall des
Falles die nachträgliche Wiederherstellung
des Originalschlüssels erschweren
soll.
n die Partitionstabelle der SSD wird mit
weißem Rauschen überschrieben.
n die eingebauten NAND-Bausteine werden
physisch zerstört! (Abbildung 2,
Abbildung 3). Das soll verhindern,
dass die Speicherbausteine ausgebaut
und in einem anderen Board ausgelesen
werden können.
n auch der Security-Controller wird physisch
zerstört.
Die Preise für das Securedrive bewegen
sich zwischen 375 englischen Pfund für
C
M
Y
CM
MY
CY
CMY
K
78 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

securedrive
s ecurity
nur starke kryptographische Methoden,
sondern auch einen Selbstzerstörungsmechanismus,
der jeden nachträglichen
Zugriff auf die gespeicherten Daten unmöglich
machen soll.
Wer das Gerät entsprechend konfiguriert,
sagt seinen Daten auch dann Lebewohl,
wenn die Batterie zur Neige geht. Ein
solches Maß an Sicherheit ist nicht in jedem
Fall angebracht und hat auch seinen
Preis. (ofr)
n
Abbildung 2: Im Ernstfall zerstört das Securedrive
seine NAND-Speicherbausteine und macht damit
jede Wiederherstellung unmöglich.
die Basis-Version und 420 Pfund für die
Ausführung, die sich auch remote zerstö-
Abbildung 3: Nahaufnahme eines zerstörten
Speicher-Chips.
ren lässt. Im letzteren Fall kommt dazu
noch ein Mobilfunkvertrag, der für 18
Monate 83 Pfund kostet.
Fazit
Der Hersteller preist sein Securedrive
als die sicherste Speichertechnologie
der Welt an. Dazu verwendet er nicht
Infos
[1] Digittrade HS256:
[http:// www. digittrade. de/ shop/
product_info. php/ info/ p323_DIGITTRA‐
DE‐HS256‐128‐GB‐SSD‐High‐Security‐externe‐HDD‐AES‐256‐‐‐Acronis‐Backup‐Software.
html]
[2] Securedrive: [http:// www. securedrives. co.
uk/ products/ psd‐series‐external‐hardrive/]
[3] FIPS 140‐2: [http:// csrc. nist. gov/
publications/ fips/ fips140‐2/ fips1402. pdf]
SCHEDULE OUT NOW!
This years conference topics:
- Mobile computing and communications
- IPv6 (yes, again!)
- Security management and IT governance
- Cloud computing and virtualisation
- Security intelligence
- Topics that have a high impact on IT security
- Design flaws ("defective by design")
WORKSHOPS
CONFERENCE
TH
TH
NOV 15 -16
TH
TH
NOV 17 -18
IN-DEPTH SECURITY

Know-How
Citrix Xenserver
Charles Taylor, 123RF
Automatisierung der Installation von Citrix Xenserver
Automatik
mithilfe weniger basistechnologien lässt sich auch bei der installation des kommerziellen Xenserver-Hypervisors
ein guter Automatisierungsgrad erreichen. mike Adolphs
In hochvirtualisierten Umgebungen
wird oft viel Aufwand für die automatisierte
Installation und Konfiguration
virtueller Maschinen betrieben. So genannte
Konfigurationsmanagement-Tools
wie FAI, Puppet oder Chef haben dabei
diese Aufgabe in den letzten Jahre grundlegend
verändert. Vorbei sind die Zeiten
der „ssh’schen for-Schleife“, heute findet
die Konfiguration von Servern hauptsächlich
im zentralen Subversion- oder Git-
Repository statt.
Dagegen hat sich bei der Installation und
Konfiguration kommerzieller Hypervisoren
auf technischer Ebene wenig getan.
Dennoch lässt sich auch hier mittels
weniger Infrastrukturdienste ein hoher
Automatisierungsgrad erreichen. Dieser
Artikel erklärt, wie Sie Citrix Xenserver
automatisch über einen Server verteilen.
Das Ziel, die Serverinstallation ohne Benutzerinteraktion
abzuschließen, lässt
sich beim Xenserver durch mehrere
Dienste und Protokolle erreichen. Die
notwendigen Elemente hierfür sind ein
DHCP-Server zur automatischen Netzwerkkonfiguration
des Clients sowie ein
TFTP-Server zur Auslieferung eines minimalen
Kernels und der Installationsroutine.
Zusätzlich wird ein NFS-, FTP- oder
HTTP-Server vorausgesetzt, der die zu
installierenden Dateien bereitstellt. Hierfür
ist ein Xenserver-Installationsmedium
erforderlich, das es auf der Xenserver
Website [1] gibt. Dabei ist es unerheblich,
ob die einzelnen Dienste auf unterschiedliche
Server im Netzwerk verteilt oder
alle Dienste zentral von einem Server aus
bereitgestellt werden.
Grundvoraussetzung auf Hardware-Ebene
ist eine PXE-bootfähige (Preboot Execution
Environment [2]) Netzwerkkarte
oder ein Onboard-Netzwerkinterface, bei
dem der PXE-Code bereits Bestandteil
des System-BIOS ist. Dies ermöglicht es
dem Server, beim Starten eine IP-Adresse
vom DHCP-Server zu beziehen und im
Anschluss von einer externen Ressource
zu booten (Abbildung 1).
DHCP-Server-Installation
Als DHCP-Server bietet sich der ISC
DHCP-Server [3] an, der sich auf RPMbasierten
Distributionen mittels »rpm -hvi
dhcp« oder auf Debian-Distributionen via
»apt-get install dhcp3-server« installieren
lässt. Das zu bindende Interface für den
DHCP-Server wird bei Red Hat und dessen
80 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de

Citrix Xenserver
Know-How
Derivaten durch »/etc/sysconfig/dhcpd«
bestimmt. Debian und Ubuntu fragen bei
der Installation explizit nach. Dort befindet
sich die entsprechende Konfiguration
unter »/etc/default/dhcp3-server«.
Die Konfigurationparameter des Servers
stehen in der Datei »/etc/dhcp/dhcpd.
conf« respektive »/etc/dhcp3/dhcpd.
conf«. Im Hinblick auf den angestrebten
PXE-Boot sind die folgenden drei Direktiven
wichtig:
n »allow bootp« sorgt für die notwendige
Unterstützung des Bootstrap-
Protokolls.
n »next-server« definiert den im Bootstrap-Prozess
als Nächstes zu kontaktierenden
Server, der die initiale Datei
zum Booten ausliefert.
n »filename« gibt den Dateinamen des
zu bootenden Kernels an.
Aufgrund der Komplexität der DHCP-
Konfiguration und der Abhängigkeit von
der Netzwerkstruktur ist es schwierig,
ein Patentrezept zur Konfiguration zu
geben. Beispielsweise wäre es möglich,
die PXE-bootenden Clients zu gruppieren
oder in eine eigene Klasse auszulagern
wie in Listing 1 beschrieben.
Klassen sind beim DHCP-Server vor
allem in heterogenen Netzwerken von
Vorteil. In homogenen Umgebungen, in
denen der DHCP-Server zudem mehrere
IP-Adressbereiche und VLANs verwaltet,
bietet es sich an, die Konfiguration in
»shared-network«-Blöcke zu unterteilen.
Hier gilt es, die Konfiguration global
zu strukturieren und die »next-server«-
Direktive in den entsprechenden Block
für alle Hosts des gleichen Netzes unterzubringen.
Die Konfiguration-Syntax können Sie
mit
/usr/sbin/[dhcp|dhcp3] ‐t ‐cf U
/etc/[dhcp|dhcp3]/dhcpd.conf
testen. Kontrolle über den Dämon ermöglicht
service dhcp [start|stop|restart]
oder
/etc/init.d/[dhcp|dhcp3‐server] U
[start|stop|restart]
Für das Einrichten des TFTP-Servers [4]
sind zwei Software-Pakete erforderlich.
Einerseits der TFTP-Server selbst, den
der Befehl »rpm -hvi tftp-server« res-
pektive »apt-get install tftpd« installiert.
Andererseits Syslinux, eine Sammlung
von Bootloadern, die sich über »rpm -hvi
syslinux« oder »apt-get install syslinux«
installieren lässt.
Die Konfiguration des TFTP-Daemons
befindet sich per default unter »inet.d«
beziehungsweise »xinet.d« und muss
zunächst mittels »disable = no« in
»/etc/xinetd.d/tftp« aktiviert werden. Der
Parameter »-s« informiert den Dienst über
das bereitzustellende Verzeichnis. Ein
entsprechender Eintrag der »/etc/inetd.
conf« unter Debian sähe beispielsweise
wie in Listing 3 aus.
Mittels »service xinetd [start|stop|restart]«
respektive »/etc/init.d/xinetd
[start|stop|restart]« oder »/etc/init.d/
tftpd-hpa [start|stop|reload]«, wenn der
»tftpd« als eigenständiger Dienst konfiguriert
ist, lässt sich der Dämon starten
und stoppen. Das grundlegende Setup
der benötigten Dienste ist somit abgeschlossen.
Installationsmedien
Zur Xenserver-Installation fehlen nun
noch die passenden Dateien. Zuerst erstellen
Sie die Verzeichnisstruktur und
legen im Hinblick auf mögliche Software-
Aktualisierungen passende Symlinks an.
Im Anschluss mounten Sie das Image.
Zuletzt kopieren Sie die benötigten Installationsdateien
vom gemounteten Image
in das Verzeichnis. Listing 4 zeigt die
dafür nötigen Schritte.
Liegen die Daten im Verzeichnis, müssen
Sie sich jetzt lediglich noch um deren
Erreichbarkeit kümmern. Am einfachsten
Listing 5: Apache Vhost
01
02 ServerName install‐xenserver.example.com
03 ServerAdmin webmaster@example.com
04 DocumentRoot /srv/install‐media/xenserver
05
06
07 Options FollowSymLinks Indexes
08 AllowOverride None
Listing 6: PXe-Konfiguration für manuelle installation
01 default xenserver
02 label XenServer
03 kernel mboot.c32
04 append xenserver‐5.6.1sp2/xen.gz dom0_max_
vcpus=2 dom0_mem=752M com1=115200,8n1 \
geschieht dies mittels HTTP, aber auch
NFS oder FTP sind gangbare Wege.
Zwecks initalem Test können Sie zu
Pythons »SimpleHTTPServer« greifen und
ihn im bereitzustellenden Verzeichnis auf
Port 80 starten:
Listing 1: PXe-Klasse
01 /etc/[dhcp|dhcp3]/dhcpd.conf
02 allow bootp;
03 class "pxeclients" {
04 match if substring(option vendor‐class‐identifier, 0,
9) = "PXEClient";
05 next‐server 10.42.10.42;
06 filename "pxelinux.0";
07 }
Listing 2: shared network
01 /etc/[dhcp|dhcp3]/dhcpd.conf
02 allow bootp;
03 filename "pxelinux.0";
04 shared‐network 42 {
05 subnet 10.42.0.0 netmask 255.255.0.0 {
06 next‐server 10.42.10.42;
07 }
08 }
Listing 3: »/etc/inetd.conf«
01 tftp dgram udp wait root /usr/sbin/
in.tftpd /usr/sbin/in.tftpd ‐s /srv/tftpboot
Listing 4: installationsdateien bereitstellen
01 mkdir /media/xs‐5.6.1sp2
02 mkdir ‐p /srv/install‐media/xs‐5.6.1sp2
03 mount ‐o loop XenServer‐5.6.100‐SP2‐install‐cd.iso /
media/xs‐5.6.1sp2
04 cp ‐R /media/xs‐5.6.1sp2/packages.* /srv/
install‐media/xs‐5.6.1sp2/
05 ln ‐s /srv/install‐media/xs‐5.6.1sp2 /srv/
install‐media/xenserver
09
10
11 LogLevel warn
12 ErrorLog /var/log/apache2/error.log
13 CustomLog /var/log/apache2/access.log
combined
14
05 console=com1,vga ‐‐‐ xenserver‐5.6.1sp2/vmlinuz
\
06 xencons=hvc console=hvc0 console=tty0 \
07 ‐‐‐ xenserver‐5.6.1sp2/install.img
www.A dmin-mAgA zin.de
Admin
AusgA be 04-2011
81

Know-How
Citrix Xenserver
Abbildung 1: Schematische Darstellung der Kommunikation zwischen PXE Client
und Server.
Abbildung 2: Mit wenigen Anpassungen an der PXE-Konfiguration lassen sich auch
Boot-Menüs erstellen.
cd /srv/install‐media/xenserver
nohup python ‐m SimpleHTTPServer 80 &
Für eine dauerhafte Installation bietet
sich beispielsweise der Apache-Webserver
an. Hierzu konfigurieren Sie einen
neuen Vhost, der die entsprechenden
Ressourcen unter einer URL wie »http://
install-xenserver.example.com«, bereitstellt.
Eine Beispielkonfiguration zeigt
Listing 5.
Damit die Xenserver-Installation überhaupt
startet, müssen Sie die beiden Da-
Listing 7: Rudimentäres Answer File zur automatisierten installation
01
02
03 sda
04 sdb
05 de
Listing 8: Vollautomatische installation
01 default xenserver
02 label XenServer
03 kernel mboot.c32
04 append xenserver‐5.6.1sp2/xen.gz dom0_max_
vcpus=2 dom0_mem=752M com1=115200,8n1 \
05 console=com1,vga ‐‐‐ xenserver‐5.6.1sp2/vmlinuz
Listing 9: PXe-menu-Konfiguration aus »pxelinux.cfg/menu«
01 default menu.c32
02 prompt 0
03 timeout 80
04 menu title PXE Boot Menu
05
06 label xenserver
07 menu label Citrix ^XenServer
08 kernel mboot.c32
09 append xenserver‐5.6.1sp2/xen.gz
watchdog com1=115200,8n1 console=com1,tty
‐‐‐ xenserver‐5.6.1sp2/vmlinuz root=/dev/
06 http://
install‐xenserver.example.com/
07 Europe/Berlin
08
\
06 xencons=hvc console=hvc0 console=tty0 \
07 answerfile=http://install‐xenserver.example.
com/answer_file \
08 install ‐‐‐ xenserver‐5.6.1sp2/install.img
ram0 console=tty0 console=ttyS0,115200n8
ramdisk_size=32758 answerfile=http://
install‐xen‐server.example.com/answer_file
install ‐‐‐ xenserver‐5.6.1sp2/install.img
10
11 label squeeze‐xen
12 menu label Debian Sq^ueeze Xen
13 IPAPPEND 2
14 append initrd=initrd.img‐2.6.32‐5‐amd64‐xen
root=/dev/nfs boot=live
15 kernel vmlinuz‐2.6.32‐5‐amd64‐xen
teien »mboot.c32« und »pxelinux.0« aus
»/usr/lib/syslinux« in das Verzeichnis
»/srv/tftpboot« kopieren. Im Anschluss
erstellen Sie ein neues Verzeichnis namens
»xenserver-5.6.1sp2« im »tftpboot«-
Verzeichnis, in das Sie die Dateien »install.img«,
»vmlinuz« und »boot/xen.gz«
aus dem Wurzelverzeichnis des Xenserver-Installationsmediums
kopieren.
In »/src/tftpboot« erstellen Sie danach
ein weiteres Verzeichnis namens »pxelinux.cfg«,
in dem die Konfiguration für
den PXE-Boot ihren Platz findet. Der Einfachheit
halber nennen Sie die Konfigurationsdatei
»default«. Mit der Konfiguration
aus Listing 6 wäre jetzt bereits eine
manuelle Installation ohne Einlegen des
Installationsmediums möglich.
Um die Installation vollständig zu automatisieren,
fehlt nur ein weiteres Element:
das so genannte Answer File. Diese
Datei enthält alle Konfigurationsparameter
im XML-Format, die andernfalls manuell
eingegeben werden müssten. Sie
wird wie die anderen zur Installation
gehörenden Dateien auch im Document
Root des Webservers gespeichert. Listing
7 zeigt eine Minimalausführung des Answer
File. Eine Übersicht der möglichen
Konfigurationsparameter liefert die Tabelle
1.
Wenn Sie das Answer File geschrieben
haben und es vom Webserver ausgeliefert
wird, müssen Sie nur noch die PXE-Konfiguration
in »/srv/tftpboot/pxelinux.cfg/
default« anpassen. Wie in Listing 8 zu
sehen ist, referenziert es nun das Answer
File und sorgt für eine vollständig automatisierte
Installation des Xenserver.
Weiterführende Tipps
Mit dem Element »script« im Answer File
lassen sich beliebige Skripte während
oder nach der Installation aufrufen. Weil
der Xenserver auf Cent OS 5 basiert und
dort die Shell in vollem Umfang zugänglich
ist, hat man hier alle Möglichkeiten,
die einem auch in einer klassische Linux-
Distribution zur Verfügung stehen.
So bietet es sich beispielsweise an, via
Skript die SSH Public Keys der Administratoren
auf dem Xenserver zu installieren
82 AusgA be 04-2011 Admin www.A dmin-mAgA zin.de

Citrix Xenserver
Know-How
Mit den hier vorgestellten Techniken lassen
sich Xenserver-Instanzen zentral verwalten
und auf Server im eigenen Netzoder
ihn ins Performance-Monitoring via
Munin aufzunehmen, statt die Graphen
im Xencenter zu überwachen. Per Skript
kann man auch leicht ein Root-Passwort
via »pwgen« erzeugen, es mit »passwd
--stdin« setzen und dann die Administratoren
benachrichtigen.
Generell gilt jedoch folgender Grundsatz:
so wenig Fremdsoftware in der Xen-Dom0
wie möglich. Die Hauptaufgabe einer
Dom0 besteht darin, virtuelle Maschinen
zu verwalten und nicht, DNS- oder
DHCP-Anfragen zu beantworten.
Per Default sind auf dem Xenserver alle
Cent-OS-spezifischen Repositories auskommentiert.
Das können Sie leicht beheben,
indem Sie zwei kleine Änderungen
in »/etc/yum.repos.d/CentOS-Base.
repo« vornehmen:
n Einkommentieren von »baseurl«
n »enabled« von 0 auf 1 ändern
Im Anschluss ist die Installation zusätzlicher
Software aus den Cent-OS-Repositories
ohne Weiteres möglich.
Per Default greift der Xenserver für Upgrades
auf die Repositories von Citrix zu.
Möchten Sie dies unterbinden oder die
Zugriffe über einen lokalen Proxy leiten,
müssen Sie »/ etc/yum.repos.d/Citrix.
repo« anpassen.
Auch beim PXE-Bootvorgang lässt sich
noch einiges verbessern. Um beispielsweise
mehr Auswahlmöglichkeiten zu
schaffen, bietet es sich an, einen Bootloader
mit Menü [6] einzubauen, Dieser erlaubt
beim Booten, das zu installierende
System zu wählen (Abbildung 2).
Im Verzeichnis »/srv/tftpboot« müssen
Sie hierfür zunächst den Kernel »mboot.
c32« gegen »menu.c32« aus »/usr/lib/
syslinux« tauschen. Im Anschluss passen
Sie den Dateinamen in der DHCP-Konfiguration
entsprechend an (Listing 9).
Möchten Sie die bestehende Konfiguration
im Verzeichnis »pxelinux.cfg« beibehalten
und die Konfiguration des Menüs
beispielsweise nach »pxelinux.cfg/menu«
auslagern, müssen Sie den DHCP-Server
dahingehend konfigurieren, dass die richtige
Konfiguration beim PXE-Boot geladen
wird:
option pxelinux.configfile U
"pxelinux.cfg/menu";
Fazit
werk verteilen. Dazu braucht es nicht
mehr als einige Standard-Protokolle wie
PXE, DHCP und TFTP. Dank der Skript-
Unterstützung steht Administratoren ein
flexibler Weg offen, solche Installationen
im Detail an die eigenen Wünsche anzupassen.
(ofr)
n
Infos
[1] ISC DHCP:
[https://www. isc. org/software/dhcp]
[2] PXE Wiki: [http://pxe.dev.aboveaverageurl.
com/index. php/ Main_Page]
[3] Citrix Xenserver: [http://www.citrix.de/
produkte/ xenserver/]
[4] tftp-hpa:
[http://freshmeat. net/projects/tftp-hpa/]
[5] Syslinux: [http://syslinux.zytor.com/]
[6] Pxelinux Bootmenu: [http://syslinux.zytor.
com/wiki/ index. php/PXELINUX#Custom_
Menu_Example_with_sub-menus]
Der Autor
Mike Adolphs ist Systemadministrator bei der
XING AG und sorgt dort unter anderem für
einen reibungslosen Betrieb der Ruby-on-Rails-
Applikationen. In seiner Freizeit erkundet er
seine Wahlheimat Schleswig-Holstein mit dem
Motorrad.
Tabelle 1: Konfigurationsparameter im Answer File
Parameter Beschreibung Benötigt
Bezeichnung des Massenspeichers, auf dem die Xenserver „Control Domain“ installiert wird, zum Beispiel »sda« Ja
oder »cciss/c0d0«. Attribut »gueststorage« (»yes« oder »no«) spezifiziert, ob der primäre Massenspeicher auch
virtuelle Maschinen umfasst, zum Beispiel »sda«
Bezeichnung des Massenspeichers zum Speichern der virtuellen Maschinen, zum Beispiel »sdb«
Konfiguration der Tastaturbelegung, zum Beispiel »de« oder »us«, etwa »de« Ja
Vordefiniertes Passwort für Root im Klartext. Wenn kein Wert vorhanden ist, erscheint ein Dialog zum Festlegen Nein
des Root-Passworts beim ersten Boot des Servers nach der Installation, Beispiel: foobar
Quelle der Installationsmedien, Attribut: »type« (»url«, »nfs« oder »local«), zum Beispiel »http://install-xenserver.example.com/«
Quelle von zusätzlichen Gerätetreibern, Attribut: type (»url«, »nfs« oder »local«), zum Beispiel »http://install-xenserver.example.com/drivers/«
Quelle für eigene Skripte, die während (»filesystem-populated«) oder nach (»installation-complete«) der Installation
Nein
ausgeführt werden sollen, Attribut: »stage« (»filesystem-populated« oder »installation-complete«), Attri-
but: »type« (»url«, »nfs« oder »local«), zum Beispiel »http://
install-xenserver.example.com/scripts/mail_admin.sh«
Spezifiziert das Netzwerkinterface für die Administration des Servers, Attribut: »proto« (»dhcp« oder »static«). Nein
Attribut: »name« (zum Beispiel »eth0«), Beispiel: »«
Konfiguration der Zeitzone im TZ-Format, zum Beispiel »Europe/Berlin« Ja
Konfiguration des zu benutzenden Nameservers, sofern nicht über DHCP vergeben, Beispiel: »8.8.8.8«
Spezifiziert den »hostname« des Servers, zum Beispiel »xensrv001« Nein
Spezifiziert, welcher Bootloader benutzt werden soll. Zurzeit stehen zur Auswahl: »extlinux« (Standard) oder
»grub«, zum Beispiel »extlinux«
Nein
www.A dmin-mAgA zin.de
Admin
AusgA be 04-2011
83

KnOw-HOw
Active directory
Überblick über Active Directory
Geordnet
Linux-Admins sehen sich gelegentlich unvermittelt mit Active directory konfrontiert, etwa wenn es darum geht,
Open-source-Lösungen mit einem vorhandenen Verzeichnisdienst zu verheiraten. dieser Artikel erklärt die
grundlagen und stellt neue Funktionen in Active directory 2008 R2 vor. Thomas drilling
Maksym Yemelyanov,123RF
Angesichts der Allgegenwärtigkeit von
Microsoft-Software im Unternehmen gerät
schnell in Vergessenheit, dass Windows
als Server-Betriebssystem noch in
den Neunzigerjahren praktisch keine
Rolle spielte. Hier dominierten Novell
Netware- und Mainframe-Lösungen, zum
Teil auch Unix-Systeme. Zwar besitzt
Windows seit der Einführung von NT
4 theoretisch Eigenschaften, die für den
Einsatz als Server-Betriebssystem unerlässlich
sind (Multiuser-Fähigkeit, Dateisystem
NTFS mit ACLs, Benutzerprofilen,
Rollen, Berechtigungssteuerung), aber
erst Windows 2000 mit dem Verzeichnisdienst
Active Directory machte das
Turnschuhbetriebssystem unternehmenstauglich.
Active Directory basiert wie
Novell Directory Services (NDS) nebst
Nachfolger eDirectory auf LDAP. Ein Verzeichnisdienst
kann die physische Unternehmensstruktur
im Intranet abbilden,
was enorme Vorteile in der Administration
mit sich bringt. Über ihn lassen sich
sämtliche Netzwerkresscourcen zentral
verwalten und die zentrale Authentifizierung
der Benutzer regeln. Dazu führt
er sämtliche Netzwerkressourcen in seiner
Datenbank, etwa Benutzer, Gruppen,
Dienste, Server, Workstations, Freigaben
und Geräte [1].
Stammbaum
Urvater aller Verzeichnisdienste ist LDAP
aus dem Jahr 1993. Im Grunde handelt
es sich bei LDAP nur um ein Protokoll,
das es seinerzeit erlaubte, standardisiert
auf eine DAP-Datenbank zugreifen zu
können, war also ursprünglich ein Frontend
für den X.500-Verzeichnisdienst. Da
X.500 als vollständiger OSI-Stack über
alle sieben Schichten implementiert ist,
ließ sich der X.500-Verzeichnisdienst
nicht flächendeckend implementieren.
LDAP basiert im Gegensatz zu X.500 auf
TCP/ IP, das sich im Lauf der Zeit als
Standard auch im Intranet etabliert hat.
LDAP fungierte dabei quasi als Proxy, der
zwischen X.500 und dem DAP vermittelt.
Mit der Zeit hat sich LDAP insoweit verselbständigt,
dass es als Fundament aller
modernen Verzeichnisdienste zum Einsatz
kommt. Gemeinsamer Nenner aller
Verzeichnisdienste ist, dass Informationen
in einer hierarchischen Struktur abgelegt
sind und LDAP als X.500-Abkömmling
objektorientierte Datenmodelle benutzt.
Somit gelten bei LDAP ähnliche Regeln
wie bei der objektorientierten Programmierung
mit Objekten und Klassen sowie
Mechanismen wie Vererbung und
Polymorphie.
Objekte und Relationen
Die zentrale Aufgabe jedes Verzeichnisdienstes
besteht im Abbilden der Objekte
im LDAP-Verzeichnisbaum und in der
Möglichkeit, solche Objekte miteinander
in Beziehung zu setzen. Ein Objekt im
LDAP-Verzeichnisbaum (DIT: Directory
86 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Active directory
KnOw-HOw
Information Tree) ist ein sogenannter
Verzeichniseintrag mit einem eindeutigen
Namen (DN) im DIT.
LDAP unterscheidet zwischen den Objekttypen
wie Organisational Unit (OU)
und Blattobjekten. Erstere dienen dem
Aufbau der eigentlichen Baumstruktur
und sind Container-Objekte, in denen
sich weitere Objekte erzeugen lassen.
Blattobjekte dienen zur Verwaltung der
eigentlichen Ressourcen im DIT, etwa
User ID (UID) oder Common Name (CN).
Die Bezeichnungen leiten sich aus vorgegebenen
Objektklassen und Schemas ab.
Ein Objekt ist eine im DIT zu verwaltende
Ressource.
Es gibt unterschiedlichste Typen von
Ressourcen, wie Container, Benutzer
oder Gruppen mit jeweils speziellen
Attributen, welche die Eigenschaften
von Objekten beschreiben. Sogenannte
Schemas fassen Objektklassen in Gruppen
zusammen. LDAP kennt eine Reihe
von Standard-Schemas. Zum Einfügen
von Objekten in den DIT benutzt man
sogenannte LDIF-Dateien, in denen der
Admin Objektklassen und Attribute mit
ihren Werten für ein zu erstellendes Objekt
einträgt. Mit LDIF-Dateien lassen
sich viele Objekte auf einmal erstellen.
Das Einspielen von LDAP-Dateien in den
DIT erfolgt mit »ldapadd«.
Bei einer OpenLDAP-Installation unter
Linux kann sich der Admin aus einer
Reihe mitgelieferter Standard-Schemas
bedienen, etwa zum Verwalten von Benutzern
und Gruppen für Posix-Konten,
Benutzern und Gruppen für Samba-Konten
oder Mail-Aliasen für Postfix. Häufig
dient LDAP auch zur Authentifizierung
von Benutzern, beispielsweise am IMAP-
Server oder für geschützte Bereiche am
Webserver. Zusammen mit Kerberos lässt
sich auch ein Single-Sign-On realisieren.
Was vorher geschah …
Im Microsoft-Universum spielen die Begriffe
Domäne und Domain Controller
eine zentrale Rolle. Die Domäne, wie sie
Microsoft definiert, hat nichts mit einer
DNS Domain zu tun, sondern ist eine
organisatorische Verwaltungseinheit in
Windows-Netzen, die bei Windows NT
die einfache Arbeitsgruppe durch ein sicheres
Konzept der Ressourcenverwaltung
im Netzwerk abgelöst hat.
In diesem Kontext ist eine Domäne laut
Microsoft ein lokaler Sicherheitsbereich
mit zentraler Verwaltung der Ressourcen
und stellte außerdem seinerzeit eine
administrative Grenze dar. Ein Domain
Controller (DC) ist dabei ein Server zur
zentralen Authentifizierung und Autorisierung
von Benutzern und Computern
und Benutzern im Netz. In einem Netzwerk
mit Domain Controller lassen sich
Rechner mit dem Betriebssystem Windows
NT und Folgeversionen (dazu gehören
als Clients auch XP, Vista und 7) zu
einer Domäne zusammenschließen.
Zentralisiert
Im Gegensatz zu den Workgroups von
Windows 9x legt der Administrator am
Domain Controller zentral Benutzer und
Gruppen fest [2]. Jede Änderung gilt
dann für alle Computer, die Mitglied der
Domäne sind. Bei Windows NT gab es
immer nur einen sogenannten primären
Domänencontroller (PDC), der das alleinige
Schreibrecht in der Domäne besaß.
Seine Datenbank replizierte er optional
auf einen oder mehrere Backup Domain
Controller (BDC), die eine nur lesbare
Sicherheitskopie der User- und Anmeldedaten
enthielten und regelmäßig vom
PDC aktualisiert wurden.
BDC dienten allerdings nicht nur dazu,
im Failover-Fall zum PDC heraufgestuft
zu werden, sondern fungierten im Regelbetrieb
als vollwertiger DC für alle Anfragen,
bei denen Lesezugriff ausreichte.
Diese recht übersichtliche Struktur mit
nur einem primären Domänencontroller
pro Domäne führte über die Zeit bei großen
Netzen zu einem unkontrollierbaren
Domänen-Wildwuchs mit gezwungenermaßen
flacher Struktur. Unternehmen
konnten damit ihre meist hierarchische
Struktur nicht in der Organisation ihres
Netzwerks abbilden.
Gab es mehrere Standorte oder Subunternehmen
mit jeweils eigenen Domänen,
ließen sich zwar Vertrauensstellungen
zwischen Domänen herstellen, die daraus
resultierende Struktur glich aber
eher einem Spinnennetz als einem geordnetem
Verzeichnisbaum, wie ihn LDAP
oder AD vorsehen. Das Active Directory
übernimmt allerdings deutlich mehr Aufgaben
als LDAP in den meisten Unix-
Umgebungen. Neben Benutzerkonten
und Authentifizierungsdaten speichert
das AD nämlich sämtliche Eigenschaften
und Attribute einer oder mehrerer
Domänen.
Das mit Windows 2000 eingeführte Active
Directory ermöglichte es dem Windows-
Administrator erstmals, Domänen mit
einer hierarchischen Struktur anzulegen,
wozu unter anderem der Domain Name
Service (DNS) zum Einsatz kommt. Das
Active Directoy kann mit der Unternehmenshierarchie
und Netzstruktur mitwachsen,
basiert aber trotzdem nicht auf
einer Cluster-Architektur, sondern auf einem
intelligenten Replikationsmechanismus
zwischen den verschiedenen Typen
von Domänencontrollern, die Strukturmerkmale
wie die Netztopologie samt
Subnetzen oder Standorte kennen.
Das Active Directory besteht organisatorisch
aus drei Bestandteilen, nämlich
Schemas, Konfigurationen und Domänen.
Das Schema ist wie bei LDAP
ein Template für alle Active-Directory-
Einträge (Benutzer, Rechner, Drucker)
und definiert Objekttypen nebst deren
Klassen und Attributen, aber auch die
Attributsyntax und wird von allen Domänencontrollern
einheitlich verwendet.
Welche Objekttypen im Active Directory
verfügbar sind, kann der Admin durch
das Definieren neuer Typen beeinflussen,
wozu er wie bei LDAP gegebenenfalls ein
neues Schema mit Objekten und Attributen
definiert. Eine Konfiguration bedeutet
im Microsoft-Vokabular die Struktur
C13
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
87

KnOw-HOw
Active directory
Abbildung 1: Beim Heraufstufen zu einem Domänencontroller hat
der Admin die Wahl, ihn als zusätzlichen Domain Controller für einen
existierenden AD-Forest zu verwenden oder einen komplett neuen
Directory-Tree aufzusetzen.
des Active-Directory-Forest mit all seinen
Bäumen. Die Domäne schließlich speichert
die eigentlichen Informationen über
alle in der Domäne erstellten Objekte.
Hinsichtlich der Replikation ist wichtig,
dass nur Schemas und Konfigurationen
zwischen allen Domänencontrollern repliziert
werden. Die Grenze einer vollen
Domänen-Replikation ist die Domäne
selbst.
Im Gegensatz zu Windows NT gib es
aber nur einen sogenannten globalen Katalog,
der eine wichtige Rolle im Active
Directory spielt. Der globale Katalog ist
die Menge aller Objekte in einer AD-Gesamtstruktur.
Ein globaler Katalogserver
ist ein Domänencontroller, der eine vollständige
Kopie aller Objekte im Verzeichnis
für die dazugehörige Host-Domäne
sowie eine schreibgeschützte Teilkopie
aller Objekte für alle anderen Domänen
in der Gesamtstruktur speichert. So gab
es bei Windows 2000 beispielsweise das
Problem, dass Schema-Updates stets zu
einer Re-Ininitialisierung des globalen
Katalogs führten. Im Gegensatz zu Windows
NT besitzen nämlich ab Windows
2000 alle Domänencontroller im AD eine
beschreibbare Kopie der Active Directory-
Datenbank. Das Ändern eines Attributs
auf einem der DCs wird in regelmäßigen
Abständen auf alle anderen DC repliziert,
damit sich alle DCs, abgesehen von den
sogenannten Betriebsmaster-Funktionen
auf dem gleichen Stand befinden. Solche
Flexible Single Master Operations (FSMO)
sind im Microsoft-Vokabular
spezielle Aufgaben für Domain
Controller, die sich
zwar auch auf verschiedene
Server verteilen lassen, aber
nicht auf mehreren Servern
gleichzeitig zur Verfügung
stehen dürfen. Beim AD ist
der Ausfall eines DC unproblematisch
für die Active Directory-Datenbank,
weil aufgrund
der Redundanz keine
Informationen verloren gehen
können. Lediglich beim
Ausfall eines Betriebsmasters
muss der Admin schnellstmöglich
die FSMO-Rollen an
einen oder mehrere andere
DCs zuweisen.
Übrigens kann nicht nur ein
Windows-Server einen AD-
Verzeichnisdienst zur Verfügung stellen,
auch ein Linux-Server mit Samba 4 ist
dazu in der Lage. Ab Microsoft Windows
Server 2008 hat Microsoft zudem das
Konzept des Read Only Domain Controller
(RODC) eingeführt, welches im Prinzip
an den Backup Domain Controller
von Windows NT erinnert. Der RODC ist
ein Domain Controller ohne Schreibberechtigung
und ohne sicherheitsrelevante
Daten und lässt sich damit an potenziell
unsicheren Standorten nutzen.
Hierarchie
Die Hierarchie der Active-Directory-Datenbank
ist anders strukturiert als bei
LDAP. Beim AD steht an der Wurzel des
Verzeichnisdienstes der Active Directory
Forest, der die Gesamtstruktur sämtlicher
Objekte im AD inklusive der zugehörigen
Attribute, Regeln und Container enthält.
Der Wald kann mehrere transitiv verknüpfte
Bäume enthalten, wobei jeder
Baum eine oder mehrere Domänen in je
einem Verzeichnis verwaltet, die in der
Hierarchie ebenfalls transitiv verknüpft
sind [4].
Dabei benutzt das Active Directory zur
Benennung der Domänen das DNS-
System mit seinem definierten Namensraum.
In der Domäne gibt es wiederum
Organisationseinheiten (OU). Das sind
Container-Objekte zum Gruppieren anderer
Objekte im AD. Eine OU kann neben
Objekten auch andere OUs enthalten. Ein
weiteres Organisationsmerkmal im Active
Directory sind Standorte, eine physische
Gruppierung eines oder mehrerer logischer
IP-Subnetze. Standorte dienen im
AD vor allem der Optimierung der Replikation,
weil sie physisch mit unterschiedlichen
Unternehmensstandorten korrespondieren,
die untereinander durch langsame
Netzwerktechnologien wie WAN
oder VPN verbunden sind. Dabei können
Domänen Standorte enthalten, aber auch
Standorte Domänen.
Die Planung der AD-Struktur ist entscheidend
für die Funktion des Verzeichnisdienstes,
insbesondere weil spätere Änderungen
einen hohen Aufwand bedeuten.
In der Praxis hat sich eine Aufteilung
nach geografischen Standorten, Aufgaben
oder IT-Rollen beziehungsweise eine
Kombination aus diesen Modellen bewährt.
Weitere Bestandteile
Active Directory basiert nicht nur auf
LDAP und DNS, sondern auch auf CIFS
und Kerberos. Bei CIFS handelt es sich
um ein Protokoll für Druck- und Dateidienste,
das in der Unix-Welt beispielsweise
von Samba implementiert wird.
Kerberos dient im AD zur Authentifizierung
und vergibt dazu Ticket Granting
Tickets (TGT). Ein TGT autorisiert einen
Benutzer zum Erhalt eines Service
Tickets für einen Netzwerkdienst. Der
gesamte Authentifizierungs-Vorgang läuft
dabei nach einmaliger Passwortabfrage
im Hintergrund ab.
Microsofts DNS-Implementierung nutzt
SRV-Records. Mit dem SRV-Service (Service
Resource Records) lässt sich über
das DNS kommunizieren, welche IPbasierenden
Dienste (Services) in einer
Domain angeboten werden. Außerdem
liefert der SRV-Record zu jedem Dienst
zusätzliche Informationen wie etwa den
betreffenden Server-Namen.
Active Directory speichert sämtliche Informationen
in einer Jet-Blue-Datenbank,
die der Microsoft Jet Engine entstammt,
einem transaktionsorientierten relationalen
RDBMS, das Write-Ahead-Logging
benutzt. Die Datenbankdatei »NTDS.DIT«
enthält die drei Haupttabellen »schema
table« zum Speichern der Schemas, »link
table« für die Objekt-Struktur und »data
table« für die eigentlichen Daten. Dabei
88 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Active directory
KnOw-HOw
ADFS): Windows Server 2008 verwendet
ADFS zur webbasierten Authentifizierung
von Benutzern, die sich
außerhalb der ADDS-Infrastruktur
befinden.
n Active Directory Rights Management
Services (Active Directory Rechteverwaltungsdienste,
ADRMS): Die
ADRMS stellen kryptografische Methoden
zum Schutz der AD-Ressourcen
zur Verfügung.
n Active Directory Certificate Services
(Active Directory-Zertifikatsdienste,
ADCS): Die ADCS stellen eine Public-
Key-Infrastruktur bereit.
Zum Bearbeiten der Attribute des Schemas
diente bis Windows Server 2003
ausschließlich die Microsoft Management
Console (MMC). Mit Windows Server
2008 R2 hat Microsoft mit dem AD-
Verwaltungscenter ein leistungsfähigeres
Werkzeug eingeführt, das den Anforderungen
in Enterprise-Umgebungen mit
vielen Domänen besser gewachsen ist.
Außerdem hat Microsofts Skriptsprache
Powershell über die Jahre an Bedeutung
gewonnen, auch in Bezug auf die Zusammenarbeit
mit dem AD, sodass heute eine
ganze Reihe leistungsfähiger Kommandozeilen-Tools
dafür bereitstehen. Darüber
hinaus gibt es zahllose von Administratoren
entwickelte Skripte sowie externe
Tools und Kommandos wie etwa [5].
Microsoft hat seinem Verzeichnisdienst
von Anfang mit einer Reihe interessanter
Funktionen ausgestattet, die nicht unmitsorgt
die ESE98-Datenbank-Engine (Extensible
Storage Engine) dafür, die hierarchischen
AD-Daten in ein relationales
Datenmodell umzusetzen.
AD einrichten
Eine AD-Domäne lässt sich einrichten,
indem man einen Domänencontroller
aufsetzt. Das geschieht entweder schon
bei der Installation des Windows-Servers
oder durch Heraufstufen eines gewöhnlichen
Member Servers mit dem Tool
»dcpromo.exe« (Abbildung 1). Wurde
die Domäne einmal erstellt, lassen sich
weder der Server noch die Domäne wieder
umbenennen. Das Ändern des Server-Namens
funktioniert nur nach dem
Herabstufen mit »dcpromo.exe«, was bei
Windows 2000 stets mit dem Verlust aller
aktuellen Einstellungen und Benutzerkonten
einherging.
Wer einen neuen Windows Server aufsetzt,
kommt durch Auswahl einer Server-
Rolle automatisch in den Genuss einer
funktionierenden Grundstruktur für das
AD. Außerdem unterstützen die Arbeitsplatzbetriebssysteme
XP, Vista und 7 die
Anmeldung am AD. Übrigens heißt Microsofts
Verzeichnisdienst ab Windows
Server 2008 offiziell Active Directory
Domain Services (ADDS). Serverseitig
stehen auf einem aktuellen Windows Server
2008 folgende Rollen im Kontext des
Active Directory zur Verfügung (Abbildung
2):
n Active Directory Domain Services
(Active Directory Domänen Verzeichnisdienst,
ADDS): Die aktuelle Version
des ursprünglichen Verzeichnisdienstes
AD spielt die zentrale Rolle für
Microsofts Domänen- und Ressourcenverwaltung.
n Active Directory Lightweight Directory
Services (Active Directory Lightweight
Verzeichnisdienst, ADLDS):
Eine funktional eingeschränkte Version
des ADDS zum Anbinden von
Anwendungen oder Diensten, die auf
LDAP-konforme Informationen aus
dem Verzeichnis angewiesen sind.
Diese Rolle wurde erstmals in Windows
Server 2003 implementiert, hieß
aber dort Active Directory Application
Mode (ADAM).
n Active Directory Federation Services
(Active Directory Verbunddienste,
telbar mit der Kerntechnologie zu tun
haben. Dazu zählen die sogenannten
Gruppenrichtlinen (GPO), die sich im
Active Directory mit Standorten, Domänen
und Organisationseinheiten (OU)
verknüpfen lassen. Gruppenrichtlinien
bilden ab Windows 2000 das Fundament
einer benutzerfreundlichen Verwaltung
von Rechten und lösten die Kombination
von Konten und Systemrichtlinien bei
Windows NT ab. Letztere ließen sich
nämlich nur auf Domänen-Ebene anwenden,
und die jeweiligen Einstellungen
waren permanent im Benutzerprofil
beziehungsweise Computer und damit
in der Registry gespeichert. Damit gab
es bei Systemrichtlinien auch kein Policy
Tattoing, der entsprechende Registry-
Eintrag blieb also für immer vorhanden.
Daran änderte selbst das Löschen der
Datei »ntconfig.pol« nichts, weil sie in
der Registry des jeweiligen Objekts eingetragen
war.
Systemrichtlinien wirkten sich stets auf
Benutzer, Sicherheitsgruppen und Computer
aus und galten zudem als unsicher,
weil sie jeder Benutzer mit Zugriff
auf die Registry editieren konnte. Mit
Gruppenrichtlinien lassen sich Server
und Clients komfortabel konfigurieren,
unter anderem weil sie die jeweilige
Hardware, Systemrolle und den Benutzertyp
berücksichtigen.
Mit Windows Server 2003 spendierte
Microsoft seinem Serverbetriebssystem
dann ein leistungsfähiges grafisches
Abbildung 2: Auswahl der entsprechenden Server-Rollen im Servermanager bei der Installation.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
89

KnOw-HOw
Active directory
Server 2008 erstmals umfangreiche Verwaltungsfunktionen
über die Powershell.
Highlight von Windows-Server 2008 ist
aber die erwähnte »Gruppenrichtlinienverwaltungskonsole
(GPM)«, die das zentrale
Verwalten von Clients und Servern
fest im Betriebssystem verankert.
Außerdem hält Windows Server 2008 ein
Schmankerl für Unternehmen parat, die
sich immer noch nicht vom alten WINS-
Dienst zur lokalen Namensauflösung
trennen können. So kennt die überarbeitete
DNS-Version in Windows Server
2008 Global Name Zones, die eine zonenübergreifende
Auflösung von Kurznamen
ermöglichen.
Windows Server 2008 R2
Abbildung 3: Den Gruppenrichtlinieneditor hat Microsoft bereits mit Windows Server 2003 eingeführt.
Group Policy Management Tool, die
Gruppenrichtlinienverwaltungskonsole
(Abbildung 3).
Bis zu Windows Server 2008 R2 hat Microsoft
Active Directory stetig weiterentwickelt
und dabei Erfahrungen aus dem
Einsatz in Großunternehmen einfließen
lassen. So durften etwa bei Windows
2000 Gruppen nur maximal 5000 Mitglieder
haben, weil der Replikationsmechanismus
nicht besonders gut für den Einsatz
in Großunternehmen geeignet war.
Der Grund für die Größenbeschränkung
lag darin, dass ein Windows 2000 Domänencontroller
immer sämtliche Gruppen
auf einmal replizierte, was zu einer Belastungsobergrenze
der Datenbank führte.
Erst Windows Server 2003 kennt die sogenannte
Linked Value Replication, bei
der der DC nur noch die Änderungen
repliziert. Außerdem enthielt Windows
Server 2003 zahlreiche weitere Verbesserungen
im Algorithmus zur Berechnung
der Replikationstopologie. So muss Windows
Server 2003 beispielsweise nicht
mehr sämtliche Sicherheitseinstelllungen
mehrfach mit jedem AD-Objekt speichern,
sondern bedient sich intelligenter
Verknüpfungen, was die Datenbankgröße
im AD minimiert. Weiter ermöglichte
Windows Server 2003 erstmals strukturübergreifende
Vertrauensstellungen, sogenannte
Forest Trusts.
Außerdem kann ein Windows Server
2003 DNS-Namensräume unabhängig
von Domänen-Grenzen replizieren. Zur
Vereinfachung der Administration erhielt
der Windows Server 2003 zusätzliche
Kommandotools, wie »DSquery« oder
»DGet« und kennt gespeicherte Abfragen
im MMC-Modul »AD-Benutzen und
Computer«. Windows Server 2008 basierte
bei Markteinführung gleich auf
dem SP1, damit das Sevice Pack für den
schon vorab veröffentlichten Client Vista
gleichzeitig erscheinen konnte, brachte
aber hinsichtlich des Active Directory nur
noch Detailverbesserungen wie den oben
erwähnten Read Only Domain Controller
(RODC). Der RODC repliziert Änderungen
nur auf sich selbst und gibt sie nicht
weiter. Außerdem enthält er eine lokale
Kopie des AD, aber ohne Benutzer- oder
Computerpasswörter.
Außerdem ermöglichte Windows Server
2008 erstmals ganz ohne Zusatztools
unterschiedliche Passwortrichtlinien für
unterschiedliche Nutzergruppen (Fine
Grained Password Policies). Darüber hinaus
ließ sich Active Directory bei Windows
Server 2008 wie alle anderen Server-Rollen
mithilfe des Servermanagers
einrichten und verwalten, der nebenbei
zahlreiche Verbesserungen an der Benutzeroberfläche
erfahren hatte. Mithilfe von
Active Directory Snap-Ins war es erstmals
auch möglich, Schnappschüsse des AD zu
jedem beliebigen Zeitpunkt zu erstellen.
Der Admin kann solche Snapshots vergleichend
auswerten oder mit ihrer Hilfe
Änderungen dokumentieren. Außerdem
implementierte Microsoft bei Windows
Die aktuelle Windows Server-Version
2008 R2 bietet zahlreiche interessante
und nützliche Funktionen für den Admin-Alltag,
darunter auch einige, die das
Active Directory betreffen, wie das neue
AD-Verwaltungscenter (Abbildung 4),
den Papierkorb für AD-Objekte oder den
Offline-Domänenbeitritt. Highlight ist das
neue AD-Verwaltungscenter.
Das neue AD Verwaltungscenter ist unabhängig
von der Management Console
und eine eigenständige Applikation, die
im Unterbau auf Powershell-Skripten basiert.
Besonders herauszustellen ist der
intuitiv bedienbare und flexible Navigationsbereich
links, mit dessen Hilfe der Admin
sehr schnell durch die AD-Struktur
navigieren kann.
Das alte MMC-Modul »AD-Benutzer und
Computer« startete mit der Navigation
stets beim Domänen-Knoten, sodass sich
die Benutzbarkeit im Prinzip auf eine Domäne
beschränkte. Beim neuen AD-Verwaltungscenter
lässt sich der Startpunkt
des Navigationsbereiches innerhalb des
gesamten Verzeichnisbaums frei definieren.
Zudem kennt der Navigationsbereich
zwei verschiedene Darstellungsarten. Neben
der traditionellen Konsolenansicht,
in der der Admin Knoten per Mausklick
ein- und ausblendet, gibt es auch eine
Listendarstellung.
Der größte Vorteil besteht aber darin, dass
sich die Anwendung der GUI nicht mehr
auf eine Domäne beschränkt, sondern
die gesamte AD-Struktur berücksichtigt.
Außerdem haben sich die Entwickler die
Effizienz beim Suchen und Navigieren in
90 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Active directory
KnOw-HOw
extrem großen Verzeichnissen verbessert.
So arbeitet die globale Suche ausschließlich
mit dem Navigationsknoten, der zum
Zeitpunkt der Benutzung im Navigationsfenster
eingeblendet ist. Gefundene Objekte
lassen sich via Mehrfachselektion
auf einmal bearbeiten, auch über Domänen-Grenzen
hinweg. Außerdem hat der
Admin die Möglichkeit, die Anzeige im
Detailbereich mithilfe aufgabenbasierter
Filter weiter einzugrenzen.
Papierkorb
Ebenfalls neu im Windows Server 2008
R2 ist der von vielen Admins bisher
schmerzlich vermisste Papierkorb für
AD-Objekte. Dieser macht es möglich,
gelöschte (als „tombstoned“ bezeichnete)
Objekte wiederherzustellen. Mit
dem neuen Papierkorb für AD-Objekte
kennzeichnet Windows Server das Objekt
vorerst nicht als tombstoned. Vielmehr
verbleibt es per Default 180 Tage im Papierkorb.
Erst nach Ablauf der Tombstone-Lifetime
entfernt Windows Server
sämtliche Backlinks. Allerdings taucht
der Papierkorb nicht in der grafischen
Oberfläche eines der verfügbaren grafischen
AD-Tools auf, sondern lässt sich
ausschließlich über das Cmdlet »Restore-
ADObject« bedienen.
Ein weiteres neues Feature im Active
Directory 2008 R2 ist der sogenannte Offline-Domänenbeitritt.
Bisher war nämlich
eine bestehende Netzwerkverbindung
unbedingte Voraussetzung, wollte sich
ein Client an einer AD-Domäne anmelden.
Problematisch ist das insbesondere
dann, wenn der Domänenbeitritt schon
während der Installation von Windows
Vista oder Windows 7 erfolgen sollte, das
Netzwerk aber nicht konfiguriert ist. Mit
dem neuen Offline-Domänenbeitritt kann
der Admin den Domänenbeitritt einfach
auf den Zeitpunkt des ersten Rechnerstarts
verschieben und die Installation des
Clients fortsetzen, wozu das Tool »djoin.
exe« dient, das eine Konfigurationsdatei
für den Client erstellt und Metadaten
für ein Computerkonto im AD anlegt.
Neben diesen bedeutenden Neuerungen
verfügt das AD-Modul für die Powershell
über eine große Anzahl neuer Cmdlets.
Eine Übersicht liefert:
Get‐Command *‐AD*
Abbildung 4: Das neue AD-Verwaltungscenter bietet neben der hierarchischen Ansicht auch eine flache
Listendarstellung des Directory-Tree.
Wer sich eine Übersicht sämtlicher neuer
AD-Funktionen im Windows Server
2008R2 verschaffen möchte, dem stehen
im MS Technet unter [3] etliche Step-by-
Step-Anleitungen zur Verfügung, die anhand
praktischer Beispiele mit den neuen
Funktionen vertraut machen.
Fazit
Ein Verzeichnisdienst ist unverzichtbar
für die Ressourcenverwaltung in großen
Netzen. Während das im Open-Source-
Umfeld verbreitete OpenLDAP zwar in
dieser Hinsicht unendlich flexibel ist, nutzen
die meisten Distributionen LDAP maximal
zum Authentifizieren von Posix-,
Cyrus oder Samba-Nutzern, gelegentlich
auch für Computerkonten. Eine Linux-
Distribution, die LDAP intensiv nutzt und
ein Domänen-Konzept mit zugehörigen
Rollen für Server und Clients umsetzt,
ist der im letzten Heft vorgestellte Univention
Corporate Server [6].
Bei Microsofts Server-Betriebssystem
spielt das Konzept der Domäne zur Verwaltung
sämtlicher Ressourcen im Unternehmens-Intranet
eine zentrale Rolle,
die sich zur Zeit seiner Entstehung durch
LDAP nur schwer füllen ließ. Seit Windows
2000 hat sich Active Directory stetig
weiterentwickelt und es in Windows
Server 2008 R2 unter der Bezeichnung
ADDS zu beachtlicher Reife gebracht, die
selbst das Verwalten hunderttausender
Objekte möglich macht. Besonders überzeugend
sind die grafischen Verwaltungswerkzeuge,
wenngleich selbst Microsoft
in jüngster Zeit wieder die Vorteile der
Kommandozeile entdeckt hat und die
neue Powershell zu einem zentralen
Werkzeug im derzeit fortschrittlichsten
Verzeichnisdienst erhebt. (ofr) n
Infos
[1] Active-Directory-Grundlagen: [http://
www. microsoft. com/ germany/ technet/
datenbank/ articles/ 600092. mspx]
[2] Gruppenrichtlinien-Forum: [http:// social.
technet. microsoft. com/ Forums/ de-DE/
gruppenrichtliniende/ threads]
[3] Step-by-Step-Guides zu neuen Funktionen:
[http:// technet. microsoft. com/ de-de/
library/ dd378801(WS. 10). aspx]
[4] Active-Directory-Architektur: [http://
technet. microsoft. com/ en-us/ library/
bb727030. aspx]
[5] Thirdparty-Tools: [http:// www. quest. com/
powershell/ activeroles-server. aspx]
[6] Thomas Drilling, Univention Corporate Server
im Test, ADMIN 03/ 2011, S. 106
Der Autor
Thomas Drilling ist seit mehr als zehn Jahren
hauptberuflich als freier Journalist und Redakteur
für Wissenschafts- und IT-Magazine tätig.
Er verfasst regelmäßig Beiträge zu den Themen
Open Source, Linux, Server, IT-Administration
und Mac OS X.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
91

Know-How
Cloud-Forensik
Neue Ansätze für die Forensik in Cloud-Umgebungen
Wolkige Aussichten
digifuture, 123RF
wie sicher sind die daten in der Cloud? sehr sicher, sagen die einen, denn hier rentieren sich spezialisten und
Hightech. Aber der Anwender verliert jede Kontrolle, sagen die anderen, denn die Cloud ist eine blackbox, und
auf die werbesprüche der Provider kann man nichts geben. dominik birk, Christoph wegener
Eigentlich liegt auf der Hand, dass computerforensische
Untersuchungen auch
oder gerade in einer Cloud nötig sind,
um das Risiko eines Angriffs zutreffend
zu beurteilen und sich gegen Angriffe
wirksam wappnen zu können. Doch
die Wissenschaft hat das Problem der
Forensik in Cloud-Umgebungen bisher
vernachlässigt. Interessanterweise hatten
einige Autoren bereits 2009 darauf hingewiesen
[1], und weitere Publikationen
[2,3] bestätigten das. Trotzdem wird
das Thema immer noch stiefmütterlich
behandelt, und es gibt nach wie vor gerade
im Bereich des Incident Handlings
in Cloud-Umgebungen noch jede Menge
Arbeit [8].
Gleichzeitig investieren viele Firmen bereits
massiv in neue Cloud-Umgebungen
und die Umstellung auf Dienste in der
Cloud. Sicherheits- und Datenschutz werden
zwar zunehmend diskutiert, stehen
aber oftmals hinter den scheinbaren Vorteilen
für den Anwender zurück.
Ein altes Problem der Forensik ist die
Tatsache, dass Beweisspuren im Allgemeinen
fragil und flüchtig sind. Gerade
bei der Erfassung von neuen Beweisen
muss man deshalb sehr darauf achten,
potenzielle Beweise nicht zu verändern
oder gar zu zerstören. Diese Problematik
ist nicht nur auf die digitale Welt beschränkt,
sondern gilt etwa auch für die
Gerichtsmedizin. Der Vorteil der digitalen
Beweiserfassung war bisher, dass der
Untersucher in vielen Szenarien vor der
Analyse der Beweise eine 1:1-Kopie des
Datenträgers erstellen konnte. Dadurch
konnte er wirksam verhindern, dass die
Analyse potenzielle Beweise zerstörte. In
Cloud-Umgebungen ist dies in aller Regel
aber nicht mehr so einfach.
Abhängig vom verwendeten Service-Modell
(SaaS, PaaS oder IaaS, für die Details
siehe [4]) und der Zusammenarbeit mit
dem Cloud Service Provider (CSP) kann
der Anwender zwar auf potenzielle Beweisquellen
zugreifen, die für eine Untersuchung
unbedingt notwendig sind.
Allerdings ist die Menge dieser Beweise
meist sehr beschränkt und verhindert
somit eine vollständige Aufklärung der
Tatumstände.
Ein weiteres Problem stellt der Kontext
der Beweismittel dar. Für den externen
Forensiker ist auf den ersten Blick vielleicht
nicht gleich ersichtlich, inwiefern
vorhandene Beweise aus verschiedenen
Komponenten des Cloud-Systems miteinander
zusammenhängen könnten. Dies
gilt zwar auch in traditionellen IT-Systemen,
allerdings erschwert die Cloud
durch ihre internationalen und länderübergreifenden
Strukturen die Analyse
und Bewertung zusätzlich.
Beweispflicht
Zudem ist es schwierig, die sogenannte
„Chain of Custody“ für die Beweise zu
erhalten. Der CSP übergibt die potenziellen
Beweise an den Anwender: Wie
kann dieser aber feststellen, dass es sich
bei diesen Belegen auch wirklich um valide
Beweise handelt und diese nicht von
Dritten bösartig untergeschoben wurden?
In diesem Kontext ist auch der Begriff
der „Data Provenance“ von großer Bedeutung.
Damit ist gemeint, welchen Ursprung
ein Datum hat und wie es eventuell
modifiziert wurde, also wer beispielsweise
ein Datum zu welchem Zeitpunkt
eingesehen oder verändert hat.
Des Weiteren kann in heutigen Cloud-
Umgebungen nicht oder nur schwer mit
automatisierten Tools für die Forensik gearbeitet
werden. Jeder Vorfall muss ein-
92 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Cloud-Forensik
Know-How
zeln betrachtet und bearbeitet werden, da
es an Standards mangelt. Selbst wenn es
die gäbe, würden sie höchstwahrscheinlich
auch nur bedingt durch die CSP umgesetzt.
Zu groß ist die Gefahr, die eigene
Monopolstellung am Markt zu verlieren.
Forensik in SaaS-
Anwendungen
SaaS-Anwendungen erfreuen sich einer
immer größeren Beliebtheit. Populäre
Angebote wie die Google Cloud-Offers
mit Gmail und GoogleDocs, aber auch
Angebote aus dem Hause Salesforce zeigen,
wie effizient und einfach Anwendungen
in die Cloud ausgelagert werden
können. Auch in Bezug auf die Sicherheit
der Anwendung verstehen CSP zunehmend,
dass Anwender Wert auf sichere
Implementierung und Authentifizierung
legen [6]. Paradoxerweise wird das Incident
Handling bisher noch von kaum einem
CSP offen angesprochen. Man kann
vermuten, dass auf die gegenwärtigen
Beteuerungen zur Cloud-Sicherheit eine
Phase folgen wird, in der der Anwender
schmerzlich erkennen muss, dass seine
Daten in der Cloud doch nicht hundertprozentig
sicher waren.
Im Klartext: Derzeitige SaaS-Anwendungen
bieten so gut wie keine Möglichkeit,
eine forensische Untersuchung durchzuführen.
Dies soll im Folgenden anhand
eines Beispiels veranschaulicht werden,
das zwar fiktiven Charakter hat, dennoch
derzeitigen praktischen SaaS-Anwendungen
nicht fern ist.
Ein Beispiel
Firmen können ihren E-Mail-Dienst in die
Cloud zu einem SaaS-Provider auslagern.
Dies hat diverse Vorteile: So muss ein
eigener E-Mail-Server weder angeschafft
noch gepflegt werden. Das spart sowohl
Anschaffungs- als auch Personalkosten.
Auch für die Sicherheit der Anwendung
ist von nun an der CSP und nicht mehr
der eigene Administrator verantwortlich,
dieser muss lediglich per Schnittstelle
seine Nutzer verwalten. Die Firmen-Mitarbeiter
konfigurieren ihre E-Mail-Clients
anschließend so, dass per SSL/ TLS die
E-Mails direkt vom CSP geholt und auch
über dessen E-Mail-Server in der Cloud
versendet werden. Zudem besteht die
Möglichkeit, das Web-Frontend des CSP
als Web-Mailer zu nutzen.
Leider werden PC-Arbeitsplätze von Mitarbeitern
aber auch trotz des Einsatzes von
Anti-Malware-Lösungen immer wieder
von Malware befallen, die beispielsweise
das Passwort für den Zugang zum E-Mail-
Dienst der SaaS-Cloud ausspäht und an einen
Angreifer übermittelt. Solche Vorfälle
sind nichts Besonderes, sondern an der
Tagesordnung. Der Mitarbeiter bekommt
von alledem nichts mit und wird im Regelfall
keinen Verdacht schöpfen, da sein
E-Mail-Client nach wie vor reibungslos
funktioniert. Auch wenn der Angreifer die
Für Leser des ADMIN-Magazins:
Gutschein für 3 Storage-Kompendien gratis.
Einfach unter www.searchstorage.de/registrierung anmelden und den Aktionscode „admin“
verwenden.
Sie gehen keine Verpflichtungen ein und bekommen die drei Ausgaben automatisch zugeschickt:
• Storage-Konsolidierung: Intelligentes Sparen
• Cloud Storage im Business-Fokus
• Skalierbarer Storage für den Mittelstand
Der Gutschein ist bis zum 31. Juli 2011 gültig.
NEU!
Jetzt Gutschein einlösen:
www.SearchStorage.de/
registrierung

Know-How
Cloud-Forensik
© Johan Swanepoel, 123RF
Abbildung 1: Um Spurensicherung geht es auch in der Computerforensik – in der Cloud ist das aber nicht einfach.
gestohlenen Zugangsdaten nutzt, um sich
über das Web-Frontend in das Mailkonto
des Opfers einzuloggen, bekommt dieses
davon nichts mit, da in der Regel keine
entsprechenden Logging-Mechanismen
eingerichtet sind, die es dem Anwender
ermöglichen würden, solche Vorfälle zu
erkennen. Bei manchen CSP werden zwar
die letzten IP-Adressen angezeigt, die auf
das Mailkonto zugegriffen haben – das
setzt allerdings voraus, dass der Nutzer
sich über das Web-Frontend anmeldet und
zudem noch erkennt, dass hier nicht nur
seine ihm zugeordnete IP-Adresse verzeichnet
ist. Wenn es sich um einen internen
Angreifer im gleichen Netz handelt
oder der Nutzer die Information schlichtweg
überhaupt nicht interpretieren kann,
kann der Angriff so nur schwer detektiert
werden (Abbildung 1).
Erst wenn der Angreifer bemerkbare Spuren
auf dem E-Mailkonto des Opfers hinterlässt,
könnte dieses Verdacht schöpfen.
Dies wäre beispielsweise dadurch
gegeben, dass der Angreifer eine E-Mail
aus dem Posteingang löscht oder merklich
verändert. Das Opfer würde sich in
solch einem Fall wundern, letztendlich
könnte aber auch der CSP aufgrund von
technischen Problemen schuld sein. Der
Anwender hätte keine Möglichkeit, diese
These zu bestätigen oder zu widerlegen.
Es fehlt hier also zusätzlich an Verfahren,
um die Accountability von Cloud-Services
zu gewährleisten. Sollte der Anwender
dennoch den Verdacht schöpfen, Unbe-
fugte könnten seine Mails manipulieren,
so hätte er jedoch keine Möglichkeit, das
selbst forensisch zu untersuchen. Seine
einzige Möglichkeit bestünde hingegen
darin, die Hotline des CSP zu kontaktieren
und entsprechende Anträge zur Untersuchung
des Vorfalls zu stellen. Je nach
Vorgehen des CSP wird sich hierbei letztendlich
herausstellen, dass der Account
kompromittiert wurde.
Was aber wäre dann die Folge? Der Anwender
hat keine Möglichkeit festzustellen,
welche Daten nun genau vom Angreifer
eingesehen wurden, denn ein entsprechendes
Logging ist nicht einsehbar.
Im schlimmsten Fall wurde das komplette
Konto kopiert und gar im Netz verfügbar
gemacht. Eine weitere Möglichkeit wäre
auch, dass der Angreifer die Daten an die
Konkurrenz verkauft. Hierüber kann der
Anwender nur spekulieren.
Ein weiteres Problem stellen die ausgehenden
E-Mails dar: Man kann nämlich
nur sehr schwer nachvollziehen, welche
fälschliche Korrespondenz mit potenziellen
Geschäftspartnern geführt wurde, da
ausgehende und eingegangene E-Mails
von einem aufmerksamen Angreifer umgehend
gelöscht werden könnten. Das
heißt, der Angreifer könnte, im Namen
des Mitarbeiters der betroffenen Firma,
Systeme der Geschäftskunden oder von
Kollegen angreifen. Genauso gut könnte
er gefälschte Angebote im Namen der
Firma potenziellen Interessenten unterbreiten
oder er könnte Kontodaten verfälschen.
Dies alles sind zwar Angriffsszenarien,
die mit einem traditionellen
selbst betriebenen E-Mail-Service auch
möglich wären. In diesem Fall wäre allerdings
die nachgelagerte Untersuchung
entsprechend einfacher, da Systeme und
Prozesse etabliert werden könnten, die
forensische Untersuchungen ermöglichen
oder vereinfachen. Im hier aufgezeigten
Beispiel ist der Anwender primär auf
die Zusammenarbeit mit dem CSP angewiesen.
Ein Umstand, der bei global
agierenden CSPs zudem zu erheblichen
rechtlichen Problemen oder Verzögerungen
führen kann.
Neue Ansätze für die
Cloud-Forensik
Grundlegend müssten bei Untersuchungen
in Cloud-Umgebungen drei verschiedene
Komponenten in die Untersuchung
einbezogen werden: Das Client-System
des Nutzers, das mit dem Cloud-Service
in Verbindung steht, die Netzwerkschicht
über die die Daten zwischen Nutzer und
Cloud ausgetauscht werden, und die
virtualisierte Cloud-Instanz und zwar
unabhängig vom Service Modell. Die Beweisquellen
aus allen drei Komponenten
müssten miteinander korreliert und in
einen gemeinsamen Kontext gebracht
werden. Erst dann ist eine vollständige
Aufklärung des Tathergangs eventuell
möglich. Leider ist dies in realen Szenarien
derzeit nur schwer machbar, da es
der ermittelnden Partei meist an entsprechendem
Beweismaterial fehlt.
Wie das obige Beispiel zeigt, sind traditionelle
Methoden der Digitalen Forensik
in virtuellen Cloud-Umgebungen nicht
mehr oder nur noch teilweise einsetzbar.
Wo früher bei einem Vorfall beispielsweise
zunächst eine 1:1-Kopie des Datenträgers
erstellt wurde, kann in heutigen
virtualisierten Umgebungen nicht mehr
auf solche Methoden zurückgegriffen
werden. Hauptproblem dabei ist, dass
der Forensiker in aller Regel gar nicht so
genau weiß, wo genau die vom Vorfall
betroffenen Daten lokalisiert sind. Dies
gilt auch für das obige SaaS-Szenario:
Der genaue Speicherort der E-Mails ist für
den Endnutzer nicht einsehbar und der
Versuch, ihn zu ermitteln, führt neben Sicherheitsproblemen
möglicherweise auch
zu Problemen mit dem Datenschutz.
94 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Außerdem wird der zuständige CSP keinen
physikalischen Zugriff auf den betroffenen
Datenträger gewähren, denn
dieser könnte zusätzlich Daten von anderen
Anwendern beinhalten, die nicht
für das Auge von Dritten bestimmt sind.
Um solche Fälle zu vermeiden, sollte
eine entsprechende Klausel in die Service
Level Agreements (SLA) aufgenommen
werden. Allerdings ist den Autoren
bis heute kein CSP bekannt, der eine
entsprechende Regelung in seinen SLA
anbietet.
Ansätze für IaaS-
Umgebungen
In IaaS-Szenarien hat die zunehmende
Virtualisierung der Maschinen aber auch
Vorteile: Per Snapshot-Technologie können
mit einem Klick vollständige Abbilder
der virtuellen Maschinen erzeugt
werden, was gerade für die Digitale Forensik
einen enormen Vorteil darstellt. Allerdings
bleibt die Frage offen, inwiefern
das Abbild auch wirklich valide erzeugt
wurde. Das lässt sich vom Anwender
nicht auf einfache Art und Weise überprüfen.
Hilfreich ist hier sicherlich die
Dokumentation der technischen Prozesse
im Rahmen eines Snapshot-Vorgangs, da
viele CSP mit einer modifizierten Version
des Hypervisors arbeiten und man sich
daher nicht auf die Prozessdokumentation
des Herstellers verlassen sollte.
Des Weiteren bleibt dem Kunden des
IaaS-Services der Zugriff auf Netzwerkkomponenten
verwehrt. So kann bei einer
Untersuchung nicht auf die Logfiles
von Routern, Switches, Firewall und so
weiter zugegriffen werden und es steht
somit von Seiten der Netzwerkschicht
keinerlei Beweismaterial zur Verfügung.
Diesen Zustand könnte nur der CSP
ändern.
Eine Schnittstelle, die es einem Kunden
ermöglicht, diese Beweisquelle anzuzapfen
wäre sicherlich ein erster Schritt
in die richtige Richtung. Auf den Netzwerkkomponenten
könnten individuelle
Logfiles erstellt werden, die gerade in
IaaS-Szenarien auf die virtuelle Instanz
zugeschnitten sind. Dies bedeutet, dass
lediglich Ausschnitte des Netzwerkverkehrs
zur und von der virtuellen Instanz
aufgezeichnet werden, die der Kunde
anschließend, eventuell sogar gegen
www.A dmin-mAgA zin.de
eine entsprechende finanzielle Aufwendung,
erhält. Des Weiteren könnte der
CSP diese Logfiles dem Kunden nur für
einen beschränkten Zeitraum zur Verfügung
stellen, um unnötigen Verbrauch
von Speicherplatz zu vermeiden. Essenziell
wäre allerdings, dass der Kunde nur
Beweismaterial für seine virtuellen Instanzen
erhält und nicht die der benachbarten
Instanz.
Für den Kunden hätte dies aber einen entscheidenden
Vorteil: Bei einer Kompromittierung
wäre es nun möglich, Beweismaterial
vom Client mit der Netzwerkschicht
und dem Server (IaaS-Instanz)
zu korrelieren, unter der Voraussetzung,
dass Logfiles der IaaS-Instanz in regelmäßigen
Abständen auf einen externen
Logfile-Server geschrieben werden. Ansonsten
könnte ein Angreifer nach erfolgreichem
Eindringen in die IaaS-Instanz
die entsprechenden Logfiles löschen oder
verändern.
Um solche Angriffe zu verhindern, wäre
auch ein Service mittels Virtual Introspection
vonseiten des CSP möglich.
Hierbei würde sich der Kunde damit einverstanden
erklären, dass der CSP mit
automatisierten Werkzeugen über den
Hypervisor in regelmäßigen Abständen
den Systemzustand der virtuellen Instanz
überprüft und entsprechende Log-
Einträge erstellt. Diese könnten selbst
von einem Angreifer nur über eine vollständige
Kompromittierung des Hypervisors
verfälscht werden [9].
Ansätze für SaaS-
Umgebungen
In SaaS-Umgebungen kann der Kunde
lediglich über eine vorgefertigte API mit
dem Service kommunizieren. Oftmals
wird dies direkt über eine Web-Schnittstelle
realisiert. Dies kann Vor- und
Nachteile haben – ausschlaggebend ist
allerdings, dass der Kunde sich nicht um
die Sicherheit der Anwendung kümmern
muss, die in den Händen des CSP liegt.
Allerdings ist er im Gegenzug sehr eingeschränkt,
was die Flexibilität der Anwendung
angeht: Funktionen, die der CSP
nicht implementiert hat, kann er nicht
selbst nachreichen. Ein Beispiel hierfür
ist die Machbarkeit von forensischen
Untersuchungen in SaaS-Szenarien,
wie das obige Beispiel aufgezeigt hat.
http://www.netways.de/osmc
REGISTER NOW!
OPEN SOURCE
MONITORING CONFERENCE
DIE Konferenz rund um Open Source Monitoring.
Als europaweit richtungsweisende Veranstaltung zum
Thema Open Source Monitoring bietet die OSMC
ein optimales Forum um mit führenden Open Source
Spezialisten ins Gespräch zu kommen und sich zu
eigenen Erfahrungen und Best Practices untereinander
auszutauschen.
MIT DABEI
Michael Medin:
Distributed monitoring using NSClient++
Mike Adolphs:
Cucumber-Nagios - insights into behavioral
driven infrastructure
Reinhard Scheck:
Cacti Graphing Solution
Remo Rickli:
NeDi - Network Discovery
u. v. m.
28. November 2011
(Vortag der Konferenz)
sponsored by:
MAGAZIN
1-Tages-Intensiv-Workshops:
· SLA Reporting für Nagios & Icinga mit Jasper
· Icinga Kickstart
· Konfigurationsmanagement mit Puppet
presented by:
NETWAYS ®

Know-How
Cloud-Forensik
Allerdings gibt es Möglichkeiten, diese
Situation zu ändern: Der CSP könnte
eine zusätzliche Forensik-Schnittstelle
anbieten, mit deren Hilfe der Anwender
spezifische Zugriffe auf Datensätze in der
SaaS-Anwendung nachvollziehen könnte.
Diese Datensätze könnten beispielsweise
aus E-Mails, Kundendaten und Finanzdaten
bestehen und es ist daher für den
Kunden des Cloud-Dienstes erforderlich,
nachzuprüfen, wer wann und wie auf
diese Daten zugegriffen hat. Eine solche
Forensik-Schnittstelle wäre Teil eines größeren
Provenance-Frameworks, das alle
lesenden und schreibenden Zugriffe auf
Datensätze protokolliert. Im Verdachtsfall
kann der Anwender somit die API nach
entsprechenden Zugriffen befragen und
könnte Angriffe wie im obigen Szenario
schneller erkennen. Zudem könnten auch
automatisierte Evaluierer dafür sorgen,
dass keine unrechtmäßigen Fremdzugriffe
stattfinden. Für den CSP gestaltet sich die
Implementierung einer solchen Schnittstelle
einfacher als bei anderen Service-
Modellen, da der Kontext der schützenswerten
Daten klar ersichtlich ist. Wird
beispielsweise bei einem PaaS-Dienst eine
API-Funktion für das Speichern einer Datei
angesprochen, kann durch Protokollierung
des Function Calls erst einmal nur festgestellt
werden, dass eine Datei gespeichert
wurde. Der weitere Kontext der Datei ist
für den CSP unklar. Bei einem SaaS-Dienst
ist dies anders: Der Kontext der Daten ist
für den CSP klar ersichtlich.
Das Datenformat einer solchen Schnittstelle
könnte sich bereits bestehende Datenformate
zunutze machen, um so eine
Interoperabilität zwischen verschiedenen
Tools und Frameworks zu gewährleisten.
Ein bekanntes Format ist beispielsweise
DFXML von Simson Garfinkel [11], bei
welchem es sich um ein XML-Format
zur Beschreibung forensischer Informationen
handelt. Die Verwendung eines
offenen Datenformats hätte den Vorteil,
dass bestehende Forensik-Projekte an
diese Schnittstelle mit angeschlossen
werden könnten. Im Idealfall wäre es
dem Kunden somit möglich, firmeninterne
Forensik-Frameworks lediglich um
den Cloud-Service zu erweitern.
Um weitere Anforderungen wie Integrität,
Authentizität und Vertraulichkeit zu
gewährleisten, ließen sich im Falle von
DFXML bestehende XML-Frameworks
zum Signieren und Verschlüsseln nutzen.
Dies bedeutet, dass die Log-Informationen
in Form von XML über eine
API an den Kunden ausgegeben werden
und zusätzlich vom CSP signiert oder bei
Bedarf auch verschlüsselt werden können.
Pauschal ist allerdings nicht zu sagen,
welche konkrete Informationen der
Kunde für eine eventuelle Untersuchung
benötigt – dies hängt sehr stark vom jeweiligen
Szenario ab.
Zuletzt wäre noch zu klären, wie lange
der CSP die Daten zur Verfügung stellen
soll. Auch dies ließe sich individuell im
SLA festhalten. Zudem besteht für den
Kunden die Möglichkeit, die Daten direkt
aus der Schnittstelle zu extrahieren und
in eigene Logging-Server zu integrieren.
Fazit
Die rapide Zunahme an neuen Cloud-
Services und deren Beliebtheit wird in
der Zukunft häufiger dazu führen, dass
Systeme, Applikationen oder Accounts in
der Cloud kompromittiert werden. Denn
auch die Angreifer gehen mit der Zeit und
haben unlängst das Potenzial von Cloud-
Umgebungen entdeckt [10]. Deshalb gilt
es nun auch für Cloud-Umgebungen,
forensische Prozesse zu ermöglichen –
hierfür bedarf es der Zusammenarbeit
zwischen dem Kunden und dem CSP.
Die in diesem Artikel aufgezeigten Probleme
zeigen, dass gerade in Hinsicht auf
die forensische Untersuchung in Cloud-
Umgebungen traditionelle Methoden
und Verfahren der Digitalen Forensik
überdacht werden müssen. Es ist primär
die Aufgabe der Wissenschaft, neue Methoden
und Prozesse zu entwickeln, um
das Problem der Forensik in der Cloud
zu adressieren.
Allerdings besteht auch aufseiten des
CSP viel Nachholbedarf. Leider sehen
derzeitige CSP noch nicht das Potenzial,
das in einer entsprechenden Schnittstelle
für den Nutzer steckt. Es ist weniger das
Problem der technischen Umsetzbarkeit,
sondern vielmehr eines der potenziellen
Mehrkosten für den CSP. Dabei könnten
die Kosten für solch eine Entwicklung
im Notfall eben auf den Kunden umgewälzt
werden – wer entsprechende
Schnittstellen möchte, muss dafür bezahlen.
Es ist wie so oft: Sicherheit kostet
Geld und bringt dem CSP primär nichts
ein. Solange die Nutzer es aber mit sich
machen lassen, wird sich nichts ändern.
Erst wenn die CSP wieder abhängig von
den Nutzern sind und nicht umgekehrt,
wird es eventuell zu einem Umdenken
kommen. Bis dahin bleibt allertdings
lediglich zu hoffen, dass die Sicherheitsmechanismen
des CSP und die des Kunden
ausreichen. (jcb)
n
Infos
[1] N. Beebe, Digital Forensic Research: The
Good, the Bad and the Unaddressed,
Advances in Digital Forensics V, 2009
[2] B. Grobauer and T. Schreck, Towards Incident
Handling in the Cloud: Challenges
and Approaches, in Proceedings of the
2010 ACM Cloud Computing Security Workshop
(CCSW ’10), 2010
[3] S.D. Wolthusen, Overcast: Forensic Discovery
in Cloud Environments, Fifth International
Conference on IT Security Incident
Management and IT Forensics (IMF ’09),
2009
[4] P. Melland, T. Grance, The NIST Definition
of Cloud Computing, Version 15, 2009
[5] L. Rongxing, L. Xiaodong, L. Xiaohui and S.
Sherman, Secure Provenance: The Essential
of Bread and Butter of Data Forensics
in Cloud Computing, in Proceedings of
the 5th ACM Symposium on Information,
Computer and Communications Security
(ASIACCS ’10), 2010
[6] Google, A more secure cloud for millions
of Google Apps users, [http://
googleenterprise. blogspot. com/ 2010/ 09/
more‐secure‐cloud‐for‐millions‐of. html]
[7] A. Haeberlen, A Case for the Accountable
Cloud, in Proceedings of the 3rd ACM
SIGOPS International Workshop on Large‐
Scale Distributed Systems and Middleware
(LADIS’09), 2009
[8] D. Birk, C. Wegener, Technical Issues of Forensic
Investigations in Cloud Computing
Environments, IEEE/ SADFE 2011, Oakland,
CA, USA, 2011
[9] B. Hay and K. Nance, Forensics Examination
of Volatile System Data using Virtual
Introspection, ACM SIGOPS Operating
Systems Review, 2008
[10] Attackers Using Amazon Cloud to Host
Malware – [http:// threatpost. com/ en_us/
blogs/ attackers‐using‐amazon‐cloud‐hostmalware‐060611]
[11] S. Garfinkel, Digital Forensics XML and the
DFXML Toolset, 2011
96 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

POWERHOUSE
PERL
11 cool projects!
FREE DVD inside:
openSUSE 11.2
Linux Mint 8.0
■ Math Tricks: Solve math problems with Perl
■ Daily Tip: Perl with an SQLite database
■ AJAX: Add dynamic updates to web pages
■ isp-switch: Switch your computer to
another ISP if your connection goes down
■ MAC Addresses: Monitor your network for
unfamiliar MAC addresses
■ Multimeter: Read and interpret data from
an external device
■ Google Chart: Create custom graphs
■ Twitter: Help your scripts send Tweets
■ Webcam: Control a web camera with Perl
■ Perl Gardening: Water your house plants
with a little help from Perl
■ GPS: Extract data from a GPS device and
plot it on a Yahoo! Map
New to Perl? Perl expert Randal L. Schwartz provides an in-depth
introduction to the principles of the versatile Perl language.
Then Perlmeister Mike Schilli explains how to speed up and debug your
scripts. Also inside: Get hands-on with a collection of some of the Perlmeister’s
best columns!
ORDER ONLINE AT linux-magazine.com/Special

Know-How
Pacemaker, Libvirt, KVm
kbuntu, 123RF
Pacemaker, Libvirt und KVM
Eigene Clouds
Virtualisierung ist ein integraler bestandteil der Cloud – Pacemaker verhilft zur eigenen
Privatwolke dank Libvirt-integration von martin Loschwitz
Kaum ein anderes Thema dominiert die
IT-Landschaft augenblicklich so stark
wie Cloud Computing. Amazon & Co.
haben es vorgemacht: Rechenleistung
für verschiedene Aufgaben schnell und
unkompliziert zur Verfügung zu haben,
ist gerade für viele mittelständische Unternehmen
sehr reizvoll. Und sogar die
ganz großen Unternehmen verlagern ihre
Prozesse in die Wolke.
Dabei verbinden sich mit Begriff Cloud
durchaus verschiedene Dinge – gemein
ist allen Definitionen, dass auf irgendeine
Weise schnell und ohne große Umschweife
Rechenleistung zur Verfügung
gestellt werden kann.
Virtualisierung ist einer der Grundpfeiler
von Cloud Computing. Es gibt wenig,
was leichter ist, als eine neue virtuelle
Maschine zu erstellen und sie einem Kunden
zu überantworten. Das Framework
im Kernel, sei es im Fall von Linux Xen
oder KVM, kümmert sich um alles und
sorgt dafür, dass die Benutzer tatsächlich
nur ihren Bereich der Wolke sehen.
Thema Hochverfügbarkeit
Wenn sich ein Unternehmen dafür entscheidet,
die Cloud zu verwenden, so gibt
es damit einen großen Teil der Kontrolle
über dieses System in fremde Hände.
Als Cloud-Kunde nutzt man Dienste und
vertraut darauf, dass der eigene Cloud-
Anbieter sich um die technischen Begebenheiten
im Hintergrund kümmert.
Daraus ergeben sich für Cloud-Provider
einige Probleme – wie ist beispielsweise
mit fehlerhafter Hardware umzugehen?
Kunden werden sich kaum begeistert zeigen,
wenn ihre Cloud-Dienste nicht zur
Verfügung stehen, weil ein Server den
Geist aufgegeben hat. Und genau deshalb
ist der Cloud-Anbieter auf Hochverfügbarkeit
angewiesen – die verschiedenen
HA-Ansätze sind wichtige Faktoren bei
Cloud-Setups. Die Komponenten des
Linux Cluster Stacks kommen da wie gerufen:
Bereits aus zwei Servern ist mit
Pacemaker und unter Einsatz der Libvirt
eine Cloud möglich, die mit den größten
Widrigkeiten zurechtkommt. Dieser Artikel
widmet sich der Frage, wie aus zwei
Servern mit Pacemaker und Libvirt eine
private Mini-Cloud mit verschiedenen Erweiterungsmöglichkeiten
wird.
Libvirt als Segen
Die bisherigen Teile des Pacemaker-
Workshops haben deutlich gemacht, dass
Pacemaker im Grunde jede Applikation
verwalten kann, solange die Möglichkeit
für Pacemaker besteht, mit dieser
Applikation zu kommunizieren. Auch
eine virtuelle Maschine auf einem System
ist letztlich nichts anderes als eine
ganz normale Applikation – doch wäre
es kaum hilfreich, müsste Pacemaker auf
einem System tatsächlich selbst Qemu
mit allen Konfigurationseigenschaften
selbst aufrufen, um virtuelle Maschinen
lauffähig zu machen. Wer schon mal
eine Qemu-Kommandozeile gesehen hat,
weiß, dass diese schnell mehrere Zeilen
lang werden und eher kryptisch aussehen
kann.
Das ist aber glücklicherweise gar nicht
nötig. Denn auf Linux-Systemen steht
ein Framework zur Verfügung, das die
Verwaltung virtueller Maschinen sehr
angenehm gestaltet – ganz gleich, ob der
Einsatzzweck Pacemaker ist oder der Betrieb
als einzelner Server vonstatten gehen
soll, der ein paar virtuelle Maschinen
hostet. Die Rede ist von Libvirt.
Libvirt wirbt für sich selbst damit, dass es
mit den meisten verfügbaren Hypervisor-
Implementierungen für Linux gut zurechtkommt
– darunter mit den Platzhirschen
KVM und Xen, aber auch mit weniger
verbreiteten Lösungen wie OpenVZ, User
Mode Linux oder VirtualBox. Sogar mit
den VMWare-Hypervisors von VMWare
ESX/ GSX und VMWare Workstation
kommt das Libvirt-Framework klar.
Der Vorteil, der sich für Admins aus der
Benutzung von Libvirt ergibt, liegt auf
der Hand: Einerseits erhalten Admins
98 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker, Libvirt, KVm
Know-H ow
ein generisches Interface, das ihnen die
Pflege verschiedener virtueller Maschinen
auf einem System ermöglicht. Die
Konfigurationsdateien, die Libvirt verwendet,
kommen im XML-Format daher.
Die Syntax ist damit für jede Maschine
die gleiche und das Anlegen einer neuen
virtuellen Maschine geht einfach von der
Hand. Selbst zwischen unterschiedlichen
Hypervisor-Typen ergeben sich nur
sehr kleine Unterschiede hinsichtlich der
Libvirt-XML-Konfigurationsdateien. Die
Administration von virtuellen Maschinen
für den Admin funktioniert immer gleich.
Wenn Libvirt zum Einsatz kommt, stoppt
ein Admin auf einem System Xen-VMs
mit den gleichen Befehlen, mit denen er
auf anderen Systemen etwa KVM-VMs
stoppen würde. Last but not least bietet
die Libvirt einen überaus wichtigen
Vorteil: Für sie existiert eine vollständige
und funktionierende Integration in den
Pacemaker Cluster-Manager. Die Komponenten,
die für eine private Mini-Cloud
notwendig sind, stehen damit fest: Zwei
VT-fähige Server mit entsprechender Anbindung,
DRBD, Libvirt und Pacemaker.
Libvirt installieren
Das Beispiel geht von zwei Servern aus,
die noch nicht für Virtualisierung eingesetzt
waren und auf denen folglich die
entsprechende Software fehlt. Bei allen
gängigen Distributionen kommen aktuelle
Libvirt-Pakete mit. Zusammen mit
Libvirt müssen natürlich auch die Komponenten
für KVM den Weg aufs System
finden – es steht vorab also die Entscheidung
an, welcher Hypervisor zum Einsatz
kommen soll. Dieser Artikel geht von
einer Virtualisierung mit KVM aus.
Um auf Debian-Systemen KVM zu betreiben,
genügt das Paket »qemu-kvm«.
Die Installation eines eigenen Kernel-
Modul-Paketes ist nicht mehr nötig, die
KVM-Module sind fixer Bestandteil des
Kernels. Nach der Installation des genannten
Paketes empfiehlt es sich, die
Module »kvm-amd« oder »kvm-intel«
mittels »modprobe« zu laden – je nach
verwendeter CPU. Funktioniert das Laden
problemlos, ist der Rechner startklar
für KVM. Kommt hingegen eine
Fehlermeldung, ist vermutlich im BIOS
des Systems die Virtualisierungsfunktion
deaktiviert. Nachdem das geändert ist,
Abbildung 1: Im Ordner /etc/ libvirt/ qemu liegen die Konfigurationsdateien der virtuellen Maschinen, die
Libvirt kennt.
sollten die KVM-Module klaglos geladen
werden. Um sich die Libvirt aufs System
zu holen, installieren Admins auf Systemen
mit Debian oder Ubuntu das Paket
»libvirt-bin«. Für Debian-Admins lohnt
sich möglicherweise ein Blick in das
Backports-Repository, denn hier finden
sich üblicherweise wesentlich aktuellere
Versionen der Bibliothek, als im »stable«-
Zweig zu finden sind. Ist die Libvirt auf
beiden Clusterknoten installiert, steht der
Virtualisierung nichts mehr im Wege.
Die Libvirt-Architektur
Nach der Libvirt-Installation findet sich
im Konfigurationsordner »/etc« das Verzeichnis
»libvirt«. In diesem Ordner liegt
die Konfiguration von Libvirt – viel zu
ändern gibt es an den Default-Einstellungen
aber in den meisten Fällen nicht.
Interessant ist vor allem der Ordner
»qemu« (Abbildung 1), in dem die Konfigurationsdateien
für virtuelle Maschinen
landen. Ab Werk hat der Ordner lediglich
einen weiteren Unterordner namens »networks«.
Darin liegt eine Datei namens
»default.xml« – sie enthält die Konfiguration
für die Libvirt-Netzwerkinfrastruktur.
Veränderungen sind hier mit Sorgfalt
und Vorsicht zu erledigen.
Ein Storage-Device für eine
virtuelle Maschine
Im Grunde könnte es nun mit der ersten
virtuellen Maschine losgehen, aber dafür
fehlt noch eine wichtige Zutat: Ein
Storage-Device, auf dem die Daten der
virtuellen Maschine lagern. Es bieten sich
zwei Ansätze an: Qemu kann einerseits
mit Image-Dateien umgehen. Das sind
Files im Dateisystem, die Qemu dann
quasi als Festplatte betrachtet. Solche
Images haben manchen Vorteil, zum
Beispiel den, dass das Qcow2-Format, in
dem Images meistens vorliegen, komprimieren
kann und ein Gast-Betriebssystem
so weniger Plattenplatz vom Host abzwackt,
als es in der Innenansicht benötigt.
Gerade im Cluster-Kontext bietet
eine Image-basierte Lösung aber auch
einige Nachteile.
Denn zunächst erhöht die Variante, virtuelle
Maschinen in Form von Images
OpenSource Training Ralf Spenneberg
Schulungen direkt vom Autor
Wege aus der Lizenzfalle mit Samba 4
3 Tage 04.10. ­ 06.10.2011
Spam Lösungen
3 Tage 04.10. ­ 06.10.2011
OpenVPN ­ Die IPsec Alternative
3 Tage 04.10. ­ 06.10.2011
Linux Storage Lösungen
2 Tage 10.10. ­ 11.10.2011
High Availability and Load Balancing mit Linux
2 Tage 12.10. ­ 13.10.2011
Sourcefire 3D System
4 Tage 18.10. ­ 21.10.2011
Apache 2.x Webserver Administration
4 Tage 17.10. ­ 20.10.2011
Modsecurity
3 Tage 17.10. ­ 19.10.2011
SELinux Administration
2 Tage 24.10. ­ 25.10.2011
Freie Distributionswahl:
Opensuse, Fedora, Debian Squeeze,
CentOS oder Ubuntu LTS
Ergonomische Arbeitsplätze
Umfangreiche Schulungsunterlagen mit
Übungen
Am Bahnhof 3­5
48565 Steinfurt
Tel.: 02552 638755
Fax: 02552 638757
Weitere Informationen unter www.os­t.de
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
99

Know-How
Pacemaker, Libvirt, KVm
zu verwenden, den Cluster-Aufwand beträchtlich.
So müssen in Pacemaker für
jedes Image, das zur Verfügung stehen
soll, entsprechende Ressourcen in die
Cluster-Konfiguration eingetragen werden.
Wird stattdessen nur ein Device mit
allen Image-Files benutzt, müsste dieses
wiederum mit NFS exportiert und auf
beiden Clusterknoten gemountet werden
– sonst könnten nur alle VMs zu einem
Zeitpunkt auf dem gleichen Host laufen.
Beide Varianten nagen außerdem an der
Performance einer virtuellen Maschine:
Das Dateisystem mit seinem Page Cache
drosselt die maximale Leistung genauso,
wie es NFS nochmals täte.
Es hat sich deshalb eingebürgert, Block-
Devices direkt als Storage-Device für
virtuelle Maschinen einzusetzen. Qemu
unterstützt diese Funktion und in einem
Zwei-Knoten-Cluster steht auch das passende
Werkzeug zur Verfügung, um die
Daten auf beiden Knoten aktuell zu haben:
DRBD. Der erste Schritt auf dem Weg
zu einer privaten Cloud mit Libvirt und
Pacemaker besteht also darin, ein DRBD-
Laufwerk anzulegen, das die Daten der
virtuellen Maschine aufzunehmen vermag.
Das geschieht analog zum DRBD-
Artikel im letzten Admin-Magazin. Der
Artikel geht im weiteren Verlauf davon
aus, dass ein DRBD-Laufwerk vorhanden
ist, das im System über den Device-
Abbildung 2: Der Virt-Manager ist ein praktisches Werkzeug, um eine
grafische Übersicht über die VMs eines Hosts zu bekommen.
Knoten »/dev/drbd/by-res/kvm-alice/0«
anzusprechen ist. Übrigens: Nachdem die
DRBD-Ressource angelegt ist, ist es nicht
ratsam, ein Dateisystem auf dem DRBD
anzulegen – dieses würde ohnehin von
der Installationsroutine des Betriebssystems
später überschrieben.
Ist die DRBD-Ressource angelegt, empfiehlt
es sich, sie vorerst noch nicht in
den Cluster-Manager zu integrieren,
wie in Teil 2 des Workshops erklärt. Der
nächste logische Schritt ist stattdessen,
eine virtuelle Maschine mit KVM einzurichten,
sodass die virtuelle Maschine
grundsätzlich lauffähig ist.
Eine virtuelle Maschine in
die Libvirt einpflegen
Libvirt sucht im Verzeichnis »/etc/libvirt/qemu«
nach Dateien, die auf ».xml«
enden – aus diesen liest es
die Definitionen für VMs.
Die meisten Einträge dieser
Maschinendefinitionen
sind generisch und ändern
sich nicht und lassen sich
so für neue VMs recyclen.
Das Listing 1 zeigt
ein vollständiges Konfigurationsfile
für eine virtuelle
Maschine namens
»debian-i386-alice«.
Im Kasten sind die zu adaptierenden Teile
besonders hervorgehoben. Der erste Eintrag
ist »name« – er legt fest, wie die
virtuelle Maschine in Libvirt intern heißt.
»uuid« ist freilich eine UUID; jede UUID
darf innerhalb einer Libvirt-Installation
bloß einmal vorkommen. Am leichtesten
generieren Admins eine UUID mit dem
Werkzeug »uuidgen« auf der Kommandozeile.
»memory« legt den Speicher fest,
der der virtuellen Maschine zur Verfügung
steht. Im Beispiel sind das 512MB.
Der Eintrag »vcpu« legt fest, wie viele
virtuelle CPUs den virtuellen Maschinen
zur Verfügung stehen.
»source dev=...« legt das Storage-Device
fest, das Libvirt als Festplatte für die virtuelle
Maschine verwendet. Im Beispiel
zeigt der Eintrag auf die zuvor angelegte
DRBD-Resource. Übrigens: Die Domänen-Definition
hat auch ein virtuelles
Listing 1: Konfigurationsdatei für Vm
01
02 debian‐i386‐alice
03 7bf8dd80‐bb0b‐3c49‐01c9‐8c8d15f5cc79
04 524288
05 1
06
07 hvm
08
09
10
11
12
13
14
15
16 destroy
17 restart
18 restart
19
20 /usr/bin/kvm
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
100 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker, Libvirt, KVm
Know-how
Listing 2: debian-i386-alice mit Virtualdomain-Ra
01 primitive res_virtdom_puppet
ocf:heartbeat:VirtualDomain \
02 params config="/etc/libvirt/qemu/
debian‐i386‐alice.xml" force_stop="false" \
03 op monitor interval="30s" timeout="90s" \
04 op start interval="0" timeout="90s" \
05 op stop interval="0" timeout="5min"
Abbildung 3: Der acpid ist in Linux-VMs notwendig, damit Libvirt das System von außen mittels virtuellem
Knopfdruck herunterfahren kann.
CD-Laufwerk, das auf eine ».iso«-Datei
in »/tmp« verweist. Der Eintrag ist nicht
verpflichtend und kann, wenn als Installationsquelle
für die VM ein anderes Medium
zur Verfügung steht, entfallen. Soll
aber die CD zum Einsatz kommen, ist der
Wert »dev« beim Parameter »boot« oben
noch von »hd« auf »cdrom« zu ändern.
Häufig stellt sich die Frage, welche Architektur
ein Gastsystem nutzen soll.
Nachdem die VM im Beispiel insgesamt
bloß 512 MByte RAM hat, ist die Frage
hier irrelevant. Soll aber eine 64bit-VM
mit mehr RAM zum Einsatz kommen,
genügt es, die Zeile »hvm«
so zu ändern: »hvm«.
Die VM starten
Wenn die VM-Konfiguration fertig ist,
sollte die Konfigurationsdatei ihren Weg
auch auf den anderen Clusterknoten finden.
Danach genügt ein »virsh define/
etc/libvirt/qemu/File«, um die Ressourcen-Definition
in die Libvirt zu laden. Die
»virsh« ist die hauseigene Shell der Libvirt,
die das Starten, Stoppen und Modifizieren
virtueller Maschinen ermöglicht.
Wer es etwas bunter mag, installiert auf
seiner Workstation den »virt-manager«
(Abbildung 2) und erhält so nach dem
Einrichten einer Verbindung mit dem
Zielsystem ein GUI, das die virtuellen
Maschinen verwalten kann.
Nun fehlt eigentlich bloß noch der erste
Start der virtuellen Maschine, um sie
zu konfigurieren. Das erledigt entweder
der Befehl »virsh start Name « auf der
Kommandozeile des Servers oder ein
entsprechender Klick im »virt-manager«.
Achtung: Weil die DRBD-Ressource noch
nicht von Pacemaker verwaltet wird,
muss das händische Starten der virtuellen
Maschine auf genau dem Host passieren,
auf dem die DRBD-Ressource gerade
im »Primary«-Modus läuft. Hat alles
funktioniert, kann die Installation und
Konfiguration der VM losgehen.
Übrigens: Damit Pacemaker später über
seinen VM-Resource-Agent mit Libvirt
und den virtuellen Maschinen kommunzieren
kann, muss die VM in der Lage
sein, ACPI-Befehle zu interpretieren. Libvirt
initiiert den Shutdown
einer VM durch
ein entsprechendes
ACPI-Signal. Damit das
Gast-Betriebssystem
damit umgehen kann,
muss es ACPI können.
Unter Linux lässt sich
das Problem bereits
dadurch aus der Welt
schaffen, den »acpid«
(Abbildung 3) zu installieren.
Dieser tut ab
Werk bei einem Druck
auf den Power-Knopf –
nichts anderes ist das
Signal, welches Libvirt
an eine VM für den
Shutdown schickt – bereits
das Richtige.
Die Integration
in Pacemaker
Wenn die virtuelle Maschine
fertig konfiguriert
ist und läuft, ist
noch sicherzustellen,
dass der Start nahtlos
auf beiden Rechnern
funktioniert. Dazu
sollte wie bereits erwähnt
zumindest die
».xml«-Konfiguration der VM auf beiden
Rechnern vorhanden und identisch
sein. Ob die VM problemlos auf beiden
Rechnern lauffähig ist, lässt sich am
leichtesten dadurch testen, dass sie auf
dem aktuellen Rechner heruntergefahren
wird, um danach einen Rollentausch
der DRBD-Ressource (Wechsel Primary
und Secondary) zu machen und dann
auf dem anderen Clusterknoten ebenfalls
die VM zu starten. Kommt sie problemlos
hoch, ist die Libvirt-Konfiguration in
Ordnung und es geht daran, Libvirt in
Pacemaker zu integrieren.
www.admin-magazin.de

Know-How
Pacemaker, Libvirt, KVm
Abbildung 4: Dieser Cluster ist für den Betrieb dreier virtueller Maschinen eingerichtet und funktioniert wie
gewünscht.
Dazu muss zunächst die vorhandene
DRBD-Ressource ihren Weg in die CIB
finden. Wie das geht, das wurde im zweiten
Teil der HA-Serie detailliert erklärt.
Colocation- oder Order-Constraints sind
zu diesem Zeitpunkt noch unnötig, denn
es fehlt im Moment noch die virtuelle
Maschine selbst.
Der Resource-Agent für die Anbindung
von Pacemaker an die Libvirt heißt
»ocf:heartbeat:VirtualDomain«. Der Code
stammt ursprünglich aus der Feder von
Florian Haas, gehört mittlerweile allerdings
zur OCF-Sammlung des Linux-HA-
Projektes und ist somit Bestandteil jeder
HA-Installation. Seine Verwendung dokumentiert
das Exempel in Listing 2.
Das Beispiel lässt sich so übernehmen,
anzupassen sind lediglich die Parameter.
Der erste Parameter »config« zeigt auf die
Konfiguration der virtuellen Maschine,
der zweite Parameter »force_stop« legt
fest, ob die Domäne von Pacemaker getötet
werden soll, wenn sie nach einem
per ACPI übermittelten Shutdown-Request
nicht selbstständig herunterfährt.
Im Normall sollte »force_stop« auf den
Wert »false« gesetzt sein. Bei virtuellen
Maschinen mit Windows-Betriebssystem
Listing 3: dual-Primary-dRbd
resource VirtDom1 {
volume 0 { device /dev/ drbd0; disk /dev/ system/ r0; metadisk
internal; }
net { after‐sb‐0pri discard‐zero‐changes; after‐sb‐1pri
discard‐secondary; after‐sb‐2pri disconnect;
allow‐two‐primaries; }
on alice { address 192.168.0.1:7899; }
on bob { address 192.168.0.1:7899; } }
kann es aber unter Umständen notwendig
sein, diese Funktion doch zu aktivieren.
Das Pacemaker-Setup
abschließen
Damit ist die DRBD-Konfiguration in
Pacemaker ebenso vorhanden wie die
Konfiguration der virtuellen Maschine.
Es gilt noch, die beiden Ressourcen miteinander
so zu verbinden, dass sie stets
auf dem gleichen Host laufen. Das geht
mit einem Colocation- und einem Order-
Constraint. Angenommen, die DRBD-
Master-Slave-Ressource hieße »ms_drbd_
VirtDom1« und die Resource für die VM
selbst hieße »res_VirtDom1«, wäre ein
passendes Setup dieses:
colocation c_virtdom1_on_drbd inf: U
res_VirtDom1 ms_drbd_VirtDom1:Master U
order o_drbd_before_virtdom1 inf: U
ms_drbd_VirtDom1:promote res_VirtDom1:start
Damit ist die virtuelle Maschine vollständig
in Pacemaker integriert. Ob das Setup
funktioniert, testen Admins, indem sie
einen der beiden Knoten in den Standby-
Modus setzen – idealerweise den, auf
dem die VM gerade läuft – und nachvollziehen,
ob die Maschine auf dem anderen
Knoten gestartet wird (Abbildung 4).
Live-Migration
Die verwendeten Komponenten dieses
Setups bringen ab Werk alles mit, was es
für Live-Migration braucht. Damit DRBD
selbst diese Aufgabe erfüllen kann, sind
im Vergleich zum Standard-Setup aber
kleine Änderungen der Ressource zu erledigen.
Denn damit Live-Migration funktionieren
kann, muss DRBD sich im Dual-
Primary-Modus befinden (Abbildung 5).
Unter normalen Umständen ist unbedingt
davon abzuraten, DRBD im Dual-Primary-
Modus zu betreiben. Ein Tech-Guide von
LINBIT [1], verfasst vom Autor dieses
Artikels, listet die Nachteile dieses Setups
auf. Im konkreten Beispiel führt an einer
Lösung, in der die DRBD-Ressource
auf beiden Seiten im Dual-Primary-Mode
und damit beschreibbar ist, aber kein
Weg vorbei. Denn für die Live-Migration
muss KVM zumindest zwischenzeitlich
auf beiden Seiten schreibend auf das Device
zugreifen können. Eine vollständige
Ressourcen-Konfiguration für diesen Einsatzzweck
finden Sie in Listing 3. Die
außergewöhnlichen Teile sind hervorgehoben.
Zusätzlich zu den Änderungen an
der DRBD-Ressource ist auch die Regel
für die Master-Slave-Ressource in Pacemaker
zu ändern:
ms ms_drbd_VirtDom1 res_drbd_VirtDom1 U
meta master‐max=“»2«“ master‐node‐U
max=„1“ clone‐max=„2“ clone‐node‐max=„1“ U
notify=„true“
Schließlich ist für die VirtualDomain-
Ressource in Pacemaker noch ein Meta-
Parameter zu setzen. Diese komplette
Zeile heißt »allow-migrate= "true"« und
wird in die vorhandene Konfiguration
eingefügt.
Nach diesen Änderungen ist das DRBD
auf beiden Seiten des Clusters permanent
primär. Der »crm resource migrate«-
Befehl tut dann für die jeweilige virtuelle
Maschine das Nötige. Aber Achtung: Der
Befehl »migrate« tut nichts anderes, als
in der CIB einen negativen Location-
Constraint für den Host zu setzen, auf
dem die Ressource bis zum Befehl gelaufen
ist. Solange dieser Constraint in der
CIB steht, kann die Ressource auf dem
Ursprungsknoten deshalb nicht mehr gestartet
werden. Mittels »crm configure
edit« lässt sich der Constraint aber beseitigen;
alternativ hilft auch »crm resource
unmigrate«.
Vorsicht vor
Overcommitment
Die Warnung klingt banal, sollte aber
aus der Erfahrung des Autors heraus an
102 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker, Libvirt, KVm
Know-H ow
dieser Stelle nicht fehlen: Oft passiert es,
dass im Laufe der Zeit eine VM nach der
anderen hinzukommt, ohne dass der Admin
die Hardware-Kapazitäten der Knoten
des Clusters im Auge behält. Solange
beide Clusterknoten laufen und sich die
Last teilen, funktioniert das gut – doch
wehe, einer der Knoten fällt aus: Der
verbliebene Knoten kann dann die Last
aller VMs dann oft nicht mehr alleine
schultern. Der ganze Cluster ist overcommitted
oder zu Deutsch: Er ist überlastet.
Von Hochverfügbarkeit kann dann kaum
noch die Rede sein. Es sollten deshalb
zu jedem Zeitpunkt immer nur so viele
Ressourcen im Cluster vorhanden sein,
wie auch ein einzelner Clusterknoten tatsächlich
alleine betreiben kann.
Die Erweiterung dieses
Setups
Das vorgestellte Setup führt zu einer
Mini-Cloud, die aus nur zwei Rechnern
besteht. Es bietet aber vielfältige Möglichkeiten
zur späteren Erweiterung. Der
nächste logische Schritt bestünde vermutlich
darin, die Zahl der verfügbaren
Server zum Betrieb virtueller Maschinen
zu erhöhen. DRBD stößt hier allerdings
an seine Grenzen. Deshalb baucht das
Konzept dann eine grundlegende Änderung:
Mithilfe von iSCSI kann aus einem
Cluster mit zwei Knoten ein vollständiger
SAN-Ersatz werden, der Daten über
das Netzwerk für typische Virtualisierungsfrontends
zur Verfügung stellt. Die
Anzahl der Server, auf denen virtuelle
Maschinen laufen, ist in diesem Fall
dann letztlich nur durch die Leistung des
Storage-Clusters eingeschränkt. Mit dem
Aufsetzen eines iSCSI-Clusters für genau
diesen Zweck beschäftigt sich der vierte
Teil des HA-Workshops, der im nächsten
Heft veröffentlicht wird. (jcb) n
Abbildung 5: Live-Migration setzt voraus, dass die DRBD-Ressource wie hier zu sehen auf beiden Knoten im
Primary-Modus läuft.
Infos
[1] Manifest gegen den Dual-Primary-
Betrieb von DRBD:vi [http://www.
linbit.com/ en/ education/tech-guides/
dual-primary-think-twice/]
Barcamp
IronPython
Datenbanken
PyCon DE 2011
Sprints
Schule
GUIs Systemintegration
Universität
Leipzig
Vorträge
Tutorials
Open-Source
PyPy Content-Management Systeme
Community Embedded Python
Wissenschaft
Jython Web-Entwicklung
1. Deutsche
Social Event
Cloud Computing
Datenbanken
Python
Konferenz
4. – 9. Oktober 2011
Leipziger KUBUS
Jetzt anmelden!
http://de.pycon.org
Oktober 2011
4. 5. – 7. 8. – 9.
Tutorials
Barcamp
PyCon DE 2011
1. Deutsche Python-Konferenz
Vorträge
Sprints

Know-how
Pacemaker und mysQL
Slawomir Kruz, 123RF
Pacemaker und MySQL
Rettungsschirm
für Datenbanken
der zweite Teil des workshops zum Cluster-manager Pacemaker wendet die in der letzten Folge gewonnenen
erkenntnisse praktisch auf eine mysQL-datenbank an. martin Loschwitz
Der erste Teil des Workshops vermittelte
die grundsätzlichen Fakten zum Thema
Hochverfügbarkeit mit Linux und stellte
den Pacemaker-Cluster-Manager vor, der
zwei Server in einen Cluster verwandeln
kann. Fällt einer der beiden Knoten aus,
wandern alle seine Dienste automatisch
auf den überlebenden Knoten. Pacemaker
– auch das diskutierte der vorangegangene
Beitrag – kennt zwei verschiedene
Möglichkeiten, mit anderen Clusterknoten
zu sprechen: Corosync und Heartbeat.
Außerdem wurde ein sogenannter
Resource Agent vorgestellt, der im Beispiel
für die Übernahme von IP-Adressen
zuständig war.
Der zweite Teil greift die bereits vorhandene
Konfiguration auf und erweitert sie
zum ersten Mal so, dass der Cluster für
einen echten Dienst ein Fail Over gewährleistet.
Dabei kommt auch DRBD zum
Einsatz, das die redundante Speicherung
der MySQL-Daten erledigt. Schließlich
zeigt der vorliegende Artikel, wie man
einen echten Aktiv-Aktiv-Cluster baut,
der zwei Instanzen von MySQL im Cluster
betreibt und dafür sorgt, dass sie stets
auf getrennten Hosts laufen.
DRBD für MySQL
Am Anfang eines hochverfügbaren
MySQL-Clusters steht natürlich die Installation
von MySQL. Alle relevanten
Distributionen bringen MySQL in paketierter
Form mit, sodass das problemlos
gelingen sollte.
Der Betrieb einer redundanten MySQL-
Datenbank [1] [2] setzt voraus, dass auf
beiden Clusterknoten jeweils die gleichen
Daten für MySQL zur Verfügung stehen.
Der Artikel zum Thema DRBD im letzten
Admin-Magazin [3] geht auf diese
Prob lematik ausführlich ein und erläutert
detailliert, wie sich DRBD einrichten
und konfigurieren lässt. Dieser Artikel
setzt voraus, dass DRBD anhand dieser
Anleitung bereits installiert und so konfiguriert
ist, dass eine Ressource namens
»mysql« mit mindestens 128 Megabyte
Größe vorhanden ist Abbildung 1. Sie
sollte auch bereits auf einem der beiden
Cluster-Knoten im Primary-Modus
laufen. Außerdem sollte mittels »mkfs«
bereits ein Dateisystem angelegt sein.
Eben diese DRBD-Ressource wird später
die Dateien der Datenbanken und Tabellen
der MySQL-Datenbank enthalten.
Um das zu ermöglichen, muss im ersten
Schritt ein Mountpoint her: In der Praxis
hat sich »/mnt/mysql « bewährt. Das
Verzeichnis muss natürlich auf beiden
Clusterknoten existieren. Sobald es angelegt
ist, lässt sich nun zum ersten Mal
die angelegte DRBD-Ressource »mysql«
auf dem Knoten, auf dem eben sie gerade
106 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker und mysQL
Know-how
Primary ist, unter diesen Mountpoint in
das System einhängen.
Basisdatenbank anlegen
Allerdings präsentiert sich das Dateisystem
auf der DRBD-Ressource nach dem
Mounten jungfräulich. Damit MySQL hier
später benutzbare Daten findet, ist mittels
»mysql_install_db --datadir=/mnt/
mysql« die grundlegende MySQL-Datenbankstruktur
anzulegen. Im Anschluss
sind die Permissions des Ordners so anzupassen,
dass MySQL problemlos darauf
zugreifen kann: Der Befehl »chown
-R mysql:mysql /mnt/mysql« sorgt dafür,
dass der Ordner dem MySQL-Benutzer
und der MySQL-Gruppe gehört. Der Befehl
ist übrigens auf beiden Clusterknoten
auszuführen – auch auf dem, auf
dem derzeit die DRBD-Ressource nicht
gemountet ist. Schließlich setzt »chmod
-R og+rwx /mnt/mysql« die Lese- und
Schreibberechtigungen passend.
Im Hinblick auf DRBD ist damit alles
erledigt, was für den Betrieb von MySQL
notwendig ist. Im nächsten Schritt steht
die Integration dieser DRBD-Ressource
in den Pacemaker Cluster-Manager an.
DRBD-Ressourcen unterscheiden sich
von herkömmlichen Ressourcen in Pacemaker
dadurch, dass sie aus zwei Teilen
bestehen.
Einerseits gehört zu einem DRBD-Laufwerk
in Pacemaker nämlich eine ganz
normale »primitive«-Ressource, wie sie
bereits aus dem ersten Teil des Workshops
bekannt ist. Andererseits ist allerdings
das dazugehörende Master-Slave-Setup
unverzichtbar.
Welcher Zustand auf
welchem Clusterknoten?
Master-Slave-Setups sind als Funktion in
Pacemaker seit einiger Zeit vorhanden,
werden aber bisher fast ausschließlich
von DRBD verwendet. Sie tragen dem
Umstand Rechnung, dass eine Ressource
nicht automatisch auf einem Clusterknoten
gestartet und auf dem anderen Clusterknoten
gestoppt sein muss. Bei einem
DRBD-Laufwerk ist das so: Die Ressource
ist im Normalfall auf beiden Clusterknoten
gestartet, hat aber auf den einzelnen
Knoten jeweils unterschiedliche Zustände
– nämlich »Primary« und »Secondary«.
Abbildung 1: Der Befehl »mysql_install_db« legt die wichtigsten Files für eine MySQL-Datenbank an, sodass
diese gestartet werden kann.
Um mit DRBD sinnvoll arbeiten zu können
– Stichwort Rollentausch – muss
Pacemaker wissen, welchen Zustand die
Ressource auf welchem Knoten hat. Genau
hier kommen die erwähnten Master-
Slave-Setups ins Spiel.
DRBD fit für Pacemaker
Das folgende Beispiel geht davon aus,
dass ein Cluster mit Pacemaker vorhanden
ist, der anhand der Anleitung im
ersten Workshop-Teil bereits grundlegend
konfiguriert ist. Die CRM-Shell ist das
Mittel der Wahl, um eine DRBD-Ressource
in Pacemaker zu konfigurieren.
Mittels »crm configure « öffnet sich das
Konfigurationsmenü der CRM-Shell. Die
Ressource gelangt so in die CIB:
primitive res_drbd_mysql U
ocf:linbit:drbd \
params drbd_resource="mysql" \
op monitor interval="10s" role="Master" \
op monitor interval="20s" role="Slave" \
op start interval="0" timeout="240" \
op stop interval="0" timeout="240"
Der Code scheint komplizierter als er ist:
n »primitive« legt fest, dass es um eine
normale Ressource des Typs »primitive«
geht, um welche die Clusterkonfiguration
wächst.
n »res_drbd_mysql« bezeichnet den Namen
der Ressource in Pacemaker.
n »ocf:linbit:drbd« bezeichnet den Resource-Agent
der Ressource; es handelt
sich um einen Agent der OCF-
Klasse vom Anbieter »linbit« mit dem
Namen »drbd«.
Die Zeile mit »params« legt die Parameter
für die Ressource fest. Grundsätzlich
braucht der DRBD-Resource-Agent nur
den Namen der Ressource, wie er in der
Konfigurationsdatei derselben steht – im
Beispiel also »mysql«.
Die beiden Zeilen mit »op monitor« am
Anfang definieren wie gehabt Monitoring-Operationen,
die Pacemaker in regelmäßigen
Abständen dazu bringen, den
Zustand der Ressource zu überprüfen.
Zwei Operationen sind nötig, weil sich
die Intervalle für die Einträge »Master«
und »Slave« bei »role« unterscheiden
müssen. Pacemaker würde sonst die beiden
Operationen zusammenlegen und
den Parameter »role« ignorieren, was zu
unzuverlässigen Resultaten führt.
»op start« und »op stop« legen schließlich
längere Timeouts für das Starten und
Stoppen der Ressource fest, um Problemen
vorzubeugen, wenn einer der Vorgänge
länger dauert als erwartet.
Das Master-Slave-Setting
Damit die DRBD-Ressource tatsächlich
von Pacemaker gesteuert wird, fehlt noch
das bereits erwähnte Master-Slave-Setting.
Die Syntax einer solchen Regel ist
diese:
ms Name der Master‐Slave‐RessourceU
Name der Ressource, auf die sie sich U
bezieht meta‐Attribute
Ein funktionierendes Master-Slave-Setup
für die vormals konfigurierte DRBD-Primitive-Ressource
wäre diese:
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
107

Know-how
Pacemaker und mysQL
primitive res_fs_mysql
ocf:heartbeatU
:Filesystem \
params device="/dev/drbd/U
by‐res/mysql/0" U
directory="/mnt/mysql" U
fstype="ext3"
options="noatime" \
op start interval="0" U
timeout="180s" \
op stop interval="0" U
timeout="300s" \
op monitor interval="60s"
Abbildung 2: Constraints sorgen in Pacemaker dafür, dass die Ressourcen, die zusammengehören, auch zusammen auf dem
gleichen Knoten laufen.
ms ms_drbd_mysql res_drbd_mysql U
meta clone‐max="2" master‐max="1" U
master‐node‐max="1" clone‐node‐max="1" U
notify="true" target‐role="Master"
»ms_drbd_mysql« legt dabei den Namen
der Master-Slave-Resource fest, und
»res_drbd_mysql« legt fest, dass sich die
Master-Slave-Regel auf die DRBD-Ressource
»res_drbd_mysql« bezieht. Die
»meta«-Paramater scheinen konfus, sind
aber treffend:
n »clone-max« legt fest, dass die Ressource
zu jedem Zeitpunkt auf höchstens
zwei Knoten im Cluster gleichzeitig
laufen darf.
n »master-max« legt fest, dass es zu jeder
Zeit nur einen Knoten im Cluster
geben darf, auf dem die Ressource im
»Master«-Modus läuft.
n »master-node-max« legt fest, dass auf
diesem Knoten jeweils nur eine Instanz
der Ressource im Master-Modus
laufen darf.
n »clone-node-max« sorgt dafür, dass
auf einem Clusterknoten nur eine Kopie
dieser Ressource vorhanden sein
darf.
An dieser Stelle wird deutlich, dass
Master-Slave-Setups eigentlich für umfangreichere
Aufgaben vorgesehen sind,
als sich mit einer DRBD-Ressource bewerkstelligen
lassen. »master-node-max«
und »clone-node-max« sind im Falle von
DRBD eigentlich überflüssig, müssen
aber trotzdem angegeben werden
Wenn die »primitive«-Ressource für
DRBD sowie die dazu gehörende »Master-Slave-Ressource«
in der CRM-Shell
hinzugefügt sind, katapultiert »commit«
im »configure«-Abschnitt der CRM-Shell
die Änderungen in den Cluster. Ein »crm_
mon -rf« zeigt die Ressourcen an – das
Ergebnis sollte dann aussehen wie in
Abbildung 2. Damit ist die Konfiguration
von DRBD für Pacemaker abgeschlossen.
Der Clustermanager wird ab sofort versuchen,
die DRBD-Ressource jederzeit
auf einem der beiden Cluster-Knoten im
Modus »Primary« zu betreiben.
Automatisch mounten
Für das Beispiel dieses Artikels ist es
mit DRBD allein allerdings noch nicht
getan. Denn auch, wenn Pacemaker die
DRBD-Ressource auf einem Knoten ordnungsgemäß
in den »Primary«-Modus
schaltet, fehlt noch immer der automatische
Mount-Vorgang, um das Dateisystem
tatsächlich verwenden zu können.
Zusätzlich zur DRBD-Ressource samt
Master-Slave-Setup muss deshalb auch
eine Ressource für eben diesen Mount in
die Clusterkonfiguration. Der für Mountvorgänge
vorhandene Ressource-Agent
entstammt der OCF-Klasse, kommt vom
Anbieter Heartbeat und heißt Filesystem.
Somit könnte eine brauchbare Filesystem-Ressource
für das »mysql«-DRBD so
aussehen:
In der »params«-Zeile bezeichnet
»device« das Device,
welches gemountet werden
soll – im Beispiel also die
DRBD-Ressource. »directory«
legt den Mountpoint fest,
»fstype« und »options« funktionieren
analog zu den Parametern
»-t« sowie »-o« bei
»mkfs«. Nachdem die Zeile
oben so in der CRM-Shell eingetippt ist,
aktiviert »commit« sie im Cluster. Die
DRBD-Ressource ist damit vorhanden –
es fehlen noch die passenden Constraints,
um die beiden Ressourcen auf denselben
Knoten des Clusters zu zwingen.
Constraints in Pacemaker
Ressourcen in einem Pacemaker-Cluster-
Setup können auf verschiedene Arten
voneinander abhängen. Dabei kann es
sich einerseits um Abhängigkeiten handeln,
die ein Administrator festlegt. Ein
typisches Beispiel wäre der Wunsch,
dass verschiedene Dienste immer auf
dem gleichen Host laufen sollen, um so
ein klassisches Aktiv-Passiv-Setup mit
einem „Standby-Knoten“ zu erreichen.
Aber auch intrinsische Abhängigkeiten
sind denkbar: Sind wie im Beispiel eine
DRBD-Ressource und dazugehöriges
Dateisystem vorhanden, dann muss das
Dateisystem stets auf dem Knoten gestartet
werden, auf dem auch das DRBD-
Laufwerk im »Primary«-Modus ist – denn
nur dort kann es überhaupt gemountet
werden. In Pacemaker lassen sich solche
Abhängigkeiten mit den sogenannten
Constraints abbilden. Zur Verfügung stehen
Order-Constraints, Colocation-Constraints
und Location-Constraints.
Die drei Begriffe sind Umschreibungen
für sehr komplexe Vorgänge, die in Pacemaker
ablaufen, um festzulegen, wo eine
108 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker und mysQL
Know-how
Ressource laufen soll. Pacemaker bringt
eine eigene Komponente mit, die sich
ausschließlich dieser Frage widmet: Die
Policy Engine, die in der Prozesstabelle
als »pengine« zu finden ist. Die Policy
Engine arbeitet intern mit Punktwerten.
Geht es um die Frage, wo eine spezifische
Komponente laufen soll, spielt eben diese
Policy Engine alle denkbaren Szenarien
durch und nutzt schließlich die Option
mit der höchsten Punktzahl. Der Admin
hat durch das händische Setzen von Constraints
die Möglichkeit, selbst Punkte zu
verteilen und damit die Entscheidung im
Punktewettkampf zu beeinflussen.
Colocation-Constraints
Mittels Colocation-Constraints legt der
Administrator fest, dass zwei Ressourcen
auf dem gleichen Host laufen müssen,
sollen oder nicht laufen dürfen. Die
Syntax eines Colocation-Constraints ist
grundsätzlich diese:
colocation Name Punktzahl: U
Ressource, die folgt Ressource,U
die grundsätzlich startbar sein muss
Obwohl es sich bei Colocation-Constraints
nicht um typische Ressourcen
handelt – das Gleiche trifft übrigens auf
Orders und Locations ebenso zu – brauchen
auch diese Einträge einen eindeutigen
Namen in der CIB. Dieser ist per
»Name« festzulegen. »Punktzahl:« kann
grundsätzlich jeder beliebige Zahlenwert
sein. In der Praxis finden sich hier aber
meistens die Einträge »inf:« und »-inf:«.
Entsprechend ist dann auch die Rede von
»Infinity-Colocations« und »Minus-Infinity-Colocations«.
Legt der Admin den
Wert auf »inf:« fest, bedeutet das, dass
zwei Ressourcen stets auf dem gleichen
Host zu starten sind – kann eine Ressource
nicht gestartet werden, so darf auf
dem Host auch die andere nicht laufen.
»inf:« ist die zweithöchste Punktzahl, die
ein Admin vergeben kann. Über »inf:«
rangiert bloß noch »-inf:«, was das genaue
Gegenteil bewirkt: Es besagt, dass
zwei auf diese Weise voneinander ausgeschlossene
Ressourcen unter keinen
Umständen auf dem gleichen Rechner
laufen dürfen.
Die beiden Argumente für den Colocation-Constraint
bezeichnen die zwei
Ressourcen, die miteinander verbunden
werden. Die angegebene Reihenfolge ist
wichtig, denn das zweite Argument bezeichnet
jeweils die Ressource, die auf
einem Cluster-Knoten laufen können
muss, bevor Pacemaker überhaupt prüft,
ob die andere Ressource dort ebenfalls
zu starten ist. Sprachlich hilft die Formulierung
„Die erste angegebene Ressource
folgt der zweiten angegebenen
Ressource“ als Eselsbrücke; doch ist der
Merksatz unpräzise, denn zunächst trifft
eine Colocation keine Aussage darüber,
in welcher Reihenfolge zwei Ressourcen
auf einem Knoten zu starten sind. In
der Praxis wirkt sich die hier verwendete
Reihenfolge insbesondere bei Colocation-
Constraints mit dem Punktwert »-inf:«
aus: Pacemaker sorgt dann nämlich dafür,
dass die im Colocation-Constraint an
zweiter Stelle stehende Ressource jedenfalls
auf einem Cluster-Knoten gestartet
wird, die andere aber auf dem gleichen
Knoten keinesfalls. Analog dazu ist die
Eselsbrücke bei »-inf:«-Constraints auch
„Die erste angegebene Ressource folgt
der zweiten angegebenen Ressource nie“.
Ist in einer solchen Situation kein zweiter
Cluster-Knoten mehr vorhanden, bleibt
die erste angegebene Ressource dann einfach
gestoppt.
Colocations in der Praxis
Ein typischer Colocation-Constraint, um
das im Beispiel angelegte DRBD mit dem
ebenfalls vorhandenen Dateisystem in
Pacemaker zu verbinden, sieht so aus:
colocation co_res_fs_mysql_always_with_ms_U
drbd_Master inf: res_fs_mysql ms_drbd_U
mysql:Master
Das Beispiel zeigt sehr deutlich, dass
DRBD-Ressourcen in Pacemaker stets
über ihre Master-Slave-Regel zu steuern
sind. Der Colocation-Constraint legt
fest, dass »res_fs_mysql« nur dort laufen
kann, wo auch die »Master«- Instanz von
»ms_drbd_mysql« läuft.
Location- und Order-
Constraints
Location-Constraints verbinden nicht
einzelne Ressourcen miteinander, sondern
legen fest, dass einzelne Ressourcen
mit erhöhter Präferenz auf einem
bestimmten Cluster-Knoten laufen sollen.
Location-Constraints spielen in Clustern
üblicherweise eine untergeordnete Rolle
und sind aufgrund sehr vieler Konfigurationsoptionen
eher umfangreich. Eine
ausführliche Hilfe finden Interessierte im
Hilfetext zum Befehl in der CRM-Shell,
der mittels »crm configure help location«
einzusehen ist.
Order-Constraints legen fest, in welcher
Reihenfolge zwei Ressourcen auf einem
Host zu starten oder zu stoppen sind.
Sie treten üblicherweise in Verbindung
mit den schon erwähnten Colocation-
Constraints auf. Ihre Syntax ist:
order Name Punktzahl Ressource, die U
zuerst gestartet wird Ressource, die U
danach gestartet wird
Je nach Art der angegebenen Ressourcen
ist an den Namen der String » :start« oder
»:promote« anzuhängen. Als Punktwert
fungiert in den allermeisten Fällen »inf:«.
Im Beispiel des Artikels, in dem sichergestellt
sein soll, dass das Dateisystem
erst startet, nachdem DRBD schon primär
ist, wäre ein passender Order-Constraint
dieser:
order o_res_fs_mysql_always_after_ms_U
drbd_mysql inf: ms_drbd_mysql:promote U
res_fs_mysql:start
Gruppen
Gruppen sind in Pacemaker eine adminfreundlichere
Methode, um Ressourcen,
die stets auf dem gleichen Host laufen
und in einer bestimmten Reihenfolge gestartet
werden müssen, miteinander zu
verbinden. Die Syntax ist
group Name Resource 1 Resource 2 ...
Master-Slave-Setups lassen sich nicht in
Gruppen integrieren, werden bei Bedarf
aber mittels Colocation- und Order-Constraints
mit diesen verbunden. Denkt man
sich im Beispiel des Artikels die Ressource
für MySQL mit dem Namen »res_mysql«
hinzu, so könnte eine Gruppe dafür so
aussehen:
group g_mysql res_fs_mysql res_mysql
Die Resource-Stickiness
Die in früheren Zeiten durchaus beliebte
Auto-Fail-Back-Funktion fristet heute eher
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
109

Know-how
Pacemaker und mysQL
ein Nischendasein. Schließlich bringt es
keinen Mehrwert, einen Dienst, der auf
einem Clusterknoten tadellos funktioniert,
grundlos auf einen anderen Server
zu migrieren. In der Standard-Konfiguration
ist das Feature in Pacemaker trotzdem
aktiv – über einen Umweg, der mit
dem schon erwähnten Punktesystem zu
tun hat. Denn auch die Frage, ob eine
Ressource auf dem Knoten eines Clusters,
auf dem sie gerade läuft, weiterlaufen
soll, wird über die schon erwähnte
Policy-Engine beantwortet.
Grundsätzlich gilt: Pacemaker ist ab
Werk darauf ausgelegt, dass ein von
ihm verwalteter Cluster symmetrisch ist.
Das heißt, dass die anfallende Last der
Ressourcen möglichst gleichmäßig auf
die verfügbaren Knoten zu verteilen ist.
Ohne besondere Voreinstellung bekommt
eine Ressource deshalb dafür, dass sie auf
Knoten A oder auf Knoten B läuft, keine
Punkte. Pacemaker startet eine Ressource
1 auf Knoten A und eine Ressource 2 auf
Knoten B. Fällt Knoten B aus, wandert
die Ressource 2 auf Knoten A. Kommt
Knoten B zurück
in den Cluster,
hat Pacemaker
die Möglichkeiten
„Lassen, wo
es ist“ oder „Auf
den anderen Knoten
verschieben“.
Beide Varianten
haben gleich viele
Punkte – 0 ab
Werk – und Pacemaker
verschiebt
die Ressource.
Um des Problems
Herr zu werden,
empfiehlt sich das
Setzen des Attributes
»resource-stickiness«. Der Wert legt
fest, wie viele Punkte eine Ressource dafür
bekommt, dass sie auf einem Cluster-
Knoten bereits läuft. Wenn der Wert auf
200 gesetzt ist, bekäme die Variante „Lassen,
wo es ist“ aus dem Beispiel gerade
200 Punkte und die Variante „Auf den anderen
Knoten verschieben“ immer noch
Abbildung 3: Dieses Setup ist ein klassisches MySQL-Setup, das zwar nie einen
Eintrag verliert, möglicherweise aber beim Fail-Over sehr lange braucht.
0 Punkte – das Verschieben wäre verhindert.
Der Wert »resource-stickiness« lässt
sich für alle Ressourcen im Cluster mit
diesem Befehl festlegen:
rsc_defaults resource‐stickiness="200"
Damit ist der automatische Fail-Back
dauerhaft unterbunden.
hochverfügbares mysQL
Die im Artikel beschriebene Vorgehensweise,
um eine MySQL-Datenbank hochverfügbar zu
machen, geht vom Standard-Beispiel aus: Ein
simpler Fail-Over-Cluster, in dem MySQL die
Hauptanwendung ist. In der Praxis funktioniert
dieses Prinzip zwar sehr verlässlich, bringt
allerdings auch ein großes Problem mit sich.
Der Grund hierfür liegt tief in den Strukturen
der InnoDB-Engine, die MySQL standardmäßig
verwendet und welche die mit Abstand meistgenutzte
Engine überhaupt ist. Im Anschluss
an einen Crash prüft MySQL die vorhandenen
Datenbanken auf ihre Konsistenz und nimmt falls
nötig entsprechende Korrekturen vor. Je größer
die vorhandene Datenmenge ist, desto länger
dauert dieser Vorgang. Dem Cluster-Manager
vermeldet der Resource-Agent für MySQL zwar
kurz nach dem Aufruf mit »start« den erfolgreichen
Start, bis die Datenbank aber tatsächlich
wieder auf Anfragen antwortet, dauert es bisweiligen
einige Minuten. Obwohl der Clusterstack
selbst also in kurzer Zeit einen brauchbaren
Zustand wiederherstellt, dauert es sehr viel
länger, bis die durch einen Fail-Over verursachte
Downtime endet.
Es lohnt sich durchaus, die Frage zu stellen, ob es
im Falle eines Falles tatsächlich eine Datenbank
braucht, bei der unter allen Umständen sicher
ist, dass niemals auch nur ein einzelner Eintrag
verloren geht. Es stehen sich zwei grundlegende
Betriebsmuster gegenüber: Eine Fail-Over-
Lösung wie oben beschrieben, die tatsächlich
„transaction safe“ ist, also vor Datenverlust im
Falle eines Ausfalls schützt (Abbildung 3). Ist
es andererseits denkbar, dass im Rahmen eines
Ausfalls eines Servers einzelne Records verloren
gehen, ist die Situation entspannter. Beispiele
aus der Praxis sind Webstores oder Foren: Hier
können Admins es meistens eher verschmerzen,
dass Einträge verloren gehen, die kurz vor dem
Crash erstellt worden sind, als dass eine Datenbank
wegen InnoDB-Recoverys 20 oder mehr
Minuten gar nicht zur Verfügung steht.
Master-Slave-Architektur von MySQL
Beide Szenarien lassen sich mit Pacemaker
abbilden. Die sichere Lösung war im Rahmen
dieses Artikels bereits Thema – das berühmte
Schema F mit einem von Pacemaker verwalteten
MySQL auf DRBD. Aber auch die Variante
2 lässt sich mit Pacemaker realisieren. Auch
für diese Variante braucht es mindestens zwei
Server. Der Unterschied zur Standard-Variante:
Durch die Möglichkeit, dass einzelne Datensätze
verloren gehen, erkauft sich der Admin die Möglichkeit
des nahezu sofortigen Fail-Overs ohne
lange Wartezeit. Denn in diesem Szenario gibt
es einen MySQL-Master und einen MySQL-Slave,
die ihren Inhalt auf MySQL-Ebene permanent
synchron halten. Fällt der aktuelle Master aus,
„befördert“ pacemaker den verbliebenen Knoten
vom Slave zum Master ( Abbildung 4 und
5). So steht sofort ein neuer Masterserver zur
Verfügung. Anstelle von DRBD kommt in diesem
Szenario also vor allem die in MySQL vorhandene
Replikationsfunktion zum Einsatz.
Dieses Szenario ist nicht auf zwei Server beschränkt,
sondern kann letztlich aus beliebig
vielen MySQL-Slave-Servern bestehen. Pacemaker
hilft bei der Administration: Mittels »clone«-
Ressourcen weiß es zu jedem Zeitpunkt, auf welchen
Mitgliedern eines Clusters ein MySQL läuft
und welche Rolle – Master oder Slave – dieses
MySQL gerade hat. Fällt der aktuelle Master-Server
aus, befördert Pacemaker automatisch einen
anderen Slave zum Master. indem eine Service-
IP jeweils mittels »Colocation-Constraint« auf
den Rechner fixiert wird, auf dem auch die aktuelle
Master-Instanz von MySQL läuft. So gibt
es immer ein funktionierendes MySQL, das auf
der definierten IP-Adresse lauscht.
Hilfe
Die genaue Beschreibung eines Master-Slave-
Setups mit Pacemaker und MySQL hätte den
Rahmen dieses Artikels gesprengt. Wer Interesse
an einem solchen Setup hat, richtet zunächst
zwei MySQL-Datenbanken mit Replikation
ein – eine Anleitung dazu findet sich in der Doku
von MySQL unter [1]. Anschließend fehlt noch
die passende Konfiguration für Pacemaker, die
auf der Wiki-Seite des »mysql«-OCF-RAs unter
[2] zu finden ist.
110 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker und mysQL
Know-how
Abbildung 4: In diesem Szenario kommen hingegen dynamische MySQL Master
und Slaves zum Einsatz. Stirbt ein Master-Server, übernimmt ein anderer die
Rolle …
Constraints in Pacemaker sind sehr komplex.
Die zuvor gegebenen Erklärungen
reichen zwar für alltägliche Einsatzszenarien
in Pacemaker, kratzen ansonsten
aber bloß an der Oberfläche. Wer sich mit
den Interna genauer befassen möchte,
funktio nierenden HA-Cluster mit MySQL
fehlen noch zwei Dinge, nämlich die
Datenbank selbst sowie die Service-IP,
unter der die Datenbank erreichbar sein
soll. Die Einrichtung einer IP-Adresse
geschieht analog zur Erklärung im ersfindet
in Andrew Beekhofs Dokumentation
[6] genauere Informationen.
Bisher besteht die Cluster-Konfiguration
aus der »primitive«-Ressource für DRBD,
der dazu gehörenden Master-Slave-Regel
sowie dem Dateisystem. Für einen
Abbildung 5: … und verliert dabei möglicherweise einzelne Einträge, bietet dafür
aber nahezu sofortigen Fail-Over.

Know-how
Pacemaker und mysQL
ten Teil des Workshops. Wenn auf den
beiden Cluster-Knoten die IP-Adressen
192.168.0.1 sowie 192.168.0.2 sind und
die Service-IP 192.168.0.3 sein soll, genügt
in Pacemaker diese primitive Ressource:
primitive res_ip_mysql ocf:heartbeat:U
IPaddr2 params ip="192.168.0.3" U
cidr_netmask="24" op monitor interval="20s"
Der MySQL-Resource-Agent
Im letzten Schritt findet auch MySQL
selbst Eingang in die CIB und wird so zur
von Pacemaker verwalteten Ressource.
Der Resource-Agent für MySQL ist ein
OCF-Agent vom Provider »heartbeat«
namens »mysql«. Besondere Bedeutung
haben die Parameter, die der Resource-
Agent kennt – sie erlauben es, wichtige
Parameter für MySQL unmittelbar in
Pacemakers CIB zu definieren.
Das folgende Beispiel geht von einem Debian-System
aus, bei dem sich »mysqld.
sock und mysql.pid« im Ordner»/var/run/
mysql« befinden. Das Log-Verzeichnis ist
»/var/log/mysql«. Die Konfigurationsdatei
heißt »/etc/mysql/my.cnf« – das
ist wichtig, weil der MySQL-OCF-RA sie
defaultmäßig in »/etc/my.cnf« erwartet
und außer einer Fehlermeldung keinen
Mucks von sich gibt, wenn er die angegebene
Konfigurationsdatei nicht findet.
Das MySQL-Binary ist »/usr/sbin/mysqld«.
Das »datadir«, in dem MySQL nach
seinen Datenbanken sucht, ist wie schon
erwähnt »/mnt/mysql«. Unter diesen Voraussetzungen
ergibt sich bei Debian diese
Ressourcen-Definition für MySQL:
primitive res_mysql ocf:heartbeat:mysqlU
params \
config="/etc/mysql/my.cnf" \
datadir="/mnt/mysql" \
log="/var/log/mysql/mysql.log" \
pid="/var/run/mysqld/mysqld.pid" \
socket="/var/run/mysqld/mysqld.sock" \
additional_parameters="‐‐bind‐address=U
192.168.0.3" \
op start interval="0" timeout="60s" \
op stop interval="0" timeout="60s" \
op monitor interval="60s"
Alle notwendigen Ressourcen sind damit
in Pacemaker vorhanden. Wie jedoch weiter
oben bereits beschrieben ist noch dafür
zu sorgen, dass die tatsächlich zueinander
gehörenden Ressourcen auch auf dem
gleichen Host und außerdem in der richtigen
Reihenfolge starten: Zunächst steckt
der Admin die Ressourcen »res_fs_mysql«,
»res_ip_mysql« sowie »res_mysql« in eine
gemeinsame Gruppe namens »g_mysql«:
group g_mysql res_fs_mysql res_ip_mysql U
res_mysql
Danach verbindet ein Colocation Constraint
in Kombination mit einem Order
Constraint diese Gruppe mit dem Knoten,
auf dem die DRBD-Ressource »ms_drbd_
mysql« im Primary-Modus läuft:
colocation co_g_mysql_always_with_ms_drbdU
_mysql inf: g_mysql ms_drbd_mysql:Master
order o_g_mysql_always_after_ms_drbd_mysqlU
inf: ms_drbd_mysql:promote g_mysql:start
Wenn alle diese Zeilen im »configure«-
Abschnitt der CRM-Shell eingetippt
Aktiv-Aktiv-mysQL-setup
01 primitive res_drbd_mysql ocf:linbit:drbd \
02 params drbd_resource="mysql" \
03 op monitor interval="10s" role="Master" \
04 op monitor interval="20s" role="Slave" \
05 op start interval="0" timeout="240" \
06 op stop interval="0" timeout="240"
07 primitive res_drbd_mysql2 ocf:linbit:drbd \
08 params drbd_resource="mysql2" \
09 op monitor interval="10s" role="Master" \
10 op monitor interval="20s" role="Slave" \
11 op start interval="0" timeout="240" \
12 op stop interval="0" timeout="240"
13 primitive res_fs_mysql ocf:heartbeat:Filesystem \
14 params device="/dev/drbd/by‐res/mysql/0" directory="/mnt/mysql"
fstype="ext3" options="noatime" \
15 op start interval="0" timeout="180s" \
16 op stop interval="0" timeout="300s" \
17 op monitor interval="60s"
18 primitive res_fs_mysql2 ocf:heartbeat:Filesystem \
19 params device="/dev/drbd/by‐res/mysql2/0" directory="/mnt/
mysql2" fstype="ext3" options="noatime" \
20 op start interval="0" timeout="180s" \
21 op stop interval="0" timeout="300s" \
22 op monitor interval="60s"
23 primitive res_ip_mysql ocf:heartbeat:IPaddr2 \
24 params ip="192.168.122.113" cidr_netmask="24" \
25 op monitor interval="20s"
26 primitive res_ip_mysql2 ocf:heartbeat:IPaddr2 \
27 params ip="192.168.122.114" cidr_netmask="24" \
28 op monitor interval="20s"
29 primitive res_mysql ocf:heartbeat:mysql \
30 params config="/etc/mysql/my.cnf" datadir="/mnt/mysql" \ log="/
var/log/mysql/mysql.log" pid="/var/run/mysqld/mysqld.pid" socket="/var/
run/mysqld/mysqld.sock" additional_parameters="‐‐bind‐address=192.168.
122.113" \
31 op start interval="0" timeout="60s" \
32 op stop interval="0" timeout="60s" \
33 op monitor interval="60s"
34 primitive res_mysql2 ocf:heartbeat:mysql \
35 params config="/etc/mysql/my.cnf" datadir="/mnt/mysql2" log="/
var/log/mysql/mysql2.log" pid="/var/run/mysqld/mysqld2.pid" socket="/
var/run/mysqld/mysqld2.sock" additional_parameters="‐‐bind‐address=192.
168.122.114" \
36 op start interval="0" timeout="60s" \
37 op stop interval="0" timeout="60s" \
38 op monitor interval="60s"
39 group g_mysql res_ip_mysql res_fs_mysql res_mysql
40 group g_mysql2 res_ip_mysql2 res_fs_mysql2 res_mysql2 \
41 ms ms_drbd_mysql res_drbd_mysql \
42 meta clone‐max="2" master‐max="1" master‐node‐max="1"
clone‐node‐max="1" notify="true" target‐role="Master"
43 ms ms_drbd_mysql2 res_drbd_mysql2 \
44 meta clone‐max="2" master‐max="1" master‐node‐max="1"
clone‐node‐max="1" notify="true" target‐role="Master"
45 colocation co_g_mysql2_always_with_ms_drbd_mysql2 inf: g_mysql2 ms_drbd_
mysql2:Master
46 colocation co_g_mysql_always_with_ms_drbd_mysql inf: g_mysql ms_drbd_
mysql:Master
47 colocation co_mysql2_never_follows_mysql ‐inf: ms_drbd_mysql2:Master
ms_drbd_mysql:Master
48 order o_g_mysql2_always_after_ms_drbd_mysql2 inf: ms_drbd_mysql2:promote
g_mysql2:start
49 order o_g_mysql_always_after_ms_drbd_mysql inf: ms_drbd_mysql:promote
g_mysql:start
112 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Pacemaker und mysQL
Know-how
Praktisch verhindert dieser Colocation-
Constraint, dass die DRBD-Ressource
»mysql2« dort Primary wird, wo die Ressource
»mysql« bereits Primary ist. Fällt
ein Clusterknoten aus, bleibt nur die Dasind,
beendet »commit« den Kraftakt.
Ein Blick in den Cluster-Status mit
»crm_mon -rf« auf der Kommandozeile
verrät, ob der Versuch erfolgreich war.
Das Ergebnis sollte aussehen wie in
Abbildung 6. Jedenfalls müssen sämtliche
angelegten Ressourcen auf dem
gleichen Clusterknoten laufen. Tauchen
im Cluster-Monitor Ressourcen auf, die
als »failed« markiert sind, so empfiehlt
es sich, mit »crm resource cleanup
Name der Resource« diese Ressourcen
aufzuräumen. Bei DRBD-Ressourcen ist
der Cleanup-Befehl grundsätzlich auf
das MS-Setting anzuwenden, beispielsweise
»crm resource cleanup ms_drbd_
mysql«.
Sinnvolle Nutzung
Das Pacemaker-Setup wie beschrieben
führt zu einem klassischen Aktiv-Passiv-
Cluster. Auf einem der beiden Clusterknoten
läuft das MySQL mit allem, was
dazugehört – der andere Server langweilt
sich. Das ist weder sinnvoll noch besonders
umweltfreundlich – es besteht
durchaus die Option, auch dem anderen
Clusterknoten zu Arbeit zu verhelfen.
Ein Beispiel wäre ein Szenario, in dem
es eine Produktiv-Datenbank und eine
Test-Datenbank gibt.
Im Alltag wird das Hauptaugenmerk
darauf liegen, die Produktivdatenbank
lauffähig zu halten. Solange beide Clusterknoten
verfügbar sind, soll auf dem
jeweils anderen Knoten eine Test-Datenbank
laufen. Stürzt ein Clusterknoten ab,
bleibt nur die Produktiv-Datenbank übrig.
Pacemaker würde in diesem Falle entweder
die Test-Datenbank auf dem Knoten
nicht starten, oder die Test-Datenbank –
falls sie auf dem noch laufenden Knoten
rennt – stoppen und an ihrer Stelle die
Produktivdatenbank starten. Das Setup
ist sehr leicht zu erreichen.
Ein zweites MySQL
Analog zur Konfiguration des ersten My-
SQLs braucht es eine komplette zweite
MySQL-Datenbank – auch in Pacemaker.
Eine etwaige DRBD-Ressource kann
»mysql2« heißen und der dazugehörige
Mountpoint »/mnt/mysql2«. Die Pacemaker-Ressourcen
inklusive Master-Slave-
Setup vom schon vorhandenen MySQL
Abbildung 6: Fertig – der MySQL-Cluster läuft im Aktiv-Aktiv-Modus; fällt ein Knoten aus, bleibt nur die
Datenbank „mysql“ übrig.
lassen sich analog übernehmen, lediglich
die verwendeten Namen und Parameter
sind anzupassen. Indem eine zweite
Service-IP definiert wird, zum Beispiel
192.168.0.4, erhält die Test-Datenbank
eine Adresse. Auch die IP- sowie die
Filesystem-Ressource sind analog zu
übernehmen. Statt »g_mysql« heißt die
zweite Gruppe »g_mysql2«. Die Parameter
der zweiten MySQL-Ressource namens
»res_mysql2« sind freilich ebenfalls
anzupassen, hier könnte das PID-File
»/var/run/mysqld/mysqld2.pid« und
das Socket-File »/var/run/mysqld/mysqld2.sock«
heißen. Datadir wäre freilich
»/mnt/mysql2«. Mittels Colocation und
Order wird die zweite DRBD-Ressource
mit »g_mysql2« verknüpft.
Versicherung gegen
Umsturz
Wenn auch die zweite MySQL-Datenbank
läuft und vollständig in Pacemaker
integriert ist, fehlt bloß noch ein Colocation-Constraint
mit Punktwert »-inf:«,
um die beiden Datenbanken voneinander
zu trennen. Im Beispiel sähe dieser
so aus:
colocation co_mysql2_never_follows_mysqlU
‐inf: ms_drbd_mysql2:Master ms_drbd_mysql:U
Master
tenbank »mysql« übrig. Die komplette
Konfiguration für ein solches Setup mit
Befehlen der CRM-Shell findet sich im
Kasten Aktiv-Aktiv-Setup.
DRBD und Pacemaker kommen jeweils
mit Werkzeugen daher, die jede Menge
verschiedene Parameter verstehen. Eine
übersichtliche Referenz auf zwei Din-A4-
Seiten, verfasst vom Autor dieses Artikels,
finden Sie auf der Homepage von
LINBIT unter [4] und [5]. (jcb) n
Infos
[1] MySQL-Replikation einrichten: [http://
dev.mysql. com/ doc/refman/5.5/en/
replication-howto. html]
[2] Master-Slave-Konfiguration von MySQL in
Pacemaker: [http://www.linux-ha.org/wiki/
Mysql_(resource_agent)]
[3] Admin-Magazin 5/ 11, Seite 80
Martin Loschwitz: Storage für HA-Cluster
[4] DRBD Quick Reference Guide: [http://
www.linbit. com/ en/ education/tech-guides/
drbd-quick-reference/]
[5] Pacemaker Quick Reference Guide: [http://
www.linbit. com/ en/ education/tech-guides/
pacemaker-quick-reference/]
[6] Andrew Beekhof, Cluster from Scratch:
[http://theclusterguy.clusterlabs.org/post/
193226662/ clusters-from-scratch]
Der Autor
Martin Gerhard Loschwitz ist freier Journalist
und seit über drei Jahren im High-Availability-
Umfeld aktiv. Er hilft dabei, den gesamten
Linux-Cluster-Stack für Debian GNU/ Linux zu
pflegen.
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
113

Asics
sieve
zu überfluten. Um von dieser Masse
nicht erschlagen zu werden, bedarf es
eines ausgeklügelten Filtersystems, das
Nachrichten automatisch in die richtigen
Ordner sortiert.
Für gewöhnlich richten sich Anwender
diese Filter direkt im E-Mail-Client ein,
denn sowohl Desktop-Applikationen wie
Mozilla Thunderbird oder Kmail als auch
Webmailer wie Roundcube oder Squirrel
Mail, bieten mehr oder weniger umfassende
Möglichkeiten dafür an. Diese
Variante ist mit Abstand am einfachsten
– solange man E-Mails nur von einem
System aus abruft.
Kommen mehrere Geräte ins Spiel, wird
es hingegen schwierig. Mit IMAP ist zwar
der Mailbestand überall identisch, doch
Filterregeln kennt das Protokoll nicht.
Zwar lassen sich theoretisch die Einstellungen
zwischen den Clients hin- und
herkopieren, doch das ist äußerst mühselig.
Spätestens, wenn sich noch Smartphones
und Tablet-PCs dazugesellen,
wird es endgültig kompliziert.
Mehr Komfort mit Sieve
Mails filtern mit Sieve
Versiebt
wer täglich mit einem ganzen berg von e-mails konfrontiert wird, ist auf
intelligente Filter angewiesen. mit sieve steht dabei eine serverseitige
Lösung zur Verfügung, die für Anwender wie für Administratoren einfach
einzurichten und zu warten ist. Florian effenberger
Das Ausmaß des E-Mail-Verkehrs in heutigen
Zeiten stellt Administratoren wie
auch Endanwender vor große Probleme.
Längst landen nicht nur private Nachrichten
in Postfächern, sondern auch
ein Großteil der geschäftlichen Korrespondenz,
selbst die Kommunikation mit
Behörden, erfolgt zumeist elektronisch.
Mailinglisten und Newsletter tun ihr Übriges,
um das Postfach mit allerlei Mails
© Scott Griessel , Fotolia
Wer als Administrator eines IMAP-Servers
seinen Nutzern etwas Gutes tun will,
bietet ihnen daher einen Sieve-Filter an.
Damit lassen sich, ähnlich wie etwa bei
Procmail, Filterregeln für eingehende
Nachrichten festlegen. Der große Vorteil
dabei ist, dass die Filterung direkt am
Server erfolgt und somit automatisch für
alle Clients unabhängig vom Betriebssystem
greift. Am Thunderbird-Desktop
werden sie ebenso abgebildet wie am
Android-Mobiltelefon und am Tablet-PC
– wenn man so will, ist Sieve quasi die
„IMAP-Art“, Mails zu filtern.
Aus Administratorensicht positiv ist, dass
Sieve direkt als Plugin im Mail Delivery
Agent (MDA) eingebaut und dadurch sehr
performant ist. Procmail hingegen wird
in der Regel als eigenständiges Skript
aufgerufen und verursacht entsprechend
höhere Last. Zudem ist die Sieve-Syntax
wesentlich einfacher als die in die Jahre
gekommene, eher kryptisch anmutende
Procmail-Sprache. Dabei steht Sieve für
eine Vielzahl von IMAP-Servern zur
Verfügung und beherrscht nicht nur das
Verschieben von Nachrichten in Unterordner,
sondern unter anderem auch
n das Weiterleiten von Nachrichten an
Dritte
n das Löschen von Nachrichten, die
als Spam oder Virus gekennzeichnet
sind
n das Versenden von Bounces (welches
allerdings mit Vorsicht zu genießen
ist)
n das Setzen von Labels und IMAP-
Markierungen
n das Versenden von Urlaubs- bezie-
114 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

sieve
bAsics
hungsweise Abwesenheitsbenachrichtigungen
Sowohl Aktionen als auch Abfragekriterien
lassen sich beliebig kombinieren.
So ist das Kennzeichnen, Weiterleiten
und automatische Beantworten einer bestimmten
E-Mail in Abhängigkeit von Absender
und Betreff mit nur wenigen Zeilen
möglich. Alle Elemente werden dabei
in einer einfach zu verstehenden Syntax
abgebildet. Aus Sicherheitsgründen unterstützt
Sieve jedoch im Gegensatz zu
Procmail nicht die Ausführung externer
Skripte. Dafür sieht es jedoch Plugins vor,
die einzelne Funktionen ergänzen.
Die richtige Stelle in Postfix
Unser Testsystem besteht aus der aktuellen
LTS-Version von Ubuntu 10.04 (Lucid
Lynx) und dem darin enthaltenen Postfix
2.7 samt Dovecot 1.2. Im Folgenden gehen
wir davon aus, dass beide Komponenten
bereits installiert und einsatzfähig sind,
und die einzelnen Benutzerkonten aus
der Datei »/etc/passwd« kommen – LDAP
oder MySQL sind also nicht im Spiel. Zur
Installation von Postfix genügt dafür die
Kommandozeile »apt-get install postfix«,
Dovecot findet mit »apt-get install dovecot-imapd«
den Weg aufs System.
Verständnisprobleme bereitet zunächst
die Frage, an welcher Stelle Sieve zum
Zug kommt. Da es eingehende Nachrichten
filtert, liegt der Gedanke nahe, dass
es eine Komponente des SMTP-Servers
ist, in diesem Fall also Postfix – doch weit
gefehlt. Zwar wird Sieve durch Postfix
aufgerufen, die Implementation ist aber
Bestandteil des IMAP-Servers.
Das Prinzip dahinter ist einfach: Postfix
nimmt wie gewohnt die E-Mails als
SMTP-Server entgegen und arbeitet seine
Konfiguration komplett ab: Adressauflösung,
Virenscanner, Spamfilter, Greylisting
und vieles mehr. Erst wenn Postfix
die Mail akzeptiert hat und nach Durchlauf
sämtlicher eigener Filter bereit ist,
sie ins Postfach des Nutzers zu legen,
kommt der sogenannte MDA, der Mail
Delivery Agent, ins Spiel, der die Nachricht
dann auch zustellt. Diese Aufgabe
übernimmt eine Sieve-fähige Dovecot-
Komponente [1].
Dieser Ablauf hat zwei entscheidende
Vorteile: Zum einen wird der Filter nur
mit Mails belastet, die nicht von vorn-
herein zurückgewiesen werden. Anders
ausgedrückt: Nachrichten, die direkt
beim Einliefern als Spam zurückgewiesen
werden, bekommt Sieve gar nicht
zu Gesicht, was die Ressourcen schont.
Zum anderen kann Sieve somit auch auf
Kopfzeilen zugreifen, die erst durch die
Postfix-Konfiguration hinzugefügt wurden,
beispielsweise die Einträge von
Spamassassin, ClamAV oder dem Policy-
Daemon [2].
Konfiguriert wird der MDA über die Option
»mailbox_command« in der Datei
»/etc/postfix/main.cf«. Auf dem Testsystem
sah die korrekte Anbindung von
Sieve an Postfix so aus wie in Listing 1.
Nach der Änderung lädt Postfix die Konfiguration
mit »postfix reload« neu.
Dovecot-Konfiguration
Die Nutzung von Dovecots »deliver« als
MDA allein genügt jedoch noch nicht, um
Sieve zu aktivieren, denn das Protokoll
will zunächst noch konfiguriert werden.
Auch hier gehen wir davon aus, dass die
grundsätzliche Dovecot-Installation bereits
funktionsfähig ist und Mails korrekt
in die IMAP-Postfächer verteilt werden.
Die Konfiguration des Servers befindet
sich unter Ubuntu in »/etc/dovecot/
dovecot.conf«. Zwei wichtige Optionen
befinden sich im Abschnitt »lda«, der zunächst
aktiviert werden muss. Die dortige
Option namens »postmaster_address« benennt
den technischen Ansprechpartner
für den Mailserver, der unter anderem
in Bounces und Systemnachrichten angezeigt
wird. Da es ohnehin sinnvoll ist,
einen dedizierten Alias namens »postmaster«
anzulegen, sollte dieser auch
seinen Weg in die Konfiguration finden.
In der Option »mail_plugins« wird die
Sieve-Filterung schlussendlich aktiviert,
denn Dovecot lädt die Erweiterung nur
dann nach, wenn der Administrator dies
explizit wünscht. Ein vollständiger »lda«-
Abschnitt sieht so aus:
protocol lda {
postmaster_address = postmaster@firma.tld
mail_plugins = sieve
}
Mit »/etc/init.d/dovecot restart« liest der
Server die Konfiguration neu ein.
Die Arbeit des Administrators ist an dieser
Stelle eigentlich getan, denn sind alle
Schritte erfolgreich umgesetzt, so steht
Sieve jedem Nutzer des IMAP-Servers zur
Verfügung. Im Folgenden soll daher gezeigt
werden, wie jeder Anwender seine
Filterregeln verwaltet und wie die Sieve-
Syntax aufgebaut ist.
Grundsätzlich bringt jeder IMAP-Server
seine eigene Sieve-Implementation mit,
die sich in Details durchaus unterscheiden
kann, beispielsweise im Dateinamen
für die Filterbefehle oder im Namen der
Plugins. In ihren Grundlagen ist die Sprache
jedoch spezifiziert, und die wesentlichen
Regeln sollten sich daher auch bei
einem Wechsel des Mailservers prob lemlos
übernehmen lassen. Die folgenden Ausführungen
beziehen sich auf die Sieve-
Implementation von Dovecot 1.2,1 wie es
Ubuntu 10.04 als Paket mitliefert.
Standardmäßig liegen alle Sieve-Kontrolldateien
im Home-Verzeichnis des jeweiligen
Benutzers. Für einen ersten Test sollte
am besten ein dedizierter Benutzer verwendet
werden, um den regulären Mailbetrieb
nicht zu gefährden, beispielsweise
durch versehentlich gelöschte oder in falsche
Ordner verschobene E-Mails. Generell
ist Sieve zwar sehr anwenderfreundlich
– so verhindert eine fehlerhafte Filterregel
nicht etwa die Zustellung von E-Mails,
sondern die Filterdatei wird in diesem Fall
gar nicht geladen, und die Mails werden
ungefiltert zugestellt. Bei einem hohen
Mailaufkommen kann bereits das jedoch
schon zu unschönen Effekten führen.
Protokoll
Bei der Dovecot-Implementation gibt es
mehrere relevante Dateien. Zentral ist die
Regeldatei ».dovecot.sieve« (mit Punkt
am Anfang), in der alle Filterregeln gespeichert
sind. Sie wird bei Änderungen
automatisch mit dem Eintreffen der
nächsten E-Mails als ».dovecot.svbin«
vorcompiliert, damit die Abarbeitung beschleunigt
wird. Wichtig ist zudem die
Protokolldatei ».dovecot.sieve.log«, denn
dort schreibt das Filtersystem standardmäßig
seine Fehlermeldungen hinein,
wenn Probleme auftreten. Im Fall von
Listing 1: Postfix-Konfiguration
01 mailbox_delivery_lock = dotlock, fcntl
02 virtual_mailbox_lock = dotlock, fcntl
03 home_mailbox = Maildir/
04 mailbox_command = /usr/lib/dovecot/deliver
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
115

Asics
sieve
Gerade beim Einsortieren von Mailinglisten
spielt Sieve seine Stärken aus. Während
viele Mailclients und insbesondere
Webmail-Systeme nur anhand des Betreffs
oder Empfängers filtern, ermöglicht
Sieve eine saubere Erkennung von Mailinglisten
über die Kopfzeilen List-ID oder
List-Post, wie sie beispielsweise standardmäßig
von Mailman hinzugefügt werden.
So lässt sich zuverlässig erkennen, ob
eine Nachricht wirklich über die Liste
verschickt wurde oder der Empfänger sie
direkt erhalten hat. Zwei Beispiele dazu
zeigt Listing 4.
Die erste Regel sorgt dafür, dass Mails
der deutschsprachigen LibreOffice-
Announcement-Liste in einen Ordner
unterhalb der Inbox verschoben werden,
wogegen die zweite Regel sich der Mails
für die Listenmoderatoren annimmt. Ordner
und Unterordner werden dabei IMAPtypisch
durch einen Punkt getrennt.
Hier wird auch der Unterschied zwischen
den Suchmodi »:contains« und »:matches»
klar. Während bei Ersterem der angegebene
Text lediglich irgendwo in der jeweiaktiven
Urlaubsbenachrichtigungen existiert
auch noch ».dovecot.lda-dupes«, die
über alle verschickten Auto-Replies Buch
führt.
Einen ersten Überblick über den Dateiaufbau
liefert das folgende einfache Beispiel
in Listing 2.
Zunächst werden alle benötigten Erweiterungen
geladen: in diesem Fall »fileinto«,
was für das Verschieben von Nachrichten
in andere Ordner verantwortlich zeichnet.
Im zweiten Teil folgen die einzelnen
Regeln, die Sieve nacheinander abarbeitet,
wobei eine Raute Kommentarzeilen
einleitet. In oben stehendem Beispiel
werden Nachrichten, in deren Kopfzeile
»X-Spam-Flag« das Wort »YES« enthalten
ist, in den Junk-Ordner verschoben, was
sich beispielsweise zum automatischen
Verschieben von durch Spamassassin erkannten
Werbenachrichten eignet. Um
diese Regel zu testen, genügt eine E-Mail
Listing 2: sieve-beispiel
01 # ‐‐ Laden der Plugins ‐
02
03 # zum Verschieben von Nachrichten in andere Ordner
04 require "fileinto";
05
06 # ‐‐ Filterregeln ‐
07
08 if header :contains "X‐Spam‐Flag" "YES" {
09 fileinto "Junk";
10 }
Listing 3: bedingungen und Aktionen
01 require ["fileinto", "imap4flags"];
02 if anyof (header :contains "X‐Spam‐Flag" "YES",
03 header :contains "Subject" "",
04 header :contains "Subject" "[SPAM]") {
05 setflag "\\Seen";
06 fileinto "Junk";
07 stop;
08 }
Listing 4: Listenmails filtern
01 require "fileinto";
02 if header :matches "List‐Id" "" {
03 fileinto "INBOX.announce@de‐libo";
04 stop;
05 }
06 if allof (header :matches "From" "*+owner@*",
07 header :matches "Subject" "Moderation
für*gebraucht") {
08 fileinto "INBOX.Moderation";
09 stop;
10 }
Abbildung 1: Sieve verschickt auf Wunsch auch Urlaubsbenachrichtigungen.
mit dem sogenannten GTUBE-Muster2.
In der Datei »/var/log/mail.log« wird
sogleich der erfolgreiche Filtervorgang
angezeigt:
Aug 2 10:15:51 mail dovecot: deliverU
(sieve): sieve: msgid=: stored mail into mailbox 'U
Junk'
In der Sieve-Sprache wird also zunächst
die Bedingung genannt, der dann die
durchzuführende Aktion folgt. Sowohl
Bedingungen als auch Aktionen lassen
sich kombinieren, wie das Beispiel in
Listing 3 zeigt.
Zunächst werden innerhalb von runden
Klammern drei Bedingungen festgelegt,
die durch die Option »anyof« jeweils
einzeln gültig sind. Anders ausgedrückt:
Kommt auch nur eine der drei Kopfzeilen
mit entsprechendem Inhalt vor, greift
die Regel bereits. Die damit verbundenen
Aktionen stehen darunter innerhalb
geschweifter Klammern. Im obenstehenden
Beispiel würden als Spam erkannte
Nachrichten wieder in den Junk-Ordner
verschoben, aber zudem als bereits gelesen
gekennzeichnet werden. Den dazu
nötigen Befehl »setflag« stellt die oben
in der Datei geladene imap4flags-Erweiterung
bereit.
Nützlich ist auch der abschließende Stop-
Befehl, denn er besagt, dass – sofern
die entsprechende Regel greift – keine
weitere Aktion mehr für diese Nachricht
abgearbeitet wird. Das ist unter anderem
dann hilfreich, wenn Nachrichten von
Mailinglisten oder Newslettern gekennzeichnet
werden und für diese keine Urlaubsbenachrichtigung
(siehe weiter unten)
verschickt werden soll.
Sauber sortiert
116 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

sieve
bAsics
ligen Kopfzeile vorkommen muss, lässt
sich mit Letzterem die Suche noch verfeinern,
denn damit muss der Text exakt so
vorkommen, wie er genannt wird, wobei
der Stern als Platzhalter dient. Ebenfalls
neu im Beispiel ist die Option »allof«, die
dafür sorgt, dass nicht nur mindestens
eine der Bedingungen zutreffen muss,
sondern alle – konkret müssen sowohl
der Absender als auch der Betreff stimmen,
damit die Regel greift. Suchtexte
mit Anführungszeichen werden bei Sieve
durch einen Backslash gekennzeichnet,
wie in Listing 5 deutlich wird.
Die Aufgabe dieses Filters besteht übrigens
darin, von älteren Symbian-Geräten
verschickte Mails in den Gesendet-Ordner
zu kopieren. Viele dieser Geräte beherrschen
nur die Funktion, eine Kopie an
sich selbst zu versenden. Daher fragt der
Filter zunächst Absender und Mailclient
ab und verschiebt dann die Mails.
Ab in den Urlaub
Bei Veröffentlichung dieses Artikels
dürfte die Urlaubszeit für die meisten
zwar schon vorbei sein, aber der nächste
Urlaub kommt bestimmt – und Sieve hilft
dabei. Über den Sinn und Unsinn von Urlaubsbenachrichtigungen
mag man sich
streiten, in manchen Bereichen sind sie
jedoch nicht mehr wegzudenken. Häufig
greifen Nutzer dafür auf waghalsige
Skripts zurück, die mehr Schaden anrichten
als sie nutzen. Die große Herausforderung
dabei ist, nur auf persönliche
Mails zu antworten – Autoresponder, die
auf Newsletter oder Mailinglisten antworten
sind mehr als lästig.
Wirklich zum Problem werden automatische
Antworten dann, wenn ihr Empfänger
ebenfalls mit einem Auto-Reply
reagiert: Schlecht konfigurierte Mailsysteme
schicken sich dann gegenseitig permanent
Mails zu, die in kürzester Zeit
das ganze System lahmlegen können.
Saubere Implementationen wie Sieve
prüfen daher verschiedenste Kriterien
wie Envelope Sender, Listen-Header und
vieles mehr, bevor sie überhaupt eine
Benachrichtigung verschicken.
Zudem führen sie eine Liste jeder verschickten
Benachrichtigung und sorgen
dafür, dass Empfänger nur einmal innerhalb
eines bestimmten Zeitraums angeschrieben
werden und nicht bei jeder
neuen Nachricht noch einmal. Sinnvoll
ist es, in der Filterdatei zunächst alle
Mailinglisten, Newsletter und andere automatisierte
E-Mails zu verschieben und
mit dem oben erwähnten Stop-Befehl die
Bearbeitung zu beenden. Nur Nachrichten,
auf die keiner dieser Filter passt,
werden dann automatisch beantwortet.
Die Implementation der Urlaubsbenachrichtigung
ist in wenigen Zeilen erledigt,
wie Listing 6 zeigt.
Zunächst wird wieder das benötigte Modul
geladen, in diesem Fall »vacation«.
Mittels »days« wird angegeben, wie oft
eine Benachrichtigung verschickt wird,
im Beispiel alle 14 Tage. Wichtig ist auch
die Angabe der Empfängeradressen, denn
Sieve verschickt nur dann eine Nachricht,
wenn eine dieser Adressen im An- oder
Cc-Feld genannt ist (Abbildung 1). Lediglich
die Angabe des Betreffs ist optional.
Sieve kann noch viel mehr
Neben den vorgestellten Funktionen beherrscht
Sieve noch einiges mehr, das
jedoch den Rahmen dieser Einführung
sprengen würde. Wer die Grundlagen der
Sprache versteht, der kann sich mithilfe
von zahlreichen im Netz verfügbaren Beispielskripts
[3] und Tutorials [4] schnell
umfangreiche Filterregeln erstellen. Um
nicht alle Skripts lokal testen zu müssen,
bietet sich die Nutzung eines Web-
Validators [5] an. Hilfreich ist es auch,
die zum jeweiligen IMAP-Server gehörige
Dokumentation für produktspezifische
Hinweise zu lesen.
Eine Frage bleibt zum Schluss noch offen:
Wie finden die Skripte ihren Weg
auf den Server? Während auf kleineren
Installationen die Anwender entweder
per FTP (unsicher!), WebDAV oder gar
SSH auf ihr Homeverzeichnis zugreifen,
bietet sich für größere Netzwerke
die Nutzung des Manage-Sieve-Dienstes
[6] an. Er ermöglicht Mailclients und
Webmail-Systemen, die Filter auch ohne
direkten Systemzugang über ein eigenes
Protokoll einzuspielen. (ofr)
n
Infos
[1] Dovecot Sieve plugin:
[http://wiki. dovecot.org/LDA/Sieve]
[2] Generic Test for Unsolicited Bulk Email:
[http://spamassassin.apache.org/gtube/]
[3] Sieve-Beispiele: [http://de.wikipedia.org/
wiki/Sieve# Beispiel]
[4] Sieve-Tutorial: [http://www.tty1.net/blog/
2011-07-16-sieve-tutorial_en.html]
[5] Liebsieve-PHP: [http://libsieve-php.
sourceforge. net]
[6] Manage Sieve: [http://wiki.dovecot.org/
ManageSieve]
Der Autor
Florian Effenberger engagiert sich seit vielen
Jahren ehrenamtlich für freie Software. Er ist
Gründungsmitglied und Mitglied des Steering
Committee der Document Foundation. Zuvor
war er fast sieben Jahre im Projekt OpenOffice.
org aktiv, zuletzt als Marketing Project Lead.
Zudem schreibt er regelmäßig für zahlreiche
deutsch- und englischsprachige Fachpublikationen.
Kontakt und weitere Informationen unter
[floeff@documentfoundation.org]
Listing 5: suche
01 require ["fileinto", "imap4flags"];
02 if allof (header :matches "From" "\"Florian
Effenberger\" ",
03 header :matches "X‐Mailer" "EPOC Email
Version 2.10") {
04 setflag "\\Seen";
05 fileinto "Sent";
06 stop;
07 }
Listing 6: im urlaub
01 require "vacation";
02 vacation
03 :days 14
04 # bei mehreren Adressen in der Form ["adresse1",
"adresse2", "adresse3"]
05 :addresses "floeff@meinefirma.tld"
06 :subject "Out of office / Zurzeit nicht anwesend"
07 "This is an automatically generated message.
08 Dies ist eine automatisch erstellte Nachricht.
09
10 I am out of the office until September 5th, 2011.
Your e‐mail will not be
11 forwarded, but replied to after my return. In case of
an emergency,
12 please call our headquarters. This message will only
be sent out once.
13
14 Ich bin bis einschließlich 5. September 2011 nicht im
Büro. Ihre Nachricht
15 wird nicht weitergeleitet, sondern nach meiner
Rückkehr beantwortet. Im
16 Notfall rufen Sie bitte unsere Firmenzentrale an.
Diese Nachricht wird
17 nur einmalig versendet.";
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
117

AsiCs
solaris zones
Erste Schritte mit Open Solaris und Zones
Containerfracht
© Ulrich Müller; 123RF
mit Open solaris zones hat der Admin eine leistungsstarke und dabei einfach zu administrierende Virtualisierungslösung
an der Hand, die kaum Performanceeinbußen zur Folge hat und sehr viele Container nebeneinander
verkraftet. dieser Artikel assistiert bei den ersten schritten. Ken Hess
Open Solaris ist wie Linux ein ambitioniertes
Betriebssystem-Projekt, das eine
Plattform bereitstellt, auf der sich Applikationen
entwickeln und ausführen lassen.
Ursprünglich von Sun Microsystems
ins Leben gerufen und nun zu Oracle
gehörig, läuft Open Solaris auf einem
breiten Spektrum von PC-Hardware [1].
Eines der beeindruckendsten Features ist
die eingebaute Virtualisierungslösung
Solaris Zones.
Virtualisierungsexperten messen die Effizienz
als Funktion der Performance und
der Anzahl möglicher virtueller Maschinen
pro Host. In beiden Disziplinen ist
Solaris Zones ungeschlagen: Die Perfor-
Listing 1: Create a zone named web1
01 root@opensolaris:~# zonecfg ‐z web1
02
03 web1: No such zone configured
04 Use 'create' to begin configuring a new zone.
05 zonecfg:web1> create
06 zonecfg:web1> set zonepath=/zones/web1
07 zonecfg:web1> set autoboot=true
08 zonecfg:web1> add net
09 zonecfg:web1:net> set address=192.168.1.40/24
10 zonecfg:web1:net> set physical=e1000g1
11 zonecfg:web1:net> set defrouter=192.168.1.254
mance der Zonen ist nativ und es können
Hunderte Instanzen auf einem Host
nebeneinander existieren.
Die Zonen, oft auch Container genannt,
sind eine erweiterte Abart der Chroot-
Jails. Wie Jails bieten sie eine sichere
und isolierte Umgebung, aus der heraus
Prozesse, Applikationen und Services gestartet
werden können. Alle Zonen eines
Solaris-Systems beziehen sich auf einen
gemeinsamen Kernel. Obwohl sich verschiedene
Linux-Distributionen in einer
Open-Solaris-Zone installieren lassen
(Red Hat und CentOS), ist es empfehlenswert,
stattdessen bei Open Solaris für
alle Zonen zu bleiben.
12 zonecfg:web1:net> end
13 zonecfg:web1> add attr
14 zonecfg:web1:attr> set name=comment
15 zonecfg:web1:attr> set type=string
16 zonecfg:web1:attr> set value="Apache Web Server
1"
17 zonecfg:web1:attr> end
18 zonecfg:web1> verify
19 zonecfg:web1> commit
20 zonecfg:web1> exit
Wer sich mit einer Zone über ihre IP-
Adresse oder einen Hostnamen verbinden
will, dem erscheinen die Zonen wie
alleinstehende Rechner. Der gelegentliche
Nutzer wird zwischen einer Zone,
einem voll virtualisierten und einem physischen
Rechner keinerlei Unterschiede
bemerken. Jede Zone kann ihren eigenen
Administrator, ihre eigenen User und
Passworte haben.
Voraussetzungen
Für praktische Experimente mit Solaris
Zones müssen ein paar Voraussetzungen
erfüllt sein. Zunächst ist die aktuellste
Open-Solaris-Version nötig, installiert auf
einem PC. Hardware, die sich für Linux
eignet, sollte auch für Solaris passen.
Viele Zonen-Hosts verfügen über 2 GByte
RAM, was für einen effizienten Betrieb
auch mit vielen Zonen reicht: Weil es nicht
um vollvirtualisierte Maschinen geht,
ist nicht so viel RAM nötig. Jede Zone
braucht zudem ausreichend Plattenplatz,
wobei sie die gesamte freie Diskkapazität
des Host als nutzbar ansieht. Zeitgemäße
118 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

solaris zones
bAsiCs
Dual-Core- und Quad-Core-Prozessoren
haben keine Schwierigkeiten mit Solaris
Zones, besondere Anforderungen gibt es
nicht – es sei denn, man möchte Linux in
den Zonen laufen lassen. Dann braucht
man Intel-Prozessoren.
Die letzte Voraussetzung ist ZFS, das leistungsstarke,
sich selbst verwaltende Filesystem
von Open Solaris. Open Solaris an
sich kommt auch mit UFS klar, aber die
Zonen benötigen ZFS.
Zonen auf der
Kommandozeile
Zwei einfache Informationen über Open
Solaris Zones können einem Frustration
und stundenlanges Googlen ersparen.
Erstens: Man muss für Zonen ZFS verwenden
[2]. Zweitens: Das Verzeichnis,
das die Zonen beherbergen soll, muss
zuerst existieren.
Im folgenden Beispiel benutzen wir
der Einfachheit halber den Hostnamen
»opensolaris«. Alle Kommandos für das
Zonenmanagement erfordern Rootrechte.
Von diesem Punkt an unterstellt der Text,
dass der Beispielnutzer als Root angemeldet
ist, es sei denn, es wird ausdrücklich
etwas anderes gesagt.
Zuerst soll eine Zone angelegt werden.
Das übergeordnete Verzeichnis kann
zwar beliebig heißen, aber das Beispiel
verwendet den Namen »zones«.
root@opensolaris:~# mkdir /zones
Eine neue Zone einzurichten, ist einfach.
Open Solaris benötigt dafür nur wenige
Informationen: Einen Namen, den Pfad
zum Homedirectory der Zonen und ein
Netzwerk-Setup (IP-Adresse, physisches
Interface und Default Rooter). Zwar lassen
sich noch viele weitere Parameter
angeben, doch sind sie in den meisten
Fällen nicht notwendig. Das Beispiel
(Lis ting 1) gibt noch eine Beschreibung
an, aber die ist optional.
Im nächsten Schritt wird die Zone installiert.
Dabei erzeugt die Software an-
Listing 2: installation einer zone
01 # zoneadm ‐z web1 install
02
03 A ZFS file system has been created
for this zone.
04 Publisher: Using opensolaris.
org (http://pkg.opensolaris.org/
release/).
05 Image: Preparing at /zones/
web1/root.
06 Cache: Using /var/pkg/
download.
07 Sanity Check: Looking for 'entire'
incorporation.
08 Installing: Core System (output
follows)
09 DOWNLOAD
PKGS FILES XFER (MB)
10 Completed
20/20 3021/3021 42.55/42.55
11
12 PHASE
ACTIONS
13 Install Phase
5747/5747
14 Installing: Additional Packages
hand des Konfigurationsfiles »/etc/
zones/web1.xml« die Standardverzeichnisse,
legt Links an, kopiert Dateien in
das Verzeichnis der Zone und erzeugt
das Systemlayout (Listings 2 und 3).
Die Installation legt auch das gesicherte
Zonenverzeichnis »/zones/web1« an und
setzt die passenden Rechte (»root:root
drwx------«).
Danach ist die Zone »web1« fertig und
man kann sich vom Hostsystem oder einem
anderen Rechner aus via SSH in
(output follows)
15 DOWNLOAD
PKGS FILES XFER (MB)
16 Completed
37/37 5598/5598 32.52/32.52
17
18 PHASE
ACTIONS
19 Install Phase
7329/7329
20
21 Note: Man pages can be
obtained by installing SUNWman
22 Postinstall: Copying SMF seed
repository ... done.
23 Postinstall: Applying workarounds.
24 Done: Installation
completed in 411.387 seconds.
25
26 Next Steps: Boot the zone, then
log into the zone console
27 (zlogin ‐C) to
complete the configuration process
28
29 # zoneadm ‐z web1 boot
Listing 3: interaktive Konfigurationssession
01 # zlogin ‐C web1
19
02 [Connected to zone 'web1' console]
20 Host name for e1000g1:1: web1
69/69
21
03 Reading ZFS config: done.
04 Mounting ZFS filesystems: (6/6)
05
06 What type of terminal are you using?
07 1) ANSI Standard CRT
08 2) DEC VT100
09 3) PC Console
10 4) Sun Command Tool
11 5) Sun Workstation
12 6) X Terminal Emulator (xterms)
13 7) Other
14 Type the number of your choice and press Return: 2
15
16 Creating new rsa public/private host key pair
22 Configure Kerberos Security: No
23
24 Name service: DNS
25
26 Domain name: blah.com
27
28 Server's IP Address: 192.168.1.254
29
30 Use NFSv4: Yes
31
32 Continents and Oceans: Americas
33
34 Location: US
35
36 Time zones: Central
17 Creating new dsa public/private host key pair
37
18 Configuring network interface addresses: e1000g1.
38 Root password: xxxxxxxx
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
119

AsiCs
solaris zones
zum Beispiel alle konfigurierten Zonen
sehen, unabhängig davon, ob sie laufen
oder nicht, braucht es den Switch »-c«:
$ zoneadm list ‐c
global
web1
web2
web3
Abbildung 1: Die Zonenliste von Open Solaris im Webmin-Interface.
sie einloggen. Sollte das scheitern, gilt
es entweder, Root-Logins für die Zone
zu ermöglichen oder in ihr andere User-
Accounts anzulegen. Aber wie soll das
gehen, wenn man sich nicht als Root
einloggen kann? Die Lösung heißt Zone
Login.
Zonen-Login
Drei auf Zonen bezogene Kommandos
sollten jedem Admin vertraut sein. Das
erste, »zlogin«, erlaubt ein Root-Login in
jeder Zone ohne Passwort.
# zlogin web1
root:@web1:~#
Hat man sich auf diese Weise in die Zone
web1 eingeloggt, lässt sich dort ein User-
Account erstellen, über den dann ein SSH-
Login möglich ist. Via »zlogin« kann man
sich mithilfe des Switches »>-l« auch als
beliebiger User einloggen.
ration nachträglich zu ändern. Zonecfg
ist interaktiv. Die Listings 4 und 5 zeigen,
wie sich Parameter ändern und Teile
der Konfiguration ergänzen oder löschen
lassen.
Zonen-Administration
Sobald man eine Zone kreiert hat, kann
man sie mit dem Kommando »zoneadm«
administrieren, das heißt booten, rebooten,
auflisten, überprüfen, deinstallieren,
klonen, verschieben, fertigstellen
oder zuweisen. Außer dem Auflisten erfordern
alle anderen Operationen Root-
Privilegien.
$ zoneadm list
global
web1
web2
Per Default zeigt das Kommando so nur
laufende Zonen an. Will man dagegen
Eine erweiterte Ausgabe produzieren die
Schalter »-c« und »-v« (für verbose) im
Verbund (Listing 6).
Die Zone web3 ist hier installiert, sie läuft
aber nicht. Um sie zu starten, genügt das
Kommando:
# zoneadm ‐z web3 boot
Das Gegenteil würde
# zoneadm ‐z web3 halt
bewirken. Das Kommando »halt« versetzt
die Zone in den Zustand »installiert« und
schaltet sie ab. Der zu bevorzugende
Weg, um eine Zone herunterzufahren,
ist aber
# zlogin web3 shutdown
Manchmal ist es notwendig, eine Zone
aus Platzmangel, wegen Wartungsarbeiten
oder nach einem Systenabsturz zu
verlagern. Das geht so:
# zoneadm ‐z web3 halt
# zoneadm ‐z web3 move /zones2/web3
# zoneadm ‐z web3 boot
zlogin ‐l khess web1
khess@web1:~$
Zlogin kann schließlich auch Kommandos
innerhalb einer Zone ausführen,
ohne dass man sich dafür in einer Shell
einloggen muss. Das ist besonders für
Scripts praktisch:
zlogin web1 uname ‐a
SunOS web1 5.11 snv_111b i86pc i386
Zonen-Konfiguration
Das Kommando »zonecfg« erzeugt eine
Zone, erlaubt es aber auch, ihre Konfigu-
Listing 4: Ändern der iP-Adresse
01 # zonecfg ‐z web1
02 zonecfg:web1> select net address=192.168.1.40/24
03 zonecfg:web1:net> set net address=192.168.1.50/24
04 zonecfg:web1:net> end; verify; commit; exit
Listing 5: interaktive Konfiguration
01 # zonecfg ‐z web1
02 zonecfg:web1> remove net address=192.168.1.50/24
03 zonecfg:web1:net> end; verify; commit; exit
04
05 # zonecfg ‐z web1
06 zonecfg:web1> add net
07 zonecfg:web1:net> set address=192.168.1.30/24
08 zonecfg:web1:net> set physical=e1000g1
09 zonecfg:web1:net> set defrouter=192.168.1.254
10 zonecfg:web1:net> end; verify; commit; exit
Listing 6: zonenliste
01 $ zoneadm list ‐cv
02 ID NAME STATUS PATH BRAND IP
03 0 global running / native
shared
04 1 web1 running /zones/web1 ipkg
shared
05 2 web2 running /zones/web2 ipkg
shared
06 ‐ web3 installed /zones/web3 ipkg
shared
120 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Abbildung 2: Die Webmin-Seite für die grundlegende Konfiguration einer Zone.
Wer die Konfigurationsarbeiten auf der
Kommandozeile scheut, für den ist vielleicht
Webmin ein Ausweg, das es auch
für Open Solaris gibt. Das Tool enthält
auch ein Zonen-Modul, das man in der
Webmin Systemgruppe findet. Wählt
man es aus, landet man auf einer Seite
mit einer Zonenliste. Konfigurieren muss
man dafür nichts.
Webmin
Die Seite mit der Zonenliste ermöglicht
es, Zonen anzulegen, herunterzufahren,
zu booten oder zu deinstallieren (Abbildung
1).
Klickt man auf den »Add zone«-Link, landet
man auf der Konfigurationsseite (Abbildung
2), wo die wichtigsten Attribute
der Zone wie Name, Zonenverzeichnis,
IP-Adresse oder Netzwerk-Interface einzugeben
sind.
Ist alles eingetragen, klickt der Konfigurator
auf den Button »Create Now«, um
den Installationsprozess anzustoßen. Die
so erzeugte und installierte Zone kann
danach interaktiv weiter mit »zlogin -C
web3« konfiguriert werden. Webmin
hält ein reichhaltiges Interface bereit,
das manchem vielleicht eher liegt als die
Arbeit auf der Kommandozeile. Wo man
allerdings das Erzeugen einer Zone automatisieren
will, ist man auf die Kommandozeilenversion
angewiesen.
Fazit
Wer die hier vorgestellten grundlegenden
Handgriffe zum Einrichten einer Zone
einmal ohne großen Aufwand ausprobieren
möchte, der kann sich leicht Open
Solaris in einer virtuellen Maschine installieren.
Am besten eignet sich dafür
Oracles Virtual Box mit einer virtuellen
Platte von wenigstens 20 GByte. Zonen
können auch auf einer separaten virtuellen
Disk angelegt werden, die aber ebenfalls
mit ZFS eingerichtet sein muss.
Open Solaris ist ein weiteres freies Betriebssystem
neben Linux. Mit ihm gesammelte
Erfahrungen lassen sich auch
leicht auf Oracles Solaris auf der Sparc-
Plattform übertragen. (jcb)
n
Infos
[1] Open Solaris: [http://www.opensolaris.org]
[2] ZFS-Dateisystem:
[http://www. sun. com/bigadmin/topics/zfs]
[3] Webmin: [http://www.webmin.com]
www.A dmin-mAgA zin.de

TesT
scalr
Die Cloud-Computing-Plattformen Scalr und Rightscale
Auf dem Bauernhof
BamRob, photocase.com
in der Theorie funktioniert in der Cloud alles von selbst. in der Praxis skalieren Anwendungen aber nicht so ohne
weiteres. dienste wie scalr und Rightscale wollen dabei helfen. dan Frost
Als die neue Mode des Cloud Computing
auf einmal in aller Munde war, probierten
die meisten die neue Technologie auf
Amazons EC2 aus. Dabei war es nicht
schwer, mehr Speicherplatz zu bekommen
oder auch einmal eine neue Instanz
hinzuzubuchen, um ein neues Feature
auszuprobieren. Automatisch skalieren
ließen sich die eigenen Anwendungen
damit aber nicht.
Dabei besteht der Witz des Cloud Computing
gerade darin, dass sich Anwendungen
quasi selbstständig und automatisch
skalieren. Die erste Generation von
Cloud-Diensten stellte aber eher einzelne
Server-Instanzen zur Verfügung, deren
Management noch einmal einen extra
Aufwand bedeutete.
Automatik-Cloud
Cloud-Ressourcen hinzu oder ziehen sie
wieder ab, wenn sie gerade nicht mehr
gebraucht werden.
Scalr überwacht die einzelnen Server und
ersetzt ausgefallene Knoten selbstständig.
Um Datenverlust zu verhindern, legt
es selbstständig Backups im Amazon-Storage
EBS an. Schließlich hilft Scalr auch
Kosten sparen, indem es bei geringer
Auslastung nicht gebrauchte Server abschaltet.
Mit anderen Worten: Scalr stellt
Anwendern ein einheitliches virtuelles
System zur Verfügung, im Scalr-Jargon
auch Farm genannt.
Damit lassen sich selbst geschriebene
Skripte ersetzen, die häufig eher schlecht
als recht diese Aufgabe übernehmen. Anwender
können sich also auf ihren eigenen
Code konzentrieren statt auf das Management
der Cloud. Dabei skaliert Scalr
nicht nur den Webserver, sondern auch
die Datenbank, was nach Meinung des
Herstellers der am schwierigsten zu skalierende
Teil einer Webanwendung ist.
Software wie Scalr [1] und Rightscale
[2] verschaffen in dieser Hinsicht mehr
Komfort. Anders als die Low-Level-APIs
und -Tools von Amazon, Rackspace und
anderen ermöglichen Scalr und Rightscale
das Management einer Cloud als
Einheit, ohne sich um die einzelnen Elemente
kümmern zu müssen. Je nach den
aktuellen Anforderungen, fügen sie dabei
Abbildung 1: Über Rollen lassen sich einzelnen Farmen spezifische Funktionen zuweisen.
122 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

scalr
TesT
Scalr ist eine Open-Source-Anwendung
[3], aber auch als Service erhältlich.
Wenn Sie Scalr ausprobieren möchten,
sollten Sie sich einen Entwickler-Account
besorgen [4].
Gehöft
Mit einem Account ausgestattet, kann
es losgehen. Zuerst legen Sie über den
Menüpunkt »Server Farms« im Webinterface
eine neue Farm an. Wählen Sie einen
Speicherort in der Amazon-Cloud EC2
und drücken Sie auf »Next«. Scalr erlaubt
es, vordefinierte Rollen auszuwählen, die
bestimmten Einsatzzwecken der jeweiligen
Cloud entsprechen. Sie stehen auf
der folgenden Seite zur Verfügung (Abbildung
1). Nach dem Speichern lässt sich
die Cloud einfach starten. Denken Sie dabei
daran, dass Amazon den Betrieb jeder
Instanz in Rechnung stellt, auch wenn sie
nur ein paar Minuten läuft!
Eine Scalr-Instanz sieht aus wie ein Server,
verhält sich wie ein Server, ist aber
eben kein Server. Die Instanzen sind nur
flüchtig und verbrauchen nur so wenig
Ressourcen wie nötig. Wenn eine Instanz
abstürzt, brauchen Sie sich darum nicht
zu kümmern. Die Idee dahinter ist, eine
virtuelle Maschine von der Stange zu
nehmen, darauf mit eigenen Skripten die
gewünschte Software zu installieren und
sie dann in der Cloud laufen zu lassen.
Ein einfaches Skript legen Sie bei Scalr
mit »Scripts« und dann »Add New« an.
Nennen Sie das Skript beispielsweise
»Tell me your name« und geben Sie den
folgenden Code ein:
#!/bin/bash
echo "I am a %role_name%" | mail U
E‐Mail‐Adresse ‐s "Checking in"
Mit »OK« schließen Sie das Ganze ab.
Ist das Skript gespeichert, wählen Sie im
Skript-Menü »View All« und dann »Execute«
aus dem »Options«-Dropdown auf
der rechten Seite. Auf der Ausführungsseite
klicken Sie auf »Execute«, um das
Skript auf der Farm auszuführen. Einen
Augenblick später sehen Sie die Ausgabe
im Log, und wenn es Probleme damit
gab, die Mails zu verschicken, können
Sie das auch hier nachlesen.
Im nächsten Schritt soll das Skript eine
etwas sinnvollere Aufgabe übernehmen.
Ändern Sie es dazu folgendermaßen ab:
www.A dmin-mAgA zin.de
#!/bin/bash
apt‐get ‐y install apache2
echo "I am a %role_name% and I have apache U
installed now"| mail E‐Mail‐Adresse U
‐s "Installed Apache"
Zurück im Farm-Menü öffnen Sie im Navigationsbaum
»Shared Roles« und dann
»Application Servers«. Wählen Sie dort
»app64« aus. Die dabei angezeigten Reiter
beziehen sich auf diese Rolle. Öffnen
Sie das »Scripting«-Tab und dann den
Eintrag »OnHostUp« (Abbildung 2).
Wenn die Farm schon läuft, starten Sie sie
neu und lassen Sie sich von jeder Instanz
ihre Identität mitteilen. Wie der Name
nahelegt, laufen die unter »OnHostUp«
hinterlegten Aktionen ab, wenn ein Knoten
startet. Wenn Sie beispielsweise dem
Apache-Webserver eine bestimmte Konfiguration
geben wollen, können Sie das
so machen:
cat

TesT
scalr
In diesem Fall hilft bei der dynamischen
Änderung der DNS-Einträge der Dienst
DNS Made Easy [5]. Zu diesem Zweck
gibt es eine Reihe von Alternativen im
Internet. Gewiefte Administratoren können
dynamische Updates auch auf dem
eigenen Server konfigurieren und müssen
dazu unter anderem kryptographische
Schlüssel erzeugen.
Das Start-Skript für die Datenbank sieht
fast genauso aus wie das des Webservers,
enthält aber noch eine zusätzliche Zeile
(Listing 2). Es installiert MySQL, lädt die
SQL-Dateien herunter, installiert sie und
startet den MySQL-Server neu. Schließlich
aktualisiert es den Nameserver-Eintrag,
damit der Webserver sich mit der
Datenbank verbinden kann.
Beruhigend an diesem Aufbau ist, dass
auch dann nichts Gravierendes passiert,
wenn der Datenbank-Master-Server ausfällt.
Selbst wenn er abstürzt, ist die Farm
schlimmstenfalls ein paar Minuten lang
nicht mehr erreichbar.
Skalar
Abbildung 2: Ein Skript für den Systemstart wählen Sie im Menüpunkt »OnHostUp« aus.
wo sie sich einfach herunterladen lässt.
Schreiben Sie dann ein Skript, das etwa
so aussieht wie Listing 1.
Binden Sie beim Booten den Dienst an
die Rolle »app« und starten Sie die Farm
neu. Alternativ zur obigen Methode können
Sie den Website-Code auch sicher
mit Amazons S3-Dienst speichern und
ihn mit »s3cmd« herunterladen:
s3cmd get s3://your‐bucket/your‐code.tgz
Die meisten Anwendungen müssen noch
ein bisschen angepasst werden, bevor sie
einfach aus einem Tar-Archiv ausgepackt
funktionieren. Achten Sie darauf, alle
absoluten Konfigurationsparameter, wie
etwa IP-Adressen, Pfade und so weiter,
durch relative zu ersetzen. Stellen Sie sicher,
dass die Webanwendung von jedem
Ort aus funktioniert, dann wird sie auch
laufen, wenn sich eine Instanz ändert.
Listing 1: webserver-Konfiguration
01 apt‐get ‐y install apache2
02 cd /tmp
03 wget ‐O your‐code.tgz http://www.example.com/
your‐code.tgz
04 cd /var/www/vhosts/
05 tar xzf /tmp/your‐code.tgz
06 service apache2 restart
Listing 2: datenbank-start
01 apt‐get ‐y install mysql‐server
02 #... grab your SQL from somewhere and install it.
03 service mysql restart
04 # Now update the IP address for 'database.cluster.
example.com
05 curl 'http://www.dnsmadeeasy.com/servlet/updateip?
username=myuser&password=mypassword&id=99999999&i
p=123.231.123.231'
Dynamisches DNS ist ein leistungsfähiges
Werkzeug für elastische, selbstheilende
Cloud-Installationen. Weil eine
neue Instanz eine neue IP-Adresse erhält,
kann es leicht zu Problemen beim Datenbankzugriff
kommen. Woher sollen zum
Beispiel replizierte Slaves wissen, wie die
IP-Adresse eines neuen Masters lautet?
Die Lösung besteht darin, dem Master einen
Hostnamen zu geben, beispielsweise
»db.cloud.example.com«, diesem aber im
DNS einen A-Record für die interne IP-
Adresse zuzuweisen. Dann können sich
alle Slaves und Clients mit »db.cloud.
example.com« verbinden. Dynamisches
DNS kommt dann ins Spiel, wenn sich
die IP-Adresse ändert. Wenn eine Instanz
beendet wird und eine neue startet, soll
sich der A-Record ändern. Das lässt sich
mit einer einzigen Zeile bewerkstelligen:
curl 'http://www.dnsmadeeasy.com/servlet/U
updateip?username=myuser&password=mypasswordU
&id=99999999&ip=123.231.123.231'
Scalr lässt den Anwender entscheiden,
wann und wie die eigene Cloud skaliert.
Neben der Möglichkeit, abhängig vom
Load Average neue Knoten zu starten,
bietet Scalr auch an, abhängig von Tageszeit
oder Wochentag sowie der Anzahl
von API-Aufrufen zu skalieren.
Steht die skalierbare Cloud-Konfiguration,
besteht der nächste Schritt darin,
die eigenen Skripte anzupassen. Bei Scalr
und Rightscale lassen sich die gleichen
Skripte auf unterschiedlichen Farmen
einsetzen, man kann sie also auf einer
Testinstallation ausprobieren, bevor man
sie auf die Produktions-Cloud loslässt.
Zum Beispiel könnte man an der Verfeinerung
der Memcached-Konfiguration
arbeiten. Wenn die Cloud-Konfiguration
einmal stabil ist, wäre es ein Leichtes, die
Skripte zwischen Test- und Produktions-
Cloud auszutauschen.
Das Gute daran, eine Cloud mit programmiertechnischen
Mitteln zu managen, ist,
dass man einer typischen Falle entgeht:
Server und Dienste zu installieren und
dann einfach zu hoffen, dass sie funktionieren.
Wer dagegen das Server-Management
programmiert, kann so lange mit
der Konfiguration experimentieren, bis
sie sich wirklich als zuverlässig erweist.
Scalr funktioniert mit dem Cloud-Dienst
von Amazon, arbeitet aber daran, dass
es auch mit Rackspace klappt. Rightscale
ist bereits kompatibel mit Amazon und
Rackspace. (ofr)
n
Infos
[1] Scalr: [http:// scalr.net]
[2] Rightscale: [http://www.rightscale.com]
[3] Scalr-Code:
[http://code. google.com/p/scalr]
[4] Entwickler-Login für Scalr:
[http://development.scalr.net]
[5] DNS Made Easy:
[http://www. dnsmadeeasy.com]
124 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

JETZT
MiT dVd!
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
GEwinnEn SiE... EinE Von fünf rEwind Mini hd
kAMErAS iM GESAMTwErT Von fAST 400 Euro!
Einsendeschluss ist der 15.12.2011
zur Verfügung gestellt von
.de

TesT
Office 365 vs. google Apps
Office 365 und Google Apps im Vergleich
Schwerelos
mit Office 365 bietet microsoft seit Kurzem eine Cloud-Lösung für e-mail, Termine und Kontakte sowie echtzeitzusammenarbeit
für das gesamte unternehmen, die mit google Apps konkurriert. björn bürstinghaus
pino, 123RF
Bereits im Frühjahr dieses Jahres konnten
interessierte Unternehmen die Betaversion
von Microsofts neuem Cloud-
Service Office 365 testen und sich einen
ersten Eindruck der verschiedenen Cloud-
Dienste Exchange Online, Sharepoint Online
inklusive der Office Web Apps und
Lync Online verschaffen. Gerade für kleine
Unternehmen stellt Office 365 eine interessante
Alternative dar, da die gesamte
Administration sehr einfach gehalten ist,
und die Cloud-Dienste für den Benutzer
im bekannten Office Look & Feel zur Verfügung
stehen (Abbildung 1).
Office 365
beginnen, die globalen Unternehmenseinstellungen
für die Verwendung der
verschiedenen Cloud-Dienste über die
Administrationsoberfläche einzurichten.
Abhängig von der Größe des Unternehmens
können Sie neue Benutzer manuell
oder per CSV-Datei als Massenimport
zum Beispiel aus einem vorhandenen
Active Directory anlegen, was bei einer
Vielzahl an Benutzern eine Menge Zeit
spart. Nach erfolgreicher Einrichtung eines
Benutzers erhält der Administrator
eine E-Mail mit den Zugangsdaten sowie
einem temporären Passwort, das der
Nutzer bei der Erstanmeldung über das
Webportal ändern muss.
Neben der Benutzerverwaltung lassen
sich über den Administrationsbereich von
Office 365 sämtliche erworbenen Abonnements
verwalten und für neue Nutzer
auch weitere hinzufügen. Bei Schwierigkeiten
mit einem der Cloud-Dienste
sind im Supportbereich der Status sämtlicher
Dienste sowie Informationen zu
geplanten Wartungen einsehbar. Darüber
hinaus ist es möglich, bei Problemen
Die Einrichtung von Office 365 [1] setzt
lediglich eine vorhandene Domain bei
einem Provider Ihrer Wahl voraus. Diese
weisen Sie im ersten Schritt über die webbasierte
Administrationsoberfläche (siehe
Abbildung 2) für die Verwendung mit Office
365 zu. Ist die Legitimierung der hinzugefügten
Domain durch das manuelle
Anlegen eines CNAME-Eintrags beziehungsweise
Hinzufügen eines weiteren
MX-Eintrags überprüft (abhängig von Provider
und DNS-Konfiguration kann dies
bis zu 24 Stunden dauern), können Sie
Abbildung 1: Arbeiten in gewohnter Umgebung: die Outlook Web App von Office 365.
126 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Office 365 vs. google apps
TesT
dung 4) zugewiesen
wird. Auch Google fordert
wie Office 365 dafür
eine Legitimierung
durch das Anlegen eines
DNS-Eintrags.
Im Gegensatz zum Administrationsbereich
von Office 365 bieten
die Google Apps eine
Vielzahl an Einstellungsmöglichkeiten,
was allerdings besonders
zu Anfang sehr
überladen wirkt. Ein
Vorteil von Google ist
der integrierte und
über die letzten Jahre
stark gewachsene
Marktplatz, über den
man Zusatzanwendungen
von Drittanbietern
erwerben kann, um
beispielsweise eine E-
Mail-Archivierung oder
auch eine webbasierte
CRM-Lösung zu integrieren.
Genau wie bei der Verwendung
einer normalen
Google-Mailadresse
können Sie mit Google-
App-Konten die Webeine
direkte Serviceanfrage an das Office
365-Support-Team oder auch eine Frage
innerhalb des geschlossenen Community
Forums zu stellen.
Instant Messaging und Video
Für die Echtzeitzusammenarbeit im Unternehmen
bietet Office 365 mit Lync
Online einen Kommunikationsdienst, der
neben Onlinebesprechungen mit anderen
Mitarbeitern und Kollegen auch die Kommunikation
mit Kontakten außerhalb der
Organisation ermöglicht. So können über
Lync Online Windows-Live-Messenger
Kontakte hinzugefügt und mit diesen
auch Chats, Audio- und Videogespräche
geführt werden. Die Nutzung aller Funktionen
von Lync Online setzt allerdings
den Lync Client (Abbildung 3) voraus,
der zurzeit nur für Windows zur Verfügung
steht. Laut Microsoft sollen bis
Ende dieses Jahres entsprechende mobile
Anwendungen von Lync für verschiedene
Smartphone-Plattformen folgen. Auch in
der Outlook Web App ist Lync integriert,
bietet allerdings nur die Möglichkeit,
Chat-Nachrichten zu schreiben.
Zusammenarbeit im Web
Die in Office 365 enthaltene Teamwebsite
auf Basis von Sharepoint Online ermöglicht
es, Dokumente zentral an einem Ort
abzuspeichern und über die integrierten
Office Web Apps neue Dokumente
oder auch Tabellen in der webbasierten
Version der Office-Anwendungen von jedem
PC aus zu bearbeiten und für die
Zusammenarbeit mit anderen Nutzern
freizugeben. Zusätzlich kann man die
Teamwebsite auch als Homepage für die
eigene Domain so einrichten, dass nicht
angemeldete Besucher eine normale Unternehmenswebsite
sehen. Diese lässt
sich durch den Office-365-Administrator
oder andere Anwender mit entsprechenden
Rechten leicht an das Design des
Unternehmens anpassen.
Google Apps im Überblick
Mit Google Apps für Unternehmen [5]
bietet der Suchmaschinengigant bereits
seit vier Jahren seine Dienste Google
Mail, Kalender, Kontakte, Chat, Sites sowie
Text und Tabellen für die Verwendung
www.admin-magazin.de
Abbildung 2: Erste Schritte mit der webbasierten Administrationsoberfläche von Office 365.
mit einer eigenen Domain an. Genau wie
Office 365 setzt das lediglich eine bereits
vorhandene Domain voraus, die nach der
Registrierung bei Google Apps über das
Administrationsdashboard (siehe Abbil-
oberfläche (siehe Abbildung 5) für das
Senden, Empfangen und Verwalten von
E-Mails sowie Anlegen und Bearbeiten
von Aufgaben und Kontakten verwenden.
Ähnlich wie die Einbindung von
IT_administrator_05_11:SIGS_2_9_Seminar_JS_01_10.qxd 05.08.11 11:37 S
WISSENSVERMITTLUNG aus 1. Hand
■ Secure Coding mit Java EE
Entwicklung einbruchssicherer Webanwendungen unter Java EE
Mirko Richter
26. – 27. September 2011, München,
21. – 22. November 2011, München 1.590,- € zzgl. MwSt.
■ Die ultimative Ethical Hacking-Akademie
Erfolgreiche Abwehr von Hacker-Angriffen und sicherer Schutz Ihres Netzwerks
Klaus Dieter Wolfinger
05. – 07. Oktober 2011, Frankfurt/Main 2.150,- € zzgl. MwSt. inkl. 3 Übernachtungen
■ SAML, WS-Security, XACML & Co.
Sicherheit in einer WebService-Welt
Jörg Bartholdt
10. – 11. Oktober 2011, München 1.590,- € zzgl. MwSt.
■ Flow in der Produktentwicklung
Produktentwicklung planen, durchführen und genießen!
Matthias Bohlen
27. – 28. September 2011, Köln
29. – 30. November 2011, Köln 1.590,- € zzgl. MwSt.
Kontakt: Anja Keß, Lindlaustraße 2c, D-53842 Troisdorf,
Tel.: +49 (0) 22 41 / 23 41-20, Fax: +49 (0) 22 41 / 23 41-199
Email: anja.kess@sigs-datacom.de
WWW.SIGS‐DA TA COM.DE

TesT
Office 365 vs. google Apps
Abbildung 3: Echtzeitkommunikation mit Windows-Live-
Kontakten in Lync.
Lync in die Outlook Web App integriert
die Mail-Weboberfläche die Google-Chat-
Funktion, die auch Audio- und Videogespräche
sowie weltweite Telefonate über
jeden Browser ermöglicht, was bei Lync
nur über den Windows-Client möglich
ist. Doch auch Google Chat bietet einen
Windows-Client und ist auf allen
Android-Geräten bereits installiert und
ermöglicht ab der Android-Version 2.3.4
die Unterstützung für Videotelefonie per
Smartphones und Tablets. Was Google
Mail bislang noch fehlt, ist eine Integration
der Kalenderfunktion, die sich über
eine separate Weboberfläche aufrufen
lässt.
Google Sites ist eine weitere Kernkomponente
in Google Apps. Über die Sites
lassen sich Vorlagen für die Erstellung
von Websites für die Zusammenarbeit an
Projekten oder auch die Erstellung eines
Intranets realisieren, was wie erwähnt
bei Office 365 über Sharepoint Online
möglich ist. So bietet auch Google Apps
die Möglichkeit, Dokumente, Tabellen
oder auch Bilder für alle Nutzer an einem
zentralen Ort bereitzustellen.
Wenn es um die Zusammenarbeit an Dokumenten,
Tabellen und Präsentationen
geht, darf Googles „Text und Tabellen“
nicht unerwähnt bleiben. Unter dem Namen
Google Docs gestartet, bietet Text
und Tabellen eine betriebssystemunabhängige
Lösung für die browserbasierte
Zusammenarbeit in Dokumenten oder
Tabellenkalkulation in Echtzeit. So können
Sie beispielsweise live sehen, wenn
ein anderer Nutzer Änderungen inner-
halb eines Dokuments vornimmt
oder Kommentare anfügt.
Umzug in die Cloud
Für viele Administratoren ist die
Migration vom lokalen Mailserver
in die Cloud ein interessantes
Thema. Wie von Microsoft nicht
anders zu erwarten, erlaubt Office
365 die einfache Migration einer
vorhandenen Exchange-Infrastruktur
nach Exchange Online. Dabei
ist, abhängig von der verwendeten
Exchange-Version, auch eine temporäre
Parallelnutzung der lokalen
Exchange-Infrastruktur und Office
365 möglich, inklusive einer Synchronisation
zwischen den Benutzerpostfächern
beider Systeme. Wer ein
anderes E-Mailsystem einsetzt, kann vorhandene
Mailboxen per IMAP ebenfalls in
die Cloud migrieren. Auch Google Apps
bietet diese Migrationsmöglichkeiten und
stellt darüber hinaus mit Directory Sync
Abbildung 5: Das Dashboard im Administrationsbereich von Google Apps.
eine automatische Synchronisation von
Benutzern und Gruppen aus bereits selbst
vorhandenen LDAP-Systemen wie dem
Active Directory bereit. Diese Funktion
ist auch bei Office 365 möglich, wird dort
allerdings nur in der teuren Version für
mittelständische und große Unternehmen
angeboten. Abhängig von der Anzahl der
zu migrierenden Postfächer und Postfachgrößen
kann das Kopieren sämtlicher Daten
mehrere Stunden oder auch länger
dauern.
Integration in die Office-Welt
Bereits seit einigen Versionen lässt Microsoft
seine Office-Produkte für Clients
und Server mehr und mehr verschmelzen
und hat bei der Verwendung von Office-
Anwendungen wie Word, Excel, Power-
Point und Outlook klar die Nase vorn.
Doch auch Google integriert mit Google
Sync für Outlook und Google Cloud Connect
(automatische Synchronisation mit
Google Docs für Texte, Tabellen und Prä-
Abbildung 4: Die Teamwebsite bietet viele Möglichkeiten zur webbasierten Zusammenarbeit.
128 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

Office 365 vs. google Apps
TesT
sentationen) seine Produkte in die Office-
Suiten von Microsoft. Allerdings bieten
die Google-Tools an vielen Stellen nicht
die gleiche Funktionalität, wie man sie
bisher von Office gewohnt ist. So können
mit Google Sync in Outlook keine E-Mails
aus angehängten PST-Dateien in einen
Outlook-Ordner wie den Posteingang
kopiert beziehungsweise verschoben
werden. Auch die Synchronisation von
Notizen wie dies bei Exchange möglich
ist, fehlt hier.
Jederzeit und überall
In Zeiten von Smartphones und Tablets
spielt die Anbindung mobiler Endgeräte
für Unternehmen jeglicher Größe eine
wichtige Rolle. Durch die automatische Ermittlung
der Servereinstellungen (Autodiscover)
von Exchange Online bietet Office
365 bei der Einrichtung der Synchronisation
von E-Mail, Kontakten und Terminen
eine benutzerfreundlichere Lösung als
Google Apps. So verlangt Office 365 lediglich
E-Mailadresse sowie das Passwort und
ermittelt sämtliche Serverdetails automatisch.
Dies geschieht über einen simplen
DNS-Eintrag (»autodiscover.ihredomain.
de«), der als Ziel die Autodiscover-Funktion
[3] von Exchange Online nutzt und
von Android, iOS und Windows Phone 7
unterstützt wird. Auch mit Google Apps
ist die Anbindung mobiler Geräte möglich,
hierfür muss der Anwender allerdings
die Servereinstellungen selbst eingeben.
Lediglich bei der Verwendung von Android-Geräten
genügt bei Google Apps die
Eingabe von E-Mailadresse und Passwort.
Da beide Lösungen das von Microsoft entwickelte
Active-Sync-Protokoll unterstützen,
werden E-Mails, Terminanfragen oder
auch neue, in Outlook angelegte Kontakte
Abbildung 6: Google Mail für die eigene Domain.
sofort und nahezu in Echtzeit mit den
mobilen Endgeräten synchronisiert (Abbildung
6).
Fazit
Gerade für kleine und mittelständische
Betriebe mit wenig eigenem IT-Personal
ist der Umstieg auf Microsofts neuen
Cloud-Service leichter umzusetzen als
auf Google Apps. Die Kosten dafür sind
zwar höher, aber die Anwender müssen
sich bei Office 365 aufgrund der gewohnten
Optik weniger umgewöhnen.
Für große Unternehmen ist Google Apps
dank höherer Flexibilität und geringerer
Kosten derzeit der beste Weg für die Auslagerung
der digitalen Kommunikation
und Zusammenarbeit. Beide Produkte
stehen vor der Migration in die Cloud als
kostenlose Testversion zur Verfügung. So
können Sie sich leicht ein Bild machen,
welche Lösung für Ihren Zweck am besten
geeignet ist. (ofr)
n
Infos
[1] Microsoft Office 365:
[http://www. microsoft.com/de-de/
office365/ online-software.aspx]
[2] Einrichtung von Office 365:
[http://www. microsoft.com/de-de/
office365/ deployment-support.aspx]
[3] Exchange Autodiscover: [http://www.
msxfaq.de/ e2007/ autodiscover.htm]
[4] Kostenloses E-Book zu Office 365:
[http://download. microsoft.com/download/
1/2/F/12F1FF78-73E1-4714-9A08-6A76FA3D
A769/656949ebook.pdf]
[5] Google Apps für Unternehmen:
[http://www. google.com/apps/intl/de/
business/index. html]
Der Autor
Björn Bürstinghaus ist Systemadministrator bei
der simyo GmbH in Düsseldorf. In seiner Freizeit
betreibt er Bjoerns Windows Blog, ein Blog rund
um Windows-Themen, zu finden unter [http://
blog.buerstinghaus.net].
Tabelle 1: Office 365 und google Apps business im direkten Vergleich
Office 365 (Plan P1) Office 365 inkl. Office Pro Google Apps
Speicher für E-Mail, Kalender und Kontakte 25 GB 25 GB 25 GB
E-Mailarchivierung Nein Ja Optional buchbar
Anti-Virus/ Aselbstnti-SPAM Ja Ja Ja
Mobiler Zugriff Ja (Active-Sync) Ja (Active-Sync) Ja (Active-Sync)
Echtzeitkommunikation mit Audio- und Videoübertragung Ja (Lync Online) Ja (Lync Online) Ja (Google Chat)
Browserbasiertes Arbeiten an Dokumenten, Tabellen und Präsentationen Ja (Office Web Apps) Ja (Office Web Apps) Ja (Google Docs)
Eigene Webseite für die Zusammenarbeit Ja (SharePoint) Ja (SharePoint) Ja (Google Sites)
Active-Directory-Synchronisation Nein Ja Ja
MS Office Professional Softwarelizenz Nein Ja Nein
Preis pro Monat 9,00 Euro 22,75 Euro 4,00 Euro
www.A dmin-mAgA zin.de
Admin
AusgA be 05-2011
129

s e RVi C e
impressum und Vorschau
Impressum ISSN 2190-1066
ADMIN-Magazin
eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner straße 71
81739 münchen
Tel.: 0 89/99 34 11-0
Fax: 0 89/99 34 11-99 oder -96
internet
www.admin-magazin.de
e-mail
redaktion@admin-magazin.de
Geschäftsleitung b rian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Chefredakteure Oliver Frommel (V.i.s.d.P.),
ofrommel@admin-magazin.de (ofr)
Redaktion
news/Report
software/Test
security/networking
ständige mitarbeiter
Produktionsleitung
Grafik
Abo-Infoseite
Abonnenten-Service
Jens-Christoph brendel
jcb@admin-magazin.de (jcb)
ulrich bantle (Ltg.), ubantle@linuxnewmedia.de (uba)
mathias Huber, mhuber@linuxnewmedia.de (mhu)
marcel Hilzinger, mhilzinger@linuxnewmedia.de, (mhi)
Kristian Kißling, kkissling@linuxnewmedia.de, (kki)
markus Feilner, mfeilner@linuxnewmedia.de (mfe)
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
elke Knitter (schlussredaktion),
Carsten schnober, Tim schürmann
Christian ullrich, cullrich@linuxnewmedia.de
Judith erb, Kristina Fleischer
Titel: Judith erb, illustration: fp interactive (www.fp-interactive.de)
www.admin-magazin.de/abo
Lea-maria schmitt
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Preise Print Deutschland Österreich Schweiz Ausland EU
einzelheft € 9,80 € 10,80 sfr 19,60 (siehe Titel)
mini-Abo (2 Ausgaben) € 9,80 € 10,80 sfr 19,60 (siehe Titel)
Jahres-dVd (einzelpreis) € 14,95 € 14,95 sfr 18,90 € 14,95
Jahres-dVd (zum Abo 1 ) € 6,70 € 6,70 sfr 8,50 € 6,70
Jahresabo € 49,90 € 54,90 sfr 99,90 € 59,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PdF einzelausgabe € 9,80 € 9,80 sfr 10,71 € 9,80
digisub (6 Ausgaben) € 44,90 € 44,90 sfr 49,05 € 44,90
digisub (zum Printabo) € 6,— € 6,— sfr 6,— € 6,—
HTmL-Archiv (zum Abo 1 ) € 48,— € 48,— sfr 48,— € 48,—
Preise Kombiabos
Profi-Abo 2 € 136,60 € 151,70 sfr 259,90 € 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder digital
2
mit Linux-magazin-Abo und beiden Jahres-dVds
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines schülerausweises oder einer aktuellen
immatrikulationsbescheinigung. der aktuelle nachweis ist bei Verlängerung neu zu erbringen. Andere Abo-
Formen, ermäßigungen im Ausland etc. auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da nachsendeaufträge bei der Post nicht für zeitschriften gelten.
Pressemitteilungen info@admin-magazin.de
Anzeigen/Repräsentanz
es gilt die Anzeigenpreisliste vom 01.01.2010
National
Petra Jaser
Tel.: 089/99 34 11 24, Fax: 089/99 34 11 99
e-mail: anzeigen@admin-magazin.de
Pressevertrieb mzV, moderner zeitschriften Vertrieb gmbH
breslauer straße 5, 85386 eching
Tel.: 089/31906-0, Fax: 089/31906-113
Druck
Vogel druck und medienservice gmbH
97204 Höchberg
der begriff unix wird in dieser schreibweise als generelle bezeichnung für die unix-ähnlichen betriebssysteme
verschiedener Hersteller, zum beispiel eurix (Comfood), ultrix (digital equipment), HP/uX (Hewlett-Packard) oder sinix
(siemens) benutzt, nicht als die bezeichnung für das Trademark von X/Open. Linux ist eingetragenes marken zeichen von
Linus Torvalds und wird in unserem markennamen mit seiner erlaubnis verwendet. Alle anderen marken sind eigentum
der jeweiligen inhaber. eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung durch
die Redaktion vom Verlag nicht übernommen werden. mit der einsendung von manu s kripten gibt der Verfasser seine
zustimmung zum Abdruck im Admin-magazin. Für unverlangt ein gesandte manuskripte kann keine Haftung übernommen
werden. die Redaktion behält sich vor, Artikel zu kürzen. das exklusiv- und Verfügungsrecht für angenommene
manuskripte liegt beim Verlag. es darf kein Teil des inhalts ohne ausdrückliche schriftliche genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden. Copyright © 1994–2011 Linux new media Ag
Inserentenverzeichnis
1&1 Internet AG http:// www.einsundeins.de 33, 38
ADMIN http:// www.admin-magazin.de 43, 51, 63, 77
ADMIN Magazine UK http://cloudage.admin-magazine.com 97, 131
Angel Business Communications Ltd http:// poweringthecloud.com 53
DZUG e.V http:// de.pycon.org 103
Fernschule Weber GmbH http:// www.fernschule-weber.de 87
Galileo Press http:// www.galileo-press.de 45
German Unix User Group (GUUG) e.V. http:// www.guug.de 121
GNE http:// www.gne.de 37
Hetzner Online AG http:// www.hetzner.de 132
Hostserver GmbH http:// www.hostserver.de 2
In-Depth Security Conference http://deepsec.net 79
Linux-Hotel http:// www.linuxhotel.de 13
Linux-Magazin http:// www.linux-magazin.de 125
Linux-Magazin Academy http:// academy.linux-magazin.de 71, 73
Netclusive GmbH http:// www.netclusive.de 27
NETHINKS GmbH http:// www.nethinks.com 41
netways GmbH http:// www.netways.de 95
Netzwerktotal http:// www.netzwerktotal.de 101
Neue Mediengesellschaft Ulm mbH http:// www.web-devcon.de 61
OpenRheinRuhr http:// www.openrheinruhr.de 111
outbox AG http:// www.outbox.de 29
OVH GmbH http:// www.ovh.de 14
pascom - Netzwerktechnik GmbH & Co.KG http:// www.pascom.net 11
PlusServer AG http:// www.plusserver.de 20, 68, 84, 104
REINER Kartengeräte GmbH und Co. KG http:// www.reiner-sct.com 123
Sigs Datacom GmbH http:// www.sigs-datacom.de 127
Spenneberg Training & Consulting http:// www.spenneberg.com 99
Strato AG http:// www.strato.de 7, 9, 47
Thomas Krenn AG http:// www.thomas-krenn.com 17
Vogel IT-Medien GmbH http:// www.vogel.de 93
Vollmar.net http:// www.vollmar.net 25
Einem Teil dieser Ausgabe liegt eine Beilage der Firma Microsoft GmbH (http:// www.
microsoft.com/ germany) bei. Wir bitten unsere Leser um freundliche Beachtung.
Autoren dieser Ausgabe
Mike Adolphs Automatik 80
Konstantin Agouros Sitzengeblieben 44
Dominik Birk Wolkige Aussichten 92
Björn Bürstinghaus Schwerelos 126
Thomas Drilling Geordnet 86
Thomas Drilling Hai-teres Paketeraten 34
Susanne Ebrecht PostgreSQL tunen 54
Florian Effenberger Ausgesiebt 114
Dan Frost Auf dem Bauernhof 122
Ken Hess Containerfracht 118
Thomas Joos Unter dem Mikroskop 58
Hannes Kasparick Gebündelt 30
Martin Loschwitz Eigene Clouds 98
Martin Loschwitz Rettungsschirm für Datenbanken 106
Vilma Niclas Chef hört mit 24
Thorsten Scherf Auf Knopfdruck 18
Tim Schürmann Nützlicher Fleischwolf 74
Greg Smith PostgreSQL tunen 54
Martin Steigerwald Blockweise 64
Christoph Wegener Wolkige Aussichten 92
VORs CHAu
Andrea Danti, 123RF
A dmin 06/2011 eR s CHeinT A m 10.nOVembeR 2011
Datenbanken
duell der datenbanken: in einem
shootout messen sich mysQL und PostgresQL,
jeweils von experten optimal
eingestellt, anhand eines komplexen
benchmarks. daneben widmet sich die
Redaktion auch dem aktuellen Thema
nosQL-datenbanken.
Samba-Tuning
Für datei- und druckdienste
in heterogenen netzen führt
an samba kein weg vorbei.
wir verraten, was sie tun können,
wenn der Fileserver mal
wieder im schneckentempo
arbeitet.
Anna Omelchenko, 123RF
130 AusgA be 05-2011 Admin www.A dmin-mAgA zin.de

GoinG to the
Cloud?
how will you get there?
the cloud portal for it
specialists – up close,
all technical, all cloud.
cloudage.admin-magazine.com
Powered by: