ADMIN Magazin Monitoring Server und Dienste unter Kontrolle (Vorschau)

Less-FS spart auf Linux-
Dateisystemen Platz
Neu: Small Business
Server 2011
Yubikey sichert
Wordpress-Login
ADMIN
Netzwerk & Security
Auf CD:
01 2011
Jan. – Feb.
Fedora Security Lab
als Live CD oder
zum Installieren
MONITORING
SERVER UND DIENSTE UNTER KONTROLLE
HELPDESKS
Ticket-Systeme im Überblick
Request Tracker im Detail
SSH Guard
Secure Shell und andere
Dienste absichern
Linux-Cluster
Mit Open AIS
selbstgemacht
Nagios-IPMI
Server-Hardware
direkt überwacht
IPv6
VOR DEM START
Tipps zur Konfiguration
und Migration
Icinga
Konfiguration
im LDAP
Splunk
Business Process
Monitoring
iLiveX
Linux-Desktop
auf dem iPad
www.admin-magazin.de
Openstack
Die offene API
für die Cloud
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 0 1

Managed
Hosting
Individuell wie Ihr Projekt
clusterbasiert
flexibel
hochverfügbar
Entdecken Sie den Unterschied
Hostinglösungen mit persönlichem und
kompetentem Support.
Profitieren Sie von 10 Jahren Erfahrung in
Hosting und Systemadministration für mehr
Performance, Sicherheit und Verfügbarkeit,
jeden Tag, rund um die Uhr.
Erfahren Sie mehr:
www.hostserver.de/hosting
0 30 / 420 200 24
www.hostserver.de info@hostserver.de
Berlin Marburg Frankfurt am Main

Alles auf ssl
e ditoriA l
Alles auf SSL
Liebe Leserinnen und Leser,
auf der Security-Konferenz Toorcon im Oktober stellte Eric Butler [http://
codebutler.com] ein neues Tool namens Firesheep vor und machte sich damit bei
vielen Website-Betreibern richtig unbeliebt. Es ist eine Firefox-Extension, die es
möglich macht, auf Knopfdruck die Web-Sessions anderer Anwender zu übernehmen,
indem das Tool den Traffic mitschneidet und die Authentisierungs-Cookies
speichert.
Als Einsatzszenario waren insbesondere unverschlüsselte WLANs gedacht, wie
man sie bei vielen kommerziellen Anbietern in Cafés und auf Flughäfen antrifft:
Zwar findet die Bezahlung meistens verschlüsselt statt, danach fliegen die Datenpakete aber klar lesbar durch
die Luft. Diese Tatsache machte sich Firesheep nicht als erstes Tool zu Nutze. Aufsätze, die das Problem des
HTTP-Session-Hijacking beschreiben, gab es beispielsweise schon 2004, wie Butler selbst feststellt. Selten
wurde es Anwendern aber so einfach gemacht wie mit Firesheep.
„Musste das wirklich sein“, stöhnen die betroffenen Betreiber auf, aber Butler rechtfertigt sich damit, er habe
nur möglichst deutlich auf das Problem hinweisen wollen. Und das ist ihm zweifellos gelungen. Der Firesheep-
Programmierer gibt in seinem Blog eine Reihe von Hinweisen, wie das Problem an der Wurzel zu packen sei:
Surfen über das Tor-Netzwerk, SSH- oder VPN-Tunnels und konsequenter Einsatz von SSL-Verschlüsselung auf
sensiblen Websites.
Als vorbildlich hebt er Google Mail heraus, das schon seit längerem den kompletten Traffic über SSL verschlüsselt.
Auch Microsofts Hotmail bietet mittlerweile SSL, aber nur als optionales Feature, das Anwender eigens
aktivieren müssen. Das sei eher unwahrscheinlich, mein Butler, man müsse die User quasi zu ihrem Sicherheitsglück
zwingen. Der Git-Hosting-Provider Github reagierte schnell, erst mit einem kurzfristigen Bugfix und dann
ebenfalls mit SSL-Verschlüsselung. Manche Anwender ärgerten sich auch dann wieder, denn auf einmal mussten
selbst Kommandozeilentools wie Wget mit Zertifikaten umgehen, was spätestens dann zum Problem wird, wenn
selbstsignierte Zertifikate ins Spiel kommen.
Wer als Anbieter möglichst sichergehen will, sollte jedenfalls SSL einsetzen, wenn Authentifizierungsdaten im
Spiel sind. Ein ebenfalls in Butlers Blog verlinktes Dokument der Google-Techniker mit dem Titel „Overclocking
SSL“ gibt Tipps zum praktischen Einsatz und macht mit dem Mythos Schluss, dass SSL jeden Server über alle
Maßen belastet. Bleibt nur noch zu hoffen, das die OpenSSL-Bibliothek aufhört durch eigene Bugs Schlagzeilen
zu machen.
Viel Spaß beim Lesen des Hefts wünscht
@ info@admin-magazin.de
www.facebook.com/adminmagazin www.twitter.com/admagz
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
3

SERVICE
Inhalt
ADMIN
Netzwerk & Security
01/2011
Guard
Brute-Force-Attacken
46SSH
gegen SSH stoppen.
Bewährte Monitoring-Lösungen und neue Ansätze im Schwerpunkt
ab Seite 26.
Login
8 Vorgelesen
Bücher über Nagios und vSphere.
10 Branchen-News
Neues von Firmen und Projekten.
Netzwerk
16 IPv6
Dual-Stack mit IPv4 und IPv6 einrichten.
24 iLiveX
Linux-Remote-Desktop auf dem iPad.
Service
3 Editorial
4 Inhalt
6 Heft-CD
114 Impressum und Vorschau
Monitoring
26 Icinga
Die Nagios-Alternative als Enterprise-
Monitoring-Lösung.
30 Nagios-IPMI
Server-Hardware ohne Betriebssystemeinsatz
mit dem IPMI-Plugin für Nagios
und Icinga überwachen.
34 Cucumber-Nagios
Automatisierte Funktionstests für Websites
ins Monitoring integrieren.
40 Splunk
Einheitliche Überwachung von Security-
Events in heterogenen Netzen.
Security
46 SSH Guard
Brute-Force-Angriffe gegen Secure Shell
und andere Dienste abblocken
52 Yubikey und Wordpress
Two-Factor-Authentication für
Wordpress-Blogs.
54 Prelude IDS
Security Information Management
System (SIM) für plattformunabhängige
Kontrolle.
4 AUSGABE 01-2011 ADMIN WWW.ADMIN-MAGAZIN.DE

Inhalt
SERVICE
Server-Hardware
direkt mit 30Nagios-IPMI
Nagios überwachen.
Funktionstests
34Cucumber
von Websites
automatisieren.
52Yubikey
Der Yubikey realisiert
Two-Factor-Authentication
mit Einmalpasswörtern.
Helpdesk
60 Trouble-Ticket-Systeme
Service Management nach Vorschrift.
65 RT
Der Request Tracker, das unbekannte
Helpdesk-Wesen.
Know-how
80 Linux-Cluster
Mit Open AIS und Corosync.
86 Microsoft Powershell
Die Powershell-Erweiterungen für
Exchange und Sharepoint.
Test
100 Xen 4
Fehlertolerante Virtualisierung mit
Xen 4 und Remus.
102 E-Mail-Archivierung
Mail-Archivierung in Windows.
Basics
106 SBS 2011
Neues im Small Business Server 2011.
70 XP Mode
Der XP-Modus von Windows 7 sorgt für
Abwärtskompatibilität auf modernen
Microsoft-Systemen.
76 Debian-Pakete für Clouds
Eigene Skripte in Debian-Pakete packen
und auf Cloud-Knoten installieren.
92 MySQL Workbench
Datenbanken mit MySQL Workbench
planen und analysieren.
96 Less-FS
Das deduplizierende Dateisystem.
111 Openstack
Neue API als offenes Cloud Computing
Framework.
Die praktische
Tool-Sammlung für
Security-Experten
Fedora Security Lab
◗ Installierbare Live-CD basierend auf
der neuesten Fedora-Version 14
◗ Über 80 Tools für Rootkit-Checks,
Forensik, Test von Web-Sicherheit,
Wireless-Security, Intrusion Detection,
Honeypots, Netzwerk-Scanner u.v.m.
fedora 14
fedora 14
WWW.ADMIN-MAGAZIN.DE
ADMIN
AUSGABE 01-2011
5

SERVICE
Heft-CD
Heft-CD
Auf der beiliegenden Heft-CD finden Sie das Fedora Security
Lab, eine neu gemasterte Version der Fedora-14-Distribution,
die zusätzliche Security-Software enthält:
◗ Über 80 Tools für Rootkit-Checks, Test von Web-Sicherheit,
Wireless-Security, Intrusion Detection, Honeypots, Netzwerk-Scanner
und vieles mehr.
◗ Installierbare Live-CD basierend auf der neuesten Fedora-
Version 14.
◗ Geeignet für 32- wie auch 64-Bit-Rechner.
Legen Sie einfach nur die CD ein und starten Sie den Rechner.
Möglicherweise müssen Sie noch im BIOS die richtige
Boot-Reihenfolge einstellen, damit das CD-Laufwerk vor der
Festplatte an die Reihe kommt.
CD KAPUTT?
Wir schicken Ihnen kostenlos
eine Ersatz-CD zu, E-Mail genügt:
info@admin-magazin.de
Info
[1] Fedora Security Lab: [http:// fedoraproject. org/ wiki/ Security_Spin]
[2] Fedora-Projekt: [http:// fedoraproject. org/]
[3] Hilfeseiten: [http:// fedoraproject. org/ en/ get-help]
[4] Dokumentation: [http:// docs. fedoraproject. org/ en-US/ index. html]
6 AUSGABE 01-2011 ADMIN WWW.ADMIN-MAGAZIN.DE

ADMIN
Netzwerk & Security
Alle Artikel des
Jahres 2010
JAHRES-DVD
2010
■ Artikel zu Storage, Backup,
Netzwerk, Monitoring,
Virtualisierung u.v.m.
■ PDFs zum Lesen am Bildschirm
oder Ausdrucken
■ Search Engine für
Artikel-Volltext-Suche
■ Auf der zweiten Seite der
DVD: Release-Kandidat von
Debian 6.0 „Squeeze“
6.0
–BETA–
JETZT BESTELLEN:
• www.admin-magazin.de/DVD2010
• Telefon 089 / 99 34 11-0 • Fax 089 / 99 34 11-99
• E-Mail: info@admin-magazin.de • Shop: Shop.LinuxNewMedia.de
NUR
14,95

LOGIN
Bücher
Bücher über Nagios und VMware vSphere
Vorgelesen
Zwei Praxisratgeber beschäftigen sich mit aktuellen Themen der IT-Administration:
Das erste widmet sich dem Monitoring mit Nagios, das andere
der Virtualisierung mit vSphere. Konstantin Agouros, Michael Kromer
Das bei O’Reilly erschienene Buch des
Gentoo-Entwicklers Tobias Scherbaum
soll Praktiker schnell zu einer lauffähigen
Umgebung bringen, mit der sie die
Systeme und Dienste des eigenen Netzwerks
überwachen können. Der erste
Teil des Buches erläutert den Sinn und
Zweck von Monitoring und die Vorteile
des Netzwerk- und Systemmanagements.
Es folgen die Vorstellung des Nagios-Monitoringsystems
und eine Einführung in
den Umgang mit der dem Buch beiliegenden
Live-CD.
Nagios real
Im zweiten und umfangreichsten Teil des
Buches entwickelt der Autor anhand eines
fiktiven mittelständischen Unternehmens
mit realen Problemen von Grund auf eine
beispielhafte Nagios-Konfiguration. Neben
den technischen Details der Konfiguration
lernt der Leser auch, wie man ein
Projekt zur Einführung von Nagios plant.
Aufbauend auf der eingeführten Struktur
stellt der Autor zunächst Überwachungen
für Erreichbarkeit und diverse Dienste
wie Web- und Mailserver, Checks über
die NRPE und die NSCP sowie die passive
Überwachung vor.
Der Abschnitt über verteiltes Monitoring
in großen Umgebungen, der ebenfalls
in diesem Teil steckt, ist etwas zu kurz
ausgefallen, um dieses komplexe Thema
ausreichend abzuhandeln. Der dritte Teil
des Buches schließlich enthält Kapitel
über die Visualisierungsmöglichkeiten
der von Nagios eingesammelten Messwerte
sowie ein Kapitel über die Plugin-
Entwicklung.
Alles in allem ist das Buch für den schnellen
Einstieg in Nagios zu empfehlen, da
es nicht wie andere Bücher einfach nur
Konfigurationsbeispiele aneinanderreiht,
sondern an einer realen Anwendung ein
strukturiertes Vorgehen vorstellt, bei dem
quasi nebenbei die technischen Details
der Konfiguration abfallen.
Virtualisiert
Auch das Praxishandbuch „VMware vSphere
4“ wird seinem praktischen Anspruch
gerecht. Es führt in manchen Teilen
recht ausführlich vor, wie sich eine
vSphere von CLI bis vCenter einrichten,
konfigurieren und verwalten lässt. Dabei
steht die schnelle, gleichzeitig verständliche
Vermittlung von praxisorientiertem
Wissen im Vordergrund, angereichert mit
Best Practices, die im echten Einsatz von
vSphere weiterhelfen.
Positiv ist, dass der Autor in vielen Bereichen
der Kommandozeile sogar ein
eigenes Kapitel widmet. Als Referenz
für den vollständigen Funktionsumfang
der verfügbaren vSphere-Produktfamilie
taugt das Buch indes nicht, so sind gerade
Enterprise-Addon-Produkte wie
vShield und Ciscos Nexus 1000V nicht
vertreten.
Zu finden sind Tipps und Tricks bei von
Admins täglich genutzten Features wie
etwa (Storage) vMotion, DRS, Data Recovery,
Snapshots und Templates, es fanden
sogar einige undokumentierte Geheimtipps
wie die VMware Remote-Console
(VMRC) den Weg ins Buch. Erfreulich ist,
dass der Autor es nicht verpasst, so manches
Feature in seiner Praxistauglichkeit
zu bewerten und entsprechend potenziell
weniger sinnvolle Ideen auch zu kritisieren,
etwa eine exzessive Nutzung von
Ressourcenpools.
Schade ist, dass das Buch noch nicht die
neuen Features der vSphere 4.1 kennt
(Releasedatum 4.1: 13.07.2010), jedoch
sind in der Praxis (wenn überhaupt) nur
minimale Veränderungen auszumachen,
sodass es sich mit dem Buch auch mit der
aktuellen Version oft 1:1 arbeiten lässt.
Zu manchen Themen wären mehr Erklärungen
wünschenswert, zum Beispiel
über die Host-Isolierung bei Split-Brain-
Szenarien. Klar ist: Das Buch bietet viel,
lässt jedoch noch Raum für Erweiterungen
in hoffentlich folgenden künftigen
Ausgaben. (ofr)
■
Die Autoren
Konstantin Agouros arbeitet bei der N.runs AG
als Berater für Netzwerksicherheit. Dabei liegt
sein Schwerpunkt im Bereich der Mobilfunknetze.
Sein Buch „DNS/ DHCP“ ist bei Opensource Press
erschienen.
Michael Kromer ist Senior IT Consultant bei der
Millenux GmbH in München und betreut als VCP
professionell große Kunden im VMware-Umfeld.
Praxisbuch Nagios
„Praxisbuch Nagios“
Tobias Scherbaum
O’Reilly 2009
272 Seiten
39,90 Euro
ISBN 978-3-89721-880-2
VMware vSphere 4
„Praxishandbuch VMware
vSphere 4“
Ralph Göpel
O’Reilly 2010
440 Seiten
49,90 Euro
ISBN 978-3-89721-619-8
8 AUSGABE 01-2011 ADMIN WWW.ADMIN-MAGAZIN.DE

Bernhard Seibold,
Senior Engineer
„Meine Frau hat sich
schon beschwert, dass
ich SUSE besser
kenne als sie.“
Wir kennen uns aber nicht nur mit SUSE
aus, sondern auch mit über 30 weiteren
Betriebs systemen, Virtualisierung, Storage,
Cluster und Hosting. Für jeden Bereich
gibt es einen Experten, der 24 Stunden
am Tag für Sie erreichbar ist.
Server individuell konfigurieren unter 08551 9150-0 oder www.thomas-krenn.com

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Software und Produkte
Branchen-News
Linux Foundation sponsert Embedded-Entwickler Richard Purdie
Als neuer Fellow der Linux Foundation widmet sich Richard
Purdie in Vollzeit Openembedded sowie dem noch jungen
Embedded-Projektpool Yocto. Mit den Fellow-Positionen verfügt
die Linux Foundation über einen Fonds, Entwicklungen
der Linux-Welt zu unterstützen, die sie für wichtig hält. Einen
solchen Bedarf sähe sie bei Embedded Linux, begründet sie
ihren Schritt.
Als Linux Foundation Fellow wird Richard Purdie jetzt ganztags
am Yocto-Projekt und zum Beispiel dessen Poky-Buildsystem
arbeiten, das er vergangenen Oktober mitgegründet hat, sowie
am Openembedded-Projekt, wo er seit 2004 Entwickler ist. Eine
zeitliche Begrenzung der Fellowship gibt die Linux Foundation
nicht an.
Seit 2008 war der Master-Physiker als Embedded-Linux-Architekt
bei Intel tätig, nachdem sein Arbeitgeber Opened Hand von
Intel gekauft wurde. Projekte, an denen Purdie mitgearbeitet
hat, sind neben Openembedded noch Clutter, der X-Server,
Sharps Handheld-Betriebssystem Zaurus und der Profiler Oprofile.
Beim Kernel war er unter anderem Maintainer des Backlight-
und LED-Subsystems.
Mit Purdie gibt es derzeit fünf Linux Foundation Fellows [https://​
​www.​linuxfoundation.​org/​programs/​developer/​fellowship]. Der bekannteste
ist Linus Torvalds. Der Sysadmin von Kernel.org, John
Hawley, wird von der Linux Foundation finanziert, wie auch Till
Kamppeter vom Linuxprinting-Projekt. Schließlich beschäftigt
die Foundation Janina Sajka als Accessibility-Gruppenleiterin.
SuperMUC: Leibniz-Rechenzentrum will Platz 1
Prototyp der Warmwasserkühlung mit Wärmerückgewinnung des
SuperMUC ist das hier abgebildete Aquasar-Bladesystem an der ETH
Zürich
Das Münchner Rechenzentrum der Bayerischen
Akademie der Wissenschaften
hat einen neuen Supercomputer mit einer
geplanten Leistung von drei Petaflop/ s in
Auftrag gegeben. Übernächstes Jahr soll
er an der Spitze der Top-500-Liste der
leistungsfähigsten Rechner stehen.
Mitte 2012 soll der von IBM gebaute
Rechner am Leibniz-Rechenzentrum
(LRZ) in München-Garching in Betrieb
gehen. Den entsprechenden Vertrag unterschrieben
im Dezember der Vorsitzende
des RZ-Direktoriums Arndt Bode
und Martin Jetter, Vorsitzender der
Geschäftsführung der IBM Deutschland
GmbH. Das Investitions- und Betriebsvolumen
für die nächsten sechs Jahre
beziffern Kunde und Dienstleister auf 83
Millionen Euro, dazu kommen 50 Millionen
Euro für Gebäudeerweiterungen. Das
Bundesland Bayern und die Bundesrepublik
Deutschland tragen jeweils die Hälfte
dieser Kosten, weil der Superrechner für
den Technologiestandort Deutschland sowie
wegen seiner Energiesparsamkeit als
Investition in die Zukunft gilt.
Der Neue soll über drei
Petaflop s Spitzenrechenleistung,
320 Terabyte
Hauptspeicher und insgesamt
bis zu 12 Petabyte
Festspeicher gebieten.
Damit soll er „zu den
leistungsfähigsten Universalrechnern
der Welt
gehören“, freut sich das
LRZ. Dafür sorgen rund
110 000 Prozessorkerne.
Das LRZ liefert ein anschauliches
Beispiel für
die Rechengeschwindigkeit
von drei Petaflop s:
„Würde man mit einem
Hammer Nägel in einem Abstand von
einem Millimeter in die Erde schlagen
[einen für jede Gleitkommaoperation],
so würde man den Äquator 75.000 Mal
in einer einzigen Sekunde umrunden.“
Der rasante Kraftprotz soll im RZ für die
Forscher-Community zum Beispiel die
Entwicklung des Universums simulieren,
das heiße Erdinnere modellieren oder die
Strömungseigenschaften verschiedenster
technischer und natürlicher Systeme berechnen.
Neben der Rechenleistung heben
LRZ und IBM die neue Kühltechnologie
des Systems hervor, bei der Wasserkühlflüssigkeit
- die bis zu 40 Grad warm
sein darf - direkt an Prozessoren und
RAM vorbeigeleitet und anschließend
zum Gebäudeheizen verwendet wird.
Der „SuperMUC“ genannte Rechner soll
den bisher Stärksten im LRZ-Hause ersetzen:
den seit 2006 arbeitenden HLRB
II. Ein Beispiel für Weltallsimulationen
aus dem Leben dieses Supercomputers
erzählt der Online-Artikel „Astrophysik
mit Linux I“, der auf [http://​www.linuxmagazin.de]
zugänglich ist. Erklärungen
zur Kühlungstechnik des Supermuc und
zu weiteren HPC-Anwendungsfällen im
LRZ sind auch in der Pressemeldung des
LRZ verlinkt.
10 AusgA be 01-2011 Admin

n immer auf http://www.admin-magazin.de
Top-Performance zum Tiefpreis!
Virtuelle Server
Streit beim Java Community Process
Die Gremien des Java Community Process (JCP) haben über die
kommenden Spezifikationen abgestimmt und die von Oracle
forcierte Roadmap für Java SE 7 und Java SE 8 angenommen.
Das freie Mitglied Tim Peierls und später die Apache Foundation
erklärten daraufhin ihren Rücktritt aus dem „SE/ EE Executive
Committee“.
Das Exekutiv-Komittee hat in seiner Sitzung über die so genannten
Java Specification Requests (JSR) abgestimmt, und
dabei Zustimmung zu den JSRs 334, 335, 336 und 337 erteilt.
Im JSR-000336 ging es um den Java SE 7 Release Content und
beim JSR-000337 um das nämliche für Java SE 8. Bei den
Wahlergebnissen [http://​jcp.​org/​en/​jsr/​results?​id=5111] zu Java SE 7
stimmten die Apache Foundation, Google und der unabhängige
Entwickler Tim Peierls gegen den Vorschlag.
Peierls hatte sein Votum von einer Stimmenthaltung auf ein
„Nein“ geändert und begründet dies mit seiner Unzufriedenheit
über die mangelnde Information Oracles zu den Lizenzbedingungen
von Java SE 7. In dieses Horn stößt auch Google und
nennt die Lizenzierungsbestimmungen für das Testsuite Java
Compatibility Kit (TCK) diskriminierend. Auch viele Beteiligte,
die mit „Ja“ gestimmt haben, gaben ihrem Unmut über die
TCK-Lizenzen Ausdruck, darunter SAP, IBM und Red Hat. Die
Forderung der Apache Software Foundation nach einem frei zugänglichen
TCK zieht sich schon seit einigen Jahren hin und war
auch schon unter der Sun-Ägide Thema. Das TCK ist notwendig,
um qualifizierte Java-Implementierungen entwickeln zu können
und wird unter kommerzieller Lizenz vertrieben.
Tim Peierls verkündete anschließend seinen Rücktritt aus dem
Komitee. Er habe die Hoffnung verloren, dass der JCP etwas
sinnvolles zustande bringen, schreibt er in seinem Blog. Die
Apache Foundation tat es Peierls nach und hat den JCP ebenfalls
nach der Abstimmung verlassen. Die Apache-Foundation
war zehn Jahre Mitglied des JCP-Exekutivkomittees und wurde
in der Zeit viermal zum Mitglied des Jahres gewählt. Oracle
forderte anschließend in einem Blog-Beitrag die Apache-Foundation
zur Rückkehr auf und drückte seine Wertschätzung für
deren Arbeit aus, verlor aber sonst keine Worte über die grundsätzliche
Auseinandersetzung.
Red Hat und Eucalyptus werden Partner
Red Hat und Eucalyptus haben eine strategische Partnerschaft
für künftige gemeinsame Entwicklungen im Cloud-Bereich geschlossen.
Ein Ziel der Vereinbarung ist es, auf Basis von
Eucalyptus aufgebaute Clouds über die offene API Deltacloud
ansprechbar zu machen. Außerdem soll Eucalyptus in Zukunft
teilweise über die Management Tools der Red-Hat-Virtualisierungslösung
RHEV zu verwalten sein.
Eucalyptus ist eine Cloud-Implementierung, die weitgehend
kompatibel zu Amazons EC2 ist. Eucalyptus-Geschäftsführer
Marten Mickos erwartet die Fertigstellung der Deltacloud-Implementierung
für Mitte 2011. Beta-Versionen soll es bereits
früher geben.
netclusive Virtuelle Server:
• bis zu 3 CPU-Kerne und 8 GB RAM
• bis zu 95 GB Festplatte (RAID 10)
• 5 TB Traffic inklusive
• SSL-Zertifikat inklusive
• Voller Root-Zugriff (SSH)
• 100 % Backup-Speicher
• 99,9 % garantierte Verfügbarkeit
• auch als Managed Server erhältlich
• viele 64-Bit-Betriebssysteme nach Wahl
6 Monate
kostenlos
danach ab 12,99 €*
0800 638 2587 | www.netclusive.de
* Aktion 6 Monate kostenlos bis 31.01.2011. Nach 6 Monaten regulärer monatlicher Grundpreis:
VPS L 12,99 €, VPS XL 16,99 €, VPS XXL 29,99 €. Die Mindestvertragslaufzeit beträgt wahlweise 12 Monate
(Aktion 6 Monate kostenlos entfällt) bzw. 24 Monate (6 Monate kostenlos). Zzgl. 9,99 € einmalige Einrichtungsgebühr.
Die Abrechnung erfolgt vierteljährlich. Alle Preise inkl. MwSt.

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Webmin lernt IPv6
Nach mehr als einem halben Jahr haben die Webmin-Entwickler
mit Version 1.530 ein neues Release ihrer Administrations-
Software veröffentlicht. Highlight der neuen Version ist die
Unterstützung des IPv6-Protokolls. Darüber hinaus können
Administratoren nun Benutzer und Gruppen in einer MySQL-,
PostgreSQL oder LDAP-Datenbank speichern. In der DNS-Verwaltung
gibt es ab jetzt ein Feature zum einfachen Löschen von
Einträgen aus mehreren Zonen.
Webmin bietet ein webbasiertes Verwaltungs-Frontend für
Linux- und Unix-Rechner. Eine Vielzahl von Modulen ermöglicht
die Administration verschiedener Software-Komponenten
wie DNS, DHCP, IMAP/ POP, Firewalls, Kerberos, Raid-Systemen
und so weiter. Wer sich einen Eindruck von der Software verschaffen
möchte, kann dies mit Hilfe einer Demo-Installation
tun, die unter der Adresse http://​webmin-demo.virtualmin.com/ erreichbar
ist. Login und Passwort lauten dabei „demo“. Webmin
gibt es zum Download als Tar-Datei im Quellcode und als
Binärpakete für Cent OS, Ubuntu, Debian, Red Hat, Fedora,
Mandrake sowie Solaris und Windows. Das Webmin-Paket steht
als freie Software unter der BSD-Lizenz.
Noch ein ZFS für Linux
Die Firma KQ Infotech hat unter [http://​zfs.​kqinfotech.​com] eine
weitere native Implementierung von ZFS für den Linux-Kernel
zum Betatest bereitgestellt. Die feste Integration des leistungsfähigen
Solaris-Dateisystems ZFS in den Linux-Kernel scheitert
grundsätzlich an der Inkompatibilität der beiden Lizenzen,
unter denen die jeweilige Software steht. Ein Umweg führte
bislang über die Einbindung von ZFS-Code über die FUSE-Userspace-Schnittstelle,
die das lizenzinkompatible binäre Verlinken
mit dem Linux-Kernel vermeidet.
Ein Projekt des Lawrence Livermore Laboratory hat vor kurzem
bereits einen nativen ZFS-Port vorgelegt, dessen Kernelmodule
Anwender selbst kompilieren müssen, um den Lizenzbedinungen
zu genügen. Den gleiche Weg geht nun auch KQ Infotech
mit seiner ZFS-Variante.
Das ZFS von KQ Infotech steht unter der CDDL-Lizenz, hat aber
noch nicht alle Features von neueren ZFS-Versionen implementiert.
Interessierte können sich auf der Website von KQ-Infotech
zum Beta-Programm anmelden und dann Pakete für Fedora,
Debian, Red Hat Enterprise Linux und Ubuntu herunterladen.
Das für Solaris entwickelte ZFS ist ein 128-Bit-Dateisystem,
das Snapshots, Deduplikation, Storage-Pools, Software-RAID
und weitere moderne Storage-Features unterstützt. Außer für
Solaris gibt es Implementierungen von ZFS für FreeBSD und
Mac OS X.
Neues Monitoring-Tool Youbeda für Open VZ
Leichte Übung für Webmin: die Prozessliste des Servers anzeigen.
Ein neues Tool namens Youbeda überwacht Open-VZ-Container
und schlägt bei Bedarf Alarm. Das ist Perl geschriebene Programm
beobachtet die Ressource-Limits der Container und
benachrichtigt den Administrator per E-Mail oder Jabber, wenn
der Failcount anwächst. Alternativ schreibt es Statistiken in eine
SQL-Datenbank. Youbeda setzt neben Perl keine besonderen
Software-Pakete voraus. Es ist für Alt-Linux entwickelt, sollte
aber nach Meinung der Programmierer auch auf anderen Linux-
Distributionen funktionieren. [http://​devel.​ossg.​ru/​youbeda.​html]
Open Panel verwaltet Serverdienste
Mit Open Panel stellt sich ein neues Administrationstool
für Serverdienste vor,
das sich per Weboberfläche und per
Kommandozeile bedienen lässt. Mit ihrer
GPL-Software möchten die niederländischen
Entwickler ein freies, bedienungsfreundliches
und erweiterbares Tool zur
Servereinrichtung bieten.
In der nun erhältlichen Version 1.0 kann
Open Panel virtuelle Apache-2-Hosts konfigurieren,
OpenSSH-Konten verwalten,
DNS-Zonen mit BIND 9 administrieren
sowie Postfix- und Courier-Maildienste
konfigurieren. Daneben eignet sich das
Panel zum Verwalten von MySQL-Datenbanken,
von Pure-FTP-Konten mit
Chroot und Iptables-Firewalls. Software-
Updates per Apt lassen sich ebenfalls
vornehmen.
Derzeit ist die Software für Debian 5.0
(Lenny) getestet, soll aber auch unter
Squeeze und Ubuntu 10.04 funktionieren.
Als nächstes Ziel möchte das Projekt
Open Panel auch auf weiteren Debianbasierten
Distributionen testen, langfristig
soll es auch RPM-Versionen für Red
Hat, Cent OS und Suse geben. Darüber
hinaus haben die Entwickler weitere Entwicklungsziele
bekanntgegeben: IP- und
SSL-Administration, Vorlagen für Hosting-Produkte,
Backup, Unterstützung
für Mailinglisten, Verwaltung von Amavis
und Spamassassin, eine Oberfläche für
Mobilgeräte und einiges mehr.
Weitere Informationen finden sich auf der
Open-Panel-Website [http://​www.​openpanel.​
​com]. Dort gibt es auch eine Anleitung zur
Installation der Software aus den Debian-
Paketarchiven des Projekts.
12 AusgA be 01-2011 Admin

n immer auf http://www.admin-magazin.de
Vigorös
mit Sicherheit
Gnome-Freunde spendeten 2009 das Vierfache
2009 hat das Gnome-Projekt 40 280 Bugreports bearbeitet. Als
finanziellen Erfolg wertet die Gnome-Foundation die freien
Spenden, die sich mit 30 000 US-Dollar mehr als vervierfacht
haben. Das alles steht im nun veröffentlichten Gnome-Jahresbericht
2009.
Die Gnome Foundation hat – kurz vor Toresschluss des Jahres
2010 – ihren aufwändig gestalteten und bilderreichen Jahresbericht
des Gnome-Projekts für 2009 vorgelegt. Das rund 50-seitige
PDF [http://​foundation.​gnome.​org/​reports/​gnome-annual-report-2009.​
​pdf] ist von den Webseiten der Gnome Foundation herunterzuladen,
taucht aber nicht im Bericht-Index auf.
Das Marketing-Team hat es laut Bericht geschafft, mit der
Kampagne „Friends of Gnome“ das Spendenvolumen von 7000
Dollar im Jahr 2008 auf 30 000 Dollar zu vergrößern. In Sachen
Fundraising ist außerdem zu berichten, dass sich die Gnome
Foundation bald um einen Sysadmin erweitern wird – und damit
von eineinhalb auf zweieinhalb Mitarbeiter anwächst. Vom
Event- und Reise-Team berichtet Stormy Peters, dass es für 39
Gnome-Entwickler die Reise zum Gnome-Summit organisiert
habe (der im Jahr 2009 gemeinsam mit KDE veranstaltete Gran
Canaria Desktop Summit). Das Advisory Board habe sich trotz
schwerer wirtschaftlicher Zeiten bereit erklärt, den eigenen
Jahresbeitrag zu erhöhen.
Neues Major-Release des OTRS-Helpdesks
Die OTRS AG bietet ab sofort die neue Version 3.0 ihrer Helpdesk-
und Trouble-Ticket-Software zum kostenlosen Download
an. Highlight von OTRS 3.0 ist eine völlig neue grafischer
Web-Oberfläche. Dazu gehören unter anderem: ein per Dragand-Drop
individualisierbares Management-Dashboard, eine
dynamische Ticket-Zoomansicht, eine komfortable und leicht
anpassbare Volltext-Suche, Ticket-Archivierung und Barrierefreiheit.
Die OTRS Produkt-Suite umfasst das OTRS Helpdesk-System,
die ITIL-V3-konforme IT-Service-Management-Lösung ITSM,
eine iPhone App und die zugrunde liegende Technologie-Plattform.
OTRS ist als freie Software unter der GNU Affero General
Public License (AGPL) erhältlich. Darüber hinaus bietet der
Hersteller verschiedene kostenpflichtige Support-Varianten und
eine gehostete Version namens OTRS on Demand.
Die neueste Version 3.0.4, die im Dezember erschienen ist,
behebt eine Reihe von Bugs im ursprünglichen Release und
steuert neue Übersetzungen zum Paket bei. Es steht auf der
OTRS-Seite für Suse, Red Hat / Fedora / Cent OS, Windows und
im Quellcode zum Download bereit. Die Dokumentation für die
neue Version findet sich unter [http://​doc.​otrs.​org/​3.​0/​en/​html/], mit
einer Upgrade-Anleitung für ältere OTRS-Installationen. Eine
passende Version von ITSM für OTRS 3.0 soll im Frühjahr 2011
erscheinen.
Eine frei zugängliche Online-Demo mit Ansichten für Kunden
und Ticket-Bearbeiter ist unter der Web-Adresse [http://​otrs.​org/
demo]​verfügbar.
Telefonie einfach und sicher ...
VigorIPPBX 2820
VigorPhone 350
Softphone
IP PBX
Kontakt:
(D) 0621/7176670
(A) 0720/734941
info@draytek.de
VoIP
ISDN
+
ADSL2+
VoIP
ISDN
- für ISDN / PSTN / VoIP
- bis zu 50 IP-Nebenstellen
- ISDN-Qualität mit G.711
- benutzerdefinierte Ansagen
- ZRTP-Verschlüsselung
- Komfortmerkmale
- ADSL2/2+-Modem
- Ethernet-WAN-Port
- 32 VPN-Tunnel
- SPI-Firewall
- IPPBX-Auto-Provisionierung
- bis zu 10 SIP-Konten
- ISDN-Qualität mit G.711
- Busy-Lamp-Field (16 Tasten)
- RJ9-Headset-Anschluss
- PoE-Versorgung / Netzteil
- Komfortables Webinterface
Firewall
www.draytek.de
Analogtelefonie
- keineLizenzkosten
- lokale oder mobile Nutzung
- ISDN-Qualität mit G.711
- Komfortmerkmale
- Busy-Lamp-Field
- ZRTP-Verschlüsselung
USB

Login
news
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Salesforce übernimmt Ruby-Hoster Heroku
Die Firma Salesforce hat bekannt gegeben,
dass sie den Ruby-Hosting-
Provider Heroku [http://​heroku.​com] für
212 Millionen US-Dollar kaufen wird.
Salesforce bietet bisher Software zur
Pflege von Kundenbeziehungen (Customer
Relationship Management/
CRM) als kostenpflichtigen Webdienst
an. Gerade hat Salesforce auch den
neuen Datenbank-Dienst database.
com und eine webbasierte Anwendung
für Echtzeitgeschäftskommunikation
namens Chatter vorgestellt.
Eclipse Community Awards Nominierungen
Die Eclipse Foundation hat die Nominierungsphase
für die Eclipse Awards
eröffnet, die bis zum 28. Januar 2011
läuft. Insgesamt neun Auszeichnungen
gehen an Einzelpersonen, Projekte
und Technologien: Bei den Einzelpersonen
wird nach Committer, Contributor
und Newcomer Evangelist
unterschieden. Bei den Projekten sind
das „Most Innovative New Feature
or Project“ und das offenste Projekt
gesucht, das die Transparenz und Diversität
großer Open-Source-Projekte
repräsentiert. In der Technologie-
Kategorie gilt es, die beste Anwendung,
das beste Entwicklertool, das
beste Mobil-Produkt und das beste
Shinken-Monitoring produktionsreif
Unter dem Namen „Decadent Dragonfly“
haben die Shinken-Entwickler die
Version 0.4 ihres Monitoring-Systems
freigegeben. Es handle sich um die
erste Version, die für den produktiven
Einsatz geeignet sei. Shinken will
sich als Alternative zum bekannten
Monitoring-Framework Nagios etablieren
und kann deshalb direkt die
Konfiguration eines Nagios-Systems
verwenden. Shinken ist in Python geschrieben
und soll für größere Rechnerumgebungen
besser skalieren als
Nagios.
Die neue Shinken-Version kann ihre
Daten unter anderem in einem
Heroku hat sich auf das Hosting von
Ruby-Anwendungen auf der eigenen
Cloud-Plattform spezialisiert. Eine
ganze Reihe von Bibliotheken [https://​
​github.​com/​heroku] stellte Heroku der
Ruby-Community unter einer freien
Lizenz zur Verfügung. Salesforce verbindet
mit dem Kauf von Heroku die
Vision einer „Cloud 2“, wie Salesforce-Manager
Marc Benioff es nennt.
Diese „nächste Ära des Cloud Computing“
sei „mobil, sozial und finde in
Echtzeit statt“, meint Benioff.
Modeling-Produkt zu prämieren. Einzelheiten
stehen auf der Awards-Seite
[http://​www.​eclipse.​org/​org/​foundation/​
​eclipseawards/​index.​php] .
Nach der Nominierungsphase läuft
zwischen dem 31. Januar und dem
25. Februar eine Abstimmung, um die
Gewinner unter den Einzelpersonen
und den Projekte via Community-
Votum zu ermitteln. Die Gewinner
der Technologie-Kategorie hingegen
wählt eine Jury. Alle Gewinner des
Eclipse Community Awards sollen
auf der Eclipse Con 2011 verkündet
werden, die vom 21. bis 24. März
2011 im kalifornischen Santa Clara
stattfindet.
verteilten Storage-System wie Memcache
oder Redis speichern. Service-
Generatoren sollen Anwendern dabei
helfen, für zu überwachende Dienste
eine neue Konfiguration anzulegen.
Shinken steht unter der Affero General
Public License zum Download
von [http://​www.​shinken-monitoring.​org/​
​download] bereit.
Alternativ gibt es für virtualisierte
Installationen auch zwei Images für
die Virtualisierungslösungen VMware
und Virtualbox. Als grafische Frontends
für Shinken stehen die Nagios-
Lösungen Thruk, Ninja and NagVis
zur Verfügung.
Attachmate kauft Novell
Der IT-Anbieter Attachmate Corporation hat
mitgeteilt den Linux-Distributor Novell zu übernehmen.
Den Kaufpreis gibt das von einer Investorengruppe
gehaltene Attachmate mit 6,10
US-Dollar pro Aktie an, was einem Kaufvolumen
von rund 2,2 Milliarden US-Dollar entspricht.
Die Novell-Aktie hatte vor der Bekanntgabe mit
rund 5,9 US-Dollar geschlossen. Im Zuge der
Vereinbarung soll der Novell-Aktionär Elliott
Management Corporation Anteilseigner bei der
Attachmate Corporation werden.
Attachmate sieht sich, vorausgesetzt der Handel
kommt zustande, ein Markenportfolio bestehend
aus Attachmate, Net-IQ, Novell und Suse halten.
Attachmate will nach der Übernahme die beiden
Geschäftseinheiten Novell und Suse betreiben,
heißt es seitens Novell: Jeff Hawn, Vorstandsvorsitzender
und CEO der Attachmate Corporation,
wolle die Novell- und Suse-Lösungen ausbauen.
Novells Präsident und CEO Ron Hovsepian hebt
die komplementären Produkte und die teilweise
gleiche Kundschaft der beiden Unternehmen
hervor.
Die Übernahme soll im ersten Quartal 2011
abgeschlossen sein, vorausgesetzt die Novell-
Aktionäre und die an der Prüfung beteiligten
Behörden geben ihre Zustimmung. Außerdem
ist ein Verkauf des geistigen Eigentums an Technologien
an die CPTN Holdings LLC für das
Zustandekommen des Handels relevant. Die
CPTN ist ein von Microsoft ins Leben gerufenes
Konsortium. In einem an die US-Börsenaufsicht
SEC eingereichten Papier ist die Rede von 882
Patenten, die für 450 Millionen US-Dollar an
CPTN gehen.
Die im Novell-Besitz befindlichen Rechte an
Unix sollen dagegen bei Novell verbleiben. Es
gab in der Open-Source-Szene Befürchtungen,
unter den fraglichen Patenten könne sich auch
die von Novell gehaltenen Copyrights an Unix
befinden, die dann indirekt an Microsoft gehen
würden. John Dragoon von Attachmate schließt
dies aus: „Novell will continue to own Novell’s
Unix copyrights following completion of the
merger as a subsidiary of Attachmate.“
Über die Zukunft der Suse-Distribution äußert
sich Jeff Hawns: Opensuse sei ein wichtiger Bestandteil
des Suse-Geschäfts, beteuert der CEO
in seinem Statement. Nach Abschluss der Transaktion
werde Suse als eigener Geschäftsbereich
geführt, wie in der Vereinbarung mit Novell festgeschrieben.
In der Beziehung zwischen Suse
und Opensuse werde sich durch die Übernahme
nichts ändern, verspricht Hawn.
14 AusgA be 01-2011 Admin

news
Login
n immer auf http://www.admin-magazin.de +++++ neueste Nachrichten immer auf http://
Mehr Software-Partner für Ubuntu
Canonical, das Unternehmen hinter Ubuntu-Linux, hat seit der
Veröffentlichung von Version 10.10 eine Reihe Software-Partner
gewonnen. Zu den neuen Anbietern von Software innerhalb
des Software-Centers von Ubuntu gehören die Firmen Boxed
Ice, Opsview, Riptano, Unoware, Vladster, Wavemaker und
Zend. Auch der kalifornische IT-Integrator Centrify hat sich
eingereiht.
Neu an Bord von Ubuntus Partner-Software sind demnach
unter anderem die Monitoring-Software Opsview, die verteilte
Datenbank Cassandra, die WYSIWYG-Entwicklungsumgebung
Wavemaker und Active Directory für Ubuntu. Ob, wann und
zu welchen Bedingungen die Neuzugänge in Ubuntus Software
Center verfügbar sind, verrät Canonical nicht.
Zu den bisherigen rund 100 Software-Partnern von Canonical
gehören unter anderem Zarafa, Unison, Zimbra, PGP, Oracle,
Eucalyptus und Likewise. Software-Partner von Canonical zu
sein bedeutet, die eigene Software in Kooperation mit den
Canonical-Entwicklern für Ubuntu anzupassen, gegebenenfalls
über das in Ubuntu integrierte Software Center zu vertreiben
und über Canonical Dienstleistungen dafür zu verkaufen. Das
Software Center wurde als Ersatz für den Paketmanager Synaptic
mit 9.10 „Karmic Koala“ eingeführt. Mit Ubuntu 10.10 „Maverick
Meerkat“ ist das Angebot angelaufen, über das Software
Center (Version 3.0.4) auch Bezahlprogramme zu erwerben.
Für April 2011 ist übrigens Version 4.0 des Software Centers
geplant, die auch Spenden für nichtkommerzielle Softwareprojekte
ermöglichen soll.
ADMIN-Umfrage: Viele verwenden OTRS
Das Ergebnis einer Online Umfrage des ADMIN-Magazins zum
Thema „Welche Software setzen Sie für Helpdesk / Trouble
Tickets ein?“ lässt einigen Raum zur Interpretation. Auf dem
ersten Platz landete mit 30
Prozent der Stimmen das
OTRS-Paket. Es lieferte sich
allerdings die längste Zeit
ein Kopf-an-Kopf-Rennen
mit dem Punkt „andere“,
der offen lässt, welches
System die Befragten wirklich
verwenden.
An dritter Stelle folgt
schließlich mit 15 Prozent
die Antwort „gar keins“.
Die restlichen Plätze machen
dann mit zwischen
drei und acht Prozent der
Stimmen die Pakete Mantis,
Bugzilla, RT, GLPI und OTRS ist der nicht unumstrittene Sieger
Trac untereinander aus. der ADMIN-Umfrage.
Linux-Server
NEU
Linux Hochverfügbarkeit
NEU
Red Hat Enterprise Linux 6 fertig
Der Software-Hersteller Red Hat hat Version 6 seines Enterprise
Linux vorgestellt. Generell soll das neue Major Release
der Enterprise-Distribution zuverlässiger arbeiten und besser
skalieren. Dafür verwendet es den Linux-Kernel 2.6.32 und
das Ext4- wie auch das XFS-Dateisystem, das bis zu 100 TByte
unterstützt. Beim Netzwerkdateisystem setzt Red Hat nun auf
NFS4 sowie das Cluster-Dateisystem GFS2. Diverse Änderungen
beim Logical Volume Manager LVM und bei iSCSI bringen den
Anwendern erweiterte Storage-Features.
Im Zentrum der Virtualisierungslösung steht der Linux-Hypervisor
KVM, der beispielsweise mit KSM (Kernel Samepage
Merging) den Speicherverbrauch senkt, indem er Speicherseiten
unterschiedlicher virtuellen Maschinen mehrfach verwendet.
Die Einbindung in Microsoft-Netzwerke wurde durch die
Überarbeitung des Samba-Datei- und Printservers sowie das
Openchange-Paket verbessert.
Bei der Software-Ausstattung setzt RHEL 6 auf den Webserver
Apache 2.2, die Java-Version OpenJDK 6, Tomcat 6, die Datenbanken
MySQL 5.1.47 und PostgreSQL 8.4. Über die ganze
Support-Dauer von zehn Jahren garantiert Red Hat den Anwendern
stabile API- und ABI-Schnittstellen. Die Produktseite
[http://​www.​redhat.​com/​rhel/​server/​details/] liefert eine vollständige
Liste der neuen Features in Red Hat Enterprise Linux.
815 S., 2011, 49,90 €
» www.GalileoComputing.de/2205
454 S., 2011, 49,90 €
» www.GalileoComputing.de/1999
Linux-Know-how
Webserver einrichten
und administrieren
NEU
497 S., 2. Auflage 2011, mit CD, 39,90 €
» www.GalileoComputing.de/2529
www.GalileoComputing.de
OpenVPN
296 S., 2. Auflage 2011, 39,90 €
» www.GalileoComputing.de/2466
Wissen, wie’s geht.

netzwerk
iPv6
IPv6/ IPv4-Dual-Stack einrichten
​Hochgestapelt
Anfang dieses Jahres sollen endgültig die iPv4-Adressen ausgehen. was von dieser
these zu halten ist und wie man sich auf die iPv6-migration vorbereiten kann, verrät
dieser Artikel. Owen deLong
Die meisten Administratoren haben wohl
schon davon gehört, dass Anfang 2011 die letzten
IPv4-Adressen vergeben werden. Wie es
genau um den Vorrat an Adressen steht, ist
schwer zu sagen. Zumindest gehen der Internet
Assigned Numbers Authority (IANA) jetzt die
IPv4-Adressen aus.
Die ganze Geschichte ist etwas komplizierter.
Die IANA vergibt Adressen nicht an Endkunden
oder Firmen, sondern nur an die fünf regionalen
Internet Registries (RIR). Die wiederum vergeben
sie an Firmen, Internetprovider oder weitere
Internet Registries. Wann der IANA die Adressen
ausgehen, lässt sich relativ leicht absehen: Sie
gibt demnächst jeweils einen Teil des letzten
großen Blocks an jede RIR, und damit ist der
eigene Adressenpool ausgeschöpft.
Schwieriger ist abzusehen, wann der Vorrat der
RIRs erschöpft ist. Bei der Vergabe spielen viele
Variablen eine Rolle, etwa die stark schwankende
Nachfrage zu unterschiedlichen Zeiten.
Es ist anzunehmen, dass den RIRs etwa ein Jahr
später die Adressen ausgehen, nachdem der
letzte Block von der IANA vergeben ist.
Der Nachfolger IPv6 ist schon einige Zeit in Arbeit
und viele Router und Provider unterstützen
das neue Protokoll bereits. Mehr und mehr
Netzwerke werden in Zukunft IPv6 beherrschen,
je weniger IPv4-Adressen es gibt. Dieser Artikel
beschreibt im Folgenden, wie Sie selbst IPv6
konfigurieren und welche Fallen dabei auf Sie
lauern. Selbst wenn Ihr Provider noch kein IPv6
anbietet, können Sie schon am Internet der Zukunft
teilnehmen.
Viele Adressen
Das heute in Verwendung befindliche IPv4-Protokoll
bietet nur Adressen mit 32 Bits, kann also
maximal etwa drei Milliarden Geräte adressieren.
IPv6 eröffnet mit seinen 128 Bits einen Ad-
Dmitriy Melnikov, 123RF
16
AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

iPv6
n etzwerk
ressraum von 2 128 – eine ziemlich schwer
vorstellbare Zahl mit 39 Stellen.
IPv6 bietet gegenüber dem alten Protokoll
einige Vorteile, darunter die erweiterte
Autokonfiguration und Multicasting,
mehr Optionen für Quality of Service und
mehr Nutzdaten. Neben den Vorteilen
birgt IPv6 natürlich auch einige Risiken
oder Schwierigkeiten, zum Beispiel bei
der Migration.
Die Implementierung von IPv6 beinhaltet
eine Reihe kleiner Schritte. Deren genaue
Reihenfolge hängt von der jeweiligen
Konfiguration ab, eventuell müssen Sie
einige Schritte umstellen. Die im Folgenden
näher beschrieben Schritte sind im
Einzelnen:
n Verbindung zum IPv6-Internet herstellen,
zum Beispiel mit einem Router.
n Für Hosts und Router eine IPv6-Security-Policy
aufstellen.
n IPv6 im internen Netz aktivieren.
n IPv6 auf den einzelnen Hosts aktivieren.
n Einzelne Dienste mit IPv6-Support
ausstatten und starten, zum Beispiel
DNS, IMAP/ POP, SMTP und Web.
Auch wenn die Schritte bei Ihnen eventuell
ein bisschen anders aussehen, gibt
dieser Artikel dennoch für jeden einzelnen
eine Hilfe.
Anschluss an IPv6
Der erste Schritt besteht darin, den Router
ans IPv6-Internet anzubinden. Dabei
ist es ratsam, von Anfang an den
Sicherheitsaspekt im Auge zu behalten.
Die meisten Hacker sind nämlich schon
eine Zeit lang fit in IPv6 beziehungsweise
Dual-Stack-Setups, es gibt auch schon
eine Reihe von funktionierenden Angriffen
gegen IPv6.
Am besten ist es natürlich, wenn Ihr
Internetprovider direkt eine Dual-Stack-
Verbindung zur Verfügung stellt, aber
viele bieten das leider noch nicht an. Fragen
kostet aber nichts. Mit etwas Glück
können Sie sich dann den Rest dieses
Abschnitts sparen.
Gibt es keine direkte IPv6-Anbindung,
führt der Weg über eine Tunnel-Verbindung.
Dabei werden die IPv6-Pakete
in IPv4-Paketen getunnelt, um so auch
Strecken ohne IPv6-Support zu durchqueren.
Für IPv6-Tunnels gibt es einige
Provider, darunter den Tunnel Broker von
01 *filter
02 :INPUT ACCEPT [0:0]
03 :FORWARD ACCEPT [0:0]
04 :OUTPUT ACCEPT [0:0]
05 :RH‐Firewall‐1‐INPUT ‐ [0:0]
06 ‐A INPUT ‐j RH‐Firewall‐1‐INPUT
07 ‐A FORWARD ‐j RH‐Firewall‐1‐INPUT
08 # Don't block Loopback
09 ‐A RH‐Firewall‐1‐INPUT ‐i lo ‐j ACCEPT
10 # Permit Syslog
11 ‐A RH‐Firewall‐1‐INPUT ‐d 192.0.2.2/32 ‐m state ‐‐state NEW ‐m udp ‐p
udp ‐‐dport 514 ‐j AC
12 CEPT
13 # Permit BFD (for OSPF)
14 ‐A RH‐Firewall‐1‐INPUT ‐d 192.0.2.2/32 ‐m state ‐‐state NEW ‐m udp ‐p
udp ‐‐dport 3784 ‐j A
15 CCEPT
16 ‐A RH‐Firewall‐1‐INPUT ‐d 192.0.2.2/32 ‐m state ‐‐state NEW ‐m tcp ‐p
tcp ‐‐dport 3784 ‐j A
Listing 1: iPtables
17 CCEPT
18 # Permit ICMP
19 ‐A RH‐Firewall‐1‐INPUT ‐p icmp ‐‐icmp‐type any ‐j ACCEPT
20 # Permit ESP and AH (for IPSEC)
21 ‐A RH‐Firewall‐1‐INPUT ‐p 50 ‐j ACCEPT
22 ‐A RH‐Firewall‐1‐INPUT ‐p 51 ‐j ACCEPT
23 # Permit hosts on local LAN
24 ‐A RH‐Firewall‐1‐INPUT ‐s 192.0.2.0/24 ‐j ACCEPT
25 # Permit established sessions already in state table
26 ‐A RH‐Firewall‐1‐INPUT ‐m state ‐‐state ESTABLISHED,RELATED ‐j ACCEPT
27 # Permit SSH
28 ‐A RH‐Firewall‐1‐INPUT ‐m state ‐‐state NEW ‐m tcp ‐p tcp ‐‐dport 22 ‐j
ACCEPT
29 # Permit DNS
30 ‐A RH‐Firewall‐1‐INPUT ‐s 192.0.2.0/24 ‐m state ‐‐state NEW ‐m udp ‐p
udp ‐‐dport 53 ‐j ACCEPT
31 ‐A RH‐Firewall‐1‐INPUT ‐s 192.0.2.0/24 ‐m state ‐‐state NEW ‐m tcp ‐p
tcp ‐‐dport 53 ‐j ACCEPT
01 *filter
02 :INPUT ACCEPT [0:0]
03 :FORWARD ACCEPT [0:0]
04 :OUTPUT ACCEPT [0:0]
05 :RH‐Firewall‐1‐INPUT ‐ [0:0]
06 ‐A INPUT ‐j RH‐Firewall‐1‐INPUT
07 ‐A FORWARD ‐j RH‐Firewall‐1‐INPUT
08 # Don't block Loopback
09 ‐A RH‐Firewall‐1‐INPUT ‐i lo ‐j ACCEPT
10 # Permit Syslog
11 ‐A RH‐Firewall‐1‐INPUT ‐d 2001:db8:feed:face::2/128 ‐m state ‐‐state NEW
‐m udp ‐p udp ‐‐dport 514 ‐j ACCEPT
12 # Permit BFD (for OSPF)
13 ‐A RH‐Firewall‐1‐INPUT ‐d 2001:db8:feed:face::2/128 ‐m state ‐‐state NEW
‐m udp ‐p udp ‐‐dport 3784 ‐j ACCEPT
14 ‐A RH‐Firewall‐1‐INPUT ‐d 2001:db8:feed:face::2/128 ‐m state ‐‐state NEW
‐m tcp ‐p tcp ‐‐dport 3784 ‐j ACCEPT
Listing 2: iP6tables
15 # Permit ICMP
16 ‐A RH‐Firewall‐1‐INPUT ‐p icmp ‐‐icmp‐type any ‐j ACCEPT
17 # Permit ESP and AH (for IPSEC)
18 ‐A RH‐Firewall‐1‐INPUT ‐p 50 ‐j ACCEPT
19 ‐A RH‐Firewall‐1‐INPUT ‐p 51 ‐j ACCEPT
20 # Permit hosts on local LAN
21 ‐A RH‐Firewall‐1‐INPUT ‐s 2001:db8:feed:face::0/64 ‐j ACCEPT
22 # Permit established sessions already in state table
23 ‐A RH‐Firewall‐1‐INPUT ‐m state ‐‐state ESTABLISHED,RELATED ‐j ACCEPT
24 # Permit SSH
25 ‐A RH‐Firewall‐1‐INPUT ‐m state ‐‐state NEW ‐m tcp ‐p tcp ‐‐dport 22 ‐j
ACCEPT
26 # Permit DNS
27 ‐A RH‐Firewall‐1‐INPUT ‐s 2001:db8:feed:face::0/64 ‐m state ‐‐state NEW
‐m udp ‐p udp ‐‐dport 53 ‐j ACCEPT
28 ‐A RH‐Firewall‐1‐INPUT ‐s 2001:db8:feed:face::0/64 ‐m state ‐‐state NEW
‐m tcp ‐p tcp ‐‐dport 53 ‐j ACCEPT
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
17

n etzwerk
iPv6
Hurricane Electric [1]. Wer hinter einer
NAT-Firewall sitzt, findet eventuell eine
Lösung in dem Tunnel Broker und der
Adapter-Software von Sixxs [2].
Sich zu registrieren sollte kein großes
Problem darstellen. Damit bekommen
Sie meistens entweder einen /64-Block
(wenn Sie nur ein Netz brauchen) oder
einen /48-Block (für mehrere Netze).
Die Beispiele in diesem Artikel gehen
von einem /48-Netz aus. Wer ein /48-
Netz erhält, bekommt vielleicht sowieso
noch ein zusätzliches /64-Subnetz für
die Tunnelverbindung dazu. Bei der Konfiguration
des Tunnels fragt der Broker
nach der öffentlichen IP-Adresse Ihres
Listing 3: router-konfiguration
01 router> edit
02 [edit]
03 router# set system internet‐options
ipip‐path‐mtu‐discovery
04 router# edit interfaces ip‐0/0/0.0
05 [edit interfaces ip‐0/0/0 unit 0]
06 router# set description "6in4 tunnel to
Hurricane Electric Tunnel Broker"
07 [edit interfaces ip‐0/0/0 unit 0]
08 router# set point‐to‐point
09 [edit interfaces ip‐0/0/0 unit 0]
10 router# set tunnel source 203.0.113.89
11 [edit interfaces ip‐0/0/0 unit 0]
12 router# set tunnel destination 198.51.100.5
13 [edit interfaces ip‐0/0/0 unit 0]
14 router# set tunnel path‐mtu‐discover
15 [edit interfaces ip‐0/0/0 unit 0]
16 router# set family inet6 mtu 1280
17 [edit interfaces ip‐0/0/0 unit 0]
18 router# set family inet6 address
2001:db8:930:7000::2/64
Gateway. Wenn Sie die nicht kennen, hilft
eine Abfrage von [whatismyipaddress.​
​com] weiter.
Juniper-Router
Sind die Adressen für den Tunnel und das
lokale Netzwerk konfiguriert, kommt als
Nächstes der Router dran. Zuerst sollten
Sie sicherstellen, dass Sie nicht versehentlich
IPv6-Verbindungen mit Hosts
aufbauen, die keine Security Policy haben.
Das können Sie beispielsweise mit
einer passenden ACL auf dem Router machen
oder indem Sie den IPv6-Support
bei allen Hosts erst mal ausschalten.
19 [edit interfaces ip‐0/0/0 unit 0]
20 router# show
21 description "6in4 tunnel to Hurricane Electric
Tunnel Broker";
22 point‐to‐point;
23 tunnel {
24 source 203.0.113.89;
25 destination 198.51.100.5;
26 path‐mtu‐discovery
27 }
28 family inet6 {
29 mtu 1280;
30 address 2001:db8:930:7000::2/64;
31 }
32 [edit interfaces ip‐0/0/0 unit 0]
33 router# top
34 [edit]
35 router# commit and‐quit
36 commit complete
37 Exiting configuration mode
Der Firewall-Support per IP6tables unter
Linux funktioniert ganz ähnlich wie
das bekannte IPtables, wenn man sich
erst einmal an die neuen IPv6-Adressen
gewöhnt hat. Listing​1 zeigt einen Ausschnitt
aus einer Firewall-Konfiguration,
Listing​2 das Gegenstück für IPv6.
Wenn Router und Hosts abgesichert sind,
können Sie die IPv6-Verbindung auf dem
Router aktivieren. Jeder Tunnel führt je
eine Adresse für die Innen- und die Außenseite.
Die Außen-Adresse ist die öffentliche
IPv4-Adresse des Geräts, das
den Tunnelendpunkt bildet. Im Beispiel
besitzt der Tunnel die Adressen 198.
51.100.5 (Provider-Seite des Tunnels) und
203.0.113.89 (lokales Tunnelende). Die
Innen-Adressen sind 2001:db8:930:7000
::1/64 (Provider) und 2001:db8:930:7000
::2/64 (lokal).
Sie testen die Verbindung mit einem Ping
vom lokalen Tunnelendpunkt zum Router
auf der anderen Seite. Unter Linux können
Sie bei Ping mit »-I« die Quelladresse
angeben:
ping ‐I 203.0.113.89 198.51.100.5
Auf einem Juniper-Router beispielsweise
sieht der entsprechende Aufruf so aus:
ping 198.51.100.5 source 203.0.113.89
Funktioniert dies, können Sie mit dem
Code aus Listing​3 auf dem Router den
Tunnel einrichten.
Jetzt sollte ein Ping auch über das IPv6-
Protokoll funktionieren:
ping 2001:db8:930:7000::1 source 2001:db8:U
930:7000::2
Listing 4: iPv6-Adresse für den router
01 router> edit
02 [edit]
03 router# edit interfaces ge‐0/0/0.0
04 [edit interfaces ge‐0/0/0 unit 0]
05 router# edit family inet6
06 [edit interfaces ge‐0/0/0 unit 0 family inet6]
07 router# set mtu 1280
08 [edit interfaces ge‐0/0/0 unit 0 family inet6]
09 router# set address 2001:db8:930:5ffe::1/64
10 [edit interfaces ge‐0/0/0 unit 0 family inet6]
11 router# set address 2001:db8:930:5ffe::/64
eui‐64
12 [edit interfaces ge‐0/0/0 unit 0 family inet6]
13 router# set address 2001:db8:930:5ffe::/64
primary
14 [edit interfaces ge‐0/0/0 unit 0 family inet6]
15 router# up
16 [edit interfaces ge‐0/0/0 unit 0]
17 router# show
18 description "LAN Segment 1"
19 family inet {
20 mtu 1280;
21 address 192.168.0.1/24;
22 }
23 family inet6 {
24 mtu 1280;
25 address 2001:db8:930:5ffe::1/64;
26 address 2001:db8:930:5ffe::/64 {
27 eui‐64;
28 primary;
29 }
30 }
31 [edit interfaces ge‐0/0/0 unit 0]
32 router# commit and‐quit
33 commit complete
34 Exiting configuration mode
Im Erfolgsfall ist Ihr Router nun mit dem
IPv6-Internet verbunden. Im nächsten
Schritt aktivieren Sie IPv6 im lokalen
Netz. Die lokale Routeradresse konfigurieren
Sie auf einem Juniper-Gerät wie
in Listing​4.
Automatisch
Wenn Sie das Kommando »show« eingeben,
sehen Sie den Abschnitt »inet« mit
der bestehenden IPv4-Konfiguration. Neu
hinzugekommen ist die IPv6-Konfiguration
im Abschnitt »family inet6«. Die
Hosts bekommen im Netzwerk vom Router
nun eine IPv6-Adresse zugewiesen
(per Stateless Autoconfiguration). Damit
können sich die Rechner untereinander
18 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

OPEN SOURCE IT MANAGEMENT
Nagios Monitoring Bacula MuleESB Request Tracker Consulting
Konferenzen Reporting OTRS Puppet Managed Services Icinga
Jasper OpenNMS MySQL Schulungen Hosting MySQL Supportverträge
AKTUELLE SCHULUNGEN:
http://www.netways.de/training
NAGIOS Open Source Monitoring
Basis- sowie vertiefter Einblick in die Open
Source Monitoring Software Nagios.
Wir unterstützen Unternehmen bei der Überwachung
und Verwaltung von komplexen IT Netzwerken mit
Open Source Software. Profitieren Sie von unserer
Erfahrung aus mehr als 200 erfolgreichen Projekten.
http://www.netways.de
PUPPET Configuration Management
Erfahren Sie alles über die Konfiguration
und Anwendung von Puppet.
JASPER SLA Reporting
Einführung in das Thema Reporting mit
Jasper Reports.

n etzwerk
iPv6
pingen und den Router erreichen. Für
den Internetzugang über IPv6 ist noch
das Routing anzupassen, am einfachsten
mit einer Default-Route wie in Listing​5.
Listing 5: default-route
01 router> edit
02 [edit]
03 router# edit routing‐options rib inet6.0 static
04 [edit routing‐options rib inet6.0 static]
05 router# set route ::/0 next‐hop 2001:db8:930:7000::1
06 [edit routing‐options rib inet6.0 static]
07 router# show
08 route ::/0 next‐hop 2001:db8:930:7000::1;
09 [edit routing‐options rib inet6.0 static]
10 router# commit and‐quit
11 commit complete
12 Exiting configuration mode
13
14 router>
Listing 6: »named.conf«
01 options {
02 directory "/var/named";
03 dump‐file "data/cache_dump.db";
04 statistics‐file "data/named_stats.txt";
05 listen‐on { any; };
06 listen‐on‐v6 { any; };
07 };
08
09 logging {
10 channel all {
11 syslog daemon;
12 severity debug;
13 print‐time true;
14 print‐severity true;
15 print‐category true;
Listing 7: »named.conf« für iPv6
01 ...
02 view v6_test {
03 match‐clients {
04 v6_clients;
05 };
06
07 zone example.com {
08 type master;
09 file "named6.example.com";
10 };
11
12 zone 2.0.192.in‐addr.arpa {
13 type master;
14 file "named.192.0.2‐24.rev";
15 };
16 zone
17 0.3.9.0.8.b.d.0.1.0.0.2.in6.arpa {
18 type master;
19 file "named.2001.db8.930‐48.rev";
20 };
21 };
22
Wenn die Default-Route ins IPv6-Internet
eingerichtet ist, kommen schließlich die
einzelnen Rechner dran.
Im Weiteren soll es darum gehen, wie
man auf Linux-Servern die verschiedenen
Dienste mit IPv6 zum Laufen bekommt.
Zuerst lernen Sie ein paar nützliche Linux-Tools
für Verbindungstests und so
weiter kennen. Das klassische Ping-Kommando
für IPv6 heißt »ping6«:
ping6 2001:db8:930:7000::1
Die eigene IPv6-Adresse zeigt der folgende
Befehl:
ip ‐f inet6 addr show
Ein weiterer Aufruf des IP-Tools zeigt die
benachbarten IPv6-fähigen Rechner an,
ähnlich wie bei IPv4 der Arp-Befehl:
16 };
17 };
18
19 include "/etc/rndc.key";
20
21 zone example.com {
22 type master;
23 file "named.example.com";
24 };
25
26 zone 2.0.192.in‐addr.arpa {
27 type master;
28 file "named.192.0.2‐24.rev";
29 };
23 view default {
24
25 match‐clients {
26 any;
27 };
28
29 zone example.com {
30 type master;
31 file "named.example.com";
32 };
33
34 zone 2.0.192.in‐addr.arpa {
35 type master;
36 file "named.192.0.2‐24.rev";
37 };
38 zone
39 0.3.9.0.8.b.d.0.1.0.0.2.in6.arpa {
40 type master;
41 file "named.2001.db8.930‐48.rev";
42 };
43 };
$ ip ‐f inet6 neigh show
2001:db8:930:5ffe::1 dev eth0 U
lladdr 2c:6b:f5:03:0a:20
Die meisten Dienste sind nicht sehr
schwierig für IPv6 zu konfigurieren.
Mit DNS, IMAP/ POP, SMTP und HTTP
sollte es keine großen Probleme geben,
die treten typischerweise eher mit selbst
geschriebenen Programmen auf oder mit
Management- oder Monitoring-Software,
die keine IPv6-Adressen parsen kann.
DNS-Sicht hilft bei der
Migration
Es empfiehlt sich, eine eigene Ansicht
für autorisierte DNS-Clients einzurichten,
damit die IPv6-Dienste nicht andere
Clientrechner verwirren. Das ist zwar etwas
schwieriger zu konfigurieren, aber
letztlich besser als der Gebrauch eigener
Namen für IPv6-Dienste. Aufwändiger
ist es deshalb, weil der Administrator
die Zone-Dateien doppelt pflegen und
eine eigene Konfiguration für die Ansicht
erstellen muss, wie auch eine ACL für
autorisierte Clients.
Dafür hat er den Vorteil, leichter und
mit weniger Änderungen in einer Produktivumgebung
auf IPv6 umschalten
zu können, zum Beispiel ohne Probleme
mit Hostnamen bei X.509-Zertifikaten
von SSL/ TLS-Diensten. Generell ist dieser
Ansatz näher an der Praxis als eigene
Hostnamen für IPv6-Dienste.
Die DNS-Beispiele basieren alle auf dem
Bind-Server, mit anderen Softwarepakete
funktioniert es aber ähnlich. Es geht mit
einer angepassten Ansicht in »named.
conf« los, die eine Domain »example.
com« konfiguriert (Listing​6).
Als Erstes legen Sie die Rechner fest,
welche die IPv6-Einträge sehen dürfen.
Fügen Sie dazu vor Zeile 21 den folgenden
Abschnitt ein:
acl v6_clients {
192.0.2.147;
192.0.2.159;
192.0.2.223;
};
Als Nächstes legen Sie mehrere Views
der Zone an. Dazu kopieren Sie die Zone-
Datei »named.example.com« in eine neue
Datei namens »named6.example.com«.
Ändern Sie anschließend die Datei »named.conf«
so ab, dass sie die Zeilen aus
Listing​7 enthält.
20 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

iPv6
n etzwerk
Die Views »v6_test« und »default« enthalten
beide den vollständigen Satz an
Domains, die für jene Clients sichtbar
sind, die die jeweilige View zugewiesen
bekommen. Deshalb sind beide Reverse-
Zones in beiden Views definiert. Weil sie
dasselbe Master-File verwenden, liefern
sie auch die gleichen Daten aus. Nur die
Zone »example.com« enthält eine andere
Zone-Datei.
Ein AAAA-Record verbindet eine IPv6-
Adresse mit einem Hostnamen. Sie können
nun AAAA-Records in der V6-Version
der Zone-Datei von »example.com« hinzufügen.
Ein solcher Eintrag sieht beispielsweise
so aus:
host IN A 192.0.2.153
IN AAAA 2001:db8:930:5ffe::99
Vergessen Sie nicht die Seriennummer im
SOA-Eintrag zu erhöhen. Die beiden Seriennummer
der jeweiligen Zone-Dateien
für IPv4 und IPv6 müssen nicht übereinstimmen.
Tatsächlich markieren manche
Admins damit die Version, die für einen
bestimmten Client gerade gültig ist.
Wenn Sie nun den Nameserver anweisen,
die Konfiguration neu zu laden, können
Sie den Name-Service ausprobieren. Testen
Sie dazu von einem Rechner, der in
der ACL steht, und einem, der nur die
IPv4-Konfiguration abrufen darf.
E-Mail
Als Beispiel für die IPv6-Konfiguration
von IMAP und POP soll Dovecot dienen,
der sich ohnehin in den letzten Jahren einen
guten Ruf als sicherer und zuverlässiger
IMAP-Server erworben hat. Listing​
8 zeigt eine minimale Konfigurationsdatei
»/etc/dovecot.conf«, mit der sich
der Server an IPv4- und IPv6-Adressen
bindet. Alternativ setzen Sie die Listen-
Direktiven auch in den einzelnen IMAPund
POP3-Abschnitten ein.
Sendmail-Anwender können ihren Mailserver
mit einer einfachen Änderung
IPv6-tauglich machen. Prinzipiell gibt es
dafür zwei Möglichkeiten, wie Listing​9
zeigt. Welche Zeile Sie auskommentieren,
hängt von Ihrer Konfiguration ab.
Bei den meisten Systemen funktioniert
der IPv6-Listener mit IPv6 und IPv4. Auf
manchen Systemen, zum Beispiel einigen
BSD-Varianten, muss man beide Listener
aktivieren, damit es funktioniert.
Unter Linux kommentieren Sie die V4-
Zeile aus und fügen die V6-Zeile hinzu.
Die Namen »MTA-v4« und »MTA« sind
nicht weiter wichtig, sie werden nur verwendet,
um sich an anderer Stelle in der
Konfiguration darauf zu beziehen.
Webserver
Der Apache-Server macht es Administratoren
leicht, einen Namen-basierten
virtuellen Host auf IPv6 zu migrieren.
Sie müssen dazu einfach nur an den entsprechenden
Stellen die IPv6-Adressen
hinzufügen, etwa so:
Listen 192.159.10.7:80
Listen [2001:db8::400:7]:80
ServerName www.delong.com
Es genügt also, eine weitere Listen-Zeile
und die Adresse in der Virtualhost-Konfiguration
einzutragen. Hier sieht man
auch ein typisches Problem bei der Migration
auf IPv6: Die meisten Administratoren
sind die Notation einer IP-Adresse
mit Doppelpunkt und Port gewohnt. Das
führt bei IPv6-Adressen zu Verwirrungen,
weil sie ja selbst den Doppelpunkt
als Trennzeichen verwenden. Deshalb
schließen viele Anwendungen die Adresse
selbst in eckige Klammern ein und
lassen erst danach einen weiteren Doppelpunkt
und die Portnummer folgen.
DNS sichern
Wenn alles läuft, können Sie vom Test- in
den Produktionsmodus übergehen. Dazu
wenden Sie sich noch einmal dem DNS-
Dienst zu, die anderen Dienste brauchen
Sie nicht mehr anzufassen. Stellen sie zuerst
sicher, dass sich die IPv4- und IPv6-
Zone-Dateien nur in den AAAA-Records
unterscheiden:
diff named.example.com named6.example.comU
| grep '^>' | grep ‐v '\s+AAAA\s+'
Sollten dieser Befehl etwas ausgeben,
müssen Sie die Konfiguration noch einmal
überarbeiten. Andernfalls können
Sie die Datei »named.example.com« irgendwo
sichern und aus der Nameserver-Konfiguration
löschen. Benennen Sie
dann »named6.example.com« in »named.
example.com« um und stellen dabei sicher,
dass die Seriennummer höher ist als
die letzte der alten Zone-Datei. Entfernen
Sie die Testansicht und den Zone-Wrapper
aus der Konfiguration.
Fazit
Mit diesen Schritten ist die Migration
eines kleinen Netzwerks nach IPv6 abgeschlossen.
Eine komplexe Umgebung,
zum Beispiel mit Monitoring-Systemen,
Log- und Installations-Servern und so
weiter erfordert natürlich mehr Aufwand.
Weil die Wahrscheinlichkeit groß ist,
dass es Ende 2011 wirklich keine neuen
IPv4-Adressen mehr gibt, sollten Sie jetzt
schon damit experimentieren. (ofr) n
Infos
[1] Tunnel Broker: [http://tunnelbroker.net]
[2] Sixxs: [http://www.sixxs.net]
Der Autor
Owen DeLong ist IPv6-Evangelist bei Hurricane
Electric und ein Mitglied des ARIN Advisory
Council. Er hat mehr als 20 Jahre Erfahrung als
Netzwerk-Administrator und -Experte. Owen hält
häufig Vorträge über IPv6 auf Konferenzen weltweit.
Wenn er nicht unterwegs ist, arbeitet er
auch als Pilot und als Tauchlehrer.
Listing 8: »dovecot.conf«
01 mail_location = mbox:~:INBOX=/var/mail/%u
02 mbox_dirty_syncs = yes
03 protocol imap {
04 }
05
06 protocol pop3 {
07 }
08 protocol lda {
09 postmaster_address = postmaster@example.com
10 }
11
12 listen = [::]
Listing 9: »sendmail.mc«
01 dnl DAEMON_OPTIONS(`Name=MTA, Family=inet')
02 dnl # The following causes sendmail to
03 dnl # additionally listen on the IPv6
04 dnl # addresses.
05 DAEMON_OPTIONS(`port=smtp, Name=MTA, Family=inet6')
06 dnl #
07 dnl # enable both ipv6 and ipv4
in sendmail:
08 dnl #
09 dnl DAEMON_OPTIONS(`Name=MTA‐v4, Family=inet')
10 dnl #
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
21

connectPlus
connectPlus
Als Schaltzentrale für den VoIP-Dienst in Ihrem
Namen erhalten Sie ein komplexes und dennoch
einfach zu bedienendes Webfrontend.
Tarife verwalten
Definieren Sie Minutenpreise und Taktungen.
So bestimmen Sie Ihren Gewinn selbst.
Kunden anlegen
Legen Sie Ihre Kunden an, weisen Sie ihnen
Tarife zu und aktivieren Sie Features, wie Fax-
2Mail, Voicebox, callManager und vieles mehr.
Rufnummern bestellen
Teilen Sie Ihren Kunden neue Rufnummern zu
oder portieren Sie bereits vorhandene. Dabei
stehen Ihnen alle 5204 Vorwahlen aus ganz
Deutschland zur Verfügung.
* Alle Preise inkl. MwSt. - Bei Vertragsabschluss bis 28.02.2011
keine Einrichtungsgebühren und keine Grundgebühren für die
ersten drei Monate. Sonderkündigungsrecht innerhalb der 90-tägigen
Testphase. Gilt für alle Neukunden, die in den letzen sechs
Monaten keine Kunden der outbox AG waren.
90 Tage risikofrei testen!
Aktionscode: AM111
Setupgebühren
3 x Grundgebühren
237 99* €
356 97* €
0,-
0,-
€
€
www.outbox.de/admin

Bereit zur Kontaktaufnahme:
Das Komplettpaket für VoIP - Reseller.
connectPlus ist das Komplettpaket für Ihr
eigenes Telefonie-Business. Starten Sie ohne
Investitionskosten für Hard- und Software in
den Wachstumsmarkt Voice-over-IP. Dank
vorkonfigurierter Server bringen Sie Ihr
VoIP - Angebot schnell auf den Markt. Einfach
online Kunden anlegen, Tarife definieren
und Rufnummern zuweisen - Fertig!
Fortlaufender Verdienst
durch Telefonminuten und Grundgebühren.
Sofort startklar
durch die Nutzung unserer vorkonfigurierten
VoIP-Server inkl. Online-Verwaltung.
Flexibel erweiterbar
dank Rufnummern aus über 40 Ländern
weltweit sowie 0800, 0180 und 0700
Servicerufnummern.
Auch als API-Version verfügbar
Infos und Beratung: 0800 / 688 269 24

NETZWERK
iLiveX
Linux-Remote-Desktop auf dem iPad
Auf dem Tablett
Die Software iLiveX bringt einen Linux-Desktop aufs iPad. Oliver Frommel
sellingpix, Fotolia
Als vor einigen Monaten der Hersteller
Starnet eine iPad-App vorstellte, die einen
Remote-Desktop für Linux-Systeme
versprach, wollte das ADMIN-Magazin
sie gleich testen. Leider war das schwieriger
als gedacht, denn Apple führt für
die USA und Europa getrennte App Stores
und die Anwendung namens iLiveX war
nur im amerikanischen Store verfügbar.
Das iPad so zu konfigurieren, dass es den
US-Store verwendet, scheiterte letztlich
daran, dass dazu ein Wohnort in den
USA nötig ist, was wiederum mit den
hinterlegten Daten für die Kreditkarte
kollidierte.
Ein paar Wochen später teilte uns die
Firma mit, dass iLiveX nun auch in Europa
zu kaufen sei und gab uns auch
einen Gutschein-Code, um den Kauf der
Anwendung zu Rezensionszwecken zu
ersparen. Auch das stellte sich als unmöglich
heraus, da der Gutschein-Code
nur für den amerikanischen Store gültig
war. Schließlich entschieden wir uns dafür
die 12 Euro zu bezahlen und installierten
die Software per Knopfdruck auf
dem iPad.
Zusätzlich erfordert iLiveX auf dem Linux-PC
die Installation des Live-Server-
Pakets, der auch für die anderen Remote-
Desktop-Produkte von Starnet nötig ist.
Fertige Distributionspakete gibt es für
Red Hat Enterprise Linux 4 und 5, Suse,
Ubuntu, aber auch HP-UX, Solaris und
AIX. Für jedes System existiert ein Paket
im distributionseigenen Format, das
der Administrator systemweit installieren
kann, und ein Tar-Paket, das normale Benutzer
einfach in ihrem Home-Verzeichnis
entpacken.
An Systemvoraussetzungen gibt es nicht
viel zu beachten, es muss nur der SSH-
Server installiert sein und mit »AllowTcp-
Forwarding yes« in seiner Konfigurationsdatei
»sshd_config« TCP-Forwarding erlauben.
Anwender von Suse Linux Enterprise
9 brauchen noch einen Patch, den
Starnet in seinem Installations-Howto für
Linux verlinkt hat.
Einfache Konfiguration
Das Server-Paket näher zu konfigurieren
ist überflüssig, denn iLiveX startet den
Remote-Desktop auf dem Server einfach
mit einem Remote-Aufruf des Programms
»rxlaunch«. Dazu muss der Anwender auf
der iPad-App nur seine Login-Daten und
den Hostnamen des Servers eingeben,
der Rest geschieht automatisch (Abbildung
1). Im Test gab es hierbei keinerlei
Probleme, prompt erschien der Gnome-
Desktop auf dem iPad (Abbildung 2).
Alternativ kann der Anwender auch eine
KDE- oder reine X11-Sitzung auswählen.
Ein Dreifingerdruck auf den Bildschirm
des Touchpad aktiviert die Tastatur. Leider
verdeckt diese auf dem iPad beinahe
den halben Bildschirm, weshalb der Anwender
zum Beispiel geöffnete Terminalfenster
erst einmal verkleinern muss,
um sie überhaupt benutzen zu können
(Abbildung 2).
iLiveX stellt den Remote-Desktop flüssig
dar, beim Ausklappen der Menüs gibt es
keine Verzögerungen oder sonstige Artefakte.
Leider führt die Einblendung der
Apple-eigenen Menüleiste schon dazu,
dass die Auflösung des Gnome-Desktops
und der iLiveX-Anwendung um einige
Pixel voneinander abweicht und man den
Remote-Desktop also an den Rändern
immer ein bisschen scrollen muss. Die
größte Schwierigkeit liegt naturgemäß in
der Emulation der unter Linux dreitastigen
Maus durch den Touchscreen des
iPad. Einen Rechtsklick erreicht der Anwender
mit einem Zweifingerdruck auf
den Touchscreen.
Bricht die Verbindung ab oder beendet
der Anweder das iPad-Programm, speichert
der Server die aktuelle Sitzung. Bei
der nächsten Verbindung kann er dann
an derselben Stelle weitermachen. Will
er die Sitzung explizit beenden, wählt er
im Menü »Terminate«. Mangels Sound-
Support im uralten X11-Protokoll, auf
dem iLiveX letztlich basiert, muss der
Anwender auch auf jede Audio-Ausgabe
verzichten. Die etwa 20 Euro teure Pro-
Version von iLiveX unterstützt zusätzlich
die Ausgabe des Desktops als VGA-Signal
am iPad für externe Monitore oder Projektoren.
Allerdings ist dazu noch der
entsprechende Adapter von Apple nötig.
Fazit
Die App iLiveX bringt wie versprochen
den Linux-Desktop auf Apples iPad. Die
Installation der notwendigen Server-Soft-
24 AUSGABE 01-2011 ADMIN WWW.ADMIN-MAGAZIN.DE

iLiveX
NETZWERK
Abbildung 1: Zum Start des Remotedesktops muss der Anwender nur wenige
Daten eingeben.
Abbildung 2: Die Bildschirmtastatur verdeckt einen großen Teil des Desktops.
ware war einfach, die Darstellung des
Gnome-Desktop funktionierte problemlos.
Bei Programmen, die auf Tastatureingaben
angewiesen sind, verkleinert sich
der zur Verfügung stehende Platz durch
die On-Screen-Tastatur auf die Hälfte. Zudem
ist es nicht so einfach, ein Texttermi-
nal mit der Maus-Emulation des Touchpad
kleiner zu ziehen. Dieser Punkt trübt
das Remote-Desktop-Vergnügen naturgemäß,
ansonsten bekommt der Anwender
für wenig Geld eine funktionierende
Software, mit der sich auch auf dem iPad
Linux/Unix-Rechner bedienen lassen. ■
Infos
[1] Starnet:
[http:// www. starnet. com]
[2] Live-Server-Installation:
[http:// www. starnet. com/
xwin32kb/ LIVEServer_Installation_Linux]
1. Lernen Sie!
Ja, ã training-on-the-jobÒ , oft praktiziert, aber nicht
Ÿ berzeugend. Denn die Kollegen haben nie Zeit
fŸ r echte ErklŠ rungen, au§ erdem werden ã NeueÒ
sofort von dem vereinnahmt, was im Unternehmen
schon seit Ewigkeiten tradiert wird. Warum gibt's
seit 2000 Jahren Schulen und UniversitŠ ten?
ã LERNENÒ ist eine vollwertige TŠ tigkeit, auf die
man sich konzentrieren mu§ , die man nicht 'mal
eben so nebenbei tun kann, und die immer auch
eine Prise ã ErneuerungÒ beinhalten sollte!
2. Ineffiziente Arbeit nicht akzeptieren!
Je spezialisierter Sie arbeiten, desto weniger
echte, fachliche Kollegen haben Sie in Ihrem eigenen
Unternehmen. Wir stellen deshalb Gruppen
zusammen, in denen Sie neben hilfsbereiten
Kollegen mit Š hnlichen Kenntnissen an IHREM
Projekt arbeiten. Und stŠ ndig ist ein fachlicher Berater
anwesend.
ã Guided CoworkingÒ nennen wir das, und es
kš nnte DIE Lš sung fŸ r so manches Projekt sein,
das in Ihrer Firma ã haktÒ .
3. Hintergrund
Wer den riesigen OpenSource-Baukasten schnell
beherrschen mu§ , geht zu einer unserer Ÿ ber 100
Schulungen. Wer das bereits kann, aber schneller
mit seinen Projekten vorankommen will, der
kommt mit seiner Arbeit zum Guided Coworking.
Wir sind eine der erfolgreichsten Schulungseinrichtungen
im gesamten Bereich ã OpenSourceÒ
- sowohl fŸ r Admins, als auch fŸ r Entwickler.
Siehe www.linuxhotel.de
WWW.ADMIN-MAGAZIN.DE
ADMIN
AUSGABE 01-2011
25

monitoring
icinga
Dmitri Zakovorotny, 123RF
Icinga als Enterprise-Monitoringlösung
Neuland
eine immer größere Community schart sich um den nagios-Fork icinga. dieser Artikel versucht eine bestandsaufnahme
und stellt das business-Process-Addon und die LdAP-Konfiguration vor. bernd erk
Das als Fork von Nagios entstandene
Projekt Icinga [1] hat sich in gut eineinhalb
Jahren zur Enterprise-Variante
der wohl am weitesten verbreiteten
Open-Source-Monitoringlösung weiterentwickelt.
Mit über 35 000 Downloads
[2] und einer wachsenden Benutzergemeinde
bietet Icinga heute eine stabile
Version mit allen aus Nagios bekannten
Features und darüber hinaus einer Vielzahl
an Verbesserungen. Neben vielen
Optimierungen im Bereich des Icinga-
Core, der neben vereinfachter Installation
auch die zusätzliche Unterstützung
von Oracle und PostgreSQL beinhaltet, ist
beim Webinterface etwas von Grund auf
Neues entstanden.
Neben den aus Nagios bekannten CGIs,
die auch in Icinga dabei sind und dort
mit vielen Features wie Multiselect und
einer Export-Schnittstelle erweitert wurden,
bietet das auf PHP basierende Interface
viele lange von der Community
geforderte Funktionen. Dieser Artikel gibt
Einblicke in die bestehende Architektur,
das technische Konzept, die Funktionen
und wichtigsten Erweiterungen, die für
Icinga heute verfügbar sind.
Architektur
Wie Abbildung 1 zeigt, bildet die Datenbank
in der aktuellen Architektur das
zentrale Bindeglied zwischen dem eigentlichen
Core-Prozess und dem neuen Webinterface.
Alle Daten werden mit der im
Core-Teil integrierten Datenbankschnittstelle
(IDOUtils) in ein zentrales relationales
Schema übertragen. Auf diese Informationen
greift Icinga-Web mit PHP-PDO
zu, um die Daten unter Berücksichtigung
von Filtern und Berechtigungen an den
Benutzer auszuliefern.
Der Datenbankzugriff wird in künftigen
Versionen von Icinga mit Doctrine [3]
abgebildet, das sich als Object Relational
Mapper um die eigentlichen Abfragen
kümmert und so die Datenbankunabhängigkeit
sicherstellt. Das Webinterface
selbst kann auf dem Icinga-Hauptserver
oder einem anderen Webserver installiert
werden. Das Doku-Team von Icinga hat
den Installations- und Upgrade-Prozess
ausführlich auf [4] beschrieben.
Zu den wichtigsten Kriterien bei der Entwicklung
des neuen Webinterface gehörten
die Modularität der Komponenten sowie
die Möglichkeit, Erweiterungen von
Frontend-Bausteinen, den so genannten
Cronks, und Modulen zu vorzunehmen,
ohne das eigentliche Core-Framework verändern
oder berücksichtigen zu müssen.
Auch die Verwendung einer einheitlichen
Benutzerverwaltung und Autorisierung
von Anwendern gegen das Basisframework
war und ist selbstverständlich von
großer Bedeutung.
Die Wahl fiel gleich zu Beginn des Projekts
auf Agavi, ein auf Mojavi basierendes
MVC-Framework, das sich um das
Kerngeschäft eines Framework kümmert
und dem Entwickler keine Vorschriften
26 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

icinga
m onitoring
Abbildung 1: Im Mittelpunkt der Icinga-Architektur steht die Datenbank. Das
können nun neben MySQL auch PostgreSQL oder Oracle sein.
zum verwendeten Persistenz-Framework
oder Templatesystem macht.
Sinn dieses Model-View-Controller-Konzepts
ist die klare Strukturierung einzelner
Applikationselemente bei gleichzeitiger
Unterstützung eines flexiblen
Entwicklungsprozesses. Ein Listing des
Icinga-Webfolder lässt den entsprechenden
Grundaufbau im Filesystem erkennen.
Die eigentlichen Userviews basieren
auf HTML, CSS und dem Javascript-
Framework Sencha Ext JS.
Der Vorteil dieses Javascript-Framework
liegt in der Unterstützung einer Vielzahl
von Browsern und der Bereitstellung
der klassischen Grundfunktionen, zum
Beispiel Tabellen, Layouts und Panelvarianten.
Durch Sencha Touch ist vor
Kurzem auch noch ein leistungsfähiges
Framework für mobile Applikationen
hinzugekommen, das bereits in Icinga
Mobile [5] Verwendung findet.
Addons
Gerade der Vielzahl an vorhandenen Erweiterungen
und Plugins ist die Popularität
von Icinga zu verdanken. Neben bestehenden
Addons wie Nconf [6], Nagvis
[7] oder PNP4Nagios [8] sind in den
letzten Monaten einige neue Erweiterungen
hinzugekommen, die gerade in großen
Umgebungen die Arbeit mit Icinga
erleichtern und die Möglichkeiten der
Plattform ausnutzen. Auf die aus Sicht
des Autors wichtigsten Addons, nämlich
das Business-Process-Addon sowie auf
Lconf geht der Artikel im Folgenden genauer
ein.
Das Business-Process-Addon für Nagios
und Icinga [9] hat dessen Entwickler,
Bernd Strössenreuther,
erstmalig auf der Nagios-Konferenz
2007
vorgestellt. Motivation
war – wie so oft im
Open-Source-Umfeld –
der eigene Bedarf,
komplexe Zusammenhänge
zwischen Systemen
darzustellen und
entsprechend auszuwerten.
Die Erweiterung ist
mit einer wachsenden
Basis von Icinga- und
Nagios-Benutzern aus
vielen Umgebungen nicht mehr wegzudenken
und wird aufgrund steigender
Anforderungen in Bezug auf Service Level
Monitoring immer wichtiger. Die
Grundfunktion des BP-Addon ist sehr
einfach. Es verknüpft die Einzelzustände
verschiedener Systeme mit UND- oder
ODER-Bedingungen – bei Bedarf auch
über mehrere Ebenen hinweg – und erlaubt
so die systemübergreifende Zustandsermittlung.
Klassisches Beispiel ist die Webserver-
Farm mit einigen Frontend-Servern. Zwar
ist der Ausfall eines Servers für den
Admin durchaus wichtig, auf den Service
und dessen Verfügbarkeit hat er aber keinen
tatsächlichen Einfluss und ist auf
dieser Ebene somit auch differenziert
darzustellen. Ergänzend zur Verbindung
von Objekten kann die Konfiguration
auch mit Schwellenwerten, in diesem Fall
mit der Mindestanzahl verfügbarer Frontend-Server,
umgehen und das Ergebnis
entsprechend interpretieren.
Das Monitoring von Geschäftsprozessen
erlaubt zugleich einen anderen Blick auf
die vorhandene Systemlandschaft. Obwohl
die Forderung nach einer solchen
Sicht meist beim Management oder dem
eigentlichen Service-Kunden entsteht,
bietet sie auch für Administratoren einen
sinnvollen Mehrwert. Er entsteht quasi
automatisch durch die Service-orientierte
Betrachtung von Warn- und Fehlerzuständen,
die den Blick auf das Wesentliche erleichtert
und dem Admin die priorisierte
Abarbeitung nach den Auswirkungen das
Ausfalls ermöglicht.
Erfordert etwa der Ausfall einer redundanten
Raid-Disk als Critical-Status zwar
das Eingreifen des Admin, ist er dennoch
im Vergleich zum Komplettausfall einer
wichtigen Datenbank wesentlich niedriger
zu priorisieren. Dieser entscheidende
Vorteil macht den Einsatz eines solchen
Addon unverzichtbar.
Die Schwächen der bestehenden Lösung
sind weniger im vorhandenen Featureset
zu sehen, sondern eher in der Konfiguration
komplexer Prozesse und deren
visueller Analyse. Genau hier setzen die
Business Cronks for Icinga [10] an. Sie
werden neben der PNP4Nagios-Integration
im Contrib-Folder von Icinga-Web
mitgeliefert und mit Phing, einem PHP-
Buildtool, installiert. Die Cronks setzen
auf einer bereits installierten BP-Addon-
Version auf und kommunizieren mittels
HTTP und Json, um die entsprechenden
Prozesszustände an das Webinterface zu
übertragen.
Die Icinga-Integration des BP-Addon besteht
aus zwei Komponenten: dem Editor-Cronk
zur Erstellung und Bearbeitung
bestehender Konfigurationen und dem
Overview-Cronk für die Ansicht der aktuellen
Prozesse und deren Status. Beide
Elemente stehen nach der Installation in
der Sekundärnavigation von Icinga zur
Verfügung und lassen sich mittels Doppelklick
oder Drag & Drop öffnen.
Erstellen und Bearbeiten
von Prozessen
Der Editor teilt sich in drei Bereiche (siehe
Abbildung 3): die Liste aller verfügbaren
Konfigurationen, die verfügbaren Konfigurationselemente
und das große Hauptfenster
für die Ansicht der bestehenden
Konfiguration. Durch einen Klick auf
die Konfiguration kann der Anwender
sie sehr einfach in den Editor laden und
dort bearbeiten.
Als Objekttypen stehen Icinga-Services
und bestehende Business-Prozesse zur
Verfügung. Die verschachtelte Zusammenstellung
eines Prozesses aus diversen
Einzelprozessen erlaubt so die Wiederverwendung
von Komponenten, zum
Beispiel eines zentralen Datenbankclusters,
der wiederum an mehreren Prozessen
beteiligt sein kann.
Sobald der Anwender einen neuen Objekttyp
aus der verfügbaren Palette mit
Hilfe von Drag & Drop auf einen bereits
bestehenden Teilprozess zieht, erlaubt
ein Popup-Fenster die Auswahl der ge-
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
27

m onitoring
icinga
wünschten Host-Service-Kombination
und stellt den geänderten Prozess anschließend
sofort dar.
Grundsätzlich lassen sich alle Elemente
des Editors wie eine Desktop-Applikation
bedienen, in der Kontextmenüs erweiterte
Befehle aktivieren. Nach Fertigstellung
der gewünschten Konfiguration kann der
Anwender sie validieren und speichern.
Ein Neustart von Icinga ist nach der Änderung
von Prozessen nicht erforderlich,
das Ergebnis ist sofort im Overview-Cronk
zu sehen. Lediglich die Generierung von
BP-Dummy-Services, die unter anderem
für ein Service-Reporting nötig sind, machen
einen Neustart des Hauptprozesses
erforderlich.
Visualisierung von
Prozessen
Neben der Konfiguration ist vor allem die
Visualisierung der Prozesse ein wichtiger
Bestandteil der Icinga-Erweiterung.
Sie bietet eine hierarchische Sicht der
konfigurierten Services in einer dynamischen
Treegrid-View. Nach Aktivierung
der Schaltfläche »Show groups« zeigt das
Tool die zugrunde liegenden Konfigurationsregeln
der einzelnen Prozesse an
und veranschaulicht nochmals die oben
erläuterte Funktionsweise.
Der Prozess »DNSCluster« besteht in
Abbildung 2 aus drei darunterliegenden
DNS-Servern, von denen mindestens einer
verfügbar sein muss, um die Funktion
des Diensts sicherzustellen. Ein Klick auf
das Buch-Icon stellt im rechten Bereich
des Cronk die historischen Events für
einen bestimmten Service dar. Das erlaubt
eine Event-orientierte Bearbeitung
der eingegangen Meldungen und bietet
im Rahmen des Problem-Managements
Möglichkeiten zur längerfristigen Fehleranalyse
und -vermeidung.
Praktisch: Gespeicherte
Filter
Wie bei allen anderen Icinga-Cronks ist
auch innerhalb der Business Process
Overviews das Filtern aktiver Elemente
möglich. Die entsprechenden Ergebnisse
speichert das Tool in Bezug auf die Session
dauerhaft und lädt sie bei der nächsten
Anmeldung wieder. Als besonders
hilfreich erweist sich die mögliche Aufteilung
bestimmter Prozesse auf unterschiedliche
Files.
Der modulare Aufbau ermöglicht die Öffnung
unterschiedlicher Overview-Cronks
und deren parallele Darstellung im Portal.
Bei der Aktivierung des Tree-Symbols
wird der Status des gewählten Objekts
und aller Unterprozesse zusätzlich visualisiert
(Abbildung 3). Die Baumansicht
soll in den nächsten Versionen außerdem
eine zusätzliche Navigationsmöglichkeit
anbieten.
Das Business-Process-Addon bietet im
Zusammenspiel mit der Visualisierung
eine modulare, flexible und übersichtliche
Darstellung bestehender Prozesse
und erleichtert in erheblichem Maß die
Konfiguration komplexer Zusammenhänge.
Anwender, die bereits jetzt das
Addon mit Icinga und Nagios verwenden,
müssen die erstellten Konfigurationen
nicht nochmals bearbeiten oder migrieren,
sondern können sofort loslegen.
Lconf
Eine weitere Erweiterung für Icinga ist
unter dem Namen Lconf [11] bekannt.
Mancher Nagios- oder Icinga-Anwender
wird sich fragen, wozu noch ein Addon
zur externen Pflege der Konfiguration gut
sein soll. Schließlich gibt es doch Nconf,
Nagios QL, Lilac und Nacoma. Die Antwort
ist genau so einfach wie die Motivation
hinter Lconf: Alle bestehenden
Lösungen genügten eben der einen oder
anderen Anforderung nicht, also musste
etwas Neues her.
Die Grundidee hinter Lconf ist die Verwendung
eines LDAP-Servers zum Speichern
der Konfiguration. Hier kommt
Lconf mit einer simplen Schema-Erweiterung
im Gepäck – und fertig ist die
Installation. Lconf ordnet alle bekannten
Objektstrukturen wie Hosts, Services,
Timeperiods, Contacts und die diversen
Gruppentypen in Baumstrukturen an,
den so genannten Structural Objects, und
verwendet sie als hierarchische Strukturierungsebenen.
So lassen sich einzelne
Host- und Service-Elemente etwa nach
Ort, Servertyp, Serverraum oder anderen,
ganz willkürlich gewählten Strukturen
sortieren und zuordnen.
Besonders wichtig ist, dass die Definition
der eigentlichen Service-Eigenschaften,
also gewissermaßen der Templates, nicht
innerhalb dieser Ebene erfolgen muss,
sondern in eigenen Konfigurationsbereichen.
Die Konfiguration erfolgt unter Verwendung
des My-Linux-Template, das in
dem entsprechenden LDAP-Objektbaum
verlinkt ist.
LDAP-Editoren
Abbildung 2: Mehrere Cluster sind hier im Icinga-Editorfenster dargestellt. Der obere übernimmt mit drei
redundanten Knoten den DNS-Service.
Alle Objekte kann der Anwender mit
einem LDAP-Editor seiner Wahl in andere
Teilbereiche verschieben und bei
Bedarf in die dortige Vererbungsstruktur
integrieren. Gerade diese Freiheit in der
Konfigurationsbearbeitung macht Lconf
äußert flexibel und gibt dem Anwender
– entkoppelt von jeder statischen Struktur
– die Möglichkeit, die Elemente nach
seinem Geschmack aufzubauen und bei
28 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

icinga
m onitoring
Bedarf zu restrukturieren. Neben der
Schema-Erweiterung bringt Lconf noch
vier Perl-Programme mit, die die Grundfunktionalität
von Lconf bilden:
n »LConfImport.pl« ermöglicht den Import
einer bestehenden Konfiguration
durch Parsen der »Status.dat«.
n »LConfExport.pl« generiert die entsprechende
Icinga/ Nagios-Konfiguration
aus dem LDAP-Baum in das
Filesystem.
n »LConfSlaveExport.pl« generiert die
entsprechende Teilkonfiguration für
einen Monitoring-Slave.
n »LConfSlaveSync.pl« synchronisiert
Daten und Konfiguration zwischen
einem oder mehreren Slaves und dem
Master.
Während Lconf von Nagios- und Icinga-
Benutzern verwendet werden kann,
steht mit Lconf for Icinga eine integrierte
Konfigurationsverwaltung nur für Icinga
zur Verfügung. Lconf ist im Vergleich
zur Business-Process-Erweiterung keine
Sammlung von Cronks, sondern ein eigenes
Icinga-Modul. Das ist an der Integration
in die Primärnavigation zu erkennen,
welche die Pflege der Verbindungen
und den entsprechenden LDAP-Editor
zugänglich macht.
Struktur per User und
Gruppen
Der Lconf Connection Manager ermöglicht
die granulare Berechtigung bestimmter
Benutzer und Benutzergruppen
für einzelne LDAP-Verbindungen. Auch
mehrere Verbindungen auf einen Server
mit unterschiedlichen Einstiegspunkten
sind so möglich und erlauben die Delegation
bestimmter Fachgebiete, zum Beispiel
Windows- oder Oracle-Server, an
die zuständigen Fachgruppen.
Der LDAP-Editor selbst bietet alle Funktionen
einer klassischen Desktop-Applikation
und erlaubt neben Volltextsuche,
Massenänderungen und benutzerdefinierten
Filtern auch das Kopieren von
Elementen über unterschiedliche Verbindungen
hinweg. So lassen sich Konfigurationen
aus einer Staging-Umgebung mit
einem Mausklick übernehmen.
Der LDAP-Standard und die zur Verfügung
stehenden Kommandos und Libraries
erlauben zusätzlich noch viele
Erweiterungsmöglichkeiten außerhalb
Abbildung 3: Die Baumansicht zeigt zu einem
Prozess auch die abhängigen Unterprozesse.
des Webinterface. So können beispielsweise
neue CIs aus einer CMDB in ein
Inbox-Folder geladen und dort manuell
durch Verschiebung in einer bestimmten
Gruppe integriert werden.
Wer ergänzend zu Lconf-konfigurierten
Objekten noch eigene Definitionen erstellen
und pflegen will, kann dies selbstverständlich
in eigenen Konfigurationsordnern
zusätzlich tun und diese mittels
Include in der »icinga.cfg« ebenfalls
laden. Eine komfortable Ergänzung bei
durch Lconf erstellten Objekten ist die
Speicherung des entsprechenden Lconf-
Trees innerhalb des Objekts. So kann
der Admin aus den Monitoring-Cronks
wie Host- und Service-Status direkt in
die Konfiguration des gewählten Objekts
wechseln.
Auch für Nagios-Anwender lohnt sich
der Einsatz von Lconf und dessen Bearbeitung
mit Tools wie zum Beispiel
LDAP-Admin. Icinga bietet mit der Integration
in das Interface einen besonderen
Mehrwert samt zentraler Verwaltung und
Steuerung in einer Oberfläche.
Die Entwicklung geht weiter
Neben den genannten Erweiterungen
gibt es bereits eine Vielzahl weiterer Module
und Cronks für Icinga. Neben einer
PNP 4Nagios-Integration, die seit Version
1.2 ebenfalls im Contrib-Verzeichnis enthalten
ist, stehen das Modul Heatmap
[12] für die Visualisierung von Temperaturen
in Rechenzentrumsumgebungen
und auch die Event-DB for Icinga zur
Verfügung. Michael Lübben, Entwickler
von Nagtrap und früherer Maintainer von
Nagvis hat bereits die Arbeit an seinem
Nagtrap-Modul [13] für Icinga aufgenommen.
Im Wiki des Icinga-Projekts [14]
finden sich einige Howtos, die interessierte
Entwickler bei der Umsetzung von
Modulen und Cronks unterstützen und
den Einstieg erleichtern.
Icinga hat sich aufgrund der großen aktiven
Entwicklergemeinde und vor allem
der Ideen und Erweiterungen aus der
Community zur mindestens gleichwertigen
Alternative zu Nagios entwickelt.
Die Installation der Module ist durch den
Install-Prozess standardisiert und bietet
gerade in großen Umgebungen mit einheitlicher
Benutzerverwaltung und einem
modernen Architekturkonzept viele Vorteile.
Wer seine bestehende Umgebung
in Icinga-Web betrachten will, kann dies
mit Hilfe weniger Schritte tun und sich
von dem aktuellen Funktionsumfang des
Monitoring-Framework überzeugen. Einfach
die Einstellungen der »nagios.cfg« in
die »icinga.cfg« übernehmen, Konfiguration
an die richtige Stelle kopieren und
los geht’s. (ofr)
n
Infos
[1] Icinga: [http:// www. icinga. org]
[2] Downloads: [http:// sourceforge. net/
projects/ icinga/ files/]
[3] Doctrine:
[http:// www. doctrine‐project. org]
[4] Installation des Webfrontend:
[http:// docs. icinga. org/ latest/ de/
icinga‐web‐scratch. html]
[5] Icinga Mobile: [http:// www. icinga. org/
about/ icinga‐mobile/]
[6] Nconf: [http:// www. nconf. org]
[7] Nagvis: [http:// www. nagvis. org]
[8] PNP4Nagios:
[http:// www. pnp4nagios. org]
[9] Business‐Process‐Addon: [http://
bp‐addon. monitoringexchange. org]
[10] Icinga‐Cronk für BP: [https:// www.
netways. org/ projects/ bp‐icinga‐cronk]
[11] Lconf: [https:// www. netways. org/
projects/ lconf]
[12] Heatmap: [https:// www. netways. org/
projects/ heatmap‐for‐icinga]
[13] Nagtrap: [http:// www. nagtrap. org]
[14] Entwicklungs‐Wiki:
[https:// dev. icinga. org/ projects/
icinga‐development/ wiki]
Der Autor
Bernd Erk ist Technischer Leiter der Netways
GmbH [www.netways.de], die seit über zehn Jahren
im Bereich Open Source Systems Management
und Datacenter‐Solutions tätig ist. Er hat
langjährige Erfahrung in dem Bereich verteilter
Architekturen sowie beim Server‐ und Datenbank‐
Tuning.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
29

monitoring
iPmi-nagios
beerkoff, Fotolia
Serverhardware mit dem IPMI-Plugin für Nagios überwachen
Lebenszeichen
nagios und icinga können nicht nur serverdienste überwachen, sondern mit den richtigen Helfern auch die darunterliegende
serverhardware. der Autor des dafür maßgeschneiderten iPmi-Plugin gibt einen Überblick über
seine software. werner Fischer
Systeme wie Nagios oder Icinga haben
sich in den letzten Jahren beim Monitoring
von Softwarediensten bewährt. Die
Überwachung von Serverhardware war
aber bisher nur aufwändig mit Herstellerspezifischen
Plugins möglich. Das neue
IPMI-Plugin (Version 2) erlaubt die einfache
Überwachung selbst heterogener
Serverlandschaften. Es überwacht alle
IPMI-Hardwaresensoren, etwa Temperaturen,
Lüfter-Drehzahlen, Netzteil-Status
und viele andere mehr.
IPMI (Intelligent Platform Management
Interface) wurde bereits 1998 als Hersteller-übergreifender
Standard fürs Servermanagement
von Intel, HP, NEC und
Dell verabschiedet. Die aktuelle Ausgabe
IPMI 2.0 stammt aus dem Jahr 2004.
Sie wird praktisch von allen modernen
Serversystemen unterstützt. Einstiegsserver
unterstützen IPMI oft optional, etwa
über Erweiterungskarten oder spezielle
Mainboard-Varianten. Bei den restlichen
Servern gehört IPMI aber meist zur Serienausstattung
([1], [2], [3]).
Das Kernstück von IPMI bildet der so
genannte Baseboard Management Controller
(BMC). Er kommuniziert einerseits
über das Netzwerk oder einen lokalen
Systembus mit Userland-Programmen,
andererseits ist er mit zahlreichen Hardwaresensoren
im Server verbunden. Für
die Kommunikation übers Netzwerk bekommt
der BMC eine eigene IP-Adresse.
Sobald der Server an das Stromnetz angeschlossen
ist, bootet der BMC automatisch
– unabhängig davon, ob der Server
selbst läuft.
Die breite IPMI-Unterstützung im Serverumfeld
ist die ideale Voraussetzung für
ein Nagios/ Icinga-Plugin zur einfachen
und einheitlichen Überwachung von
Serverhardware. Das IPMI-Sensor-Monitoring-Plugin
des Autors ist im Oktober
2009 in einer ersten Version erschienen.
Im Hintergrund nutzt es Ipmitool zur
Abfrage der IPMI-Sensoren. Seit Kurzem
gibt es das Plugin in der Version 2.0. Im
Hintergrund läuft nun »ipmimonitoring«
von Free IPMI. Die Umstellung von Ipmitool
auf Free IPMI war notwendig, um
neben den analogen Sensoren (Threshold
Sensors) auch digitale Sensoren (Discrete
Sensors) zuverlässig zu überwachen. Free
IPMI wird mittlerweile von immer mehr
Linux-Distributionen direkt bereitgestellt,
etwa von RHEL und Centos ab Version
5.2, Ubuntu ab Version 10.04 oder Debian
Squeeze [4].
Die Sensor-Klassen
Threshold und Discrete
Die Unterscheidung in die zwei Sensor-
Klassen Threshold und Discrete ist in der
IPMI-Spezifikation standardisiert. Abbildung
1 zeigt einen Threshold Sensor (Fan
1). Ein solcher Sensor liefert einen analogen
Messwert (in diesem Beispiel 5719
U/ min). Zusätzlich stellt er auch eine
Zustandsinformation bereit (hier »ok«).
Die generiert der Sensor durch den Vergleich
des analogen Messwerts mit den
vordefinierten Grenzwerten. Bei diesem
Lüfter sind keine Obergrenzen definiert,
30 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

iPmi-nagios
m onitoring
Abbildung 1: Daten eines Threshold-Sensors, der
analoge Messwerte liefert.
Das folgende Beispiel zeigt die IPMI-
Überwachung eines Servers übers Netzwerk.
Auf dem Server ist dazu ein IPMI-
Benutzer mit User-Rechten eingerichtet.
Nun geht es darum, das IPMI-Plugin in
Icinga einzubinden. Die Konfiguration
ist bei einem Nagios-System übrigens
identisch. Als Voraussetzungen erfordert
das Plugin die Bash-Shell, das Free-IPMI-
Paket und Awk.
Das Plugin gibt es auf den Webseiten
von Thomas Krenn zum Download [5].
Es wird nach dem Download einfach im
Standard-Plugin-Ordner abgelegt. Eine
Definition des Kommandos in der »commands.cfg«
macht das IPMI-Plugin danach
für die einzelnen Host- und Service-
Definitionen nutzbar (Listing 2). Mit der
Custom-Object-Variablen »_ipmi_ip« wird
danach die jeweilige IP-Adresse des IPMIsondern
nur zwei Untergrenzen LNC
(Lower non critical) und LCR (Lower
critical) bei 1978 und 1720 U/ min. Hier
offenbart sich ein weiterer Vorteil von
IPMI: Die Grenzwerte sind bereits vom
Serverhersteller definiert. Das erspart die
manuelle Konfiguration von Grenzwerten
in Nagios oder Icinga.
Abbildung 2 zeigt einen Discrete Sensor
(PS1 Status). Dieser Sensor stellt Statusinformationen
des ersten Netzteils bereit.
Er liefert dabei aber keinen analogen
Messwert. Stattdessen zeigt er, welcher
seiner vier möglichen Zustände eingetreten
ist. Es können dabei auch mehrere
Zustände gleichzeitig aktiv sein. Das ist
auch hier der Fall. Die beiden Zustände
»Presence detected« und »Power Supply
AC lost« sind aktiv. Ipmitool generiert
hier aber leider bei einer Abfrage »ipmitool
sdr elist all« keine Warnung.
Im Gegensatz dazu verfügt »ipmimonitoring«
von Free IPMI über eine genaue
Zuordnung, welche diskreten Zustände
als Okay (Nominal), Warning oder Critical
interpretiert werden sollen. Diese
Abstufung entspricht den gleichnamigen
Zuständen bei Nagios/ Icinga. Die Standardzuordnung
von »ipmimonitoring«
lässt sich über die Konfigurationsdatei
»/etc/ipmi_monitoring_sensors.conf« anpassen
(Listing 1).
Sensoren abfragen
Die Abfrage der Hardwaresensoren ist
grundsätzlich lokal oder übers Netzwerk
möglich. Der lokale Zugriff auf den Server
über ein IPMI-System-Interface erfordert
Root-Rechte, eine einfache Freigabe
des »ipmimonitoring«-Tools per »sudo«
genügt aber. Diese Abfrageart ist für den
Monitoringserver selbst beziehungsweise
für Hosts sinnvoll, die bereits über NRPE
abgefragt werden.
Der Remote-Zugang erfordert eine
IP-Adresse für den IPMI-BMC, einen
IPMI-Benutzernamen und ein Passwort.
Der verwendete IPMI-Benutzer sollte
dem IPMI-Channel-Privilege-Level »User«
zugeordnet sein. Wenn ein Angreifer die
Zugangsdaten mitschneidet, kann er den
Server mit diesen Rechten per IPMI weder
neu starten noch ausschalten. Mit
dem IPMI-Channel-Privilege-Level »Administrator«
besteht diese Gefahr.
Der große Vorteil der Abfrage übers Netzwerk
liegt in der Unabhängigkeit vom
eingesetzten Betriebssystem am Server.
Egal ob auf dem Server Linux, Windows
oder VMware läuft, dank der Abfrage
übers Netzwerk muss kein Agent im Betriebssystem
installiert sein.
Einbindung in Icinga
Abbildung 2: Daten eines Discrete-Sensors, der
einzelne Zustände annehmen kann.
BMC in den bestehenden Hostdefinitionen
der Server ergänzt (Listing 3). Die
abschließende Servicedefinition erfordert
als Parameter nur mehr den Pfad zur
Free-IPMI-Konfigurationsdatei, die IPMI-
Benutzernamen, -Passwort und Channel-
Privilege-Level enthält (Listing 4 und 5).
Dank dieser Konfigurationsdatei müssen
keine IPMI-Passwörter in der Icinga-Konfiguration
abgelegt werden.
Da kein Passwort als Parameter an »ipmimonitoring«
übergeben wird, tauchen
keine Zugangsdaten in der Prozessliste
auf. Zudem erlaubt diese Vorgehensweise
die einfache Konfiguration weiterer Parameter
von »ipmimonitoring« ohne Anpassungen
am Plugin. Die Konfigurationsdatei
sollte aber aus Sicherheitsgründen nur
für den User »icinga« lesbar sein.
Icinga überwacht nun mit dem Plugin alle
IPMI-Sensoren des jeweiligen Servers. Bei
Listing 1: »ipmi_monitoring_sensors.conf«
01 # IPMI_Power_Supply
02 # IPMI_Power_Supply_Presence_Detected
Nominal
03 # IPMI_Power_Supply_Power_Supply_Failure_Detected
Critical
04 # IPMI_Power_Supply_Predictive_Failure
Critical
05 # IPMI_Power_Supply_Power_Supply_Input_Lost_AC_DC
Critical
Listing 2: Kommando-definition
01 define command {
02 command_name check_ipmi_sensor
03 command_line $USER1$/check_ipmi_sensor ‐H $_
HOSTIPMI_IP$ ‐f $ARG1$
04 }
Listing 3: Host-definition
01 define host{
02 use linux‐server
03 host_name centos4
04 alias centos4
05 address 192.168.1.151
06 _ipmi_ip 192.168.1.211
07 }
Listing 4: service-definition
01 define service{
02 use generic‐service
03 host_name centos4
04 service_description IPMI
05 check_command check_ipmi_sensor!/etc/
ipmi‐config/ipmi.cfg
06 }
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
31

monitoring
iPmi-nagios
Fehlern schlägt Icinga sofort Alarm: Probleme
mit der Stromversorgung führen
umgehend zum Status Critical (Abbildung
3). Der Output »IPMI Status: Critical
[Power Redundancy = Critical, PS1
Status = Critical]« deutet dabei auf ein
Problem beim ersten Netzteil hin.
Wie es in den Nagios Plugin Development
Guidelines vorgeschrieben ist,
unterstützt das Plugin drei zusätzliche
Verbosity-Level. Der erste Level sorgt für
eine ausführlichere Ausgabe – in diesem
Fall wäre dies: »IPMI Status: Critical
[Power Redundancy = Critical ('Redundancy
Lost' 'Non-redundant:Sufficient
Resources from Redundant'), PS1 Status
= Critical ('Presence detected' 'Power
Supply input lost (AC/DC)')]«.
Ausführliche Infos
Mit diesen Details ist sofort ersichtlich,
dass die Stromzufuhr zum ersten Netzteil
unterbrochen ist, das Netzteil selbst
aber keinen Fehler meldet. Aufgrund der
höheren Zeichenanzahl kann aber eine
solche Meldung bei SMS-Benachrichtigungen
unter Umständen abgeschnitten
werden. Der Verbosity-Level 2 liefert darüber
hinaus eine mehrzeilige Ausgabe.
Listing 5: iPmi-benutzerdaten
01 username monitor
02 password ao5$snNc!
03 privilege‐level user
Abbildung 3: Icinga zeigt den kritischen Status des IPMI-Service rot an.
Level 3 enthält schließlich ausführliche
Debugging-Informationen, die im Fehlerfall
wertvolle Hinweise zu möglichen
Konfigurationsproblemen liefern.
Das IPMI-Plugin stellt für alle numerischen
Messwerte auch Performancedaten
bereit. Sie lassen sich über die
bekannten Visualisierungs-Tools, etwa
mit PNP4Nagios, in Graphen darstellen.
Abbildung 4 zeigt beispielsweise den Anstieg
der Stromaufnahme des Netzteils
2 von 0,5 Ampere auf knapp 1 Ampere
nach dem Ausfall der Stromzufuhr von
Netzteil 1 kurz vor 17:00 Uhr. Auch für
alle anderen numerischen Messwerte wie
Lüfterdrehzahlen, Temperaturen oder
Spannungen erstellt PNP4Nagios Performancegraphen.
Für das Jahr 2011 plant das Icinga-Team
die Einbindung der neuen Version 2 des
Netways-Grapher. Damit lassen sich die
erhobenen Performancedaten als dynamische
Graphen darstellen.
Fazit
Die neue Version 2
des IPMI-Plugin überwacht
zuverlässig
alle IPMI-Sensoren,
egal ob Thresholdoder
Discrete-Sensoren.
Bei Problemen
mit der Hardware
senden Icinga oder
Nagios sofort Benachrichtigungen an
die zuständigen Administratoren. Blieben
früher einzelne Ausfälle von Lüftern
oder Netzteilen so lange unerkannt, bis
schließlich der ganze Server ausfiel, erlaubt
die IPMI-Überwachung nun eine
rasche Fehlerbehebung.
Die bereitgestellten Performancedaten
bieten einen weiteren Mehrwert: War in
der Vergangenheit etwa nur die Überwachung
eines Temperatursensors pro Rack
üblich, liefert das IPMI-Plugin nun Temperaturen
jedes einzelnen Servers. Damit
lassen sich selbst nur lokal auftretende
Kühlprobleme rasch ausfindig machen
und beheben.
Mit der Nutzung des IPMI-Plugin lässt
sich also die Verfügbarkeit einer ganzen
Serverlandschaft drastisch erhöhen. Einem
Einsatz steht nichts im Wege – das
IPMI-Plugin ist als Open-Source-Software
unter der GPLv3 lizenziert. (ofr) ■
Infos
[1] Alles über IPMI: [http:// www.
linuxtechnicalreview. de/ Vorschau/ (show)/
Themen/ Monitoring/ Alles-ueber-IPMI]
[2] Justin Penney, „Server überwachen und
managen mit IPMI“: ADMIN 03/ 2010, S. 67
[3] IPMI-Grundlagen:
[http:// www. thomas-krenn. com/ de/ wiki/
IPMI_Grundlagen]
[4] Versionsinformationen zu Free IPMI:
[http:// www. thomas-krenn. com/ de/ wiki/
FreeIPMI]
[5] IPMI-Sensor-Monitoring-Plugin: [http://
www. thomas-krenn. com/ ipmi-plugin]
Der Autor
Werner Fischer ist seit 2005 Technology Specialist
bei der Thomas-Krenn AG und Chefredakteur
des Thomas-Krenn-Wiki. Seine Arbeitsschwerpunkte
liegen in den Bereichen Hardwaremonitoring,
Virtualisierung, I/ O-Performance und
Hochverfügbarkeit.
Abbildung 4: Um 17:00 Uhr steigt plötzlich die Stromaufnahme des Servers auf
beinahe 1 Ampere an.
32 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

MADE
IN
GERMANY
VIRTUAL-CORE –
alles, nicht nur Cloud!
Innovative Dienste vom vServer bis zum kompletten virtuellen DataCenter für Ihr
Business. vServer mit garantierten Ressourcen, unterstützt alle x86 Betriebs systeme
in 32 und 64 Bit, nutzen Sie Ihre eigenen Betriebssysteme, mehr Sicherheit durch
VLANs und umfangreichen Backup-/Recovery-Features. Einfach kostenlos testen
und selber überzeugen! Virtual-Core® einfach mehr als Cloud!
T: 0208.89 402-35 | www.virtual-core.de
Virtual-Core® ist ein Produkt von
NEU

monitoring
Cucumber-nagios
Mariya Herasymenko, 123RF
Ein Einstieg ins Monitoring per Behavioral Driven Infrastructure
Feine Gürkchen
in der software-entwicklung sind agile methoden mittlerweile hinreichend bekannt. in der systemadministration
sucht man danach jedoch oft noch vergeblich. das ruby-basierte nagios-Plugin Cucumber-nagios könnte das in
zukunft ändern. mike Adolphs
Jeder Systemadministrator kennt das:
Die Systeme werden ausgiebig überwacht,
alle Dienste scheinen zu funktionieren
und trotzdem weist der Graph
für Payment-Transaktionen Anomalien
auf. Die Zugriffszeiten auf die Bezahlsysteme
sind um den Faktor 10 in die
Höhe geschnellt. Manuelle Tests der entsprechenden
Komponenten zeigen keine
Probleme und auch der Dienst, der die
Metrik der Payment-Schnittstelle des externen
Dienstleisters prüft, meldet keine
Fehler.
Nach intensiver Recherche ist dann endlich
der Übeltäter entdeckt: Ein Bug in
der nächtlich aktualisierten Middleware
verzögert den reibungslosen Zahlungsablauf.
Die Administratoren rollen die
Release zurück – und die Performance-
probleme beim Zahlungsverkehr gehören
der Vergangenheit an.
Agile Methoden
Damit solche Abläufe nicht zur Gewohnheit
werden, arbeiten Software-Entwickler
oft mit agilen Methoden, die den Entwicklungsprozess
maßgeblich beeinflussen.
So stehen nicht mehr ausschließlich
Programmiertätigkeiten im Vordergrund,
sondern auch umfangreiches Testen der
Software sowie die enge Zusammenarbeit
mit allen Projektbeteiligten. Diese Prinzipien
bilden die Basis des „Test Driven Development“
und des „Behavioral Driven
Development“.
Der wesentliche Gedanke beim Test Driven
Developments ist es sicherzustellen,
dass Software nicht nur einfach funktioniert,
sondern sich auch exakt so verhält,
wie der Benutzer es erwartet. Um
dies zu erreichen, werden automatisierte
Testsysteme, zum Beispiel Hudson [1]
oder Cruisecontrol [2] eingesetzt, die
bestimmte Funktionen der Applikation
regelmäßig testen.
Behavioral Driven Development erweitert
die Prinzipien des Test Driven Developments
dahingehend, dass auch Nicht-
Entwickler an dem Prozess der Software-
Entwicklung teilhaben sollen. Hier steht
das Einbeziehen aller an einem Projekt
beteiligten Personen im Vordergrund. Um
den Projektbeteiligten größtmögliche Einsicht
in die Funktionsweise der Applikation
zu ermöglichen, sollen diese unter
anderem in die Lage versetzt werden,
34 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

Cucumber-nagios
m onitoring
eigene Szenarien für das automatisierte
Testen beizusteuern. Dies erleichtert oder
ermöglicht überhaupt erst der Einsatz
einer Domänen-spezifischen Sprache
(Domain-specific Language, DSL), die
sich am herkömmlichen Sprachgebrauch
orientiert und nicht als Programmiersprache
anzusehen ist.
Solche Überlegungen beherzigt Cucumber-Nagios
[3] und ermöglicht so die
Anwendung der beiden oben genannten
Prinzipien auf den Infrastrukturbereich.
Nicht mehr nur die bloße Funktion (die
Applikation läuft) wird überwacht, sondern
der Prozess, der zum gewünschten
Ergebnis führen soll (die Applikation verhält
sich wie beabsichtigt). Zudem haben
alle Mitarbeiter die Möglichkeit, eigene
Checks für das Monitoringsystem beizusteuern,
ohne dass der Administrator Zeit
für das Schreiben spezieller Funktionen
aufwenden muss. Auch dafür gibt es bereits
ein Buzzword: Behavioral Driven
Infrastructure.
Bestandsaufnahme
Cucumber-Nagios wird ganz klassisch
als Plugin in ein beliebiges Open-Source-
Monitoringssystem eingebunden, das die
Rückgabewerte von Nagios-Plugins interpretieren
kann. Cucumber-Nagios basiert
auf Cucumber [4], einer weitverbreiteten
Software zum automatisierten Testen von
Ruby, Java, Dotnet, Flex sowie jeglicher
Webanwendungen und nutzt dessen DSL
Gherkin [5].
Im Maschinenraum arbeitet außerdem
Webrat, ein Ressourcen-schonender
Brow ser-Simulator, der für Testszenarien
via HTTP zum Einsatz kommt. Zusätzlich
ist die Mechanize-Bibliothek [6] eingebunden,
die Funktionen für automatisierte
Interaktionen auf einer Website
beisteuert. Dank der Ruby-Implementation
Net::SSH [7] des SSH2-Client-Protokolls
ist außerdem SSH-Unterstützung
mit an Bord.
Terminologie
Die Cucumber-Nagios-Terminologie ist
vergleichsweise einfach und behandelt
so genannte Projekte, Features und Steps.
Ein Projekt umfasst die gesamte Struktur,
die zum Schreiben und Ausführen von
Testszenarien notwendig ist. So ist es
beispielsweise möglich, ein Projekt für
HTTP-Checks auf einer Website zu erstellen
und DNS-Checks in ein anderes,
separates Projekt auszulagern. Denkbar
ist allerdings auch, alle zu überprüfenden
Dienste in einem einzigen Projekt
unterzubringen.
Ein Projekt besteht aus Features und
Steps. Features beinhalten die in der
DSL Gherkin geschriebenen Testszenarios.
Steps hingegen sind kurze, in Ruby
geschriebene Codeblöcke, die die Applikationslogik
für das Login in einem
Webinterface oder die Verbindung zum
externen Server bereitstellen.
Der Einfachheit halber ist eine Vielzahl
von Steps bereits Teil von Cucumber-
Nagios, damit sich der interessierte Administrator
ohne viel Umschweife direkt
den zu überwachenden Diensten widmen
kann. Dazu zählen Steps für die gängige
Überprüfung von und via DNS, HTTP,
ICMP sowie SSH. Aber auch Steps für
einfache Datei-Operationen, das Ausführen
von Kommandos auf externen Hosts
und zur Überwachung von AMQP-Protokoll-basierten
Applikationen sind ab
Werk mit an Bord.
Selbstverständlich lassen sich für jedes
definierte Feature weitere spezielle
Steps hinzufügen, wenn dies aufgrund
der Komplexität der eigenen Umgebung
notwendig ist.
Das erste Projekt
Um Cucumber-Nagios installieren zu
können, sind ein bereits installiertes
Ruby 1.8.7 sowie die Ruby-eigene Paketverwaltung
Rubygems (1.3.5 oder höher)
zwingende Voraussetzungen. Sind Ruby
und Rubygems einsatzbereit, lässt sich
Cucumber-Nagios mit Hilfe von »gem
install cucumber-nagios« als User Root
inklusive aller Abhängigkeiten unproblematisch
installieren.
Cucumber-Nagios bringt – wie viele andere
in Ruby geschriebenen Anwendungen
auch – einen eigenen Generator für
die gängigsten Funktionen gleich mit.
Das erste eigene Projekt lässt sich mittels
»cucumber-nagios-gen project checks«
erstellen. Abschließend führt der Administrator
im Projektverzeichnis noch
»gem bundle« aus. Damit ist es möglich,
den ganzen Projektordner anschließend
auf beliebige Server zu kopieren, ohne
Cucumber-Nagios und dessen Abhängigkeiten
lokal installieren zu müssen.
Features definieren
Wie bereits für das Projekt geschehen,
dient der Cucumber-Nagios-eigene Generator
auch dazu, das Grundgerüst für ein
neues Features zu erschaffen. Dies geschieht
im Projektverzeichnis mittels
»cucumber-nagios-gen feature www.xing.
com startpage« und hat zur Folge, dass
zwei neue Dateien generiert werden
(siehe Listing 1): Die Datei »features/
www.xing.com/startpage.feature« beinhaltet
das Testszenario. In der Datei
»fe atures/www.xing.com/steps/startpage
_steps.rb« lassen sich bei Bedarf eigene
Steps hinzufügen.
Die »startpage.features« umfasst bereits
ein rudimentäres Beispiel, das nach
Belieben abgeändert werden kann. Der
Admin sieht hier bereits, dass die Syntax
sich an den normalen Sprachgebrauch
anlehnt und auch ohne Kenntnisse einer
Programmiersprache zu beherrschen ist.
Die eigentliche Programmlogik ist vorerst
unsichtbar in den entsprechenden Steps
hinterlegt. Allen Features gemein sind die
ersten drei Zeilen.
Die ersten beiden geben dem Feature einen
Namen sowie eine kurze, prägnante
Beschreibung des zu erwartenden Zustands.
Die Beschreibung darf dabei auch
mehrere Zeilen umfassen. Im Falle von
Listing 2 beschreibt das Feature, dass die
Website [www.xing.com] erreichbar sein
soll. Die dritte Zeile leitet dann mittels
»Scenario:« das zu testende Szenario ein.
Alle weiteren Zeilen enthalten Anweisungen
für die entsprechenden Aktionen, die
Listing 1: neue Features mit integriertem generator
01 cucumber‐nagios‐gen feature www.xing.com startpage
02 Generating with feature generator:
03 [ADDED] features/www.xing.com/startpage.feature.
feature
04 [ADDED] features/www.xing.com/steps/startpage.
feature_steps.rb
Listing 2: erreichbarkeit von www.xing.com
01 Feature: www.xing.com
02 It should be reachable
03
04 Scenario: Visiting the website
05 When I go to http://www.xing.com/
06 Then the request should succeed
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
35

m onitoring
Cucumber-nagios
der Service-Check dann auszuführen und
zu evaluieren hat.
Grundsätzlich finden hier zwei Aktionen
statt. »When I go to http://www.xing.
com/« bestimmt die initiale Aktion. Das
zu erwartende Ergebnis dagegen legt der
Term »Then the request should succeed«
fest. Diese beiden Informationen reichen
aus, um einen funktionsfähigen, erfolgreichen
Check für Nagios zu generieren –
Erreichbarkeit der Website [http://www.
xing.com] vorausgesetzt.
Mit dem Wort »And« zu Beginn einer
neuen Zeile lassen sich weitere Bedingungen
für einen erfolgreichen Check
definieren. »But« dagegen wird benutzt,
wenn es Ausschlusskriterien zu definieren
gilt. Sinnvoll ist dies, wenn es darum
geht, den Inhalt einer Seite zu verifizieren.
Im Kontext von Listing 2 wären also
die folgenden zwei Bedingungen sinnvoll,
um zu verifizieren, dass man sich auch
wirklich auf der Xing-Startseite befindet:
»And I should see "Join XING for free"«
sowie »But I should not see "Welcome to
Facebook"«.
Mit den Methoden »Given«, »When«,
»Then«, »And« sowie »But« ist die Liste
der möglichen Anweisungen komplettiert.
Zu beachten ist, dass Cucumber
Listing 3: Login-Prüfung
01 ./features/www.xing.com/login.feature
02 Feature: www.xing.com
03 I should be able to login on http://www.xing.com/
04
05 Scenario: Logging in
06 Given I am on http://www.xing.com/
07 When I fill in "username‐field" with "username"
08 And I fill in "password‐field" with "password"
09 And I press "login‐button"
10 Then I should see "What's new in your network"
11 But I should not see "Join XING for free"
Listing 4: »features/steps/ping_steps.rb«
01 When /^I ping (.*)$/ do |host|
02 @result = system("ping ‐c1 #{host} > /dev/null
2>&1")
03 end
04
05 Then /^it should respond$/ do
06 @result.should be_true
07 end
08
09 Then /^it should not respond$/ do
10 @result.should be_false
11 end
in technischer Hinsicht zwar nicht zwischen
den Anweisungen unterscheidet.
Es ist aber von Vorteil, die bestehenden
Konventionen zu übernehmen.
»Given« kommt immer dann zum Einsatz,
wenn ein definierter Status vorausgesetzt
werden soll, beispielsweise »Given I am
on http://www.xing.com/«. »When« dagegen
beschreibt typischerweise die Aktion,
die auszuführen ist. Hierzu zählen
Interaktionen auf einer Website genauso
wie etwa das Prüfen auf das Vorhandensein
einer bestimmten Datei. Im Kontext
des vorigen Beispiels wäre hier Folgendes
denkbar: » When I fill in "username-field"
with "username"«.
»And« ist als Ersatz für weitere »Given«-,
»When«- oder »Then«-Anweisungen gedacht,
damit das Szenario verständlicher
zu lesen ist. Das Beispiel wird um folgende
Anweisungen erweitert: »And I fill
in "password-field" with "password"«
und »And I press "login-button"«. »Then«
wiederum obliegt die Überwachung des
Ergebnisses. Im konkreten Falle ist es
interessant, ob das Login geklappt hat:
»Then I should see "What's new in your
network"«.
»But« ist »And« sehr ähnlich, definiert
aber Ausschlusskriterien. Mit »But I
should not see "Join XING for free"« ist
das Beispiel komplett. Das Feature für
das Prüfen eines Login auf [http://www.
xing.com/] sieht demnach aus wie in
Listing 3.
In vielen Szenarien kommt es nicht nur
auf die reine Funktion an, sondern auch
auf die Verarbeitungszeit eines Request.
Von Websites wird in der Regel höchstmögliche
Performance verlangt, um des
Benutzers Zeit nicht zu strapazieren. Das
Performance-Monitoring via Cucumber-
Nagios ist mit Hilfe der vordefinierten
Methode »Given I am benchmarking«
möglich. Ein Beispiel könnte also wie
folgt aussehen:
Scenario: Benchmarking home page
Given I am benchmarking
When I go to http://www.xing.com/
Then the request should succeed
And the elapsed time should be lessU
than 1 seconds
Hier werden gleich zwei Elemente geprüft:
Ob der HTTP-Statuscode positiv
ist und ob die Laufzeit des Request unter
einer Sekunde liegt. Ist eine dieser
Bedingungen nicht erfüllt, wird je nach
Konfiguration des Monitoringsystems der
Dienst als kritisch eingestuft und gegebenenfalls
gewarnt.
Steps im Detail
Die eigentliche Arbeit verrichten die bereits
angesprochenen Steps im Hintergrund.
Dabei handelt es sich um kurze,
in Ruby geschriebene Codeblöcke, die die
Funktionalität des jeweiligen Checks erst
bereitstellen.
Mi einem rekursiven Grep aus dem Projektverzeichnis
heraus lässt sich eine nach
Methoden geordnete Übersicht erstellen,
welche die bereits von Cucumber-Nagios
mitgelieferten Funktionen ausgibt. Diese
vordefinierten Steps bieten eine solide
Grundlage, um bei Bedarf eigene Steps
zu definieren:
grep ‐R '[WT]hen\|Given' features/steps/U
|awk ‐F \: '{print $2}'|sort ‐d
Für einen einfachen Ping-Test ist der Step
»features/steps/ping_steps.rb« (Listing
4) zuständig. Das entsprechende Feature,
um [www.xing.com] via ICMP zu pingen,
sieht wie folgt aus:
Feature: www.xing.com
It should respond
Scenario: Ping test
When I ping www.xing.com
Then it should respond
Eingeleitet wird jeder Step mit den Methoden
»Given«, »When«, »Then«, »And«
oder »But«. Darauf folgt ein regulärer
Ausdruck, der die in den Features verwendete
Anweisung erst möglich macht.
»do« leitet die eigentliche Logik ein,
»|host|« ist die Variable, die das Feature
für den getesteten Host definiert.
Wichtig hierbei ist, dass die Methoden
letztlich nicht Teil des regulären Ausdrucks
sind. Ob in einem Test »When
I ping ...« als Anweisung oder mittels
»Given I ping« als Vorbedingung definiert
ist, bleibt demnach unter Beachtung der
Given-When-Then-Konventionen von
Cucumber [8] variabel.
Zeile 2 des Beispiels in Listing 4 verrichtet
letztlich die eigentliche Arbeit. Sie
initialisiert die Instanzvariable »@result«,
welche die Ausgabe des Ping-Kommandos
empfängt. Diese wird wiederum in
den ab Zeile 5 folgenden Steps evaluiert,
woraufhin der Rückgabewert entweder
36 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Cucumber-nagios
m onitoring
auf »true« (Host erreichbar) oder »false«
(Host nicht erreichbar) gesetzt wird.
Wer das Beispiel jetzt erweitern und den
Autor des Testszenarios in die Lage versetzen
will, die Anzahl der zu sendenden
Pings zu definieren, passt den regulären
Ausdruck an und fügt die entsprechende
Variable hinzu:
When /^I ping (.*) (.*) times$/ do |host,U
count|
@result = system("ping ‐c #{count} #{host} > U
/dev/null 2>&1")
end
Nun lässt sich in dem zugehörigen Feature
mit
When I ping www.xing.com 3 times
Then it should respond
die Anzahl der zu sendenden Pakete definieren.
Nagios-Integration
Die Integration in das eigene Monitoringsystem
ist schnell erledigt. Als Beispiel
dient hier der Platzhirsch unter
den Open-Source-Monitoringsystemen:
Nagios. Die Voraussetzung zum Ausführen
des Cucumber-Nagios-Plugin ist, wie
bereits beschrieben, eine funktionierende
Ruby-Installation.
Wer Cucumber-Nagios auf einem anderen
als dem Nagios-Server evaluiert hat,
muss das Projektverzeichnis rekursiv auf
den Nagios-Server kopieren. An welcher
Stelle das Verzeichnis liegen sollte, ist abhängig
von der eigenen Distribution und
der Art, wie Nagios konfiguriert wurde.
Debian, Red Hat sowie Suse Linux installieren
die Nagios-Plugins mittlerweile
alle unter »/usr/lib/nagios/plugins«. Hat
man Nagios selbst kompiliert, ist dagegen
»/usr/local/nagios/libexec« die Voreinstellung.
Eine gute Wahl ist, im Plugin-
Verzeichnis ein Unterverzeichnis namens
»cucumber-nagios« zu erstellen und dort
das Projekt abzulegen. Auch die Dateiund
Verzeichnisrechte in dem System
müssen stimmen, damit der Nagios-User
auf die Dateien zuzugreifen darf.
Oftmals ist eine eigene Variable für das
Plugin-Verzeichnis in der »resource.cfg«
gesetzt, beispielsweise »$USER1$=/usr/
lib/nagios/plugins«. Um den Konfigurationsaufwand
möglichst gering zu halten
und die Übersichtlichkeit zu wahren,
empfiehlt sich eine eigene Variable für
den Pfad zum Cucumber-Nagios-Projekt,
etwa »$USER2$=/usr/lib/nagios/plugins/cucumber-nagios«.
Dann fehlt in der
Datei »commands.cfg« noch das Kommando
zum Überprüfen des Dienstes:
define command{
command_name check_cn
command_line $USER2$/checks/bin/cucumber‐U
nagios $ARG1$
}
Der »command_name« ist frei wählbar.
Bei der »command_line« ist dagegen zu
beachten, dass sowohl die Pfadvariable
korrekt ist, als auch, dass »$ARG1$« an
das eigentliche Kommando angehängt
wird. Denn Cucumber-Nagios bekommt
beim Aufruf genau ein Argument mitgeliefert.
Welches das ist, legt die entsprechende
Servicedefinition in »services.cfg«
fest (Listing 5).
Bevor der Admin den Nagios-Daemon
nun die Konfiguration neu einlesen lässt,
sollte er die definierten Checks zuerst
einmal auf der Kommandozeile testen.
Hierzu führt er das Plugin am besten im
Kontext des Nagios-Users aus:
su nagios ‐c "/usr/lib/nagios/plugins/U
cucumber‐nagios/checks/bin/cucumber‐nagiosU
/usr/lib/nagios/plugins/cucumber‐nagios/U
checks/features/www.xing.com/startpage.
feature"
~ $ echo $?
01 ~ $ [sudo] su nagios ‐c "/usr/lib/nagios/
plugins/cucumber‐nagios/checks/bin/
cucumber‐nagios /usr/lib/nagios/plugins/
cucumber‐nagios/checks/features/www.xing.com/
startpage.feature ‐‐pretty";
02 Feature: www.xing.com
03 It should be up
04
05 Scenario: Visiting home page
# /usr/lib/nagios/plugins/cucumber‐nagios/
checks/features/www.xing.com/startpage.
feature:4
06 When I go to http://www.xing.com/
# steps/webrat_steps.rb:1
07 Permission denied ‐ webrat.log
(Errno::EACCES)
08 /usr/lib64/ruby/1.8/logger.rb:518:in
`initialize'
09 /usr/lib64/ruby/1.8/logger.rb:518:in
`open'
10 /usr/lib64/ruby/1.8/logger.rb:518:in
`open_logfile'
11 /usr/lib64/ruby/1.8/logger.rb:487:in
`initialize'
12 /usr/lib64/ruby/1.8/logger.rb:263:in `new'
Sollte dies wider Erwarten mit Rückgabewert
»2« fehlschlagen, ist er über einen
der leider noch vorhandenen, aber
einfach zu behebenden Bugs gestolpert.
Über die Option »--pretty« gibt das Tool
den Backtrace aus, der bei der Fehlersuche
hilft.
Wie Zeile 8 des Backtrace in Listing 6
verrät, liegt ein Problem mit den Dateirechten
vor: Der Nagios-User möchte die
Datei »webrat.log« schreiben, besitzt dazu
aber nicht die nötigen Rechte. Die vordergründige
Ursache ist der Aufruf. Hätte er
»su« mit der Option »-l« aufgerufen, wäre
die Umgebungsvariable »$HOME« für
den Nagios-User gesetzt gewesen. So allerdings
versucht der Nagios-User in das
Verzeichnis des »su« ausführenden Users
zu schreiben. Besonders problematisch
wird dieser Umstand, wenn man Checks
mit SSH ausführt, da SSH von Haus aus
keine Login-Shell startet.
Listing 5: »services.cfg«
01 define service{
02 use local‐service
03 host_name localhost
04 service_description CN ‐ www.xing.
com ‐ startpage
05 check_command check_cn!$USER2$/checks/
features/www.xing.com/startpage.feature
06 }
Listing 6: Fehlersuche mit backtrace
13 /usr/lib64/ruby/1.8/logger.rb:263:in
`initialize'
14 /usr/lib/nagios/plugins/cucumber‐nagios/
checks/features/steps/webrat_steps.rb:2:in `/^I
go to (.*)$/'
15 /usr/lib/nagios/plugins/cucumber‐nagios/
checks/features/www.xing.com/startpage.
feature:5:in `When I go to http://www.xing.
com/'
16 Then the request should succeed
# steps/result_steps.rb:13
17 And I should see "Join XING for free"
# steps/result_steps.rb:1
18 And I should not see "Welcome to Facebook" #
steps/result_steps.rb:5
19
20 Failing Scenarios:
21 cucumber /usr/lib/nagios/plugins/
cucumber‐nagios/checks/features/www.xing.com/
startpage.feature:4 # Scenario: Visiting home
page
22
23 1 scenario (1 failed)
24 4 steps (1 failed, 3 skipped)
25 0m0.008s
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
37

m onitoring
Cucumber-nagios
Abbildung 1: Sind alle Cucumber-Tests geschrieben, tauchen die Überwachungsergebnisse in Nagios auf.
Es erfordert lediglich eine kleine Änderung
am Code des als Abhängigkeit in
Cucumber-Nagios integrierten Webrat,
um dieses Problem aus der Welt zu schaffen.
Hierzu öffnet der Admin aus dem
Projektverzeichnis heraus die Datei »vendor/gems/ruby/1.8/gems/webrat-0.7.0/
lib/webrat/core/logging.rb« und gibt in
Zeile 18 den vollen Pfad für das zu schreibende
Logfile an. Je nach Homeverzeichnis
des Nagios-Users könnte die Zeile wie
folgt aussehen:
@logger ||= ::Logger.new("/var/nagios/U
webrat.log")
Abschließend sollte er den obigen Aufruf
für das Plugin manuell testen. Das Ergebnis
sieht dann deutlich positiver aus:
CUCUMBER OK ‐ Critical: 0, Warning: 0, 4 okayU
| passed=4; failed=0; nosteps=0; total=4
Der Autor
Mike Adolphs arbeitet als Systemadministrator
bei der XING AG und sorgt dort unter anderem
für einen reibungslosen Betrieb der Ruby-on-
Rails-Applikationen. In seiner Freizeit erkundet
er seine Wahlheimat Schleswig-Holstein mit dem
Motorrad und sucht Perl- sowie Ruby-Entwickler
für XING.
Nun sollte dem Überwachen von Funktionen
mittels Cucumber-Nagios nichts
mehr im Wege stehen. Nach einem Reload
des Daemon überwacht Nagios den
entsprechend definierten Check. Die Integration
im Monitoringsystem ist somit
abgeschlossen. Abbildung 1 zeigt das Ergebnis
in einem Nagios-Interface
Fazit
Cucumber-Nagios ist ohne Zweifel ein
mächtiges Werkzeug. Allerdings setzt es
einiges an Erfahrung voraus, um brauchbare
Ergebnisse zu erzielen. Eine Integration
in bestehende Systeme wird in der
Regel nur über einen längeren Zeitraum
möglich sein. Mitarbeiter wollen in die
Systematik von Cucumber und Gherkin
behutsam eingeführt werden. Das Erstellen
spezifischer Steps für die eigene Plattform
ist zudem ohne Ruby-Kenntnisse
kaum zu bewerkstelligen.
Umgebungen, in denen Entwicklungsund
Betriebs-Teams eng zusammenarbeiten,
machen sich hier bezahlt. Entwickler
steuern die Applikationslogik bei,
QA-Mitarbeiter definieren Testszenarios,
und die Administratoren können sich auf
den operativen Betrieb ihrer Monitoringsysteme
konzentrieren. Dieses Zusammenwirken
erfordert jedoch eine gute
Abstimmung zwischen den Teams.
Neben kleineren Bugs und vielen Wünschen
[9] zur Erweiterung von Cucumber-Nagios,
könnte das Projekt zudem
noch einige weitere vordefinierte Steps
mitbringen. Hier ist die Open-Source-Gemeinde
aufgefordert sich zu beteiligen.
Dann hat Cucumber-Nagios durchaus
das Potenzial für eine weite Verbreitung
und könnte den Weg für „Behavioral Driven
Infrastructure“ ebnen. (ofr) n
Infos
[1] Hudson: [https://hudson.dev.java.net]
[2] Cruisecontrol: [http://cruisecontrol.
sourceforge. net]
[3] Cucumber-Nagios: [http://auxesis.github.
com/cucumber-nagios/]
[4] Cucumber: [http://cukes.info/]
[5] Gherkin: [https://github.com/
aslakhellesoy/ gherkin]
[6] Mechanize: [http://mechanize.rubyforge.
org/mechanize/ Mechanize.html]
[7] Net::SSH: [http://net-ssh.rubyforge.org/]
[8] „Given-When-Then“-Konvention von Cucumber:
[https:// github. com/ aslakhellesoy/
cucumber/ wiki/ Given-When-Then]
[9] Cucumber-Nagios-Issues: [https://github.
com/auxesis/ cucumber-nagios/issues]
38 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

STRATO Pro
Server-Technik, die begeistert!
NEU!
Jetzt Server mit echten
Hexa-Core Prozessoren für:
Leistungsstarke
Dedicated Server
Vorkonfigurierte
Managed Server
Auf alle Hexa-Core Server
50% Rabatt
für die ersten 3 Monate!
Telefon: 0 18 05 - 00 76 77
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
strato-pro.de

m onitoR ing
splunk
Sergej Khackimullin, 123RF
Business Process Monitoring mit Splunk
Kartografie
splunk verspricht einheitliches monitoring für heterogene umgebungen. erfahren sie, welche Features es dafür
bietet und wie sie es für die Überwachung von security-events auf dem eigenen server einsetzen. Russ mcRee
Systemverwalter, Security-Beauftragte
und Consultants sehen sich in einer typischen
Firmenumgebung vor eine gemeinsame
Herausforderung gestellt. Selten
gibt es ein Netzwerk mit nur einem Betriebssystem
oder wenigstens nur einer
Version eines Betriebssystems. In heterogenen
Netzwerken alle wichtigen Ereignisse
und Security-Aspekte überwachen
ist aber keine leichte Aufgabe.
Der Artikel beschäftigt sich insbesondere
damit, alle unterschiedlichen Events, zum
Beispiel auch von Windows-Maschinen,
über Agenten mit Syslog zu sammeln.
Im Zentrum steht also eine Unix-Umgebung,
in der Syslog noch immer eine
wesentliche Rolle spielt. Auch wenn es
hier vor allem um Security-Events geht,
sind die vorgestellten Methoden auch für
System-Monitoring und Performance-Optimierung
verwendbar.
Als Monitoring-Software dient hier Splunk
[1], das nach eigener Beschreibung eine
„einzigartige einheitliche Darstellung der
kompletten IT-Infrastruktur in Echtzeit“
bietet. Es soll Anwender in die Lage versetzen,
von jeder Quelle Daten zu sammeln,
sie zu überwachen, zu durchsuchen
und Reports zu erstellen. Außerdem
kommen OSSEC [2], ein Host-basiertes
Intrusion-Detection-System, und Snare
(Auditing und Eventlog-Manage ment,
[3]) zum Einsatz.
Wer in einer hybriden Umgebung heterogene
Events zusammenführen will, muss
einige Entscheidungen treffen. Zum Beispiel
wird vermutlich ein Betriebssystem
die Systemlandschaft dominieren und
entsprechend die verwendete Software
beeinflussen. Splunk kann aber mit beinahe
jeder Situation gut umgehen. Mit
den anderen beiden Softwarepaketen ergeben
sich folgende Lösungsansätze:
n Windows- wie auch Unix-Hosts können
Splunk als leichtgewichtigen Forwarding-Agenten
betreiben.
n Beide Betriebssystem-Spielarten lassen
sich auch mit Snare-Agenten überwachen.
n Einsatz von OSSEC-Agenten auf allen
Betriebssystemen.
n Netzwerkgeräte senden die Syslog-
Ausgabe direkt an Splunk.
Sie können sich für eine Variante entscheiden
oder die Ansätze mischen. Bewährt
hat sich beispielsweise der Einsatz
der leichtgewichtigen Splunk-Forwarder
gemeinsam mit den OSSEC-Agenten und
dem Syslog-Weg für Netzwerk-Devices.
Code
Per Default ist Splunk in »/opt/splunk«
installiert. Setzen Sie am besten die Umgebungsvariable
»SPLUNK_HOME«:
export SPLUNK_HOME=/opt/splunk
Fügen Sie »$SPLUNK_HOME/bin« noch
zum Pfad der ausführbaren Dateien
40 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

splunk
m onitoR ing
Abbildung 1: Erfolgreiche Logins auf einem per Splunk überwachten Unix-System.
»PATH« hinzu, können Sie die Splunk-
Kommandos einfacher ausführen. Im
Lauf der Konfiguration müssen Sie Splunk
mehrmals neu starten. Das machen
Sie über den Aufruf
splunk restart
oder über das Webfrontend. Auf Windows-Systemen
lässt sich Splunk per
Mausklick installieren, bei Linux-Systemen
können Sie normalerweise den
Paketmanager verwenden. Auf Debianund
Ubuntu-Systemen übernimmt das
beispielsweise der folgende Aufruf:
dpkg ‐i splunk‐4.Version.deb
Außer für Linux und Windows gibt es
Splunk auch für Solaris, HP-UX, Mac OS
X, Free BSD und AIX. Ist die Installation
abgeschlossen, starten Sie die Software
mit:
/opt/splunk/bin/splunk start
Unter »http://Servername:8000« finden
Sie das Webfrontend für Splunk. Zuerst
ändern Sie am besten das Admin-Passwort
unter »Manager« und »User options«.
Unter »splunk | Manager | System
settings | General settings« stellen Sie die
Verbindung auf das verschlüsselte HTTPS
um. Dort ist es auch möglich, den Port
zu ändern.
Damit der zentrale Splunk-Server Monitoring-Events
empfängt, müssen Sie ihn
als Receiver konfigurieren. Mit »splunk
| Manager | Forwarding and receiving
| Forward data | Add New« richten Sie
Splunk so ein, dass es auf einem Port die
Daten eines Forwarders empfängt.
Damit der Server auch Syslog-Daten
annimmt, ist ein weiterer Schritt nötig.
Navigieren Sie dafür zu »splunk | Manager
| Data inputs«. Weil Syslog das
UDP-Protokoll auf Port 514 verwendet,
stellen Sie dort UDP ein, fügen dann einen
Input für Port 514 hinzu und wählen
»IP« aus, was dazu führt, dass Splunk
im Input-Prozessor die IP-Adresse des
Logging-Hosts einsetzt.
Zusätze
Navigieren sie dann zurück zu »splunk
| Launcher«, wo Sie den Reiter »Browse
more Apps« anklicken. Hier finden Sie
zum Beispiel Splunk für Windows, für
Unix und Linux sowie für OSSEC, für
die Visualisierung außerdem das Modul
Afterglow-Graphing.
Darüber hinaus gibt es Datensammler für
Geräte von Cisco, F5, Blue Coat und anderen.
Hier finden Sie auch die UI Examples
[4], eine Sammlung von XML-basierten
Ansichten und Menüs. Enthalten sind
Beispielansichten, die unter anderem Table
und Chart Drilldown umfassen, sowie
Echtzeit-Dashboards und so weiter. Dazu
aber später mehr.
Um den Port festzulegen,
auf dem Splunk
geforwardete Daten
annimmt, klicken Sie
auf »Manager« und
»Forwarding and receiving«,
anschließend
unter »Receive
data« auf »Add New«,
wo Sie dann den Port
festlegen.
Auf den Splunk-Client s
können Sie die Software
so einstellen,
dass sie keine lokale Kopie der Daten
speichert, sondern sie nur an den zentralen
Splunk-Server schickt. Wenn Sie
gerne mit dem GUI arbeiten und das
Light Forwarding vor dem allgemeinen
Forwarding aktivieren, sind sie anschließend
auf die Kommandozeile festgelegt.
Im Einzelnen sind diese Schritte nötig:
n Aktivieren Sie die passende Anwendung
(Windows oder Linux/ Unix) im
Applikationsmanager.
n Konfigurieren Sie die Eingaben für
die Unix-Applikation unter »splunk |
Manager unix«, bei Windows unter
»splunk | Manager | windows«. Beim
Fokus auf Security brauchen Sie nicht
alle Inputs zu aktivieren. Sie können
natürlich aber auch andere Events einbeziehen.
n Wählen Sie unter »splunk | Manager |
Forwarding and receiving | Forwarding
defaults« den Wert »No«, um lokales
Speichern auszuschalten. Verwenden
Sie »splunk | Manager | All configurations«,
um nach Belieben Objekte aus-
Abbildung 2: Das OSSEC-Dashboard zeigt die per OSSEC gesammelten IDS-Events übersichtlich an.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
41

m onitoR ing
splunk
die Logdaten an Syslog und ist auch für
64-Bit-Varianten von Windows verfügbar.
Snare für Vista bietet grundsätzlich
die gleichen Dienste für Windows 2008,
Vista und Windows 7. Allerdings hat sich
das Eventlog-Subsystem in diesen Windows-Versionen
grundlegend geändert.
Achten Sie deshalb darauf, die richtige
Snare-Version zu verwenden.
Der Snare-Agent verwaltet die Security-,
Application- und System-Logs, darüber
hinaus auch die neuen DNS-, File-Replication-
und Active-Directory-Logs. Wer
die kostenpflichtige Snare-Anwendung
mit Support wählt, darf damit beliebige
Windows-Eventlogs verarbeiten.
OSSEC
Abbildung 3: Die Ergebnisse einer OSSEC-Suche lassen sich über das Menü exportieren.
und einzuschalten, von denen es in
der Unix-Variante etwa 250 gibt. Aus
Security-Perspektive sind beispielsweise
Firewall, Audit, Escalated User
Privilege, Netzwerkverbindungen und
offene Ports interessant.
n Tragen Sie unter »splunk | Manager |
Forwarding and receiving | Forward
data | Add New« die Host-Port-Kombination
des Splunk-Servers ein und
starten Sie Splunk auf dem System
neu.
Aus Sicherheitsgründen empfiehlt es
sich, Light Forwarding zu aktivieren, das
den Webserver auf dem Rechner abschaltet.
Sie müssen dann die Kommandozeile
verwenden, um die betreffende Splunk-
Instanz zu verwalten.
Der Snare-Agent für Windows [5] ist
ein Programm der Intersect Alliance, das
sich für heterogene Umgebungen eignet.
Snare konvertiert Windows-Events ins
Syslog-Format, um sie auf entsprechenden
Unix-Servern zentral zu sammeln.
Mehr Informationen dazu gibt die Intersect-Alliance-Website.
Es gibt für Windows zwei Versionen des
Snare-Agenten. Die Unterscheidung ist
wichtig und hat mit der verwendeten
Windows-Version zu tun. Das für Windows
XP oder Windows 2003 gedachte
Snare interagiert mit dem darunterliegenden
Windows-Eventlog, überträgt
Bei OSSEC handelt es sich um ein Hostbasiertes
Intrusion-Detection-System, das
Logdaten analysiert, Datei-Änderungen
sowie die Einhaltung von Policies überwacht,
Rootkits sucht, den Administrator
in Echtzeit alarmiert und Gegenmaßnahmen
einleitet. OSSEC läuft auf den
meisten Betriebssystemen einschließlich
Linux, Mac OS X, Solaris, HP-UX, AIX
und Windows.
Auf den zu überwachenden Systemen
laufen Agenten, die ihre Daten an einen
OSSEC-Server schicken, der wiederum
an einen Splunk-Server berichtet. Splunk
macht es Administratoren leicht, OSSEC-
Events zu verwalten. Am einfachsten ist
es, die Splunk- und OSSEC-Server auf
dem gleichen Rechner zu betreiben.
Entlastung
Die Zahl der zur Überwachung konfigurierten
Events und die Frequenz, in
der sie abgefragt werden, tragen zur Last
auf dem zentralen Splunk-System bei.
Wählen Sie nur die Events aus, die Sie
auch wirklich brauchen, und fangen Sie
lieber mit weniger an als mit zu viel.
Wählen Sie als Beispiel einmal »Users |
Successful User Logins« (Abbildung 1).
Das ist auch eine gute Audit-Übung, denn
ein Angreifer kann durchaus mal einen
existierenden Account verwenden, was
in diesem Fall bei der Überwachung hoffentlich
auffiele.
Abbildung 4: Eine Suche nach gescheiterten Windows-Logins liefert dieses Ergebnis.
42 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

splunk
m onitoR ing
Zur Installation von OSSEC laden Sie das
Paket herunter, entpacken es und führen
mit Root-Rechten »./install.sh« aus. Wenn
Sie es auf dem Splunk-Server installieren,
wählen Sie die Installationsoption »server«.
Schalten Sie auf etwaigen Firewalls
UDP-Port 1514 frei, damit sich Agenten
verbinden können. Führen Sie schließlich
»/var/ossec/bin/ossec-control start« aus,
um das IDS zu starten.
Client-Agenten installieren Sie auf Unix-
Systemen genauso, wählen aber im zweiten
Schritt »agent« aus. Auf Windows-
Rechnern geschieht die Installation einfach
per Mausklick. Um einen Windows-
Agenten mit dem Server zu verbinden,
absolvieren Sie auf dem Server die folgenden
Schritte:
n Führen Sie »/var/ossec/bin/manage_
agents« aus.
n Wählen Sie »A« zum Hinzufügen eines
Agenten, geben Sie für ihn einen Namen,
die IP-Adresse und eine ID ein.
n Kehren Sie ins Menü zurück und wählen
»E«, um einen Schlüssel zu erzeugen.
Speichern Sie den Schlüssel in
einer Datei oder der Zwischenablage.
n Geben Sie auf dem Windows-Rechner
die IP-Adresse des Servers und den
vorher gespeicherten Schlüssel ein
und starten den Agenten.
n Auf dem Server können Sie nun im
Menü von »manage_agents« überprüfen,
ob der Agent läuft. Mit »L« listen
Sie dort alle Agenten auf.
Mit dem Schlüssel verfahren Sie bei Unix-
Agenten genauso, nur eben auf der Kommandozeile.
Handarbeit
Die Splunk-für-OSSEC-Anwendung installieren
Sie von Hand am besten, indem
Sie Ray Nuttings Anleitung folgen [6]:
n Wählen Sie unter »splunk | Manager |
Apps« den Punkt »Create app«.
n Der Name und das Label sollten
»OSSEC« lauten.
n Wählen Sie beim Radio-Button »Yes«,
damit die Anwendung sichtbar ist, und
beschreiben sie mit »OSSEC Security
Events« oder ähnlich.
n Das leere Template genügt zunächst.
n Speichern Sie die Anwendung.
n Entpacken Sie auf dem Splunk-Server
im Verzeichnis »apps« die Datei
»ossec.tgz«.
Abbildung 5: Änderung eines Dashboard über den
entsprechenden Dialog.
n Kopieren Sie dann einige Daten mit »cp
-rf $HOME/ossec/* $SPLUNK_HOME/
etc/apps/OSSEC«. (Dieser Befehl geht
davon aus, dass Sie die Anwendung
»OSSEC« genannt haben.)
n Setzen Sie in »$SPLUNK_HOME/etc/
apps/ossec/defaults/inputs.conf« unter
»Local Server« den Wert »disabled
= false«.
Sie können auch OSSEC-Syslog-Forwarding
einschalten, womit OSSEC seine
Daten an den Splunk-Server schickt,
wenn Sie Data Input mit »udp:10002« und
»sourcetype:ossec« konfigurieren (siehe
auch [7].
Wenn alle OSSEC-Agenten ihre Reports
an den OSSEC-Server schicken, der von
Splunk als lokale Ressource überwacht
wird, entfällt die Notwendigkeit eines
weiteren Syslog-Inputs. Splunk liest dann
direkt die Daten aus »/var/ossec/logs/
alerts« auf dem gleichen Server.
Navigieren Sie im Splunk-Webinterface
zu »Dashboards« und wählen Sie das
»OSSEC Dashboard« (Abbildung 2). Ein
Event-Typ in dieser Abbildung zeigt die
Installation eines neuen Softwarepakets.
Wenn Sie als Beispiel unter »Search«
aus dem OSSEC-Splunk-Menü nach
»New dpkg (Debian Package) installed«
suchen, dann liefert Splunk die in Abbildung
3 sichtbare Ergebnisseite, die
sich über »Actions« und »Export results«
auch exportieren lässt. Wer komplexere
OSSEC-Workflows in Splunk aufbauen
möchte, sollte einen Blick in das Tutorial
[8] werfen.
Die interaktive Suche bildet den Ausgangspunkt
für den Aufbau von nützlichen
Dashboards, Ansichten und Reports.
Sogar die Erstellung von Alarm-
meldungen beginnt mit einem relevanten
Suchbegriff. Lesen Sie sich zum Start das
Dokument [9] durch und probieren Sie
die gewonnenen Erkenntnisse an den gesammelten
Events aus.
Im letzten Teil dieses Artikels soll ein beispielhaftes
Dashboard mit interessanten
Events entstehen.
Suchmuster
Angenommen Sie überwachen einige
Firewall-Appliances per Syslog und
möchten nur erfahren, welche Pakete
abgelehnt wurden, aber ohne internen
Traffic. Dabei sollen immer nur die zehn
neuesten Ereignisse erscheinen. Das passende
Suchmuster dafür sieht so aus:
sourcetype=syslog netscreen action=deny NOT U
dst=192.168.0.0/16 NOT dst=10.0.0.0/8 | headU
10
Wie Sie sehen, ist ein solcher Ausdruck
intuitiv zu verstehen. Wer beispielsweise
die gescheiterten Login-Versuche auf einem
Windows-Rechner finden möchte,
verwendet Folgendes:
host="MYLOGSERVER01" Type="Failure Audit"
Diese Anfrage liefert alle Events zurück,
die vom Rechner »MYLOGSERVER01«
stammen und vom Event-Typ »Failure
Audit« sind (Abbildung 4).
Bei der Suche gefundene Elemente lassen
sich per Pipe in weitere Verarbeitungsschritte
leiten. Sie können auch weitere
C13
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
43

m onitoR ing
splunk
Listing 1: XmL fürs dashboard
01
02 sourcetype="ossec_alerts" | head 5
03 Last 5 OSSEC events
04 ‐25h
05 now
06
Logdatei-Werte einbeziehen. Nützlich
sind solche Suchen beispielsweise, wenn
Sie Chart Panels für Dashboards einrichten
möchten:
index=_internal source="*metrics.log" group=U
per_sourcetype_thruput | timechart sum(kb) U
by series
Die Suchanwendung bietet auch einen
Suchassistenten. Sie finden ihn unterhalb
des Suchformulars, wo er sich hinter
einem weißen Pfeil verbirgt, der nach
unten zeigt. Öffnen Sie den Assistenten,
gibt er Ihnen Tipps, während Sie den
Suchausdruck schreiben.
Dashboards
Wenn die Datensammlung läuft und
Sie die grundlegenden Suchtechniken
beherrschen, können Sie verschiedene
Events in einer einzigen klickbaren Ansicht
aufbereiten. Eine Basis dafür sind
die schon erwähnten UI Examples. Dashboards
finden sich üblicherweise in »$SP-
LUNK_HOME/etc/apps/Ihre Applikation/
Abbildung 6: Beim Ausführen einer gespeicherten Suche lassen
sich das Intervall und die stattfindenden Aktionen genau
konfigurieren.
default/data/ui/views/«. Editieren Sie die
XML-Dateien entweder direkt oder im
Splunk-Manager.
Die Datei »dashboard4.xml« der UI Examples
ist ein guter Ausgangspunkt
für eigene Entwicklungen. Mit der im
Abschnitt über OSSEC beschriebenen
Vorgehensweise legen Sie eine neue
Anwendung namens »HolisticInfoSec«
an, kopieren »dashboard4.xml« ins Verzeichnis
»$SPLUNK_HOME/etc/apps/
HolisticInfoSec/default/data/ui/views/«
und benennen sie in »dashboardHolistic-
Infosec.xml« um.
Im Allgemeinen sind Drill-Down-Dashboards
sehr praktisch, deshalb empfiehlt
es sich, die Drill-Down-Option zu verwenden,
wann immer möglich. Um ein
Dashboard zu editieren, navigieren Sie
zu der entsprechenden Anwendung, öffnen
das »Actions«-Menü und wählen dort
»Edit Dashboard« (Abbildung 5).
Wie schon im Abschnitt über die Suche
erwähnt, werden Dashboards mit Hilfe
von Suchausdrücken aufgebaut. Wer
lieber direkt XML-Dateien editiert, muss
den Suchausdruck in XML übersetzen. So
wird aus dem Ausdruck
sourcetype="ossec_alerts" | head 5
der XML-Code in Listing 1. Zusätzliche
Dashboards können Sie ganz nach den
eigenen Wünschen und Vorlieben hinzufügen
und konfigurieren. Auch wenn
schon eine ganze Reihe von Beispielen
mitgeliefert wird, sind die Optionen
für die Anpassung von
Dashboards auf die eigenen
Bedürfnisse gewissermaßen
grenzenlos.
Alarm
Natürlich kann Splunk nicht
nur Daten sammeln und
grafisch aufbereiten, sondern
auch im Fall des Falles
selbst Alarmmeldungen verschicken.
Wer zum Beispiel
klare Richtlinien fürs eigene
Netzwerk hat, kann dabei
festlegen, dass kein Rechner
auf Port 6667 Pakete entgegennimmt.
Ein IRC-Bot, der
als Backdoor eingeschleust
wurde, könnte so etwas aber
versuchen. Die Splunk-Unix-
Anwendung kann offene Ports überwachen
und mit folgender Abfrage einen
solchen Bot finden:
sourcetype="openPorts" 6667
Klicken Sie auf »Save search«, dann auf
»Schedule search«. Wählen Sie ein Intervall,
das von einer Minute bis zu einer
Woche dauern kann. Wenn Sie die
Aktion konfigurieren, die beim Eintreten
des Ereignisses ablaufen soll, können Sie
beispielsweise wählen, dass Splunk jedes
Mal eine Mail verschickt, wenn das
Ereignis eintritt, oder kompliziertere Regeln
aufstellen (Abbildung 6). Die verschickten
Mails enthalten den Grund der
Benachrichtigung und noch zusätzliche
Details zum eingetretenen Event, wenn
der Administrator dies konfiguriert hat
(Abbildung 7).
Zusätzliche Aktionen wie Shellskript-
Trigger, die Erzeugung eines RSS-Feed
oder Zusammenfassungen kann der Splunk-Admin
leicht einrichten.
Fehlersuche
Wenn irgendetwas nicht funktioniert wie
geplant, empfiehlt sich die alte Windows-
Maxime: neu starten. Allerdings nicht
den Rechner, sondern nur die Splunk-
Software. Bedenken Sie außerdem, dass
nicht alle Splunk-Applikationen die gleiche
Qualitätskontrolle erfahren. Fehlende
Infos
[1] Splunk: [http://www.splunk.com]
[2] OSSEC: [http://www.ossec.net]
[3] Snare: [http:// sourceforge.net/projects/
snare/]
[4] UI Examples: [http://www.splunkbase.com/
apps/All/4. x/ app:UI+Examples+for+4.1]
[5] Snare für Windows: [http://www.
intersectalliance. com/projects/
SnareWindows/ index.html]
[6] Splunk für OSSEC: [http://securityisfutile.
blogspot. com/ 2010/03/splunk‐for‐ossec
‐theres‐app‐for‐that.html]
[7] Splunk und OSSEC integriert: [http://www.
ossec.net/ main/ splunk‐ossec‐integration]
[8] Splitting OSSEC Events in Splunk: [http://
blog.rootshell. be/ 2010/04/26/splitting
‐ossec‐events‐in‐splunk/]
[9] Interaktive Suche in Splunk: [http://www.
splunk.com/ base/ Documentation/4.1.2/
User/InteractiveSearch]
44 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

splunk
m onitoR ing
Abbildung 7: Die per E-Mail verschickten Alarmmeldungen enthalten je nach Konfiguration eine Menge Details.
Konfigurationsdateien oder fehlerhafte
Anpassung an die neueste Splunk-Version
können den Anwender durchaus zur
Verzweiflung bringen.
Vergessen Sie auch nicht die Firewall-
Einstellungen. Es passiert immer wieder,
dass die Anwendungen selbst richtig
konfiguriert sind, aber die Daten nicht
durchkommen, weil beispielsweise
eine explizite Allow-Anweisung in der
Firewall-Konfiguration fehlt.
Um das Datenaufkommen auf ein Minimum
zu reduzieren, überlegen Sie sich
gut, was Sie überwachen wollen, und verzichten
Sie auf alle überflüssigen Events.
Vielleicht kommen Sie dann sogar mit
der freien Version von Splunk aus, die auf
500 MByte Daten pro Tag beschränkt ist.
Möglicherweise ist es auch eine Option,
einen zentralen Syslog-Server zu installieren,
auf dem Sie die Log-Meldungen
mit Hilfe von Regular Expressions vor-
rz lam-0018 Anzeige_210x148:la1 lam-0010 Anzeige_210x148 18.08.2010 15:26 Uhr Seite 1
sortieren, bevor Sie sie an
Splunk weiterreichen.
Fazit
Die viele Optionen, die Splunk
zur Überwachung von
Servern und Netzwerken
bietet, könnten ein Buch
füllen. Dieser Artikel konzentriert
sich auf sicherheitsspezifische
Aspekte
beim Monitoring, aber im
Prinzip können Admins mit
Splunk praktisch alles überwachen, was
ihnen in den Sinn kommt.
In größeren Netzwerken stößt man mit
der freien Splunk-Lizenz schnell an Grenzen,
aber dann ist die Enterprise-Lizenz
von Splunk sicherlich eine Option, zumal
sie noch mehr Features beherrscht.
Egal was Sie überwachen möchten, für
vereinheitlichtes Monitoring in einer gemischten
Umgebung stellt Splunk eine
gute Lösung dar. (ofr)
n
„Es gibt drei Möglichkeiten, eine Firma zu ruinieren:
mit Frauen, das ist das Angenehmste;
mit Spielen, das ist das Schnellste;
mit Computern, das ist das Sicherste.“
Oswald Dreyer-Eimbcke, deutscher Unternehmer
Es gibt allerdings auch eine ganze Reihe von Möglichkeiten, mit IT zum Unternehmenserfolg beizutragen.
Und genau damit beschäftigen wir uns seit dem Jahr 1989. In weit über 100.000 Stunden IT-Training,
technischem Consulting und Software-Entwicklung haben wir eine ganze Menge Know-how entwickelt.
Dieses umfassende Wissen kommt Ihnen heute zugute, wenn wir Sie in allen IT-Fragen unterstützen.
Wie Sie von unserem Know-how profitieren, erfahren Sie unter www.lamarc.com.
Rufen Sie uns an +49 611 26 00 23 oder schicken eine E-Mail an info@lamarc.com
Seminare OnSite Coaching Netzwerk Consulting System Consulting Developer Support Software-Entwicklung

seCurity
ssH guard
Andrii IURLOV, 123RF
Brute-Force-Angriffe gezielt abblocken mit SSH Guard
Torwart
Versucht ein Angreifer in einen server einzudringen, sollte der Admin ihn nicht nur davon abhalten, sondern
künftige Versuche verhindern. diese Aufgabe übernimmt das schlanke werkzeug ssH guard. es überwacht im
Hintergrund jeden Login-Versuch und setzt ertappte bösewichte auf die schwarze Liste. tim schürmann
Die Arbeitsweise von »sshguard« ist
einfach, effektiv und ähnelt dem eines
Intrusion‐Detection‐Systems: Das kleine
Programm beobachtet ständig die Logfiles
ausgewählter Dienste. Sollte es dabei
fragwürdige Netzwerkzugriffe entdecken,
blockiert es den mutmaßlichen Angriff
vorübergehend mit einer entsprechenden
Firewallregel (Abbildung 1). Hört der Angreifer
trotzdem nicht auf, sperrt ihn »sshguard«
immer längere Zeitspannen aus.
Diese trickreiche Strategie hat den Vorteil,
dass der Admin nicht versehentlich
einen vergesslichen Benutzer aussperrt,
dem automatisierten Passwort‐Raten aber
einen wirksamen Riegel vorschiebt.
Pappenheimer
Wie sein Name andeutet, überwachte
»sshguard« ursprünglich nur fehlgeschlagene
SSH‐Logins. Mittlerweile kennt es
sämtliche im Kasten „Unterstützte
Dienste“ aufgeführten Services. Angriffsmuster
für weitere Dienste kann man
über ein spezielles Kontaktformular an
die Entwickler senden, die es dann in
eine der kommenden Versionen einbauen
[2]. SSH Guard versteht sich selbstverständlich
auch auf IPv6, steht unter der
BSD‐Lizenz, ist schnell eingerichtet und
verzichtet sogar komplett auf eine Konfigurationsdatei.
SSH Guard kommt als kleines, schlankes
C‐Programm und läuft neben Linux
auch unter weiteren Betriebssystemen
mit Unix‐Unterbau, darunter Mac OS X,
verschiedene BSD‐Varianten, Solaris und
AIX. Einige große Linux‐Distributionen
halten es sogar in ihren Repositories vor.
Während dort jedoch durchweg die über
ein Jahr alte Version 1.4 schlummert,
steht auf der SSH‐Guard‐Homepage bereits
der verbesserte Nachfolger 1.5 in
den Startlöchern. Bei Redaktionsschluss
war noch der letzte Release Candidate
aktuell, mit dem Erscheinen dieses Heftes
sollte die finale Fassung vorliegen.
Da die Version 1.5 die Konfiguration
weiter vereinfacht und die SSH‐Guard‐
Homepage den Release Candidate bereits
allen Anwendern empfiehlt, soll sie auch
im Folgenden im Mittelpunkt stehen. Als
bevorzugtes Betriebssystem kommt dabei
Linux in den Geschmackrichtungen
Debian 5.0.7, Ubuntu 10.10 und Open
Suse 11.3 zum Einsatz, auf Linux‐fremde
Kollegen geht kurz der Kasten „Weitere
Betriebssysteme“ ein.
Um die aktuelle Version von »sshguard«
zu über‐ und anschließend einzusetzen,
installiert der Admin zuerst den GNU C‐
unterstützte dienste
SSH Guard kennt derzeit folgende Dienste:
n SSH
n Sendmail
n Exim
n Dovecot
n Cucipop
n UW-Imap (IMAP, POP)
n WS-FTPD
n Pro-FTPD
n Pure-FTPD
n Free-BSD-FTPD
46 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

ssH guard
s eC urity
Compiler (in der Regel im Paket »gcc«),
GNU Make (Paket »make«) und Autoconf.
Anschließend angelt er sich von
der SSH‐Guard‐Homepage im Download‐
Bereich unter »FROM SOURCES« die »latest
release« [1]. Nach dem Entpacken
des Archivs startet das »configure«‐Skript
die Konfiguration, unter Linux mit dem
folgenden Parameter:
./configure ‐‐with‐firewall=iptables
Dabei sollte der Admin gut die Ausgaben
beobachten. Moniert »configure«
ein nicht gefundenes »iptables«, gibt er
ihm noch den Pfad zum gleichnamigen
Werkzeug auf den Weg. Meist liegt es in
»/usr/sbin«:
./configure ‐‐with‐firewall=iptables U
‐‐with‐iptables=/usr/sbin
Unter Open Suse 11.3 und Debian ist
der Befehl »iptables« ausschließlich dem
Benutzer »root« zugänglich. Deshalb ist
dort die Übersetzung und die komplette
nachfolgende Einrichtung explizit als
Administrator durchzuführen. Ein den
Befehlen vorangestelltes »sudo« reicht
hier nicht aus.
Im Fall von Open Suse 11.3 sorgt der
»configure«‐Parameter »‐‐prefix=/usr«
schließlich noch dafür, dass der fertige
»sshguard« im Suchpfad von »root«
liegt:
./configure ‐‐with‐firewall=iptablesU
‐‐prefix=/usr
Meldet »configure« keine Probleme, übersetzt
und installiert man SSH Guard via:
make
sudo make install
Bevor SSH Guard in Betrieb gehen kann,
muss der Administrator unter Linux noch
die Firewall vorbereiten. Dazu erstellt er
zunächst eine neue IPtables‐Kette mit
dem Namen »sshguard«, in die SSH Guar d
später seine eigenen
Regeln anhängt:
sudo iptables ‐N U
sshguard
sudo ip6tables ‐N U
sshguard
Der zweite Befehl
deckt IPv6‐Pakete ab.
Als Nächstes erweitert
der Admin die Input‐
Kette so, dass sie die
Pakete durch die SSH‐
Guard‐Kette schickt
(Abbildung 2):
sudo iptables ‐A INPUT U
‐j sshguard
sudo ip6tables ‐A INPUT ‐j sshguard
Wer mit SSH Guard nur bestimmte Ports
schützen möchte, hängt diese noch per
»‐‐destination‐ports«‐Parameter an. So
würde etwa
sudo iptables ‐A INPUT ‐m multiport ‐p U
tcp ‐‐destination‐ports 21,22 ‐j sshguard
später nur die Dienste an den Ports 21
und 22 (standardmäßig FTP und SSH)
blockieren.
Wer selbst Firewallregeln erstellt oder
eine andere Distribution nutzt, muss abschließend
noch sicherstellen, dass keine
»default allow«‐Regel die Pakete weiter
hinten in der Kette doch noch durchwinkt
und keine »default deny«‐Regel alle
Pakete verwirft.
Eigensinniges Chamäleon
Im Fall eines frisch installierten Debian
oder Ubuntu war dies bereits alles. Open
Suse 11.3 kocht mit seiner Suse‐Firewall2
wieder einmal ein eigenes Süppchen.
Dort muss der Administrator die obigen
Befehle in die Konfigurationsdateien
einarbeiten. Dazu öffnet er als Erstes
Tabelle 1: Configure-befehle je nach Os
Betriebssystem Firewall Befehl
AIX AIX-Firewall ./ configure --with-firewall=aix
Linux Netfilter/ IPtables ./ configure --with-firewall=iptables
Mac OS X, Free BSD Free BSD IP-Firewall ./ configure --with-firewall=ipfw
Verschiedene BSD Open BSD Packet Filter ./ configure --with-firewall=pf
Andere TCP-Wrapper ./ configure --with-firewall=hosts
Abbildung 1: Die Anfragen des Clients (1) protokolliert der SSH-Daemon in
der »auth.log«-Datei (2). SSH Guard überwacht sie (3) und erstellt bei zu
vielen Login-Versuchen eine Firewallregel (4), die den Client abblockt (5).
die Datei »/etc/sysconfig/scripts/SuSEfirewall2‐custom«
mit einem Texteditor.
Vor dem »true« in der »fw_custom_before_port_handling«‐Sektion
fügt er die
Zeile
iptables ‐N sshguard
hinzu, in die Sektion »fw_custom_before_denyall«
setzt er vor das »true« die
Zeile:
iptables ‐A INPUT ‐j sshguard
Als Nächstes entfernt der Admin in der
Datei »/etc/sysconfig/SuSEfirewall2« die
Raute »#« vor der Zeile
weitere betriebssysteme
Wer nicht Linux verwendet, muss zunächst
herausfinden, welche Firewall auf seinem
Betriebssystem läuft. Davon abhängig nutzt
er bei der Übersetzung den passenden
»configure«-Befehl aus Tabelle 1. Im Zweifelsfall
wählt er den Parameter »hosts«, bei
dem »sshguard« den Angreifer nicht über eine
Firewallregel, sondern einen Eintrag in der
Datei »/etc/hosts.allow« blockiert.
Die anschließend erforderliche Einrichtung
der Firewall hängt wieder vom Betriebssystem
ab. Unter Mac OS X und Free BSD mit
der IP-Firewall nutzt »sshguard« beispielsweise
Regeln mit IDs von 55000 bis 55050.
Dort muss der Anwender gegebenenfalls
mit dem »ipfw«-Kommando sicherstellen,
dass nicht andere Regeln »sshguard« in die
Quere kommen. Alternativ lassen sich auch
über den zusätzlichen Configure-Parameter
»--with-ipfw-rules-range=55000-55050« SSH
Guard andere IDs zuweisen.
Weitere Konfigurationshinweise für andere
Betriebssysteme hält die Homepage von SSH
Guard unter [3] im Bereich »BLOCKING BACK-
ENDS« bereit.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
47

seCurity
ssH guard
Abbildung 2: Unter Ubuntu fügen diese Befehle eine neue Kette hinzu, in die
SSH Guard später seine Regeln injiziert.
Abbildung 3: Unter Open Suse muss der Administrator zunächst in Yast unter
dem Punkt »Konfiguration der Firewall: Erlaubte Dienste« den Zugriff auf den
SSH-Dienst freischalten.
FW_CUSTOMRULES="/etc/sysconfig/scripts/U
SuSEfirewall2‐custom"
und setzt sie vor die Zeile:
FW_CUSTOMRULES=""
Abschließend startet er die Firewall neu:
/etc/init.d/SuSEfirewall2_init restart
Die Änderungen per »iptables«‐Kommando
gelten nur bis zum nächsten Neustart.
Wie man sie speichert, hängt von
der eingesetzten Linux‐Distribution ab.
Unter Ubuntu und Debian dienen dazu
beispielsweise die Befehle »iptables‐save«
und »iptables‐restore« (eine ausführliche
Anleitung liegt unter [4] beziehungsweise
[5]). Bei Open Suse ist mit den
Einträgen in die Konfigurationsdateien
dieser Punkt bereits abgehakt.
Mit Version 1.5 hält der so genannte Log
Sucker Einzug. Dieser intelligente Programmteil
beobachtet die ihm übertrage‐
nen Logs und liest automatisch jede neu
hinzugekommene Zeile ein. Die Logdaten
können dabei entweder als Datei vorliegen
oder SSH Guard per Fifo beziehungsweise
über eine Pipe erreichen. Der Log
Sucker liest und erkennt die Logdatei‐
Formate Syslog, Syslog NG, Metalog,
Multilog und direkt von den unterstützten
Diensten geschriebene Dateien (Raw‐
Format). Er behält auf Wunsch mehrere
Logdateien gleichzeitig im Auge und
kann mit rotierenden sowie temporären
Logdateien umgehen.
Einfache Log-Beobachtung
Dank Log Sucker entfällt die umständliche
Konfiguration, wie sie in früheren
SSH‐Guard‐Versionen notwendig war.
Dort waren Syslog & Co. so einzurichten,
dass sie SSH Guard ihre Logs zuspielten.
Stattdessen muss der Administrator nun
nur noch herausfinden, in welcher Datei
die Logdaten der unterstützten Dienste
liegen. Unter Debian und Ubuntu landen
beispielsweise alle Meldungen über
fehlgeschlagene SSH‐Logins in »/var/log/
auth.log«, während Open Suse 11.3 sie
unter »/var/log/messages« sammelt. Den
gesamten Pfad zur Logdatei übergibt man
mit dem Parameter »‐l«:
sudo sshguard ‐l /var/log/auth.log
Dieser beobachtet jetzt beständig die
»auth.log« und entdeckt dabei zwangsläufig
auch fehlgeschlagene SSH‐Logins.
Sollten diese überhand nehmen, setzt
SSH Guard eine entsprechende Firewallregel
ab. Sofern die anderen Dienste
ebenfalls ihre Logdaten in »auth.log« ablegen,
berücksichtigt SSH Guard auch sie.
Eine explizite Konfiguration von FTP &
Co. ist somit nicht notwendig.
Soll SSH Guard mehrere Logdateien im
Auge behalten, erfährt es die Pfade einfach
über weitere »‐l«‐Parameter. In
eingriff
Ähnlich wie bei der Verkehrssünderkartei in
Flensburg belegt auch SSH Guard jeden Angriffsversuch
mit einem bestimmten Punktewert, der
Dangerousness. Welche Aktion wie viele Punkte
bringt, verrät die SSH-Guard-Homepage [6].
Dort steht auch, welche Log-Einträge SSH Guard
als konkreten Angriffsversuch wertet. Die meisten
Angriffe bringen zehn Punkte, ab 40 Punkten
greift SSH Guard ein. Soll diese Schmerzgrenze
höher liegen, erfährt das Werkzeug dies über
den Parameter »-a«. Ein
sshguard ‐l /var/log/auth.log ‐a 60
schraubt die Dangerousness auf 60 Punkte
hoch. Der Parameter »-p« bestimmt, wie viele
Sekunden der Angreifer nach der ersten Blockade
mindestens warten muss, bis er wieder
Zugriff erhält. So würde
sshguard ‐l /var/log/auth.log ‐p 15
den Angreifer mindestens 15 Sekunden aussperren.
Die tatsächliche Wartezeit bestimmt SSH
Guard, sie liegt bei mindestens 15, höchstens
bei 3/ 2 * 15 Sekunden. Zuletzt regelt »-s«, nach
wie vielen Sekunden SSH Guard die IP-Adresse
des Angreifers wieder vergisst. Wenn bei
sshguard ‐l /var/log/auth.log ‐s 20
der Angreifer nach jedem Versuch 20 Sekunden
wartet, würde ihn SSH Guard niemals blocken.
All diese Parameter darf der Administrator nach
eigenem Bedarf beliebig kombinieren.
sudo sshguard ‐l /var/log/auth.log ‐l ‐
dient das »‐«‐Zeichen dazu, es über die
Standardeingabe mit Daten zu füttern.
Drum prüfe, wer sich bindet
Nun sollte der Admin prüfen, ob die Blockade
reibungslos funktioniert. Im Folgenden
geschieht dies am Beispiel von
SSH, die anderen von SSH Guard beobachteten
Dienste prüft er nach dem gleichen
Prinzip. Da auf Debian und Ubuntu
standardmäßig kein SSH‐Daemon läuft,
ist dort gegebenenfalls noch das Paket
»openssh‐server« zu installieren. Open
Suse installiert zwar den »sshd«, sperrt
48 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

ssH guard
seCurity
Abbildung 4: SSH Guard hat einen Angriff entdeckt und den Client für einige
Minuten blockiert. Das protokolliert der Daemon selbst in der Logdatei
»auth.log« (hell hervorgehoben).
Abbildung 5: Wie »iptables -L« in diesem Beispiel verrät, blockiert SSH Guard
gerade einen Client (hell hervorgehoben). Den Grund muss der Admin der
entsprechenden Logdatei entnehmen.
Nach fünf Login‐Versuchen blockt SSH
Guard den Client für ein paar Sekunden.
Diesen Vorgang protokolliert das Werkzeug
in der zugehörigen Logdatei, unter
Debian und Ubuntu also in »/var/log/
auth.log«, bei Open Suse in »/var/log/
messages« (Abbildung 4). Darüber hinaus
zeigt »sudo ipconfig ‐L« eine neue
Firewallregel an, die den Rechner des
SSH‐Clients aussperrt (Abbildung 5).
Für diesen sieht es wiederum so aus, als
würde der Server nicht mehr auf seine
Anfrage reagieren oder als sei die Verbindung
unterbrochen worden.
Je häufiger sich jemand einzuloggen versucht,
desto länger dauert die Zwangsaber
den Zugriff mit seiner eigenen
Firewall. Um ihn freizuschalten, wählt
der Administrator in Yast im Bereich »Sicherheit
und Benutzer« die »Firewall«,
wechselt im Fenster aus Abbildung 3 zu
»Erlaubte Dienste«, stellt unter »Zu erlaubender
Dienst« den »Secure Shell‐Server«
ein und klickt auf »Hinzufügen«.
Abschließend startet er noch den SSH‐
Daemon:
sudo /etc/init.d/sshd start
Um nun SSH Guard auf die Probe zu
stellen, loggt der Admin sich von einem
anderen Rechner aus per SSH mehrfach
mit einem bewusst falschen Passwort ein.
pause. Irgendwann ist sie so lang, dass
sich der Angreifer faktisch ausgesperrt
hat. Blacklisting, also eine schwarze Liste
mit gesperrten IP‐Adressen, ist daher
nicht mehr notwendig. Wer dennoch an
den Zeiten schrauben möchte, wirft einen
Blick in den Kasten „Eingriff“.
Bei einem erkannten Angriffsversuch erstellt
SSH Guard eine neue Firewallregel,
welche die IP‐Adresse des Angreifers nur
für den unter Beschuss stehenden Dienst
blockiert. Wenn sich also jemand wiederholt
beispielsweise per SSH einzuloggen
versucht, könnte er dies nach der Sperrung
auch weiterhin noch per FTP tun.
Im Extremfall würde ein Angreifer somit
Linux-Magazin
ACADEMY
Online-Training der Linux-Magazin Academy
Monitoring mit Nagios
Netzwerk überwachen leicht gemacht (Auszug):
❚ das Webfrontend
❚ Überwachung von Windows/Linux/Unix
❚ Strukturieren der Konfiguration
❚ Überwachen von SNMP-Komponenten
❚ Addons Nagvis, Grapher V2, NDO2DB
20%
Treue-Rabatt für
Abonnenten
Mit vielen
Praxisbeispielen
Information und Anmeldung unter: academy.linux-magazin.de/nagios

s eC urity
ssH guard
erst nach und nach von allen Diensten
und Zugriffen ausgesperrt.
Weiße Weste
Einem befugten Nutzer gestattet SSH
Guard mit seiner Arbeitsweise genügend
Versuche, sich an sein Passwort zu erinnern.
Möchte der Administrator jedoch
etwa in einem sicheren LAN gezielt einen
bestimmten Rechner von sämtlichen
Strafmaßnahmen ausnehmen, übergibt
er dessen IP‐Adresse »sshguard« mit dem
Parameter »‐w«:
sudo sshguard ‐l /var/log/auth.log ‐wU
192.168.0.101
In diesem Beispiel landet der Computer
mit der IP‐Adresse 192.168.0.101 auf der
internen Whitelist von SSH Guard und
hat ab sofort beliebig viele Login‐Versuche
frei. Sollen mehrere Adressen auf die
Whitelist, hängt der Admin sie jeweils
mit einem weiteren »‐w« an:
sudo sshguard ‐l /var/log/auth.log ‐w 192.U
168.0.101 ‐w 192.168.0.102 ‐w 192.168.0.103
Einen Adressenbereich gibt er in CIDR‐
Notation an. Das nachfolgende Beispiel
setzt alle IP‐Adressen von 192.168.0.1 bis
192.168.0.255 auf die Whitelist:
sudo sshguard ‐l /var/log/auth.log ‐w 192.U
168.0/24
Alternativ sind natürlich auch Hostnamen
erlaubt:
sudo sshguard ‐l /var/log/auth.log ‐w U
freund.example.com
Hier landen alle IP‐Adressen auf der
Whitelist, auf die das DNS den Namen
»freund.example.com« auflöst.
Ist ein LAN recht groß, mutiert der SSH‐
Guard‐Aufruf schnell zu einem unübersichtlichen
Bandwurm. Aus diesem Grund
kann der Administrator alle Whitelist‐
Listing 1: whitelist-beispiel
01 # Die Rechner von Edith und Dieter:
02 192.168.0.101
03 192.168.0.102
04 # Das LAN der Entwicklungsabteilung:
05 192.168.0/24
06 # Unsere Zweigstellen:
07
08 zweigstelle1.example.com
09 zweigstelle2.example.com
Adressen in einer Textdatei speichern. Sie
muss in jeder Zeile eine IP‐Adresse, einen
Adressbereich in CIDR‐Notation oder einen
Domainnamen enthalten. Zeilen mit
einer Raute ignoriert das Tool. Listing 1
zeigt ein Beispiel für eine Whitelist‐Datei.
Heißt die Datei »whitelist.txt«, übergibt
der Administrator sie an SSH Guard einfach
via »‐w«:
sudo sshguard ‐l /var/log/auth.log ‐w /etc/U
whitelist.txt ‐w 192.168.0.103
Wie das Beispiel außerdem zeigt, darf
er noch beliebig viele weitere Adressen
zusätzlich angeben.
Arbeitet SSH Guard wie geplant, kann
der Administrator das Werkzeug in die
Startskripte aufnehmen. Hierbei ist er allerdings
wieder auf sich allein gestellt.
Noch nicht einmal eine Vorlage für das
verbreitete Sys‐V‐Init liegt dem SSH‐Guard‐Archiv
bei. Wie er selbst ein solches
Skript schreibt, verrät ihm unter anderem
eine kleine Artikelserie des Schwestermagazins
„LinuxUser“ [8].
Fazit
SSH Guard verhindert effektiv Brute‐
Force‐Angriffe – nicht mehr und nicht
weniger. Die Liste der unterstützten
Dienste ist zudem noch recht kurz. Das
Werkzeug kann folglich kein echtes Intrusion‐Detection‐System
ersetzen, aber
Log Validation
Syslog und Syslog NG schreiben vor jeden Log-
Eintrag die Identifikationsnummer (PID) des zugehörigen
Prozesses. Diese Information kann
SSH Guard nutzen, um die Herkunft der Log-
Meldungen zu verifizieren. Ein hinterhältiger
lokaler Nutzer kann dann nicht mehr falsche
Log-Meldungen einschleusen und so SSH Guard
absichtlich den Rechner eines Kollegen sperren
lassen. Diese Maßnahme ist aber nur bei
Syslog- und Syslog-NG-Dateien notwendig, die
Informationen von verschiedenen Diensten einsammeln.
Generiert ein Daemon seine eigene
Logdatei, genügt es bereits, die Zugriffsrechte
auf den Benutzer Root einzuschränken.
Dummerweise stolpert der mit Version 1.5 eingeführte
Log Sucker über die Log Validation:
Bis der Log Sucker einen neuen Log-Eintrag
bemerkt und eingelesen hat, vergeht eine kurze
Zeit. Dies führt in einigen Fällen dazu, dass
SSH Guard fälschlicherweise einen manipulierten
Eintrag annimmt. Das Problem wollen
die Entwickler erst in einer der nächsten SSH-
mitunter sinnvoll ergänzen. Dann punktet
es mit einer einfachen und schnellen
Installation – vorausgesetzt der Admin
verheddert sich nicht in den Einstellungen
der eigenen Firewall. (ofr) n
Infos
[1] SSH Guard: [http://www.sshguard.net/]
[2] Angriffsmuster einreichen: [http://www.
sshguard. net/ support/attacks/submit/]
[3] Installationshinweise für alle unterstützten
Firewalls: [http:// www.sshguard.net/docs/
setup/]
[4] Firewall-Einstellungen speichern unter
Ubuntu: [https://help.ubuntu.com/
community/ IptablesHowTo]
[5] Firewall-Einstellungen speichern
unter Debian: [http://www.
debian-administration.org/articles/445]
[6] Angriffssignaturen: [http://www.sshguard.
net/docs/ reference/attack-signatures/]
[7] Service-Codes:
[http://www. sshguard.net/docs/reference/
service-codes/]
[8] Tim Schürmann, „Der Nächste, bitte! – Sys-
V-Init und die Runlevel“: LinuxUser 12/ 2010
Der Autor
Tim Schürmann ist selbstständiger Diplom-Informatiker
und derzeit als freier Autor unterwegs.
Zu seinen Büchern gesellen sich zahlreiche Artikel,
die in Zeitschriften und auf Internetseiten in
mehreren Ländern erscheinen.
Guard-Versionen angehen, bis dahin raten sie
von einem gemeinsamen Einsatz von Log Sucker
und Log Validation ab.
Wer die Log Validation unbedingt nutzen möchte,
muss zunächst sein System so einrichten, dass
es SSH Guard über die Standardeingabe mit
Logs füttert. Anschließend schlägt er unter [7]
den zu seinem Dienst passenden Servercode
nach. Der SSH-Daemon besitzt beispielsweise
die Nummer 100.
Anschließend benötigt er noch den Speicherort
seiner PID-Datei. Unter Ubuntu 10.10 wäre dies
»/var/run/ssh.pid«. Diese beiden Informationen
übergibt der Administrator an SSH Guard als
Parameter:
sshguard ‐f 100:/var/run/ssh.pid
Nach dem gleichen Schema hängt er weitere
PIDs an. Wichtig ist der jetzt fehlende Parameter
»-l« (für den Log Sucker), ohne den SSH
Guard die Logs über die Standardeingabe entgegennimmt.
50 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

BONUS
Bis 28. Feb. Netbook GRATIS!
Jetzt anmelden www.hackattack.com
[tag 1]
>Hacking Tools Backtrack 4 & Co Neu!
>rechtliche Situation Hackerparagraph usw.
>System Scan Zielsysteme finden
>Mobile Devices Blackberry, IPhone & Co
>Google Hacking
>Exploits im Einsatz gegen Windows
[tag 2]
>Virtual Machine Angriff auf virtuelle Server
>DNS-Hacking Phishing advanced
Neu! >VPN-Hacking So (un)sicher ist VPN
>SSL Hacking HTTPS Verbindungen abhören
>Website Hacking (SQL Injection, XSS, Command Exec...)
[tag 3]
>VOIP abhören und absichern
>WLAN WEP, WPA und WPA2 Neu!
>Passwort Hacking Windows, Websites, Rainbow Tables ...
>Biometrie Fingerabdruck fälschen
>Penetration Testing mit Checkliste
>Capture the flag Contest CTF mit dem gesammelten
Wissen hacken Sie selbstständig ein System
Das Penetration Testing Seminar
[Hacking Advanced]
> 16.-18.03.11 Hamburg
> 29.-31.03.11 München
> 06.-08.04.11 Köln
> 04.-06.05.11 Frankfurt
> 24.-26.05.11 Wien
Preis: € 2.390,-/exkl. USt.
Weitere Termine und Feedback zu diesem Seminar online
hackattack.com
[Forensik im Unternehmen]
>Wie erkennen Sie effektiv den Einbruch in Ihr System?
>Wie sichert man Beweise gerichtsverwertbar?
>Welche Tools unterstützen Sie bei der Einbruchsdetektion?
>Welche organisatorischen und technischen Vorbereitungen sind
jetzt zu treffen? Wie gehen Sie im Ernstfall strukturiert vor?
>Welche Fehler müssen Sie vermeiden?
>Welche straf- und zivilrechtlichen Möglichkeiten haben Sie?
>Welche Spuren hinterlassen Täter im System?
Gastredner: Thorsten Kuhles, CERT dt. Bundeswehr
Stephan Schmidt, Fachanwalt IT Recht
Kompaktwissen für den Ernstfall
[Forensik Advanced]
> 21.-23.03.11 Hamburg
> 11.-13.04.11 Köln
> 30.5.-01.6.11 München
> 06.-09.06.11 Wien
Preis: € 2.390,-/exkl. USt.
>OWASP Top 10 basierend
die OWASP Top 10 stellen die offizielle Hitliste
der kritischsten Web Sicherheitsrisiken dar
>Welchen Gefahren ist mein System ausgesetzt?
>Wie erkennen Sie Sicherheitslücken der eigenen
Applikation?
>Wie können Schwachstellen beseitigt werden?
Anhand eines konkreten Web Community Projekts
lernen Sie die zehn gefährlichsten Schwachstellen kennen die von Angreifern
ausgenutzt werden.
... notwendige Theorie ...
... noch mehr Praxis ...
OWASP TOP 10 Seminar
[Hacking WEB Apps]
> 16.-18.03.11 Hamburg
> 29.-31.03.11 München
> 06.-08.04.11 Köln
> 26.-29.04.11 Wien
Preis: € 2.390,-/exkl. USt.
HACKATTACK® IT SECURITY GmbH
Hohenstaufenring 38-40
50674 Köln
>kostenlose Infoline
0800 20 60 900
hackATTACK
®
we hack to protect you

SECURITY
Yubikey
Two-Factor-Authentication für Wordpress-Blogs
Schlüssel-
Bund
Der Yubikey verspricht Hardware-basierte Two-Factor-Authentication,
wenn die Anwendung oder Bibliothek dies unterstützt. Ein Plugin sichert
damit Wordpress-Blogs ab. Oliver Frommel
Seit einiger Zeit bietet das ADMIN-Magazin
als Aboprämie einen Yubikey an, der
Two-Factor-Authentication mit Einmalpasswörtern
(One Time Passwords, OTP)
kombiniert. Für eine Authentifizierung
genügt es also nicht mehr, sein Standard-Passwort
einzugeben, der Anwender
braucht noch ein zweites. In diesem
Fall erzeugt der Yubikey die Einmalpasswörter.
Besonders praktisch ist der Key,
weil er intern eine USB-Tastatur simuliert,
als die er sich beim PC ausgeben
kann. Somit ist für jeden Rechner, der
USB-Tastaturen unterstützt, ein spezieller
Treiber überflüssig.
Sind die USB-Ports im Internetcafé
nicht deaktiviert, klappt das Login mit
Yubikey/ OTP sogar dort und verschafft
zusätzlichen Schutz, denn selbst das mitgeschnittene
oder -geloggte Einmalpasswort
ist keinem Hacker nützlich, weil es
eben nach einmaliger Nutzung verfällt.
Umgekehrt kann niemand allein aus einem
verlorenen Yubikey Nutzen ziehen,
da immer noch das normale Passwort zur
Authentifizierung nötig ist.
Ein Beispiel für die Anwendung ist die
Absicherung eines Wordpress-Blogs mit
den beschriebenen Mitteln und einem
separaten Plugin für den
Yubikey [1]. Wordpress ist
in PHP geschrieben, daher
greift das Plugin auf die
PHP-Bibliothek des Yubikey
zurück, die ebenso wie Bibliotheken
in vielen anderen
Sprachen frei zur Verfügung
steht [2].
Sind die Rechte des Blogs so
angepasst, dass der Webserver
in die entsprechenden
Verzeichnisse schrei ben Abbildung 2: Nach der fertigen
darf, können Sie das Plugin Konfiguration verlangt Word press
direkt über das Admin-Interface
von Wordpress ins-
der Yubikey generiert.
zusätzlich ein Einmalpasswort, das
tallieren. Andernfalls erledigen
Sie die Installation, indem Sie das
Paket per SSH entpacken oder über FTP
hochladen. Abschließend aktivieren Sie
das Plugin im Admin-Interface.
Auf Knopfdruck
eine Client-ID und den geheimen Schlüssel
angezeigt. Die Client-ID und den
API-Key geben Sie in den Einstellungen
des Wordpress-Plugin unter »Settings |
Yubikey« ein. Auf der Seite »Users | Your
Profile« müssen Sie
dann noch die Key-ID
eintragen, das sind die
ersten zwölf Zeichen,
die der Yubikey automatisch
ausgibt, und
»Yubikey authentication«
auf »Use Yubico
Server« schalten.
Ist alles richtig konfiguriert,
verlangt Wordpress
beim Login zusätzlich
zum normalen
Passwort noch ein One
Time Password, das Sie
einfach durch Betätigen
des Yubikey-Schalters
eingeben (siehe Abbildung 2).
Weitere fertige Einbindungen des Yubikey
gibt es beispielsweise für Drupal und Mediawiki,
selbst ein Apache-Modul fehlt
nicht. Ein Interface zu Linux-PAM stellt
der ADMIN-Artikel [4] vor.
■
Abbildung 1: Schon bei der Registrierung des API-
Key hilft der Yubikey. Er füllt das zweite Feld der
Eingabemaske aus.
Zur Konfiguration des Plugin brauchen
Sie eine Yubico-ID und einen API-Key,
den Sie auf der Webseite [3] anfordern.
Sie geben im oberen Feld Ihre E-Mail-Adresse
an, setzen den Cursor in das untere
Feld und aktivieren den eingesteckten
Yubikey per Knopfdruck (Abbildung 1).
Er gibt dann im Feld einen Schlüssel aus.
Wenn Sie auf der Webseite den Button
»Get API Key« drücken, bekommen Sie
Infos
[1] Yubikey-Plugin für Wordpress: [http://
henrik. schack. dk/ yubikey-plugin]
[2] PHP-Klasse für Yubikey: [http:// code.
google. com/ p/ php-yubico]
[3] API-Key anfordern: [https:// upgrade.
yubico. com/ getapikey/]
[4] Thorsten Scherf, „Benutzerauthentifizierung
mittels PAM“: ADMIN 04/ 2010,S. 42
52 AUSGABE 01-2011 ADMIN WWW.ADMIN-MAGAZIN.DE

Follow us on Twitter
@infosecurity
Join the Infosecurity
Professionals Group
Join the Infosecurity
Europe Facebook Group

s ecuR ity
ids mit Prelude
Plattformunabhängiges, korreliertes und erweiterbares IDS mit Prelude
Alarmzentrale
Maxim Kazmin, 123RF
das hybride security-information-management-system (sim) Prelude empfängt sowohl Host- als auch netzwerkbasierte
ids-meldungen und zeigt diese in einem übersichtlichen webinterface an. selbst komplexe, korrelierte
Alarme von unterschiedlichen endgeräten mit eigenen Plugins sind da kein Problem. david Rupprechter
Im richtigen Moment schnell zu reagieren
kann manchmal lebenswichtig sein.
Systeme für Intrusion Detection und
Prevention (IDS/IPS) helfen in modernen
Rechenzentren den Administratoren
dabei, Protokolldateien und Meldungen
zahlreicher, meist unterschiedlicher Geräte
und Betriebssysteme auszuwerten,
Eindringlingen schnell auf die Schliche
zu kommen und die richtigen Aktionen
anzuleiern.
Prinzipiell zu unterscheiden sind dabei
Host-basierte IDS (HIDS), die in der Regel
nur Dateien auswerten und lokale Angriffe
erkennen können, etwa Tripwire,
sowie Netzwerk-basierte IDS (NIDS) wie
Snort, die Spuren von Hackern auch im
Netzwerktraffic suchen.
Prelude ([1], [2]) als hybrides IDS vereint
die Vorteile von HIDS und NIDS und
bringt dabei zahlreiche Funktionen mit,
zum Beispiel eine schicke Weboberfläche
für die Administration und zahlreiche
Agenten für Clients.
Die Entwickler haben Prelude in den
letzten Jahren vorangetrieben, es ist aus-
gereift und bewährt sich in großen Szenarien.
Mit seiner Plugin-Architektur und
Features wie der Korrelator-Engine programmieren
findige Admins auch eigene
flexible Addons, die ihnen die tägliche
Arbeit erleichtern.
Das Libprelude-API
Die Prelude-Bibliothek gestattet es darüber
hinaus, vorhandene Programme
an Prelude anzubinden: Die Libprelude
stellt ein API für diverse Programmiersprachen,
unter anderem C++, Python,
Perl und Ruby, bereit [3]. Eine wichtige
Hilfe ist dabei auch das von der Intrusion
Detection Working Group (IDWG)
entwickelte Intrusion Detection Message
Exchange Format (IDMEF, [4]). Es bietet
ein standardisiertes Format für IDS-
Meldungen, die mit Hilfe von Software
wie den Tools des Libprelude-API in einer
zentralen SQL-Datenbank landen.
Für den Admin entfällt so das Zusammentragen
der Logeinträge des Netzwerks,
weil die zahlreichen verfügbaren
Prelude-Agenten ihre Daten über verschlüsselte
SSL-Verbindungen zum zentralen
Manager schicken. Der hinterlegt
diese in Echtzeit in der Datenbank und
stellt sie für Anfragen bereit. Heartbeats
zu den Agenten informieren ihn dabei
fortlaufend, ob deren Verbindung noch
intakt ist. Bei Unterbrechungen halten
die Agents nicht übertragene Einträge im
Cache vor, um diese bei bestehender Verbindung
nachzureichen.
Agenten gibt es unter anderem für folgenden
Plattformen:
n Für das Netzwerk-basierte IDS-System
Snort ([5], [6]).
n Für das Host-basierte Open Source Security,
Host-based Intrusion Detection
System (OSSEC, [7]).
n Für die Linux System Logs über Prelude-LML
[8].
n Für die PAM-Authentifizierung.
Zudem kann das Security-Information-
Management-System (SIM) alle Logs
der üblichen Hardware-Appliances und
Dienste analysieren, darunter diverse
Cisco-Appliances, Exim, Microsoft SQL,
54 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

ids mit Prelude
s ecuR ity
Clam AV, Nessus, Apache, Tripwire, Netfilter,
IPchains und IPfw.
Über OSSEC kommen Features wie
Rootkit-Erkennung, Windows-Registry-
Überwachung und Datei-Integritätsüberprüfung
ins Spiel. Das klappt dann weitgehend
plattformunabhängig für Linux,
Windows, VMware ESX, BSD, Solaris,
AIX, HP-UX und Mac OS X. Remote-
Syslog bindet Hardware-Appliances wie
Cisco PIX/ ASA, Juniper Netscreen und
Sonic Wall Firewalls an.
Prelude-Manager
Als Zentrale der vier Prelude-Komponenten
(Manager, Sensoren, Libprelude,
Web interface) nimmt der Manager die
Daten entgegen, die die Sensoren über
die von der Libprelude-Bibliothek verwalteten
Verbindungen übertragen. Der
Prelude-Manager ist unter Debian schnell
installiert, einem »aptitude install prelude-manager
libprelude« folgt ein Configure-Dialog
von Dpkg mit der Auswahl
der Datenbank (MySQL oder PostgreSQL)
und der Eingabe des SQL-Rootpassworts.
Anschließend generiert das System noch
den SSL-Key.
Ist die DB fertig und das Managerprofil
erzeugt, lässt sich die Konfiguration
in der Datei »/etc/prelude-manager/
prelude-manager.conf« anpassen. Hier
sollte der Admin den »listen«-Eintrag auf
seine Bedürfnisse korrigieren, am besten
ersetzt er die Loopback-Adresse 127.0.0.1
durch seine IP, damit der Rechner später
auch Logs von entfernten Agenten empfangen
kann.
Meist hat er hier auch die SQL-Konfiguration
unter »[db]« zu ändern:
[db]
type = mysql
host = localhost
port = 3306
name = Datenbankname
user = Benutzername
pass = Passwort
Unter Debian GNU Linux muss er noch
die Variable »RUN« in »/etc/default/prelude-manager«
auf »YES« setzen, dann
startet der Prelude-Manager mit »/etc/
init.d/prelude-manager start«.
Prewikka
Die umfangreichen Informationen der
bisweilen recht vielen Agenten stellt das
Prelude-Webinterface Prewikka übersichtlich
dar (Abbildung 1, [9]). Installiert
ist es unter Debian mit »aptitude
install prewikka« und ein wenig Konfigurationsarbeit.
Zum Beispiel ist eine
Datenbank nötig, die der Admin mit dem
Skript »/usr/share/prewikka/database/
mysql.sql« einspielt.
Abschließend findet sich die Prewikka-
Konfigurationsdatei in »/etc/prewikka/
prewikka.conf«, hier sind die Variablen
»software«, »place« und »title« nach Belieben
zu setzen, zum Beispiel:
software: Prewikka
place: dotlike.net
title: Preludeconsole
Den Datenbankzugriff von Prewikka regelt
der folgenden Abschnitt in der Konfigurationsdatei:
[database]
type: mysql
host: localhost
user: prewikka
pass: Passwort
name: prewikka
In der Regel hat bereits die Debian-Paketkonfiguration
alles ordnungsgemäß
befüllt. Nun kann »prewikka-httpd« das
Webinterface mit dem eingebauten Webserver
auf Port 8000 starten. Anwender,
die lieber eine bestehende Apache-Installation
verwenden, finden im Kasten
„Prewikka als virtueller Host“ eine
kurze Anleitung.
Der Standardbenutzername wie auch
dessen Passwort lauten bei Prewikka
»admin«. Das sollte dieser unbedingt
nach der ersten Anmeldung unter dem
Menüpunkt »Settings | My Account« ändern,
wo er auch die Sprache auf Deutsch
setzt. Das Webinterface ist intuitiv gehalten
und stellt Alarme übersichtlich dar.
Alle Felder bieten Filtermöglichkeiten wie
Quelle, Ziel, Analyzer oder Klassifikation.
Das Menü rechts unten setzt den
Prewikka als virtueller Host
Wer Prewikkas Webinterface mit Apache
betreiben will, hinterlegt unter Debian eine
Datei mit folgenden Zeilen in »/etc/apache2/
site‐available/«:
ServerName preludehost
ErrorLog /var/log/apache2/error_log
CustomLog /var/log/apache2/access_logU
combined
AllowOverride None
Options ExecCGI
AddHandler cgi‐script .cgi
Order allow,deny
Allow from all
Alias /prewikka/ /usr/share/prewikka/U
htdocs/
ScriptAlias / /usr/share/prewikka/U
cgi‐bin/prewikka.cgi
Abbildung 1: Das Webinterface von Prelude hört auf den Namen Prewikka. In einer tabellarischen Übersicht
zeigt es alle Ereignisse an, die die verschiedenen Agenten gemeldet haben.
Um den Vhost zu aktivieren, bedarf es noch
des Kommandos »a2ensite Vhost‐Datei«.
Auch die Auslagerung in eine separate Datei
und das Einbinden über »Include«‐Direktiven
in »00_default_vhost.conf« ist eine geeignete
Option.
Anschließend startet »/etc/init.d/apache restart«
den Webserver neu. Der Prelude‐Server
braucht natürlich einen im DNS auflösbaren
Namenseintrag. Je nach Netzwerkinfrastruktur
ist hier ein A‐Record für »preludehost« auf
dem DNS‐Server nötig.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
55

s ecuR ity
ids mit Prelude
Abbildung 3: Das Skript »manage_agents« stellt ein
einfaches Menü zur Verfügung, mit dem Admins die
Client-Agenten auf dem Server registrieren.
Abbildung 2: Das Installations- und Konfigurationstool von Ossec übernimmt auch fortgeschrittene
Einstellungen, zum Beispiel die Kombination mit Firewalls und Active Response.
Zeitraum und die Anzahl der Ereignisse
pro Seite.
Einer der für Linux-Admins wichtigsten
Prelude-Sensoren ist Prelude Log Monitoring
Lackey (LML, [8]). Er arbeitet als
Host-basiertes IDS und beobachtet definierte
Logdateien und sendet Ereignisse
an den Prelude-Manager. Die Installation
erfolgt unter Debian mit »aptitude install
prelude-lml«.
Danach registriert der Admin jeden Sensor
am Prelude-Manager über eine verschlüsselte
Verbindung, bei Prelude-LML
zum Beispiel mit:
prelude‐admin register prelude‐lml U
"idmef:w admin:r" Listen_IP_des_U
Prelude‐Managers ‐uid 0 ‐gid 0
Nach einer kurzen Wartezeit fordert
Prelude den Admin auf, den Befehl
»prelude-admin registration-server prelude-manager«
in einer zweiten Shell
auszuführen. Der stellt ein Einmal-Passwort
(One-Shot-Passwort) bereit, mit
dem sich der Sensor in der vorherigen
Konsolensitzung authentifiziert. Danach
erhält der Admin in der Konsole, in der
dieser Befehl läuft, die mit [Y] zu bestätigende
Ausgabe:
Approve registration? [y/n]: y
Das Ändern der Serveradresse in der Konfigurationsdatei
»/etc/prelude/default/
client.conf« (in der Zeile »server-addr =
IP«) sorgt dafür, dass die lokalen Agenten
künftig ihre Daten an den angegebenen
Server senden.
Snort
Wer die etablierte Network-Intrusion-Detection-Software
Snort an Prelude anbindet,
kann die Netzwerkangriff-Erkennung
per Signatur aktivieren. Da die Entwickler
dessen Regelwerk stetig erweitern, sollte
der Admin seine Angriffsignaturen immer
auf dem aktuellen Stand halten. Über
eine kostenlose Registrierung auf der
F Abbildung 4: Bei
der Installation des
Windows-Agenten
für OSSEC sollte der
Admin alles außer dem
Quellcode auswählen.
Webseite von Snort [5] erhält er einen
Code für automatische Signatur-Updates,
die für 30 Tage nach der offiziellen Veröffentlichung
verfügbar sind. Drittsoftware
wie Oinkmaster [10] oder Pulled Pork
erlauben es, diese Signaturen mit einem
Cronjob automatisiert zu beziehen.
Eine Alternative zu den offiziellen Snort-
Regeln, die in ähnlicher Form auch die
kommerziellen Sourcefire-Appliances
[11] verwenden, bietet Bleeding Snort
[12]. Die Webseite des Projekts veröffentlicht
kontinuierlich Snort-Regeln von
Netzwerk- und Sicherheitsspezialisten.
Auch einer Kombination der Regelsätze
steht nichts im Wege.
Die Installation von Snort klappt mit einer
MySQL-Datenbank im Hintergrund
mit »aptitude install snort-mysql«, als
Startmethode empfiehlt sich »Systemstart«,
der »Promiscuous Mode« sollte
angeschaltet bleiben. In diesem Modus
überprüft Snort alle Pakete, auch wenn
sie nicht direkt an die IP-Adresse des
Netzwerkinterface gerichtet sind. Die E-
Mail-Protokollierung bleibt optional und
als Protokoll-Datenbank soll jetzt Prelude
dienen.
In der Konfigurationsdatei »/etc/snort/
snort.conf« muss der Admin jetzt einige
Änderungen durchführen: Um Snort aufzufordern,
seine Daten an Prelude zu
E Abbildung 5: Im
Gegensatz zur Syslog-
Anbindung überträgt
der Windows-Agent
seine Informationen
bereits in der Default-
Einstellung sicher
verschlüsselt.
56 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

ids mit Prelude
s ecuR ity
senden, bedarf es dort noch des folgenden
Abschnitts:
output alert_prelude: profile=snort
Das zu überwachende Netzwerk definieren
folgende Einstellungen:
# für IPv4:
var HOME_NET 192.168.0.0/24
# mit IPv6 USE flag:
ipvar HOME_NET 192.168.69.0/24
# Das externe Netz kann auf any bleiben
var EXTERNAL_NET any
Viele Präprozessoren sind für die Funktionsweise
von Snort verantwortlich, etwa
für die Erkennung von Portscans. Sie lassen
sich mit detaillierten Feineinstellungen
optimieren. Es ist durchaus sinnvoll,
dazu die Konfigurationsdatei einmal in
voller Länge durchzugehen.
Auch Snort braucht jetzt ein Prelude-
Profil:
prelude‐admin register snort "idmef:wU
admin:r" Listen_IP_des‐Prelude‐ManagersU
‐uid 0 ‐gid 0
Und schon klappt die Zusammenarbeit
zwischen Snort und Prelude.
OSSEC
Wer Wert auf Plattformunabhängigkeit
legt, verwendet das Host-basierte IDS
OSSEC. Dessen aktuelle Version findet
sich auf [7], »aptitude install libprelude-dev«
installiert die fürs Kompilieren
notwendigen Entwicklerbibliotheken von
Prelude. Nach dem Entpacken des Tarballs
ins Unterverzeichnis »src« aktiviert dort
»make setprelude« die Prelude-Unterstützung,
»install.sh« startet die Installation.
Die angebotene lokale Installation reicht
für Anwender aus, die keine Anbindung
von Hardware-Endgeräten oder anderen
Clients planen. In der Regel sollte der
Admin hier jedoch »server« wählen und
den Integrity Check Daemon sowie die
Rootkit Detection Engine aktivieren. Gegen
Brute-Force-Attacken hilft es, durch
Active Response und Firewall-Drop die
attackierenden Hosts automatisch zu
blockieren, je nach System via IPtables,
IPchains oder IPfw (Abbildung 2).
Damit False Positives nicht zu Problemen
im Netzwerk führen, hilft eine Whitelist
mit IP-Adressen. Im darauf folgenden
Schritt kann der Admin den Empfang von
Syslog-Nachrichten aktivieren, wenn er
zum Beispiel plant Hardware-Appliances
per Syslog anzubinden.
Jetzt korrigiert er noch die Datei »/var/
ossec/etc/ossec.conf«, damit OSSEC die
Informationen an Prelude übergibt:
no
yes
Zu guter Letzt muss der Admin auch
OSSEC in Prelude registrieren:
prelude‐admin register OSSEC "idmef:wU
admin:r" Listen‐IP_des_Prelude‐ManagersU
‐uid ossec ‐gid ossec
Hier muss er bei UID und GID »ossec«
verwenden, da der Analysedienst unter
diesem Benutzeraccount läuft. Nach der
Installation startet das HIDS-System mit
»/var/ossec/bin/ossec-control start«.
Bevor sich ein Agent an OSSEC anbinden
lässt, muss der Admin ihn auf dem Server
registrieren. Das erledigt der Befehl
»/var/ossec/bin/manage_agents« mit einem
tastaturgesteuerten Konsolenmenü
(siehe Abbildung 3).
Nach der Angabe des Namens gibt der
Admin hier die IP-Adresse ein. Ist die
dynamisch vergeben, gibt er das Klasse-
C-Netzwerk an, in dem sich der Agent befindet
(zum Beispiel 10.21.81.0/ 24). Dann
wählt er eine ID für den Agenten, wobei
er den Standardvorschlag für den ersten
Agenten »001« ohne Weiteres beibehalten
kann. Um ihn am Endgerät anzubinden,
ist noch ein Authentifikationsschlüssel
notwendig. Den gibt es mit »/var/ossec/
bin/manage_agents -e 001«.
Um einen Windows-Client an OSSEC und
Prelude anzubinden, bedarf es auf dem
System der Libprelude [13]. Deren Installation
ist mit wenigen Klicks beendet,
wobei der Admin außer »Source Code«
alle Komponenten der Software auswählt
(Abbildung 4). Im Anschluss führt der
Windows-Administrator den Eintrag »Manage
Agent« (im Startmenü im Ordner
»OSSEC«) aus. Nach Eingabe der »OSSEC
Server IP« und des Schlüssels kann der
Windows-Rechner eine Verbindung mit
dem IDS-System herstellen.
Ein Klick auf »Save« speichert die angegeben
Daten, das Feintuning der Konfiguration
findet sich unter »View | Config«
(Abbildung 5). Nach dem nächsten Neustart
stellt OSSEC die Anbindung über
einen Windows-Dienst her.
Listing 1: »setup.py«
Abbildung 6: Korrelationsalarme erfassen Angriffe auch dann, wenn der Hacker zum Beispiel versucht
mehrere unterschiedliche Geräte anzugreifen, hier am Beispiel eines Portscan.
01 From setuptools import setup, find_packages
02 setup(
03 name='PortscanGeoinfoPlugin',
04 version='1.0',
05 description="Geographical information for
portscanning hosts",
06 author="David Rupprechter",
07 packages=find_packages(),
08 entry_points='''
09 [PreludeCorrelator.plugins]
10 PortscanGeoinfoPlugin = portscangeoinfoplugin:Ports
canGeoinfoPlugin
11 '''
12 )
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
57

s ecuR ity
ids mit Prelude
Für Hardware-Appliances wie Ciscos PIX-
Firewalls eignet sich die Syslog-Funktionalität
von OSSEC. Zwar ist sie bei der
oben beschriebenen Installation aktiviert,
doch standardmäßig empfängt der Server
keine Syslog-Nachrichten. Vorher müssen
die IP-Adressen, von denen ein Empfang
dieser Nachrichten erlaubt ist, noch in
der Konfigurationsdatei »/var/ossec/etc/
ossec.conf« landen:
syslog
10.21.81.4
10.21.81.9
5140
In dieser Konfiguration verarbeitet OSSEC
die Syslog-Nachrichten der beiden Rech-
Listing 2: »main.py«
ner mit den Adressen 10.21.81.4 und
10.21.81.9.
Besonders hilfreich beim Aufspüren von
Angreifern ist die Korrelator-Engine von
Prelude [14]. Sie bietet die Möglichkeit,
IDMEF-Ereignisse miteinander in Verbindung
zu setzen und so einen Korrelations-
Alarm zu erzeugen, der alle betreffenden
Einzelalarme enthält (Abbildung 6). Die
Installation des Prelude-Correlator erfolgt
unter Debian mit »aptitude install
prelude-correlator«, registrieren lässt sich
der Agent mit:
prelude‐admin register prelude‐correlatorU
"idmef:rw" Listen‐IP_des_Prelude‐ManagersU
‐uid 0 ‐gid 0
Der Prelude-Correlator liefert bereits einige
eigene Plugins mit, sie sind unter
Debian im Ordner »/usr/share/pyshared/
PreludeCorrelator/plugins/« zu finden
und lassen sich über einen Eintrag in
»/etc/prelude-correlator/prelude-correlator.conf«
aktivieren. Die Zeilen
[BruteForcePlugin]
disable = false
aktivieren beispielsweise das Bruteforce-
Plugin. Anschießend startet »/etc/init.d/
prelude-correlator start« den Correlator.
Eigene Plugins
Wer selbst Plugins erstellen möchte,
braucht Python-Grundkenntnisse und
sollte das Kapitel 4.2 des IDMEF-RFC ein-
01 # Please download http://geolite.maxmind.com/download/geoip/database/
GeoLiteCity.dat.gz and place the content of the archive in /usr/
share/GeoIP/ to get more detailled geographical information
02
03 # Please report bugs to rupprechter at dotlike dot net
04 # for more information please visit www.dotlike.net/portscangeoinfo.php
05
06 import os
07 import re
08 import shlex, subprocess
09 import sys
10
11 from PreludeCorrelator.context import Context
12 from PreludeCorrelator.pluginmanager import Plugin
13 from PreludeCorrelator.idmef import IDMEF
14
15 strout = None
16
17 class PortscanGeoinfoPlugin(Plugin):
18 def run(self, idmef):
19 classification = idmef.Get("alert.classification.text")
20
21 NMAPFSCAN = "PSNG_TCP_FILTERED_PORTSCAN"
22 NMAPSCANUDP = "PSNG_UDP_FILTERED_PORTSCAN"
23 NMAPPSNG = "ICMP PING NMAP"
24 TCPPSCAN = "(portscan) TCP Portscan"
25 NMAPSCAN = "PSNG_TCP_PORTSCAN"
26 SSHSCAN = "SSH insecure connection attempt (scan)."
27 SSHSCAN2 = "Possible attack on the ssh server (or version gathering)."
28 if classification != NMAPPSNG and classification != NMAPFSCAN
and classification != TCPPSCAN and classification != NMAPSCAN
and classification != SSHSCAN and classification != SSHSCAN2 and
classification != NMAPSCANUDP:
29 return
30 source = idmef.Get("alert.source(*).node.address(*).address")
31 for saddr in source:
32 ctx = Context(("NETWORK_INFO_PORTSCAN_ATTACKER", saddr), { "expire":
600, "alert_on_expire": True }, update = True, idmef=idmef)
33 if ctx.getUpdateCount() == 0:
34 ctx.Set("alert.correlation_alert.name", "Network scan of host(s)
detected" )
35 ctx.Set("alert.classification.text", "Network information for
scanning host")
36 ctx.Set("alert.assessment.impact.severity", "high")
37 # only create one alert per source
38 # GeoIP
39 # only do GeoIP lookup if IP address is not private
40 if saddr.find("10.", 0, 4) != ‐1 or saddr.find("172.", 0, 4) != ‐1
or saddr.find("192.", 0, 4) == ‐1:
41 # if GeoIP City Database exists
42 if os.path.exists("/usr/Share/GeoIP/GeoLiteCity.dat") == True:
43 import GeoIP
44 gi = GeoIP.open("/usr/share/GeoIP/GeoLiteCity.dat",
GeoIP.GEOIP_STANDARD)
45 geoinfo = gi.record_by_addr(saddr)
46 geo = re.sub(r'\'', r'', re.sub(r': ', r':', str(geoinfo)) )
47 idmef = IDMEF()
48 idmef.Set("alert.classification.text", "Geographical Information
for portscanning host")
49 idmef.Set("alert.correlation_alert.name", geo )
50 idmef.Set("alert.assessment.impact.severity", "high")
51 idmef.Set("alert.assessment.impact.description", "Geographical
information for portscanning host " + saddr)
52 idmef.alert()
53 ctx.update(idmef=idmef)
54 # else if only GeoIP Country Database exists
55 elif os.path.exists("/usr/share/GeoIP/GeoIP.dat") == True:
56 import GeoIP
57 gi = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE)
58 idmef = IDMEF()
59 idmef.Set("alert.classification.text", "Geographical Information
for portscanning host")
60 idmef.Set("alert.correlation_alert.name",
str(gi.country_code_by_addr(saddr)) )
61 idmef.Set("alert.assessment.impact.severity", "high")
62 idmef.Set("alert.assessment.impact.description", "Geographical
information for portscanning host " + saddr)
63 idmef.alert()
64 ctx.update(idmef=idmef)a
58 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

ids mit Prelude
s ecuR ity
Mit Hilfe der beschriebenen Kombination
von NIDS und HIDS als Sensoren von
Prelude lassen sich alle Informationen
des Netzwerks, darunter auch die von
Syslog-fähigen Endgeräten, über ein zengehend
studieren [1]. Dieser Abschnitt
des RFC behandelt die Nachrichtenklassen,
die Plugin-Programmierer verwenden
dürfen.
Das von dem Autor dieses Artikels extra
geschriebene Beispiel-Plugin Portscangeoinfo
(Listing 2) steht unter [15] zum
Download. Es reagiert auf Portscans, die
Snort und OSSEC erkannt haben, und
macht es möglich, über einen Korrelationsalarm
geografische Informationen
des Angreifers auszugeben. Damit Snort
die Portscans auch erkennt, muss der
Portscan-Präprozessor in der »snort.conf«
aktiviert sein.
Der Korrelationsalarm »Network Information
for scanning host« enthält sowohl
die Geo-IP-Informationen als auch die
zugehörigen Alarme der Snort-OSSEC-
Sensoren. Das Plugin wartet 5 Minuten,
sammelt alle Portscan-Ereignisse innerhalb
dieses Zeitraums und packt sie gesammelt
in einen Korrelationsalarm. Damit
das klappt, muss der Admin vorher
mit »aptitude install geoip-python libgeoip1«
Geo-IP für Python installieren. Wer
sich mit den Länderinformationen nicht
zufriedengibt, dem hilft die Geo-IP-City-
Lite-Datenbank von [16] weiter.
Der Aufbau eines Plugin
Jedes Korrelations-Plugin enthält eine
Datei namens »setup.py«, die für die Installation
des Plugin verantwortlich ist. Listing
1 zeigt den Inhalt der Datei. Um ein
eigenes Plugin zu erstellen, braucht der
Admin lediglich die Namen »Portscan-
GeoinfoPlugin« und »portscangeoinfoplu-
gin« anzupassen, optional korrigiert er
auch die Felder »description«, »author«
und »version«. Im Beispiel liegt der Code
des Plugin im Ordner »portscangeoinfoplugin«.
Hier akzeptiert das Skript auch
Platzhalter: Wer in das Setupskript die
Zeile
Pluginname = Directory:My_plugin
einfügt, verweist auf das Plugin »My_plugin«
im Verzeichnis »Directory«, »python
setup.py build« und »python setup.py install«
installieren es schließlich.
Jetzt sind noch folgende Zeilen in die Datei
»/etc/prelude-correlator/prelude-correlator.conf«
einzufügen, um das Plugin
beim Start des Korrelators zu aktivieren:
[PortscanGeoinfoPlugin]
disable = False
Im so gewählten Plugin-Ordner liegen die
Dateien »init.py« und »main.py« (Listing
2). Die Datei »init.py« enthält nur eine
Zeile mit dem Namen des Plugin:
from main import PortscanGeoinfoPlugin
Das Plugin Portscangeoinfo zeigt die großen
Möglichkeiten, die die Korrelator-
Engine von Prelude bietet: Die Popen-
Funktion bindet Konsolenprogramme
und deren Ausgaben ein.
Volle Netzwerkkontrolle
trales Webinterface analysieren. Egal ob
Windows-Rechner, Cisc-Router oder der
Linux-Server, alle Maschinen im Rechenzentrum
lassen sich damit in die zentrale
Überwachung integrieren.
Wer dann noch mit individuellen Plugins
die Informationen gesammelt in
übersichtlichen Korrelationsalarmen in
Prewikka darstellen lässt, macht es jedem
Angreifer schwer, lange unbemerkt
zu bleiben. (mfe/ofr)
n
Infos
[1] Prelude:
[http://www. prelude‐technologies.com/
en/solutions/ universal‐sim/index.html]
[2] Ralf Spenneberg, „Großer Auftakt“:
Linux‐Magazin 08/ 04, S. 74
[3] Libprelude:
[https://dev. prelude‐technologies.com/
wiki/prelude/ ManualDevel]
[4] IDMEF:
[http://www. ietf. org/rfc/rfc4765.txt]
[5] Snort: [http://www.snort.org]
[6] Ralf Spenneberg, „Super‐Schnüffler“:
Linux‐Magazin 06/ 03, S. 70
[7] OSSEC: [http://www.ossec.net]
[8] Prelude‐LML:
[https://dev. prelude‐technologies.com/
wiki/1/PreludeLml]
[9] Prewikka:
[https://dev. prelude‐technologies.com/
wiki/1/Prewikka]
[10] Oinkmaster:
[http://oinkmaster. sourceforge.net]
[11] Sourcefire: [http://www.sourcefire.com]
[12] Bleeding Snort:
[http://www. bleedingsnort.com]
[13] Libprelude‐Windows‐Agent: [http://www.
prelude‐technologies.com/download/
releases/libprelude/libprelude‐1.0.0.exe]
[14] Korrelator‐Engine: [http://www.
prelude‐technologies.com/en/solutions/
correlation‐engine/ index.html]
[15] Portscangeoinfo: [http://www.dotlike.net/
portscangeoinfo. php]
[16] Geo‐IP‐City‐Datenbank:
[http://geolite. maxmind.com/download/
geoip/database/ GeoLiteCity.dat.gz]
Abbildung 7: Erkennt das System einen Portscan von Snort oder OSSEC, dann erhält der Admin wenig später in
der Liste der Alarme den Eintrag »Geographical Information for portscanning host«.
Der Autor
David Rupprechter ist IT‐Techniker beim führenden
österreichischen Systemintegrator und
befasst sich auf [http://www.dotlike.net] mit IT‐
Sicherheit, Netzwerktechnik, Programmierung
und Linux.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
59

Helpdesk
Ticket-systeme
Service Management nach Plan
Zu Diensten
Steve Cukrov, 123RF
iT-dienstleistungen fachgerecht anzubieten umfasst mehr als einfache Trouble-Ticket-systeme. dieser artikel
verrät, wie iTil-praktiken dabei helfen können und welche Helpdesk-system dafür brauchbar sind. James mohr
In den letzten Jahren hat sich der Blick
auf die die Rolle der IT innerhalb einer
Firma etwas gewandelt. IT wird nun eher
als Dienstleistung wahrgenommen, die
eine Abteilung einer anderen Abteilung
oder Firma bietet. Diese Veränderung
hat ihre Spuren auch bei Helpdesk- oder
Trouble-Ticket-Software hinterlassen, die
sich ebenfalls mehr in Richtung Service
bewegt.
Um den komplexen Anforderungen gerecht
zu werden, orientieren sich viele
Firmen dazu an einer Sammlung von
Best Practices: der Information Technology
Infrastructure Library (ITIL) [1]. Sie
deckt eine ganze Reihe von Themen ab
und ihre vollständige Implementierung
kann für große Unternehmen einige Jahre
in Anspruch nehmen.
Glücklicherweise ist das nicht für jede
Anwendung nötig. Für einen Systemadministrator,
der beispielsweise nur Supportanfragen
besser verwalten will, ist
ein ausgewachsenes ITIL-System völlig
übertrieben. Wer nur bestimmte Aspekte
implementiert, die wirklich gebraucht
werden oder Nutzen versprechen, kann
dennoch von ITIL profitieren.
Um zu wissen, welche ITIL-Aspekte man
implementieren könnte, muss man sich
erst einmal mit den Grundlagen der verschiedenen
Teile vertraut machen. Einen
guten Ausgangspunkt stellt „The Introduction
to the ITIL Service Lifecycle“ dar,
das es als knapp 200-seitiges Buch zu
kaufen gibt.
Phasenweise
ITIL handelt nicht nur von Diesnten,
deshalb beziehen sich die meisten auf
diesen Aspekt mit der Bezeichnung IT
Service Management (ITSM). Die aktuelle
ITIL-Version 3 unterscheidet hierbei
fünf Phasen:
n Service-Strategie
n Service-Design
n Service-Transition
n Service-Operation
n Continual Service Improvement
In der ersten Phase definieren die Verantwortlichen
die Strategie, das heißt welche
Dienste es geben soll, wie und wann sie
verfügbar sind und wem welcher Dienst
zusteht. Wie viel, wie schnell und für
wen stellen die charakteristischen Merkmale
eines Dienstes dar, auf die sich die
Beteiligten einigen und die so zur Grundlage
der Service-Vereinbarung werden.
In der Design-Phase werden die Details
der Services ausgearbeitet. Zum Beispiel
geht es dann konkret darum, welche
Dienste die Datenbank-Server der Marketing-Abteilung
bieten sollen, einschließlich
der Dimensionierung der Server und
so weiter. In der Transition-Phase wird
aus den Plänen dann Realität, allerdings
in einer möglichst geordneten Weise.
Hierbei kommt Change-Management ins
Spiel, das alle Veränderungen mit Hilfe
genau spezifizierter Prozesse definiert.
Häufig sind sich Administratoren nur
der folgenden Service-Operation-Phase
bewusst, in der die Dienste erbracht werden.
Natürlich spielt Service-Transition
aber eine genauso wichtige Rolle, weil es
Konfigurations-, Change- und Wissensmanagement
mit einschließt.
Das Service-Management ist nicht abgeschlossen,
wenn die Dienste einmal
implementiert sind, deshalb gibt es noch
die Phase des Continual Service Improvement.
Wichtig hierbei ist die kontinuierliche
Analyse und regelmäßige Evaluierung
60 ausgabe 01-2011 admin www.admin-magazin.de

OSDC.de
OPEN SOURCE DATA
CENTER CONFERENCE
der erbrachten Dienste. Die dabei gesammelten Informationen
fließen dann wieder in künftige Änderungen und Verbesserungen
ein und komplettieren somit den Service-Zyklus.
Alles Gold?
Natürlich gibt es an ITIL auch etwas auszusetzen. So wird oft
kritisiert, dass die offiziellen Dokumente der britischen Regierung
sehr teuer sind und kleine Firmen sie sich nicht leisten können.
Ein anderer Kritikpunkt trifft die ITIL-Evangelisten. Viele sehen
ITIL jetzt als das A und O einer IT-Infrastruktur, das man bis aufs
letzte Komma befolgen muss. Wie auch in anderen Bereichen
ignorieren die ITIL-Anhänger praktische Beschränkungen und
wollen jeden Ablauf „ITIL-konform“ machen. Das ist aber nicht
immer realistisch und die Kosten dafür verbieten so etwas in
vielen Fällen von vornherein. Gleichzeitig deckt ITIL auch nicht
die Anforderungen jeder Firma ab, was aber auch nicht der Anspruch
ist.
CALL FOR PAPERS
www.netways.de/osdc
Tickets
Die Schnittstelle zwischen Kunden/ Mitarbeitern und „der IT“
ist häufig ein Trouble-Ticket- oder Helpdesk-System. Die meisten
Produkte gehen mittlerweile über ein reines Ticket-System
hinaus. Viele bieten Statistiken, zum Beispiel über die Art von
Tickets und die Zeit bis zur Behebung eines Problems sowie
andere Faktoren, die die Service-Qualität beeinflussen. Andere
unterstützen zusätzlich noch Change-, Konfigurations- und sogar
Wissensmanagement.
Sich die passende Software auszusuchen, ist schwieriger als mancher
denkt. Was für eine Firma gut ist, muss für die andere noch
lange nicht passen. Auch wenn mehrere Produkte alle Aspekte
des Service-Managements abdecken, wird sich deren Implementierung
sicher unterscheiden, obwohl sie alle ITIL-konform sind.
Man sollte bei der Auswahl vorsichtig sein, wenn ein Paket von
sich behauptet ITIL-zertifiziert zu sein, denn der Begriff „zertifziert“
bezieht sich nur auf Personen, die entsprechende ITIL-Prüfungen
abgelegt haben. Bestenfalls ist eine Ticket-Software „ITILprozesskonform“
(process compliant), was bedeutet, dass es die
ITIL-Service-Management-Prozesse korrekt implementiert. Auch
ein Produkt, das nur Teile des ITSM-Lebenszyklus implementiert,
kann konform sein, wenn auch nur in diesen Teilbereichen.
Pink Elephant ist eine Firma, die Software-Produkte mit ihrem
Pinkverify-Programm daraufhin überprüft, ob sie ITIL-konform
sind [2]. Als eines der strengsten Testprogramme prüft Pinkverify
bis zu 15 ITSM-Prozesse. Einige der in diesem Artikel besprochenen
Paket sind von Pinkverify verifiziert.
In den letzten Jahren gab es bei Ticket-Systemen eine Entwicklung
weg von speziellen Clients hin zu webbasierten Frontends. Die
bessere Systeme erlauben den Zugriff im Browser gleichermaßen
für Kunden und Support-Angestellte. Die meisten bieten gleichzeitig
noch ein E-Mail-Interface, das der Kommunikation dient.
Am unteren Ende der Skala, was die Funktionalität betrifft, befindet
sich der Web Horde User Problem Solver (WHUPS), der unter
einer Open-Source-Lizenz steht. Es handelt sich um ein Add-On
für das Horde-Web-Framework [3], das sonst noch Webmail, Wiki
und Groupware-Features umfasst. Es beschränkt sich auf Ticket-
06. - 07. APRIL 2011 | NÜRNBERG
KONFERENZSCHWERPUNKT 2011:
Automatisiertes Systems Management
Die Konferenz unter dem Motto
“Open Source thinking large”
• Internationale OS-Spezialisten
• Trends und Möglichkeiten im Bereich OS Data
Center Solutions
• Best Practices
• Themenfelder: High Availability, Clusterlösungen,
Load Balancing, Firewalling, Large Scale Databases
presented by:
sponsored by:
NETWAYS ®
www.admin-magazin.de
MAGAZIN

Helpdesk
Ticket-systeme
gibt es eine Demo der Software, außerdem
bietet OTRS seit kurzem auch eine
gehostete Version namens OTRS on Demand
kommerziell an.
Request Tracker
Abbildung 1: Anlegen eines neuen Tickets im WHUPS-Interface.
Funktionen, der einzige ITSM-Prozess,
den es unterstützt, ist Incident Management
(Abbildung 1). Darin besteht auch
der große Vorteil von WHUPS: Wer noch
keine Webmail oder Groupware hat, kann
Horde installieren und darin das Helpdesk-System
integrieren. Das Horde-Modul
Nag bietet zusätzlich noch einfache
Projektmanagement-Fähigkeiten.
genauso installiert werden wie mit dem
Internet Information Server unter Windows.
An Datenbanken unterstützt es
MySQL, PostgreSQL, Oracle, DB2 und
Microsoft SQL-Server. Auf der OTRS-Site
Was die unterstützten ITSM-Prozesse betrifft,
ist der Request Tracker (RT) eher
am unteren Ende der Skala anzusiedeln,
dafür bringt er ein übersichtliches Web-
Interface mit (Abbildung 3). Request
Tracker ist modular aufgebaut und lässt
sich somit sehr gut auf die eigenen Anforderungen
abstimmen. Die gut dokumentierte
API macht es leicht, eigene Plugins
zu schreiben und RT mit anderen Anwendungen
zu verbinden. Auch im Perl-Archiv
CPAN gibt es eine ganze Reihe von
Erweiterungen für RT. Über so genannte
Scrips lässt sich der Workflow für Tickets
im einzelnen steuern. Mehr dazu verrät
der Artikel zu RT ab Seite 65.
OTRS
Das Open Source Ticket Request System
(OTRS) ist schon seit Jahren eins der
beliebtesten Helpdesk-Systeme [4]. Bis
vor kurzem war seine GUI ein bisschen in
die Jahre gekommen, aber mit der im November
erschienenen Version 3.0 wurde
sie ein bisschen aufpoliert (Abbildung
2). Das OTRS-ITSM-Modul unterstützt
die meisten ITIL-Prozesse: Incident-,
Problem-, Change- und Konfigurationsmanagement.
Letzteres führt nicht nur
genau über alle Software- und Hardware-
Komponenten Buch, es ist auch vollständig
mit den anderen Modulen integriert.
So hat man jederzeit einen genauen
Überblick über den Status der eigenen
IT-Infrastruktur.
Auch wenn einige ITSM-Prozesse fehlen,
deckt OTRS doch die wichtigsten Anforderungen
der meisten Administratoren
ab. Außerdem wurden sechs Prozesse
von OTRS-ITSM mit Pinkverify verifiziert.
OTRS-ITSM gibt es derzeit nur für OTRS
2, die Portierung für Version 3 soll im
Frühjahr 2011 folgen.
OTRS basiert auf der Skriptsprache Perl
und kann mit dem Apache-Webserver
Abbildung 2: In OTRS 3.0 haben die Entwickler die grafische Oberfläche gründlich überarbeitet.
Abbildung 3: Der Request Tracker (RT): Tickets im Überblick.
62 ausgabe 01-2011 a dmin www.admin-magazin.de

RT basiert auf objektorientiertem Perl sowie Apache und speichert
seine Daten in MySQL, PostgreSQL, Oracle oder Sqlite. RT
ist ziemlich leicht zu installieren, aber es gibt auch gehostete
Angebote, die bei etwa 100 Euro für 500 Tickets starten und bis
zu 3000 Euro pro Monat für eine unbegrenzte Zahl von Tickets
reichen.
Bei H2desk [6] handelt es sich um den typischer Vertreter gehosteter
Lösungen, die also auf dem Server des Anbieters laufen.
Was die ITSM-Prozesse betrifft, hat H2desk eher wenig zu bieten,
es umfasst nur Incident und Problem Management, ist also eher
ein einfaches Ticket-System. Zusätzlich gibt es eine eingebaute
Wissensdatenbank und rudimentäres Reporting.
Für alle Pakete bietet die Firma hinter H2desk eine 30 Tage lang
funktionale Testversion. Wenn der Schwerpunkt auch auf dem
Service-Angebot liegt, bietet H2desk auch ein so genanntes Self-
Hosting-Paket, das Anwender auf dem eigenen Server installieren
können. Der dabei mitgelieferte PHP-Code ist allerdings mit dem
Ioncube-Encoder gegen Einblicke geschützt.
Preislich bietet H2desk ein breites Spektrum, das bei 10 US-Dollar
pro Monat für einen Bearbeiter und unbegrenzte Tickets beginnt.
Für drei Bearbeiter sind es 20 US-Dollar, 10 Bearbeiter schlagen
mit 40 US-Dollar im Monat zu Buche. Am oberen Ende rangiert
das Paket mit einer unbegrenzten Zahl von Tickets wie auch Bearbeitern
mit 70 US-Dollar pro Monat. Die Self-Hosted-Varianten
starten bei Einmalzahlungen von 100 bis hin zu 700 US-Dollar.
Für 1500 US-Dollar lüftet der Hersteller gar sein Code-Mäntelchen
und macht aus dem Paket eine „Open Source Edition.“
Ähnlich ist auch das Angebot von Kayako strukturiert [7]. Sein
Produkt Resolve (Abbildung 4) gibt es ebenfalls gehostet oder
zur Installation auf dem eigenen Server, allerdings ist der Funktionsumfang
größer als bei H2desk. Auch wenn Kayako selbst
ITIL nicht erwähnt, deckt es auch Service-Level-Management
ab. Dazu dient unter anderem Engage, ein Live-Chat-System, das
sich in jede Website integrieren lässt. Die On-Demand-Versionen
von Resolve und Engage beginnen bei jeweils 59 US-Dollar im
Monat für je drei Bearbeiter. Jeder weitere Bearbeiter kostet zusätzlich
49 US-Dollar im Monat.
Die gehosteten Versionen starten bei 999 US-Dollar für 10 Bearbeiter
und sind ebenfalls preislich gestaffelt. Für die unbegrenzte
Version von Resolve und Engange verlangt Kayako saftige 18 000
US-Dollar. Beide Produkte zusammen verkauft Kayako im Bundle
unter dem Namen Fusion etwa 13 Prozent billiger. Zusätzlich gibt
es einige Third-Party-Erweiterungen wie eine Anwendung für
Blackberry-Telefone oder eine Kayako-Joomla-Bridge, die Login-
Informationen zwischen den beiden Systemen austauscht.
Topdesk
Topdesk (Abbildung 5) preist sich selbst als ITIL-konform an
[8]. Auch wenn es nicht bei jedem Aspekt von ITSM ins letzte
Detail geht, deckt es doch den ganzen Lebenszyklus ab. Unter
den selbst gehosteten Systemen ist Topdesk eines der besten. Es
lässt sich zwar nicht wie andere Systeme in allen Einzelheiten
konfigurieren, aber es ist leicht zu implementieren und erfordert
nicht wie andere Helpdesks ausufernde Support-Verträge.
Von Topdesk gibt es vier Varianten: Lite, Professional, Enterprise
und Topdesk as a Service. Die Lite-Version ist für internen
www.admin-magazin.de
SELBST IST DER
ADMIN!
Mit der MobyDick Telefonanlage haben Sie
alle Fäden selbst in der Hand. Außerdem
verbinden Sie die Features modernster
Telefonie mit den Vorteilen von Voice over IP.
NEU
Kostenlose
Community
Version
erhältlich
Asterisk-basierende SoftPBX
Konfiguration über Weboberfläche MobyDick Commander
Intuitive Bedienung
Kann dank modularem Aufbau individuell angepasst werden
Für 1-1000 Usern an beliebig vielen Standorten einsetzbar
Virtuell einsetzbar
Umfangreiche Überwachungs- & Auswertungsmöglichkeiten
Transparente Einbindung von Niederlassungen, Home-
Offices & Mobiltelefonen
Autoprovisionierung von snom, Aastra & Yealink IP Telefonen
Autoprovisionierung von ISDN-Karten und Gateways möglich
Innovative Features:
Mehr Informationen finden Sie unter:
http://www.pascom.net
http://community.pascom.net
Integrierter Faxserver
Voicemailsystem
Interactive Voice Response
Roaming User (Teilnehmerumzug)
LDAP Connector
Java User Client
pascom
Netzwerktechnik GmbH & Co. KG
Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0

Helpdesk
Ticket-systeme
Abbildung 4: Übersichtlich: Die Ticket-Ansicht von Kayako Resolve.
ist und wie stark sich solche Pakete zum
Teil voneinander unterscheiden. Für eine
objektive Bewertung unterscheiden sich
die Anforderungen zu sehr. Zum Beispiel
deckt der HP Service Manager zwar alle
Phasen des ITSM ab, aber er wäre in
einer Firma mit fünf Mitarbeitern definitiv
fehl am Platz. Umgekehrt ist WHUPS
sicher nicht das richtige für ein multinationales
Unternehmen mit tausenden
von Angestellten. Im Mittelfeld gibt es
Pakete wie OTRS und Request Tracker,
die für kleine wie auch große Installationen
skalieren.
Support gedacht und wenig mehr als ein
klassisches Ticket-System, das Incidentund
Konfigurationsmanagement bietet.
Die Professional- und die Enterprise-Version
decken den ganzen ITSM-Zyklus ab,
wobei die Enterprise-Version nur wenige
zusätzliche Features bietet. Topdesk arbeitet
webbasiert und läuft auf verschiedenen
Unix-Systemen wie auch Windows
und setzt MS-SQL oder Oracle voraus.
Die Kosten der Lizenzen hängt von der
Anzahl von Support-Kunden ab, während
die Zahl der Bearbeiter unbegrenzt ist.
Die Basic-Lizenz der Professional-Variante
erlaubt 250 Endbenutzer. Sie lässt
sich stufenweise auf 500, 1000, 1500 und
so weiter ausbauen.
Professionell
Der HP Service Manager (HPSM) [9]
ist eins der umfangreichsten Produkte
des Felds, das den kompletten Service-
Management-Lebenszyklus abdeckt. Wer
sich das Training und den Support leisten
kann und unbedingt ein Highend-Produkt
einsetzen will, wird bei HPSM fündig. Es
ist auch das erste Produkt, das nach ITIL
v3 verifiziert wurde. Im April 2010 hat
Pink Elephant es in elf ITSM-Prozessen
getestet.
Die Basis bildet der Service Manager
mit der Funktionalität von Konfigurationsmanagement,
Web- und Windows-
Clients sowie einigen Basis-Reports.
Dazu kommt das Helpdesk-Modul, das
grundlegende Ticket-Funktionen wie Incident-
und Problem-Management umfasst,
einschließlich eines Frontends für
Support-Kunden.
Für kleinere Firmen bietet HP die SM
Starter Suite. Sie enthält Help Desk,
Change Management und Service Level
Management für 25 User. Zusätzliche
Module können Kunden einzeln dazukaufen.
Auch HPSM gibt es als gehostete
Versionen in einer Basic-, Advanced- und
Premium-Variante. Die meisten Module
sind schon im Basic-Paket enthalten, in
den anderen kommen nur wenige weitere
Module hinzu. Knowledge Management
fehlt aber in der Basic-Variante.
Eine interessante Funktion ist die HP Universal
CMDB Software, die einen zentralen
Zugangspunkt für mehrere Quellen
an Konfigurationsdaten darstellt. Auf
diese Ressourcen greift die Software dynamisch
zu, sodass sich automatisch alle
Komponenten von HPSM auf dem laufenden
Stand befinden. Außerdem bietet HP
CMDB eine API, über die andere Anwendungen
auf die Konfigurationsdaten Zugriff
bekommen. HPSM basiert auf Java
und läuft auf Windows, HP/ UX, Solaris,
einigen Linux-Distributionen und sogar
Novell Open Enterprise Server. Je nach
Betriebssystem unterstützt es als Datenbank
Oracle, DB2 oder MS-SQL.
Die im Artikel beschriebene Auswahl an
Helpdesk-Software soll in erster Linie eine
Orientierung darüber geben, was möglich
Abbildung 5: Die Ticket-Übersichtsseite in Topdesk.
ITIL nach Bedarf
Vor einer Entscheidung ist es sicher empfehlenswert,
sich eine Zeit lang mit einer
Demo-Version von aussichtsreichen
Kandidaten zu beschäftigen, denn etwas
Erfahrung mit einer Software ist als Entscheidungsgrundlage
sicher vonnöten.
Spielen Sie am besten unterschiedliche
Einsatzszenarios durch, die in Ihrer Firma
wirklich auftauchen. Und vergessen Sie
dabei nicht, dass möglicherweise auch
leichte Abweichungen von ITIL genau Ihr
Problem am besten lösen. (ofr) n
Infos
[1] ITIL-Website:
[http:// www. itil-officialsite. com]
[2] ITSM software verification:
[http:// www. pinkelephant. com]
[3] Horde: [http:// www. horde. org]
[4] OTRS: [http:// otrs. org]
[5] Request Tracker:
[http:// www. bestpractical. com/ rt]
[6] H2desk: [http:// www. h2desk. com]
[7] Kayako: [http:// www. kayako. com]
[8] Topdesk: [http:// www. topdesk. com]
[9] HP Service Manager: [http:// www. hp. com]
64 ausgabe 01-2011 a dmin www.admin-magazin.de

RT
HELPDESK
Das Open-Source-Ticketsystem RT
Nummern
ziehen
Richard Côté, 123RF
Das Helpdesk-System Request Tracker (RT) ist vielen Administratoren
unbekannt. Dabei ist es eine leistungsfähige Software, die
sich in allen Facetten auf die eigenen Bedürfnisse zuschneiden
lässt. Julian Hein
Auch wenn ITIL schon in den 80er Jahren
entwickelt wurde, hat es sich doch
gerade in den letzten Jahren als De-facto-
Standard für IT Service Management
(ITSM) etabliert. Eine der wichtigsten
Funktionen innerhalb des ITIL-Framework
ist der Service Desk, die zentrale
Anlaufstelle und Single Point of Contact
für alle Anwender.
Neben einigen großen kommerziellen
ITIL-Softwaresuites gibt es auch im Open-
Source-Lager mit den Programmen OTRS
und Request Tracker (RT) zwei flexible
Lösungen zur Abbildung und Unterstützung
eigener Supportprozesse. Während
OTRS von einer deutschen Firma entwickelt
und auch sehr aktiv vermarktet
wird, stammt Request Tracker von der
amerikanischen Firma Best Practical und
steht hierzulande eher im Schatten. Zu
Unrecht, wie der Artikel zeigt.
Request Tracker bietet out of the Box alle
notwendigen Funktionen zum Betrieb
eines Issue-Tracking-Systems und lässt
kaum Funktionen vermissen: von der
Annahme und Identifikation von E-Mails
oder anderer Anfragen, der Vergabe von
Prioritäten, Zuweisung der Tickets an Bearbeiter
bis hin zur Benachrichtigung des
ursprünglichen Anforderers sowie dem finalen
Schließen der Anfrage am Ende der
Bearbeitungskette. Während die meisten
Kunden und End-User nur per E-Mail mit
der Anwendung kommunizieren, steht
für die Mitarbeiter im Helpdesk ein übersichtliches
Webinterface – in mehr als
30 Sprachen lokalisiert – zur Verfügung
(Abbildung 1).
Die Software in der aktuellen Version
3.8.8 gibt es auf der Website der Herstellerfirma
unter der GNU GPL zum Download
im Quellcode [1]. Die manuelle Installation
ist allerdings nicht ganz trivial,
da sie neben einem Webserver und einer
Datenbank auch eine große Anzahl unterschiedlicher
Perl-Module voraussetzt,
von denen manche noch manuell installiert
werden müssen.
In vielen Distributionen steht Request
Tracker zur Installation über die Paketverwaltung
zur Verfügung, bei Ubuntu sogar
in der ganz aktuellen Version 3.8.8. Als
Datenbank unterstützt Request Tracker
neben dem Klassiker MySQL auch PostgreSQL
und inzwischen sogar Oracle.
Arbeit in der Queue
Nach der Installation und der Basiskonfiguration
in der RT-Konfigurationsdatei
kann der Administrator das Tool fast
komplett im Webinterface weiter einrichten,
wo er zum Beispiel die so genannten
Queues anlegt. Das sind Warteschlangen
oder allgemein Bereiche, in denen dann
die einzelnen Tickets bearbeitet werden.
Beispielsweise für das Incident-Management
oder den Problem-Management-
Prozess. Viele weitere Einstellungen wie
Benutzerrechte, E-Mail-Templates oder
Zusatzfelder werden dann in der Regel
spezifisch für jede dieser Queues konfiguriert,
lassen sich aber auch global für
das System anlegen.
Lediglich zur Anbindung an den Mailserver
muss der Administrator sich noch
einmal kurz auf die Konsole begeben,
denn die eingehenden E-Mails werden
von dem lokalen Programm »rt-mailgate«
entgegengenommen und an den Request
Tracker weitergeleitet. Dieses Programm
konfiguriert der Admin, zusammen mit
einigen notwendigen Parametern, als
Empfänger im lokalen E-Mail-Server.
Per E-Mail oder Web
Danach können die End-User bereits erste
Anfragen und Fehlermeldungen per E-Mail
an das Ticketsystem senden. Von dort erhalten
sie, wenn es entsprechend konfiguriert
ist, eine automatische Antwort
mit der zugeordneten Ticketnummer und
einer Erläuterung zur weiteren Vorgehensweise.
Aus den eingegangenen E-Mails
erstellt Request Tracker jeweils einzelne
Tickets, die es im Webinterface im Bereich
»unowned tickets« anzeigt.
Je nach gewünschtem Workflow ziehen
sich die Mitarbeiter des Helpdesk ihre
Tickets selbst oder sie werden von einem
Dispatcher anhand von Thema und
aktueller Workload an die einzelnen
Bearbeiter verteilt. Der Bearbeiter kann
dann direkt über das Tool Rückfragen
stellen oder Hinweise zur Fehlerbeseitigung
geben. Dabei protokolliert RT alle
Bearbeitungsschritte und legt sie – mit
einem Zeitstempel versehen – in der Be-
www.ADmin-mAgA zin.DE
A D min
AuS gABE 01-2011
65

H ELPD ESK
RT
Abbildung 1: Die Startseite des Webinterface gibt einen guten Überblick der aktuellen Tickets.
arbeitungshistorie ab. So lässt sich später,
beispielsweise bei Krankheit oder einer
Übergabe an einen anderen Mitarbeiter,
sofort nachvollziehen, was bisher erledigt
oder besprochen wurde.
Ticket-Handling
Tickets haben eine Vielzahl von Eigenschaften
und Felder, die ihrerseits wieder
in verschiedene Bereiche untergliedert
sind und im Kopfbereich eines Tickets
angezeigt werden. Die einzelnen Kategorien
sind ein- und ausblendbar und zur
leichteren Auffindbarkeit farblich kodiert
(Abbildung 2).
Im Reiter »Basics« finden sich die grundlegenden
Eigenschaften der Tickets, etwa
die Ticketnummer, der aktuelle Status,
die Anfangs- und Endpriorität und die
Queue, in die das Ticket einsortiert
wurde. Im Bereich »People« stehen die
Angaben zu den einzelnen Personen, die
mit dem Ticket assoziiert sind. Das sind
zum einen der Requester, also die Person
oder E-Mail-Adresse, die das Ticket ursprünglich
erstellt hat, sowie der aktuelle
Ticket Owner, also die Person, die für die
Bearbeitung und vor allem Erledigung
des Tickets verantwortlich ist.
Daneben gibt es noch die so genannten
Watcher, die entweder als »CC« oder als
»AdminCC« zu einem Ticket hinzugefügt
werden können. Ähnlich zu den CC-
Empfängern (Carbon Copy) einer E-Mail
erhalten diese Personen Kopien der Ticketkorrespondenz,
allerdings in unterschiedlichen
Detailebenen. In der Regel wird
der Administrator das System so konfigurieren,
dass man externe Personen als
CC einsetzt und analog zum Requester
behandelt, während interne Personen als
Admin-CC bei einem Ticket aufgenommen
Abbildung 2: Kopfbereich eines Tickets inklusive aller Metadaten.
werden. Der große Unterschied liegt in
der späteren Konfiguration des Workflow.
CCs erhalten nur normale Korrespondenz,
während Admin-CCs auch interne Kommentare
weitergeleitet bekommen. So
kann man innerhalb eines Tickets sowohl
mit seinen Kunden als auch mit seinen
Kollegen korrespondieren, ohne dass die
Kunden interne und vielleicht vertrauliche
Kommentare erhalten.
Unter »Dates« befinden sich die verschiedenen
Datumsfelder. Während »Created«,
»Closed« oder »Updated« automatisch gesetzt
werden, kann man »Starts«, »Started«,
»Last Contact« und »Due« auch
manuell einstellen. Die Datumsfelder
dienen vor allem dazu, entsprechende
Fristen wie »Created 4 weeks ago« oder
im Rahmen des Reporting Daten zu den
Reaktionszeiten zu berechnen. Mit diesen
Daten lässt sich ebenfalls eine genaue
Überwachung und Auswertung von
Service-Levels implementieren
Eine weitere Ordnungsfunktion innerhalb
des Request Trackers sind Links
zwischen verschiedenen Tickets. Dieses
Feature eignet sich dazu, Abhängigkeiten
zwischen verschiedenen Aufgaben
zu modellieren. Dafür gibt es die Beziehungstypen
»Depends on«, »Parent/
66 AuS gABE 01-2011 A D min www.ADmin-mAgA zin.DE

RT
HELPDESK
Abbildung 3: Grafische Darstellung der Abhängigkeiten zwischen mehreren Tickets.
Child« und »Refers to«. Setzt man eine
Beziehung in eine Richtung, zum Beispiel
„Ticket 9 ist Parent von Ticket 3“, wird
automatisch auch eine Beziehung in der
Gegenrichtung erstellt, also „Ticket 3 ist
Child von Ticket 9“.
Auf Basis dieser Beziehungen lassen sich
auch logische Regeln in das Ticketsystem
einbauen. So kann ein Ticket, das noch
von anderen Tickets abhängig ist, nicht
gelöst werden, bevor die anderen Tickets
endgültig erledigt wurden. Dadurch lassen
sich beispielsweise mehrere Incidents
einem Problem zuordnen, das dann wiederum
zu einem Change führt.
Request Tracker kann diese Abhängigkeiten
über mehrere Ebenen sogar visuell
darstellen und einen Abhängigkeitsgrafen
aus den Ticketdaten erstellen (Abbildung
3). Um sich oder andere Benutzer des
Systems an wichtige Termine zu erinnern,
lassen sich zu Tickets so genannte
Reminder erstellen, die später auf der
Startseite eingeblendet oder per E-Mail
versendet werden.
Protokolliert
Neben den Basisdaten zeichnet Request
Tracker eine komplette Bearbeitungshistorie
inklusive Timestamps und der veränderter
Felder auf. Diese History wird
nach den Metadaten bei jedem Ticket
angezeigt (Abbildung 4). Um die Revisionssicherheit
des Systems zu erhalten,
gibt es keine Möglichkeit, im Webinterface
Transaktionen zu löschen. Natürlich
kann der Anwender fast alle Werte eines
Tickets verändern, dabei legt RT aber
eine Transaktion an, die registriert, wer
wann welche Daten verändert hat.
Zur Bearbeitung von Tickets dienen die
verschiedenen Queues, die normalerweise
nach Themen, Abteilungen oder
Prozessen strukturiert sind. Queues
können eigene E-Mail-Adressen, Prioritäten
und Deadlines besitzen. Auch alle
Berechtigungen sind Queue-spezifisch
konfiguriert. So lässt sich genau festlegen,
welche Abteilungen Zugriff auf eine
Queue haben und wer Tickets ansehen,
bearbeiten oder sogar löschen darf. Diese
Einstellungen lassen sich für User, Usergruppen
und Rollen festlegen.
Für jede Queue kann der Admin einzelne
Watcher konfigurieren, die automatisch
als CC-Benutzer Kopien der Korrespondenz
erhalten, ohne dass er sie für jedes
Ticket einzeln einrichten muss. So lässt
sich beispielsweise ein Teamleiter über
alle Vorgänge innerhalb seiner Abteilung
informieren. Auch die nachfolgend
beschriebenen Workflows und Custom-
Felder werden immer Queue-spezifisch
konfiguriert.
Sämtliche automatisierten Aktionen innerhalb
von Request Tracker werden über
eine eingebaute Skripting Engine gesteuert.
Die entsprechenden Regeln nennen
sich Scrips, ein Wortspiel zusammengesetzt
aus Script und Subscription [2].
Eine solche Regel besteht immer aus den
drei Teilen: Condition, Action und Template.
Zuerst gibt man als Condition an, bei
welchem Ereignis eine Aktion ablaufen
soll. Beispiele für solche Ereignisse sind
»On Create«, »On Resolve«, »On Owner
Change«, »On Priority Change«, »On Status
Change«, »On Comment« und viele
weitere.
Die zweite Einstellung »Action« gibt an,
welche Aktion bei Eintritt des Ereignisses
abläuft. Beispiele dafür sind E-Mail-
Benachrichtigungen wie »Autoreply to
Requestor«, »Notify Owner«, »Notify AdminCs
as Comment« oder verschiedene
Ticket-Aktionen wie »Open Ticket«, »Resolve
Ticket« oder »Create Ticket«.
Die dritte Einstellung »Template« legt
dann fest, welches Template beim Ausführen
der Aktion zur Verwendung
kommt. Das Template kann ein E-Mail-
Template, aber auch ein Template für
ein neues Ticket sein. Innerhalb dieser
Templates lassen sich alle Eigenschaften
der Tickets als Variablen verwenden. Request
Tracker ersetzt diese dann später
bei der Ausführung des Scrip durch die
echten Daten des jeweiligen Tickets, wie
in Listing 1 zu sehen ist.
Wie beschrieben sollte ein Anwender auf
eine E-Mail-Anfrage an den Helpdesk eine
automatische Antwort bekommen. Diese
Autoreply hat mehrere Funktionen. Zum
einen informiert sie den User, dass seine
Anfrage eingegangen ist, zum anderen
erhält er damit alle wichtigen Informationen
zum neu erstellten Ticket und gegebenenfalls
zu den weiteren Bearbeitungsschritten.
Dieses Verhalten lässt sich über
das folgende Scrip konfigurieren:
Condition: On Create
Action: Autoreply to Requestor
Template: Autoreply Template
Der Scrip-Mechanismus erlaubt es, den
Request Tracker und vor allem die darin
abgebildeten Prozesse sehr individuell zu
Listing 1: Beispiel für ein RT-Template
01 Subject: [{$rtname} #{$Ticket‐>id()}] Ticket
geschlossen!
02
03 Das folgende Ticket wurde von uns erledigt und
geschlossen:
04
05 Ticket: [{$rtname} #{$Ticket‐>id()}]
06 Queue: {$Ticket‐>QueueObj‐>Name}
07 Betreff: {$Ticket‐>Subject || "(No subject
given)"}
08 Owner: {$Ticket‐>OwnerObj‐>Name}
09 Requestor: {$Ticket‐>Requestors‐>EmailsAsString()}
10 Ticket URL: {$RT::WebURL}Ticket/Display.
html?id={$Ticket‐>id}
11
12 Bitte prüfen Sie denn Sachverhalt. Sollte alles zu
Ihrer Zufriedenheit funktionieren, ist keine weitere
Aktion notwendig. Sollte das Problem weiter bestehen,
antworten Sie uns bitte auf diese E‐Mail, das Ticket
wird dann automatisch wieder geöffnet. Vielen Dank.
www.ADmin-mAgA zin.DE
A D min
AuS gABE 01-2011
67

H ELPD ESK
RT
konfigurieren und zu automatisieren. So
lässt sich damit die komplette Korrespondenzlogik
feinjustieren, beispielsweise
was bei eingehenden E-Mails genau passiert,
wie die ausgehenden E-Mails aussehen
und welche Aktionen überhaupt
durch E-Mail getriggert werden. Außerdem
können Scrips auch das Verhalten
innerhalb von RT steuern. So kann beispielsweise
beim Schließen eines Tickets
in einer Queue automatisch ein Ticket
in einer anderen Queue erzeugt werden,
etwa um nach Abschluss eines Projekts
ein neues Ticket für die Qualitätssicherung
zu erstellen.
Neben den vordefinierten Events und Aktionen
lassen sich auch komplett benutzerdefinierte
erstellen. Damit ist es möglich,
auch sehr spezielle Anforderungen
mit Request Tracker abzubilden. Da Request
Tracker in Perl programmiert ist,
werden auch diese selbst definierten
Scrips in Perl-Syntax erstellt. Das Beispiel
in Listing 2 zeigt eine benutzerdefinierte
Action, die immer beim Erstellen neuer
Tickets abläuft. Das Scrip prüft dabei die
Absenderadresse auf das Pattern »@
kun de.de«. Kommt dieser Domainname
in der Adresse vor, wird eine zusätzliche
E-Mail-Adresse »helpdesk@kun de.de« als
Abbildung 4: Ansicht der Bearbeitungshistorie eines Tickets.
CC-Empfänger dem Ticket hinzugefügt.
So bekommt der Helpdesk des Kunden
immer eine Kopie aller E-Mails. Gerade
diese Funktionen erlauben es, viele manuelle
Aufgaben innerhalb des Ticketsystems
zu automatisieren.
Custom Fields
Eine weitere, sehr mächtige Funktion in
Request Tracker sind die so genannten
Custom Fields, die der Administrator
über einen eigenen Menüpunkt innerhalb
des Konfigurationsmenüs verwaltet.
Neben Tickets lassen sich Custom Fields
auch für Queues, Benutzergruppen, User
oder sogar Tickettransaktionen anlegen.
Request Tracker unterstützt unterschiedliche
Typen von Custom Fields, also
beispielsweise Dropdown-Auswahllisten
mit Einfach- und Mehrfachauswahl,
einfache Textfelder und komplexe mit
Wiki-Syntax, aber auch Uploadfelder für
Attachments. Dabei lassen sich die Felder
mit vordefinierten Auswahloptionen,
mit Gültigkeitsprüfungen oder zur völlig
freien Eingabe definieren.
Nach dem zentralen Anlegen eines neuen
Custom Field kann der Anwender es zu
einer oder mehreren Queues hinzufügen.
Das Feld existiert dann nur bei Tickets,
die sich auch in diesen Queues befinden.
Beispielsweise ist die Angabe eines Druckernamens
nur dann sinnvoll, wenn das
entsprechende Ticket sich auch in einer
Queue für Druckerprobleme befindet. Für
die einzelnen Custom Fields lassen sich
auch Benutzerrechte vergeben. Dadurch
legt der Administrator genau fest, welche
User beziehungsweise Gruppen einzelne
Custom Fields einsehen, abändern oder
sogar deren Ausprägungen administrieren
dürfen.
Durch diese Funktionen ist es möglich,
die Custom Fields ebenfalls im Rahmen
von Workflows einzusetzen. So kann beispielsweise
die Freigabe einer Release nur
durch einen Release Manager erfolgen.
Andere User können das entsprechende
Feld zwar sehen, haben aber keine Rechte,
sie zu verändern. Wenn der Release Manager
das Statusfeld ändert, wird über die
Workflow Engine automatisch ein entsprechender
Change freigegeben.
Reporting
Ein integriertes Reporting-System erstellt
verschiedene Auswertungen und stellt
sie sogar grafisch dar. Um beispielsweise
einen Monatsreport zu erhalten,
definiert der Anwender zuerst die passenden
Suchkriterien für die gewünschte
Auswertung, also etwa „alle bearbeiteten
Tickets in der Queue Request Fulfillment,
die innerhalb des letzten Monats erstellt
wurden“. Diese Suchkriterien lassen sich
auch abspeichern, sodass man sie im
nächsten Monat nicht wieder manuell
erstellen muss.
Anschließend kann der Anwender sich
das Ergebnis als Ticketliste anzeigen und
auswerten lassen, um beispielsweise zu
erfahren, welche User wie viele dieser
Tickets erstellt oder bearbeitet haben.
Selbst die Custom Fields lassen sich dabei
nutzen. Gibt es beispielsweise ein solches
Feld für Lizenzen, kann ein Report die
Gesamtzahl aller betroffenen Softwarelizenzen
ermitteln (Abbildung 5).
Wie beschrieben lässt sich Request Tracker
sehr gut auf die individuellen Bedürfnisse
der Organisation, aber auch
einzelner User oder Rollen anpassen. In
der Regel geschieht dies über die Konfiguration
von Queues, Workflows und Custom
Fields. Aber auch das Webinterface
68 AuS gABE 01-2011 A D min www.ADmin-mAgA zin.DE

RT
HELPDESK
Listing 2: Spezielle Adresse für alle Tickets
01 if ($self‐>TicketObj‐>RequestorAddresses =~ m/lc\@
kunde\.de/) {
02 $RT::Logger‐>error("Helpdesk Adresse hinzufuegen");
03 $self‐>TicketObj‐>AddWatcher(Type => 'Cc', Email =>
'helpdesk@kunde.de');
04 }
sowie verschiedene Pakete für Statistiken
und Reports oder zur Abbildung und Verwaltung
von Service Level Agreements.
Mit etwas Perl-Know-how können Administratoren
auch eigene Module schreiben.
Diese lassen sich sauber vom normalen
Programmcode trennen und auch
bei einem Update einfach weiterhin verwenden,
ohne den Quellcode jedes Mal
neu anpassen zu müssen.
Lohnt sich
Abbildung 5: Report der bei verschiedenen Tickets verwendeten Lizenzen.
ist in vielen Bereichen individuell anpassbar.
Beispielsweise können Anwender
zusätzlich zum Dashboard der Startseite
weitere, individuelle Dashboards für spezielle
Aufgaben erstellen.
So benötigt ein Mitarbeiter für seine Rolle
als Change Manager eine ganz andere
Sicht auf seine Tickets als ein normaler
Mitarbeiter im Helpdesk. In seinem
Change Management Dashboard kann
er alle Tickets aus anderen Bereichen
ausblenden. Zusätzlich erfolgt die Ansicht
und Strukturierung seiner Change-
Tickets nicht nach Queues, sondern nach
Prozessstatus. So gibt es einen Bereich
mit Changes, die noch genehmigt werden
müssen, einen Bereich mit Changes, die
auf Umsetzung warten und einen weiteren
Bereich mit Changes, die schon umgesetzt
wurden, aber noch abgenommen
werden müssen.
Neben diesen Konfigurationsmöglichkeiten
bietet Request Tracker noch viele
weitere Tools und Einstellungen, die den
Administratoren das Leben erleichtern.
Beispielsweise lassen sich Suchabfragen
oder ganze Queues als RSS-Feed veröffentlichen.
Kollegen können diese Feeds
abonnieren und sich so über wichtige
Änderungen informieren lassen, ohne
alle E-Mails zu diesen Tickets empfangen
zu müssen.
RSS-Feeds eignen sich darüber hinaus
dafür, Informationen aus dem Ticketsystem
in anderen Medien zu integrieren,
etwa einem Wiki oder in die Website.
Durch das I-Cal-Format lassen sich
Ticket informationen auch in Kalender
integrieren. Über so genannte Bulk-Operationen
können Anwender eine Vielzahl
von ähnlichen Tickets gleichzeitig bearbeiten,
um beispielsweise bei Krankheit
eines Admin alle seine hochpriorisierten
Tickets auf einen anderen Kollegen zu
übertragen. Selbst offline können Änderungen
vorgenommen werden, indem
man die Ticketdaten in einer Textdatei
abspeichert und sie später wieder in den
RT importiert. Zur besseren Bearbeitung
auf Handys und Smartphones existiert
sogar ein mobiles Interface
Über den normalen Funktionsumfang hinausgehende
Features lassen sich als RT
Extensions nachrüsten. Auf der langen
Liste im Wiki [3] finden sich beispielsweise
ein grafischer Workflow Builder
Request Tracker ist ein sehr gut umgesetztes
und leistungsfähiges Open-Source-Issue-Tracking-System,
das sich jeder Administrator
einmal näher ansehen sollte,
der ein solches System einsetzen möchte.
Die Software wird seit Jahren aktiv gepflegt
und weiterentwickelt und die Mailinglisten
bieten einen hervorragenden
Support. Aufgrund der vielen Features,
der offenen Architektur und der Möglichkeiten,
RT an individuelle Bedürfnisse
anzupassen, erfordert die Software zwar
etwas Zeit bei der Einarbeitung, belohnt
den Nutzer anschließend aber durch
seine fast unbegrenzten Einsatzmöglichkeiten.
(ofr)
n
Infos
[1] Request Tracker:
[http://www. bestpractical.com/rt/]
[2] Scrips: [http://requesttracker.wikia.com/
wiki/Scrip]
[3] RT Extensions:
[http://requesttracker.wikia.com/wiki/
Extensions]
Der Autor
Julian Hein ist Gründer und geschäftsführender
Gesellschafter der Netways GmbH, die sich auf
Open Source für Systems Management und Rechenzentren
spezialisiert hat. Netways veranstaltet
seit mehreren Jahren die Open Source
Monitoring (OSMC) und die Open Source Datacenter
Conference (OSDC) und arbeitet aktiv beim
Nagios-Fork Icinga mit.
www.ADmin-mAgA zin.DE
A D min
AuS gABE 01-2011
69

Asics
XP-modus von windows 7
Galyna Andrushko, 123RF
XP-Modus von Windows 7
Bewährtes erhalten
bei den meisten windows-Releases der letzten Jahrzehnte wurde den entwicklern vorgehalten, längst überfällige
innovationen dem gebot der Abwärtskompatibilität zu opfern. dank des auf Virtualisierung basierenden
XP-modus können nutzer von windows 7 trotzdem XP-Anwendungen ausführen. Thomas drilling
Dass das Abschneiden alter Zöpfe zwar
Mut erfordert, aber oft die beste Lösung
ist, um neue Technologien in ein gewachsenes
Produkt zu integrieren, hat
Microsofts Konkurrent Apple schon häufig
unter Beweis gestellt. Man erinnere
sich nur an die mutige Abkehr von den
Motorola- und PowerPC-Prozessoren,
den Austausch des Kernels gegen ein
BSD-System oder die Abkehr vom Bios
zugunsten der Firmware-Betriebssystem-
Schnittstelle EFI (Extensible Firmware
Interface). Auch wenn Nutzer älterer
Systeme dabei auf der Strecke bleiben,
gewinnt der Hersteller in der Regel mit
neuen Technologien überproportional
mehr zufriedene Kunden.
Windows 7 hat sich im ersten Jahr seiner
Existenz über alle Maßen bewährt und
lässt den glücklosen Vorgänger Vista im
Bewusstsein der Nutzer sicher schnell in
Vergessenheit geraten. Windows 7 hat
mit seiner Stabilität und Performance
auch Skeptiker überzeugt. Selbst Open-
Source-Anbeter und Linux-Nutzer attestieren
dem jüngsten Redmonder Desktop-Arbeitsgerät
einen hohen Reifegrad,
was auch darauf zurückzuführen
ist, dass Microsoft
nicht nur technologisch
alte Zöpfe abgeschnitten,
sondern auch die Entwicklungsstrukturen
und sein
Projektmanagement neu
ausgerichtet hat.
Lohn der Mühe ist ein zeitgemäßes,
schnelles und sicheres
Desktop-Betriebssystem,
unter dem allerdings
klassische XP- beziehungsweise
9x-Anwendungen
nicht mehr ohne Weiteres
funktionieren, denn die Software-Entwickler
müssen
jetzt explizit Windows-7-Code schrei ben.
Gründe für das Ausführen von Museums-
Software gibt es jedoch auch heute noch
genug: Wer hat nicht noch Programme
im Schrank, die unter Windows 7 nicht
Abbildung 1: Beim Einrichten der virtuellen XP-Maschine hilft dem
Administrator ein Assistent.
70 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

XP-modus von windows 7
bAsics
laufen? Auch Hardware-Schätzchen mit
Parallel- oder Seriell-Anschluss, für die es
keinen Windows-7-Treiber gibt, können
einen legitimem Grund zum Ausführen
von XP-Software liefern.
Virtual XP
Um XP-Code unter Windows 7 ausführen
zu können, ohne veraltete Bibliotheken
und Schnittstellen implementieren zu
müssen, setzen die Microsoft-Entwickler,
wen wundert’s, auf Virtualisierung. Windows
7 bietet dazu optional einen XP-
Modus, der auf Microsofts neuester Version
des Virtual PC basiert. Der Modus
stellt einen kompletten virtuellen Computer
mit Windows XP zur Verfügung,
mit dem sich beliebige XP-Anwendungen
ausführen lassen.
Der XP-Modus auf Basis von Virtual PC
integriert sich nahtlos in die Host-Umgebung
und ist zudem kostenlos (Abbildung
2). So lassen sich XP-Anwendungen
nicht nur auf dem virtuellem XP-
Desktop ausführen und nutzen, der Start
des jeweiligen Programms ist auch über
Programmverknüpfungen im Windows-
7-Startmenü möglich. XP-Anwendungen
laufen wahlweise auch isoliert in einem
Fenster auf dem Windows-7-Desktop, sodass
der Anwender keinen Unterschied
zwischen virtuellen und nativen Anwendungen
bemerkt.
Integration
Selbstverständlich kann der Nutzer aus
XP-Anwendungen Daten im Host-Dateisystem
sehen und speichern, die dann
auch im Rahmen einer etwaigen Datensicherung
berücksichtigt werden. Zudem
ist es möglich, USB-Festplatten, Sticks
oder andere externe Geräte des Hostsystems
mit dem USB-Menü in der virtuellen
Maschine verfügbar zu machen (USB-
Passthrough). Der Nutzer arbeitet wahlweise
mit der isolierten XP-Anwendung
oder dem vollständigen XP-Desktop. Beides
gleichzeitig geht nicht.
Die Installation von XP-Programmen erfolgt
über die zugehörige Setup-Routine
auf dem virtuellen XP-Desktop. Dabei
sorgt der Nutzer mit Hilfe der Funktion
»Integrationsfeature« dafür, dass
XP-Applikationen auch im Windows-7-
Startmenü auftauchen, von wo aus sie
Abbildung 2: Das Integrationsfeature sorgt unter anderem dafür, dass die Laufwerke und Ordner des
Hostsystems auch im Gastkontext verfügbar sind.
sich wahlweise auch im Fenster-Modus
nutzen lassen. Im Übrigen handelt es sich
bei der XP-Version des XP-Modus konkret
um die Release »XP Professional SP3«.
Damit ist es allerdings nicht möglich, die
virtuelle XP-Maschine in eine bestehende
Domäne aufzunehmen.
XP-Mode installieren
Der XP-Modus ist – auch wenn die angegebene
Website zunächst etwas anderes
suggeriert – ausschließlich für
die Windows-7-Versionen Professional,
Enterprise und Ultimate in 32 oder 64
Bit verfügbar und setzt wie beschrieben
auf Microsofts Virtual PC in der jüngsten
Version auf. Zwar zeigt die Website bei
Schritt 2 alle auf dem Markt befindlichen
Windows-Versionen an, die Sprachauswahl
ist aber nur für die genannten Versionen
möglich.
Das Hostsystem sollte zum Installieren
von Virtual PC über mindestens 2 GByte
(32-Bit-System) oder 4 GByte (64-Bit-System)
Arbeitsspeicher verfügen und wenigstens
20 GByte freien Festplattenplatz
übrig haben. Die Obergrenze hängt von
den zu installierenden XP-Anwendungen
ab. Der resultierende virtuelle Windows-
XP-PC ist allerdings in jedem Fall eine
32-Bit-Maschine. Microsoft Virtual PC
ist per Default nicht in den genannten
Windows-Versionen enthalten und muss
daher vom Nutzer zunächst von der Virtual-PC-Website
unter [1] heruntergeladen
und installiert werden.
Außerdem muss das Hostsystem die CPU-
Hardwarevirtualisierung von Intel oder
AMD unterstützen, die gegebenenfalls
zuvor im Bios zu aktivieren ist. Ob die
eigene CPU VT-Unterstützung bietet, lässt
sich unter anderem mit Microsofts HAV
Detection Tool von [2] erkunden. Sind alle
Voraussetzungen erfüllt, kann der Nutzer
von [1] Virtual PC in Form des Windows-
Update »Windows6.1-KB958559-x64.
msu« als MSU-Datei herunterladen und
installieren und danach den eigentlichen
XP-Mode als gewöhnliche Exe-Datei
»WindowsXPMode_de-de.exe«.
Letztere ist knapp 470 MByte groß, weil
sie im Prinzip ein vollständiges XP-Image
enthält; das Installieren kann also eine
Weile dauern. Möglicherweise muss
der Admin im Zuge des Vorgangs auch
»Windows Activation.exe« installieren,
sofern noch nicht geschehen, damit Windows
eine Gültigkeitsprüfung durchführen
kann.
Leider funktioniert der XP-Mode nur mit
Windows-7-Versionen von Professional
aufwärts. Zwar lässt sich Virtual PC in
Windows 7 Home Edition installieren,
aber nicht aktivieren. Windows-7-Home-
Nutzer müssen also auf den XP-Mode
verzichten.
Abbildung 3: Dank USB-Passthrough stehen auch
am Hostsystem zur Laufzeit angeschlossene USB-
Laufwerke im XP-Kontext zur Verfügung.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
71

Asics
XP-modus von windows 7
Nach dem Installieren von Microsoft Virtual
PC stehen im Windows-7-Startmenü
»Windows Virtual PC« die beiden Einträge
»Windows Virtual PC« und »Windows
XP Mode« zur Verfügung. Während
ersterer zum Einrichten beliebiger virtueller
Windows-PCs dient, öffnet ein Klick
auf den zweiten den Setup-Assistenten
zum Einrichten des XP-Mode. Nach dem
Installieren des XP-Mode-Image startet
der XP-Mode-Installations-Assistent und
fragt nach dem Bestätigen der Lizenzbedingungen
zunächst nach einem Benutzernamen
nebst Passwort für den virtuellen
XP-PC (Abbildung 1).
Ist das erledigt, startet der XP-Modus
nach wenigen Minuten im Vollbildmodus
mit automatischer Benutzeranmeldung,
was sich in den Einstellungen des
XP-Modus später auch ändern lässt. Wer
statt der virtuellen Festplatten-Imagedatei
des XP-Modus eine eigene Festplattendatei
erstellen und nutzen möchte, muss
über eine gültige XP-Lizenz verfügen. Die
Installation ist damit erledigt.
Abbildung 4: Das Integrationsfeature und andere den XP-Mode betreffende Einstellungen lassen sich nur
ändern, wenn der XP-Mode heruntergefahren ist.
Fehlt dagegen die CPU-seitige VT-Unterstützung,
kann der Nutzer von [1]
optional auch das Windows-Update
»Windows6.1-KB977206_x64.msu« herunterladen
und installieren, das die von
VT abhängigen Komponenten aus einem
bereits installierten Windows Virtual
PC entfernt. Das klappt aber nur, wenn
Virtual PC und XP-Mode erfolgreich installiert
wurden. In Sachen Performance
läuft der XP-Mode dann allerdings nur
als gewöhnliche Emulation.
Strukturelles
Wie erwähnt lässt sich das virtuelle Windows
XP in zwei unterschiedlichen Modi
nutzen, nämlich als kompletter virtueller
Windows-XP-PC, der vollständig in einem
Windows-7-Fenster läuft, oder als
virtuelle Windows-XP-Anwendung, bei
der das XP-Fundament im Hintergrund
Troubleshooting
Hin und wieder kann es beim Inbetriebnehmen
des XP-Modus zu Problemen kommen. So
ließ sich beispielsweise auf einem Media-PC
mit Atom-Prozessor das Update von Windows
Virtual PC zum Deaktivieren der VT-Unterstützung
nicht installieren. Das lag daran, dass
Windows 7 Virtual PC als Windows-Update
installierte und es anschließend im Dialog
»Windows-Funktionen« verfügbar machte, es
aber nicht als aktiv markierte. Demzufolge
war die Windows-Funktion »Windows Virtual
PC« deaktiviert und Updates zum Installieren
des XP-Mode oder zum Deaktivieren der VT-
Unterstützung schlugen fehl.
Abhilfe schaffte schlicht und einfach das Aktiveren
der Windows-Funktion »Windows Virtual
PC« durch den korrespondierenden Eintrag
im Dialogfeld »Windows-Funktionen«, das sich
am einfachsten durch das Eingeben von »Features«
im Suchfeld des Startmenüs aktivieren
lässt (Abbildung 5).
Abbildung 5: Der Virtual PC ist ein Windows-7-Feature, das nicht nur heruntergeladen und installiert, sondern
im Dialog »Windows-Funktionen aktivieren« auch explizit markiert sein muss.
72 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

XP-modus von windows 7
bAsics
bleibt und lediglich das Fenster der Anwendung
auf dem Windows-7-Desktop
agiert. Die beiden Modi lassen sich nicht
gleichzeitig nutzen.
Die Steuerung ist einfach und intuitiv.
Klickt der Nutzer mit der Maus in das virtuelle
Windows XP, lässt sich die Tastatur
wie gewohnt benutzen und der Anwender
arbeitet genauso wie unter Windows
7, die Maus wird also nicht gefangen.
Wer möchte, kann in der virtuellen XP-
Maschine den Vollbildmodus von Windows
XP nutzen, sodass von Windows 7
nichts mehr zu sehen ist.
Selbstverständlich ist es auch möglich,
unter Virtual PC weitere Betriebssysteme,
etwa Vista oder Windows 7, zu installieren,
deren Containerdateien entweder
im Host-Kontext unter » Anwendungen
| Computer | $Laufwerk | $Benutzer |
$Benutzername | Virtuelle Computer«
im Explorer erreichbar sind oder durch
Anklicken der zugehörigen Verknüpfung
»Virtual PC« im Startmenü.
Das Durchhangeln mit dem Explorer offenbart
anschaulich, wie Microsoft Virtual
PC in die Windows-7-Oberfläche integriert
ist, indem nämlich der Explorer
um einige wenige Einträge zum Erstellen
und Verwalten von virtuellen Maschinen
ergänzt wurde, die ihrerseits so genannte
VHD-Container sind.
Computer auf Knopfdruck
Mit »Virtuellen Computer erstellen« lassen
sich an dieser Stelle weitere virtuelle
PCs mit beliebigen Windows-Betriebssystemen
erstellen, die dann jeweils die
passende OS-Lizenz nebst Installationsmedium
erfordern.
Der beschriebene Pfad zu den VHD-
Containerdateien ist übrigens auch im
Gast-Kontext verfügbar, sofern der Admin
beim Einrichten des XP-Modus die gemeinsame
Nutzung von Ordnern und
Dateien konfiguriert hat. Das Laufwerk
»C:« des Host-Kontextes taucht dann im
Explorer des Gast-Systems unter »C auf
$Hostname« auf.
Die virtuellen XP-Anwendungen selbst
lassen sich nur aus dem virtuellen Computer
heraus installieren, nicht etwa aus
dem Windows-7-Kontext heraus. Daher
empfiehlt es sich, die gewünschten
XP-Anwendungen auch direkt aus dem
Kontext des virtuellen Computers herunterzuladen.
Verfügt das Hostsystem über
eine Internetverbindung, steht diese auch
im virtuellen Kontext zur Verfügung. Für
die nahtlose Integration der XP-Tools
in das Windows-7-Startmenü muss der
Admin das jeweilige Programm für alle
Benutzer installieren, wenn der zugehörige
Installer diese Option bietet.
XP-Programme verhalten sich im Fenster-
Modus exakt so, als handele es sich um
gewöhnliche Windows-7-Anwendungen.
Dabei können XP-Programme in Windows-7-Fenstern
problemlos Daten auf
den Laufwerken des Hostsystems speichern.
USB-Laufwerke und andere ex-
ADMIN
Netzwerk & Security
www.admin-magazin.de
ADMIN-Magazin – für alle IT-Administratoren
Bei uns wird SICHERHEIT groß geschrieben
HOME DAS HEFT MEDIADATEN KONTAKT NEWSLETTER ABO
Linux I Windows I Security I Monitoring I Storage I Datenbanken I Mailserver I Virtualisierung
SECURITY
Server-Systeme richtig abzusichern
gehört zu den Hauptaufgaben jedes
Administrators. Sei es durch Firewalls,
Intrusion-Detection-Systeme oder Mandatory
Access Control mit SELinux.
Besonderes Augenmerk richtet ADMIN
auf die Absicherung von Webservern,
die heute mit SQL-Injection, Cross Site
Scripting und Request Forgery bis zu
90% der Sicherheitslücken ausmachen.
Suchen
Diese Website durchsuchen:
Security
➔ über 100 Ergebnisse!
Themen
Suchen
Windows Verschlüsselung Datenbank
IDS Dateisysteme Linux Monitoring
Storage Webserver Virtualisierung
Nobilior, Fotolia

Asics
XP-modus von windows 7
terne USB-Geräte lassen sich vom Hostsystem
durchreichen, wozu im virtuellen
Computer das Menü »USB« zur Verfügung
steht (Abbildung 3).
Weitere Konfiguration
Je nach Leistungsfähigkeit des Hostsystems
kann es erforderlich sein, den virtuellen
XP-Computer in seinem Ressourcenanspruch
etwas zu beschneiden, was am
einfachsten geht, indem man der Oberfläche
einige der überflüssigen Effekte abgewöhnt.
Wer sich hierbei nicht in Details
verstricken möchte, klickt einfach in der
Systemsteuerung des virtuellen XP-PC
auf » System | Erweitert | Systemleistung
| Einstellungen« und entscheidet sich für
»für optimale Leistung anpassen«, womit
die meisten Oberflächeneffekte auf einen
Schlag verschwinden.
Ansonsten kann und sollte jeder seinen
virtuellen XP-Computer so konfigurieren,
wie er es gewohnt ist. Es gibt allerdings
auch eine Reihe von Einstellungen, die
den XP-Mode an sich betreffen. Diese
lassen sich nicht im laufenden Betrieb
ändern, auch nicht, wenn der Nutzer den
virtuellen PC vermeintlich herunterfährt,
indem er das XP-Mode-Fenster schließt,
denn dann wechselt die virtuelle Ma-
Kompatibilitätsmodus
Ist der Windows-XP-Modus installiert, lassen
sich viele Probleme im Zusammenhang mit
störrischen Windows-7-Anwendungen durch
Einschalten des XP-Kompatibilitätsmodus
lösen. Windows 7 ist im Gegensatz zu allen
Vorgängerversionen ein wirklich neues Betriebssystem
mit einer Reihe von Konsequenzen
für ältere Anwendungen. Funktioniert
ein altbewährtes Programm unter Windows 7
nicht mehr, liegt das in der Regel an mangelnder
Kompatibilität beim Aufruf von Betriebssystemfunktionen.
Windows 7 bietet für einen solchen Fall die
Möglichkeit, die gewünschte Anwendung mit
Hilfe des Kontextmenü-Eintrags »Eigenschaften«
im Register-Reiter »Kompatibilität« im
»Windows XP Modus« zu starten. Hier ist das
Optionskästchen »Programm im Kompatibilitätsmodus
ausführen für:« zu aktivieren.
Windows 7 verhält sich dann bei dieser Anwendung
exakt so wie Windows XP – mit allen Einschränkungen,
die Letzteres mit sich bringt,
denn der XP-Modus übergeht beispielsweise
eine ganze Reihe von Sicherheitseinstellungen
(Abbildung 6).
schine automatisch in den Ruhezustand
und schreibt den Inhalt des Arbeitsspeichers
auf die Festplatte, sodass der virtuelle
PC nach dem nächsten Start exakt an
der gleichen Stelle weitermacht.
Das vollständige Herunterfahren der virtuelle
Maschine klappt am schnellsten
durch Eingeben von »shutdown -s« in der
Kommandozeile, die auch mit [Alt]+[F4]
erreichbar ist. Das Abmelden über das
Windows-XP-Startmenü führt zunächst
nur zum XP-Anmeldebildschirm, von
wo aus nach einem Klick auf »Optionen«
auch die Schaltfläche »Herunterfahren«
sichtbar wird.
Nach dem Herunterfahren lässt sich
durch einen Klick auf »Einstellungen« im
Explorer-Menü des VHD-Verzeichnisses
» Anwendungen | Computer | $Laufwerk
| $Benutzer | $Benutzername | Virtuelle
Computer« das Dialogfeld »Windows XP
Mode – Windows Virtual PC-Einstellungen«
endlich so starten, dass sich Einstellungen
darin auch verändern lassen
(Abbildung 4).
Hier lässt sich unter anderem die Funktion
»Integrationsfeatures« aktivieren,
falls noch nicht geschehen. Auch die
Default-Einstellung, dass der XP-Mode
bei Schließen automatisch in den Ruhezustand
wechselt, kann der Anwender
hier den eigenen Vorlieben anpassen.
Fazit
Der XP-Modus von Windows 7 ist bisweilen
nützlich, erfordert aber einiges
an Vorarbeit sowie die passende Windows-Version.
Außerdem ist die Funktionsweise
für Nur-Anwender, der primäre
Zielgruppe also, nicht auf den ersten
Blick zu durchschauen, denn im Prinzip
ist der XP-Modus nichts anderes als die
neueste Version von Microsoft Virtual PC
7 in Kombination mit einem kostenlosen
Image von Windows XP Pro SP3.
Wirklich neu und einigermaßen pfiffig ist
dabei vor allem das so genannte Integrationsfeature,
das in der virtuellen Maschine
installierte Anwendungen automatisiert
im Startmenü des Hostsystems (Windows
7) verfügbar macht, von wo aus sie sich
problemlos auf dem Windows-7-Desktop
starten lassen. Zudem sorgt das Feature
dafür, dass Laufwerke, Dateien und Ordner
des Hostsystems auch in der virtuellen
Maschine zur Verfügung stehen. Von
Abbildung 6: Mit dem Kompatibilitätsmodus laufen
störrische Programme unter Windows 7 im XP-
Modus mit eingeschränkten Rechten, dafür aber
möglicherweise fehlerfrei.
der eigentlich in Hintergrund werkelnden
virtuellen Maschine bemerkt der Anwender
so gut wie nichts.
Der Modus ist vergleichbar mit dem
„nahtlosen Modus“ bei Virtualbox oder
dem „Coherence-Modus“ bei Parallels.
Die Performance ist hervorragend, wenn
die CPU des Hostsystems über einen
VT-Erweiterungsbefehlssatz verfügt.
Der XP-Modus funktioniert mit Hilfe eines
Updates allerdings auch ohne VT-
Erweiterung, dann aber mit deutlichen
Geschwindigkeitseinbußen.
Microsofts Entscheidung, sich bei Windows
7 von alten Kompatibilitätszwängen
zu befreien, hat sich bewährt. Windows
7 hat sich im ersten Jahr seiner Existenz
einen exzellenten Ruf erworben, etwaige
Anforderungen an die Kompatibilität
können moderne Virtualisierungstechnologien
wie Virtual PC heute zufriedenstellend
abdecken. Die Handhabung samt
vorherigem Herunterladen der Virtual-
PC-Updates sollte für Anwender aber
deutlich transparenter werden. (ofr) n
Infos
[1] Microsofts Virtual PC und XP-Mode:
[http://www. microsoft.com/windows/
virtual-pc/ download.aspx]
[2] HAV Detection Tool:
[http://www. microsoft.com/downloads/
details.aspx? displaylang=en&FamilyID=
0ee2a17f-8538-4619-8d1c-05d27e11adb2]
74 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

ADMIN-MAGAZIN
IM JAHRES-ABO
Jede Ausgabe des Admin-Magazins bietet praktisch anwendbares Wissen
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle
Systemverwalter von Linux, Unix und Windows. Die Schwerpunkte reichen von
Storage und Backup bis hin zu Netzwerk-Themen und Security.
Ein Sonderteil hilft Admins heterogener Welten.
Ab jetzt alle
zwei Monate
SICHERN SIE SICH IHREN
GRATIS CRYPTO-KEY!
15 % sparen
Jetz bestellen unter:
www.admin-magazin.de/abo
• Telefon 089 / 2095 9127 • Fax 089 / 2002 8115 • E-Mail: abo@admin-magazin.de
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-Magazins zum Vorzugspreis
von 49,90 * statt 58,80 * (Lieferung frei Haus).
* Preise gelten für Deutschland. Schweiz: SFr 99,90; Österreich: 54,90; anderes Europa: 59,90
ABOVORTEILE
• Preisvorteil gegenüber Kioskkauf
• kostenlose & sichere Zustellung
• Zustellung vor dem offiziellen
Verkaufstermin

AsiCs
debian-Pakete
Eigene Skripte in Debian-Pakete packen
Eingepackt
damit server automatisch funktionieren und als
Knoten in der Cloud skalieren, bedarf es vieler
skripte, die gründlich getestet werden wollen.
wer lokal testet, kann eigene skripte mit debian-
Paketen auf den Cloud-Knoten installieren. dan Frost
bekas007, 123Rf
Wer jetzt schon auf dem Cloud-Computing-Zug
mitfährt, darf sich freuen:
Die Cloud skaliert, die Dienste sind
redundant ausgelegt, man ist also für
den großen Besucheransturm und gegen
Ausfälle gleichermaßen gewappnet. Nur
haben sich mittlerweile um die 20 Skripte
für eine ganze Reihe unterschiedlicher
Aufgaben angesammelt, zum Beispiel
eins fürs Booten, eins für den Fall, dass
sich die IP-Adresse ändert, und so weiter.
Und kürzer und besser zu warten werden
die Skripte im Lauf der Zeit garantiert
auch nicht. Natürlich können Sie sie in
einem Versionskontrollsystem verwalten
(das hoffentlich Git ist, aber Hauptsache
ein VCS), aber wie installiert man sie
zuverlässig und reproduzierbar auf dem
Zielsystem?
Hier kommen die guten alten Debian-
Paket zu Hilfe. Die lassen sich auf allen
Debian-basierten Distributionen wie beispielsweise
auch Ubuntu verwenden. Sie
sind einfach zu erzeugen und bieten den
optimalen Weg, die eigenen Skripte zu
paketieren und zu verteilen. Dieser Artikel
zeigt im Detail, wie Sie das machen.
Außerdem erfahren Sie, wie Sie damit
zuverlässig Änderungen auf das Live-
System Ihrer Cloud übertragen.
Debian-Pakete lassen sich sehr einfach
installieren. Wer schon einmal Debian
oder Ubuntu verwendet hat, kennt normalerweise
den Ablauf, ein neues Paket
zu installieren:
apt‐get install Paketname
In einem Debian-Paket stecken die Binärdateien,
Skripte und andere Dateien, die
zu einem Programm gehören, einschließlich
einer Handvoll Kontrolldateien, die
den Kommandozeilentools mitteilen, wie
sie das Paket installieren sollen. Die interessantesten
Bestandteile eines Debian-
Pakets sind die Kontrolldateien, die in
einem Verzeichnis namens »DEBIAN«
stecken. Die Kontrolldateien teilen dem
Paketmanager mit, welche Dateien das
Paket enthält, wie es heißt, welche Versionsnummer
es hat und so weiter.
Paketbau
Um diesen Prozess zu illustrieren, soll im
Folgenden ein einfaches Debian-Beispielpaket
entstehen. Es enthält eine einfache
Webseite, die der Webserver anzeigt, solange
noch keine richtige Anwendung installiert
ist. Wenn Sie zum Beispiel zehn
neue Instanzen eines Cloud-Node starten,
weil Sie in sechs Millionen Tweets
erwähnt werden, sollte erst mal eine statische
Seite erscheinen, bevor es richtig
losgeht.
Legen Sie zum Start ein Verzeichnis »myserver«
an und darin weitere Verzeichnisse
und die HTML-Datei:
./DEBIAN/
./var/www/index.html
In die Datei »DEBIAN/control« kommt
dann der Code aus Listing 1. Die HTML-
Datei »index.html« sieht etwa so aus wie
Listing 2.
Gleiche Pfade
Der Pfad der HTML-Seite ist identisch
mit dem Speicherort auf dem Server – in
Standard-Debian-Installationen legt der
Apache-Webserver seine Dateien unterhalb
von »/var/www« ab. Wenn Sie also
eine Datei irgendwo auf dem Dateisystem
des Servers installieren wollen, bauen Sie
den Pfad im Paketbauverzeichnis nach.
Aus der Verzeichnisstruktur erstellen Sie
mit dem folgenden Befehl ein Paket:
dpkg‐deb ‐‐build myserver
dpkg‐deb: building package `myserver' U
in `myserver.deb'
Klappt alles, finden Sie im Verzeichnis
eine Datei namens »myserver.deb«. Bevor
Sie das Paket installieren, können Sie sich
den Inhalt anzeigen lassen:
76 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Tel. 0 64 32 / 91 39-751
Fax 0 64 32 / 91 39-711
vertrieb@ico.de
www.ico.de/linuxAdmin
SEIT 1982
Innovative Computer • Zuckmayerstr. 15 • 65582 Diez
GmbH
Art.Nr. BTO-246526-24
BALIOS 191 1HE GREEN SERVER
Ultraeffizienter 1HE Server mit Intel ® Xenon Prozessor.
• Intel ® Xeon ® L3110 S775 3,0GHz 45W
• 2 x 2 GB DDR3 Arbeitsspeicher
2x WD 1 TB RE3 24x7 Festplatten
• 250W Green Netzteil
• Maße (BxHxT): 426 x 44 x 482 mm
www.ico.de/linuxAdmin
inkl. Mwst
exkl. Mwst
867, 51 729,-
Abbildung 1: Beim Scalr-Service kann der Anwender für Events wie »OnHostUp« eigene Skripte anlegen.
Art.Nr. BTO-246528-24
BALIOS 252 2HE STORAGE SERVER
Speichern Sie den Befehl in der Datei
»on-ip-address-changed.sh« und paketiedpkg‐deb
‐‐contents myserver.deb
Die Installation läuft, mit Administrator-
Rechten ausgestattet, ebenso einfach ab:
dpkg‐deb ‐i myproject.deb
Nun müsste sich die Datei »index.html«
im Webserver-Root befinden.
In die Cloud
Der nächste Schritt besteht darin, ein
Grundgerüst von Skripten für einen
Cloud-Provisioning-Server wie Scalr
oder Rightscale zu schreiben. Die entsprechenden
Skripte des Autors für diesen
Anwendungsfall sind alle Teil eines
einzigen Debian-Pakets.
Eine einzelne HTML-Datei ist für Cloud-
Anwendungen wenig sinnvoll, deshalb
gibt es nun ein etwas nützlicheres Beispiel.
Die Konfiguration des Webservers
lässt sich ebenso leicht über ein Debian-
Paket verwalten, das beispielsweise die
Datei »/etc/apache/conf.d/our-config.
conf« enthält. Wenn der Webserver bereits
so konfiguriert ist, dass er die Dateien
im Verzeichnis »conf.d« liest, ist
damit die Konfiguration auch gleich abgeschlossen.
Cloud-Hosting wird kompliziert, wenn
die Serverkonfiguration exotisch wird.
Sie sollten sich daher möglichst nah an
Standard-Konfigurationen bewegen, um
unnötige Komplexität zu vermeiden.
Ein weiteres nützliches Skript für Cloud-
Server führt bestimmte Tasks zu verschiedenen
Zeitpunkten im Lebenszyklus
einer Instanz aus. Zum Beispiel gibt
es bei einem Service wie Scalr solche
www.A dmin-mAgA zin.de
Events wie »OnHostup«, »OnHostInit«
und »OnIPAddressChanged«. Die Skripte,
die solche Events verarbeiten, können Sie
wiederum in Debian-Pakete packen:
./usr/local/myserver/bin/on‐host‐up.sh
./usr/local/myserver/bin/on‐ip‐address‐U
changed.sh
Das erste Skript soll, wenn die Netzwerkverbindung
steht, eine HTML- oder
PHP-Datei etwa von Amazon S3 herunterladen
und sie im Document-Root des
Webservers ablegen (Listing 3).
Packen Sie dann das Projekt wieder in
ein Deb-File und legen es auf einem öffentlich
zugänglichen Server ab, von dem
Sie es herunterladen können. Beim Scalr-
Service loggen Sie sich dann auf dem
Webinterface ein und legen ein neues
Skript an (Abbildung 1).
Speichern Sie das Skript unter dem Namen
des Events, bei dem es ablaufen
soll, und wechseln dann zur Farm-Konfiguration.
Dort können Sie die erstellten
Skripte in einem GUI verwalten und aktivieren
(Abbildung 2).
Dynamisches DNS
Ein weiteres Skript, das jedes Mal abläuft,
wenn sich die IP-Adresse eines
Knotens ändert, kann zum Beispiel den
dynamischen DNS-Eintrag ändern, beispielsweise
so:
curl 'http://www.dnsmadeeasy.com/servlet/U
updateip?username=myuser&password=mypasswordU
&id=99999999&ip=123.231.123.231'
Alle Preise in Euro
Kompakte Intel ® Xeon ® L3426 Storage Lösung mit
skalierbarer Kapazität.
• Intel ® Xeon ® L3426 S1156 1,86GHz, 45W
• 8GB (2x4GB) DDR3 Arbeitsspeicher
• 8 x WD 1 TB RE3 24x7 Festplatten
• Adaptec 5805 RAID-Controller inkl. BBU
• 2x 500W red. Green Netzteil 2U+ 3U, EPS
www.ico.de/linuxAdmin
inkl. Mwst
exkl. Mwst
2914, 31 2449,-
Art.Nr. BTO-246530-24
XANTHOS 357 3HE STORAGE SERVER
Skalierbare 3HE Storage-Lösung mit neuestem
Intel ® Xeon ® Quad-Core Prozessor.
• 2x Intel ® Xeon ® L5630 2,13GHz 5,86GT
12MB Quad-Core 40W TXT
• 24GB (12x2GB) DDR3-1333 Arbeitsspeicher
• 16 x WD 1TB RE3 24x7 Festplatten
• Adaptec 51645 RAID-Controller inkl. BBU
• 760W+380W red. Netzteil 3U
www.ico.de/linuxAdmin
inkl. Mwst
exkl. Mwst
6186, 81 5199,-
ONLINE
FREI
KONFIGURIEREN
Celeron, Celeron Inside, Centrino, Centrino Logo, Core Inside, Intel, Intel Logo, Intel
Core, Intel Inside, Intel Inside Logo, Intel SpeedStep, Intel Viiv, Itanium, Itanium Inside,
Pentium, Pentium Inside, Xeon und Xeon Inside sind Marken der Intel Corporation oder
ihrer Tochtergesellschaften in den USA oder anderen Ländern.
wir liefern auch
nach Österreich /
Schweiz • Tel. Ö:
(0) 1 994 9139

AsiCs
debian-Pakete
Listing 1: Kontrolldatei
01 Package: myserver
02 Version: 0.0.1
03 Section: server
04 Priority: optional
05 Architecture: all
06 Essential: no
07 Installed‐Size: 1024
08 Maintainer: Dan Frost [dan@3ev.com]
09 Description: Statische Seite für den Webserver
Listing 2: »index.html«
01
02
03 We're getting there...
04
05
06 Give us a moment.
07 We're just getting some more machines
plugged in ...
08
09
Listing 3: »on-host-up.sh«
01 cd /var/www/
02 wget ‐O tmp.tgz http://mybucket.s3.amazonaws.com/
website.tgz
03 tar xzf tmp.tgz
04 service apache2 restart
ren das Skript in der Deb-Datei, die Sie
danach wieder an den alten Ort laden,
von wo ein Cloud-Knoten sie über Wget
herunterlädt.
Produktionsreif
Das mag bisher etwas umständlich anmuten.
So viel Aufwand, nur um ein
kleines Skript auf eine Cloud-Instanz zu
installieren. Wer eine große Serverfarm
betreibt und die Skripte auf dem Laufenden
halten will, sieht das aber anders.
Einige Cloud-Services lassen den Anwender
Skripte über ein Webinterface
editieren, was bis zu einem bestimmten
Punkt auch ausreicht. Aber irgendwann
wird sich jeder doch einen richtigen Editor
wünschen. Ein eigenes Debian-Paket
macht es Ihnen auch leicht, ein Skript auf
dem lokalen Rechner zu editieren und zu
testen, bevor Sie die endgültige Version
per Paket auf dem Produktsionssystem
installieren.
Nach der Installation ist vor
der Installation
Man könnte sich fragen, was der Sinn des
ganzen Aufwands ist, lassen sich nicht
genauso gut Tar-Pakete für den gleichen
Zweck verwenden? Die Antwort darauf
ist, dass die Debian-Pakete noch zwei
weitere Hooks bieten: »post-install« und
»pre-uninstall«. Wenn der Paketmanager
die Dateien eines Pakets kopiert hat, führt
er das Post-Installskript »DEBIAN/postinst«
aus. Beim De-Installieren entfernt
der Paketmanager erst die Dateien, bevor
er »DEBIAN/prerm« ausführt. Über diese
Skripte können Sie zum Beispiel Software
installieren, Dienste starten oder auch
einem Monitoringsystem neue Anweisungen
geben.
Editieren Sie beispielsweise »DEBIAN/
postinst« und tragen eine Zeile wie die
folgende ein:
curl http://my‐monitor.example.com/event=U
installed‐apache&server=$SERVER_NAME
Die Details hängen zwar von dem verwendeten
Monitoringsystem ab, aber so
in dieser Art können Sie es über die Installation
des Pakets informieren.
Eine typische Aufgabe für ein Post-Installskript
ist es, einen symbolischen Link
anzulegen, damit die eigenen Skripte
auch im Standard-Ausführungspfad erscheinen,
zum Beispiel so:
ln ‐s /usr/local/myserver/bin/ U
on‐host‐up.sh/usr/bin/on‐host‐up.sh
Alle Aktionen, die Sie brauchen, um einen
notwendigen Dienst zu starten, sollten
Sie in das Post-Installskript packen,
zum Beispiel:
service apache2 start
service my‐monitor start
In dieser Stufe des Ablaufs sollten Sie
keine eigenen Dateien installieren oder
herunterladen.
Migration
Zum Abschluss noch ein Beispiel aus der
echten Welt: Angenommen Sie wollen
als Webproxy von Apache auf HAProxy
umschalten und dem Webserver noch
ein bisschen Extra-Code unterschieben,
damit er besser skaliert. Statt HAProxy
direkt auf der Webserver-Instanz einzurichten,
schreiben Sie ein Skript, das HA-
Proxy auf dem lokalen Rechner installiert
und konfiguriert. Wenn das funktioniert,
packen Sie die Skripte in ein Debian-
Paket und installieren es zum Test auf
einigen Cloud-Knoten.
Wenn die Skripte auch dort alle funktionieren,
packen Sie das neue Paket auf
den Server, in denen Ihre Debian-Pakete
gespeichert sind, oder in den S3-Storage.
Beenden Sie dann die HAProxy-Instanz
und warten darauf, dass eine neue startet
und das neue Paket herunterlädt und
installiert.
Extra-Code laden Sie am besten über
Subversion, Git oder Wget herunter.
Wenn Sie zum Beispiel ein PDF-Archiv
haben, das sich nie ändert, oder eine
Archiv-Datenbank, können Sie alles auf
eine Instanz herunterladen, die dann von
den anderen unabhängig funktioniert.
Portioniert
Abbildung 2: In der Farm-Konfiguration des Scalr-Service lassen sich die Skripte für die einzelnen Phasen
aktivieren und konfigurieren.
Alles, was sich auf der Kommandozeile
mit Skripten machen lässt, können Sie
in ein Debian-Paket packen, statt die Dateien
von Hand zu verteilen. Damit stehen
die gründlich getesteten Skripte allen
Serverknoten zur Verfügung, von denen
sie sich auch genauso einfach wieder
entfernen lassen. (ofr)
n
78 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

7,90€
100 Seiten Linux
+ DVD
Jetzt am Kiosk!
Ja, ich bestelle LinuxUser Spezial 01/2011 zum Preis von 7,90.
Vorname, Name
Straße
Firma
PLZ/Ort
Abteilung
Coupon ausschneiden und an
Linux New Media AG, Putzbrunner Str. 71, 81739 München senden
Schneller bestellen per: Tel.: 089 / 99 34 11–0 E-Mail: order@linuxnewmedia.de
Fax: 089 / 99 34 11–99
http://www.linuxuser.de/spezial
E-Mail
Ja, bitte informieren Sie mich über weitere Neuheiten aus dem Bereich Linux
und OpenSource
Linux New Media AG, Putzbrunner Str. 71, 81739 München, Vorstand: Brian Osborn, Hermann Plank, Aufsichtsrat: Rudolf Strobl (Vorsitz), Handelsregister: HRB 129161 München

Know-How
Linux-Cluster
Oleksii Glushenkov, 123RF
Cluster mit Open AIS und Corosync
Im Gleichtakt
das setup hochverfügbarer Cluster-Ressourcen gehört heute zum standardrepertoire eines Admin. Viele
Hersteller bieten dafür eigene, oftmals proprietäre Produkte. dieser Artikel beschreibt die grundlagen eines Clusters
mit der freien open-Ais-/ Corosync-basierten Cluster suite. Thorsten scherf
Bei Clustern ist grundsätzlich zwischen
verschiedenen Varianten zu unterscheiden.
So existieren zum einen die so genannten
Speichercluster, deren Aufgabe
es ist, den Zugriff auf ein einzelnes Dateisystem
von mehreren Systemen aus zu
ermöglichen. Die lästige Synchronisierung
der Daten zwischen den einzelnen
Rechnern entfällt dabei, da der Zugriff
auf einen gemeinsamen Datenspeicher
stattfindet.
Hochverfügbarkeits-Cluster (HA) bündeln
einzelne Ressourcen, etwa Dateisysteme
und IP-Adressen, zu einem Clusterservice.
Beim Ausfall einer Ressource
versucht der Cluster diese erneut zu aktivieren.
Sollte der Rechner, auf dem der
Clusterservice läuft, komplett ausfallen,
wird dieser auf einem anderen Rechner
neu gestartet. So ist sichergestellt, dass
der Service, zum Beispiel ein Webserver,
zu jeder Zeit verfügbar ist.
Lastverteilungs-Cluster verstecken mehrere
Systeme hinter einer einzelnen
IP-Adresse und verteilen nach einem bestimmten
Algorithmus alle eingehenden
Anfragen auf diese Backend-Systeme.
Fällt eins dieser Systeme aus, erhält es
auch keine Anfragen mehr. Gerade bei
gut besuchten Webservern kommen solche
Cluster zum Einsatz, da ein einzelner
Rechner die Vielzahl von Anfragen oft
nicht alleine bewältigen kann.
Schließlich gibt es noch die so genannten
Hochleistungs-Cluster, bei denen
komplizierte Berechnungen auf die einzelnen
Clusterknoten verteilt werden,
um so eine höhere Rechenkapazität zu
erreichen. Sie kommen oft in der Forschung
oder der Industrie zum Einsatz,
beispielsweise in der Automobilbranche,
um Crashtest-Simulationen durchzuführen.
In diesem Artikel geht es primär um
HA- und Speicher-Cluster.
Cluster-Komponenten
Ein Clusterknoten setzt sich immer aus
mehreren Komponenten zusammen. Das
Herzstück bildet dabei der Clustermanager,
der sozusagen das Kommunikationssystem
des Clusters darstellt und
entscheidet, welche Systeme zu einem
Clusterverbund gehören und welche
aus dem Cluster zu entfernen sind. Als
Entscheidungsgrundlage kommen so genannte
Quorum-Regeln zum Einsatz. Arbeitet
ein System fehlerhaft oder gar nicht
mehr, greift der Clustermanager auf ein
weiteres Subsystem, das Fencing-System,
zurück, um den fehlerhaften Knoten zu
entfernen.
Der Fencing-Daemon kommuniziert dabei
mit Hilfe bestimmter Agenten mit so
genannten Fencing-Geräten. Dabei kann
es sich um Management-Boards, Power-
Switches, aber auch SAN-Switches handeln.
Wichtig ist, dass nach dem Fencing
der Zugriff von einem fehlerhaft arbeitenden
Knoten auf eine bestimmte Cluster-
Ressource nicht mehr möglich ist.
Um den Zugriff auf einen gemeinsamen
Datenspeicher zu ermöglichen, ist ein
Locking-Subsystem nötig. Bei einem
Cluster-Dateisystem wie GFS2 [1] ist eine
Kommunikation zwischen den einzelnen
Knoten wichtig, die sicherstellt, dass zu
einem Zeitpunkt immer nur ein System
eine Änderung an einem Dateisystem-
Block durchführt, erst dann kommt ein
anderer Knoten dran. Auch beim Volume-
80 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

Linux-Cluster
Know-How
Abbildung 1: Beim Failover startet der Ressource-Manager eine Cluster-
Ressource-Gruppe auf einem anderen Host.
Management selbst ist eine Synchronisation
der Knoten untereinander notwendig.
Beide Funktionen übernimmt der
Lock-Manager.
Schließlich gibt es bei HA-Clustern noch
den Ressourcen-Manager. Dieser kümmert
sich um die Überwachung und das
Management der konfigurierten Cluster-
Ressourcen und Services. Im Fehlerfall
eines Knotens kann der Ressourcen-Manager
die Clusterservices auf einem anderen
Knoten neu starten. Für den Benutzer
ist dieser Service-Neustart nahezu transparent,
er merkt von dem Ausfall eines
Systems nichts (Abbildung 1).
Clustermanager
Red Hat Enterprise Linux (RHEL) und
Fedora enthalten beide die Red Hat Cluster
Suite (RHCS). Als Clustermanager
kommt CMAN zum Einsatz. Je nach
eingesetzter Version sieht dessen Implementierung
jedoch komplett anders aus.
So war in der initialen Variante (Version
1.0), die beispielsweise in RHEL 4 oder
sehr alten Fedora-Versionen enthalten
war, CMAN komplett im Kernelspace implementiert.
Ein Zugriff von Applikationen aus dem
Userspace fand über das Libcman-API
statt. Im Netzwerkbereich kam UDP-
Broadcast/ Unicast zum Einsatz. Der alte
CMAN-Code wurde ausschließlich von
Red Hat entwickelt und betreut.
In neueren Versionen (2.0), beispielsweise
in RHEL 5 und ab Fedora Core 6, wurde
die überholte CMAN-Implementierung
durch eine offene Implementierung auf
Basis der Application Interface Specifi-
cation (AIS) abgelöst.
Das Open-AIS-Framework
[3] ist modular
aufgebaut und bietet
mit »aisexec« einen
Daemon im Userspace,
der über verschiedene
Module auf
weitere Subsysteme
zurückgreifen kann.
So existiert beispielsweise
ein Subsystem
»totem«, welches das
Messaging-System für
den Clustermanager
bildet.
Der CMAN-Code von
Red Hat wurde nun so abgeändert, dass
CMAN lediglich ein weiteres Modul für
das Open-AIS-System darstellt. Aufgabe
dieses CMAN-Moduls ist es eigentlich
nur noch, ein einheitliches API für bestehende
Applikationen bereitzustellen,
sollten diese Informationen vom eigentlichen
Clustermanager benötigen.
Daneben ist das Modul noch für die Kommunikation
mit dem Quorum-Daemon
zuständig. Dieser kommt optional zum
Einsatz, wenn es um die Berechnung des
Quorums für einen Cluster geht. Dazu
dient ein bestimmter Algorithmus, wobei
der Quorum-Daemon ein optionaler Teil
davon sein kann.
Netzwerk-seitig kommt bei Open-AIS
UDP-Multicast/ Unicast zum Einsatz.
Sollte in der Konfiguration für den Clustermanager
keine Multicast-Adresse
angegeben sein, wird diese dynamisch
generiert. Sie beginnt dann mit 239.192,
wobei die letzten beiden Oktetts auf Basis
der Cluster-ID erzeugt werden.
In der Cluster-Suite-Version 3.0 von
RHEL 6 und Fedora 10 wurde nun Open
AIS durch Corosync [2] ausgetauscht.
Von außen betrachtet hat sich zwischen
den beiden Clustermanagern nicht viel
verändert, der Code unterscheidet sich
zum Teil aber wesentlich. Die alten Open-
AIS-Module stehen teilweise immer noch
zur Verfügung, es sind jedoch auch neue
Module hinzugekommen. Diese werden
nun nicht mehr durch »aisexec«, sondern
durch Corosync aufgerufen.
Kommen Open AIS oder Corosync zusammen
mit dem CMAN-Modul in der
Red Hat Cluster Suite zum Einsatz, findet
die Konfiguration des Clustermanagers
nicht wie üblich über die Konfigurationsdateien
»/etc/ais/openais.conf« beziehungsweise
»/etc/corosync/corosync.
conf« statt, sondern über die XML-Datei
»/etc/cluster/cluster.conf«.
Ab der Cluster-Suite-Version 3.0 lässt
sich als Konfigurations-Repository auch
ein LDAP-Server einsetzen. Die Datei »/
etc/sysconfig/cman« enthält dabei einen
Konfiguratiosparameter »CONFIG_LOA-
DER«, der als Wert entweder »xmlconfig«
oder »ldapconfig« enthalten kann.
Beim Starten von CMAN mittels »/etc/
init.d/cman start« lädt das entsprechende
CMAN-Modul dann entweder die Konfigurationsoptionen
aus der XML-Datei
oder vom LDAP-Server in die Corosync-
Objektdatenbank. Eine minimale XML-
Konfigurationsdatei zeigt Listing 1.
XML aufgeteilt
Die Konfigurationsdatei besteht aus einzelnen
Abschnitten. Globale Parameter
wie beispielsweise der Clustername gehören
in den Abschnitt »cluster«. Anweisungen
für das CMAN-Plugin kommen in
den Abschnitt »cman«. In Listing 1 stehen
hier die beiden Anweisungen »two_node«
und »expected_votes«. Die erste Anweisung
teilt dem Clustermanager mit, dass
der aktuelle Cluster lediglich aus zwei
Knoten besteht und zur Berechnung des
Quorums nur eine einzige Stimme notwendig
ist.
Bestehen Cluster aus mehr als zwei Knoten,
sind zum Erlangen des Quorums
mindestens die Stimmen der Hälfte der
verfügbaren Clusterknoten plus eins
(n/ 2+1) notwendig. Ein 2-Knoten-
Cluster stellt somit eine Ausnahme dar,
Listing 1: XmL-Config für den Clustermanager
01 # cat /etc/cluster/cluster.conf
02
03
04
05
06
07
08
09
10
11
12
13
14
15
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
81

Know-How
Linux-Cluster
dies verdeutlicht der Parameter »expected_votes«
noch einmal. Üblicherweise
ist der hier angegebene Wert identisch
mit der Anzahl der Clusterknoten, in
einem 2-Knoten-Cluster ist dies jedoch
nicht so.
Zusätzlich zu den bereits genannten Parametern
können Sie hier eine Multicast-
Adresse, einen alternativen UDP-Port
(Default: 5405) für den CMAN-Empfangs-
Socket oder die Cluster-ID festlegen. Ist
keine Cluster-ID definiert, generiert der
Cluster selbst eine. Dies kann unter Umständern
zu Problemen führen, wenn
mehrere Cluster im gleichen Netzwerk
vorhanden sind und zufällig die gleiche
ID generiert wurde.
Zur Verschlüsselung des Datenverkehrs
generiert CMAN einen Schlüssel auf Basis
des Clusternamens. Wollen Sie stattdessen
lieber einen anderen Schlüssel
verwenden, können Sie ihn mit Hilfe der
Anweisung »keyfile« ebenfalls in diesem
Abschnitt angeben. Da CMAN jedoch nur
ein Modul von vielen innerhalb des Corosync-Framework
ist, können Sie natürlich
auch Anweisungen für die weiteren Module
in der Konfigurationsdatei »cluster.
conf« angeben.
Beispielsweise bietet das Totem-Protokoll
die Möglichkeit, einen Timeout für das
Totem-Token festzulegen (»«).
Das Token wandert
zwischen den einzelnen Clusterknoten
hin und her. Verstreicht der mittels »time-
Listing 2: detailliertes Logging
out« angegebene Zeitraum beim Versenden
des Token, wird der Knoten als
defekt angesehen und aus dem Cluster
entfernt.
Ebenfalls sehr hilfreich ist die Logging-
Anweisung. Hiermit können Sie die Logs
aller am Cluster beteiligten Subsysteme
entweder in eine Logdatei schreiben, an
Syslog senden oder auf dem Bildschirm
ausgeben. Jedes Subsystem kann dabei
seine eigene Logdatei bekommen. Listing
2 zeigt ein Beispiel. Weitere Corosyncspezifische
Parameter entnehmen Sie der
Hilfe-Seite von »corosync.conf«.
Clusterknoten
Die nächste Sektion »clusternodes« beschreibt
die einzelnen Knoten des Clusters
und bestimmt deren Eigenschaften.
So bekommt jeder Clusterknoten einen
Namen, eine Voting-Stimme und eine
ID zugewiesen. Die Kommunikation der
Clusterknoten untereinander findet über
das Netzwerk statt, über das die hier
angegebenen Knoten-Namen aufgelöst
werden können. Wenn Sie also Ihren Datenverkehr
vom Clusterverkehr trennen
möchten, achten Sie darauf, die passenden
DNS-Namen anzugeben.
Bekommt ein Clusterknoten mehr als
eine Stimme, gilt die oben erwähnte
Quorum-Regel nicht mehr, da die Anzahl
der verfügbaren Stimmen und nicht die
Anzahl der Clusterknoten als Grundlage
der Quorum-Berechnung dient. Existiert
beispielsweise ein Cluster mit drei Knoten,
müssen zum Erreichen des Quorums
mindestens zwei Rechner online
sein (3/ 2+1=2), sonst ist der Cluster
nicht »quorate« und kann keinen HA-
Service verwalten. Bekommt ein Knoten
aber zwei Stimmen statt nur einer, reicht
es aus, wenn dieser Rechner alleine online
ist, damit der Cluster noch über das
Quorum verfügt, selbst dann, wenn beide
anderen Rechner offline sind.
Als weitere Eigenschaft können Sie jedem
Knoten mindestens eine Referenz auf ein
Fencing-Gerät zuordnen. Das Gerät selbst
ist dann im Abschnitt »fence« näher zu
beschreiben. Die Konfiguration dafür ist
in Listing 3 dargestellt.
Die Konfiguration des Fencing-Subsystems
ist von größter Wichtigkeit. Sollte
der Clustermanager nicht in der Lage
sein, einen ausgefallen Rechner aus dem
Cluster zu lösen, also auf ein Fencing-
Event eine positive Rückmeldung des
Fencing-Daemon zu bekommen, dann
wird der Ressourcen-Manager den HA-
Service, der eventuell auf diesem Knoten
läuft, nicht auf einem anderen Knoten
neu starten.
Dies geschieht aus gutem Grund, da es
ja durchaus möglich sein kann, dass ein
Rechner nur temporär hängt und nach
einer gewissen Zeit wieder zum Leben
erwacht und auf seine Ressourcen genau
dann zugreift, wenn ein zweiter Rechner
01
03
05
07
09
11
13
15
16 @KE
Listing 3: mindestens ein Fencing-gerät pro Knoten
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19 @KE
82 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Linux-Cluster
Know-How
dasselbe macht. Eine Beschädigung der
Daten kann in einem solchen Fall die
Folge sein.
Wenn Sie die Datei »cluster.conf« auf einen
anderen Clusterknoten kopieren und
dort mittels »/etc/init.d/cman start« den
Clustermanager starten, sollten Sie beim
Aufruf von »cman_tool status« eine Ausgabe
wie in Listing 4 sehen.
Beachten Sie, dass die aktuelle Cluster-
Suite-Version 3.0 kein Cluster-Konfigurationssystem
mehr enthält. Somit besteht
auch nicht mehr die Möglichkeit,
bei einem laufenden Clustermanager
Änderungen an der Konfigurationsdatei
mittels »ccs_tool update« zu übertragen.
Sie können stattdessen jedoch eine neue
Version der Cluster-Konfiguration mittels
»cman_tool version -r Versionsnummer«
dem Cluster bekannt machen und auf die
anderen Knoten übertragen.
Die grundlegenden Konfigurationsschritte
für den Clustermanager sind somit erledigt.
Dass nun die Corosync-Datenbank
die einzelnen Parameter kennt, bestätigt
das Tool »corosync-objctl«:
# corosync‐objctl | grep cluster.name
cluster.name=iscsicluster
Möchten Sie die Konfiguration lieber auf
einem LDAP-Sever vornehmen, lässt sich
eine bestehende XML-Config leicht ins
LDIF-Format verwandeln (Listing 5).
Mittels »ldapadd« können Sie die so erzeugte
LDIF-Datei dann in Ihren LDAP-
Server importieren. Beachten Sie, dass
Sie hierfür erst die passende LDAP-Schemadatei
aus dem Ordner »/usr/share/
doc/cman-version/« dem LDAP-Server
bekanntgeben müssen, sonst kennt er
die verwendeten Objektklassen und Attribute
nicht und der Import der LDIF-Datei
schlägt fehl.
Konfiguration aus LDAP
Damit jeder Clusterknoten auf die Konfiguration
zugreifen kann, müssen Sie
in der bereits angesprochenen Konfigurationsdatei
»/etc/sysconfig/cman« noch
den LDAP-Server und den »BaseDN« angeben:
# grep ‐i ldap /etc/sysconfig/cman
CONFIG_LOADER=ldapconfig
COROSYNC_LDAP_URL=ldap://ldap.tuxgeek.de
Nach einem Neustart von CMAN sollte
dieser nun in der Lage sein, die Corosync-
Objektdatenbank mit den Einträgen aus
dem LDAP-Server zu füllen. Möchten Sie
neue Objekte, beispielsweise Fencing-
Devices oder Cluster-Ressourcen, zur
LDAP-Datenbank hinzufügen, bietet es
sich an, diese zuerst in einer Art Dummy-
XML-Datei zu hinterlegen, um aus ihr
dann wieder die passende LDIF-Datei zu
Listing 4: »cman_tool status«
01 # cman_tool status
02 Version: 6.2.0
03 Config Version: 5
04 Cluster Name: iscsicluster
05 Cluster Id: 46516
06 Cluster Member: Yes
07 Cluster Generation: 748
08 Membership state: Cluster‐Member
09 Nodes: 2
10 Expected votes: 1
11 Total votes: 2
12 Node votes: 1
13 Quorum: 1
14 Active subsystems: 8
15 Flags: 2node
16 Ports Bound: 0
17 Node name: iscsi1
18 Node ID: 1
19 Multicast addresses: 239.192.181.106
20 Node addresses: 192.168.122.171
generieren. Das Verwalten der Cluster-
Konfiguration in einem LDAP-Baum ist
derzeit noch experimentell und sollte in
produktiven Umgebungen nicht eingesetzt
werden.
Wie bereits angesprochen wurde, ist der
Ressourcen-Manager in einem HA-Cluster
dafür zuständig, Clusterservices – auch
unter dem Namen Ressource-Gruppen
bekannt – bereitzustellen und zu managen.
Dazu gehören das manuelle und
automatische Starten und Stoppen der
01 # confdb2ldif dc=tuxgeek,dc=de > cluster.ldif
02 # This file was generated by confdb2ldif,
from an existing cluster
03 # configuration
04 #
05
06 dn: name=cluster,dc=tuxgeek,dc=de
07 name: iscsicluster
08 rhcsConfig‐version: 5
09 objectclass: rhcsCluster
10
11 dn: cn=cman,name=cluster,dc=tuxgeek,dc=de
12 rhcsTwo‐node: 1
13 rhcsExpected‐votes: 1
14 rhcsNodename: iscsi1
15 rhcsCluster‐id: 46516
16 cn: cman
17 objectclass: rhcsCman
18
19 dn: cn=clusternodes,name=cluster,dc=tuxgeek
,dc=de
20 cn: clusternodes
21 objectclass: nsContainer
22
23 dn: cn=clusternode,cn=clusternodes,name=clust
er,dc=tuxgeek,dc=de
24 cn: clusternode
25 objectclass: nsContainer
26
27 dn:
28 name=iscsi1,cn=clusternode,cn=clusternodes,na
me=cluster,dc=tuxgeek,dc=de
29 name: iscsi1
30 rhcsVotes: 1
31 rhcsNodeid: 1
32 objectclass: rhcsClusternode
33
34 dn:
35 cn=fence,name=iscsi1,cn=clusternode,cn=cluste
rnodes,name=cluster,dc=tuxgeek,dc=de
36 cn: fence
37 objectclass: nsContainer
38
39 dn: cn=clusternode,cn=clusternodes,name=clust
er,dc=tuxgeek,dc=de
40 cn: clusternode
41 objectclass: nsContainer
42
Listing 5: Cluster-XmL-Config in LdiF umwandeln
43 dn:
44 name=iscsi2,cn=clusternode,cn=clusternodes,na
me=cluster,dc=tuxgeek,dc=de
45 name: iscsi2
46 rhcsVotes: 1
47 rhcsNodeid: 2
48 objectclass: rhcsClusternode
49
50 dn:
51 cn=fence,name=iscsi2,cn=clusternode,cn=cluste
rnodes,name=cluster,dc=tuxgeek,dc=de
52 cn: fence
53 objectclass: nsContainer
54
55 dn: cn=fencedevices,name=cluster,dc=tuxgeek
,dc=de
56 cn: fencedevices
57 objectclass: nsContainer
58
59 dn: cn=rm,name=cluster,dc=tuxgeek,dc=de
60 cn: rm
61 objectclass: nsContainer
62 @KE
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
83

Know-How
Linux-Cluster
Services sowie das Umschalten auf einen
anderen Clusterknoten, sollte der gerade
aktive Knoten ausfallen.
In den Versionen 1.0 und 2.0 war »rgmanager«
der alleinige Herrscher in einem
Red-Hat-Cluster, ab der Cluster-Suite-
Version 3.0 ist nun auch »pacemaker«
in RHEL 6 und ab Fedora 12 enthalten.
Die Konfiguration findet bei »rgmanager«
ebenfalls über die XML-Datei »cluster.
conf« oder über LDAP statt, »pacemaker«
hat seine eigene XML-basierte Konfigurationsdatei
– auch als Cluster Information
Base (CIB) bekannt. Manuelles Editieren
dieser Datei ist allerdings nicht anzuraten,
stattdessen greifen Sie besser auf
das Tool »crm« zurück. Im folgenden Abschnitt
geht es um den alteingesessenen
»rgmanager«.
In der XML-Datei »cluster.conf« erfolgen
alle Konfigurationsanweisungen für
den »rgmanager« im Abschnitt »rm«.
Als Erstes bietet es sich an, für die
hochverfügbaren Clusterservices eine
Failover-Domäne einzurichten. Hiermit
beschränken Sie die Clusternodes, auf
Listing 6: Failover-domänen
01
02
03
04
05
06
07
08
09
10 @KE
Listing 7: Cluster-services per »rgmanager«
01
02
03
04
05
06
07
08
09
10
11
denen ein Service laufen kann. Das ist
recht praktisch, wenn Sie beispielsweise
schwergewichtige Oracle-Datenbanken
nur auf entsprechend leistungsstarken
Maschinen im Cluster betreiben wollen.
Die Konfiguration für eine solche Failover-Domäne
zeigt Listing 6.
Mit den Anweisungen »ordered«, »restricted«
und »nofailback« legen Sie fest, ob
bestimmte Knoten innerhalb einer Domäne
bevorzugt behandelt werden, ob
der Service auch auf anderen Knoten außerhalb
der Failover-Domäne laufen darf
und ob ein Failover auf einem bevorzugten
Knoten stattfinden soll, sollte dieser
wieder innerhalb einer Failover-Domäne
verfügbar werden, beispielsweise nach
einem Fence-Event.
Eine Ressource-Gruppe setzt sich aus einzelnen
Cluster-Ressourcen zusammen.
Diese können Sie entweder getrennt in
einem »resources«-Block aufführen oder
unmittelbar bei der Definition eines Service
angeben. Die erste Variante hat den
Vorteil, dass Sie die Ressourcen mehrfach
verwenden können, indem Sie darauf referenzieren.
Die Ressource-Gruppe selbst
definieren Sie innerhalb eines »service«-
Blocks und verweisen dort auf die eben
angesprochenen Ressourcen.
Um den Service an eine zuvor eingerichtete
Failover-Domäne zu binden, geben
Sie diese einfach mit dem Parameter
»domain« an. Als Default-Service-Policy
kommt »restart« zum Einsatz, das heißt,
sollte der Service einmal ausfallen, versucht
»rgmanager« ihn auf dem gleichen
Knoten neu zu starten. Schlägt dies fehl,
startet der Ressource-Manager den Service
auf einem anderen Knoten der angegebenen
Failover-Domäne. Listing 7
zeigt die Konfiguration eines hochverfügbaren
Webservers.
Die einzelnen Cluster-Ressourcen überwacht
»rgmanager« mit so genannten
Ressource-Skripten. Es handelt sich um
OCF- und LSB-kompatible ([4], [5]),
Skripte im Verzeichnis »/ usr/share/cluster/«.
Die Startreihenfolge der Ressourcen
ist in der Datei »service.sh« definiert, allerdings
lässt sich eine Abhängigkeit zwischen
einzelnen Ressourcen auch einfach
durch Einrücken erreichen (Listing 7).
Die Timeouts zum Starten und Stoppen
und das Intervall zum Überprüfen der
Ressourcen befinden sich in den jeweiligen
Ressource-Skripten selbst.
Nach der Konfiguration des Cluster- und
Ressourcen-Managers können Sie die eingerichteten
Clusterservices starten. Hierfür
bietet sich das Tool »clusvcadm« an:
clusvcadm ‐e service:www
Fazit
Im Laufe der Jahre hat sich hinter den
Kulissen der Red Hat Cluster Suite einiges
getan. Von einer selbst entwickelten
Applikation mit einem Kernel-basierten
Clustermanager hat sich das Framework
zu einem komplett offenen Clustermanager
auf Basis von Corosync entwickelt.
Der alte CMAN spielt nur noch eine relativ
geringe Rolle und bietet hauptsächlich
Legacy-Funktionen. An der Konfiguration
selbst hat sich relativ wenig geändert hat,
sie findet nach wie vor über die XML-
Datei »cluster.conf« statt.
Für die Cluster-Ressourcen selbst kommt
weiterhin »rgmanager« zum Einsatz, mit
Pacemaker gibt es aber eine Alternative
aus dem bekannten Heartbeat-Projekt.
Auch wenn die komplette Integration
noch dauern wird, einen ersten Eindruck
vermitteln das aktuelle Fedora 14 oder
auch RHEL 6, wo Pacemaker bereits als
Tech-Preview enthalten ist. Aktuelle Informationen
zu Entwicklungen im Cluster-Umfeld
finden sich auf den Cluster-
Seiten von Red Hat [4]. (ofr)
n
Infos
[1] GFS2:
[http://sources. redhat.com/cluster/gfs/]
[2] Corosync:
[http://www. corosync.org/doku.php]
[3] Open AIS:
[http://www. openais.org/doku. php]
[4] Open Cluster Framework:
[http://opencf. org/]
[5] Linux Standard Base: [http://www.
linuxfoundation. org/collaborate/
workgroups/ lsb]
[6] Cluster-Seiten von Red Hat: [http://www.
sourceware. org/ cluster/wiki/]
Der Autor
Thorsten Scherf arbeitet als Senior Consultant
für Red Hat EMEA. Er ist oft als Vortragender auf
Konferenzen anzutreffen. Wenn ihm neben Arbeit
und Familie noch Zeit bleibt, nimmt er gerne an
Marathonläufen teil.
84 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Linux-Magazin
ACADEMY
Online-Training der
Linux-Magazin Academy
IT-Sicherheit
Grundlagen
Themen (Auszug):
❚ physikalische
Sicherheit
❚ logische Sicherheit
• Betriebssystem
• Netzwerk
❚ Sicherheitskonzepte
❚ Sicherheitsprüfung
20%
Treue-Rabatt für
Abonnenten
@Kirsty Pargeter, 123RF
Deckt in Teilbereichen auch das Prüfungswissen für LPIC-303-Inhalte ab.
Inklusive Benutzer- und Rechteverwaltung, Authentifizierung, ACLs
sowie wichtige Netzwerkprotokolle und mehr!
Das Grundlagentraining für IT-Sicherheit richtet sich an Systemadministratoren
und solche, die es werden wollen ebenso wie an ambitionierte
Heimanwender.
Nur 299 inkl. 19 % MwSt.
Informationen und Anmeldung unter:
academy.linux-magazin.de/sicherheit

Know-How
Powershell
Antonio Munoz Palomares, 123RF
Powershell für Exchange und Sharepoint
Kraftpaket
microsoft bietet für exchange und sharepoint server auch Powershell-erweiterungen an, mit denen sich diese
serverprodukte auf der Kommandozeile verwalten lassen. einige einstellungen sind sogar nur in der Powershellerweiterung
umzusetzen. Thomas Joos
Generell ist der Umgang mit der Powershell
nicht sehr kompliziert. Geben Sie
»get‐command« ein, zeigt die Shell alle
verfügbaren Befehle. Die wenigsten Admins
kennen alle Commandlets und Optionen,
die Exchange Server 2010 bereitstellt.
Dafür bietet die Verwaltungsshell
eine ausführliche Hilfe an.
Wer sich nur an einen Teil eines Befehls
erinnert, kann mit dem Platzhalter »*« arbeiten.
Der Befehl »get‐command *mailbox«
zeigt zum Beispiel alle Commandlets
an, deren Name mit „mailbox“ endet. Ist
der gesuchte Befehl nicht dabei, können
Sie auch mehrere Platzhalter verwenden,
zum Beispiel den Befehl »get‐command
*mailbox*«. Dieser Befehl zeigt alle Befehle
an, in denen das Wort „mailbox“
irgendwo vorkommt.
Haben Sie das gewünschte Commandlet
gefunden, unterstützt die Powershell
Sie mit weiteren Möglichkeiten. Für nahezu
alle Commandlets gilt die Regel,
dass diese in vier Arten vorliegen: Es gibt
Commandlets mit dem Präfix »new‐«,
um etwas zu erstellen, zum Beispiel
»new‐mailbox«. Das gleiche Commandlet
gibt es dann als Löschaktion mit »remove‐«,
zum Beispiel »remove‐mailbox«.
Um ein Objekt anzupassen, dient das
Präfix »set‐«, zum Beispiel »set‐mailbox«.
Schließlich gibt es noch das Commandlet
»get‐«, zum Beispiel »get‐mailbox«, das
einen Wert ausliest.
Neben diesen Commandlets gibt es noch
viele andere, zum Beispiel Start‐ und
Stop‐Commandlets oder für Export und
Import. Geben Sie nur den Commandlet‐
Befehl ein, passiert entweder überhaupt
nichts oder es zeigt alle Objekte der Organisation
an oder Sie werden nach der
Identität des Objekts gefragt. So zeigt das
Commandlet »get‐mailbox« alle Postfächer
der Organisation an. Mit dem Befehl
»help Commandlet« erhalten Sie eine
Hilfe zum entsprechenden Commandlet.
Für viele Commandlets gibt es noch die
Option »help Commandlet ‐detailed«, die
mehr Informationen liefert. Die Kombination
»help Commandlet ‐examples« listet
Beispiele für einen Befehl auf. Auch
das funktioniert für alle Befehle in der
Verwaltungsshell. Mit »get‐Commandlet«
lassen Sie sich Informationen zu Objekten
anzeigen. Die Option »|fl« formatiert
die Ausgabe. Wollen Sie aber nicht alle
Informationen, sondern nur einzelne Parameter
anzeigen, können Sie diese nach
der Option »|fl« anordnen.
Wollen Sie etwa für das Postfach »user@
contoso.com« nur den Displaynamen, die
Datenbank, das Alias und die OU anzeigen,
verwenden Sie den Befehl:
get‐mailbox user@contoso.com |fl displayU
name, database, alias, organizationalunit
Groß‐ und Kleinschreibung spielen für
die Commandlets keine Rolle. Führen
Sie einen Assistenten in der Exchange‐
86 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Powershell
Know-How
Verwaltungskonsole aus, zeigt dieser am
Ende immer den zugehörigen Befehl für
die Powershell an, den Sie kopieren und
für weitere Aktionen nutzen können (Abbildung
1). Anhand dieser Befehle sehen
Sie auch die Syntax, um zukünftig die
eine oder andere Aufgabe in der Powershell
anstatt in der grafischen Oberfläche
durchzuführen.
Nehmen Sie Änderungen in der Exchange‐Verwaltungskonsole
vor, aktiviert
sich bei jedem Fenster unten links das
Symbol für die Exchange‐Verwaltungsshell
(Abbildung 2). Auch hier sehen Sie
den zugehörigen Befehl. Diese Funktion
ist neu in Exchange Server 2010.
Mitgeschnitten
Verwaltungskonsole auf [F5] klicken,
damit der Status der Datenbank
wieder als bereitgestellt
angezeigt wird.
Eine weitere Funktion der Exchange‐Verwaltungsshell
ist das
Auslesen der Postfächer innerhalb
einer Postfachspeicher‐Datenbank.
Geben Sie den Befehl
»get‐mailbox« ein, erhalten Sie
eine Liste aller Postfächer der Organisation.
Sie sehen hier auch,
auf welchem Server die einzelnen
Postfächer liegen und ob ein
Grenzwert eingetragen ist, der
das Senden verbietet. Über
get‐mailbox | format‐table U
displayname, database
Abbildung 2: Anzeigen der Befehle für die Verwaltungsshell in
der Exchange-Verwaltungskonsole.
Klicken Sie in der Exchange‐Verwaltungskonsole
auf den Menüpunkt »Ansicht«
und wählen »Befehlsprotokoll der Exchange‐Verwaltungsshell
anzeigen«, können
Sie im neuen Fenster über »Aktion |
Befehlsprotokollierung starten« ein Protokoll
aktivieren. Nehmen Sie Änderungen
in der Exchange‐Verwaltungskonsole vor,
speichert die Konsole die zugehörigen
Befehle für die Verwaltungsshell.
Sie können in der Powershell auch alle
Exchange‐Datenbanken ausgeben, die
auf den Servern Ihrer Organisation angelegt
sind. Geben Sie dazu in der Exchange‐Verwaltungsshell
den Befehl
»get‐mailboxdatabase« ein. Sie erhalten
eine formatierte Liste aller Postfachdatenbanken.
Über den Befehl »dismount‐database«
heben Sie
die Bereitstellung
einer Datenbank
in der Befehlszeile
auf. Sie geben
dazu nur den Namen
der Datenbank
an.
Ändern Sie den
Befehl »dismount
‐database« in
»mount‐database«
ab, damit die Datenbank
wieder
bereitgestellt wird.
Sie erhalten bei
der Bereitstellung
keine weitere Meldung,
können aber
in der Exchange‐
können Sie sich die Postfächer sortiert
nach Postfachdatenbank und Anzeigenamen
anzeigen lassen.
Über den Befehl »move‐mailbox« konnte
man unter Exchange Server 2007 Postfächer
auch in der Exchange‐Verwaltungsshell
zwischen Postfachspeicher‐Datenbanken
verschieben. In Exchange Server
2010 gibt es hierfür jetzt die Commandlets
»New‐Move Request«, »Get‐Move‐
Request«, »Remove‐Move Request«.
Administratoren können außerdem den
Befehl
get‐mailbox ‐database Mailbox | move‐mailbox U
‐targetdatabase Mailbox Database
verwenden, um Postfächer aus der Postfachdatenbank
»Mailbox« in die Post‐
Abbildung 1: In der Exchange-Verwaltungskonsole sehen Sie am Ende des
Assistenten immer den zugehörigen Befehl für die Exchange-Verwaltungsshell.
fachdatenbank »Mailbox Database« zu
verschieben. Sie müssen das Verschieben
noch bestätigen, danach beginnt der
Exchange‐Server mit dem Vorgang. Mit
dem Befehl
get‐mailbox ‐database Mailbox | move‐U
mailbox ‐targetdatabase Mailbox Database U
‐validateonly
verschiebt Exchange keine Postfächer,
sondern überprüft nur, ob ein Verschieben
möglich ist, und gibt ausführliche
Informationen aus, welche Optionen
durchgeführt würden, käme die Option
»‐validateonly« nicht zum Zuge.
Eine weitere Option in diesem Zusammenhang
ist »‐whatif«, die ähnlich funktioniert
wie »‐validateonly«, aber weniger
Informationen ausgibt. Unabhängig
davon, welche Optionen Sie verwenden,
erhalten Sie ausführliche Informationen,
was Exchange durchführen würde oder
getan hat. Sie haben also die Möglichkeit,
jene Daten, die Get‐Commandlets auslesen,
direkt an verarbeitende Commandlets
umzuleiten.
Über die Exchange‐Verwaltungsshell können
Sie nicht nur auf Attribute innerhalb
von Exchange zugreifen, sondern auch
direkt auf das Active Directory. Sie erstellen
Gruppen, konfigurieren Gruppenmitgliedschaften
und so weiter. In der
Exchange‐Verwaltungsshell lassen sich
auch Statistiken über die Postfächer in
Ihrer Organisation abrufen. Geben Sie
beispielsweise den Befehl »get‐mailboxstatistics«
ein, erhalten Sie ausführliche
Informationen über die einzelnen Post‐
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
87

Know-How
Powershell
Sie können die XML‐Datei an einen beliebigen
Ort kopieren und an Ihre Bedürfnisse
anpassen. Microsoft empfiehlt
für die Bearbeitung der XML‐Dateien die
Verwendung des Editors.
Wollen Sie zum Beispiel den Produktschlüssel
in die XML‐Datei integrieren,
setzen Sie noch den Pfad » .\SP2010cmdlets.txt
Die oben beschriebenen Möglichkeiten
zum Anzeigen der Hilfe und der Syntax
sind auch in der Sharepoint‐Verwaltungsshell
gültig. Die Lösungen der Farm zeigen
Sie mit »Get‐SPSolution« an, neue
installieren Sie mit »Add‐SPSolution
WSP‐Datei«. Features zeigt die Shell mit
»Get‐SPFeature« an.
Statt der herkömmlichen Installation
von Sharepoint Server 2010 können Sie
die Installation auch vollständig in der
Power shell durchführen. Dazu benötigen
Sie die Powershell‐Erweiterung aus dem
Archiv »SPModule.zip«. Hierbei handelt
es sich um eine Erweiterung mit zusätz‐
lichen Befehlen für Sharepoint. Dieses
Paket stellen die Sharepoint‐Entwickler
auf der Seite [1] zur Verfügung. Laden
Sie sich die Zip‐Datei herunter und entpacken
Sie das Archiv. Anschließend finden
Sie innerhalb des Ordners die beiden Unterordner
»SPModule.misc« und »SPModule.setup«.
In diesen Ordnern befinden
sich die notwendigen Skripte für die Installation
über die Powershell.
Im nächsten Schritt konfigurieren Sie die
Power shell so, dass sie die Skripte von
Sharepoint verwenden kann. Dazu fügen
Sie den Ordner, in dem sich die beiden
Verzeichnisse »SPModule.misc« und »SP‐
Module.setup« befinden, zum Eingabepfad
der Powershell hinzu. Machen Sie
das nicht, müssen Sie jeden Befehl aus
den beiden Verzeichnissen inklusive des
Pfads in der Powershell eingeben.
Die aktuellen Pfade, aus denen die Powershell
Befehle entgegennimmt, können Sie
sich mit den Befehl »$env:PSModulePath«
anzeigen lassen. Mit dem folgenden Befehl
erweitern Sie den Pfad:
$env:PSModulePath = $env:PSModulePath + U
Neuer‐Pfad
Die einfachste Lösung ist es aber, die
beiden Ordner »SPModule.misc« und »SP‐
Module.setup« direkt ins Verzeichnis
»C:\Windows\System32\WindowsPowershell\v1.0\Modules«
zu kopieren. In diesem
Pfad liegen auch die anderen Module
der Powershell. Sollen die Sharepoint‐
Befehle nur für den aktuellen Benutzer
verwendbar sein, kopieren Sie die Ordner
in das Verzeichnis C»:\Users\\Documents\Windows‐Powershell
\Modules«.
Nachdem Sie die Module zum Pfad hinzugefügt
oder reinkopiert haben, müssen
Sie noch die Befehle zur Powershell hinzufügen.
Die Skripte für Sharepoint sind
allerdings nicht signiert, sodass die Shell
eine Fehlermeldung ausgibt, wenn Sie die
Befehle laden wollen.
Standardmäßig blockiert die Windows‐
Powershell nicht signierte Skripte über
die Ausführungsrichtlinie. Sie können
Abbildung 3: Konfigurieren der Powershell für die Unterstützung von Sharepoint Server 2010.
die Ausführungsrichtlinie mit dem Commandlet
»Set‐ExecutionPolicy« ändern
und mit »get‐executionpolicy« anzeigen.
Die Ausführungsrichtlinie speichert ihre
Daten in der Windows‐Registrierung. Folgende
Einstellungen sind möglich:
n »Restricted«: Die Standardeinstellung,
Skripte sind nicht erlaubt, Sharepoint‐
Skripte funktionieren nicht.
n »AllSigned«: Nur signierte Skripte erlaubt.
Auch hier funktionieren keine
Sharepoint‐Skripte, da diese nicht signiert
sind.
n »RemoteSigned«: Bei dieser Einstellung
müssen Sie Skripte über eine
Zertifizierungsstelle signieren.
n »Unrestricted«: Mit dieser Einstellung
funktionieren auch die Sharepoint‐
Skripte.
Nach der Eingabe von »Set‐Execution‐
Policy unrestricted« müssen Sie die Ausführung
noch bestätigen. Danach laden
Sie mit »Import‐Module SPModule.misc«
die erste Erweiterung in die Powershell
(Abbildung 3).
Als Nächstes laden Sie noch die notwendigen
Befehle für die Installation
mit »Import‐Module SPModule.setup«.
Wollen Sie Sharepoint Server 2010 remote
über die Powershell installieren,
hilft der Artikel [2] weiter, der zahlreiche
Informationen zu diesem Thema enthält.
Wichtige Befehle während der Installation
von Sharepoint Server 2010 über die
Powershell sind die drei Commandlets
»install‐sharepoint«, »new‐sharepointfarm«
und »join‐shrepointfarm«.
Damit Sie die Installation über die Powershell
durchführen können, benötigen Sie
entsprechende XML‐Antwortdateien.
Diese befinden sich auf der Sharepoint‐
Server‐2010‐DVD im Verzeichnis »\Files«.
Über diese Antwortdateien können Sie
Sharepoint automatisiert installieren und
konfigurieren. Die Installation starten Sie
dann mit:
Install‐SharePoint ‐SetupExePath Setup.U
exe ‐ConfigXmlPath XML‐Datei
88 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Powershell
Know-How
Abbildung 4: Verwenden der Sharepoint 2010 Powershell Scripts & Utilities.
KEY Value="Produktschlüssel" />« in
die Datei ein. Wollen Sie die Installation
ohne eine XML‐Datei über die Powershell
durchführen, können Sie die Option des
Servers auch direkt mit dem Commandlet
»Install‐SharePoint« steuern.
Für einen eigenständigen Server lautet
der Aufruf:
Install‐SharePoint ‐SetupExePath Setup.exe U
‐PIDKey "Produktschlüssel" ‐ServerRole U
"SINGLESERVER"
Für einen Farm‐Server sieht der Befehl
folgendermaßen aus:
Install‐SharePoint ‐SetupExePath Setup.exe
‐PIDKey "Produktschlüssel"
Die Option »‐PIDKey« funktioniert mit
den Möglichkeiten der XML‐Dateien
oder durch direkte Eingabe des Servertyps.
Von [3] lassen sich die kostenlosen
Sharepoint 2010 Powershell Scripts
& Utilities herunterladen (Abbildung
4). Diese können Sie als Modul in die
Power shell laden und Installationspakete
erzeugen beziehungsweise die Voraussetzungen
von Sharepoint 2010 installieren.
Die Tools erweitert die Powershell um
zusätzliche Commandlets.
Mit »Get‐SPPrerequisites« ist es möglich,
die Voraussetzungen in der Powershell
installieren zu lassen. Dazu muss der
Server Verbindung mit dem Internet
haben. »New‐SPInstallPackage« kann
Installationspakete und Antwortdateien
erstellen sowie Batchdateien, mit denen
Sie Sharepoint 2010 automatisiert installieren.
»Install‐SPIFilter« installiert I‐Filter
von Drittherstellern und konfiguriert die
Suche entsprechend. Sie finden auf der
Seite auch entsprechende Anleitungen zu
den Tools.
Kopieren Sie zur Installation zunächst
die Moduldatei »SPInstallUtils« in ein
Verzeichnis auf dem Server. Um die Befehle
zu nutzen, müssen Sie das Modul
zunächst mit »import‐module Pfad« in
die Powershell laden. Für alle Tools gibt
es auch eine Hilfe.
Neben der Möglichkeit, notwendige
Serverrollen über die Powershell zu installieren
und Sharepoint Server 2010
ebenfalls über Powershell‐Erweiterungen
auf Servern bereitzustellen, haben Sie
auch die Möglichkeit, den Konfigurationsassistenten
für Sharepoint‐Produkte
über die Powershell auszuführen. Wollen
Sie eine neue Serverfarm erstellen,
verwenden Sie dazu das Commandlet
»New‐SharePointFarm«. Lassen Sie die
Option »‐FarmName« weg, erstellen Sie
eine eigenständige Installation. Mit dem
Commandlet »Join‐SharePointFarm« treten
Sie einer Serverfarm bei.
Mit dem Commandlet »New‐SPWebApplication«
erstellen Sie neue Webanwendungen
in der Powershell. Die Syntax für die
Befehle listet Tabelle 1 auf. Neue Website‐Sammlungen
erstellen Sie mit dem
Commandlet »New‐SPSite«, die Syntax
für den Befehl ist »New‐SPSite«.
Die Standarddienste für Sharepoint installieren
Sie mit dem Commandlet
»Install‐SPService«. Wollen Sie alle verfügbaren
Sharepoint‐Features installieren,
verwenden Sie das Commandlet
»Install‐SPFeature ‐AllExistingFeatures«.
Der Befehl »Get‐SPFarm | select Servers«
zeigt alle Server in der Farm an.
Fazit
Mit den vorgestellten Erweiterungen für
Exchange und den Small Business Server
können Windows‐Administratoren
maximalen Nutzen aus den Fähigkeiten
der Powershell ziehen. So wird aus dem
oft verschmähten Server mit Klickibunti‐
Interface ein Werkzeug, das den Vergleich
mit der Unix‐Commandline nicht
zu scheuen braucht. (ofr)
n
Infos
[1] Sharepoint-Deployment-Modul: [http://
go. microsoft. com/ fwlink/ ? linkid=187924&
clcid=0x407]
[2] Anleitung zur Remote-Installation von
Sharepoint: [http:// go. microsoft. com/
fwlink/ ? LinkId=187923]
[3] Sharepoint 2010 Powershell Scripts & Utilities:
[http:// pssp2010utils. codeplex. com]
Tabelle 1: installationsoptionen
Funktion
Aufruf
Serverfarm
»New-SharePointFarm -DatabaseServer DB-Server -DatabaseAccessAccount Benutzername -FarmName Name der
Farm«
Serverfarm mit Get-Credentials »New-SharePointFarm -DatabaseAccessAccount (Get-Credential Domäne\Benutzername) -DatabaseServer Name
-FarmName Name der Farm«
Eigenständige Installation »New-SharePointFarm -DatabaseServer DB-Server -DatabaseAccessAccount Benutzername«
Einer Farm beitreten
»Join-SharePointFarm -DatabaseServer DB-Server -DatabaseName Datenbank -Passphrase Passphrase der Farm«
Neue Webanwendung
»New-SPWebApplication -Name Name -ApplicationPoolAccount (Get-SPManagedAccount Domäne\Benutzername«
Neue Website-Sammlung »New-SPSite URL -OwnerAlias Domäne\Benutzername«
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
89

LINUX-MAGAZIN –
das Magazin für den
MAGAZIN
• die Fachzeitschrift für Profis aus der IT-Branche
• Know-How für Programmierer, Netzwerker und
Manager sowie Systemintegratoren und Consultants
• Hintergrundwissen zu Software, Hardware, Netzwerk,
Administration und Entwicklung
JETZT
MIT DVD!
Linux-Magazin MINI-ABO
Lernen Sie das Linux-Magazin kennen!
Lesen Sie 3 Ausgaben für nur 3 Euro!
Jetzt MINI-ABO bestellen:
www.linux-magazin.de/miniabo
SONDERAKTION
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Linux-Magazin Studenten-Abo
Profiwissen fürs Studium mit 20% Rabatt
www.linux-magazin.de/studentenabo

professionellen Einsatz
MAGAZIN
ONLINE
www.linux-magazin.de
• ist das Internetportal
von Europas renommiertester
Linux-
Zeitschrift.
• informiert über
Business-Aspekte
rund um OpenSource
• Profiwissen kompetent
und wegweisend
Linux-Magazin Newsletter
Lesen Sie täglich Hintergrundwissen von und für
professionelle Linux Anwender!
Abonnieren Sie hier: www.linux-magazin.de/newsletter
So können Sie das Linux-Magazin bestellen:
• Telefon 089 / 2095 9127
• Fax 089 / 2002 8115
• E-Mail: abo@linux-magazin.de
• Web: http://www.linux-magazin.de/abo
• Shop: Shop.LinuxNewMedia.de
Miniabo-Gewinnspiel: Outdoor IP-Kamera
Infos unter: www.linux-magazin.de/miniabo
ABOVORTEILE
• Preisvorteil gegenüber Kioskkauf
• kostenlose & sichere Zustellung
• Zustellung vor dem offiziellen
Verkaufstermin

KnoW-HoW
MySQL Workbench
Datenbanken mit MySQL Workbench planen
Tabellendschungel
lichten
Iakov Kalinin, 123RF
Kleine datenbanken planen Sie leicht auf Papier. Sobald die Strukturen aber komplexer ausfallen, hilft MySQL
Workbench dabei, die Übersicht zu behalten. Falko benthin
In Zeiten des Web 2.0 kommen nur noch
wenige Anwendungen ohne Datenbank
aus. Je komplexer die Projekte, desto aufwändiger,
zeitraubender, unübersichtlicher
und fehleranfälliger fallen die Strukturen
der dazu passenden Datenbanken
aus. Das wissen auch die Softwarehersteller
– und so tummeln sich auf dem
Markt viele Werkzeuge, um eine Datenbank
visuell zu planen und anschließend
zu generieren.
Unter Linux fällt das Angebot derartiger
Anwendungen sehr übersichtlich aus.
Hier haben Entwickler die Wahl zwischen
kommerziellen oder kostenlosen Applikationen,
wobei letztere meist von den
Herstellern der Datenbanken stammen.
Während die kommerziellen Tools in der
Regel mehrere Datenbanken unterstützen,
beschränken sich die Anwendungen
der jeweiligen Datenbankanbieter oft auf
ihr Produkt. MySQL Workbench [1] gehört
zu diesen Werkzeugen.
Da MySQL zu den am häufigsten eingesetzten
Datenbankmanagementsystemen
(DBMS) zählt, kam im Test die
stabile Version 5.1 des Werkzeugs auf
den Prüfstand. Die Software steht für
viele Betriebssysteme bereit, basiert auf
Erfahrungen und Feedback zum Datenmodellierer
DBDesigner 4 [2] und steht
unter der GPLv2.
Community oder Kosten
MySQL Workbench gibt es in einer
Community- und einer Standardversion.
Letztere unterscheidet sich von der
Community-Variante dadurch, dass sie
79 Euro jährlich kostet, das Prüfen von
Datenbankschema und Datenbankmodell
übernimmt und die Dokumentation der
Datenbank anbietet.
Die Community-Version bringt bereits
einen reichen Funktionsumfang mit. Mit
installation
Für Ubuntu und Fedora stehen Binärpakete von
MySQL Workbench bereit [5]. Mit etwas Glück
finden Sie die Software auch im Repository von
anderen Distribution oder bei Drittanbietern.
Für Debian hat beispielsweise Norbert Tretkowski
ein Workbench‐Paket [6] geschnürt.
Falls Sie bestimmte Modifikationen dringend
brauchen, dann holen Sie den Quellcode des
Tools, entpacken das gezippte Tar‐Archiv, wechseln
in das neu entstandene Verzeichnis und
werfen am besten erst einmal einen Blick in die
ihr können Administratoren und Entwickler
Tabellen, Views, Indexe, Stored
Procedures und Trigger planen, die Schemas
vorhandener Datenbanken einlesen
und so visualisieren („Reverse Engineering“),
Schema-Synchronisierungen an
bestehenden Datenbanken vornehmen
(„Change Management“) sowie Modelldiagramme
exportieren und ausdrucken.
Bei MySQL Workbench handelt es sich
um eine reine Datenbank-Design-Software,
die sich nicht zum Abfragen oder
Ändern von Datensätzen eignet. Dafür
bietet Sun den MySQL Query Browser.
Haben Sie MySQL Workbench installiert
(siehe Kasten „Installation“), starten
Datei »README«. Dort finden Sie Informationen
zu den Abhängigkeiten der Software. Anschließend
übersetzen Sie die Software mit »./autogen.sh
‐‐prefix=Pfad« und »make ‐j3 install« in
einem Terminal.
Den »Pfad« ersetzen Sie durch den Namen desjenigen
Verzeichnisses, in dem Sie die Software
installieren möchten. Das eigentliche Übersetzen
dauerte im Test zwar relativ lange, lief aber
dank korrekter Voraussetzungen letztendlich
problemlos durch.
92 AuSgAbe 01-2011 AdMin WWW.AdMin-MAgAzin.de

MySQL Workbench
KnoW-HoW
Abbildung 1: Nach dem Start präsentiert MySQL Workbench einen aufgeräumten Arbeitsbereich.
Sie die Applikation mittels »mysql-workbench«
auf der Kommandozeile (Abbildung
1). In der Übersicht erstellen Sie
neue Datenbankmodelle entweder visuell
über EER-Diagramme (Erweitertes Entitäten-Relationen-Diagramm)
oder über die
Eingabe eines Schemas. Die visuelle Methode
fällt vielen Anwendern leichter, daher
kam sie auch im Test zum Einsatz.
Aufgrund des intuitiven Bedienkonzepts
bedarf es keiner großen Einarbeitungszeit.
Die Arbeitsfläche hat klar umrissene
Bereiche: Links befindet sich eine
Werkzeugleiste für die am häufigsten
gebrauchten Arbeitsschritte, rechts liegen
der Navigator (der sich bei großen
Datenbanken als hilfreich erweist), der
Katalog (über den Sie Tabellen, Views
und Prozeduren gezielt ansteuern) sowie
eine Infobox. Im unteren Bereich der Applikation
finden Sie, sobald Sie Objekte
erstellt oder geöffnet haben, die jeweiligen
Objekt-Editoren. Mit diesen bearbeiten
Sie die Eigenschaften der Objekte. Als
Beispiel richten wir im Folgenden eine
einfache Kontaktdatenbank mit Verleihübersicht
ein.
Als erstes erstellen Sie dazu die Tabelle
»Personen«, die neben Vor- und Nachnamen
auch eine Spalte (Attribut) mit
Integer-Werten enthält, die den so genannten
Primärschlüssel aufnimmt. Um
die Tabelle zu erstellen, nutzen Sie das
entsprechende Icon im rechten Fenster-
bereich oder drücken [T]. Sobald Sie die
Tabelle platziert haben, legen Sie über die
Reiter im Tabelleneditor den Namen der
Tabelle, die Spaltennamen und -typen,
alle Fremdschlüssel, Trigger sowie die
Aufteilung (Partitionen) fest.
Unter jedem Punkt öffnen sich weitere
Dialoge, etwa um Datentypen, Bedingungen,
Primärschlüssel oder die Optionen
beim Einsatz von Fremdschlüsseln festzulegen.
Auf dem Arbeitsblatt zeigt die
Software dann die Attribute unterhalb
des Tabellennamens als Liste an. Vor
jedem Attribut finden Sie ein farbiges
Symbol, anhand dessen Sie auf einen
Blick sehen, um was für ein Attribut es
sich handelt. Ein Schlüsselsymbol zeigt
beispielsweise einen Primärschlüssel an.
Im Test aktualisierten sich die Markierungen
beim nachträglichen Ändern der
Spalten allerdings immer erst recht spät,
sodass Sie im Zweifelsfall einen Blick in
den Tabelleneditor werfen sollten.
Fremdschlüssel und Layer
Nachdem Sie die erste Tabelle erstellt
haben, legen Sie weitere Tabellen an
und beginnen damit, Fremdschlüsselbeziehungen
zu definieren. Diese zeigen
Beziehungen zwischen den Feldern verschiedener
Tabellen an. Sie erstellen sie
entweder über die Werkzeugleiste oder
den Tabelleneditor. Da das Programm
beim Erstellen von Fremdschlüsseln
über die Werkzeugleiste im Test recht
eigenwillig agierte, empfiehlt es sich, den
Editor zu verwenden. Dazu wechseln Sie
zum Reiter »Foreign Keys« und generieren
einen neuen Fremdschlüssel, der auf die
erste Tabelle zeigt.
Um das zu bewerkstelligen, reicht ein
Mausklick in das entsprechende Feld:
MySQL Workbench schlägt einen Namen
für den Fremdschlüssel vor und zeigt eine
Abbildung 2: Fremdschlüssel lassen sich am einfachsten über den Tabelleneditor definieren.
WWW.AdMin-MAgAzin.de
AdMin
AuSgAbe 01-2011
93

KnoW-HoW
MySQL Workbench
Abbildung 3: Layer helfen dabei, in umfangreichen Projekten die Übersicht zu bewahren.
Auswahlliste mit allen Tabellen in der
Datenbank an. Im Bereich neben den Namen
der Fremdschlüssel und referenzierten
Tabellen blendet die Software mögliche
Kandidaten ein. Dabei berücksichtigt
das Programm nur Felder mit plausiblen
Datentypen (Abbildung 2). Rechts im
Dialog legen Sie fest, wie die Datenbank
im Falle eines Updates auf die Daten oder
beim Löschen von betroffenen Einträgen
verfährt.
Relationstypen
In der Regel legt Workbench nur Beziehungen
an (so genannte Relationen), die
zu den Datentypen passen. So könnte
beispielsweise ein Personendatensatz
auf mehrere Adressdatensätze und viele
Telefonnummern zeigen. In diesem Fall
handelt es sich um eine One-to-many-
Relation, bei der ein Datensatz auf mehrere
zeigt. Stimmt die Art der Relation
einmal nicht, hilft ein Rechtsklick auf
die Beziehung, um den Relationeneditor
aufzurufen und dort Änderungen vorzunehmen.
Enthält eine Tabelle mehrere
Fremdschlüssel, markiert die Software
diese in unterschiedlichen Farben, sobald
Sie den Mauszeiger darüber bewegen.
Um bei umfangreichen Datenbanken zusammenhängende
Bereiche im Blick zu
behalten, bietet MySQL Workbench Ebenen
(„Layer“) als Hilfsmittel an. Diese
erlauben es, mehrere Tabellen farblich
zu hinterlegen und so optisch zu einer
Einheit zusammenzufassen. Um Ebenen
zu nutzen, gehen Sie entweder über die
Toolbar oder drücken [L] und ziehen
den Mauszeiger über alle Objekte, die
in der Ebene enthalten sein sollen (Abbildung
3).
Auch Ansichten, die bereits erwähnten
Views, legen Sie bei Bedarf ähnlich wie
Tabellen im EER-Diagramm an. Dagegen
konstruieren Sie Prozeduren und Funktionen
(Stored Procedures und Functions)
nicht im Diagramm, sondern im physischen
Schema. In MySQL Workbench
heißen gespeicherte Prozeduren und
Funktionen auch Routinen. Im vorliegenden
Beispiel kommt eine kleine Prozedur
zum Einsatz, die ermittelt, wie viele Gegenstände
derzeit verliehen sind.
Dazu wechseln Sie vom EER-Diagramm
zum MySQL-Modell und klicken hier auf
»Add Routine« im Bereich »Routines«. Im
unteren Fensterbereich öffnet sich der
Editor für Routinen, mit dem Sie Ihre
Prozedur schreiben (Abbildung 4). Das
EER-Diagramm zeigt lediglich Gruppen
von Routinen an. Dazu erstellen Sie ähnlich
der Routine eine Gruppe, und ziehen
hinterher die gewünschten Routinen
per Drag-and-Drop in den Routine Group
Editor.
Reverse Engineering
Haben Sie das Modell fertig geplant,
übertragen Sie es entweder direkt an einen
Datenbank-Server oder in eine Datei
(„Forward Engineering“). Um das zu tun,
verwenden Sie den Menüpunkt »File |
Export | Forward Engineer | Create SQL
Script« ([Umschalt]+[Strg]+[G]), geben
einen Dateinamen an (ohne Dateinamen
zeigt die Applikation das Skript nur an,
speichert es aber nicht) und markieren
gegebenenfalls die gewünschten Optionen.
Im zweiten Schritt fragt die Software
ab, welche Objekte Sie in den Export
einbeziehen möchten (Abbildung 5),
um letztendlich das ersehnte Skript zu
erzeugen.
Möchten Sie das Modell direkt an einen
Datenbank-Server übertragen, geben Sie
vorab unter »Database | Manage Connections«
die nötigen Parameter zum Verbin-
Abbildung 4: Für das Schreiben von Prozeduren und Funktionen bietet die MySQL Workbench keine visuelle
Unterstützung.
94 AuS gA be 01-2011 AdM in WWW. A d M in-MAgA zin.de

MySQL Workbench
KnoW-HoW
den mit dem Server an. Um das frisch
entworfene Schema gleich an den Server
zu schicken, nutzen Sie nun den Eintrag
»Forward Engineering« unter »Database«.
Hier genügt es, sich Schritt für Schritt
durchzuklicken, und schon landet die
Datenbank am gewünschten Ort.
Ähnlich geschwind lesen Sie bereits vorhandene
Datenbankmodelle ein („Reverse
Engineering“). Sie importieren das
Modell entweder über ein SQL-Skript
oder von einem laufenden Datenbankserver.
Für letztere Methode existiert ein
Wizard unter dem Menüpunkt »Databases«.
Hier fragt das Programm neben den
Verbindungsdaten noch das gewünschte
Schema ab. Enthält ein Schema mehr als
15 Tabellen, gerät die Hauptansicht leicht
unübersichtlich: Die im Test importierten
145 Tabellen eines Krankenhausinformationssystems
überlagerten sich so stark,
dass eine große Aufräumaktion erforderlich
war (Abbildung 6).
Über Forward und Reverse Engineering
hinaus lässt sich die Workbench auch
dazu verwenden, die Schemata vorhandener
Datenbanken zu ändern und dann
zu synchronisieren (»Database | Synchronize
Model« oder »File | Export | Synchronize
with SQL | Create Script«).
Fazit
MySQL Workbench bietet einige Features,
die beim Planen umfangreicher Datenbanken
helfen. Allerdings erwies sich die
Software als recht ressourcenhungrig und
lief auf dem etwas betagteren Testrechner
(Pentium 4 2,5 GHz, 1 GByte RAM)
Abbildung 5: Mit wenigen Klicks stellen Sie zusammen, was MySQL Workbench in die Skripte einbezieht.
mitunter etwas zäh. Zudem stürzte das
Programm im Test mehr als einmal ab –
hier wäre eine Funktion wünschenswert,
die die Arbeit in vorgegebenen Zeitintervallen
automatisch sichert.
Zum Planen von Datenbanken anderer
DBMS eignet sich MySQL Workbench
nur bedingt. Wer so etwas braucht,
sollte vielleicht doch über ein anderes
Werkzeug nachdenken, wie zum Beispiel
Database Visual Architect [3], Sybase
Powerdesigner [4] oder den nicht
mehr ganz frischen DB Designer 4 [2].
Wer allerdings viel mit dem Design von
MySQL-Datenbanken zu tun hat und ein
kostenloses Hilfsmittel sucht, der ist mit
der vorliegenden Software gut bedient.
Sie wartet mit einem reichhaltigen Funktionsumfang
auf, die Datenbankenentwicklern
und -administratoren das Leben
erleichtern.
Die eben erschienene Version 5.2 unterstützt
über das Planen von Datenbankmodellen
hinaus auch Abfragen an den
Server und administrative Tätigkeiten.
Dafür haben die Entwickler Teile von
MySQL Query Browser und MySQL Administrator
integriert. (agr/ ofr) n
Infos
[1] MySQL Workbench: [http:// www. mysql. de/
products/ workbench/]
[2] DB Designer 4:
[http:// www. fabforce. net/ dbdesigner4/]
[3] Database Visual Architect: [http:// www.
visual‐paradigm. com/ product/ dbva/]
[4] Sybase Powerdesigner:
[http:// www. sybase. com/ products/
modelingdevelopment/ powerdesigner]
[5] MySQL‐Workbench herunterladen:
[http:// dev. mysql. com/ downloads/ select.
php? id=8]
[6] MySQL Workbench für Debian „Lenny“:
[http:// tretkowski. de/ blog/ categories/
3‐Debian]
Abbildung 6: Bei vielen importierten Tabellen leidet die Übersicht im EER-Diagramm.
WWW. A d M in-MAgA zin.de
AdM in
AuS gA be 01-2011
95

Know-how
Less-Fs
Amy Walters, 123RF
Das deduplizierende Dateisystem Less-FS
Schrumpfkur
Auf den meisten Festplatten tummeln sich unbemerkt doppelt und dreifach gespeicherte daten. diesen überflüssigen
Platzverschwendern geht Less-Fs mit einem ausgefeilten Verfahren an den Kragen. Tim schürmann
Festplatten scheinen im Laufe eines Arbeitslebens
irgendwie zu schrumpfen.
Wo nach dem Kauf noch gähnende Leere
herrschte, liegen plötzlich Abertausende
Dateien. Ironischerweise haben viele sogar
denselben oder zumindest ähnliche
Inhalte. So schluckt jede sicherheitshalber
aufbewahrte Version einer Rundmail
wertvollen Plattenplatz.
Noch mehr Bytes belegen die regelmäßig
angelegten Backups, ganz zu schweigen
von den drei virtuellen Maschinen mit
den zu Testzwecken aufgesetzten Distributionen.
In diesem Extremfall lungern
auf der Festplatte sogar viermal die
gleichen Systemdateien. Gerade in solchen
Fällen wäre es schön, wenn Linux
identische Daten nur ein einziges Mal
speichern würde.
Das dachte sich Mark Ruijter und schuf
das Dateisystem Less-FS. Im Gegensatz
zu herkömmlichen Vertretern wie Ext 4
& Co. schreibt es identische Datenblöcke
nur einmal auf die Festplatte. Nach
außen hin bleibt dabei alles beim Alten:
Kopieren Sie beispielsweise ein Dokument,
sehen Dateimanager wie Dolphin
und Nautilus weiterhin zwei Dateien.
Tatsächlich liegt das Original nur einmal
auf der Festplatte.
Platzsparend
Ändern Sie die Kopie, speichert Less-FS
nur die gegenüber dem Original modifizierten
Teile. Da es auf diese Weise Datei-
Duplikate vermeidet, heißt das Vorgehen
auf Englisch Deduplication (Deduplizierung).
Um weiteren Speicherplatz zu
sparen, komprimiert Less-FS schließlich
noch alle tatsächlich gespeicherten Daten.
Das hat den angenehmen Nebeneffekt,
dass Linux große Dateien wesentlich
schneller lädt.
Es gibt aber einen Haken: Tritt ein Festplattendefekt
auf, können Sie beim herkömmlichen
Speichern der Daten eventuell
noch auf eine ältere Kopie des Dokuments
zugreifen. Less-FS fasst diese Dateien
aber zusammen, womit sie folglich
allesamt verloren wären. Regelmäßige
Sicherungen auf einen zweiten Datenträger
bleiben daher unerlässlich.
Um Less-FS auszuprobieren, gehen Sie
im Webbrowser auf die Homepage des
Entwicklers Mark Ruijter [1]. Das Less-
FS-Archiv enthält den Dateisystemtreiber
und ein paar Werkzeuge. Um diese zu
übersetzen und zu installieren, stellen
Sie zunächst per »uname -r« sicher, dass
Ihr Linux-System auf einem Kernel in
Version 2.6.26 oder höher basiert. Anschließend
nutzen Sie den Paketmanager,
um den C-Compiler GCC, das Dienstprogramm
Make sowie die Entwicklerpakete
zu den vier folgenden Bibliotheken zu
installieren:
n Zlib (meist im Paket »zlib-devel«, unter
Ubuntu »zlib1g-dev«)
n Bzip2 (häufig in »libbz2-devel« oder
»libbz2-dev«)
n Mhash (»mhash-devel« beziehungsweise
»libmhash-dev«)
n Fuse (»fuse-devel« respektive »libfuse-dev«)
96 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Vom Paketmanager zusätzlich als Abhängigkeiten
vorgeschlagene Pakete bestätigen
Sie einfach.
Grüße aus Japan
Alle wichtigen Informationen über die
vorgenommenen Deduplizierungen
merkt sich Less-FS in einer Datenbank.
Mark Ruijter hat sich dabei für das etwas
exotische Tokyo Cabinet entschieden.
Einige wenige Distributionen führen es
in ihren Repositories, Ubuntu 10.04 beispielsweise
in den Paketen »libtokyocabinet8«
und »libtokyocabinet-dev«. Wenn
Ihr Paketmanager sie nicht findet, greifen
Sie zum Quellcode-Archiv unter [2] oder
auf der Heft-DVD. Entpacken Sie es und
installieren Sie die Datenbank dann mit
den drei folgenden Befehlen:
./configure ‐‐enable‐off64
make
sudo make install
Auf 64-Bit-Systemen lassen Sie den Parameter
»--enable-off64« hinter »./configure«
weg. Er sorgt auf 32-Bit-Systemen
dafür, dass die von Tokyo Cabinet verwalteten
Datenbanken über 2 GByte hinaus
wachsen können.
Sind alle Voraussetzungen erfüllt, übersetzen
und installieren Sie den entpackten
Less-FS-Quellcode mit dem bekannten
Dreisatz:
./configure
make
sudo make install
Kopieren Sie dann noch die im Quellcode-
Archiv mitgelieferte Konfigurationsdatei
»less.cfg« in das Verzeichnis »/etc«.
Einräumen
Bevor Sie die eigentliche Deduplizierung
anwerfen können, müssen Sie einmal die
Tokyo-Cabinet-Datenbank erzeugen. Dies
übernimmt das Werkzeug »mklessfs«:
sudo /usr/local/sbin/mklessfs ‐fc /etc/U
lessfs.cfg
Gemäß den Vorgaben in der Konfigurationsdatei
erstellt es die Datenbank im
Unterverzeichnis »/data«. Nun starten Sie
die eigentliche Deduplizierung:
sudo lessfs /etc/lessfs.cfg /backup
Dieser Befehl hängt das Verzeichnis
»/backup« ein und stellt es gleichzeitig
unter die Kontrolle von Less-FS. Wie
beim Mounten üblich, muss »/backup«
bereits existieren. Sämtliche Dateien,
die Sie ab sofort in diesen Ordner kopieren,
verschieben oder in ihm erstellen,
sind automatisch dedupliziert und
komprimiert. Alle übrigen Verzeichnisse
und Dateien ignoriert Less-FS. Damit
auch normale Benutzer Dateien unter
»/backup« ablegen können, müssen Sie
dem Verzeichnis noch die entsprechenden
Rechte zuweisen.
Erstellen Sie jetzt testweise unter
»/ backup« eine Datei und kopieren sie
einmal an Ort und Stelle. Was dabei tatsächlich
hinter den Kulissen passiert,
verrät die versteckte Datei ».lessfs/
lessfs_stats«:
sudo more /backup/.lessfs/lessfs_stats
Ihr zufolge nimmt die Kopie kein einziges
Byte in Anspruch (Abbildung 1). Nach
außen hin verschleiert Less-FS seine
Tätigkeiten, wie schon ein einfaches
»ls / backup« beweist.
Bruchstelle
Hängen Sie das Verzeichnis »/backup«
aus, bleibt es erstaunlicherweise komplett
leer, sein Inhalt scheint spurlos
verschwunden. Im Gegensatz zu herkömmlichen
Dateisystemen wie Ext 4
schreibt Less-FS die Daten nicht direkt
auf die Festplatte, sondern schiebt sie in
die Tokyo-Cabinet-Datenbank. Sollte sie
einen Kratzer abbekommen, sieht man
nach dem erneuten Mounten per »lessfs«-
Befehl vielleicht noch die dort hinterlassenen
Dateien, ihre Inhalte sind jedoch
samt und sonders verloren.
Folglich empfiehlt es sich dringend, die
komplette Datenbank im Verzeichnis
»/data« regelmäßig auf einen externen
Datenträger zu sichern. Das Verzeichnis
»/backup« selbst dagegen schließen Sie
tunlichst von jeglichen Sicherungsmaßnahmen
aus: Da es die von Less-FS wiederhergestellten
Originaldateien enthält,
würden Sie die fetten Duplikate beziehungsweise
das deduplizierte Ergebnis
sichern.
Vereinfacht ausgedrückt mountet Less-
FS den Inhalt der Datenbank unter
»/ backup«. Sie können aus diesem Grund
Web
Hosting
BEST-PRICE JOOMLA
Joomla fix & fertig installiert
Inklusive 2 .de Domains
800 MB Speicherplatz
100 E-Mail Adressen
1 MySQL Datenbank
2 FTP Konten
u.v.m.
Joomla fix & fertig installiert
Inklusive 3 Domains
2000 MB Speicherplatz
500 E-Mail Adressen
3 MySQL Datenbanken
20 Subdomains
10 FTP Konten
1 Joomla Buch
u.v.m.
95
3, €
JOOMLA STANDARD
95
UNSER SERVICE
Keine Einrichtungsgebühren
Keine versteckten Kosten
Traffic: Flatrate
150 fertige Joomla Designs
Joomla Update Service
Kostenloser Telefonsupport
monatlich
6, €
30% Rabatt
statt 9.95 € /
Monat
www.provider4u.de
0800 - 11 44 1 44
www.A dmin-mAgA zin.de

Know-how
Less-Fs
nicht mehr einfach ein zweites Verzeichnis
einhängen:
sudo mkdir /backup2
sudo lessfs /etc/lessfs.cfg /backup2
Damit würden Sie jetzt auch unter
»/ backup2« den Inhalt der Datenbank
erreichen, also exakt die gleichen Dateien
wie unter »/backup« vorfinden.
Duplikat
Um zusätzlich das Verzeichnis »/images«
für Festplatten- und ISO-Abbilder zu deduplizieren,
benötigen Sie eine weitere
Datenbank – und dazu wiederum eine
weitere angepasste Less-FS-Konfigurationsdatei.
Letztere erhalten Sie, indem
Sie einfach die bereits vorhandene kopieren,
dem Duplikat einen aussagekräftigen
Namen geben, etwa »lessfs_images.cfg«,
und sie mit einem Texteditor öffnen. Nun
ersetzen Sie in sämtlichen Pfadangaben
das Präfix »/data« gegen das Verzeichnis,
in dem künftig die zweite Datenbank residieren
soll – etwa »/data_images«.
Speichern Sie die geänderte Konfigurationsdatei
und erzeugen die neue Datenbank
mit:
sudo /usr/local/sbin/mklessfs ‐fc /etc/lessfsU
_images.cfg
Der Parameter »-fc« sorgt dafür, dass
»mklessfs« sowohl fehlende Verzeichnisse
automatisch anlegt als auch darin
bereits vorhandene Datenbanken löscht.
Achten Sie folglich penibel darauf, dass
Sie dem Befehl die richtige Konfigurationsdatei
mit auf den Weg geben, andernfalls
wandert eine schon vorhandene
Datenbank samt den darin verwahrten
Dateien ins Nirwana.
Abschließend mounten Sie wie gewohnt
per »lessfs« das Verzeichnis »images«:
sudo lessfs /etc/lessfs_images.cfg /images
Für Fortgeschrittene
Wer sich mit Fuse auskennt, auf dem
Less-FS aufbaut, kann über den zusätzlichen
Parameter »-o« weitere spezielle
Einstellungen vornehmen. Standardmäßig
nutzt »lessfs« die
Argumente aus
Listing 1. Welche
Parameter im Einzelnen
zur Verfügung
stehen, das
verrät Ihnen »lessfs
-help«.
Weitere Einstellungen
gestattet die
Konfigurationsdatei
»/etc/lessfs.
cfg«. So dürfen Sie
an deren Ende auf
ein anderes Komprimierungsverfah
ren umschalten.
Setzen Sie dazu im Hintergrund dedupliziert.
vor »COMPRES-
SION=qlz« eine Raute (»#«) und entfernen
diese vor dem entsprechenden Verfahren.
Zusätzlich lassen sich in der Konfigurationsdatei
eine Verschlüsselung
aktivieren, die Datenbank-Einstellungen
verfeinern und an der Hashfunktion drehen.
Letztere ist eine ausgeklügelte mathematische
Formel, mit der Less-FS
schnell mehrere Datenblöcke vergleicht.
Mit Risiko
Abbildung 1: Less-FS legt sich transparent über das vorhandene Dateisystem. Für
Programme wie »ls« existieren wie gewohnt zwei Dateien, auch wenn Less-FS sie
Durch falsche Einstellungen kann man
sich allerdings auch selbst von seinen
Daten aussperren, die Verarbeitungsgeschwindigkeit
reduzieren und die Gefahr
eines Datenverlusts erhöhen. Daher sollten
sich genau wie beim Parameter »-o«
nur erfahrene Nutzer über die Konfigurationsdatei
hermachen. Welche der dortigen
Einstellungen welche Funktionen
betreffen, erklärt die Manpage zu Less-FS
(»man lessfs«).
Um ein Verzeichnis bereits beim Systemstart
zu mounten, müssen Sie Less-FS
in die Startskripte einbinden. Dazu liegt
dem Quellcode-Archiv im Unterverzeichnis
»/etc« das Skript »lessfs« bei. Es folgt
dem System-V-Init-Standard, scheint aber
mit der heißen Nadel gestrickt worden zu
sein und bleibt somit lediglich eine Vorlage.
Um das Skript sinnvoll einzusetzen,
müssen Sie zumindest in der Zeile 21
hinter »MOUNTPOINT=« das einzuhängende
Verzeichnis eintragen und es an
die Gegebenheiten in Ihrer Distribution
anpassen.
Fazit
Die Idee klingt bestechend: Less-FS speichert
ausschließlich die absolut notwendigen
Daten, wodurch die Festplatte
spürbar aufatmet. Zumindest derzeit
bleibt dabei jedoch die Datensicherheit
auf der Strecke. Nur ein kleiner Fehler
in der Datenbank – schon sind sämtliche
Dateien Geschichte. Darüber hinaus gab
es Kritik am Verfahren, mit dem Less-FS
die Duplikate ermittelt [3].
Das Dateisystem eignet sich somit vor
allem für flüchtige und temporäre Daten,
zum Beispiel die zu Testzwecken
aufgesetzten virtuellen Maschinen. Extrem
dürftig fällt auch die Dokumentation
aus: Sie beschränkt sich auf die Manpage
sowie die kargen Hilfeseiten der
Programme. (jlu/ ofr)
n
Infos
[1] Less-FS-Projektseite:
[http:// www. lessfs. com/]
[2] Datenbank Tokyo Cabinet:
[http:// fallabs. com/ tokyocabinet/]
[3] Diskussion über Less-FS: [http:// forums.
gentoo. org/ viewtopic-t-799870-start-0
-postdays-0-postorder-asc-highlight-. html]
Listing 1: mount-optionen
‐ohard_remove,negative_timeout,entry_timeout=0,attr_timeout=0,use_ino,readdir_ino,default_permissions,allow_other, big_writes,max_read=BLKSIZE,max_write=BLKSIZE
98 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Remus
TesT
Fehlertoleranz mit Xen 4 und Remus
Lebenszeichen
die neue Xen-Version 4.0, an Features sowieso nicht arm, nimmt mit Remus
auch die fehlertolerante HA-integration in ihren schoß auf. Ralf spenneberg
Der Legende nach starb Remus, als ihn
sein Zwillingsbruder Romulus nach Streitigkeiten
über die Gründungsmodalitäten
Roms erschlug. So martialisch geht es in
der Virtualisierungsbranche heute nicht
zu, aber dass Auguren einen Teilnehmer
für tot erklären, passiert häufiger.
Am häufigsten dürfte wohl Xen das Opfer
tödlicher Nachrede geworden sein, insbesondere
immer dann, wenn der Code es
wieder nicht in den Linux‐Kernel schaffte
[1]. Doch die im April 2010 erschienene
Version 4.0 glänzt mit vielen Features,
darunter auch die Hochverfügbarkeits‐
Erweiterung Remus [2].
Remus
Die Entwickler haben sich offensichtlich
Mühe gegeben, um dem angeblichen
Trend hin zu KVM etwas entgegenzusetzen.
Xen 4 bringt ein eigenes Festplattenbackend
namens Blktap2 mit, das Netzwerkbackend
Netchannel2, verbessertes
PCI‐Passthrough auch für VGA‐Karten,
Memory Page Sharing und deutlich erhöhte
Arbeitsgeschwindigkeit.
Neben dem klassischen Xen‐Kernel
2.6.18 unterstützt Xen 4 jetzt auch 2.6.31
und 2.6.32. Dies war bisher unmöglich,
da die Entwickler die von dem Xen‐Dom‐
0‐Kernel benötigten Funktionen in neuen
Kerneln durch die Paravirt‐Ops‐Schnittstelle
(Pvops, [3]) ersetzt und verändert
hatten. Dank Entwickler Jeremy Fitzhardinge
verwendet Xen jetzt Pvops direkt
als Dom‐0‐Kernel. Trotzdem bleibt 2.6.18
aber immer noch der Referenzkernel, auf
dem einige der Neuerungen laufen, zum
Beispiel Remus.
Im HA‐Umfeld kommt Xen typischerweise
in Kombination mit einem SAN,
DRBD, Heartbeat oder Pacemaker als
Hochverfügbarkeitslösung zum Einsatz.
Der Admin installiert den gewünschten
Netzwerkdienst in einer virtuellen Maschine,
die er auf einem Xen‐Host startet.
Ein zweiter Host greift über das Storagebackend
auf die Festplatte zu. Pacemaker
oder Heartbeat prüfen fortlaufend die Verfügbarkeit.
Fällt der aktive Xen‐Host aus,
startet die Clustersoftware
die virtuelle Maschine
auf dem zweiten
Virtualisierungsserver.
So minimieren
Admins
schon heute
die Ausfallzeit
auf die wenigen
Minuten oder
Sekunden, die das Booten
der virtuellen Maschine auf dem
neuen Host benötigt.
Viele Anwendungen überleben jedoch
selbst den Ausfall für wenige Minuten
nicht. Speziell in der produzierenden Industrie
legt der Ausfall eines Steuerungsrechners
unter Umständen eine komplette
Produktionslinie still, was hohe
Kosten nach sich zieht. Hier brauchen
Unternehmen so genannte Nonstop‐ oder
fehlertolerante Systeme.
Kommerzielle
Fehlertoleranz
Hardwarehersteller Stratus Technologies
[4] beispielsweise stellt unter dem Namen
Ftserver derartige Maschinen her,
die im Wesentlichen aus zwei miteinander
gekoppelten Systemen bestehen,
die exakt synchronisiert die gleichen Programme
ausführen. Lediglich eines der
beiden Systeme kommuniziert dabei
mit der Außenwelt, das zweite verarbeitet
als Schattensystem (Shadow)
exakt die gleichen Daten und identischen
Code. Erkennt das aktive System
einen Hardwarefehler, dann übernimmt
das zweite System die Kommunikation.
VMware bietet mit Vsphere ab der Aus‐
hypermania2, 123RF
www.Admin-mAgAzin.de
99

TesT
Remus
baustufe Advanced eine ähnliche Fehlertoleranz
in einer virtualisierten Umgebung
an, verlangt dafür aber gut 2000
Euro pro Prozessor. Für Xen gibt es seit
Jahren externe Lösungen wie Kemari [5],
Second Site [6] und Remus. Die Software
mit dem Namen von Romulus’ Bruder
ist seit Xen 4.0.0 fester Bestandteil des
Xen‐Code.
Für die Implementierung von Fehlertoleranz
gibt es zwei verschiedene Ansätze.
Entweder stellt die Lösung mit CPU‐Lockstepping
[7] sicher, dass beide CPUs immer
exakt denselben Befehl ausführen.
Wenn dann beide Prozessoren sich in einer
identischen Umgebung befinden und
über gleichen Code und Daten verfügen,
kann jede Instanz die andere ersetzen.
Zwar erzeugt dieses Vorgehen echte Fehlertoleranz,
der benötigte Aufwand ist
jedoch enorm.
Remus beschreitet einen anderen Weg:
Es geht davon aus, dass die beiden virtuellen
Maschinen nicht exakt denselben
Zustand besitzen müssen, sondern dass
es nur auf die Außenwirkung ankommt.
Wenn ein Client keinen Unterschied zwischen
dem aktiven System und seinem
Schattensystem erkennt, ist das Gesamtsystem
im Falle eines Fail‐over fehlertolerant,
da das zweite System sich exakt
genauso verhält wie das erste.
Remus erreicht dieses Ziel, indem es in
200‐Millisekunden‐Abständen Migrati o‐
nen der aktiven virtuellen Maschine auf
einen zweiten Host anstößt. Die so gewonnene
Kopie der virtuellen Maschine
steht als Schattenkopie bereit, während
die originale Maschine weiterläuft und
nicht wie bei einer Xen‐Livemigration
zerstört wird. Damit sich der Aufwand
in Grenzen hält, überträgt Xen nach der
ersten kompletten Migration nur die Dirty
Pages, nicht die ganze VM.
Da die Schattenkopie nur alle 200 Millisekunden
identisch mit dem aktiven System
ist, haben sich die Remus‐Entwickler
einen Trick einfallen lassen. Zwar arbeitet
das aktive System in den 200 Millisekunden
weiter, aber der Server puffert
alle Netzwerkverbindungen und hält die
Pakete zurück, aus Sicht des Clients steht
die Antwort also noch aus.
Fällt der aktive virtuelle Gast aus, kann
die Schattenkopie die Funktion genau an
dieser Stelle übernehmen. Pakete bestehender
TCP‐Verbindungen, die der Client
in der Zeit an den ehemals aktiven Gast
versandt hat, fordert die TCP‐Protokollschicht
automatisch erneut an, diesmal
gelangen sie zur Shadow‐Instanz.
Im Normalfall jedoch synchronisiert Xen
die Schattenkopie nach 200 Millisekunden
wieder mit dem aktiven System. Ist
die Synchronisation abgeschlossen, erhalten
Clients die zurückgehaltenen und
für die 200 Millisekunden gepufferten
Pakete. Wem diese Reaktionszeiten nicht
ausreichen, der kann die Synchronisationsabstände
auf bis auf 50 Millisekunden
reduzieren Ob sich allerdings der Aufwand
mit dem Ressourcenhunger seiner
Anwendungen verträgt, muss jeder Admin
selbst herausfinden.
Migration
Auch sollte er prüfen, ob die Livemigration
in seiner Xen‐Umgebung einwandfrei
funktioniert. Hierzu benötigt er zunächst
ein Speicherbackend für die virtuelle Maschine,
das zwei Xen‐Dom‐0‐Hosts erreichen
können. Für einen Test reicht da
eine einfache NFS‐Freigabe, später kümmert
sich Remus selbst darum.
Es genügt, auf einem dritten Rechner ein
Verzeichnis per NFS freizugeben, das der
Admin auf den beiden Xen‐Dom‐0‐Hosts
unter demselben
Pfad mountet.
Dann prüft der Befehl
»xm migrate
‐‐live Meine-VM Ziel-Dom-0-IP«, ob eine
virtuelle Maschine, deren virtuelle Festplatte
auf diesem NFS‐Verzeichnis liegt,
migrieren kann.
Funktioniert das, folgt der erste Test mit
Remus. Schlägt es jedoch fehl, sollte der
Admin prüfen, ob der Xend‐Relocation‐
Server in der Datei »/etc/xen/xend‐config.sxp«
freigeschaltet ist und der Parameter
»xend‐relocation‐hosts‐allow« den
Zugriff erlaubt.
Remus testen
Die Entwickler empfehlen, zunächst
nur die Kopie einer VM zu verwenden,
da deren virtuelle Festplatte in diesem
ersten Test Schaden nimmt. Hierfür kopiert
der Admin das Diskimage auf beide
Xen‐Dom‐0‐Hosts, startet die virtuelle
Maschine auf einem der beiden Systeme
und ruft Remus mit dem folgenden Befehl
auf: »remus ‐‐no‐net Meine-VM Ziel-
Dom-0-IP«. Dieser Befehl startet Remus
ohne Schutz der Netzwerkverbindungen
oder der Festplatte. Die oben erwähnte
Pufferung und Synchronisation der Netzwerkpakete
entfällt.
Der Bildschirm müsste jetzt ähnliche Meldungen
zeigen wie Abbildung 1. Gleichzeitig
sollte ein »xm list« auf dem zweiten
Xen‐Dom‐0‐System die synchronisierte
und pausierte VM anzeigen (Abbildung
2). Hat auch dies funktioniert, kann der
Admin im nächsten Test die Replikation
der Festplatte hinzunehmen.
Manche Leser mögen sich fragen, wie die
Synchronisation der Festplatte in diesem
Setup erfolgt. Da Remus die Schattenkopie
nur alle 200 Millisekunden synchronisiert,
dürfen die aktive virtuelle Maschine
und die Schattenkopie nicht dieselbe
virtuelle Festplatte nutzen. Remus muss
sich also auch um diese Synchronisation
kümmern. Dies hat aber auch Vorteile,
weil man sich bei der Planung einer
hochverfügbaren Xen‐Lösung nicht ums
SAN oder DRBD kümmern muss.
G Abbildung 2: Die Remus-Schattenkopie läuft brav im Hintergrund.
F Abbildung 1: Alle 200 Millisekunden synchronisiert Remus die virtuellen
Maschinen, ein Netzwerkpuffer hält derweil alle Verbindungen zurück.
100 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Remus
TesT
Abbildung 3: Erst wenn die Synchronisation mit
Remus anläuft, kann die Schattenkopie auf das
Festplattenimage zugreifen.
Die virtuellen Platten sollten sich für
Remus auf beiden Xen‐Dom‐0‐Hosts im
identischem Pfad befinden. Dabei ist es
unerheblich, ob die Dom‐U als Festplatte
ein Logical Volume, eine Datei oder eine
eigene Partition nutzt. Es zählt nur der
Eintrag in der Xen‐Konfiguration. Für
eine einfache Datei erfolgt der Zugriff auf
die virtuelle Festplatte über Remus:
disk = [ 'tap:remus:192.168.0.2:9000|aio:U
/images/disk.img,sda1,w' ]
»192.168.0.2:9000« gibt den Ziel‐Rechner
und ‐Port für den Abgleich der Festplatte
an. Diesen Anschluss erzeugt Remus aber
erst während der Synchronisation der
Schattenkopie. Die VM kann also nicht
auf die Festplatte schreiben, bevor der
Admin die Synchronisation mit Remus
anwirft. Sie bleibt daher üblicherweise
nach der Prüfung der Dateisysteme stehen
(Abbildung 3).
Neue Backends
Für diese Synchronisation verwendet
Xen das neue Festplattenbackend Blktap2
mit dem Userprozess »tapdisk2«. Sobald
der Admin die Synchronisation mit
dem Kommandozeilen‐Werkzeug »remus
‐‐no‐net Meine-VM 192.168.0.2« gestartet
hat, darf die aktive Maschine ihre Festplatte
auch schreibend nutzen und die
virtuelle Maschine bootet weiter.
Um das Setup zu testen, kann der Admin
die Xen‐Konsole zur virtuellen Maschine
öffnen (»xm console Meine-VM«) und
den Befehl »top« aufrufen. Anschließend
zerstört er die Instanz mit »xm destroy
Meine-VM« auf dem aktiven Xen‐Dom‐0‐
Host oder zieht einfach den Stecker.
Verbindet er sich anschließend mit der
Konsole der Schattenkopie, sollte dort
der Befehl »top« laufen. Damit sich dieser
Schutz auch auf die Netzwerkverbindungen
erstreckt, muss der Befehl »remus«
ohne die Option »‐‐no‐net« gestartet werden.
Dann funktioniert der Trick mit dem
»top«‐Befehl auch über SSH.
Natürlich ist die Fehlertoleranz mit Remus
nicht umsonst. Die konstante Synchronisation
im Hintergrund verlangsamt
auch die virtuelle Maschine. Wie viel Geschwindigkeit
verloren geht, hängt von
der virtuellen Maschine ab. Je mehr Änderungen
im Arbeitsspeicher und auf der
Festplatte erfolgen, desto mehr Zeit wird
für die Synchronisation aufgewandt und
umso weniger Zeit steht der virtuellen
Maschine zur Verfügung.
Performance
Im Zweifelsfall muss ein Test zeigen, ob
die Geschwindigkeitsverluste durch Remus
für den produktiven Einsatz vertretbar
sind. Zur Optimierung empfehlen die
Entwickler, die automatische Verteilung
der Dom‐0 und Dom‐Us über mehrere
Kerne durch den Xen‐Scheduler abzuschalten
und die Dom‐0 und Dom‐Us
spezifischen Kernen zuzuweisen
Aber trotzdem muss ein Admin den Einsatz
von Remus genau abwägen. Die Fehlertoleranz
funktioniert nur genau einmal.
Ist die Schattenkopie aktiv, existiert
keine weitere Instanz, die deren Ausfall
abfangen könnte. Xen kann bisher im
laufenden Betrieb keinen neuen Shadow
anlegen, dies erfordert bisher einen Neustart
der Dom‐U. Der sollte aber in einem
geplanten Wartungsfenster erfolgen, wo
er keinen Schaden anrichten kann. Zuvor
muss der Admin auch noch die virtuelle
Festplatte der Dom‐U mit der neuen
Schattenkopie synchronisieren.
Wie geht es weiter?
Die Remus‐Entwickler haben noch viel
vor. Aktuell kann Remus die Fehlertoleranz
(auf einem 2.6.18‐Dom‐0‐Kernel) für
paravirtualisierte (PVM) und vollvirtualisierte
(HVM) Gäste bieten. In zukünftigen
Versionen will das Projekt den Quelltext
aufräumen und das externe Kommando
»remus« in das »xm«‐Frontend für die
Steuerung aufnehmen. Auch Libvirt‐
Unterstützung wollen sie anbieten. Für
die Realisierung der Hochverfügbarkeit
nutzt Remus noch einen eigenen, sehr
einfachen Heartbeat‐Mechanismus, während
Corosync [8] und Pacemaker viel
mächtigere Funktionen bieten. Künftige
Xen‐Versionen sollen deren Integration
erlauben.
Noch lange nicht tot
Es bleibt abzuwarten, ob jene Linux‐Distributionen,
die in der Vergangenheit ihre
Unterstützung für Xen als Dom‐0 eingestellt
haben, es nun wieder integrieren.
Genauso spannend ist es zu beobachten,
ob die neue Version den Druck auf
die Kernelentwickler erhöht, Xen in den
Linux Kernel aufzunehmen.
Grundsätzlich bietet KVM ähnliche oder
gleichwertige Funktionen wie Xen und
wahrscheinlich werden deren Entwickler
die neue Xen‐Version als Herausforderung
sehen, auch Fehlertoleranz anzubieten.
Ein größeres Problem für den Einsatz von
Remus in produktiven Umgebungen stellt
sicherlich der Mangel an administrativen
Oberflächen mit Remus‐Unterstützung
dar. Xen abzuschreiben, wäre aber auf
jeden Fall verfrüht. (mfe)
n
Infos
[1] LKML-Xen-Diskussion:
[http:// thread. gmane. org/ gmane. linux.
kernel/ 800658/ focus=800714]
[2] Remus: [http:// nss. cs. ubc. ca/ remus]
[3] Xen-Paravirt-Ops-Kernel: [http:// wiki.
xensource. com/ xenwiki/ XenParavirtOps]
[4] Stratus-Ftserver: [https:// www. stratus.
com/ products/ ftserver]
[5] Kemari: [http:// www. osrg. net/ kemari]
[6] Second Site:
[http:// dsg. cs. ubc. ca/ secondsite/]
[7] Lockstepping: [http://en.wikipedia.org/
wiki/Lockstep_(computing)]
[8] Corosync: [http:// www. corosync. org]
Der Autor
Ralf Spenneberg arbeitet als freier Unix/ Linux-
Trainer, Berater und Autor mit seinem Unternehmen
Open Source Training
Ralf Spenneberg. Vor wenigen
Wochen ist die zweite
Auflage seines neuesten
Buches „VPN mit Linux“ erschienen.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
101

TesT
mail-Archivierung in windows
Iakov Filimonov, 123RF
E-Mail-Archivierung für Exchange
Brief-Archiv
in alten Versionen von microsoft exchange fehlt eine Archivierungsfunktion für e-mails. Lösungen anderer Hersteller
helfen hier weiter. zwei Produkte stehen auf dem Prüfstand. björn bürstinghaus
Lösungen zur Archivierung der gesamten
E-Mail-Kommunikation eines Unternehmens
helfen nicht nur Administratoren
bei der Bewältigung steigender Postfachgrößen
in Exchange, sondern bieten
in den meisten Fällen auch eine schnelle
Wiederherstellung für gelöschte E-Mails
direkt durch den Benutzer und sind für
kleine-, mittelständische und auch große
Unternehmens relevant.
Da Exchange erst ab Version 2010 eine integrierte
Archivierungslösung bietet und
die meisten Unternehmen noch mit den
Vorgängerversionen arbeiten, ist der Einsatz
von Drittanbieter-Lösungen nötig.
Dieser Artikel stellt mit GFI Mailarchiver
2011 und Mailstore Server 5.1 zwei dieser
Lösungen für die Archivierung von
E-Mails aus Exchange vor.
Beide hier vorgestellten Lösungen sind
zwar für den gleichen Zweck entwickelt
worden, bieten aber völlig andere Herangehensweisen
und Funktionen. Eine
wichtige Funktion, die beide Produkte
enthalten, ist eine direkte Integration in
Microsoft Office Outlook, zu der dieser
Artikel später noch mehr verrät. Für die
Archivierung aller mit Exchange erhaltenen
und gesendeten E-Mails lässt sich
die Journaling-Funktion von Exchange
nutzen. Abhängig von der eingesetzten
Exchange-Version stehen ab Exchange
2007 und höher verschiedene Möglichkeiten
zur Auswahl, um die Journaling-
Funktion nur für interne, externe oder
alle E-Mails zu nutzen.
Bei aktiviertem Journaling kopiert Exchange
alle E-Mails, die durch das System
laufen, und speichert sie in einem eigens
für die Journaling-Funktion verwendeten
Postfach. Von hier aus werden die
E-Mails von der Archivierungslösung abgeholt
und anhand der E-Mail-Adressen
den einzelnen Benutzern zugeordnet.
GFI Mailarchiver 2011
Mailarchiver 2011 [1] ist erst seit wenigen
Wochen verfügbar und bereits die siebte
Version der Mailarchivierungs-Lösung
von GFI Software. Bis auf die verschiedenen
Tools für Massenimport und Massenwiederherstellung
von E-Mails ist die
gesamte Konfiguration Web-basiert und
kann daher von jedem Arbeitsplatz im
Unternehmen per Webbrowser erfolgen
(siehe Abbildung 1).
Für die Archivierung der E-Mails setzt
GFI eine SQL-Server-Datenbank voraus,
unterstützt aber auch das kostenlose SQL
Server Express. Für den Testbetrieb oder
für den Einsatz in kleineren Unternehmen
ist auch die integrierte Firebird-Datenbank
nutzbar, die aber nicht für große
Mengen an E-Mails gedacht ist und auch
nicht die gleiche Performance bietet wie
ein SQL Server.
Die Planungsfunktion für die Archivspeicher
bietet die Möglichkeit, einen monatlichen
Wechsel des Mailarchivs einzurichten.
Dies geschieht völlig automatisch
und lässt sich neben dem periodischen
Wechsel, der monatlich, vierteljährlich,
halbjährlich und jährlich erfolgen kann,
auch abhängig von der Datenbankgröße
einrichten, was gerade bei der Verwendung
von SQL Server Express durch die
Limitierung der Datenbankgröße inter-
102 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

mail-Archivierung in windows
TesT
Abbildung 1: Web-basierte Einrichtung und Konfiguration bei GFI Mailarchiver 2011. Abbildung 2: Mailarchiver-Integration in Outlook 2010.
essant ist. Für eine revisionssichere Archivierung
bringt der Mailarchiver eine
Überwachungsfunktion mit. Diese benötigen
eine eigenständige Datenbank, in
der er sämtliche Zugriffe auf die Mailarchive,
mögliche Datenschutzverletzungen
oder auch Konfigurationsänderungen
speichert.
Um den Benutzern die Suche in einem
Mailarchiv zu erleichtern, indiziert das
Programm alle E-Mails über einen Indexdienst.
Bei der Einrichtung eines neuen
Archivs müssen Sie für die Indizierung
einen Speicherort angegeben, hier empfiehlt
es sich aus Performancegründen,
die Indexe nicht auf der gleichen Festplatte
abzulegen wie die Datenbanken.
Eine sehr praktische Funktion von
Mailarchiver ist die Synchronisation der
Postfachordnerstruktur. Dadurch werden
sämtliche archivierten E-Mails im
gleichen Ordner abgelegt wie in dem
Exchange-Postfach in Outlook. Das Archiv
stellt somit eine exakte Kopie der
Ordnerstruktur des Benutzers dar.
Die Steuerung des Benutzerzugriffs können
Sie individuell pro Postfach konfigurieren.
So lässt sich eine 1:1-Beziehung
für den Zugriff eines Benutzers auf das
Postfach eines anderen Benutzers genauso
einfach einrichten wie der Zugriff
eines Benutzers auf eine ganze Gruppe,
zum Beispiel als Leiter einer Abteilung.
Die Zuweisung erfolgt dabei über die Active-Directory-Benutzer
beziehungsweise
-Gruppen.
Für den Benutzerzugriff auf archivierte
Nachrichten steht neben der Weboberfläche
ein Outlook-Add-in (siehe Abbildung
2) für die Outlook-Versionen
2003, 2007 und 2010 (32 und 64 Bit)
zur Verfügung, das nicht nur den Zugriff
auf sämtliche archivierte E-Mail erlaubt,
sondern auch eine Zwischenspeicherung
für den Offlinezugriff möglich macht.
Per Gruppenrichtlinie können Sie zentral
die Einstellungen für das Outlook-Add-in
festlegen und beispielsweise die Anzahl
der zwischengespeicherten Tage für den
Offlinezugriff konfigurieren.
Eine der wichtigsten Funktionen für die
Benutzer ist die über die Weboberfläche
bereitgestellte Suche, die detaillierte Bedingungen
und eine Speicherfunktion für
bereits getätigte Suchanfragen bietet. Der
Zugriff auf die Weboberfläche (nur bei
Verwendung des Internet Explorer) und
über das Outlook-Add-in erfolgt über die
Active-Directory-Authentifizierung des
jeweiligen Benutzers völlig transparent
und muss nicht im Einzelnen vom Administrator
konfiguriert werden.
Im Vergleich zur Vorgängerversion bietet
Mailarchiver 2011 eine rundum erneuerte
Weboberfläche, die erstmals ein Dashboard
für den schnellen Überblick auf
die Anzahl der pro Stunde oder Tag archivierten
E-Mails und den Zustand der
verbundenen Datenbanken bietet.
Der gesamte Konfigurationsbereich wirkt
nun viel übersichtlicher, da alle Funktionen
auf einer Seite dargestellt werden.
Auch bei der Einrichtung hat sich in der
neuen Mailarchiver-Version einiges getan.
So ermittelt der Archiver ein Journaling-Postfach
innerhalb der Exchange-
Organisation automatisch und bietet es
während der Assistenten-gestützten Einrichtung
gleich zur Auswahl an.
Die Lizenzierung von Mailarchiver 2011
erfolgt pro Postfach. Hat Ihr Unternehmen
insgesamt 100 Postfächer und Sie
möchten alle E-Mailadressen archivieren,
müssen Sie für jedes Postfach eine Lizenz
bereitstellen. Abhängig von der Anzahl
der Postfächer kostet die Archivierung
pro Postfach zwischen 9 und 29 Euro.
Ausgehend von 100 Postfächern würde
dies 20 Euro pro Postfach bedeuten. Enthalten
ist jeweils ein Jahr Support durch
den Hersteller.
Massenimport mit
Mailarchiver 2011
Für den Massenimport von E-Mails
aus Exchange vor der Aktivierung der
Journaling-Funktion oder bei vorheriger
Nutzung der automatischen Archivierung
von Outlook bringt Mailarchiver ein eigenes
Import-Tool (siehe Abbildung 3) mit.
Vor dem Start müssen Sie ein Mailarchiv
für den Import bereitstellen. Jedes im
Import-Tool konfigurierte Archiv ist für
die Archivierung eines von Ihnen angegebenen
Zeitraums zuständig.
Damit können Sie E-Mails abhängig
vom Datum in verschiedene Mailarchive
importieren lassen, um einen besseren
Überblick zu erhalten. (Beispiel: Archivierte
E-Mails aus dem Jahr 2009 können
Sie auf diesem Weg in das Mailarchiv
»2009« importieren.) Sollten Sie mehrere
Mailarchive für den Import nutzen, erfolgt
die Zuweisung zum entsprechenden
Mailarchiv automatisch über den von Ihnen
vorgegebenen Zeitraum.
Mailstore Server 5.1
Der Mailstore Server vom Viersener Unternehmen
Deep Invent [2] kommt zwar
auch mit einer Web-basierten Oberfläche,
allerdings nur für den Benutzerzugriff
auf die archivierten E-Mails. Die gesamte
Konfiguration und Einrichtung der zu
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
103

TesT
mail-Archivierung in windows
Abbildung 3: Importieren und Exportieren von E-Mails beim GFI Mailarchiver.
importieren Postfächer erfolgt über den
Mailstore Client (Abbildung 4), eine
Windows-Anwendung, die Sie auf allen
Systemen im Unternehmen installieren
können und die das zentrale Kernstück
von Mailstore Server darstellt. Neben der
Konfiguration bietet der Mailstore Client
Zugriff auf die Mailarchive, eine komfortable
Suchfunktion sowie eine Exportfunktion
für archivierte E-Mails.
Flexibler Import
Anders als der Mailarchiver bietet Mailstore
Server die Möglichkeit, E-Mails aus
verschiedenen E-Mail-Programmen wie
Thunderbird, Windows Live Mail, Google
Mail oder jedem IMAP- beziehungsweise
POP3-Server zu importieren. Für die Archivierung
einzelner Exchange-Postfächer
kann Mailstore Server eine Verbindung
per IMAP oder HTTP(S) herstellen.
Für den Import aus einem Exchange-
Journaling-Postfach
ist eine IMAP-Verbindung
vorgeschrieben.
Mailstore bezeichnet
diese Art des Postfachs
als Sammelpostfach
und ist genauso
wie Mailarchiver
in der Lage, die
Zuweisung der E-
Mails zu den E-Mail-
Adressen der Benutzer
völlig automatisch
zu übernehmen.
Für die Zugriffssteuerung
der Benutzer
auf ihre Postfächer
können Sie neben der Active-Directory-
Authentifizierung auch eine integrierte
Benutzerverwaltung verwenden. Mailstore
bietet zahlreiche Möglichkeiten der
Rechtevergabe. So können Sie zum Beispiel
einem Benutzer das Löschen oder
auch das eigenständige Importieren von
E-Mails gestatten.
Die Archivierung erfolgt bei Mailstore in
Dateigruppen, die entweder lokal oder
auch auf einer Netzwerkfreigabe liegen.
Auch hier können, genau wie bei Mailarchiver,
neue Dateigruppen zeitgesteuert
gewechselt werden. Jede Dateigruppe
besteht aus mehreren Teilen, sodass
Header und Verwaltungsinformationen,
der Volltextindex sowie Containerdaten
mit dem eigentlichen Inhalt und Anhängen
separat betrachtet werden, was zu
höherer Performance gerade bei hohem
Nachrichtenaufkommen führt.
Mailstore Server komprimiert Datei-Anhänge
automatisch und schützt darüber
hinaus Inhalt und Anhänge durch eine
AES256-Verschlüs selung vor dem unbefugten
Öffnen.
Mailstore Server enthält eine umfangreiche
Berechtigungsstruktur, um einzelnen
Benutzern auf leichte Art und Weise Zugriff
auf archivierte Mails eines anderen
Benutzers zu geben. So kann beispielsweise
ein Benutzer Lesezugriff auf die
E-Mails eines anderen Benutzers und
gleichzeitig Vollzugriff auf die E-Mails
eines weiteren Benutzers erhalten. Bei
der Einrichtung der Zugriffsrechte spielt
es keine Rolle, ob sich der Benutzer über
die integrierte Benutzerverwaltung oder
per Active Directory authentifiziert.
In Outlook integriert
Bei der Installation des Mailstore Client
kann der Administrator das Outlook-
Add-in (Abbildung 5) mitinstallieren.
Mit seiner Hilfe können Benutzer über
das in vielen Unternehmen eingesetzte
E-Mail-Programm auf das Archiv zugreifen
und die Suchfunktion benutzen,
ohne dafür extra den Mailstore Client zu
starten. Aber auch ohne Mailstore Client
beziehungsweise Outlook-Add-in ist der
Zugriff über Mailstore Web Access von
jedem Rechner aus Browser-basiert auf
die archivierten E-Mails möglich.
Bei Mailstore Server erfolgt die Lizenzierung
auf Benutzerbasis. Sie können zwar
verschiedene E-Mail-Postfächer über eine
Benutzerlizenz sichern, aber nicht mit
mehreren Benutzern darauf zugreifen.
Die Kosten pro Benutzer liegen hier abhängig
von der Anzahl der Benutzer zwischen
9 und 59 Euro. Das Basispaket für
fünf Benutzer kostet 295 Euro.
Abbildung 4: Der Mailstore Client für Windows.
Abbildung 5: Statt einen eigenen Client zu verwenden, können Anwender auch die
Mailstore-Integration in Outlook 2010 einsetzen.
104 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Abbildung 6: Zugriff auf mit Mailstore Server archivierte E-Mails per iPad.
Mit Mailstore Server 5.1 erhalten Sie
nicht nur Zugriff auf archivierte E-Mails
per Mailstore Client und Weboberfläche,
auch das Herstellen einer Verbindung
über einen beliebigen E-Mail-Client mit
IMAP-Unterstützung oder per Apple
iPhone und iPad (siehe Abbildung 6)
ist damit möglich. Für diesen Zweck hat
Mailstore Server in der neusten Version
einen eingebauten IMAP-Server, der –
wenn für das Internet freigeben – einen
Zugriff auf das Mailarchiv von überall an
jedem Ort bietet.
Private E-Mails im
Unternehmen
Wenn Ihr Unternehmen den Mitarbeitern
die private Nutzung der Firmen-E-Mail-
Adresse erlaubt, tritt das Unternehmen
als Provider auf. Sollte dies bei Ihnen
auch der Fall sein, müssen Sie bei der
Archivierung von E-Mails eine Möglichkeit
schaffen, die privaten E-Mails nicht
zu archivieren [3].
GFI Mailarchiver 2011 bietet durch die
Aufbewahrungs-Richtlinie von E-Mails
eine gute Funktion, um eine E-Mail durch
das Setzen von Bedingungen von der Archivierung
auszuschließen, zum Beispiel
durch ein vorgegebenes Schlüsselwort
im Betreff oder dem Body einer E-Mail.
Findet Mailarchiver bei der Archivierung
eine entsprechende Nachricht, bei der die
Bedingung zutrifft, wird die Nachricht
automatisch gelöscht und nicht in der
Archiv-Datenbank gespeichert.
Fazit
Eine Archivierungslösung für Exchange
hilft Administratoren dabei, die Postfachgrößen
der Benutzer gering zu halten
und ihnen trotzdem Zugriff auf alte oder
gelöschte E-Mails zu gewähren. Die beiden
hier vorgestellten Lösungen sind für
kleine-, mittelständische-, aber auch für
Großunternehmen interessant. Sie sind
leicht zu konfigurieren, kommen beide
mit flexiblen Zugriffsmöglichkeiten – egal
ob per Outlook oder Web-basiert – und
bieten darüber hinaus ein gutes Preis-
Leistungs-Verhältnis. (ofr)
■
Infos
[1] GFI Mailarchiver 2011: [http:// www.
gfisoftware. de/ mailarchiver]
[2] Mailstore Server 5.1: [http:// www.
mailstore. com/ de/ mailstore-server. aspx]
[3] Rechtssichere E-Mail Archivierung:
[http:// www. mailstore. com/ de/ doc/
leitfaden-compliance-de. pdf]
Der Autor
Björn Bürstinghaus ist Systemadministrator bei
der Simyo GmbH in Düsseldorf. In seiner Freizeit
betreibt er Bjoerns Windows Blog, ein Blog rund
um Windows-Themen, zu finden unter [http://
blog. buerstinghaus. net].
www.Admin-mAgAzin.de

TesT
small business server
A&M Rovenko, 123RF
Small Business Server 2011
Kaufladen
im dezember hat microsoft die neue Version 2011 von small business server veröffentlicht. der folgende Artikel
verrät im einzelnen, worin sich die verschiedenen Varianten unterscheiden und für welche einsatzzwecke sie
sich eignen. Thomas Joos
Mit dem eben erschienenen Small
Busi ness Server 2011 bietet Microsoft
den Kunden eine neue Version seines
All-in-one-Servers für kleine bis mittelständische
Unternehmen. Auch von der
neuen Version des SBS gibt es wieder
verschiedene Editionen. Dieser Artikel
erklärt anhand der Testversion von [1]
die Features und Unterschiede. Neben
SBS 2010 Standard und Essentials stellt
Microsoft für kleine Unternehmen oder
Abteilungen auch Windows Server 2008
R2 Foundation zur Verfügung.
SBS 2011 Standard
Die Edition SBS 2011 Standard (Entwicklungsname
SBS 7) führt die Tradition
von SBS 2003, 2003 R2 und 2008 fort
und bietet aktuelle Serverlösungen für
Datenablage und Intranet sowie Patches
und E-Mail in einem Produkt an. Die
Edition lässt sich für bis zu 75 Benutzer
lizenzieren. Im SBS enthalten ist Windows
Server 2008 R2 Standard Edition
als Basis-Betriebssystem in der 64-Bit-
Edition, allerdings ohne das SP1. Dieses
lässt sich aber problemlos nachinstallieren
und meldet als Installation auch
gleich Windows Small Business Server
Service Pack 1 (Abbildung 1).
Wie bereits der direkte Vorgänger SBS
2008 setzt SBS 2011 voll auf 64 Bit. Als
E-Mail-System ist Exchange Server 2010
mit SP1 Standard Edition integriert. Sie
unterstützt bis zu fünf Postfachspeicher,
die Exchange-Datenbanken können eine
maximale Größe von 16 TByte erreichen.
Leider verwendet auch Exchange Server
2010 immer noch eine ESE-Datenbank
(Extensible Storage Engine, auch als Jet
Blue bekannt), ebenso wie seine Vorgängerversionen.
Zwar hat Microsoft die Geschwindigkeit
dieser Datenbank nochmals gesteigert,
dennoch neigen solche Datenbanken zu
irreparablen Defekten. Eine längst überfällige
Integration in den SQL-Server lässt
weiter auf sich warten. Speichergruppen
gibt es nicht mehr, Postfachdatenbanken
stellen jetzt die oberste Ebene dar. Jede
Postfachdatenbank hat ihren eigenen
Satz Transaktionsprotokolle, in SBS 2008
mussten sich die Postfachdatenbanken
einer Speichergruppe noch die Transaktionsprotokolle
teilen. Die Onlinewartung
der Datenbanken (nicht zu verwechseln
mit der Offline-Defragmentation durch
Eseutil.exe) läuft jetzt nicht nur nachts
und stört damit die Datensicherung, sondern
ist als ständiger Prozess im Hintergrund
aktiv.
Bei den Vorgängerversionen hat die Onlinewartung
während der Onlinedatensicherung
des Postfachspeichers pausiert.
Das kann sich darin äußern, dass diese
Wartung nach der Sicherung weiterläuft,
und zwar auch noch dann, wenn sich
morgens bereits Benutzer anmelden. Die
Folge sind Leistungseinbußen und unzufriedene
Benutzer.
Anwender können sich über die neue
Outlook Web App (OWA) in SBS 2011
freuen. Die beliebten Suchordner für das
Sortieren von E-Mails sind jetzt auch in
OWA verfügbar, Gleiches gilt für die Favoriten,
die viele Anwender bereits von
Outlook her kennen.
106 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

small business server
TesT
Abbildung 1: Installieren von Service Pack 1 für Windows Server 2008
R2 auf SBS 2011.
Die Ansichten in Outlook Web App orientieren
sich wieder etwas mehr an Outlook.
So lassen sich für den Kalender
mehrere Ansichten festlegen, genauso
wie in Outlook. E-Mail-Threads, also
E-Mails zu einem Thema, fassen Outlook
2010 und Outlook Web Access 2010 zu
so genannten Unterhaltungs-Ansichten
(Conversation Views) zusammen. Das
sorgt für Übersicht und hält den Posteingang
sauber.
Anwender, die ihr Handy oder Smartphone
an Exchange anbinden, können in
Exchange Server 2010 nicht nur Posteingang
und Kalender synchronisieren, sondern
auch aus OWA heraus SMS senden.
Dazu synchronisiert sich OWA mit dem
Handy oder Smartphone und sendet die
SMS an den Empfänger.
Die Zuteilung von Zertifikaten hat Microsoft
mit einem neuen Assistenten vereinfacht,
was die meisten Probleme damit
beheben sollte. Der Zugriff mit Mozilla
Firefox und Safari auf OWA 2010 ist ohne
Einschränkungen möglich.
Die neue Version des SBS realisiert mit
Sharepoint Foundation 2010 ein Intranet
mit Dokumentenmanagement-Funktionen.
Hierbei handelt es sich um den kostenlosen
Nachfolger von Windows Sharepoint
Services 3.0. Leider hat Microsoft
auch in der neuen Version des SBS nicht
den Search Server integriert, der wesentlich
mehr bietet als die Sharepoint Services,
doch dazu später mehr.
Auch der neue SBS bietet wieder eine aktuelle
Patchverwaltung, die auf Windows
Server Update Services 3.0 SP2 basiert.
Im Vergleich zu den Vorgängern bietet
Microsoft zahlreiche neue Tools, die Admins
bei der Migration von Vorgängerversionen
unterstützen sollen. Neu ist
die Integration der Office Web Apps, mit
denen Anwender im Browser mit Office-
Dokumenten arbeiten können.
Mit Office Web Apps stehen für Anwender
vollkommen kostenlos die wichtigs-
ten Office-2010-Programme
online bereit. Dateien sind
im Internet auf Sky drive
oder auf der lokalen Festplatte
speicherbar. Mit den
Onlineversionen von Word,
Excel, Powerpoint und Onenote
lässt sich nahezu genauso
arbeiten wie mit den
Offlineversionen, aber mit
eingeschränkter Funktionalität.
Die Lizenzen für Office Web Apps sind
nicht in SBS 2011 enthalten, Unternehmen
müssen dafür zusätzlich Office 2010
lizenzieren. Die Integration der Office
Web Apps erfolgt dann über Sharepoint
Foundation. Das ist allerdings auch in
der kleineren Essentials-Edition möglich
und auch mit Windows Server 2008 R2
Foundation.
Die Lizenzierung von SBS 2011 entspricht
der des Vorgängers SBS 2008. Unternehmen
benötigen eine Serverlizenz und eine
CAL für jeden Benutzer beziehungsweise
jedes Gerät. Der Preis der Serverlizenz
liegt bei 1096 US-Dollar, der Preis pro
CAL bei 72 US-Dollar.
Bessere Assistenten
Neben den enthaltenen Produkten und
deren neuen Möglichkeiten sind in SBS
2011 auch zahlreiche Assistenten integriert,
die Administratoren bei ihrer Arbeit
unterstützen. Auch die einfache Benutzeroberfläche,
die alle Verwaltungsauf-
Abbildung 2: Einheitliche Verwaltungsoberfläche im SBS 2011 Standard.
gaben in einem Verwaltungswerkzeug
zusammenfasst, ist hilfreich. Die Oberfläche
ähnelt sehr der Oberfläche von
SBS 2008, Administratoren finden sich
schnell zurecht (Abbildung 2).
Die Installation des Servers ist sehr einfach
und erfordert die Eingabe nur weniger
Daten. Alle Aufgaben zur Konfiguration
und Anbindung der Funktionen
sowie zur Erstellung der Active-Directory-Domäne
und Exchange-Organisation
laufen im Hintergrund ab. Der Server
überwacht alle angebundenen Clients
und kann anzeigen, ob beispielsweise
Patches fehlen oder der Virenschutz nicht
installiert ist.
Ein solcher Schutz fehlt auch in SBS 2011,
hier müssen Unternehmen auf Anwendungen
von Drittherstellern zurückgreifen.
Alternativ besteht für Unternehmen
die Möglichkeit, auf Microsoft Security
Essentials zu setzen. Dieser kostenlose
Virenschutz steht auch für Unternehmen
kostenlos zur Verfügung, nicht nur für
Privatanwender wie die meisten anderen
Freeware-Lösungen.
Zwar ist ein kostenloser Virenschutz besser
als gar keiner, Unternehmen sollten
ihre Daten aber besser mit professionellen
Lösungen schützen. Hier bieten die meisten
Hersteller spezielle Produkte für SBS
an. Benutzer haben auch in der neuen
Version die Möglichkeit, über das Internet
per Remote Web Access auf lokale
Daten im SBS-Netzwerk zuzugreifen, die
Oberfläche dafür hat Microsoft optimiert
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
107

TesT
small business server
Abbildung 3: Anwender können über das Internet auf Daten im Netzwerk und auf ihre Rechner zugreifen.
(Abbildung 3). Administratoren können
über diesen Weg im Browser eine RDP-
Sitzung auf dem SBS-Server starten und
so aus der Ferne Verwaltungsaufgaben
durchführen.
Enthalten ist auch ein Assistent, der bei
der Datensicherung helfen soll. Allerdings
ist die Sicherung sehr rudimentär.
Unternehmen tun gut daran, in Lösungen
von Drittherstellern zu investieren,
zum Beispiel Symantec Backup Exec. Die
meisten Hersteller von Datensicherungsprodukten
bieten auch hier spezielle Versionen
für SBS an.
Über Assistenten lässt sich der Server
auch nach der Installation vollends einrichten,
an das Internet anbinden, mit
Zertifikaten versorgen und sichern. Direkt
auf der Startseite sehen Administratoren,
ob mit dem Server und den angebundenen
Clients alles in Ordnung ist, also
Patches installiert, Virenschutz aktiv und
Daten gesichert sind. Durch verschiedene
Schaltflächen lassen sich alle Bereiche
des Servers leicht verwalten, Expertenwissen
ist kaum notwendig.
Durch die Integration von Exchange Server
2010 können Unternehmen, die SBS
2011 Standard verwenden, auch mobile
Clients per Exchange Activesync anbinden,
damit mobile Anwender E-Mails abrufen
können. Neben Windows-Mobile-
Clients funktioniert das mittlerweile bei
den meisten Herstellern problemlos, auch
mit Apples I-Phone. Unternehmen sollten
darauf achten, dass die Anwender möglichst
Handys einsetzen, die Exchange
Activesync enthalten.
Die Verwaltung der Benutzer findet in der
zentralen Konsole statt, genau wie beim
Vorgänger. Auf diese Weise lassen sich
sehr leicht Rechte erteilen und Gruppen
anlegen, genauso E-Mail-Verteilerlisten.
Geübte Administratoren können aber
auch auf die erweiterten Verwaltungsfunktionen
von Windows Server 2008 R2,
Exchange Server 2010, WSUS, SQL Server
2008 R2 und Sharepoint Foundation 2010
zugreifen.
In Windows Server 2008 R2 integriert
Microsoft die neue Version 2.0 seiner
Power shell, die mehr Befehle kennt als
die Version 1.0. Außerdem ist die Verwaltung
von Exchange und Sharepoint über
eigene Verknüpfungen integriert.
Mit Powershell
Die Powershell bietet eine grafische
Oberfläche, über die Systemverwalter
Skripte erstellen können. Das eröffnet
Administratoren, die gerne mit Skripten
arbeiten, neue Möglichkeiten der Systemwartung.
Neben der neuen Powershell
hat Microsoft auch andere Verwaltungswerkzeuge
überarbeitet und vor allem
auf einen Netzwerkbetrieb ausgelegt, bei
dem Administratoren von einer zentralen
Stelle aus mehrere Server verwalten
können. Eine weitere Neuerung ist die
Integration des Best Practices Analyzer in
den Server-Manager von Windows Server
2008 R2.
Sobald Serverrollen installiert und eingerichtet
sind, ist im Server-Manager (Abbildung
4) unter »Rollen« in der Mitte
der Konsole der Bereich »Best Practices«
zu finden. Er ermöglicht eine schnelle
Konsistenzüberprüfung. Der Benutzer
startet den Analyzer durch Auswählen
der Option »Diese Rolle überprüfen im
Server-Manager«. Wer doppelt auf eine
der Meldungen des Best Practices Analyzer
klickt, erhält ausführliche Informationen
über den Test. Den Best Practices
Analyzer gibt es nicht nur für Active Directory,
sondern für jede Rolle, die Windows
Server 2008 R2 und damit SBS 2011
bereitstellt.
Wie bereits bei den Vorgängern gilt auch
im SBS 2011, dass der Server der erste
Domänencontroller im Active Directory
sein muss, kein Bestandteil untergeordneter
Domänen sein darf und auch
keine Vertrauensstellungen mit anderen
Domänen unterstützt. Natürlich können
Unternehmen zusätzliche Domänencontroller
installieren, zum Beispiel über das
Premium-Add-on des SBS.
SBS bis 25 Benutzer
Kleinere Unternehmen mit bis zu 25
Benutzern, die die umfangreichen Serverfunktionen
des SBS nicht benötigen,
können auf den neuen SBS 2011 Essentials
zurückgreifen (Entwicklungsname
SBS Aurora). Bei dieser Ausgabe handelt
es sich im Grunde genommen um
einen aktualisierten und für kleine Unternehmen
angepassten Windows Home
Server der nächsten Generation. Auch
für den kleinen SBS-Server ist das Basisbetriebssystem
Windows Server 2008
R2, es fehlen aber die E-Mail-Funktionen
von Exchange Server 2010 sowie Intranetfunktionen.
Im Gegensatz zum Vorgänger Windows
Home Server, dessen Basisbetriebssystem
der betagte Windows Server 2003 ist,
steht SBS 2011 Essentials nur als 64-Bit-
Version zur Verfügung. Der Server benötigt
außerdem mindestens 1 GByte RAM
sowie eine Festplatten-Startpartition mit
160 GByte. Es fehlen zwar die Intranetfunktionen,
da Sharepoint Foundation
2010 aber ohnehin kostenlos zur Verfügung
steht, lassen sich diese mit wenig
Aufwand auch auf dem kleinen SBS installieren.
In der kleinen Ausführung sind lediglich
eine zentrale Datenablage, eine
automatisierte Datensicherung und die
Anbindung an Microsofts Cloud-Dienst
Office 365 integriert. Über diesen lassen
sich dann zusätzliche Onlinefunktionen
hinzubuchen, unter anderem vollwer-
108 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

small business server
TesT
tige Exchange-Postfächer, die direkt bei
Microsoft gehostet sind.
Für den Zugriff auf die kleine Edition
sind keine CALs notwendig, sondern nur
eine Serverlizenz, deren Preis bei etwa
545 US-Dollar liegt. Die Verwaltung eines
solchen Servers basiert ebenfalls auf einer
einheitlichen Verwaltungsoberfläche
und ist extrem einfach gehalten.
Wie beim Vorgänger Windows Home
Server, gibt es auch bei SBS 2011 Essentials
eine Schnittstelle für Add-ins.
Diese integrieren sich in die zentrale Verwaltungsoberfläche
und erweitern die
Funktionen des Servers, zum Beispiel
in den Bereichen Datensicherung, Internetanbindung,
Sicherheit und so weiter
(Abbildung 5).
Alle Clients im SBS-Netzwerk sind über
einen Connector mit dem Server verbunden.
Über diesen Connector wickelt
der Server auch die lokalen Sicherungen
der Computer ab und erledigt die Überwachung.
Im Gegensatz zur Standard-
Edition des SBS 2011 lassen sich mit SBS
2011 Essentials mit der automatisierten
Sicherung außerdem die angebundenen
PCs sichern, und zwar auch als Image.
Wenn ein Computer mal ausfällt, ist es
dann möglich, ihn mit einer Start-CD sehr
leicht wiederherstellen.
Premium Add-on
Unternehmen, die auf SBS 2001 Standard
oder Essentials setzen, können zusätzlich
das Premium Add-on für SBS 2011
erwerben. Es enthält eine zusätzliche Lizenz
für Windows Server 2008 R2 sowie
eine für SQL Server 2008 R2 for Small
Business. Mit diesen Lizenzen dürfen Unternehmen
einen weiteren Server im SBS-
Netzwerk installieren, inklusive Datenbank.
Zusätzlich besteht natürlich auch
die Möglichkeit, diesen Server für Remote
Desktop Services, als zusätzlichen Domänencontroller
oder als Host für einen
Hyper-V-Server zu nutzen. Anwender,
die auf den SQL-Server zugreifen wollen,
benötigen außerdem eine Premium-Addon-CAL.
Microsoft gibt den Preis des Premium-
Add-on mit 1604 US-Dollar an, eine CAL
soll 92 US-Dollar kosten. Microsoft stellt
allerdings außerdem auch die kostenlose
Edition SQL Server 2008 R2 Express Edition
zur Verfügung. Diese ist in SBS 2011
Standard bereits installiert, da Sharepoint
Foundation seine Daten in dieser Datenbank
ablegt. Die Größe der Datenbank
in dieser Edition ist jedoch auf 10 GByte
begrenzt. In der Version SQL Server 2008
Express Edition war sie sogar auf magere
4 GByte limitiert.
Gratis SBS-Ersatz
Windows Server 2008 R2 Foundation
stellt eine Einsteigerversion für kleine
Unternehmen dar. Im Gegensatz zu Small
Business Server 2011 gibt es keine eigene
Konsole. Die Verwaltung des Servers ist
identisch mit der herkömmlichen Verwaltung
von Windows Server 2008 R2.
Hyper-V ist bei dieser Edition nicht integriert,
aber Windows Server 2008 R2
Foundation lässt sich als Hyper-V-Gast
installieren.
Die Edition ist nur als OEM-Version erhältlich.
Eine Lizenz gestattet die Installation
auf einer physischen Maschine.
Im Gegensatz zu den anderen Editionen
sind keine weiteren virtuellen Maschinen
mit einer Lizenz erlaubt. Auf die Edition
dürfen maximal 15 Benutzer zugreifen,
dafür benötigen Anwender keine CAL für
den Zugriff, diese sind im Betriebssystem
bereits integriert.
Kommt die Edition als Remote-Desktop-
Server zum Einsatz, dürfen sich ebenfalls
nur 15 Benutzer mit dem Server verbinden.
Für diese Benutzer sind allerdings
RDS-CALs notwendig, denn diese sind
nicht im Betriebssystem integriert. Setzen
Unternehmen Windows Server 2008
R2 Foundation in einem Active Directory
ein, sind in dieser Domäne wieder nur
maximal 15 Benutzerkonten gestattet.
Der Server darf auch nicht dazu verwendet
werden, untergeordnete Domänen zu
erstellen. Stellt der Server Lizenzverstöße
fest, fährt er automatisch nach 11 Tagen
herunter.
Die Version ist auf die Standard-Edition
aktualisierbar, ohne den Server neu zu
installieren. Der Server unterstützt eine
CPU und maximal 8 GByte RAM. Auch
Windows Server 2008 R2 Foundation ist
nur als 64-Bit-System verfügbar. Firmen,
die ein Intranet mit Dokumentenmanagement
benötigen, können aber auch in
dieser Edition die kostenlosen Sharepoint
Foundation 2010 oder besser den kostenlosen
Search Server 2010 Express Edition
installieren.
Auch wenn es der Name nicht vermuten
lässt, handelt es sich bei Search Server
2010 Express um eine Version von
Sharepoint Foundation 2010 mit allen
Funktionen, die auch Foundation bietet.
Allerdings bringt Search Server 2010 Express
Anwendern auch eine vollwertige
Suchplattform, die fast identisch mit
der Suche in Sharepoint Server 2010 ist.
Außerdem lässt sich mit Search Server
2010 Express eine Volltextsuche von PDF-
Dateien durchführen, was bei Sharepoint
Foundation 2010 nicht möglich ist. Es gibt
keinerlei Gründe, Sharepoint Foundation
Abbildung 4: Geübte Admins können sich mit erweiterten Verwaltungswerkzeugen auch in SBS 2011 austoben.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
109

TesT
small business server
Abbildung 5: Verwaltungsoberfläche von SBS 2011 Essentials (Aurora).
2010 als Ersatz für Search Server 2010
Express einzusetzen.
Bessere Suche
Neben den Standardfunktionen, die
Share point Foundation 2010 auch bietet,
also Bibliotheken, Listen, Workflows
und so weiter, kann Search Server 2010
Express Edition über Konnektoren auch
andere Systeme durchsuchen. Die Ergebnisse
zeigt der Server übersichtlich in
einer Weboberfläche an. Mit Search Server
2010 Express lassen sich Sharepoint-
Seiten durchsuchen, Netzwerkfreigaben,
öffentliche Ordner in Exchange, Lotus
Notes, Websites und andere Systeme, die
durch Filter angebunden sind.
Ein wesentlicher Vorteil von Search Server
2010 Express besteht in der Möglichkeit,
eine Volltextsuche in PDF-Dateien
durch einen speziellen PDF-Filter durchführen
zu können. Diese Funktion ist
mit Sharepoint Foundation 2010 nicht
möglich. Deshalb ist es schade, dass
Microsoft auch im neuen SBS 2011 nicht
den erweiterten Search Server integriert,
sondern die kastrierte Sharepoint Foundation
2010.
Zwar lässt sich diese Version grundsätzlich
auf Search Server 2010 Express aktualisieren,
allerdings läuft dann das interne
Intranet des SBS nicht mehr sauber.
Aus diesem Grund sollten nur erfahrene
Admins diesen Schritt wagen. In der Vorgängerversion
Windows Sharepoint Ser-
vices 3.0 war eine direkte Aktualisierung
zu Search Server 2008 Express Edition
noch nicht möglich.
Fazit
Microsoft stellt speziell für kleine Unternehmen
mittlerweile drei verschiedene
Editionen des Small Business Server
zur Verfügung. Firmen, die neben einer
zentralen Datenablage auch ein lokales
E-Mail-, Groupware- und Intranetsystem
einsetzen wollen, sind mit dem SBS 2011
in der Standard Edition gut beraten, vor
allem weil der Preis deutlich günstiger
ausfällt als bei den einzelnen Serverversionen.
Auch die Anbindung mobiler
Clients ist durch Remote Web Access gut
gelöst.
Administrieren lässt sich der SBS genauso
über die Powershell oder die Verwaltungskonsole
wie über die einfache
Verwaltungsoberfläche. Beim Einsatz
von SBS 2011 sollte der Admin nicht vergessen,
dass es sich um eine komplexe
Serverinfrastruktur mit Windows Server
2008 R2 und Exchange Server 2010 handelt.
Kleine Unternehmen, denen eine
zentrale Datenablage reicht und die nur
maximal 25 Benutzer haben, erhalten mit
SBS 2011 Essentials eine sehr mächtige,
aber extrem preisgünstige Serverlösung.
E-Mail-Postfächer lassen sich heutzutage
ohnehin günstig online erwerben, was
den Abstand zur teureren Standard Edition
weiter verschmälert.
Wer ein eigenes Intranet benötigt, kann
auch auf SBS 2011 das kostenlose Sharepoint
Foundation 2010 installieren oder
noch besser Search Server 2010 Express.
Mit etwas Nacharbeit steht der kleine
SBS dem großen funktional also in nichts
nach, ist aber auf maximal 25 Benutzer
begrenzt. Unternehmen, die noch eine
Datenbank benötigen, kaufen sich entweder
das Premium-Add-on für SBS oder
laden sich die kostenlose Datenbank SQL
Server 2008 R2 Express Edition herunter.
Die ist zwar auf 10 GByte Datenbankgröße
begrenzt, reicht aber für die meisten
Unternehmen aus. Die einheitliche
Verwaltungsoberfläche des SBS 2011 Essential
sowie die Möglichkeit, Daten von
Client-PCs zu sichern, sind ebenfalls ein
Pluspunkt.
Noch kleinere Unternehmen, die einfach
nur einen Server für die Datenablage benötigen,
kaufen den noch günstigeren
Windows Server 2008 R2 Foundation.
Eine Lizenz kostet teilweise weit unter
200 Euro. Da sich auch hier problemlos
Sharepoint Foundation 2010 installieren
lässt, hat der Server auch keine
größeren Nachteile. Allerdings fehlen die
einheitliche Verwaltungskonsole und die
Möglichkeit, Daten der Anwender-PCs zu
sichern. Mit eigenen Gruppenrichtlinien,
kostenlosen Anwendungen und Ordnerumleitungen
können geübte Admins aber
auch dies einrichten. Mit etwas Mühe
lässt sich Windows Server 2008 R2 Foundation
leicht zu einem SBS 2011 für bis zu
15 Benutzer aufbohren.
Unternehmen, die Anwendern Office Web
Apps kostenlos zur Verfügung stellen
wollen, können übrigens auch kostenlos
auf Windows Live setzen. Auch hier
stehen die Office Web Apps – inklusive
kostenloser Skydrive-Online-Festplatte –
zur Verfügung. (ofr)
n
Infos
[1] Small Business Server 2011:
[https:// connect. microsoft. com/ sbs]
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft-Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
110 AusgA be 01-2011 Admin www.A dmin-mAgA zin.de

Openstack
TesT
Miredi, Fotolia
Openstack als offenes Cloud-Computing-Framework
Schnittstelle
Viele Administratoren wollen nicht in Abhängigkeit von einem Virtualisierungsanbieter geraten. eine gemeinsames
APi über Plattformen hinweg bietet einen Ausweg. Openstack ist ein Kandidat. Ramon wartala
Nahezu unbeachtet von der Öffentlichkeit
tobt seit einiger Zeit ein Kampf in
der IT, der ausnahmsweise nichts mit
mobilen Betriebssystemen und deren
Hardware-Inkarnationen zu tun hat. Und
doch sind die Protagonisten keine Unbekannten.
Die Rede ist vom Kampf um
die künftige Vorherrschaft beim so genannten
Cloud Computing. Jenem Buzzword,
das jetzt schon seit einiger Zeit die
Phantasien von Analysten [1], Beratungsunternehmen
[2], Hardwareherstellern,
Rechenzentrumsbetreibern und nicht
zuletzt CIOs und CTOs multinationaler
Firmen beflügelt.
Zugrunde liegt der anhaltenden Euphorie
der Traum von der bedarfsgerechten Rechen-
und Speicherkapazität auf Knopfdruck.
Was Amazon mit der Elastic Cloud
(EC2) eingeführt hat, um brachliegende
Serverkapazität außerhalb der Lastspitzen
des eigenen elektronischen Einkaufsladens
zu Weihnachten und Thanksgiving
zu monetarisieren, ist längst von
vielen Mitbewerbern kopiert worden.
Immer stärker engagieren sich in diesem
Segment auch klassische Hoster.
Bei all diesen Angeboten spricht man
landläufig auch von der so genannten Public
Cloud, einer Rechner- und Speicherwolke,
die jedem Inhaber einer Kreditkarte
verbrauchsabhängige Dienste über
das Internet anbietet. Neben vielen Startups,
die derartige Dienste nutzen, um das
eigene Infrastruktur-Investment so klein
wie möglich zu halten, interessieren sich
auch immer mehr klassische Firmen und
vor allen Dingen große Finanzdienstleister
für diese Art verbrauchsbezogener
Nutzungsmodelle.
Deren Sicherheitsanforderungen ließen
bald den Wunsch nach einer so genannten
Private-Cloud-Technologie aufkommen.
In der Handhabung sollen diese Inhouse-
Lösungen ebenso einfach sein wie die
von Amazon angebotenen Dienste und
idealerweise über gleiche Schnittstellen
kommunizieren können. Diese Schnittstellengleichheit
würde die Möglichkeit
eröffnen, so genannte Inter-Clouds zu realisieren,
die sowohl bei Überlastung der
eigenen privaten Cloud (Cloud Bursting)
als auch bei der Lastverteilung (Cloud
Balancing) hilfreich sein könnten.
2007 betrat erstmals das als Forschungsprojekt
des Departments of Computer
Science der Universität von Kalifornien
in Santa Barbara initiierte Eucalyptus die
Bühne, das ein AWS-kompatibles API
aufweist. Angeboten wird Eucalyptus in
einer kommerziellen Enterprise- und in
einer Community-Edition.
Dies von MySQL bekannte Geschäftsmodell
ist für Regierungs- und regierungsnahe
Organisationen wie die NASA ein
Problem. Eine nicht wirklich offene Infrastruktur
kann die Investitionen der öffentlichen
Hand nicht ausreichend schützen.
Um diese Infrastruktur geht es beim
Cloud Computing nun mal, die IaaS-
Schicht (Infrastrucure as a Service) der
Cloud, die verschiedene Hardwarekomponenten
virtualisiert und über ein einheitliches
API zugänglich macht.
Die im Juli 2010 vom amerikanischen
Hoster Rackspace, der NASA und weiteren
Partnern initiierte Openstack-Initiative,
soll genau diese Schicht zur Verfügung
stellen und einen quelloffenen
Industriestandard schaffen, der sich an
die Amazon-Schnittstelle anlehnt. Seit
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
111

TesT
Openstack
Bei Licht betrachtet und nach Studium der
aktuellen, aber vorläufigen Dokumentadem
22. Oktober ist die erste Software-
Release „Austin“ verfügbar [3], die eine
Abstraktion auf einzelne Rechnerknoten
(Openstack Compute) und die Nutzung
einer verteilten Objekt-Datenbank (Openstack
Storage) ermöglicht.
Intern werden beide Komponenten noch
als Nova und Swift geführt, die ihren
Ursprung in Produkten von Rackspace
haben. Die NASA steuerte mit Nebula
[4] die eigene quelloffene Hybrid-Cloud-
Plattform zum Openstack-Framework bei
und verließ gleichzeitig das Eucalyptus-
Projekt [5]. Auch die Ubuntu Foundation
ließ kürzlich vernehmen, dass sie den
Weg von Eucalyptus zu Openstack einschlagen
will [6].
Anatomie von Openstack
Cloud-Computing-Dienste wie Amazons
EC2 und S3 nutzen bestimmte Entitäten
für die Verwaltung von System- und
Speicherkomponenten. Um eine Schnittstellenkompatibilität
zu Amazons Webservices
zu erzielen, sind demnach ähnliche
Entitäten nötig. Wer Dienste des
Amazon-Webservice kennt, den wird die
Existenz folgender Entitäten in Openstack
nicht überraschen:
n Nutzer und Projekte: Ein Nutzer kann
mehrere Projekte haben. Jeder Nutzer
verfügt über ein Schlüsselpaar
(private, public) für den Zugriff auf
Listing 1: schlüssel erzeugen
01 nova‐manage project zipfile OSTEST rwartala
02
03 Generating RSA private key, 1024 bit long modulus
04 ........................++++++
05 ................................................+++
+++
06 e is 65537 (0x10001)
07 Using configuration from ./openssl.cnf
08 Check that the request matches the signature
09 Signature ok
10 The Subject's Distinguished Name is as follows
11 countryName :PRINTABLE:'US'
12 stateOrProvinceName :PRINTABLE:'California'
13 localityName :PRINTABLE:'MountainView'
14 organizationName :PRINTABLE:'AnsoLabs'
15 organizationalUnitName:PRINTABLE:'NovaDev'
16 commonName :PRINTABLE:'rwartala‐2010‐11‐2
0T17:02:57Z'
17 Certificate is to be certified until Nov 20 17:02:57
2011 GMT (365 days)
18
19 Write out database with 1 new entries
20 Data Base Updated
ein oder mehrere
Projekte. Jedes Projekt
verfügt über bestimmte
Kontingente
an Prozessorkernen,
Festplatten- und
Hauptspeicher und
so weiter.
n Jedem Projekt sind
virtuelle Maschinen
zugeordnet, die sich
als Images starten
lassen. Zur Kommunikation
mit dem Hypervisor
(KVM, Xen,
Hyper-V, Qemu) dient ein API.
n Instanzen sind virtuelle Maschinen,
die innerhalb der Cloud laufen.
n Volumes sind Block-basierte Speichermedien.
n Local Storage bezeichnet ein lokales
Speichermedium.
n Die Nutzung des API wird über Role
Based Access Control (RBAC) geregelt.
Rollen können dabei zum Beispiel sein:
System- oder Netzwerk-Administrator,
Projektmanager, Basisnutzer und so
weiter [7].
Aus technischer Sicht besteht das Openstack-Framework
aus folgenden Komponenten
(siehe Abbildung 1).
Alle Informationen und Einstellungen der
Cloud sind in der Datenbank gespeichert.
Über das REST-API lassen sich alle Cloud-
Komponenten ansprechen. In der Regel
wird man dies nicht über die Kommandozeile
tun, wie in der aktuellen Release
von Openstack, sondern eher über Fat
Clients oder Webanwendungen (Web
Dashboard). Der Auth-Manager regelt
den Rollen-basierten Zugriff auf die
Funktio nalität des API, sodass nicht alle
Nutzer einzelne Instanzen hoch- und
runterfahren können. Der Scheduler verteilt
Zugriffe und Rechenzeit auf die einzelnen
virtuellen Komponenten.
In der aktuellen Release sind noch nicht
alle Komponenten von Openstack voll
ausgebaut. So ermöglicht der Object Store
aktuell nur die Speicherung von Objekten,
die kleiner als 5 GByte sind. Auch
Rollen-basierte Quotas fehlen noch.
Einfacher Knoten
Abbildung 1: Openstack umfasst eine Reihe von Komponenten, darunter
den Message Broker AMQP.
tion der ersten Openstack-Release, finden
sich alte Bekannte und noch nicht allzu
viel Neues. Nova kümmert sich um den
Openstack-Computing-Teil (siehe Abbildung
1). Um mit Openstack eigene virtuelle
Maschinen erzeugen und verwalten
zu können, bedarf es nicht viel mehr
als eines aktuellen Linux-Systems. Vorzugsweise
Debian, Ubuntu oder Cent os
in einer aktuellen Release, da dort die
nötigen Pakete über die Installations-Manager
verfügbar sind. Folgende Schritte
sind für einen ersten Test nötig:
1. Einrichten eines Openstack-Administrators.
2. Erzeugung eines Openstack-Projekts.
3. Generierung geeigneter privater und
öffentlicher Schlüssel.
4. Anlegen eines geeigneten Image für
den Betrieb von virtueller Maschinen-
Instanzen.
5. Hochladen der Images und Start der
Instanz(en).
Im folgenden Installationsbeispiel soll
Ubuntu als Testsystem dienen. Openstack
Compute baut auf dem Messaging-Server
Rabbit-MQ [8] und der NoSQL-Datenbank
Redis [9] auf. Zusammen mit Nova
lassen sich diese wie folgt installieren:
apt‐get install rabbitmq‐server redis‐server
apt‐get install python‐nova
apt‐get install nova‐api nova‐objectstore U
nova‐compute nova‐scheduler nova‐network
Schließlich wird noch die Euca2ool-Suite
[10] benötigt, die ein Kommandozeilen-
Tool für die Kommunikation mit dem
REST-basierten Webservice von Openstack
ermöglicht. Im Funktionsumfang
den Amazon-Kommandozeilen-Tools
sehr ähnlich, lassen sich damit die Images,
Instanzen und Volumes managen:
112 AusgAbe 01-2011 Admin www.Admin-mAgAzin.de

Openstack
TesT
apt‐get install euca2ools unzip
Sind alle Tools beisammen, ist mit Hilfe
des Nova-Manage-Tools ein geeigneter
Nutzer als Administrator anzulegen:
nova‐manage user admin rwartala
Dabei werden sowohl ein Zugriffs- als
auch ein Sicherheitsschlüssel erzeugt:
export EC2_ACCESS_KEY=713211a4‐7a15‐470f‐U
ae54‐346b52e30a0e
export EC2_SECRET_KEY=244de6a1‐8aa3‐4e12‐U
9521‐03ac756abbdf
Der nächste Schritt besteht im Anlegen
eines neuen Nova-Projekts (»OSTEST«
steht hier für Openstack-Test). Der Befehl
nova‐manage project create OSTEST rwartala
erzeugt danach das Projekt, die nötigen
Zertifikate sowie die privaten und öffentlichen
Schlüssel (Listing 1).
Mit »unzip nova.zip« packt der Nutzer
diese Daten in das Homeverzeichnis aus.
Was jetzt noch fehlt, ist ein geeignetes
Image, das instanziiert werden kann.
Rackspace bietet ein vorgefertigtes Test-
Image für den Betrieb einer virtuellen
Maschine an. Unter
wget http://c2477062.cdn.cloudfiles.U
rackspacecloud.com/images.tgz
lässt es sich herunterladen und mit
tar xvzf images.tgz
auspacken. Um daraus für Openstack
Compute ein ausführbares Image zu erzeugen,
wird die Euca2ool-Suite bemüht.
Mit
euca‐bundle‐image ‐i images/aki‐lucid/U
image ‐p kernel ‐‐kernel true
Checking image
Tarring image
Encrypting image
Splitting image...
Part: kernel.part.0
Generating manifest /tmp/kernel.manifest.xml
und
euca‐bundle‐image ‐i images/ari‐lucid/U
image ‐p ramdisk ‐‐ramdisk true
werden ein entsprechendes Kernel-Ramdisk-Paar
aus dem Image und ein entsprechendes
Image-Manifest erzeugt. Dieses
beschreibt das Image und enthält darüber
hinaus die erzeugten Zertifikate. Beide
Images können dann in die Cloud geladen
werden, und zwar mit Hilfe von:
euca‐upload‐bundle ‐m /tmp/kernel.manifestU
.xml ‐b mybucket
euca‐upload‐bundle ‐m /tmp/ramdisk.manifest.xmlU
‐b mybucket
Was jetzt noch fehlt, sind entsprechende
Schlüssel, um Zugang zur Instanz über
SSH zu bekommen. Mit
euca‐add‐keypair rwartala_key > rwartalaU
_key.priv
chmod 600 rwartala_key.priv
werden die Schlüssel erzeugt. Dann lässt
sich die Instanz mit Hilfe von
euca‐run‐instances ami‐g06qbntt ‐‐kernelU
ami‐fcbj2non ‐‐ramdisk ami‐orukptrc ‐k U
rwartala_key
starten. Läuft die VM, kann man sich mit
Hilfe des zuvor generierten SSH-Schlüssels
und
ssh ‐i rwartala_key.priv root@10.0.0.3
auf die Maschine verbinden.
Hinter den Kulissen
Beim Aufkommen neuer Technologien
stellt sich immer die Frage, ob sich ein
genauer Blick darauf wirklich lohnt. Dabei
ist es interessant, wer alles hinter
dem Openstack-Projekt steht. Prominent
sie die beiden Initiatoren Rackspace und
die NASA. Hinter den Kulissen sind aber
auch so bekannte Firmen wie AMD, Dell
und vor allen Dingen Citrix [11] mit von
der Partie.
Man erinnere sich, dass Citrix im Jahre
2007 Xensource für den stattlichen Betrag
von 500 Millionen US-Dollar übernahm,
um den populäre Open-Source-Hypervisor
Xen in das kommerzielle Produkt
Xenserver zu überführen und damit den
Marktführer VMware anzugreifen. Seit
Citrix auch eng mit Microsoft bei der
Entwicklung und Nutzung von Hyper-
V zusammenarbeitet und VMware in
Springsource und Google auch keine Verbündeten
gefunden hat, sind die Claims
um die Vorherrschaft beim Thema Cloud
Computing abgesteckt. Zumal Openstack
als freie Alternative für die von VMware
propagierten V-Cloud und V-Sphere entwickelt
werden soll.
Fast schon ironisch nimmt sich bei all der
Konkurrenz die technologische Einigkeit
aus. So ist die in Openstack enthaltene
Messaging-Middleware Rabbit-MQ unter
anderem von Springsource entwickelt
worden, das seit Sommer 2009 zu VMware
gehört. Und der in Openstack genutzte
freie Key-Value-Store Redis wird
aktuell von VMware gesponsert.
Bis jetzt ist die Dokumentation recht dürftig
und es fehlt noch an entsprechenden
Management-Werkzeugen, aber nicht an
Interesse. Am Mitte November ausgetragenen
ersten Design Summit nahmen
bereits 250 Besucher von über 90 Firmen
teil. Vor dem Erscheinen der Frühjahrs-
Release von Openstack mit dem Codenamen
„Cactus“, soll noch „Bexar“ das
Licht der Welt erblicken. (ofr) n
Infos
[1] „The Recipe for Clouds Goes Open Source“:
[http:// bits. blogs. nytimes. com/ 2010/ 07/ 20/
the‐recipe‐for‐clouds‐goes‐open‐source]
[2] „As Cloud Platforms Battle For Credibility,
OpenStack Is Pretty Solid“: [http://
blogs. forrester. com/ james_staten/
10‐07‐19‐cloud_platforms_battle_
credibility_openstack_pretty_solid]
[3] „OpenStack ,Austin‘ Release is Out“:
[http:// www. openstack. org/ blog/ 2010/ 10/
OpenStack‐austin‐release‐is‐out/]
[4] Nebula: [http:// nebula. nasa. gov/]
[5] NASA‐Abschied von Eucalyptus: [http://
techie‐buzz. com/ foss/ nasa‐leaving‐the
‐eucalyptus‐cloud‐for‐real‐open‐source. html]
[6] Openstack für Ubuntu: [http:// gigaom.
com/ cloud/ canonical‐ceo‐on‐arm‐and
‐openstack‐for‐ubuntu‐servers/]
[7] Openstack‐Rollen: [http:// nova. OpenStack.
org/ devref/ auth. html# auth‐roles]
[8] Rabbit‐MQ: [http:// www. rabbitmq. com/]
[9] Redis: [http:// code. google. com/ p/ redis/]
[10] Euca2tools: [http:// open. eucalyptus. com/
wiki/ Euca2oolsGuide_v1. 1]
[11] „The Cloud is Open – See How It Stacks
Up“: [http:// community. citrix. com/
display/ ocb/ 2010/ 08/ 30/ The+Cloud+is+
Open+‐+See+How+It+Stacks+Up]
Der Autor
Ramon Wartala ist als freiberuflicher Systementwickler
und Berater für individuelle Online‐Marketing‐Anwendungen
tätig. Er ist Koautor des bei
Addison‐Wesley erschienenen Buches „Webanwendungen
mit Ruby on Rails“.
www.A dmin-mAgA zin.de
Admin
AusgA be 01-2011
113

SERVICE
Impressum und Vorschau
Impressum ISSN 2190-1066
ADMIN-Magazin
Monitoring
eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner Straße 71
81739 München
Tel.: 0 89/99 34 11-0
Fax: 0 89/99 34 11-99 oder -96
Internet
www.admin-magazin.de
E-Mail
redaktion@admin-magazin.de
Geschäftsleitung
Chefredakteur
Redaktion
News/Report
Software/Test
Security/Networking
Ständige Mitarbeiter
Produktionsleitung
Grafik
Abo-Infoseite
Abonnenten-Service
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Oliver Frommel (V.i.S.d.P.),
ofrommel@linuxnewmedia.de (ofr)
Ulrich Bantle (Ltg.), ubantle@linuxnewmedia.de (uba)
Mathias Huber, mhuber@linuxnewmedia.de (mhu)
Anika Kehrer, akehrer@linuxnewmedia.de (ake)
Marcel Hilzinger, mhilzinger@linuxnewmedia.de, (mhi)
Kristian Kißling, kkissling@linuxnewmedia.de, (kki)
Jens-Christoph Brendel, jbrendel@linuxnewmedia.de (jcb)
Markus Feilner, mfeilner@linuxnewmedia.de (mfe)
Nils Magnus, nmagnus@linuxnewmedia.de (nma)
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
Jürgen Manthey (Schlussredaktion),
Carsten Schnober, Tim Schürmann
Christian Ullrich, cullrich@linuxnewmedia.de
Judith Erb
Titel: Judith Erb, Grafik: Kheng Ho Toh (123RF.com)
Abbildung iPad : © apple.com
www.admin-magazin.de/abo
Lea-Maria Schmitt
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Autoren dieser Ausgabe
Konstantin Agouros Vorgelesen 8
Falko Benthin Tabellendschungel lichten 92
Björn Bürstinghaus Brief-Archiv 102
Owen DeLong Hochgestapelt 16
Thomas Drilling Bewährtes erhalten 70
Bernd Erk Neuland 26
Dan Frost Eingepackt 76
Julian Hein Nummern ziehen 65
Thomas Joos Kaufladen 106
Thomas Joos Kraftpaket 86
Michael Kromer Vorgelesen 8
Russ McRee Kartografie 40
James Mohr Zu Diensten 60
David Rupprechter Alarmzentrale 54
Thorsten Scherf im Gleichtakt 80
Tim Schürmann Schrumpfkur 96
Tim Schürmann Torwart 46
Ralf Spenneberg Lebenszeichen 100
Ramon Wartala Schnittstelle 111
Preise Deutschland Ausland EU Österreich Schweiz
Einzelpreis € 9,80 (siehe Titel) € 10,80 Sfr 19,60
Miniabo € 9,80 (siehe Titel) € 10,80 Sfr 19,60
Abo (sechs Ausgaben) € 49,90 € 59,90 € 54,90 Sfr 99,90
Pressemitteilungen
Anzeigen/Repräsentanz
Leitung
National
Pressevertrieb
Druck
info@admin-magazin.de
Hubert Wiest, hwiest@linuxnewmedia.de
Es gilt die Anzeigenpreisliste vom 01.01.2010
Petra Jaser
Tel.: 089/99 34 11 24, Fax: 089/99 34 11 99
E-Mail: anzeigen@admin-magazin.de
MZV, Moderner Zeitschriften Vertrieb GmbH
Breslauer Straße 5, 85386 Eching
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck und Medienservice GmbH
97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen
Betriebssysteme verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/
UX (Hewlett-Packard) oder Sinix (Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/
Open. Linux ist eingetragenes Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit
seiner Erlaubnis verwendet. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung durch die
Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von Manu s kripten gibt der
Verfasser seine Zustimmung zum Abdruck im Admin-Magazin. Für unverlangt ein gesandte Manuskripte
kann keine Haftung übernommen werden. Die Redaktion behält sich vor, Artikel zu kürzen.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es darf kein Teil
des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in irgendeiner Form vervielfältigt
oder verbreitet werden.
Copyright © 1994–2010 Linux New Media AG
Inserentenverzeichnis
ADMIN http:// www.admin-magazin.de 7, 73, 75
DrayTek GmbH http:// www.draytek.de 13
Fernschule Weber GmbH http:// www.fernschule-weber.de 43
Galileo Press http:// www.galileo-press.de 15
HACKATTACK IT SECURITY GmbH http:// www.hackattack.com 51
Hetzner Online AG http:// www.hetzner.de 116
Hostserver GmbH http:// www.hostserver.de 2
Ico Innovative Computer GmbH http:// www.ico.de 77
Infosecurity http:// www.infosec.co.uk 53
Kamp Netzwerkdienste GmbH http:// www.kamp.net 33
Lamarc GmbH http:// www.lamarc.com 45
Linux Technical Review http:// www.linuxtechnicalreview.de 115
Linux User Spezial http:// www.linux-user.de/ spezial 79
Linux-Hotel http:// www.linuxhotel.de 25
Linux-Magazin http:// www.linux-magazin.de 90
Linux-Magazin Academy http:// www.academy.linux-magazin.de 49, 85
Netclusive GmbH http:// www.netclusive.de 11
netways GmbH http:// www.netways.de 19, 61
outbox AG http:// www.outbox.de 22
pascom - Netzwerktechnik GmbH & Co.KG http:// www.pascom.de 63
Provider4u Deutschland Ltd. http:// provider4u.de 97
Strato AG http:// www.strato.de 39
Thomas Krenn AG http:// www.thomas-krenn.com 9
Vollmar.net http:// www.vollmar.net 105
VORSCHAU
ADMIN 02/2011 ERSCHEINT AM 10. MÄRZ 2011
Strom sparen
Vor kurzem war Green IT noch das Schlagwort der Stunde.
Jetzt ist es etwas in den Hintergrund getreten, aber
stromsparender Computereinsatz hilft nicht zuletzt Kosten
zu senken. Das kommende ADMIN-Magazin geht der
Frage nach, was Administratoren tun können und welche
Möglichkeiten verschiedene Betriebssysteme bieten um
Energie zu sparen.
SSD-Speicher
Speicher auf Basis von
Solid-State-Technologie
werden gleichzeitig immer
billiger und schneller.
ADMIN testet Geräte und
zeigt, wo die neuen Festplatten
Vorteile bringen.
Norman Bates, photocase.com
114 AUSGABE 01-2011 ADMIN WWW.ADMIN-MAGAZIN.DE

elevant ■ verlässlich ■ kompetent
■ Virtualisierung
■ Monitoring
■ Storage und
Backup
Technical Review
Keine Zeit, um Berge von Datenmüll nach
Info-Nuggets zu durchsieben?
Dann lassen sie doch den Abraum liegen!
Die Technical Review bietet Know-how pur.
■ High Availability
■ Groupware
Ihre Inhalte sind
- von ausgewiesenen Spezialisten geschrieben,
- von einer kompetenten Fachredaktion ausgewählt,
- von namhaften Experten mehrfach geprüft.
■ Server Based
Computing
■ Spam
■ Performance
und Tuning
Eine Quelle für alle Fälle.
Wer weiß, was Wissen wert ist, muss nicht lange überlegen.
Registrieren Sie sich gleich unter
www.technicalreview.de
Einen Probeartikel
Ihrer Wahl gibt es gratis.
■ Datenbanken
Maxim Kazmin, 123RF
■ Security
■ Mobility
■ Migration
www.technicalreview.de

Der Trafficverbrauch ist kostenlos. Bei einer Überschreitung von 5.000 GB/Monat wird die Anbindung auf 10 MBit/s
reduziert. Optional kann für 6,90 € je weiteres TB die Bandbreite dauerhaft auf 100 MBit/s festgesetzt werden.