s06-11 ita 1210 a01 paessler - it-administrator · im test: bmc bladelogic operations manager...

Im Test:BMC Bladelogic

Operations Manager

Workshop:Disaster Recovery-

Konzepte für MS ExchangeWorkshop:

Aspekte der Desktop-Virtualisierung

Know-how:Kosten beim Umstieg auf Windows 7

Leseprobe

IT-Administrator 2010 / 2011 – Auszüge als LeseprobeIT-ADMINISTRATOR.DE

A K T U E L L I N e w s

8 Dezember 2010 www.it-administrator.de

Spiceworks präsentiert mit Version5.0 das neueste Release seiner gleich-namigen kostenlosen Software zumNetzwerk-Management. Neu ist un-ter anderem die Verwaltungsoberfläche“People View”, die es Administratorenermöglicht, anwenderbasiert Rech-ner und Cloud-Dienste zu überwa-chen, zu verwalten und bereitzu-stellen. IT-Verantwortliche haben damitdie Möglichkeit, E-Maildienste, dieHelpdesk-Tickethistorie oder kürzlichangeforderte Anschaffungen jedes ein-zelnen Benutzers mit Hilfe einer zen-tralen Oberfläche zu verwalten. Durchdie Integration von Microsoft Active Di-rectory erlaubt die Funktion das auto-matische Anlegen von Profilen und Be-nutzerkonten. Außerdem neu ist dasFeature, Konfigurationen von Netz-werkgeräten wie etwa Switches undRouter zu scannen, zu sichern, zu ver-

gleichen und wiederherzustellen. Dabeiaktualisiert die Software die Scans in re-gelmäßigen Abständen oder wenn neueGeräte zum Netzwerk hinzugefügt wer-den.Außerdem erfolgt bei Änderungender Netzwerkkonfigurationen automa-tisch eine Benachrichtigung. Eine wei-tere Funktion stellt außerdem eine ferngesteuerte Wiederherstellung vonEinstellungen auf Netzwerkgeräten mitHilfe des integrierten TFTP-Servers bereit. Für IT-Dienstleister interessant dürfte auch die neue Möglichkeit sein,zentralisierte Helpdesk- und anpassbareKundenportale zur Verfügung zu stellen.Dies soll die Verwaltung mehrerer Kun-dendienstanfragen in einer einzigenKonsole vereinen. Die jüngste Versiondes kostenlosen, durch Werbeeinblen-dungen finanzierten Werkzeugs steht absofort zum Download bereit. (ln)Spiceworks: www.spiceworks.com

Kostenlos, aber mächtig

CommVault stellt mit Simpana 9eine neue Version seiner Software-Suite zum Datenmanagement vor.Je nach Bedarf besteht die Lösung unter anderem aus Modulen zum Backup und zur Archivierung, zurReplikation oder stellt globale Such-funktionen bereit. Neu ist unter an-derem eine verbesserte Unterstüt-zung von virtuellen Maschinen(VM). So will der Hersteller auch inheterogenen Umgebungen die Absi-cherung einer großen Zahl von VMsermöglichen und greift dabei auf dieSnapProtect-Technologie zurück. DieSnapshots werden hierbei direkt aufdem Storage-Array abgelegt, so dassbei einer Wiederherstellung der Da-ten kaum Last auf den Produktivser-vern anfällt. Darüber hinaus soll dieSoftware die Verwaltung virtualisier-ter Umgebungen vereinfachen – einezentrale Konsole informiert über dieRessourcennutzung und die Spei-

cherauslastung virtueller und physika-lischer Infrastrukturen. Geschraubt hatCommVault ferner an der integrier-ten Deduplizierungsfunktion. Nebender Entfernung redundanter Daten aufdem Backup-Ziel erfolgt nun bereitsClient-seitig eine Eliminierung dop-pelter Informationen.Auf diese Weiseverringert sich schon vor dem Trans-port der Daten deren Volumen; derHersteller spricht von einer Reduzie-rung des Backup-Fensters von bis zu30 Prozent. Was das Tiering von In-formationen betrifft, sollen automati-sche Policies den Bedarf an manuel-len Eingriffen minimieren, egal, obUnternehmen die Daten vor Ort ab-legen oder in die Cloud auslagern. DieLizenzierung erfolgt nach der Anzahlder Server. Das Einstiegspaket mit fünfServern inklusive Backup- und De-duplizierungsfunktionen schlägt mit4.050 Euro zu Buche. (ln)CommVault: www.commvault.com/simpana.html

Modulares Datenmanagement

Mit der Storage-Appliance ETER-NUS CS800 S2 erweitert Fujitsusein Portfolio an Speicherlösungenmit integrierter Deduplizierungum ein Einstiegsmodell für mittel-ständische Unternehmen. Das Gerätsetzt zur Datensicherung auf Fest-platten und will mittels der einge-bauten Deduplizierung die Kapazi-tätsanforderungen für das Backup umbis zu 90 Prozent verr ingern. Auchfür die Replikation zwischen unter-schiedlichen Standor ten sieht derHersteller die Komponente geeignetund will dabei den Bedarf an Netz-werkbandbreite um den Faktor 20senken. Das Modell verfügt in derMinimalkonfiguration über eine Ka-pazität von 4 TByte, lässt sich aberbis 160 TByte ausbauen. Anschlussans Netzwerk findet die NAS-Ap-pliance je nach Var iante über min-destens 5 GBit-Ethernet-Ports. Diegrößeren Modelle unterstützen zurdirekten Er ste l lung von BändernSymantecs OpenStorage-API sowiePath-to-Tape und lassen sich zu die-sem Zweck mit zwei 8 GBit-FC-An-schlüssen aufrüsten. Maximal stelltdas Speicher-Element über NFS be-z i ehung swe i s e CIFS b i s zu 128Netzwerk-Freigaben bereit. Je nachSkalierung misst ETERNUS CS800S2 mindestens zwei Höheneinheitenund verbraucht 600 Watt Energ ie.Die neue Produktreihe ist ab soforterhältlich und kostet je nach Aus-stattung knapp 10.000 Euro. (ln)Fujitsu: http://de.fujitsu.com/products/storage/

Fujitsu richtet sich mit ETERNUS CS800 S2 vor allem an mittelständische Unternehmen und verspricht verringerte

Backup-Zeiten durch Deduplizierung

Dedupe für den Mittelstand

ouble-Take hat sich in den letztenJahren überwiegend im Windows-

Umfeld als zuverlässiger Lieferant für sta-bile Replikationslösungen zur Erhöhungder Datensicherheit etabliert. Neben in-telligenten Recovery-Produkten für phy-sikalische Systeme bietet Double-TakeVarianten für virtuelle Systeme und fürVMware Virtual Infrastructure (ESX Ser-ver) an. Daher lag es nahe, auch eine Ver-sion für die Windows 2008 Hyper-V-Plattform zu entwickeln.

Sicherheit durch ReplikationVon der Grundfunktion her arbeiten al-le Double-Take-Produkte ähnlich: Siereplizieren Teile oder auch einen kom-pletten Server im laufenden Betr iebkontinuierlich auf ein zweites Systembeziehungsweise an eine zweite Lokati-on, um bei einem Ausfall des Primär-systems die Daten oder Anwendungenüber das Sekundärsystem fast verzugsloswieder bereitzustellen. Die Replizierungerfolgt über das Netzwerk. Bei denQuell- und Zielservern handelt es sichstets um völlig eigenständige Systemeohne gemeinsame Komponenten, so dasses keinen Single Point of Failure gibt.Teure Investitionen in SAN-Umgebun-gen oder Cluster sind nicht nötig. Für

eine Replizierung ist so durchaus Stan-dard-Hardware mit lokalen Raid-Plat-ten-Einheiten geeignet.

Double-Take für Hyper-V (DTHV) decktfunktional zwei Grundszenarien ab. Daseine ist die Absicherung eines physikali-schen Servers durch eine virtuelle Ma-schine (VM) unter Hyper-V, wobei sichdurchaus mehrere physikalische Server aufein zentrales Hyper-V-System replizierenlassen. Der Vorteil besteht darin, dass imNormalfall für den Betrieb die volle Leis-tung eines eigenständigen Servers zur Ver-fügung steht und ein Hyper-V-System als

Backup für mehrere dieser Server dient,was letztendlich ein kostengünstiges Aus-fallkonzept ermöglicht. Das zweite Sze-nario stellt die Replizierung von Hyper-V-VMs auf einen anderen Hyper-V-Hostdar. Dabei ist keine 1:1-Beziehung zwi-schen zwei Hyper-V-Hosts erforderlich,es lässt sich vielmehr für jede VM das Ziel-system individuell festlegen. Ein Unter-nehmen kann also bei Bedarf eine ganzeHyper-V-Farm aufbauen, in der die VMsnach einem vorgegebenen Muster repli-ziert werden. Selbstverständlich ist es auchmöglich, nur für wichtige VMs eine Re-plizierung einzurichten.

D

16 August 2009 www.it-administrator.de

Im Test: Double-Take für Hyper-V

Spieglein, Spieglein im RZvon Jürgen Heyer

Analog zum Schutz von virtuellen Systemen unter VMwaredurch Replikation ist Double-Take einer der ersten Anbieter, der eine

entsprechende Lösung auch für die Windows 2008 Hyper-V-Plattform präsentiert. IT-Administrator hat das brandneue Double-Take für Hyper-V genauer untersucht,

was anfangs aufgrund einiger Bugs allerdings nicht ganz einfach war. Mit unseren Hinweisen konnten wir dann der Entwicklungsabteilung von Double-Take bei der

Fehlersuche und Produktoptimierung einige wertvolle Ratschläge geben, damit das ansonsten zuverlässige Programm auf einem

deutschsprachigen Server reibungslos funktioniert.

P R O D U K T E I T e s t

Bild 1: Drei Assistenten reichen, um die Funktionalität von Double-Take für Hyper-V abzubilden

www.it-administrator.de August 2009 17

Übersichtliche InstallationDie Installation von DTHV selbst erwiessich als unproblematisch.Wahlweise kannein Administrator nur die Server- oderauch die Clientkomponenten auf denSystemen einrichten. Er sollte darauf ach-ten, aus dem Installationsmenü tatsäch-lich die DTHV-Version zu wählen, dadas normale Double-Take zusätzlich inder Auswahlliste zu finden ist. Letztend-lich wird es bei der Hyper-V-Varianteebenfalls als Basisdienst mit benötigt. DieClientkomponente stellt letztlich dieSteuerkonsole dar, die wir für den Testauf einem eigenen Arbeitsplatz instal-lierten, wobei hier mindestens WindowsXP SP2,Windows 2003 SP1 oder Wind-ows 2008 vorausgesetzt werden.

Die Installationsroutine öffnet auf Wunschautomatisch die benötigten Ports 6320,6332 und 135 auf der Firewall des Ser-vers, zusätzlich ist es erforderlich, dieNetzwerkerkennung auf den Hyper-V-Hosts zu aktivieren.Weiterhin legt dieRoutine in der lokalen Benutzerverwal-tung drei Double-Take-Gruppen an.Hier ist es wichtig, mindestens einen Be-nutzer in die Gruppe der Double-Take-Admins aufzunehmen, mit dem die Au-thentifizierung innerhalb der Konsoleerfolgt. Für den Test von DTHV standenuns zwei Server mit Dual- und Quad-core-Prozessoren mit ausreichend Plat-tenkapazität sowie Arbeitsspeicher zurVerfügung, auf denen wir Windows Ser-ver 2008 Enterpr ise deutsch sowieDTHV installierten, dessen Oberflächeallerdings stets in Englisch ist.

Angepasste Ablagestruktur für VMsStandardmäßig schlägt der Hyper-V-Ma-nager für die Anlage virtueller Maschinenein gemeinsames Verzeichnis für die Fest-plattendateien vor sowie ein weiteres Ver-zeichnis, in dem er für jede VM einenUnterordner für die Konfiguration,Snapshots und weitere Daten anlegt. Mitdieser Struktur kann DTHV nicht um-gehen. Die Software verlangt, dass für je-de VM ein eigener Ordner gegebenen-

Bei der Entscheidung für den Test von Double-Take fürHyper-V hatten wir vorab mit der zuständigen Presse-agentur gesprochen, da wir uns nicht sicher waren, obwir besser die schon länger auf dem Markt befindlicheVersion für VMware oder eben die brandneue Variante fürHyper-V testen sollen. “Die Hitraten auf den Webseitenvon Double-Take für das Hyper-V-Produkt zeigen ein deut-lich größeres Marktinteresse” war die für uns ausschlag-gebende Antwort. Dass dies zu einer etwas zeitintensi-ven, aber ebenso interessanten und fruchtbaren Produkt-evaluierung führen würde, hätten wir vorher nicht ge-dacht. Interessant und fruchtbar deshalb, weil sich derSupport von Double-Take als überaus engagiert zeigte,regelmäßig über die Fortentwicklung berichtete und so ei-nen Einblick in die zu bewältigenden Probleme gewährte.Dabei haben die Entwickler Mails sogar sonntags beant-wortet. Ein Level 3-Supportspezialist, der direkt mit derEntwicklung kommunizierte, hatte sich der Thematik angenommen.

Bereits kurz nach der Installation zeigte sich das erste un-überwindbare Problem, dass der Assistent mit einer wenigaussagekräftigen Fehlermeldung die Einrichtung einer Re-plikation verweigerte. Da das gleiche Problem vorherschon einmal auf einem französisch-sprachigen Serveraufgetreten war, tippte der Supporter auf ein generellesProblem mit unterschiedlichen Sprachversionen und liefer-te eine modifizierte DLL-Datei, die den Fehler tatsächlichbeseitigte. Die DLL-Datei mussten wir manuell in mehre-ren Verzeichnissen ersetzen, da keine Patchroutine exis-tierte. Nun ließen sich Replikationen einrichten, die auchsynchronisierten. Beim Failover-Test traten allerdings er-neut Probleme auf. Egal ob wir die integrierte Failover-Funktion nutzten oder den Quellserver abrupt ausschalte-ten – auf dem Zielserver wurden unter Hyper-V keinevirtuellen Maschinen registriert und gestartet. Dieses Ver-halten war bei Double-Take noch nicht beobachtet worden

und so lieferten wir umfangreiche Logdateien und Ver-zeichnisinhalte, nach deren Auswertung Double-Take denFehler schließlich nachvollziehen konnte.

Innerhalb einer Woche lieferte der Hersteller einen kom-plett neuen Build, der allerdings wieder einen Bug im As-sistenten hatte, ähnlich wie der erste Fehler. Weitere dreiTage später erreichte uns ein fehlerfreier Build, mit demwir dann alle Funktionen testen konnten. So waren wirfast live dabei und zumindest die ersten hierzulande, dieDTHV in komplett lauffähigem Zustand betreiben konn-ten. Aus den Gesprächen mit dem Spezialisten konntenwir deutlich heraushören, dass Microsoft nach wie vornicht alles offenlegt und manche Dinge wohl einfach ge-testet werden müssen. Wenn es dann Unterschiede zwi-schen den Sprachversionen gibt, fallen diese erst relativspät auf und führen genau zu solchen Effekten. Im vorlie-genden Fall lag es wohl an automatischen Übersetzun-gen, die Windows zum Teil durchführt, zum Teil aberauch nicht. So setzt Windows beispielsweise die Bezeich-nungen Betriebssystem-naher Verzeichnisse (Programme -Program Files, Benutzer - Users) oder Gruppen (Adminis-tratoren - Administrators) intern um, um eigentlich solcheNamensprobleme zu lösen.

Selbst wenn in diesem Fall das Produkt nicht auf Anhieblief, wollten wir es nicht gleich als “Bananensoftware”abstempeln, die erst beim Kunden reift. Es ist offensicht-lich nicht so einfach, für solch ein komplexes Betriebssys-tem wie Windows einen systemnahen Zusatz zu pro-grammieren, vor allem, weil auch Microsoft selbst langebenötigt hat, um die Hyper-V-Basis auf den Markt zubringen, noch kurzfristige Änderungen durchgeführt hatund zu guter Letzt nicht alle Schnittstellen offenlegt. ZumTestzeitpunkt war zudem schon die nächste Hürde inForm von Windows 2008 R2 in Sicht, die erneut Anpas-sungen erfordern wird.

Reifungsprozess


Bild 2: Double-Take für Hyper-V listet die aktiven Replikationsverbindungen übersichtlich auf


falls mit Unterordnern angelegt wird, indem sich die Festplatten-Dateien befin-den. Der Administrator muss also für je-de neue VM die Standardeinstellungenvon Hyper-V abwählen und manuell ei-nen neuen Ordner festlegen. Hinter-grund dafür ist, dass DTHV für diesenOrdner eine Replikation auf den zweitenServer ebenfalls wieder in eine korres-pondierende Verzeichnisstruktur ein-richtet und so sicherstellt, dass alle not-wendigen Dateien synchronisiert werden.Die erforderliche Struktur ist also ehermit der zu vergleichen, wie sie auchVMware verwendet.

Der Einsatz unterschiedlicher Hardwareist wie in unserem Fall mit verschiede-nen Servern mit Dual- und Quadcore-Prozessoren für DTHV kein Problem.Bezüglich der Verwendung unterschied-licher Netzwerkkarten und der Mög-lichkeit, unter Hyper-V auch mehr alsnur eine Netzwerkkarte zu verwendenund mehrere virtuelle Switches zu kon-figurieren, fragt DTHV bei der Einrich-tung einer Replikation grundsätzlich dieZuordnung ab. Der Administrator mussalso angeben, auf welche Karte im Ziel-system er die für die jeweilige VM ver-wendete Netzwerkkarte abbilden will.

Replikation und FailoverDie gesamte Bedienung läuft über die sogenannte “Double-Take Console” ab, dierelativ übersichtlich aufgebaut ist. EinAssistent unterstützt hier sinnvoll bei derEinrichtung und bietet drei Optionenan. Mit der ersten sind alle Systeme mitDTHV-Installation zu erfassen. Für denZugriff sind die Credentials für einenBenutzer anzugeben, der sich in derschon erwähnten DT-Admin-Gruppebefindet.Wir haben hierfür einen zen-tralen Domänenbenutzer gewählt. Un-schön wirkt, dass eine eventuelle Fehler-meldung nicht direkt auf das tatsächlicheProblem hinweist. Befindet sich bei-spielsweise der gewählte Benutzer nichtin der genannten Gruppe, so meldet DTimmer einen unbekannten Benutzer oderein falsches Passwort.

Konfiguration mit HindernissenSind mindestens zwei Hyper-V-Servererfasst, lässt sich die erste Replikationeinrichten. Dazu fragt der Assistent dasQuell-System ab, listet dann die dorteingerichteten VMs zur Auswahl auf,anschließend den Zielserver sowie ei-nen Pfad für die Ablage der Replika-Dateien. Im Test war allerdings bereitsnach der Abfrage des Quell-Servers

Schluss, DTHV antwortete stets mit ei-nem eher irreführenden Hinweis, so dasswir hier nicht weiterkamen. Daher wen-deten wir uns an unseren deutschen An-sprechpartner, der einen direkten Kon-takt zu einem Level 3-Spezialisten beiDouble-Take in den USA herstellte. Da-raus entstand eine intensive Zusam-menarbeit mit dem Hersteller, die wirim Kasten “Reifungsprozess” beschrie-ben haben.

Nachdem etwa zehn Tage später eineüberarbeitete Version vorlag, konntenwir nun Replikationen nach Beliebeneinrichten. Dabei müssen bei zwei Ser-vern nicht alle Aufträge in eine Rich-tung zeigen, sondern für eine sinnvolleLastaufteilung ist es möglich, dass auf jedem Server einige VMs produktiv lau-fen und die beiden Systeme sich ge-genseitig absichern. Fällt einer aus, über-nimmt jeweils der andere die ausgefal-lenen VMs. Es ist nur darauf zu achten,dass beide Server gerade von der Ar-beitsspeicherbestückung her in der Lagesind, alle VMs auch betreiben zu kön-nen. Beim Arbeiten mit der DTHV-Konsole fällt auf, dass die Fortschritts-angaben nicht genau stimmen, wennmehrere Replikationen parallel laufen.


Bild 3: Eine detaillierte Ereignisanzeige erleichtert eine Nachverfolgung der durchgeführten Aktionen sowie eine bessere Fehlersuche

Leistungsstarke Hardware mit Dual- oder Quadcore-Prozessor mit Windows Server 2008 Standard, Enter-prise oder Datacenter in der 64-Bit-Version mit instal-liertem Hyper-V-Service, mindestens 4 GByteHauptspeicher. Nicht unterstützt werden WindowsServer 2008 ohne Hyper-V, geclusterte Windows2008 Hyper-V Hosts sowie der Hyper-V Server 2008.Wer physikalische Server schützen will, kann mit 32-oder 64-Bit-Maschinen mit Windows Server 2003 abSP1 und mit Windows Server 2008 arbeiten. Um aufeiner physikalischen Maschine für eine bessere Inte-gration bei einem Failover die Hyper-V Integrations-dienste zu installieren, ist bei Windows Server 2003SP2 Voraussetzung. Weitere Bedingungen für den Be-trieb sind WMI und .NET in einer zum Betriebssystempassenden Version, wobei die Installationsroutine diesprüft und wie in unserem Fall das Service Pack 1 von.NET 3.51 automatisch nachinstalliert.

Systemvoraussetzungen

Statt für jede Verbindung die übertrage-ne Datenmenge und den prozentualenFortschritt getrennt anzuzeigen, bildetdie Software hier vielmehr Summen undgibt diese aus.

Failover und Failback ohne ProblemeNachdem alle konfigurierten Replika-tionen synchron waren, wollten wir dasVerhalten bei einem Failover prüfen.Hierzu verwendeten wir in einem ers-ten Schritt die vorbereitete Failover-Funktion. Diese fragt ab, ob tatsächlichein Live-Failover durchgeführt oder füreinen Test die Ziel-VM ohne Netz-werkkonnektivität hochgefahren wer-den soll.Wir entschieden uns für einenLive Failover. Dazu fährt DTHV dieQuell-VM herunter, deregistriert die-se, registriert zugleich auf dem Ziel-Ser-ver eine neue Hyper-V-VM mit iden-tischem Namen sowie einem Zusatz“_Replica” und fährt diese hoch. An-schließend ist der Server aus Benutzer-sicht wieder voll verfügbar.

Ist nun nach einem Failover ein Failbackgefragt, um beispielsweise nach Repara-tur der ausgefallenen Hardware die VMswieder zu verteilen, so lässt sich das rechtkomfortabel realisieren. Hierzu bestehtdie Möglichkeit, eine Replikation in um-gekehrte Richtung anzustoßen. Dazumuss Doubletake allerdings die ur-sprüngliche Quell-VM löschen, sofern

das Verzeichnisnoch existier t,denn letztendlichwird unabhängigvon den altenQuelldaten wie-der ein komplettneuer Spiegel auf-gebaut. Ist diesersynchron, kannder Administratorwieder einen Fai-lover zurück aufden alten Quell-Server anstoßen,so dass es letzt-endlich zu einer

Wiederherstellung des Ursprungszustandskommt. Dieses Szenario funktionierte imTest problemlos, ein Failback lief genau-so komfortabel ab wie ein Failover.

Nicht so elegant verhielt sich DTHV al-lerdings, wenn nach einem Ausfall einesHyper-V-Servers dieser gar nicht mehraufgebaut, sondern durch eine Neuinstal-lation ersetzt werden sollte. Das Problemist, dass sich einmal eingerichtete Repli-zierungen nur dann problemlos löschenlassen, wenn die beiden beteiligen Servervon der Konsole aus erreichbar, also on-line sind.Andernfalls verschwindet die Ver-bindung zwar augenscheinlich aus derKonsole, schlummert aber immer noch imHintergrund und es sind manuelle Berei-nigungen in der Registry notwendig.So ist es ratsam, die Registry nach den verwendeten Systemnamen und IP-Adres-sen zu durchsuchen und die verwaistenEinträge zu löschen. Hier besteht nochOptimierungsbedarf.

Absicherung physikalischer MaschinenNeben dem Schutz von VMs testetenwir abschließend die noch verbleiben-de, dritte Option des Assistenten, eineReplikation von einem physikalischenServer auf eine Hyper-V-VM. Unser ab-zusichernder Server lief unter Windows2008 und DTHV bot bei der Einrich-tung der Replikation an, schon zu Be-

www.it-administrator.de

Bild 4: Ein Failover lässt sich manuell auslösen, auch zum Test ohne Netzwerkverbindung und ohne die produktive Maschine herunterzufahren


ginn die Integrationsdienste für Hyper-V zu installieren, damit später im Failo-ver-Fall nichts mehr nachinstalliert wer-den muss. Hierzu nutzt das Programmetwas andere Prozesse wie bei der Hy-per-V-Replikation, die auf Anhieb feh-lerfrei laufen. So sahen wir bereits beider Einrichtung der Verbindung, dass aufdem Zielsystem eine entsprechende VMim Hyper-V-Manager angelegt wird, dieausgeschaltet ist. Es lässt sich einstellen,ob die VM bei Ausfall beziehungsweiseNichterreichbarkeit des physikalischenServers automatisch gestartet werden solloder nicht.

Bei unserem Test erfolgte die automati-sche Übernahme reibungslos und derServer war für die Anwender nach we-nigen Sekunden Ausfall wieder verfüg-bar. Allerdings vermissten wir hier dieMöglichkeit eines Failbacks.Angenom-men, der ausgefallene Server ist wiederfunktionstüchtig und soll die Arbeit er-neut übernehmen, dann sieht Double-Take hierfür keinen automatischen Pro-zess vor, was das Ganze recht aufwändigmacht. So können die beiden Systemefür eine Datenübernahme nicht gleich-zeitig laufen, da beide mit gleichem Na-men und eventuell sogar gleicher IP-Adresse im Netz sichtbar sind. Hier lässtDouble-Take den Anwender allein unddieser kann sich selbst überlegen, wie ereventuell mittels Backup und Restore

die Daten überträgt.Laut Double-Takesoll aber eine Fail-back-Funktion ineiner der nächstenVersionen hinzu-kommen.

FazitMicrosofts Hyper-V-Technologie istnoch nicht langeverfügbar und Dou-ble-Take hat seineHyper-V-Unter-stützung nur weni-ge Monate später

veröffentlicht. Der prinzipielle Ansatzvon Double-Take für Hyper-V über-zeugt auf der ganzen Linie, hinsichtlichZuverlässigkeit und Funktionalität istaber noch Optimierungsbedarf erkenn-bar, so dass wir empfehlen, vor einemproduktiven Einsatz noch einige Patchesund Updates abzuwarten. So lassen sichbestehende Replizierungen nur dannproblemlos löschen, wenn beide Seitenonline sind. Andernfalls bleiben Regis-try-Einträge zurück, die der Nutzer vor-sichtig manuell löschen muss. Bei derReplizierung einer physikalischen Ma-schine auf eine VM ist ein Failback nichtvorgesehen.Auch sind die Handbüchernoch nicht vollständig.

Wir kamen insgesamt zu dem Eindruck,dass Hyper-V und darauf aufbauendesystemnahe Produkte wie DTHV nochmit Vorsicht zu genießen sind, wenigeraufgrund von Bugs in der zusätzlichenSoftware, sondern vielmehr, weil Hyper-V selbst immer noch im Wandel ist. Sowird beispielsweise der zum Testzeit-punkt nur als Beta verfügbare Windows2008 Server R2 von DTHV (noch)nicht unterstützt, da dortige Änderun-gen erst abzuwarten sind. Dazu kommt,dass Microsoft nach wie vor nicht alleSchnittstellen offenlegt und vor allemdie Entwickler von solch systemnaherSoftware wie DTHV viel Arbeit inves-tieren müssen, um ihr Produkt genau

anzupassen. Wir können jedem Admi-nistrator nur empfehlen, umfassende ei-gene Tests und Pilotinstallationen vor ei-nem geplanten Einsatz durchzuführen,um zu prüfen, inwiefern die Lösung dieeigenen Anforderungen erfüllt und oballes fehlerfrei läuft. (ln)


ProduktProgramm für die Replikation virtueller Maschinen unter Hyper-V zur Erhöhung der Verfügbarkeit.

HerstellerDouble-Takehttp://de.doubletake.com/

PreisDouble-Take für Hyper-V kostet inklusive einem Jahr7x24-Support abhängig von der OS-Version des Hyper-V Hosts in der Standard Edition 1.995 Euro, in der Enterprise Edition 2.995 Euro und in der Datacenter Edition 4.995 Euro für unlimitierte VMs.

Technische Datenwww.it-administrator.de/downloads/datenblaetter

So urteilt IT-Administrator (max. 10 Punkte)

Double-Take für Hyper-V

Installation

Bedienung/Übersichtlichkeit

Failover

Failback

Dokumentation

8

7

9

7

6

Dieses Produkt eignet sich

optimal für Unternehmen, die einen kosten-günstigen und wirksamen Ausfallschutz für mehrere physikalische Maschinen oder ihre Hyper-V-VMs benötigen.

bedingt, wenn nur eine physikalische Maschineoder nur sehr wenige Hyper-V-VMs abzusichernsind. Dann sollten Kosten und Aufwand genau geprüft werden.

nicht, wenn ein Unternehmen auf eine andere Vir-tualisierungslösung als Hyper-V setzt oder es aufHochverfügbarkeit nicht ankommt.

Bild 5: Bei der Absicherung einer physikalischen Maschine schlägt DTHV für die zu erstellende VM geeignete Kenngrößen vor, die der Administrator anpassen kann.

Sie wissen, wie man Systeme und Netzwerke am Laufen hält.

Und das Magazin IT-Administrator weiß, wie es Sie dabei perfekt unterstützt:

mit praxisnahen Workshops, aktuellen Produkttests und nützlichen Tipps und Tricks

für den beruflichen Alltag.

Damit Sie sich Zeit, Nerven und Kosten sparen.

Teamwork in Bestform. Überzeugen Sie sich selbst!

Monatelesen6Monatebezahlen3

www.it-administrator.deHeinemann Verlag GmbHLeopoldstraße 85D-80802 München

Tel: 0049-89-4445408-0Fax: [email protected]

Kompetentes Schnupperabo sucht neugierige Administratoren

vertriebsunion meynenHerr Stephan OrgelD-65341 Eltville

Tel: 06123/9238-251Fax: 06123/[email protected]

Vertrieb, Abo- und Leserservice IT-AdministratorVerlag / Herausgeber

ie IT-Verantwortlichen in Rechen-zentren mit mehreren hundert oder

gar mehreren tausend Servern stehen vorder fast unlösbar erscheinenden Aufgabe,alle Systeme mit einem kleinen Adminis-tratorenteam gleich zuverlässig zu betreuenund stets auf aktuellem Stand zu halten.Während es für die Verteilung einer Soft-ware oder deren Update noch diverse

Produkte zur Unterstützung gibt, ist esbeispielsweise weitaus schwieriger zu kon-trollieren, ob ein bestimmter Registry-Schlüssel auf allen Systemen auf einen be-stimmten Wert gesetzt ist.

Weitere in derartigen Umgebungen ty-pische Aufgabestellungen sind etwa:- Ein System muss bei der Installation

mittels einer Sicherheitspolicy nicht nurvor Angriffen gehärtet werden; auchsollte eine Prüfung sicherstellen, ob die-se Parameter auch drei Monate späternoch entsprechend gesetzt sind, nach-dem andere Abteilungen womöglichebenfalls mit Administrationsrechtenden Server genutzt haben.

- Veränderte Einstellungen müssen schnellwieder geändert werden.

- Es gilt die Verantwortung zu klären fürdas Anlegen oder Löschen eines Be-nutzers auf mehreren hundert Servern,wenn diese nicht unter einem Ver-zeichnisdienst laufen.

- Der Zeitrahmen für den Wechsel einesSSH-Schlüssels nach personellen Wech-seln muss klar sein.

- Administratoren- und Root-Passwör-ter sind regelmäßig zu ändern.

Anspruchsvolle Installation und KonfigurationDer Bladelogic Operations Manager (BOM)ist kein Werkzeug, das schnell out-of-the-box installiert ist.Vielmehr empfiehlt essich, mit dem Hersteller zusammen einBetriebskonzept zu erarbeiten, welchesdann umgesetzt wird, und für die Erst-einrichtung sowie Grundkonfigurationeinige Tage Unterstützung einzukaufen.Auch wir haben uns für den Test eine vir-

D


12 Februar 2009 www.it-administrator.de

Im Test: BMC Bladelogic Operations Manager

Rundumpflege für Servervon Jürgen Heyer

Mit der kürzlich übernommenen Firma Bladelogic und deren Lösung “Bladelogic Operations Manager” adressiert BMC in erster Linie größere Unternehmen und Rechenzentren mit mindestens

dreistelligen Serverstückzahlen. Der Operations Manager präsentiert sich dabei als überaus mächtiges Werkzeug für ein Server-Lifecycle-Management, um Administratoren bei oft ungeliebten,

zeitintensiven und häufig wiederkehrenden Pflege- und Kontrollaufgaben zu entlasten. Der Zeitaufwandfür Tätigkeiten wie das Ausrollen von Installationen sowie Compliance- und Konsistenzprüfungen

auf vielen Servern lässt sich mit diesem Werkzeug von mehreren Stunden Dauer auf wenige Minuten reduzieren, wie die Lösung im Testlabor des IT-Administrator unter Beweis stellte.

Bild 1: Die Smart Groups werden automatisch gefüllt und sorgen für eine übersichtliche Auflistung der Objekte


www.it-administrator.de Februar 2009 13

tuelle Umgebung vorbereiten lassen undwaren zudem bei einer größeren Kun-deninstallation vor Ort dabei, um den Ab-lauf verfolgen zu können.

Modularer AufbauDer Operations Manager besteht aus Mo-dulen zur Inventarisierung, Compliance-Prüfung, Softwareverteilung und zumPatchmanagement, zur Systeminstallationsowie zur Erstellung von Berichten undAnalysen. Damit deckt er die typischenAufgaben für ein umfassendes Lifecycle-Management ab. Die meistgenutzte, zen-trale Konsole ist dabei der “ConfigurationManager” mit der gesamten Benutzer-und Jobverwaltung. Eine zweite Konso-le, der “Provisioning Manager”, dient zurInstallation neuer Server.

Die zentrale Komponente bildet das so-genannte “Depot”, bestehend aus einemDatenbank- sowie einem Fileserver. Ei-ne Installation ist sowohl unter Linux(Red Hat, Novell SLES) als auch unterWindows 2000/2003 Server möglich.Hinsichtlich der Datenbank werden Ora-cle sowie SQL unterstützt. Die Daten-bank ist eine CMDB und enthält sämtli-che Informationen über alle Jobs undAufträge, die gesamte Inventarisierung,Vergleiche und so weiter. Der Fileserver istfür die Speicherung sämtlicher Installa-tionspakete, Hotfixes und Skripte zustän-dig. Da bei einem Ausfall eines dieserbeiden Systeme der gesamte BOM brach-liegt, sind sie idealerweise als Cluster zuinstallieren.

Hochsicheres Konzept der Steuerung mit AgentenDie gesamte Steuerung und Bedienungder Umgebung erfolgt über einen oderauch mehrere “Application Server” (APS).Je nach Konzept sind auf den APS diebenötigten Bedienkonsolen installiert,außerdem kommunizieren sie mit denAgenten auf den Clients, also den zuüberwachenden Servern. Die Agentenbelegen nur wenige MByte Platz undverhalten sich absolut passiv, was bedeu-tet, dass sie nie von sich aus Verbindung

mit einem APS aufnehmen.Vielmehrübernimmt ausschließlich der APS dieaktive Rolle. Das bedeutet auch, dass derBOM für ein Systemmonitoring, beidem die Agenten bei auftretenden Feh-lern oder Ereignissen diese selbstständigweitergeben müssen, nicht geeignet ist.Unter Sicherheitsaspekten ist diese Ar-beitsweise sehr von Vorteil, denn so istder Kommunikationsaufbau klar gere-gelt und ein gehackter Client kann nichtverwendet werden, um weiter in Rich-tung Depot vorzudringen. Weiterhinerfolgt die gesamte Kommunikation zwi-schen APS und Agent über einen einzi-gen Port, sodass bei einem Betrieb überFirewalls hinweg auch nur dieser einePort geöffnet werden muss. Der Daten-austausch erfolgt über das proprietäre“Protocol 5”, ein TLS-basierendes Pro-tokoll mit selbstsignierten Zertifikaten.

Ein APS kann durchaus 1.000 und mehrAgenten verwalten, es können sich aberauch mehrere APS parallel oder netzseg-mentweise die Arbeit teilen.Wird mitmindestens zwei APS gearbeitet, lassensich diese redundant konfigurieren, sodassbei einem Ausfall der verbleibende alleAgenten bedient. Jeder Agent wiederumlässt sich über eine IP-Adressbeschrän-kung so konfigurieren, dass er nur die An-fragen von bestimmten Application Ser-vern akzeptiert.

Neben der oben beschriebenen Daten-bank, die die aktuellen Arbeitsinforma-tionen enthält, ist für das Reporting einezweite einzurichten, was auf dem glei-chen Datenbankserver erfolgen kann. Re-portaufträge wiederum werden auf einemAPS ausgeführt und in die Reportdaten-bank geschrieben. Die Resultate könnenüber eine Webseite abgerufen werden,hierzu wird standardmäßig ein Tomcat-Webserver eingerichtet.

InstallationDie gesamte Installation läuft so ab, dasszuerst der Datenbankserver konfiguriertwird. Dies geschieht über einige Skrip-te, die die benötigten Tabellen anlegen.

Der Fileserver benötigt keine spezielleVorbereitung außer dem Anlegen einerFreigabe und der Installation des Agen-ten. Dann ist der APS wahlweise auf ei-nem Linux- oder Windows-Server ein-zurichten, wobei bei der Installation derOrt der Datenbank sowie derjenige derFreigabe abgefragt werden. Handelt essich um einen Windows-Server, kann dieKonsole des Configuration Managers di-rekt auf dem Server aufgerufen werden.Besser ist es aber, die Konsole (zusätzlich)direkt am Arbeitsplatz zu installieren undsich dann zu einem APS zu verbinden.

Für Compliance-Prüfungen sollten IT-Verantwortliche anschließend diverseTemplate-Skripte importieren, ebenso ei-nen Standard-Content, um die erstenOrdner und Ordnungskriterien einzu-spielen. Die Reporting-Funktionen kön-nen später installiert werden, wenn diezentralen Komponenten laufen. Gleichesgilt für das Provisioning zur Bestückungneuer Server über PXE.

Insgesamt erweist sich die gesamte Instal-lation als kein Hexenwerk, sie ist auch imHandbuch ausreichend beschrieben. Den-noch sollten IT-Verantwortliche ernsthaftin Erwägung ziehen, diese einem erfah-renen Spezialisten von BMC zu überlas-sen, um nichts zu vergessen und eine sta-bile Umgebung zu gewährleisten.

Einstieg in die ArbeitNach der Installation präsentiert sich demAdministrator ein erfreulich übersichtli-cher Desktop des Bladelogic Configu-ration Managers. Die Ansicht gliedertsich in die Bereiche Server, Komponen-

Application Server:2 x Xeon/2 GHz, 2 GByte RAM, SLES 9/10, RHEL3.0/4.0 oder Windows 2000/2003 Server

File Server:Aktuelle Hardware, 200 GByte Plattenkapazität

Datenbankserver:Aktuelle Hardware, Datenbank Oracle 9i/10 oder MS SQL Server 2000/2005

Systemvoraussetzungen



ten, Komponentenvorlagen, Depot, Jobsund RBAC-Manager (Benutzer-, Grup-pen- und Rechteverwaltung). In denKomponentenvorlagen sind die Defini-tionen und Kriterien für die weiter un-ten angesprochenen Vergleiche undCompliance-Prüfungen hinterlegt. DasDepot enthält alle Pakete zur Verteilung,Skripte und Hotfixes.

Über Jobaufträge ordnet der Administra-tor nun Objekte aus dem Depot oderauch eine Komponentenvorlage einemoder mehreren Servern zu, um dort einPaket zu installieren, ein Skript auszufüh-ren oder Einstellungen und Parameter ab-zufragen. Die gesamten Abläufe sind an-gesichts der Vielzahl der Möglichkeitenund Kombinationen erfreulich intuitivgestaltet, und nach relativ wenig Einar-beitung gelingen im Test die ersten er-folgreichen Installationen sowie Abfragen.

Die meisten angelegten Objekte besit-zen Eigenschaftsfelder (Properties), dieteilweise automatisch gefüllt werden, zum

Beispiel bei einem Server mit der IP-Adresse und dem installierten Betriebs-system.Teilweise lassen sich die Objekteaber auch vom Administrator zur Sortie-rung und Gruppierung verwenden, in-dem er die zuständige Abteilung oder denAufstellort hinterlegt. Es lassen sich zu-dem weitere Properties nach Bedarf selbstanlegen.Wichtig sind die Properties zumeinen, um Informationen zum Objekt zuspeichern und zum anderen, um in Ver-bindung mit den sogenannten “SmartGroups” diese automatisch zu füllen. Ei-ne Smart Group ist ein mit einer Filter-bedingung verknüpfter Ordner. Die Fil-terbedingung bestimmt, welche Objektedarin automatisch zusammengefasst wer-den, beispielsweise alle Server der Abtei-lung X, alle 64-Bit-Linux-Systeme, alleJobs für Linux-Systeme oder alle Paketefür Office-Installationen. Es ist nicht möglich, ein Objekt manuell einer SmartGroup hinzuzufügen oder daraus zu ent-fernen, dies geschieht allein anhand dervorgegebenen Filterbedingungen. SmartGroups sind mit Abstand das wichtigste

Werkzeug zur Sortierung der aufgenom-menen Server, angelegten Vorlagen understellten Jobs.

Mehrseitige Assistenten führen durch diemeisten Arbeitsabläufe und fragen die be-nötigten Daten ab.Trotzdem sind die Ein-gabemöglichkeiten oft so vielfältig, dasseine umfassende Einarbeitung und vielÜbung für ein zielstrebiges Arbeiten er-forderlich sind. Um beispielsweise einenCompliance-Job zu realisieren, sind zu-erst die Compliance-Vorgaben als Kom-ponenten-Vorlage anzulegen. Dann las-sen sich bei der Jobanlage durchaus auchmehrere Vorlagen aufnehmen und dedi-zierten Servern oder auch einer ServerSmart Group zuweisen und wahlweise so-fort oder zeitgesteuert ausführen.

Granulare BenutzerverwaltungDer Bladelogic Configuration Managerbesticht durch eine überaus granulare Be-nutzer- und Rechteverwaltung, die aller-

Bild 2: Zur einfacheren Zuweisung lassen sich Rechte für verschiedenste Aktionen über Profile zusammenfassen, typische Profile sind bereits angelegt.

Entstanden ist der Operations Manager ursprünglichaus der sogenannten Network Shell (NSH), die aufeiner Unix Z Shell (Zsh) basiert und um Netzwerk-funktionen sowie eigene Befehle zum Absetzen vonKommandos für mehrere Rechner erweitert wurde.Die NSH ist gleichzeitig das Kommandozeilen-In-terface und es ist theoretisch möglich, alle Aktivitä-ten über die NSH zu steuern, ohne überhaupt eineKonsole zu verwenden. Zum Skripten in der NSH ste-hen typische Linux-Werkzeuge wie sed, uname undawk zur Verfügung. Auch die über die grafische Kon-sole veranlassten Aktivitäten werden letztendlich inNSH-Skripte und -Kommandos umgesetzt und als sol-che ausgeführt.

Interessant ist dabei, dass es keinerlei Rolle spielt,welches Betriebssystem auf dem Client läuft – dieNSH steht auch auf Windows-Systemen zur Verfü-gung. Dabei können in Skripte Kommandos integriertwerden, die im Command-Interpreter von Windowslokal am Client ausgeführt werden sollen. Das NE-XEC-Kommando sorgt dabei für den Befehlsaufruf.Die resultierenden Ausgaben können wiederum inden Skripten weiterverarbeitet werden, sofern sie inder Standardausgabe landen. Letztendlich ist dieNSH ein überaus mächtiges Instrument, welches al-lerdings gute Skriptkenntnisse verlangt. Hier erleich-tert eine gewisse Erfahrung im Umgang mit UNIXoder Linux die Einarbeitung.

Aus einer Shell entstanden

Bestellen Sie jetztdas IT-Administrator

Sonderheft II/2010!180 Seiten Praxis-Know-how

rund um das Thema

zum Abonnenten-Vorzugspreis* von

nur € 24,90!* IT-Administrator Abonnenten erhalten das Sonderheft II/2010 für € 24,90. Nichtabonnenten zahlen € 29,90.

IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 19,90 - diese sind im Abonnementdann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.

Mehr Informationen und ein Onlinebestellformular finden Sie auch hier

www.it-administrator.de/kiosk/sonderhefte/So erreichen Sie unserenVertrieb, Abo- und Leserservice:Leserservice IT-Administratorvertriebsunion meynenHerr Stephan OrgelD-65341 Eltville

Tel: 06123/9238-251Fax: 06123/9238-252

[email protected]

Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de

Leopoldstraße 85D-80802 MünchenTel: 089-4445408-0Fax: 089-4445408-99Geschäftsführung: Anne Kathrin HeinemannMatthias HeinemannAmtsgericht München HRB 151585

Abos und Einzelhefte gibt es auch als E-Paper

Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________und bestelle das IT-Administrator Sonderheft II/2010 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.

Ja, ich bestelle das IT-Administrator Sonderheft II/2010 zum Preis von € 29,90 inkl. Versand und 7% MwSt.

Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angabenvon Gründen widerrufen.*

Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252

Ich zahle per Bankeinzug Firma:

Geldinstitut: Name, Vorname:

Kto.: BLZ: Straße:

oder per Rechnung Land, PLZ, Ort:

Datum: Tel:

Unterschrift: E-Mail:* Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville.

ITA 0

710

Active Directory



dings auch entsprechend komplex ist. Ineinem ersten Schritt sind die benötigtenBenutzer anzulegen und Rollengruppenzuzuordnen. Eine Kopplung mit einemMicrosoft Active Directory ist möglich,wird allerdings in der Praxis kaum ver-wendet, da hier deutlich weniger Benut-zer benötigt werden, als in einer größe-ren Firmenumgebung angelegt sind.

Befindet sich ein Benutzer in verschiede-nen Rollengruppen, kann er zwischendiesen wechseln, ohne sich dazu neu an-melden zu müssen. Einer Rollengruppesind nun detaillierte Rechte auf die ver-schiedensten Objekte zuzuweisen (Win-dows-Software. Linux-Software,Verteil-jobs, Depotordner), und dies wiederumfür unterschiedliche Tätigkeiten (erstel-len, modifizieren, lesen et cetera).Weiter-hin lassen sich Autorisierungprofile für ty-pische Operationen (zum Beispiel Serverbrowsen, Software und Pakete auf Serververteilen, existierende Jobs ausführen) de-finieren, die die Einzelrechte entsprechendzusammenfassen. Diverse Beispiele sindbereits angelegt.

Sollen nun mehrere Administratorengrup-pen jeweils nur bestimmte Servertypen be-treuen können, so lässt sich dies entspre-chend einrichten. Ebenso können einemHelpdesk ganz dedizierte Rechte zum Aus-führen bereits vorbereiteter Skripte undJobs zugewiesen werden.Zu empfehlen isthier auf jeden Fall eine vorausgehende Pla-nung,um die Rechtestruktur im jeweiligenUnternehmen der Arbeitsweise und derAufgabenteilung anzupassen.Unserem Ein-druck nach dürfte es kaum eine Konstel-lation geben, die sich nicht abbilden ließe.

Der Zugriff vom Application Server überdie Agenten auf die zu überwachendenSysteme erfolgt über ein Benutzer-Map-ping. Hierzu wird bei der Agenteninstal-lation am Client eine Benutzerzuordnunghinterlegt und bei Bedarf aktualisiert, so-dass beispielsweise der Bladelogic-Admi-nistrator BLAdmin an einem Windows-Client stets als Administrator oder bei Linux-Systemen als Root zugreift.

Vergleichender Live-ZugriffAbsolut beeindruckend sind die Mög-lichkeiten des Operations Managers zumLive-Zugriff. Bei den meisten Manage-ment- und Inventarisierungstools wirdder Client in bestimmten Abständen überden Agenten ausgelesen und die Infor-mationen in eine Datenbank geschrie-ben. Der Administrator kann dann nurauf die dort abgelegten Informationenzugreifen. Dies ist beim BOM völlig an-ders. Hier greift der Administrator prak-tisch transparent auf die Clients zu, umsich dort die aktuellen Informationen zuholen. Möchte er wissen, welche Hotfixesinstalliert sind, liest der Agent dies aktu-ell aus. Genauso kann der Administratordas Dateisystem des Clients komplettbrowsen, die Windows-Registry sowieKonfigurations- und Logdateien öffnenund auch editieren.

Weiterhin ermöglicht der BOM einenVergleich zwischen mehreren Clients,um beispielsweise zu prüfen, ob wichti-ge Registry-Einstellungen identisch sind,ein bestimmtes Verzeichnis existiert oder

ein Softwarepaket installiert ist. So las-sen sich Unterschiede schnell ermitteln.Weiterhin erstellt das Programm aufWunsch Snapshots von bestimmten Ein-stellungen. Auch diese lassen sich mitLive-Systemen vergleichen und der Ad-ministrator kann prüfen, ob beispiels-weise einmal eingestellte Sicherheitsein-stellungen, die er als Snapshot gespeicherthat, auch nach einiger Zeit noch so un-verändert aktiv sind. Mit der Ermittlungvon Unterschieden lassen sich dann In-stallationspakete verknüpfen, die die ge-fundenen Abweichungen ändern und dieWerte des Live-Systems anpassen. Bei ei-nigen Versuchen zeigt es sich, dass Ab-weichungen sicher gefunden und aufWunsch auch korrigiert werden. DieKunst besteht allenfalls darin, für einenVergleich erst einmal die Kriterien fest-zulegen, also eine geeignete Kompo-nentenvorlage zu definieren, die vorgibt,was verglichen werden soll. Ein pau-schaler Vergleich von Systemen mit derAufgabe, einfach alles aufzuzeigen, wasunterschiedlich ist, ist ebenso unsinnigwie unrealistisch.

Bild 3: Beim Vergleich von aktuellen Systemen mit einem Snapshot zeigt das Programm übersichtlich die Abweichungen auf


Sonderheft I/2010!180 Seiten Praxis-Know-how

rund um das Thema


nur € 24,90!*IT-Administrator Abonnenten erhalten das Sonderheft I/2010 für € 24,90.

Nichtabonnenten zahlen € 29,90.Liefertermin: Ende März 2010



Tel: 06123/9238-251Fax: 06123/9238-252

[email protected]




Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________und bestelle das IT-Administrator Sonderheft I/2010 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.

Ja, ich bestelle das IT-Administrator Sonderheft I/2010 zum Preis von € 29,90 inkl. Versand und 7% MwSt.





Kto.: BLZ: Straße:


Datum: Tel:


ITA 0

210

Windows Server 2008 R2und Windows 7 + Tools-CD



Neben direkten Vergleichen zum Aufzei-gen von Unterschieden kann der Confi-guration Manager auch Compliance-Prü-fungen durchführen, um festzustellen, obbestimmte Vorgaben eingehalten werden.Ein Beispiel soll den Unterschied zwi-schen einem Vergleich und einem Com-pliance-Check aufzeigen: Bei einem Ver-gleich der vorgeschriebenen Passwortlängezwischen zwei Systemen lässt sich als Er-gebnis nur ermitteln, ob die Einstellun-gen identisch oder unterschiedlich sind.Ist der Wert aber auf beiden Systemen mitvier Zeichen viel zu kurz eingestellt, fälltdies beim Vergleich gar nicht auf, da iden-tisch. Bei einer Compliance-Prüfung da-gegen lässt sich eine minimale Passwort-länge vorgeben, sodass sinnvollerweiseSysteme mit kürzerer Vorgabe auffallen,aber nicht, wenn am System eine nochgrößere Länge eingestellt ist. Hat ein Un-ternehmen nun bestimmte Compliance-Vorgaben einzuhalten, kann der Admi-nistrator diese als Komponentenvorlagedefinieren und alle Systeme regelmäßigdagegen prüfen.Weiterhin ist es möglich,Verstöße gegen die Compliance-Vorga-ben über sogenannte “Remediation Pa-ckages” manuell oder automatisch zu kor-

rigieren. BMC liefert diverse Compliance-Vorlagen mit, die unter anderem auf Emp-fehlungen für Sicherheitseinstellungen vonCIS (Center for Internet Security), NSAund NIST basieren.

Provisionierung leicht gemachtFür ein komplettes Lifecycle-Managementübernimmt der Operations Manager dieInstallation neuer Server, die Installationvon Softwarepaketen und auch das Patch-

management. Neuinstallationen erfolgendabei über eine eigene Konsole, den “Pro-visioning Manager”. Bei den Installations-prozessen hat BMC nichts komplett Neu-es erfunden, sondern orientiert sich an denMöglichkeiten, die die Betriebssystem-anbieter vorsehen. Linux- und Windows-Installationen starten mittels PXE-Boot. Jenachdem,ob mehr Windows- oder Linux-Systeme zu installieren sind, kann der Ad-ministrator vorgeben,ob neue Systeme,diesich beim PXE-Server melden, standard-mäßig mit Gentoo oder WinPE 2.0 ge-bootet werden. Die MAC-Adresse er-scheint dann im Provisioning Manager,damit der Administrator dieser einen In-stallationsauftrag zuweisen kann.

Entsprechende Konfigurationspakete las-sen sich über den Provisioning Managersehr komfortabel zusammenstellen, derManager erstellt daraus die entsprechen-den Steuerdateien (unattend.txt,AutoYast-Datei). Selbstverständlich können Pre-und Post-Jobs eingebunden werden, umgegebenenfalls die Hardware vorzukon-figurieren oder auch nach der Betriebs-systeminstallation weitere Pakete auf-zubringen. Im Test funktionierte die In-stallation weitgehend problemlos und esgelang, Server unter SLES 10,Windows2003 Server 32 Bit sowie Windows 2008Server 64 Bit aufzusetzen. Bei AIX- undSolaris-Systemen setzt der Provisioning

Bild 4: Über den Live-Zugriff auf einen Server kann sich ein Administrator schnell einen Eindruck vom Zustand eines Systems verschaffen

Bild 5: Dank PXE melden sich neue Systeme mit ihrer MAC-Adresse und können nun mit einem Systempaket installiert werden

www.it-administrator.de

Manager auf die in dem Umfeld üblichenWerkzeuge NIM und Jumpstart.

Umfassendes ReportingBerichte und Analysen werden über einWeb-Portal bereitgestellt. In der Rubrik

“Quick Reports” findet der Administratoreine Vielzahl an vorbereiteten Berichten,die mitgeliefert werden. Über die Funkti-on adhoc-Reports kann er mittels einesAssistenten eigene Berichte zusammen-stellen.Die Berichte liefern auch Informa-tionen über ausgeführte Jobs, um bei-spielsweise statistische Informationen zudurchgeführten Compliance-Prüfungen zuerhalten. Die Resultate können als CSV-,HTML- oder PDF-Dokument gespeichertund auch per Mail verschickt werden.

FazitWer das erste Mal mit dem BladelogicOperations Manager konfrontiert wird,den machen die Versprechungen vonBMC, beim Management vieler Serverdurchschnittlich 97 Prozent der Zeit ein-sparen zu können, erst einmal sehr skep-tisch.Nach eingehender Betrachtung kön-nen wir diese Aussage jedoch bestätigenund es gibt zudem diverse Referenzen mitentsprechenden realen Erfahrungen.Letzt-endlich steigt der Umfang der möglichenEinsparungen mit der Anzahl der Server.

IT-Manager sollten sich allerdings da-rüber im Klaren sein, dass sie mit derEinführung einer solch leistungsfähigenManagementlösung nicht in dem Maßeihr Administratorenteam verkleinernkönnen.Vielmehr lassen sich mit demEinsatz einer derartigen Software mitdem gleichen Team mehr Systeme pfle-gen und so ein zukünftiges Wachstumbewältigen. Außerdem können Über-prüfungen vor allem in Hinblick aufKonsistenz und Compliance realisiertwerden, die vorher vom Aufwand herüberhaupt nicht darstellbar waren. Solässt sich sehr effizient der Qualitätsstan-dard signifikant steigern, was den ei-gentlichen Vorteil der Software ausmacht.

Zu beachten ist, dass der Operations Ma-nager nicht die Aufgabe des Monitoringsübernehmen kann.Da die Agenten grund-sätzlich passiv arbeiten, ist für die Weiterga-be von plötzlich auftretenden Fehlern undfür die Überwachung der Verfügbarkeit einzusätzliches Produkt einzusetzen. (jp)

ProduktProgramm zur Datacenter Automation, Softwareverteilung, zum Patchmanagement, für Compliance-Prüfungen, Provisionierung und Fernadministration.

HerstellerBMC Softwarewww.bmc.com

PreisDie Lizenzierung erfolgt ohne Basispreis ausschließlichüber die Anzahl der gemanagten Systeme mit entspre-chender Mengenstaffelung.

IT-Verantwortliche, die den Einkauf der Bladeogic-Lösung planen, können mit Kosten von 600 bis1.200 Euro pro zu verwaltendem Client rechnen.



BMC Bladelogic Operations Manager

Installation

Bedienung

Funktionsumfang

OS-übergreifender Einsatz

Dokumentation

7

8

9

9

8

Dieses Produkt eignet sich

optimal für Umgebungen mit mehreren hundertoder gar mehreren tausend Servern, sowohl inhomogenen Umgebungen als auch beim Einsatzunterschiedlicher Betriebssysteme.

bedingt für mittelgroße Netzwerke. Hier ist zuprüfen, ob sich Investition, Ausbildung der Admi-nistratoren und Grundaufwand für die Erstellungder Aufträge rechnen.

nicht für kleine Netze mit wenigen Servern. Hierrechnet sich der Betriebsaufwand nicht.

REALTECH AGTel.: [email protected] · www.realtech.de/bpm

… als ein Business Process Mana-gement, das IT-Daten mit Informa-tionen aus ERP-Systemen verknüpftund bedarfsgerecht aufbereiteteKennzahlen für Ihr Managementund Ihre IT-Administration bereit-stellt.

Erfahren Sie mehr unter:www.realtech.de/bpm

Was brauchenSie mehr?

www.realtech.de/bpm

igrationen von einer auf die nächs-te Betriebssystem-Generation sind

für IT-Administratoren in aller Regel mitAufwand und Schwierigkeiten verbunden.Um die Angst vor Programm-Inkompati-bilitäten beim Upgrade auf Windows 7 zunehmen, hat Microsoft den Windows-XPModus für den Weiterbetrieb von älterenProgrammen in den Vista-Nachfolger in-tegriert. Hierbei handelt es sich um einekomplett vom eigentlichen Betriebssystemunabhängige Windows XP SP3 Installati-on auf Basis von Virtual PC. Dieser ist aus

Sicht des Administrators jedoch wie eineigenständiger PC in Bezug auf Patchesoder Virenschutz zu betrachten. Dass Mi-crosoft die Lizenz für das virtualisierte XPals Dreingabe zusteuert, sollte über den ad-ministrativen Mehraufwand nicht hin-wegtäuschen.Um “ältere Software”, so ge-nannte Legacy Applications, in virtuellenUmgebungen bereitzustellen, gibt es an-dere etablierte Lösungen wie beispielswei-se VMware ThinApp, die dem Windows 7XP-Modus überlegen sind. Zudem erfor-dert der XP-Modus in Windows 7 CPUsder neueren Generation, was eventuellePC-Neukäufe nach sich zieht.

Eine direkte Übernahme aller Programme,Dateien und Einstellungen von WindowsXP zu Windows 7 ist ohne Weiteres nichtmöglich.Das so genannte “Inplace Upgra-de”bleibt Windows Vista vorbehalten – XP-Rechner, die auf Windows 7 umgestelltwerden sollen, müssen neu installiert wer-den.Alle Programme, Einstellungen undDaten gehen bei diesem Vorgang zwangs-läufig verloren. Für die Übernahme vonDateien und Einstellungen bietet Micro-soft den “Windows Easy Transfer”. DiesesTool eignet sich jedoch in erster Linie fürden Einsatz bei privat genutzten Einzel-PCs und übernimmt zudem nur die Kon-figuration von Microsoft-Produkten.Wer

nicht selbst mit Skripten die Übernahmerealisieren will, dem stehen verschiedeneSystems-Management- oder Client-Life-cycle-Management-Lösungen zur Auswahl.

Identische FunktionsweiseFür unseren Vergleichstest haben wir dievier gängigsten Suiten für den Mittelstandausgewählt, die zum Testzeitpunkt die Mi-gration auf Windows 7 unterstützten. Ei-nes haben die unterschiedlichen System-management-Suiten dabei gemeinsam: ihreArbeitsweise und die Anforderungen andie Umgebung. Im Netzwerk wird stetsein PXE-Server (Preboot Execution En-vironment) eingerichtet und alle Client-Computer müssen im BIOS in der Boot-reihenfolge zunächst “LAN” ausgewählthaben.So ist gewährleistet, dass neue Com-puter stets in den Konsolen aufgelistet undanstehende Kommandos wie etwa dieNeuinstallation eines Betriebssystems injedem Fall beim Neustart ausgeführt wer-den. Liegen keine Aufträge für den Clientvor, so startet dieser das Betriebssystem vonder lokalen Festplatte.

Nach dem Start des Betriebssystems kommtes wieder zu einer Gemeinsamkeit:Es wirdtypischerweise eine Agent-Software gestar-tet,die den Computer zentral über die Steu-erkonsole der Management-Software ad-

M

16 Januar 2010 www.it-administrator.de

Im Vergleichstest: Migration auf Windows 7 mit vier Client-Management-Suiten

Bequeme Fahrt nach obenvon Thomas Bär

Die große Nachfrage nach Windows 7 überraschte selbst Microsoft. In zahlreichen Unternehmen steht nun die Migration von XP-Systemen

auf Windows 7 an. Doch ist der nahtlose Umstieg auf das neue Betriebs-system nicht einfach. In unserem Vergleichstest nahmen wir vier Client-

Management-Suiten unter die Lupe, die sowohl bei der Verteilung als auch dem künftigen Betrieb helfen sollen.

Mit den richtigen Client-Management-Suiten fällt der Umstieg auf Windows 7 nicht schwer

Quell

e: ph

oto2

5th

- Fot

olia.c

om


www.it-administrator.de Januar 2010 17

ministrierbar macht. Ohne eine Agent-Installation wären die Steuerungsmöglich-keiten einfach zu gering. Bevor ein Be-triebssystem verteilt werden kann, muss eszunächst in die Systems-Management-Software integriert werden.Alle Programmeverwenden dafür einen Wizard, der das Installationsmedium auf einen Server über-trägt. In größeren Umgebungen mit ver-schiedenen Standorten, die über schmal-bandige Leitungen verbunden sind, istmöglicherweise das Vorhalten verschiede-ner Softwaredepots, üblicherweise per ein-facher Dateifreigabe, empfehlenswert.

Wird eine Betriebssystem-Ferninstallationvon Windows 7,Windows Server 2008oder Windows Vista durchgeführt, so ge-schieht dies mit der Hilfe von WinPE,dem“Windows Preinstallation Environment”.WinPE, die Installationsdateien und diebenötigten Treiber werden vom Verwal-tungsserver geladen und in einer speziel-len Service-Partition abgelegt.Einen Neu-start später beginnt eine “unattendedInstallation” von Windows.

Vorbereitung der MigrationSobald eine größere Anzahl von Compu-tern in einem Zug oder in kurzer Zeitmigriert werden soll, ist es ratsam, einenPlan für das Unterfangen auszuarbeiten.Im ersten Schritt gilt es, die vorhandenePC-Infrastruktur auf die zu erfüllendenHardware-Voraussetzungen zu überprü-fen. Je nach Version der Systems-Manage-ment-Lösung sind entsprechende Filter

oder Reporte gleich vorbereitet oder müs-sen manuell erstellt werden. Neben derErfüllung der Grundvoraussetzungen müs-sen die passenden Treiber bereitstehen. Fürdie Installation des Betriebssystems sindzunächst die Treiber für das Festplat-ten/RAID-System und die Netzwerkkartezwingend erforderlich, da ohne diese bei-den keine Einrichtung von Windows 7gelingt.Weitere Treiber können später, pas-send zur Maschine, auch als Softwarepa-ket nachinstalliert werden.

Bei der Frage,welche benutzerspezifischenEinstellungen – von individuell angelegtenNetzlaufwerken und Druckerverknüpfun-gen über das Desktop-Hintergrundbild bishin zur E-Mailsignatur – ihren Weg vonXP zu Windows 7 finden sollen, unter-scheiden sich die Ansätze der Hersteller.Entweder lassen sich in einer grafischenMaske Programmeinstellungen anhakenoder über Skriptsprachen die entsprechen-den Registry-Schlüssel und Dateien über-tragen. Eine Übertragung aller Einstellun-gen auf das neue Betriebssystem ist in denseltensten Fällen praktikabel.

Dass alle zu installierenden Anwendungenauch für den Einsatz unter Windows 7 frei-gegeben sein müssen, das versteht sich bei-nahe von selbst. Bevor jedoch eine Vertei-lung an viele PCs in Angriff genommenwird, empfiehlt es sich, eine intensive Prü-fung der Schlüssel-Applikationen durch diejeweiligen Fachabteilungen durchführen zulassen. Da diese Prüfung eine gewisse Zeitin Anspruch nehmen wird, sollte mit diesemVorgang möglichst früh begonnen werden.Programme, die besonders eng mit derHardware verzahnt sind, beispielsweise fürZusatzkomponenten bei Notebooks, Si-cherheitsprogramme oder Applikationen,die einen Dongle benötigen,gelten als hei-kel, was das Betriebssystem angeht.

Andere Systeme als Windows XPGenerell kann eine Migration von Wind-ows Vista auf Windows 7 auf dem gleichenWeg erfolgen, wie in diesem Artikel be-schrieben. Im Gegensatz zu XP ist aberauch eine Inplace-Installation auf Windows

7 möglich.Eine komplette Neuinstallationmit gezielter Übernahme der persönlichenEinstellungen der Benutzer dürfte jedochstets der “saubere Schritt” sein.

Rechner mit Windows 2000 Professionalals Betriebssystem finden sich in Unter-nehmen typischerweise in Bereichen, indenen es keinen Internetzugriff oder garNetzwerkzugriff gibt.Die Hardware einesWindows 2000-PCs wird die Anforderun-gen von Windows 7 kaum erfüllen, somit istdas Auslesen der Benutzereinstellungen undDaten und die anschließende Übertragungauf einen neuen PC mit Windows 7 derwahrscheinlichste Weg der Umstellung.

Windows NT 4.0 und Windows 95/98-Computer dürften aktuell nur noch äußerstselten im Produktivbetrieb sein. Da diesePCs die Mindestvoraussetzungen für Wind-ows 7 ebenfalls kaum erfüllen dürften, istmit einer direkten Migration kaum zu rech-nen. Gibt es zwingende Gründe für denBetrieb der bereits seit Jahren aufgekün-digten Betriebssysteme, so ist möglicher-weise eine Virtualisierung der benötigtenSoftware mit VMware ThinApp eine Mög-lichkeit des Weiterbetriebs.Die Virtualisie-rung des gesamten Systems mit Hilfe vonVMware Workstation,Virtualbox oder Mi-crosoft Virtual PC wäre ebenfalls ein gang-barer Weg, jedoch mit dem Manko der zu-sätzlichen Betreuung durch die IT.

Baramundi Management SuiteDie “Baramundi Management Suite”(BMS) des in Augsburg ansässigen Soft-warehauses Baramundi ist ein modularaufgebautes System.Wie beinahe bei allenManagement-Suiten steht auch bei derBMS eine hohe Anzahl von Modulen füreinen geringeren manuellen Aufwand beider Migration. Die aktuell vorliegendeVersion 8.0 SP1 der BMS ist bereits voll-ständig zu Windows 7 kompatibel. Zwin-gend erforderlich für den Wechsel des Be-triebssystems ist “Baramundi OS-Install”zur automatischen Installation von Be-triebssystemen und “Baramundi Deploy”,die Softwarekomponente zur Verteilungder gewünschten Applikationen.

Die serverbasierten Benutzerprofile, so genannte Roa-ming-Profile im Active Directory, werden durch Wind-ows Vista/7-Clients verändert. Das Profil auf dem Ser-ver wird neu angelegt und durch das Anhängen derBezeichnung “.V2” erweitert, da sich die kompletteStruktur der Profilordner verändert hat. Dies bedeutet,dass es nicht möglich ist, Daten zwischen einem Stan-dard-Profil und einem V2-Profil zu teilen. Eine Alterna-tive besteht in der Möglichkeit der Ordnerumleitung,da umgeleitete Ordner für Anwendungsdaten, Desktopoder Eigene Dateien von verschiedenen Betriebssyste-men genutzt werden können.

Roaming-Profile


Sollen Benutzereinstellungen von denvorherigen Windows XP Installationenauf den neuen Windows 7 PC über-nommen werden, ist zudem der Einsatzdes “Baramundi Personal Backup” er-forderlich. Das ebenfalls optional erhält-liche “Baramundi Patch Management”bietet die Möglichkeit, die Verteilungvon Sicherheitsupdates, Patches, Hotfixesund Service Packs von Microsoft zen-tral aus der Baramundi Console herausdurchzuführen. Eine detaillierte Preis-angabe für eine Umgebung mit 500Clients wurde uns mit dem Hinweis aufdie einzelnen, getrennt zu lizenzieren-den Module nicht mitgeteilt.

Die Baramundi Management Suite ist eineoptisch und funktionell sehr ansprechendeSoftware, die sich dem Benutzer zügig erschließt.Das mag nicht darüber hinweg-täuschen,dass alle Programme der Katego-rie “Systems-Management” oder “Client-Lifecycle-Management” einer gewissenEinarbeitungszeit und einer Schulung be-dürfen. Bei der Suche nach Windows 7-tauglicher Hardware setzt Baramundi aufden originalen “Windows 7 Upgrade Ad-visor” von Microsoft, der in die BMS in-tegriert wurde.Anstatt jeden Rechner vonHand zu prüfen,wird der Advisor über ei-nen Baramundi-Job angestoßen und auf al-len erreichbaren PCs durchgeführt. In einem aussagestarken Report erhält der Ad-ministrator Hinweise über alle potentiel-len Software-,Hardware- oder Treiber-Pro-bleme.Über die Homepage des Herstellerswird diese Prüfung auch für Nicht-Kun-den zum Festpreis angeboten.

Die Betriebssystem-Ferninstallation mitBaramundi OS-Install verwendet die na-tive OS-Installation von Windows, wasbei den meisten aktuellen Computersys-temen mit einem sehr geringen Aufwandbei der Treiberpflege einhergeht. SolltenAnpassungen an der WinPE-Installati-onsumgebung erforderlich sein, so wer-den diese mit dem Microsoft Tool“WAIK” (siehe Kasten) vorgenommen.Alle anderen Komponenten wie Grafik-

karten- oder Soundkartentreiber werdenspäter wie Programmpakete verteilt.

Besonders in größeren Umgebungen ist dieAbbildung individueller Organisations-einheiten äußerst wichtig, die nach unter-schiedlichsten Merkmalen wie Netzwerk-anbindung, Standorten oder Kostenstellenaufgebaut sein kann. Die Migration ist inder BMS ein gewöhnlicher “Job”, der sichauf beliebige Ziele ausführen lässt. Die in-telligente zentrale Jobsteuerung von Bara-mundi ermöglichte es in unserem Test, so-wohl Gruppen von Client-PCs,dynamischeGruppen von Clients oder einzelne Clientsmit jeweils einem Job zu behandeln.

Das Paketieren von Software übernimmtim Baramundi-Umfeld das bekannte “Ad-minStudio”auf Basis von MSI-Paketen.DieVerwendung von MSI, insbesondere bei An-

Das “Windows Automated Installation Kit” (WAIK) be-steht aus Programmen und Hilfedokumenten zur Un-terstützung der Konfiguration und Bereitstellung vonaktuellen Windows-Betriebssystemen. Indem WindowsAIK verwendet wird, lassen sich Windows-Installatio-nen automatisieren, Windows-Abbilder mit ImageX er-fassen, Abbilder mit der Abbildverwaltung für die Be-reitstellung (DISM) konfigurieren und bearbeiten,Windows PE-Abbilder erstellen sowie Benutzerprofileund Daten mit dem Migrationsprogramm für den Be-nutzerstatus (“User State Migration Tool”) migrieren.Darüber hinaus liefert Windows AIK das “Volume Acti-vation Management Tool” (VAMT), mit dem der Akti-vierungsvorgang für Volumenlizenzen automatisiertund zentral verwaltet werden kann.

Windows AIK

Bild 1: Der Statusverlauf der einzelnen Jobs ist in der Baramundi BMS durch ein einfaches und selbsterklärendes Farbschema erkennbar

ProduktClient-Management-Suite mit Windows 7-Unterstützung.

HerstellerBaramundiwww.baramundi.de

PreisBei Abnahme von 500 Lizenzen beträgt der Listen-preis pro Client 49,70 Euro.



Installation/Bedienung

Funktionsumfang

Reporting für Windows 7

Übernahme von Einstellungen

Migrationns-Durchführung

8

8

8

8

10

Baramundi BMS 8.0

Gesamtbewertung 8,4




wendungen, gewährleistet gemäß den Er-fahrungen des Herstellers ein Maximum anKompatibilität mit Windows 7, insbesonde-re auch im Hinblick auf 64-Bit-Systeme.Die automatisierte Verteilung gewünschterPakete im Anschluss an eine Migration istbei Baramundi problemlos möglich.

Wie alle Hersteller warnen auch die Con-sultants von Baramundi davor, alle benut-zerspezifischen Einstellungen blind auf dasmigrierte Windows 7-System zu übertra-gen. Die simple Übertragung kann beiClient-Computern zu abweichenden Kon-figurationen führen, was die Fehlersuche,beispielsweise bei Druckerproblemen, un-

nötig erschwert.Korrekte Einstellungen las-sen sich über “Baramundi Deploy”definie-ren. Ist trotzdem eine Übernahme der Ein-stellungen gewünscht, kann dies auchpauschal mit “Baramundi Personal Backup”erfolgen.

Aagon ACMP SuiteAagon aus dem westfälischen Soest bietetdas Basissystem seiner Software seit vielenJahren kostenlos an.Für die Migration vonBetriebssystemen bedarf es erwartungsge-mäß weiterer Module:die ACMP Pro-Ver-sion und das OS-Deployment Programm“ACK”.Die beiden Programme ACK undACMP sind miteinander verknüpft, so dasseine Installation eines Betriebssystems überACMP angestoßen und von ACK durch-geführt wird. Die komplette Vorbereitungder Migration und die Definition einer Soft-warequeue an sich werden jedoch in derOberfläche von ACK durchgeführt.

Welche Computer für die Migration ge-rüstet sind und welche nicht, ermittelt derAdministrator mit einem im ACMP Inven-tory vorgefertigten Report, dem so ge-nannten “Advanced Windows 7 Report”.Dank der Verwendung von Ampelfarben er-klärt sich diese Untersuchung von alleinund weist zudem aus,welche Komponenteeine Voraussetzung erfüllt oder eben nicht.

Zur Ermittlung der Hardware-Umgebungbietet Aagon ACMP einen speziellen Client,der sich nach der Erfassung der Hard- undSoftwaredaten automatisch,ohne eine Spurzu hinterlassen, wieder vom System ent-fernt. Für den eigentlichen Migrationsvor-gang ist der volle ACMP-Client auf jedemPC erforderlich, da über diesen die Siche-rung der Benutzereinstellungen erfolgt.

Neben der Prüfung und Aufrüstung vonHardware geht es an die Vorbereitung zurSoftwareverteilung. Hierzu ist wieder einInventory-Bericht von ACMP die Grund-lage um festzustellen,welche Applikationenim Unternehmen überhaupt eingesetzt wer-den. Ist eine Anpassung für Windows 7 er-forderlich, so werden die Pakete mit Hilfevon ACMP neu paketiert oder liegen be-reits vom Hersteller als MSI-Paket vor.

Die benutzerspezifischen Anpassungen,wiebeispielsweise Desktop-,Drucker- oder Soft-wareeinstellungen, werden bei der Wind-ows-Migration unter ACMP nicht mit einem eigens dafür vorgehaltenen Siche-rungsprogramm gespeichert. Die Übertra-gung von Dateien und Einstellungen wird ineiner Kombination des in ACMP inte-grierten Microsoft Migrations-Tools undden individuellen Skript-Kommandos“Client Commands” realisiert. Bei den

Bild 2: Nach der Migration wird die ursprünglich unter Windows XP installierte Maschine als Windows-7 System neu in die ACMP-Auflistung aufgenommen


HerstellerAagonwww.aagon.de

PreisIn dieser Mindestkonfiguration liegt der Listenpreis jeClient bei Abnahme von 500 Lizenzen bei 50,08Euro. In der ACMP-Suite Variante, die um das Lizenz-management (SWdetective) und das Sicherheitsmana-gement (SecurityDetective) erweitert ist, liegt derPreis bei 53,83 Euro je Client.




Funktionsumfang




9

7

8

6

10

Aagon ACK 4.3 / ACMP Pro 3.6

Gesamtbewertung 8


Client Commands handelt es sich um einesehr einfach zu erlernende Skriptsprache,die in einem dafür entwickelten Editordurch Drag and Drop-Kommandos zu-sammengestellt wird. Die Einfachheit derSkriptsprache darf jedoch nicht darüber hin-wegtäuschen, dass die Speicherorte der ge-wünschten Einstellungen dem Administra-tor bekannt sein müssen.

Für eine Automatisierung von Vorgängenbieten sich in ACMP die so genannten“Container” an, eine dynamische Zusam-menstellung von Objekten – im Falle derMigration handelt es sich um Computer.Taucht ein PC beispielsweise mit den Ei-genschaften “Betriebssystem Windows 7”und “kein Adobe Acrobat Reader instal-liert” in einem Container auf, so kann daraufein Regelwerk wie “Installiere Acrobat Rea-der im Silent-Modus und übermittle Re-gistry-Key zur Bestätigung der Lizenzver-einbarungen” vollautomatisch aktiviertwerden.Alternativ können zuvor festgeleg-te Softwarepakete direkt mit dem Migrati-onsvorgang fest verbunden werden.

Frontrange enteoFrontrange enteo, das einst unter dem Na-men “Netinstall” vertrieben wurde, bietetsich ebenfalls für die Migration von Wind-ows XP nach Windows 7 an.Aus dem um-fangreichen Portfolio des Herstellers wer-den dazu das Inventarisierungsmodul“Discovery”, die Betriebssystem-Installa-tion “OSD”, die Softwareverteilungs- undPaketierungssoftware “Netinstall” und das“LiveManage” zur Sicherung und Wie-derherstellung von Benutzereinstellungenund Daten benötigt.

Für das Vorbereiten der Migration sowiedas Berechnen der Updatekosten bietetenteo einen integrierten Assistenten. MitHilfe der so erstellten Vorlagen und derBerücksichtigung von Zeiten und Kostenfür die jeweiligen Hardwarekomponentenwird dann ein Bericht für alle inventari-sierten Client-PCs erstellt, in dem dieClients nach ihrem Erfüllungsstatus derHardwarevoraussetzungen gruppiert wer-den. Anhand dieses Berichts wird ausge-

wertet, welche Clients die Voraussetzun-gen erfüllen, welche ausgetauscht werdenmüssen und welche nach Aufrüstung vonHardwarekomponenten die Voraussetzun-gen erfüllen. Daraus lassen sich Zeitauf-wand und Kosten ableiten.

Im Fall einer festen Liste von Anwendun-gen und Windows-Optionen lassen sichdie Anwendungseinstellungen bekannterApplikationen etwa von Adobe, Microsoftoder Mozilla mit “LiveManage” überneh-men. Das Gleiche gilt für Windows-Op-tionen wie die Explorer-Einstellungen oderdas Desktop-Hintergrundbild.Nicht in derAuflistung genannte Programme lassen sichüber eigene Datei- und Registrierungsre-geln ebenfalls übernehmen.

Der Import, die Paketierung und Zuwei-sung der passenden Treiber zu den einzel-nen Geräten ist stets eine große Heraus-forderung, nicht nur im Falle einerMigration. Das integrierte Treiber-Repo-sitory von enteo vereinfacht diese Aufgabeim Vergleich zu anderen Lösungen. NeueTreiber werden dem Repository einfachvon der Treiber-CD oder über eine auto-matische Erkennung auf einem bereits ein-gerichteten PC hinzugefügt. Die Treiberstehen danach unternehmensweit fertigvorbereitet für jede Installation zur Verfü-gung und werden von enteo dynamisch


HerstellerFrontrangewww.frontrange.de

PreisDer Listenpreis aller genannten Module und einer Fern-wartungssoftware liegt bei 54,81 Euro je Client beiAbnahme von 500 Lizenzen.




Funktionsumfang




8

8

10

9

10

Frontrange enteo v6 SR2

Gesamtbewertung 9

Bild 3: Mit einer Migrationskosten-Berechnung in Frontrange enteo gewinnt der Administrator ein wichtiges Gespür dafür, welche Kosten auf das Unternehmen zukommen

www.it-administrator.de Januar 2010 21



oder auf Basis von Regelwerken zugewie-sen. Regelwerke sind erst dann erforder-lich, falls es zu Treiberkonflikten kommt –ansonsten werden die Treiber in der Baum-struktur der Software unter “Manage Users& Computers” sehr weit oben eingehängtund Windows ermittelt selbstständig diebenötigten Treiber.

Über die dynamische Zuordnung bietetauch enteo, wie die anderen betrachtetenProgramme,die Möglichkeit, Software-In-stallationen und Einstellungen vollautoma-tisiert durchführen zu lassen.Trotz diesemnach einem “blassen Standard”klingendenVorgang erlaubt enteo die Einrichtungmöglichst individueller Umgebungen.

Matrix42 EmpirumIm April 2009 fusionierten die Karlsru-her Update4u Software AG und die Neu-Isenburger Matrix42 AG und firmierenseither unter dem Namen Matrix42 AG.Dank dieser Firmenehe verfügt Matrix42nicht nur über eine Systems-Manage-ment-Software, sondern auch über einumgebendes Service Management. Sindbeide Management-Programme gemein-sam im Einsatz, ist die Bestellung eines“Windows 7 Migrations-Auftrags” übereinen webbasierten “Self Service Cata-log” mit Abbildung eines Genehmi-gungsvorgangs und der Verrechnung derresultierenden Kosten realisierbar.

Aber auch ohne den so genannten “Ser-vice Store” von Matrix42 ist eine auto-matisierte Migration mit den Matrix42Programmen Inventory, Personal Backup,Software Management und OS Installermöglich. Die Matrix42 Empirum “Wind-ows 7 Migration Suite” mit der Fernwar-tung Remote Control und dem Disaster-Recovery Tool “Easy Recovery” liegt bei65,45 EUR je Client.

Bei der Suche nach nicht Windows-7-fähiger Hardware wird der Administra-tor in der Empirum Management Con-sole (EMC) durch inventargestützte Filterund drill-down-fähige Reports unter-stützt. Matrix42 differenziert in diesen

Filtern nach 32- und 64-Bit Systemen.Eine Anpassung der Filterkriterien ist mitBordmitteln möglich. Empirum bietet ei-ne besondere Hilfe bei der Feststellung,welches die wohl wichtigsten Applika-tionen im Unternehmen sind. Hinter“Application Usage Tracking”, kurz AUT,verbirgt sich ein Tool, das die Häufigkeitund Dauer der Verwendung von Pro-grammen auf den Client-Computern aufWunsch protokolliert.

Benötigte Treiber lassen sich bei Empi-rum über verschiedene Wege ermitteln.Werden die Computer schon vorher überEmpirum verwaltet, so sind die Hardware-Merkmale wie Hersteller- oder Geräte-ID bereits bekannt. Über den Update-Service vom FTP-Server von Matrix42können diese Treiber entweder automa-tisch aktualisiert werden oder über die In-stallations-Ordner mit den INF-Dateienmanuell integriert werden. Bisher nichtverwaltete Geräte werden über PXE miteinem PXE-Spy-Image versorgt und dieerkannte Hardware protokolliert.

Benutzereinstellungen und Dateien, dienach der Migration auf dem neu instal-lierten PC zur Verfügung stehen sollen,werden mit Hilfe des “Personal Backups”

auf einem Server zwischengespeichert.Wie Personal Backup welche Daten si-chern soll, lässt sich für unterschiedlicheBackup-Jobs einzeln festlegen. Für be-kannte Programme wie Microsoft Office,Firefox oder Adobe Acrobat, aber auchfür weniger verbreitete Programme sindVorlagen enthalten.Wie Applikationsein-stellungen werden auch Bildschirmhin-tergründe, Druckerverknüpfungen oderODBC-Einstellungen gesichert. Das Ein-binden eigener Registry- oder Datei-Ein-träge, das Aufrufen von Skriptjobs voroder nach Erstellung der Sicherung odernach deren Wiederherstellung eröffnenein sehr breites Einsatzfeld.

Im Gegensatz zu den anderen Program-men startet Matrix42 zur Vorbereitungder Migration zunächst einen Client aufLinux-Basis, das so genannte “EmpirumPreboot Environment” (EPE). EPE über-nimmt die Vorbereitung der Migrationwie das Kopieren der Installationsdatei-en, die Hardware-Erkennung, die Über-mittlung der benötigten Treiber und dieEinrichtung der Service Partition. An-schließend startet das so kopierte WinPEdie eigentliche Installation. Neu in deraktuellen Version “Patch 2” ist die Fähig-keit, vorhandene Datenpartitionen zu er-

Bild 4: Nach der Migration mit Matrix42 Empirum wandern umgestellte PCs automatisch gemäß den Filterkriterien in Gruppen, über die weitere Installationen oder auch Benachrichtigungen angesteuert werden können


halten, sofern die zuvor von Windows XPverwendete Systempartition mindestens25 GByte groß war.

Nachdem der Computer unter Windows7 neu installiert wurde, beginnen die Soft-ware-Installation und die Wiederherstel-lung des Personal Backups. Die dynami-schen Filter in Empirum bieten sich fürvollautomatisierte Installationsszenarienan, in denen gemäß Kriterien unter-schiedliche Pakete eingerichtet werden.PCs mit mehr als 8 GByte Arbeitsspei-cher lassen sich so mit anderen Software-paketen versorgen als PCs mit nur 2 GBy-te RAM. Die Filter bieten darüber hinausZusatzfunktionen, wie beispielsweise dasAnstoßen eines E-Mail-Versands. Sokönnte sich der Administrator für jedesmigrierte System über seinen Blackber-ry informieren lassen.

FazitAlle vier System-Management-Lösungeneignen sich für die Migration von XP aufWindows 7. Die Betrachtung offenbarteines ganz deutlich: Der Erfolg einer Mi-gration liegt in erster Linie an einer gutenVorarbeit. Ohne eine halbwegs standar-disierte Arbeitsumgebung wird das Um-stellen ein schwierigeres Unterfangen.Wernoch keinen genauen Überblick über dieBeschaffenheit der IT-Infrastruktur be-sitzt, wird zunächst mit der Inventarisie-rung der PC-Systeme und deren Softwarebeginnen müssen. Auch diese Aufgabemeistern alle vier Test-Kandidaten überdas Setzen entsprechender Filter. Bei derFrage, welche Software in welchem Um-fang genutzt wird, ist Matrix42 Empirumden Konkurrenten mit dem “Applicati-on Usage Tracking” einen Schritt voraus.

Die Berechnung der Migrationskosten in-des wurde bei enteo von Frontrange dankeines entsprechenden Assistenten bestensgelöst – auch wenn eine solche Kalkula-tion sicherlich eher einen rechnerischenSchätzwert ergibt, denn einen auf denCent genauen Preis. Alle Programmeübernehmen individuelle Benutzerdatenauf Wunsch auf den neuen PC.Welche

Einstellungen tatsächlich mitgenommenwerden sollen, gilt es im Zuge eines Pro-jekts genau zu ermitteln. Sobald es umspezielle Einstellungen geht, die in INI-Dateien oder der Registry gesichert wer-den, ist in jedem Fall Handarbeit gefragt.

Im Sinne eines guten Gelingens empfeh-len sich darüber hinaus das rechtzeitigeInformieren der Benutzer und das An-bieten von Schulungsmaßnahmen kurzvor der Umstellung. Kommt neben demSystems-Management auch eine Service-Management-Lösung zum Einsatz, kön-nen Benutzer oder Abteilungsleiter sogarden Migrationszeitpunkt selbst festlegenund haben die resultierenden Kosten derUmstellung im Überblick. (dr)


HerstellerMatrix42www.matrix42.de

PreisDer Preis je Client-Computer in dieser Zusammenstel-lung liegt bei Abnahme von 500 Lizenzen bei einemListenpreis von 49,27 Euro.




Funktionsumfang




8

9

9

10

10

Matrix42 Empirum V12

Gesamtbewertung 9,2

www.it-administrator.de Wissen, wie’s geht.

Windows 7 für AdministratorenDas umfassende Handbuch

Windows Server 2008 R2Inkl. Hyper-V

VMware vSphere 4

Portofrei im Web bestellen [D], [A]

» www.galileocomputing.de/2242


804 S., 2009, 49,90 €

DVD, 10 Stunden Training, 59,90 €

VMware vSphere 4Das umfassende Handbuch


www.GalileoComputing.de

Neu: Admin-Bücher auch online lesen!

» www.galileocomputing.de/22861.410 S., 3. Aufl age, 59,90 €

NEU

Demnächsterhältlich!

800 S., 2010, 69,90 €

rundsätzlich gilt, dass Verfügbarkeit– also die möglichst schnelle Rück-

kehr zu einem normalen Betrieb – je nachAnforderung auch (eine Menge) Geld kos-ten kann. Einige Maßnahmen lassen sichaber auch ohne oder mit nur geringem fi-nanziellen Einsatz erreichen.Auch die Ein-trittswahrscheinlichkeit von Ausfällen giltes zu betrachten, denn für kleine Betriebemit einer überschaubaren Infrastruktur kannes wirtschaftlich völlig unrentabel sein, alleDaten an einen anderen Standort zu über-tragen, wenn der Server im Fehlerfall füreinige Stunden nicht zur Verfügung stehenkann.Vor einer Konzeptentwicklung solltenSie daher die ungefähre SLA für das E-Mailsystem und die umliegenden Kompo-nenten kennen.Ein klärendes Gespräch mitdem Management und den anderen Ab-teilungen ist an dieser Stelle sinnvoll.

Exchange selbst funktioniert immer imZusammenspiel mit einigen anderenDiensten. Ohne Internetzugang können

Sie keine Kommunikation mit externenPartnern aufbauen, ohne globale Katalogeund Domänenkontroller funktionieren ver-schiedene Abfragen und die Zustellung vonElementen in die Postfächer nicht richtig.Ein weiterer Aspekt ist die Infrastrukturwie Switche,Verkabelung, Strom und Kli-matisierung.

Datensicherung der Exchange-ServerUm zu wissen, wie Sie nach einem Aus-fall möglichst rasch wieder in den Pro-duktivbetrieb gehen , muss klar sein, wel-che Komponenten für den Betr iebwiederhergestellt werden müssen und woExchange welche Daten ablegt. Bei Ex-change sind das neben den Datenbankendie IIS-Metabase und eventuell noch dieDaten aus dem Programmverzeichnis.

Unter Exchange 2003 und Exchange 2007auf Windows Server 2003 können Sie dieDatensicherung mit dem integrierten NT-

Backup vornehmen. Ab Exchange 2007Service Pack 2 auf Windows Server 2008 istdie Sicherung ebenfalls mit dem integrier-ten Windows Server Backup möglich. Obdiese Option auch unter Exchange 2010bestehen wird, ist derzeit leider noch of-fen.Die IIS-Metabase ist dabei Bestandteildes Systemstatus, lässt sich allerdings aucheinzeln sichern [1]. In der Metabase sindbeispielsweise die Einstellungen des virtu-ellen SMTP hinterlegt.

Active Directory und DomänenkontrollerEin Teil der Exchange-Daten wird allerdingsnicht direkt auf dem Exchange-Server selbstabgelegt.So sind im Active Directory in derKonfigurationspartition unter “Services,Ex-change” viele Einstellungen, wie beispiels-weise die Datenbanken, hinterlegt. In derDomänenpartition werden direkt am Be-nutzerobjekt die Beschränkungen der Mail-boxgröße oder auch die E-Mailadressen gesichert. Sie müssen daher für eine umfas-

Disaster Recovery-Konzepte für MS Exchange

Die Feuerwehr ist davon Walter Steinsdorfer

Steht der Exchange-Server still, geht im Unternehmen nichts mehr: Bestellungen bei Liefe-

ranten oder Kundenaufträge, in einigen Fällenauch Rechnungen sowie wichtige Alarmmeldun-

gen von Gebäudeleitsystemen, werden heutzutageper E-Mail abgewickelt. Daher ist im Problemfalleine möglichst kurze Ausfallzeit der IT-Systeme,insbesondere von Exchange, geschäftskritisch. Die Verantwortlichen in der IT sind gefordert,

Konzepte und Absicherungen der Infrastruktur zu entwickeln, um im Notfall Produktionsausfälle in

anderen Abteilungen zu vermeiden. In diesem Workshop erläutern wir für den Exchange

Server mögliche Disaster Recovery-Konzeptebei Teil- oder Totalausfall.

G

28 November 2009 www.it-administrator.de

Quell

e: Pix

elio.d

e

P R A X I S I W o r k s h o p

sende Disastervorsorge nicht nur eine Si-cherung der Exchange-Mailboxdatenban-ken und der Datenbanken für die öffentli-chen Ordner vornehmen, sondern auch dasActive Directory sollte regelmäßigen Da-tensicherungen unterzogen werden. Fälltdas Active Directory aus, funktioniert auchder Exchange-Server nicht mehr.Daher istes unter Umständen auch in kleineren Un-ternehmen notwendig, mehrere Domä-nencontroller einzusetzen.

Eine wichtiger Punkt, den Sie beachtensollten: Exchange auf einem Domänen-kontroller verwendet nur den lokalen Domänekontroller beziehungsweise denlokalen globalen Katalog. Für eine mög-lichst ausfallsichere Lösung müssen Sieden Exchange-Server also getrennt vonden Domänenkontrollern, das heißt aufeinem gesonderten Rechner, installieren.Der von Exchange verwendete globaleKatalog zum Erstellen des globalen Adress-buches ist im Exchange-Server nicht aus-fallsicher gestaltet, ist jedoch für den re-gulären Betrieb nicht von Belang und lässtsich leicht händisch während des laufen-den Betriebes umstellen.

Firewall und InternetproviderFür das Disaster Recovery von Exchangemüssen Sie zudem Ihre Firewall sowiedie Leitung des Internetproviders be-trachten: Eine Firewall einschließlich desISA-Servers ist meistens relativ schnellwiederaufgebaut. Nehmen Sie vor allenDingen regelmäßig eine Sicherung derFirewall-Regeln vor, dann sollten Sie aufder sicheren Seite sein.

Ein größeres Problem stellt der Internet-provider dar, der meist deutlich wenigerals 99,9 Prozent Verfügbarkeit garantiert.In einem aktuellen Beispiel sind es lediglich98 Prozent im Jahresmittel.Was auf denersten Blick ganz gut aussieht, entpupptsich bei näherem Hinsehen als problema-tisch für den reibungslosen Betrieb vonMailservern.Denn 98 Prozent Verfügbarkeitbedeutet etwas mehr als sieben Tage Ausfallim Jahr. Hier bietet sich zum Beispiel an,dass Sie an einem anderen Standort einen

zweiten E-Mailserver betreiben,der in die-ser Zeit die E-Mails entgegennimmt.

Installieren Sie auf diesem Server auf jedenFall die gleichen Anti-Spam-Features undAnti-Virus-Engines wie auf dem Mailserver,der normalerweise die E-Mails empfängt.Oft versuchen Spammer, am zweiten ein-getragenen MX-Server ihre Spam-Mailsloszuwerden.Wenn dieser dann beim Pro-vider steht und zum Beispiel keine Emp-fängerprüfung durchführt, endet dies nichtselten in einer Spamflut.Alternativ könnenSie über die Einrichtung eines zweiten Pro-viders mittels zusätzlicher Leitung oder ei-ner Failoverlösung hin zu einer ISDN-Lei-tung nachdenken.Welche Lösung hier diegünstigste ist, hängt natürlich stark davonab, wie schnell der E-Mailversand wiederfunktionieren soll.

Recovery von Exchange 2003Bei einem Exchange-Server gibt es unter-schiedliche Arten von Disaster: Einerseitskann der Server, also die Hardware, einentechnischen Defekt erleiden, andererseitsmüssen wir uns mit einer kaputten oderunbeabsichtigt gelöschten Datenbank be-schäftigen. Exchange 2003 hat leider nurwenige Onboard-Möglichkeiten, um hier-für Vorsorgemaßnahmen zu treffen. Dieeinzige Möglichkeit, um einem Hard-wareschaden zu entgehen, ist das Cluste-ring. Exchange 2003 benötigt dafür aller-dings einen Shared Storage, auf dem dieDatenbanken liegen. Zudem ist diese Artder Verfügbarkeitssicherstellung nur mit ei-ner Enterprise Edition sowohl von Win-dows Server 2003 als auch von ExchangeServer 2003 erreichbar.Vor einer defektenDatenbank schützt leider auch das nicht.

Im Folgenden zeigen wir auf,wie Sie sehrrasch von einem defekten Server wiederzu einem lauffähigen System gelangen.Ameinfachsten gestaltet sich das mit einemCold Standby-System, also ein möglichstbaugleiches System, auf das Sie im Falle ei-nes Ausfalls des Hauptsystems zurückgreifen.Im besten Fall ist in dem Cold Standby-System identische Hardware verbaut. Indiesem Fall reicht es aus, den Systemstatus,

die Exchange-Binaries und die Datenban-ken zurückzusichern.Der Server sollte nacheinem Neustart wie gewohnt laufen.

In einigen Fällen, etwa wenn zwischen derletzten erfolgreichen Datensicherung undder Wiederherstellung auf dem Cold Stand-by-System das Kennwort des Active Di-rectory-Kontos des Servers geändert wur-de,müssen Sie noch das Konto des Serverszurücksetzen.Führt dies nicht zum Erfolg,legen Sie auch das Computerkonto mit al-len Gruppenmitgliedschaften wie vorherneu an und nehmen den restaurierten Ser-ver neu in die Domäne auf.Wenn derRechner sich nicht an der Domäne an-melden kann, erhalten Sie im Übrigen dieFehlermeldung “Die Vertrauensstellung zurDomäne kann nicht hergestellt werden”.

Sollten Sie die Exchange-Binaries nicht ge-sichert haben, stellen Sie die Installationwieder her, indem Sie das Setup von CD(inklusive des aktuellen Service Packs) aufder Kommandozeile mit dem Schalter“/disasterrecovery” aufrufen.Diese Art derWiederherstellung kann, je nach Daten-bankgröße, relativ lange dauern.Weil derDatenbankpfad im Active Directory hin-terlegt ist, müssen auf dem Zielsystem üb-rigens die gleichen Partitionen bestehenwie auf dem ursprünglichen Server.

Eine interessante Möglichkeit bietet in die-sem Fall das so genannte Dial-Tone-Re-covery.Bei dieser Methode sichern Sie dieDatenbanken nicht zurück, sondern moun-ten die Datebanken leer.Ab dem Zeitpunkt,zu dem die Datenbanken gemountet sind,können die Benutzer wieder arbeiten undE-Mails versenden. Die Outlook-Versio-nen im Cache-Mode werden zwar geleert,aber die Anwender können wieder arbeiten.In der Zwischenzeit richten Sie auf demSystem eine “Recovery Storage Group”ein und sichern die Orginaldatenbank dort-hin zurück.Bitte beachten Sie,dass die Da-tenbank als überschreibbar gekennzeichnetist. Mit NTBackup schreiben Sie die Da-tenbank dann an den Orginalort zurück.Bei einer erfolgreichen Sicherung (das mer-ken Sie daran, dass die nicht mehr benö-

www.it-administrator.de November 2009 29


tigten Transaktionsprotokolle abgeschnit-ten beziehungsweise gelöscht werden) soll-te sich die Datenbank dann auch mountenlassen. Haben Sie auf dem Laufwerk, aufdem die kleinere Interims-Datenbank läuft,noch ausreichend Platz, passen Sie den Da-tenbankpfad vor dem Zurückschreiben anund legen ihn wenn möglich auf das glei-che Laufwerk.

Im nächsten Schritt dismounten Sie ledig-lich die beiden Datenbanken,benennen siein die jeweils andere Datenbank um undverschieben beide an den anderen Spei-cherplatz. Hier zeigt sich auch der Vorteil,wenn Sie die Datenbank in der RecoveryStorage Group auf das gleiche Laufwerk le-gen:Sie müssen in diesem Fall lediglich dieZeiger über den Speicherort anpassen.BeimVerschieben über Laufwerksgrenzen hin-weg muss die Datenbank in der vollen Grö-ße kopiert werden, was erheblich längerdauert. Nach dem Mounten der Daten-banken können die Benutzer jetzt wiederauf alle alten Inhalte zurückgreifen. Die inder Zwischenzeit aufgelaufenen Daten rich-ten Sie durch einen Merge der Datenbank-Inhalte ohne Zutun der Benutzer ein.Klicken Sie hierzu im Exchange System-manager die Postfächer mit der rechtenMaustaste an und wählen “Exchange Tasks”.Jetzt öffnet sich ein Assistent, mit welchemSie die Daten mittels eines “Merge”direkt indie Mailboxen zurückschreiben – bereitsvorhandene E-Mails werden dabei nichtdoppelt angelegt.

Die Vorteile dieser Methode liegen auf derHand:Der Anwender muss nur einen kur-zen Zeitraum warten, bis er wieder aufdem aktuellen Stand ist. Die Orginalda-tenbank mittels Merge in die neu ange-legte Datenbank zu überführen, dauert er-heblich länger. Der Assistent verwendetMAPI für den Zugriff auf die Postfächerund das ist deutlich langsamer als das Ko-pieren beziehungsweise Verschieben vonFiles. Zudem sind etwa Abwesenheitsbe-nachrichtigungen und Regeln nur in derOrginaldatenbank vorhanden. Der Assis-tent zieht diese nicht mit um, insofern istimmer ein Dial-Tone-Recovery anzuraten.

Disaster unter Exchange 2007Die zuvor beschriebene Methode des Di-al-Tone-Restore ist auch unter Exchange2007 und Exchange 2010 möglich.Aller-dings hat Microsoft noch weitere Verfüg-barkeitslösungen unter Exchange 2007eingebaut. Neben der von Exchange 2003bekannten Clusterlösung “Single CopyCluster” können Sie unter Exchange 2007noch auf die Local Continous Replicati-on (LCR), Standby Continous Replicati-on (SCR) und die Clusterd ContinousReplication (CCR) zurückgreifen.

Wie die Namen bereits andeuten, wer-den bei diesen Methoden die Datenban-ken komplett kopiert, inklusive aller Re-geln und Abwesenheitsbenachrichtigun-gen der Benutzer. Bei einer LCR- oderSCR-Kopie benötigen Sie lediglich dieStandard-Edition von Windows Server,bei CCR ist wegen der verwendetenClusterkomponenten eine Enterprise Edi-tion erforderlich. LCR erstellt eine fort-laufende lokale Kopie, SCR eine Kopieauf einem anderen Server. Bei einem Aus-fall der Orginaldatenbanken können Siedie jeweiligen Kopien mounten.

Auch ein Restore ist bei Exchange 2007jederzeit, anders als noch bei Exchange2003, auf einen beliebigen Exchange Server2007 in der gleichen Organisation mög-lich.Dieses “Database Portability”genann-te Feature ermöglicht es Ihnen, falls Sie dieDatenbank nicht mehr im Orginalservermounten können,die Benutzer mittels demCmdlet move-mailbox -configurationonly aufden Ausfallserver umzuziehen.Dabei wirdlediglich der Datenbankpfad im Active Di-rectory am Benutzerobjekt angepasst. Beider CCR-Methode erfolgt das Umschalteninnerhalb von wenigen Minuten automa-tisch.Zudem kann bei der Verwendung vonWindows Server 2008 ein sogenannterStreched Cluster erstellt werden, also einCluster, der sich über mehrere Subnetzeerstreckt. In dieser Konfiguration ist die Ex-change-Organisation dann auch gegen ei-nen Ausfall eines Rechenzentrums abgesi-chert.

Alles wird anders unter Exchange 2010Unter Exchange 2010 fehlen die in Ex-change 2007 eingeführten Hochverfügbar-keitslösungen komplett.Mit Exchange 2010

30 November 2009 www.it-administrator.de

Bild 1: Der Troubleshooting-Agent von Exchange 2007 bietet unterschiedliche Notfallmaßnahmen an


führt Microsoft dafür die Database Availa-bility Group (DAG) neu ein. Das Konzeptfunktioniert ähnlich der Cluster ContinousReplikation unter Exchange 2007. EinigeVorteile bietet DAG allerdings: Unter Ex-change 2007 dürfen Sie in einem CCR-Cluster neben der Mailboxrolle keine wei-teren Rollen installieren.Ab Exchange 2010ist das nicht mehr der Fall, hier können al-le Rollen auch auf einem geclusterten Ser-ver installiert werden. Der Nachteil sollteallerdings auch nicht verschwiegen werden:Die in einer DAG vorhandenen Mailbox-server benötigen wegen des Clusterdiens-tes eine Windows Server Enterprise Edition.Bei dem Ausfall eines Knotens geschieht dasUmschalten auf einen anderen Knotendeutlich schneller als noch unter Exchange2007 – Microsoft gibt hier eine Umschalt-dauer von maximal 30 Sekunden an.

Mit einem DAG-Cluster können Sie dannzwar auf zwei Knoten die Client Access-Rolle installieren, über die ab Exchange2010 neben Active Sync, Pop3 und IMAPauch die MAPI-Zugriffe erfolgen. Umjedoch die Client Access-Rolle ausfallsi-cher zu gestalten, ist ein NLB-Cluster not-wendig. Da sich NLB-Cluster und nor-maler Clusterdienst auf einem Windows

Server ausschließen, ist die Hochverfüg-barkeit mit nur zwei Servern nicht gege-ben. Eine Ausweichmöglichkeit, wenn Siebei zwei Exchange-Knoten bleibenmöchten, ist die Verwendung eines exter-nen Loadbalancers.Ansonsten müssen Siedie Exchange-Rollen “Hub Transport”und “Client Access” wieder auslagern.

FazitUm möglichst schnell wieder handlungs-fähig zu werden, sollten Sie die gängigs-ten Notfallszenarien wie Serverausfall, kor-

rupte Datenbank oder den Datenverlusteines Mitarbeiters in einer Testumgebungdurchführen. Je öfter Sie dies testen, umso eher bekommen Sie ein Gefühl dafür,wie lange im Ernstfall die Wiederherstel-lung wirklich dauert.Und wenn der Ernst-fall vor der Tür steht, ist auch gleich we-niger Nervosität vorhanden. Um in dieserhektischen Situation keine unnötigen Feh-ler zu begehen, sollten Sie eine ausge-druckte Notfallanleitung vorhalten, die Siezusammen mit den wichtigsten Ersatztei-len in eine “Notfallkiste” legen. Diese soll-ten Sie zudem regelmäßig auf Vollständig-keit und Aktualität prüfen.

Ein Disaster trifft Sie immer unvorberei-tet.Wie in diesem Artikel beschrieben,können Sie allerdings einige Vorsorge-maßnahmen treffen, um so rasch wiemöglich wieder einen produktiven Be-trieb herzustellen. Neben gut geschultenMitarbeitern und einer parat liegendenAnleitung ist noch eines wichtig: Üben,üben, üben. Je häufiger ein Ausfall ge-probt wird, desto schneller und besserwerden die IT-Mitarbeiter bei einem tat-sächlichen Ausfall reagieren. (jp)

[1] Sicherung der IIS-Metabase http://support.microsoft.com/kb/324277/

Links

Bild 2: Die Database Availability Group (DAG) sichert Exchange 2010 gegen den Notfall


S E M I N A R M A R K T

Den IT-Administrator Seminarmarktmit News zu IT-Trainings finden Sie auch online auf:

www.it-administrator.de/seminarmarkt


Sonderheft I/2011!180 Seiten Praxis-Know-how rund um das Thema


nur € 24,90!* IT-Administrator Abonnenten erhalten das Sonderheft I/2011 für € 24,90. Nichtabonnenten zahlen € 29,90.

IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 19,90 - diese sind im Abonnementdann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.

Erscheinungstermin: Ende März 2011



Tel: 06123/9238-251Fax: 06123/9238-252

[email protected]




Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________und bestelle das IT-Administrator Sonderheft I/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.

Ja, ich bestelle das IT-Administrator Sonderheft I/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt.





Kto.: BLZ: Straße:


Datum: Tel:


ITA 1

210

Netzwerkanalyse& Troubleshooting

www.it-administrator.de Juni 2009 49


ei virtuellen Systemen liegen Leis-tungsschwächen oft an der Virtua-

lisierung selbst. Diese Tatsache ist unterUmständen nicht direkt erkennbar, schongar nicht direkt auf dem virtuellen Server.Natürlich können auch die physikalischenSysteme darunter entsprechende Leis-tungseinbußen vorweisen, etwa wenn sichder Administrator bei der Einrichtungder Partitionen nicht an die definiertenVorgaben gehalten hat. Doch die zusätz-liche Schicht des Filesystems und derHosts (bei VMware das VMFS-Filesys-tem) bei virtuellen Systemen führt dazu,dass die Auswirkungen derartiger Fehl-konfigurationen deutlicher spürbar sind.

Engpässe bei CPU und Arbeitsspeichersind in der Regel einfach auszumachen– bietet jedoch die virtuelle Festplattenicht den nötigen Durchsatz, dann fälltdie Ursachenforschung schon deutlichschwerer. Besteht die Möglichkeit, einevirtuelle Maschine auf einem VMwareESX-Host zu isolieren und der Platten-durchsatz steigt nicht merklich, wirdschnell deutlich, dass es grundsätzlich einProblem im Zusammenspiel aller Kom-ponenten gibt. In diesem Fall kann eineinkonsistente Festplatte die Ursache sein.

Engpass DateisystemGrundsätzlich wird für das Anlegen vir-tueller Maschinen eine eingerichtete Lo-gical Unit Number (LUN) – sprich einevirtuelle Festplatte – benötigt. Diese

LUN teilt sich in einzelne, gleichgroßeSegmente,“Chunks” genannt. Steht Ih-nen beim Setup einer virtuellen Ma-schine die LUN zur Verfügung, wird dortdas VMFS-Filesystem eingerichtet.Vordem Anlegen des eigentlichen Dateisys-tems schreibt das Betriebssystem einenMaster Boot Record (MBR), anschlie-ßend wird der Rest der Festplatte ingleichgroße Blöcke eingeteilt. Bei derEinrichtung der VM wird nun eine zu-sätzliche virtuelle Festplatte angelegt.Auch hier wird erst der MBR geschrie-ben und dann folgt eine gleichmäßigeEinteilung in Cluster. Im ungünstigstenFall weist die Festplatte damit nur einenBruchteil des möglichen I/O-Durchsat-zes auf, denn beim Zugriff auf einenCluster im Filesystem der virtuellen Ma-schine werden bis zu drei Leseoperatio-nen auf der LUN durchgeführt.

Das Problem an dieser Stelle liegt darin,dass die Grenzen der einzelnen Forma-

tierungen nicht identisch sind. Findet beidem gezeigten Muster ein Zugriff aufden Cluster 2 der NTFS-Partition statt,muss zusätzlich – damit der gesamte Clus-ter gelesen werden kann – auf zwei Blö-cke der VMFS-Partition und auf zweiChunks der LUN zugegriffen werden.Das Resultat ist, dass die messbare I/O-Last im Betriebssystem der virtuellen Ma-schine wesentlich geringer ausfällt, als estechnisch möglich wäre. Durch die In-konsistenz werden statt einer I/O-Ope-ration drei Zugriffe ausgeführt. Die Per-formance der VM verhält sich damit so, alswenn auf der LUN nicht eine, sonderndie dreifache Menge von Festplattenfilesgelesen oder geschrieben würde.

Ist die Zuordnung der Segmentgrenzenauf den unterschiedlichen Ebenen hin-gegen konsistent, kann der Zugriff aufdie einzulesenden beziehungsweiseschreibenden Daten wesentlich schnel-ler erfolgen. Die Anzahl der notwendi-

Performanceprobleme in VMware-Umgebungen beheben

Dateisysteme auf Trabvon Bertram Wöhrmann

Nicht nur physikalische Server sind von Leistungsengpässen betroffen – auch virtuelle Umgebungen bringen nicht immer die erwartete Performance. Der erste Schritt besteht darin, mehr Arbeitsspeicher zu installieren beziehungsweise zuzuweisen. Doch ein gerne übersehener Punkt ist das Dateisystem. In virtuellenUmgebungen wird dieses nämlich schnell zum Flaschenhals. In diesem Workshop zeigen wir Ihnen, wie Sie ein optimales Filesytem für Ihre virtuellen VMware-Maschinen anlegen.

B

Bild 1: Inkonsistente Strukturen bei Festplatten können für einen Datenstau sorgen

gen SCSI-Blockoperationen verringertsich stark und die Zugriffe erfolgen le-diglich mit einer Operation.

Der Grund für diese Problematik liegtdarin, dass bei x86-Architekturen einMBR eingerichtet wird, der 63 Sekto-ren belegt. Folgt nun direkt im Anschlussdas Dateisystem, wird die Festplatte imZusammenspiel mit LUNs und virtuellenPlatten inkonsistent. Bei der Einrichtungder Partitionen und Dateisysteme müs-sen Sie deshalb darauf achten, dass bei al-len Arbeiten die Segmentgrenzen direktübereinander liegen. Das bedeutet, dassdie Blöcke der verschiedenen, überei-nanderliegenden Filesysteme einen iden-tischen Anfangs- beziehungsweise End-punkt besitzen. Dadurch lassen sich dieI/O-Operationen bei Zugriffen in dervirtuellen Maschine stark reduzieren undsomit mehr VMs auf einer LUN beher-bergen als bei inkonsistenter Partitionie-rung. Der IT-Verantwortliche muss sichaber nicht nur um die Filesysteme in derVM kümmern, sondern auch um dasVMFS-Dateisystem, das der ESX Servernutzt, um parallel von mehreren Hostsauf eine LUN zugreifen zu können.

LeistungsunterschiedeZur Veranschaulichung der möglichenLeistungsverbesserungen vergleichen wirzwei Windows Server. Die Systeme sindbeide identisch ausgestattet mit zweiCPUs, 4 GByte Arbeitsspeicher, 30 GBy-te Festplatte und einem GBit-Netz-werkanschluss. Ein System arbeitet mitkonsistenten und ein zweites System ar-beitet mit inkonsistenten Festplatten. EinLasttest sollte nun zeigen, wie sich derUnterschied in den I/O-Werten wider-spiegelt. Das konsistente System war da-bei bis zu 20 Prozent schneller als das in-konsistente System.

Berücksichtigen wir nun, dass im Nor-malfall mehr als eine VM auf einer LUNliegt, wird schnell deutlich, welche Leis-tungsreserven in einem inkonsistentenSystem stecken. Schwierig wird das Gan-ze, wenn Sie mit Installationsautomatis-

men arbeiten. Hier müssen Sie einen Wegfinden, die Partitionierung beziehungs-weise Formatierung unter Berücksichti-gung der Konsistenz zu automatisieren.Am geringsten ist der Aufwand dann,wenn Sie mit vorgefertigten Festplatten-files arbeiten und die Partitionierung undFormatierung während der Installationselbst deaktivieren.

Lösungsweg für das VMFSAutomatisch während der Installationformatierte VMFS-Partitionen sind in-konsistent. Grundsätzlich gibt es zweiVorgehensweisen, das VMFS-Filesystemkonsistent einzurichten – entweder nut-zen Sie die Service-Konsole oder Sie bedienen sich des VirtualInfrastructure-Clients und formatieren die neue Parti-tion über die grafische Benutzeroberflä-che. In der ServiceConsole geben Siehierfür die folgenden Befehle ein (in un-serem Beispiel soll die Disk “sda” for-matiert werden):

fdisk -u /dev/sda

n (neue Partition erstellen)

p (primären Partition erstellen)

1 (anlegen der ersten Partition)

128 (Offset für den ersten Sektor

der Partition)

[Enter]

[Enter] (zur Übernahme der Defaul-

teinstellungen)

t (Anpassung des Partitionstyps)

fb (VMFS Datenpartitionstyp wählen)

w (schreiben der Änderungen)

Abschließend erstellen Sie das Filesys-tem, in diesem Beispiel mit Blöcken in

der Größe von 1 MByte:

vmkfstools -C vmfs3 -b 1m -S VMFS-1

/vmfs/devices/disks/vmhba#\:#\:#\:1

Zur Überprüfung der Aktion geben Sieden Befehl fdisk -lu /dev/sda ein.

Die Einrichtung der Partition über dieGUI erfolgt über “VMware-Host / Con-figuration / Storage / Add Storage”. Un-ter Umständen müssen Sie die automa-tisch angelegte Partition vorher löschenund wieder neu anlegen. Abschließendrichten Sie die Filesysteme der einzel-nen VMs ein.Wie das geschieht und wasdabei zu beachten ist, zeigen wir Ihnenim folgenden Abschnitt.

Vorarbeiten mit bestehender VMUnabhängig vom Gastbetriebssystem müs-sen Sie eventuell einige vorbereitende Ar-beiten durchführen. Nach dem Aufsetzenund Formatieren der Partitionen nutzenSie eine bereits bestehende virtuelle Ma-schine als Hilfs-VM. Diese VM sollte mitdem Betriebssystem installiert sein, dasauch in der neuen VM gehostet werdensoll. Sinn und Zweck dieser Hilfs-VM istdabei nur die Erzeugung einer Festplattefür die Bootplatte einer neuen VM.Möch-ten Sie nur eine weitere Festplatte an einebestehende VM anhängen, können Sie die-se Arbeiten direkt in der entsprechendenvirtuellen Maschine vornehmen. Nunwerden,wie weiter unten beschrieben,mitBordmitteln zuerst die Partition und danndas Filesystem angelegt.Anschließend hän-gen Sie die Festplatte von der Hilfs-VMwieder ab. Jetzt kann in der neuen Ma-

50 Juni 2009 www.it-administrator.de

Bild 2: Eine konsistente Dateisystemstruktur erlaubt schnellere Dateizugriffe


schine das Betriebssystem installiert wer-den, ohne jedoch eine Umpartitionierungoder Formatierung vorzunehmen. DasEinbinden zusätzlicher Festplatten in dieVMs gestaltet sich nun ganz einfach: Nacherfolgter Betriebssysteminstallation wer-den die zusätzlichen Partitionen, wie inden nachfolgenden Abschnitten beschrie-ben, eingebunden. Ihre Hilfs-VM benö-tigen Sie für diese Arbeiten nicht mehr.

Spezielle Anpassungen für Windows-VMsNach einem Rescan des SCSI-Kontol-lers in der Hilfs-VM wird die neue Fest-platte sichtbar. Jetzt muss auch hier dieEingabeaufforderung genutzt werden.Mit dem Befehl diskpart.exe nehmen sienun die Partitionierung vor:

list disk

select disk {x} (hier die passende

Festplatte auswählen)

create Partition primary align=64

exit

Die Formatierung wird jetzt in der Datenträgerverwaltung durchgeführt.Wichtig ist dabei, dass Sie eine Block-größe von 32 KByte wählen, wie in Bild3 zu sehen.Vor der Formatierung müs-sen Sie der Partition einen Laufwerks-buchstaben zuweisen.

Modifikationen für LinuxAuch bei der Einrichtung von virtuellenLinux-Systemen sollten Sie auf die rich-tige Partitionierung achten. Bei Linuxstellen Sie einen Offset von 128 ein. Diefolgende Befehlsfolge bewirkt die entsprechende Konfiguration (auch indiesem Fall handelt es sich um die Festplatte “sda”):

fdisk -u /dev/sda

n (neue Partition erstellen)

p (primäre Partition erstellen)

1 (anlegen der ersten Partition)

128 (Offset für den ersten Sektor

der Partition)

[Enter]

[Enter] (zur Übernahme der Defaul-

teinstellungen)

t (Anpassung des Partitionstyps)

83 (Linux-Datenpartitionstyp wählen)

w (schreiben der Änderungen)

Die neue Partition wird mit mkfs.ext3/dev/sda1 formatiert. Auch in diesemFall lässt sich mit dem Kommando fdisk-lu /dev/sda kontrollieren, ob die Durch-führung erfolgreich war.

Nachträgliches OptimierenNachträglich sind Versäumnisse im Be-reich der Dateisysteme nur sehr schwerwieder zu korrigieren. Ist das VMFS in-konsistent, dann besteht nur die Mög-lichkeit, parallel neue LUNs anzulegenund die virtuellen Maschinen per Sto-rage VMotion auf die neuen LUNs zukopieren. Nachträglich ist dann eineNeuformatierung der leeren LUN mög-lich. Bei den VMs besteht die erste Mög-lichkeit darin, zusätzlich zu jeder beste-henden Festplatte eine neue einzubindenund die Festplatten dann umzukopieren.

Sollten Sie Kunde der Firma NetApp sein,haben Sie eine zweite Option. NetAppbietet zwei Skripte an, mit denen Sienachträglich eine Konsistenz herstellenkönnen. Das bedingt aber die Vorausset-zung, dass sich auf jedem Festplattenfilenur eine Partition befindet. Mit demSkript mbrscan ist es möglich, ein Fest-plattenfile von der ServiceConsole aus aufKonsistenz zu testen. Als Ergebnis wirdangezeigt, ob das File konsistent ist odernicht. Liegt eine Inkonsistenz vor, kommtdas zweite Skript zum Einsatz. Mit demBefehl mbralign stellen Sie die Konsistenzwieder her. Außer der oben genanntenVoraussetzung wird zusätzlich genügendfreier Plattenplatz benötigt, denn für ei-nen möglichen Fallback wird eine Siche-rung der Festplattenfiles angelegt.

Als erstes wird die VM gestoppt, danachdas originale VMDK-File automatischgesichert. Anschließend erzeugt dasSkript eine konsistente Version der vir-tuellen Festplatten. Sollte nach dem Star-ten die VM nicht mehr einwandfrei boo-

ten, dann muss nur die Backupdatei um-benannt werden und der alte Zustandist wiederhergestellt. Nach der erfolg-reichen Durchführung der Anpassungkönnen Sie die Backupfiles löschen. DerVorgang nimmt einiges an Zeit in An-spruch, denn im Prinzip findet hier einKopierjob des gesamten Festplattenfilesauf Kommandozeilenebene statt.

Haben Sie die Verantwortung für eine grö-ßere virtuelle Umgebung, dann kann es andieser Stelle hilfreich für die Konvertie-rung sein, zu Dokumentationszwecken einCustom Attribut im VirtualCenter einzu-fügen.Damit lässt sich dann festhalten,wel-che Server schon konsistent sind, welchenoch nicht und bei welchen es Problemegegeben hat.Der Arbeitsfortschritt lässt sichso einfach dokumentieren.Arbeiten meh-rere Personen gleichzeitig an der Bereini-gung von Inkonsistenzen, dann ist dieseVorgehensweise ein probates Mittel.

FazitMit ein paar einfachen Schritten lassensich am besten vor der Installation vonvirtuellen Umgebungen die Dateisyste-me konsistent vorbereiten. Doch sindInkonsistenzen von Festplatten keine ex-klusive Eigenart von virtuellen Land-schaften.Vielmehr handelt es sich umein generelles Thema, das auch bei phy-sischen Servern auftritt.

Auch im physischen Umfeld darf dieFestplattenkonsistenz nicht vernachläs-sigt werden. Die Einrichtung von kon-sistenten Festplatten auf physischen Ser-vern unterscheidet sich nicht von denoben beschriebenen. (dr)

Bild 3: Formatierung der Windows Partition mit 32 KByte Blockgröße

52 Juni 2009 www.it-administrator.de


u den beiden Open Source-Lösun-gen Xen und KVM sind bereits ei-

nige Artikel im IT-Administrator erschie-nen, die beide Konzepte erklären und demAnwender die ersten Schritte ermöglichen.Zudem steht eine zweiteiliger Artikel miteiner praktischen Einführung in iSCSI un-ter Linux zur Verfügung. Im Kasten “Res-sourcen” am Ende dieses Beitrags sind alle Artikel aufgeführt, die im IT-Adminis-trator erschienen sind und auf die dieserWorkshop aufbaut.

Performant nur im SANDie Vorteile eines unterbrechungsfreienBetriebs und die dynamische Auslastungvorhandener Serverressourcen bei Last-spitzen, indem virtuelle Maschinen ab-hängig von der durch sie erzeugten Lastauf physikalische Server verteilt werden,liegen auf der Hand.Will der Adminis-trator das Potenzial, das Migration bie-tet, ausnutzen, ist der Einsatz eines SANsunausweichlich. Der Grund dafür ist recht

einfach:Allen virtuellen Maschinen – imFolgenden kurz VM genannt – wird so-wohl von Xen als auch von KVM Fest-plattenspeicher zugewiesen. Um eine VMvon einem Server auf einen andern zumigrieren, muss auf beiden Servern dieFestplatte der VM über den gleichen De-vice-Eintrag erreichbar sein.

Ein Beispiel: Konfigurieren Sie eine VM,die auf der Partition “/dev/sda5” arbei-tet, und migiriert diese auf einen ande-ren Server, erwartet die VM ihre Datendort ebenfalls unter “/dev/sda5”. Bei sta-tischen Partitionen, wie im Beispiel,schlägt dies normalerweise fehl – mit“/dev/sda5” wird auf beiden Systemennicht die gleiche Partition angesprochen.Die Virtualisierungslösung erwartet eine“einheitliche Sicht” auf den Speicher.

Verwenden Sie für die VM Dateien an-stelle von Block-Devices, ist die Lösungrecht einfach: Die Dateien mit den VM-

Daten können auf einem NFS-Share ab-gelegt werden, der auf allen Servern imjeweiligen Dateisystem gleich gemoun-tet wird. Sinnvoll ist dies jedoch allenfallsbei VMs, die keine hohe IO-Last erzeu-gen, denn dateibasierte VMs sind in derRegel schlichtweg nicht performant ge-nug. Der Ausweg besteht in einem SAN,welches Festplattenkapazität zur Verfü-gung stellt und dabei allen beteiligtenServern netzweit eine gleiche Adressie-rung bereitstellt.

iSCSI und die AlternativenIm Folgenden betrachten wir iSCSI, je-doch ist dies nicht die einzige Möglich-keit.Alternativ bieten sich Fibre Channel(FC-AL)-Lösungen an, oder gar Cluster-Dateisysteme.Während FC-AL eine aus-gereifte, schnelle und auch verbreiteteMöglichkeit darstellt, sind Cluster-Datei-systeme derzeit noch etwas exotischer undweniger weit verbreitet. FC-AL ist mitvergleichsweise hohen Kosten verbunden,

iSCSI-SAN und Virtualisierung

Fliegende Wechselvon Thomas Weyergraf

Neben der besseren Auslastung vorhandener Serverressourcen bietet Virtualisierung vor allem eine logische Trennung zwischen

Gastsystem und zugrunde liegender Hardware. Virtuelle Maschinen werden erzeugt, betrieben, heruntergefahren

und unter Umständen wieder gelöscht, ohne den zugrundeliegenden Server zu beeinträchtigen. Ein hervorstechen-

des Merkmal ist dabei die Migration: Ein Gastsystemlässt sich im laufenden Betrieb von einem physikalischen

Server auf einen anderen unterbrechungsfrei verschieben.Muss der Administrator einen Server zu Wartungs- oder

Erweiterungszwecken herunterfahren, werden die laufenden virtuel-len Maschinen auf einen anderen Server verschoben, um dort ihrenDienst ohne Unterbrechung zu verrichten. Dazu ist jedoch ein SAN Voraussetzung. Der folgende Workshop zeigt, wie Sie iSCSI-SANs

einsetzen, um das Potenzial der Virtualisierung voll zu entfalten.

Z


Das volle Potenzial virtueller Maschinen weckt die Anbindung an ein SAN


vor allem wenn Ausfallsicherheit mittelsStorage-Switches hergestellt werden soll.

iSCSI hat eine ganze Reihe von Vorteilen:Es verwendet kostengünstige Ethernet-In-frastrukturen und lässt sich mit Linux-Bord-mitteln aus Open Source-Komponentenaufbauen. Zukünftig steigende Anforde-rungen an die Leistung lassen sich durchdedizierte iSCSI-Storagehardware, etwa von EMC oder IBM, befriedigen. Reichtdie Bandbreite von gegenwärtigen Ether-net-Verbindungen nicht aus, bietet sich In-finiband an.Es existieren iSCSI-Protokoll-stacks, die über Infiniband arbeiten. ImLinux-Umfeld sind diese sogar ebenfalls alsOpen Source lizenzkostenfrei erhältlich.

Bandbreitenplanungist das halbe LebenBevor Sie mit der Implementierung ei-nes SANs zur Unterstützung der Virtua-lisierung und insbesondere der VM-Migration beginnen, sind ein paargrundsätzliche Überlegungen sinnvoll. Fürden Normalbetrieb einer VM reicht es,die Netzwerkverbindungen für das iSCSI-SAN dergestalt auszulegen, dass die Band-breite ausreichend dimensioniert ist, umdie Transferrate des Festplattensubsys-tems aufnehmen zu können. Bei großenRAID-Arrays werden Transferraten vonmehreren 100 MByte/s erreicht. Eine ein-zelne GBit-Verbindung reicht dazu nichtmehr aus. 10-GBit-Ethernet ist derzeitnur vereinzelt zu finden und in Server-systemen noch kein Ausstattungsstan-dard. 10-GBit-Switche sind zudem nochexorbitant teuer.

Infiniband ist – insbesondere bei kleinenSwitchen – im deutlichen Kostenvorteil,jedoch muss auch hier jeder Server miteinem Infiniband-Adapter ausgerüstet wer-den, was ebenfalls die Kosten nach obentreibt. Einen kostengünstigen Ausweg gibtes jedoch: “Link Aggregation”, also dasZusammenfassen mehrerer physikalischerEthernet-Verbindungen zu einer logi-schen. Diese logische Verbindung bietetim Idealfall die kumulierte Bandbreite al-ler eingesetzten Ethernet-Verbindungen.

Die Bedeutung der Bandbreite steigertsich vor allem dann, wenn VMs migriertwerden. Bei der Migration fallen unterUmständen erhebliche Datenmengenan. Neben Verwaltungsdaten muss derkomplette von der VM benutzte Haupt-speicher übertragen werden – Größen-ordnungen von mehreren GByte sindnicht unüblich. Es ist ein weitverbreite-ter Irrtum, dass während dieses Haupt-speichertransfers die VM nicht weiter-arbeiten kann – das wäre fatal, denn einTransfer mehrerer GByte dauert etlicheDutzend Sekunden. Einem Anwender,

der mit der VM arbeitet, würde dies so-fort auffallen.

Migration des ArbeitsspeichersTatsächlich verwenden sowohl Xen alsauch KVM ausgefeilte Mechanismen,um die Zeitspanne des eigentlichenHauptspeichertransfers zu kaschieren.KVM geht dabei – grob vereinfacht –wie folgt vor: Zunächst startet die neueVM auf dem Zielserver und erhält dieAnweisung, auf den Transfer zu warten.Die VM auf dem Quellserver loggt abeinem bestimmten Zeitpunkt alle Spei-


Bild 1: Im Beispielnetzwerk sind die Virtuellen Maschinen über einen Switch mit dem iSCSI-Server verbunden


cherseiten (Pages), die nach diesem Zeit-punkt modifiziert wurden.Anschließendwerden alle nicht modifizierten Pagesübertragen. Die VM läuft dabei weiter.Ändert sich im Folgenden eine bereitsübertragene Seite, loggt KVM dieseebenfalls. Nach dem Transfer erfolgt ei-ne iterative Übertragung der Liste dermodifizierten Pages. Dabei legt KVMerneut ein Zeitpunkt an, ab dem es wei-ter modifizierte Pages aufzeichnet. Sindalle Pages übertragen, wird die VM aufdem Quellserver gestoppt und derenZustandsdaten auf den Zielserver über-tragen.Anschließend startet die VM aufdem Zielserver und arbeitet an der Stel-le weiter, wo sie auf dem Quellserverunterbrochen wurde.

Obwohl das genaue Migrationsverfahrensowohl bei KVM als auch bei Xen umeiniges komplexer ist, als diese verein-fachte Darstellung suggerieren mag, wirdjedoch eins klar: Der eigentliche Trans-fer des Hauptspeichers stellt kein allzugroßes Problem dar.Trotzdem sollten Sie

eine schnelle Netzwerkverbindung si-cherstellen. Da insbesondere bei sehr ak-tiven VMs die iterativ abzuarbeitendenListen modifizierter Pages von Durchlaufzu Durchlauf sehr groß werden können,während die Transfers laufen, kann dereigentliche Migrationsprozess recht langedauern – auch wenn der Anwender davonnichts mitbekommt. Ist der Migrations-grund beispielsweise ein drohenderHardware-Ausfall des Quellservers, willder Administrator schnell die VMs vonder Maschine abziehen. In jedem Fallsorgt eine VM-Migration für eine Last-spitze auf dem Transfer-Netzwerk. LäuftiSCSI über das gleiche Netz, kann es zuPerformance-Engpässen für den iSCSI-Betrieb kommen. Der Einsatz von ge-trennten Migrations- und Storagenetz-werken ist eine sinnvolle Konfiguration,mit der Sie das Problem umgehen.

Link-Aggregation mittels Linux Bonding konfigurierenObwohl nicht notwendig, bietet Link-Aggregation eine kostengünstige Mög-lichkeit zur Leistungssteigerung, und wirrichten es für unser Beispiel-Setup ein.Bild 1 zeigt unser Beispielnetzwerk: ZweiServer für virtuelle Maschinen,VM-Ser-ver1 und VM-Server2, hängen über ei-nen Switch an einem iSCSI-Server. Zwi-schen den drei Systemen legen wir zweiNetzwerke an: eins für die Migration(“Mig-net”) und eins für dem iSCSI-Transport (“iSCSI-net”). Das iSCSI-netbesteht aus zwei Ethernet-Links, die mit-tels Bonding zu einer logischen Verbin-dung zusammengefasst sind (daher derDevice-Name “bond0”).

Das Migrationsnetzwerk besteht aus nor-malen Ethernet-Verbindungen, derenKonfiguration sich nicht von normalenNetzwerken unterscheidet. Im Kasten“Einr ichten des Bonding” sind dreiSchritte gezeigt, mit denen Sie unterRed Hat Enterprise Linux 5.2 (RHEL)oder Centos 5.2 Bonding einrichten.Zunächst wird das Bonding-Modul inder modprobe.conf geladen. Für jedes Bon-ding-Device müssen Sie eine entspre-

chende alias-Zeile eintragen, da für jedesDevice ein Bonding-Modul geladenwird. Das Bonding-Device selbst kon-figurieren Sie mit der Datei ifcfg-bond0.Bis auf die Zeile “BONDING_OPTS”entspricht die Konfiguration der einernormalen, statischen Ethernet-Karte. Inder Zeile “BONDING_OPTS” stellenSie mit “miimon=100” ein, dass dieEthernet-Interfaces alle 100 Millise-kunden überprüfen sollen, ob der je-weilige Link noch aktiv ist. Damit las-sen sich Unterbrechungen feststellen.

Mit der Option “mode=0” konfigurie-ren Sie das Bonding-Device in den “Ba-lanced round-robin”-Modus. Die Da-tenübertragung wird dabei auf allebeteiligten Devices gleichmäßig verteiltund bei Ausfall eines Links wird mit denverbleibenden Devices weitergearbeitet.Der Linux Bonding-Treiber kennt ins-gesamt sechs verschiedene Modi.Aller-dings bietet der Mode 0 eine Reihe vonVorteilen: Er ist der einzige Modus, beidem schon eine einzige TCP- oderUDP-Verbindung von der aggregiertenBandbreite aller Interfaces profitierenkann. Bei anderen Modi steht zwar auchdie Gesamtbandbreite zur Verfügung, al-lerdings kann eine Verbindung lediglichdie Bandbreite eines Links verwenden.Darüber hinaus erfordert der Mode 0keine besondere Unterstützung durchden Switch, wie etwa bei 802.3ad (Dy-namic Link Aggregation, oft verwirrendals Port-Trunking bezeichnet).

Schließlich setzen Sie die MTU auf 9.000hoch, um größere, unfragmentierte Ether-net-Frames übertragen zu können. DerSwitch muss dies natürlich ebenso unter-stützen wie die beteiligten Ethernet-In-terfaces. Es reicht, die MTU für das Bon-ding-Device zu setzen, die beteiligtenInterfaces werden automatisch mit ein-gestellt. Im dritten Schritt konfigurierenSie die am bond0 beteiligten Interfaces.Im Beispiel fügen Sie eth2 mit der Zeile“Master=bond0” dem Bonding-Devicehinzu.Analog lassen sich eth3 oder weitereInterfaces hinzufügen. Die Bonding-Kon-


1. Das Bonding-Modul beim Systemstart mit den richti-gen Parametern ladenIn /etc/modprobe.conf hängen Sie folgende Zeile an:alias bond0 bonding

2. Das Bonding-Device konfigurierenLegen Sie die Datei /etc/sysconfig/network-scripts/ifcfg-bond0 an:DEVICE=bond0

BONDING_OPTS=”miimon=100 mode=0”

BOOTPROTO=none

NETWORK=192.168.0.0

IPADDR=192.168.0.1

NETMASK=255.255.255.0

BROADCAST=192.168.0.255

MTU=9000

ONBOOT=yes

3. Ethernet-Interfaces als Slave-Devices konfigurierenBeispielsweise eth2 in /etc/sysconfig/network-scripts/ifcfg-eth2 dem Bond hinzufügen.DEVICE=eth2

ONBOOT=yes

BOOTPROTO=none

HWADDR=DE:AD:BE:EF:AF:FE

MASTER=bond0

SLAVE=yes

Einrichten des Bonding


figuration nehmen Sie auf allen beteilig-ten Systemen vor – dem iSCSI-Server so-wie den beiden VM-Servern.

iSCSI-Devices anlegen und die Server anbindenDie iSCSI-Konfiguration ist in der ein-gangs erwähnten Artikelserie ausführlichbeschrieben, daher geben wir im Kasten“Konfiguration des Target” lediglich ei-ne verkürzte Version der Target-Konfi-guration ohne Authentifizierung wieder(auf eine entsprechende Konfigurationdes OpenISCSI-Initiators verzichten wiraus Platzgründen).

Bei der Target-Konfiguration gibt es ei-nen Unterschied zu den Beispielen in deriSCSI-Workshopreihe:Das exportierte Lo-

gical Volume “/dev/hydra/testlinux” stel-len wir anstelle von “Type=fileio” als“Type=blockio” bereit. Damit wird derBuffercache auf dem iSCSI-Server um-gangen und alle Operationen direkt aufdem exportieren Block-Device ausgeführt.Da die VMs eigene Betriebssysteme fahren,sorgen diese bereits für effektives Caching,um die Performance zu steigern.Abschlie-ßend verbinden Sie mit den in Schritt 2gezeigten “iscsiadm”-Kommandos beideVM-Server mit dem iSCSI-Server.

Die eingangs erwähnte “einheitlicheSicht” stellt der Device-Mapper von Li-nux her: Im Verzeichnis /dev/disk/by-pathbefindet sich ein Link, der die IQN-ba-sierte iSCSI-Adresse auf das lokale De-vice zeigen lässt. Im Beispiel hat das Sys-tem die iSCSI-Platte lokal als “sdc”angebunden – das mag auf dem zweitenServer davon abweichen, wenn er eineandere Anzahl oder Konfiguration loka-ler Platten hat.Wichtig ist lediglich, dassder auf der iSCSI-IQN basierende Linkauf beiden Servern gleich und damit migrationstauglich ist.

VM-Migration mit KVM und XenDie Migration der VMs ist in den beidenVirtualisierungslösungen KVM und Xenunterschiedlich. Im Folgenden beschreibenwir ausführlich die Migration mittels KVM,da die vorliegende Dokumentation zuKVM derzeit ausgesprochen spärlich undteilweise inkorrekt ist.KVM basiert auf demOpen Source-Systememulator “Qemu”.Dieser wird durch das KVM-Projekt umdie benötigte Funktionalität erweitert, die es ihm ermöglicht,VMs mit minimalemOverhead zu betreiben.Aus Sicht des Ad-ministrators bleibt die Benutzerschnittstel-le von Qemu weitgehend erhalten.

Qemu bietet bei einer laufenden VM dieMöglichkeit, in einen sogenannten “Mo-nitor” zu wechseln, über den unter ande-rem auch die Migration durchgeführtwird. Üblicherweise startet Qemu ein gra-fisches Frontend, das als Display für dieVM fungiert und sich entweder VNC oderder SDL-Grafikbibliothek bedient. In die-

sem Fenster lässt sich mittels “Alt-2” aufdie Monitorkonsole und mit “Alt-1” zu-rück zur grafischen Ausgabe der VM schal-ten.Auf Desktopsystemen bietet das hin-reichenden Komfort, für den Serverbetriebist der interaktive Umgang mit der grafi-schen Konsole zu umständlich. KVM er-laubt, den Monitor auf einen per telneterreichbaren Port umzubiegen, was dieBedienung hinsichtlich Migration verein-facht. In Kasten “Live-Migration mit KVMund iSCSI” sind die drei Schritte zur Mi-gration einer KVM-VM aufgezeigt.

KVM-Kommandozeilen können mit-unter verwirrend lang werden, da eineVielzahl von Konfigurationsoptionen zur Verfügung steht. Die Kommando-zeilen im Kasten entstammen bis auf einige kosmetischen Änderungen einerrealen Produktionsumgebung.


1. iSCSI-Target in /etc/ietd.conf anlegenTarget iqn.2007-01.de.it-administrator:

storage:disk1

Lun 0 Path=/dev/hydra/testlinux,

Type=blockio

#MaxConnections 1

InitialR2T No

ImmediateData Yes

#MaxRecvDataSegmentLength 8192

#MaxXmitDataSegmentLength 8192

MaxBurstLength 262144

FirstBurstLength 65536

#DefaultTime2Wait 2

#DefaultTime2Retain 20

#MaxOutstanndingR2T 8

#DataPDUInOrder Yes

#DataSequenceInOrder Yes

#ErrorRecoveryLevel 0

#HeaderDigest CRC32C,None

#DDataDigest CRC32C,None

# various target parameters

Wthreads 8

2. Anbindung der beiden VM-Server an das iSCSI-Tar-get (hier für einen Server wiedergegeben):# iscsiadm -m discovery -t sendtargets -p

192.168.0.1:3260

# iscsiadm -m node -T iqn.2007-01.de.it--

administrator:storage:disk1 -p

192.168.0.1:3260 -l

3. Beispiel eines erzeugten iSCSI-Devicenodes in/dev/disk/by-path:ip-192.168.0.1:3260-iscsi-iqn.2007-

01.de.it-administrator:storage:disk1 ->

../../sdc

Konfiguration des Target

Schritt 1: Starten der VM auf VM-Server1# kvm -smp 2 -m 4096 -monitor

tcp:127.0.0.1:3333,server,nowait

-net nic,macaddr=DE:AD:BE:EF:01:04,

model=e1000

-net tap,script=/etc/qemu-ifup

-drive index=0,media=disk,if=ide,cache=off,

file=/dev/dissk/by-path/

ip-192.168.0.1:3260-iscsi-iqn.2007-

01.de.it-administrator:storage:disk1

-vnc :1 -daemoonize

Schritt 2: Starten der Empfangs-VM auf VM-Server2# kvm -smp 2 -m 4096 -net

nic,macaddr=DE:AD:BE:EF:01:04,model=e1000

-net tap,script=/etc/qemu-ifup

--drive index=0,media=disk,if=ide,cache=off,

file=/dev/disk/by-path/

ip-192.168.0.1:3260-iscsi-iqn.20007-

01.de.it-administrator:storage:disk1

-vnc :1 -daemonize

-incoming tcp:192.168.0.3:4444

Schritt 3: Starten der Migration # telnet localhost 3333

Trying 127.0.0.1...

Connected to localhost.localdomain

(127.0.0.1).

Escape chharacter is ‘^]’.

QEMU 0.9.1 monitor - type ‘help’ for more

information

(qemu) migrate tcp:192.168.0..3:4444

(qemu) quit

Live-Migration mit KVM und iSCSI


Zunächst star tet das Kommando inSchritt 1 eine VM mit zwei Prozessorenund 4 GByte Speicher. Mit der Option“-monitor[...]” wird der eingebaute Qe-mu-Monitor in unserem Beispiel auf Port3333 des Hostsystems (127.0.0.1) um-geleitet. Die beiden Zeilen “-net[...]”konfigurieren den Netzwerkzugang derVM. In der Zeile, die mit “-drive[...]”beginnt, erfolgt die Festplattenkonfigu-ration via iSCSI. Beachten Sie bitte, dasshier die netzweit gültige IQN-basierendeAdresse des iSCSI-Speichers angegebenwird. Mittels “-vnc :1” aktivieren Sie denin Qemu eingebauten VNC-Server, so-dass sich netzweit mittels VNC-Clientdirekt auf die grafische Konsole der VMzugreifen lässt. Schließlich sorgt “-dae-monize” dafür, dass die VM als Hinter-grundprozess startet.

Um die VM erfolgreich zu migrieren,starten Sie auf dem VM-Server2 zunächstdie “Empfangs-VM” und weisen sie an,auf die Migration zu warten. Die Kom-mandozeile entspricht der auf VM-Ser-ver1, auch hier wird über die gleichenetzweite IQN-basierende Adresse aufden iSCSI-Storage zugegriffen. Lediglicheine neue Option ist hinzugekommen:Mit “-incoming” weisen Sie die VM an,auf der Adresse 192.168.0.3 an Port 4444auf Migrationsdaten via TCP zu warten.Derart gestartet, macht diese VM erst malnichts außer warten.

Im letzten Schritt wird auf VM-Server1mit dem Kommando “telnet localhost3333” in den Monitor der VM gesprun-gen, entsprechend der “-monitor”-Op-tion im ersten Schritt. Der Monitorselbst meldet sich mit dem “(qemu)”-Prompt. Das Kommando “migratetcp:192.68.0.3:4444” weist die VM an,mit der Migration zu beginnen. IP-Adresse und Port müssen mit den imzweiten Schritt angegebenen Parame-tern für “-incoming” übereinstimmen.

Die Migration dauert eine Weile, nachAbschluss meldet sich der Monitor er-neut mit dem “(qemu)”-Prompt und Sie

können ihn mit “quit” beenden. Danachist der KVM-Prozess auf VM-Server1 beendet und die VM erfolgreich auf VM-Server2 migriert.

Aus Platzgründen verzichten wir auf ei-ne ausführliche Darstellung der Migra-tion unter Xen. Im Prinzip läuft diesewie folgt ab: Zunächst ist der Xen-Dae-mon zu aktivieren und auf Netzbetriebzu konfigurieren. Die Optionen sind in der Manpage “xend-config.sxp(5)”beschrieben – im Wesentlichen muss“xend-relocation-server” enabled wer-den sowie ein “xend-relocation-port”und die “xend-relocation-address”. Na-türlich muss xend auf beiden VM-Ser-vern aktiviert und vor allem der xend-relocation-port gleich sein. Die zumigrierende Xen-VM muss sich desiSCSI-Storages in gleicher Weise bedie-nen wie im KVM-Beispiel, also alsBlock-Device mit der “by-path” IQN-Adresse angesprochen werden. Der“disk”-Eintrag in der Konfiguration derVM sieht dann etwa wie folgt aus:

disk = [‘phy:/dev/disk/by-path/

by-path/ip-192.168.0.1:3260-iscsi-

iqn.2007-01.de.it-administrator:

storage:disk1,xvda,w’ ]

Laufen auf beiden VM-Servern die xend-Instanzen, startet der Administrator aufVM-Server1 mit ‘xm create...” die VM.Die eigentliche Migration führen Sieunter Xen mit dem folgenden Kom-mando durch:

xm migrate —live VM-{Zielserver-

Hostname}

FazitMit Linux-Bordmitteln ist es durchausmöglich, eine komplette Virtualisierungs-Infrastruktur aufzusetzen, die bei ent-sprechender Auslegung der zugrundeliegenden Hardware auch hohen Anfor-derungen gerecht werden kann. DerEinsatz von iSCSI empfiehlt sich, da essich um einen offenen Standard handelt,der zudem auf vorhandener Netzwerk-

infrastruktur aufsetzt.Auf solche Grund-lagen gestellt, funktioniert Live-Mi-gration von VMs in den beiden Vir-tualisierungsansätzen Xen und KVMproblemlos.

Im Betrieb zeigte KVM jedoch einigeInstabilitäten bei der Live-Migration mitneueren KVM-Versionen, die dem ge-genwärtigen Entwicklungsstand ge-schuldet sind – die KVM-Entwicklerbauten zum Entstehungszeitpunkt desArtikels die KVM-Infratruktur massivum.Wenn Sie diese Zeilen lesen, solltesich die Lage allerdings wieder beruhigthaben – auf umfangreiche Tests solltenSie dennoch nicht verzichten.

Ein Wort zur Sicherheit ist in diesemZusammenhang geboten: WährendKVM prinzipiell die Möglichkeit bie-tet, die Migration durch einen SSH-Tunnel zu verschlüsseln, überträgt Xendie VM unverschlüsselt. Das Migrati-onsnetz sollte daher ein von der Au-ßenwelt isoliertes Netz sein. Das Glei-che gilt für iSCSI – auch hier werdendie Daten unverschlüsselt übertragen,sodass das iSCSI-Netz ebenfalls sorgfäl-tig abgeschottet werden muss, um Da-tenklau zu verhindern. (jp)


[1] “Arbeitsweise und Konfiguration von Xen (1)”in IT-Administrator 2/2007

[2] “Arbeitsweise und Konfiguration von Xen (2)”in IT-Administrator 3/2007

[33] “Kernel-based Virtual Machine for Linux einrichten” in IT-Administrator 09/2007

[4] “Xen-Infrastrukturen effektiv verwalten”in IT-Administrator 01/2008

[[5] “Virtualisierungstechnologien im Vergleich”in IT-Administrator 01/2008

[6] “iSCSI unter Linux einrichten (1)”in IT-Administrator 06/2008

[7] “iSCSI unteer Linux einrichten (2)”in IT-Administrator 07/2008

Ressourcen


www.it-administrator.de April 2010 31

P R A X I S I S y s t e m e

ragen nach dem Mehrwert derDesktop-Virtualisierung stellen

sich sowohl, wenn IT-Verantwortlicheeinen nüchternen, distanzierten Blick aufden aktuellen Status der Technologiewerfen, als auch bei der Betrachtung derwenig positiven Erfahrungen mancherAnwender. Das heißt nicht, soviel schonvorab, dass Desktop-Virtualisierung kei-nen Sinn macht. Sie bringt zum heuti-gen Entwicklungsstand aber sicher nichtin jedem Anwendungsfall die Vorteile,die versprochen werden. Das wird sichändern, ein kritischer Blick ist aber den-noch, wie bei jeder Technologieent-scheidung, ebenso anzuraten wie eineStrategie für die Virtualisierung, die nichtbei der Desktop-Virtualisierung endet.

Desktop-Virtualisierung und VDIsDesktop-Virtualisierung bezeichnet An-sätze, die die klassische 1:1-Beziehungzwischen der physischen Maschine unddem lokalen Client-Betriebssystem auf-lösen. Der Desktop, über eben dieses lo-kale Client-Betriebssystem bereitgestellt,wird stattdessen als virtuelle Maschine(VM) geliefert. Damit lassen sich einfachverschiedene Desktop-Umgebungen aufeiner physischen Maschine nutzen, eben-so wie ein virtueller Desktop auch vonverschiedenen Systemen aus genutzt wer-den kann.VDIs sind Virtual Desktop In-frastructures und damit – je nach Mar-keting-Sicht des Herstellers – entwedernur die Backend-Systeme, die eine solcheInfrastruktur bereitstellen, oder die Ge-

samtinfrastruktur einschließlich der vir-tuellen Desktops.

Die Versprechen sind vielfältig.Dazu zählenflexible Desktop-Umgebungen,die sich aufunterschiedlichen Basissystemen,vom ThinClient über Windows- und Macintosh-Sys-teme bis hin zu Linux-Rechnern, nutzenlassen. Dazu zählen die Optimierung derRessourcennutzung, die Reduktion vonKosten, ein effizienteres Management undeine auch aus Sicherheitsgründen guteKontrolle über den Zustand der Desktops.Wie immer bei solchen Versprechen müs-sen IT-Verantwortliche aber sowohl hin-terfragen, ob diese eingehalten werden, alsauch, ob es nicht andere Lösungsansätzegibt, die das auch und vielleicht sogar bes-ser liefern.

Aktuelle Desktop-SzenarienVDIs arbeiten heute typischerweise so,dass auf einem oder mehreren Server-Systemen virtuelle Maschinen ausgeführtwerden, auf die über Remote Desktop-

Aspekte der Desktop-Virtualisierung

Es ist nicht alles Gold, was glänzt

von Martin Kuppinger

Desktop-Virtualisierung ist zweifelsohne eines der großen Hype-Themen der IT. Viele Unternehmen stür-

zen sich auf Grund der großen Versprechungen – ins-besondere natürlich der Kostenreduktion – darauf. Und

manche sind am Ende ernüchtert. Dieser Beitrag zeigt auf,ob die Desktop-Virtualisierung wirklich schon so weit ist, dass

sie einen Mehrwert für die IT liefert. Und falls ja, in welchen Szenarien sie zum Tragen kommen sollte. Dazu betrachten wir

bestehende Lösungen für den Desktopbetrieb vergleichend und analysieren, welche Faktoren IT-Verantwortliche vor der

Einführung virtueller Desktops betrachten sollten.

F

Oberflächlich betrachtet ist Desktop-Virtualisierung eine glänzende

Alternative zu bekannten Clientmanagement-Methoden

Quelle: pixelio.de

Protokolle wie RDP oder ICA zuge-griffen wird. Dieser Ansatz des Zugriffsist von grundsätzlicher Bedeutung, weildie virtuellen Desktops eben nicht aufder lokalen Maschine laufen. Dort läuftvielmehr eine Ausführungsumgebung fürdie virtuellen Maschinen, derzeit eben-so typisch noch innerhalb eines lokalenDesktop-Betriebssystems – wozu auchdie “schlanken” Systeme auf Thin Clientszu zählen sind. Das ist ein wichtigerPunkt, weil er sowohl mit Blick auf dasManagement der Gesamtinfrastruktur alsauch der Lizenzierung Probleme birgt.

Die lokale Bereitstellung der virtuellenUmgebungen ebenso wie die Ausführungvon Hypervisor-Technologie “bare me-tal” auf der jeweiligen Hardware befindetsich bei den meisten Anbietern, wennüberhaupt, noch im Entwicklungsstadi-um. Eine Option, bei der die virtuellenDesktops lokal ausgeführt werden und da-mit einerseits die Einschränkungen vonRemote Desktop-Protokollen umgangenund andererseits mobile Nutzungsszena-rien mit Offline-Nutzung unterstützt wer-den, lässt für die produktive Nutzung nochauf sich warten.

Wenn wir uns bewusst machen, dass dertypische Zugriffsweg heute die RemoteDesktop-Protokolle sind, liegt auch eineAlternative zu den VDIs auf der Hand:Klassische Terminal-Dienste, bei denenauf den Server-Infrastrukturen eben nichtgetrennte virtuelle Maschinen ausgeführtwerden, sondern “nur” mehrere Instan-zen innerhalb eines Terminal-Servers lau-fen. Auch hier wird die Infrastruktur zentral bereitgestellt und verwaltet. Undder Zugriffsweg ist der gleiche. Hinzukommt, dass es für Terminal Service-In-frastrukturen viele erfahrene Experten,Hersteller und Add-On-Produkte bei-spielsweise für das System- und Lizenz-management gibt.

Nicht außer Acht lassen sollten Sie auchdie Variante von lokalen Client-Syste-men. Mit der Roaming-Unterstützungbeispielsweise von Windows lassen sich

auch hier einheitliche Umgebungen aufunterschiedlichen Systemen nutzen, eben-so wie natürlich auch mehrere Benutzermit individuellen Umgebungen auf demgleichen System arbeiten können. Fürsolche Umgebungen gibt es vielfältigeLösungen für das Systemmanagementoder, wie es heute meist genannt wird,Client Lifecycle Management.Von derInstallation über die Softwareverteilungbis hin zum Konfigurations-, Lizenz- undAsset-Management finden sich dort alleFunktionen. Dabei gibt es zwar Heraus-forderungen, aber eben auch viele Toolsund viel Erfahrung. Insgesamt gilt aberauch hier, dass viele Firmen damit ihreDesktops gut im Griff haben. Und es las-sen sich alle Anwendungsfälle, vom fes-ten Arbeitsplatz im Unternehmen mit ei-nem Benutzer pro PC über Notebooksbis hin zu Kiosk-Systemen abdecken –mit einer hohen Flexibilität der indivi-duellen Systemkonfigurationen.

Die Frage, welcher Ansatz heute der rich-tige ist und welcher auf Dauer am bestengeeignet scheint, muss daher zwingendgestellt werden, bevor Sie mit der Desk-top-Virtualisierung beginnen. Das giltnatürlich vor allem dann, wenn Sie IhreInfrastrukturen mit Client Lifecycle Ma-nagement-Lösungen und Terminal Ser-ver-Systemen gut im Griff haben.

Desktop-Virtualisierung nicht isoliert betrachtenKlar ist auch, dass das Thema der Desk-top-Virtualisierung nicht getrennt vonanderen Virtualisierungsansätzen im Unternehmen betrachtet werden kann.Durch die Verlagerung der virtuellen Ma-schinen auf die Server entsteht dort, trotzder Optimierungsansätze für das Ma-nagement und die Speicherung vonImages, eine signifikante Last. Die Desk-top-Virtualisierung müssen Sie daher immer im Zusammenhang mit der Ser-ver-Virtualisierung und der Storage-Virtualisierung betrachten. Eine Ge-samtstrategie ist hier zwingend, um dieBackend-Infrastruktur in effizienter Wei-se im Griff zu behalten.

Fast noch wichtiger ist aber der Blick aufdie Anwendungsvirtualisierung. Mit die-ser können Anwendungen bereitgestelltwerden, die in einer “virtuellen Schicht”innerhalb des Desktops laufen. Damit las-sen sich flexibel unterschiedliche An-wendungen für die virtuellen Desktopsliefern – oder auch für klassische lokaleDesktop-Systeme. Die Anwendungs-virtualisierung ist vor allem deshalb sowichtig, weil sich damit Anwendungenfür eine überschaubare Zahl von vorge-gebenen Images bereitstellen lassen unddie Zahl der unterschiedlichen Imagesvon VMs klein bleiben kann.

Desktop-Individualisierung und -DeploymentBeim Vergleich der Desktop-Virtualisie-rung mit anderen Ansätzen muss nachunterschiedlichen Anwendungsszenarienunterschieden werden: Das können Stan-dard-Arbeitsumgebungen sein, die weit-gehend einheitlich von vielen Benutzernan ihren Desktop-Systemen genutzt wer-den. Oder Umgebungen, auf die vieleBenutzer beispielsweise in der Fertigungüber gemeinsam genutzte Rechner ge-legentlich zugreifen. Das sind aber auchdie Notebooks von mobilen Benutzern,mal mit einer weitgehend einheitlichenKonfiguration, mal mit einer stärker in-dividualisierten Einrichtung. Es gibt dieMitarbeiter, die stärker individualisierteUmgebungen mit spezialisierter Softwarebrauchen. Es gibt die Entwickler und an-dere Gruppen, die einen noch größerenFreiheitsgrad bezüglich der verwende-ten Software und der Konfiguration ih-rer Systeme brauchen.

Die Erfahrung aus dem Client Lifecy-cle Management zeigt dabei klar, dassdie Herausforderung nicht in erster Li-nie die vielen einheitlichen Systemesind, sondern die Systeme, bei denen Siespezifische Änderungen benötigen. Ein-heitliche Systemumgebungen für vieleBenutzer lassen sich auch mit gängigenClient Lifecycle Management-Lösungeneffizient ausrollen und verwalten. Undbei der Einschränkung der Freiheitsgra-

32 April 2010 www.it-administrator.de



de der Benutzer für Anpassungen un-terscheiden sich die lokalen Systemenicht von virtuellen Maschinen, wenndie gleichen Betriebssysteme verwendetwerden. Die derzeit noch in den Kin-derschuhen steckende Unterstützung ei-nes Deployments der virtuellen Ma-schinen auf lokale Systeme und eineranschließenden Synchronisation von Än-derungen bei VDIs machen dabei bereitsdeutlich, dass sich mit der Desktop-Vir-tualisierung nicht alle Anwendungsfälleabdecken lassen.

Hinzu kommt, dass sich die Lösungenheute vor allem auf das Management vonImages fokussieren, also eine effizienteBereitstellung einmal definierter Images.Was innerhalb der Images geschieht, istaber oft viel interessanter. In den An-wendungsfällen, in denen standardisierteClients von sehr vielen Benutzern ver-wendet werden, reicht das auf den ers-ten Blick aus.Aber auch dort müssen Siegezielt steuern, zum Beispiel die Konfi-gurationseinstellungen. Mit anderen Wor-ten:Wer aufgrund seiner Anforderungenetwas mehr Flexibilität benötigt, kommtganz sicher nicht an ergänzenden Werk-zeugen für das Client Lifecycle-Mana-gement vorbei. Nur die meist als “OSDeployment” bezeichnete Funktion istredundant. Das gilt umso mehr, als es janicht nur um die Konfiguration und die

Bereitstellung von Software geht, son-dern auch um das Management von Lizenzen und anderen Assets. Die Inte-gration mit dem Lizenz-, Asset- undContract-Management ist natürlich inUmgebungen mit virtuellen Desktopsgenauso zwingend wie sie es in “klassi-schen” Umgebungen mit lokal instal-lierten Client-Betriebssystemen ist.

Am Markt ist zu beobachten, dass im-mer mehr Anbieter von Client LifecycleManagement-Lösungen ihr Portfolioauch auf die Unterstützung von VDIserweitern. Hier müssen Sie zwar genauhinsehen, was für bestimmte VDIs schonverfügbar ist und was nicht – aber esgibt zunehmend mehr Lösungsansätze.Nur: Sie sollten sich auch darüber be-wusst sein, dass die Desktop-Virtuali-sierung zwar Veränderungen für dasClient Lifecycle-Management mit sichbringt, dass dieses aber keineswegs über-flüssig wird.

Management und Komplexität im BackendWie schon im Zusammenhang mit derServer- und Storage-Virtualisierung an-gedeutet, müssen Sie sich auch darüberim Klaren sein, dass jede Entlastung beimClient eine Verschiebung von Funktio-nen und administrativen Aufwänden inRichtung Server bedeutet. Die meisten

VDIs im Markt sind darauf ausgerichtet,große Zahlen an Clients in einer zuver-lässigen und hoch skalierenden Infra-struktur zu unterstützen. Es gibt einzel-ne schlankere Ansätze. Im Grundsatz giltaber: Sie erhalten – wie in Terminal Ser-ver-Infrastrukturen – eine komplexe Backend-Landschaft.

Dabei ist allerdings zu Recht anzumer-ken, dass auch das lokale Deploymentüber Client Lifecycle Management-In-frastrukturen gerade beim Imaging undOS-Deployment einiges an Komplexi-tät im Backend schafft. Dieser Preis istzu zahlen, wenn Sie Funktionen vomClient auf den Server verlagern. Und dieAnbieter von VDIs sind auch dabei, hierfür Optimierung zu sorgen – durch scho-nendere Ressourcennutzung beim Spei-chern von VM-Images, durch bessere und stärker integrierte Administrations-schnittstellen. Genauso klar ist aber, dasses hier noch Optimierungsbedarf gibt.Viele der VDIs sind über verschiedene,durchaus komplexe und nicht optimalintegrierte Tools zu verwalten – von ei-ner engen Integration des Client Life-cycle Managements ganz abgesehen. Undauch die in der Kombination durchaussinnvolle Nutzung der Anwendungsvir-tualisierung erfordert typischerweise nocheinmal getrennte Tools mit anderen Ver-waltungsschnittstellen.

S T E L L E N M A R K T

www.loginconsultants.de

Für unser junges motiviertes Team suchen wir weitere

Wir bieten Ihnen spannende und inno-vative SBC- und Virtualisierungs projekte sowie attraktive Entwicklungschancen.

Interessiert? Dann freuen wir uns auf Ihre Bewerbung unter [email protected].

Stellenausschreibung

In der Universitäts- und Hansestadt Greifswald ist im Haupt- und Personalamt zum nächstmöglichen Termin die Planstelle

eines/r Abteilungsleiters/in Organisation und EDVin der Entgeltgruppe 13 TVöD zu besetzen.

Das Stellenangebot ist unter www.greifswald.de/verwaltung.html veröffentlicht.

Technologische EntwicklungenNun müssen wir den Anbietern vonVDIs allerdings auch zu Gute halten, dasses sich um einen relativ neuen Markthandelt und dass die Hersteller sehr vie-le der genannten Punkte erkannt habenund an Lösungen dafür arbeiten. Bei denRemote Desktop-Protokollen und beider effizienten Speicherung von Imageshat sich schon viel getan. Dennoch gilt:Der Zugriff über ein Remote Desktop-Protokoll ist nicht mit dem lokalen Zu-griff auf eine Umgebung gleichzusetzen.

Im Moment ist einer der Entwicklungs-schwerpunkte die Unterstützung vonmobilen Geräten, auf die VMs lokal in-stalliert und dann synchronisiert werden.Hier dürfte es in absehbarer Zeit aucherste finale Versionen geben, die sich imProduktivbetrieb nutzen lassen. Auchbeim Management von Backends, derIntegration mit der Anwendungsvirtua-lisierung, bei Schnittstellen zu Client Lifecycle Management-Lösungen undFunktionen für das License-,Asset- undContract-Management ist viel Bewegungim Markt.

Noch interessanter werden in Zukunftaber “Bare Metal”-Hypervisoren werden.An solchen Ansätzen arbeiten sowohl Vir-tualisierungsanbieter als auch Betriebs-systemhersteller. Damit lassen sich die vir-tuellen Systeme ohne darunter liegendeslokales Betriebssystem ausführen, womitsich auch manche offene Frage bezüg-lich der Betriebssystemlizenzierung er-

übrigt. Mittelfristig wird das dazu füh-ren, dass auf einem lokalen Hypervisormehrere VMs laufen, wobei eine denStandard-Desktop bereitstellt. Und esspricht viel dafür, dass beispielsweiseeBanking-Lösungen zukünftig mit spe-zialisierten Betriebssystemen in VMs ge-liefert werden.

Schneller als diese grundlegende Ent-wicklung, die auch den Betriebssystem-Markt verändern wird, wird es mitCloud-Angeboten für virtuelle Desktopsvorangehen. Der Remote-Zugriff aufvon Service Providern betriebene VDIsoder das lokale Deployment von virtu-ellen Desktops aus solchen Umgebun-gen ist gerade für kleine Unternehmeneine hochinteressante Option – idealer-weise verbunden mit der Branchensoft-ware als Teil solcher Desktops. Und dieLieferung von virtualisierten Anwen-dungen aus der Cloud ist ein ebenso na-heliegender Ansatz. Hier liegt eines derinteressantesten Potenziale der Desktop-Virtualisierung – und hier ist sie jedemalternativen Ansatz klar überlegen.

FazitAuch wenn wir heute noch kritisch aufdas Thema Desktop-Virtualisierung bli-cken, ist doch klar, dass dieses ein gro-ßes Potenzial hat.Allerdings gilt es gera-de bei kurzfristigen Entscheidungen zuüberlegen, ob die Anwendungsfälle zudem heutigen technischen Stand derDesktop-Virtualisierung passen oder obUnternehmen abwarten oder, zumindest

für den Übergang, auf andere Technolo-gien ausweichen.Wichtig ist auch, dassSie sich immer darüber bewusst sind, dassdie Desktop-Virtualisierung auch er-gänzende Funktionen benötigt – sowohlbei der Server-Virtualisierung und demStorage-Management/-Virtualisierungals auch für das Management dessen, wasinnerhalb der Images geschieht.

Bei einer mittelfristigen Betrachtung gehtes vor allem darum, dass Sie eine Ge-samtsicht auf die Virtualisierungsansätzeentwickeln.Anwendungs- und Desktop-Virtualisierung hängen ebenso zusam-men wie die Desktop-Virtualisierungmit der Server- und Storage-Virtualisie-rung. Das ist wiederum nur Teil der Stra-tegie für ein effizientes Management,Deployment und Procurement für IT-Infrastrukturen. Und bei Letzterem giltes, den Blick auf das zu werfen, was sichan Angeboten aus der Cloud entwickeltund entwickeln wird.

Heute gilt dagegen die Empfehlung, dasHype-Thema Desktop-Virtualisierungnüchtern zu bewerten. Ob Sie es dannfür einzelne Benutzergruppen, in der Flä-che oder vorerst noch nicht verwenden,muss der Einzelfall entscheiden. Sie soll-ten sich aber nicht nur der Chancen, son-dern auch der Herausforderungen be-wusst sein – und darüber, dass es einspannendes Thema mit vielen Aspektenist, diese vielen Entwicklungen aber auchzeigen, dass es ein noch vergleichsweiseneues Themenfeld ist. (jp)

34 April 2010 www.it-administrator.de


Desktop-Deployment im Vergleich

Management Deployment Laufzeitumgebung Desktopzugriff

Desktop-Virtualisierung (Remote Desktop) Server-seitig Server-seitig Server Remote Desktop-Protokoll(RDP, ICA)

Desktop Virtualisierung (Lokales Deployment) Server-seitig Lokal (entweder einzelnoder synchronisiert)

Lokal Lokal

Terminal Services Server-seitig (oft über Client LifecycleManagement-Software)

Server-seitig Server Remote Desktop-Protokoll(RDP, ICA)

Lokales Deployment Lokal oder Server-seitig (Client Lifecy-cle Management-Software)

Lokal Lokal Lokal

ei IPCop [1] handelt es sich um ei-ne freie Linux-Distribution, deren

Hauptaufgabe das Bereitstellen von Fire-wall- und Router-Funktionen ist. Da indem Linux-System ohnehin gängige Ser-ver enthalten sind, kann die Distributionauch ausgewählte Server-Dienste anbie-ten. Das Schöne an IPCop: Die Sicher-heitslösung lässt sich einfach installierenund konfigurieren. Außerdem bietet siebereits nach der Erstinstallation ein ho-hes Maß an Schutz. Nach der Installati-on stellt IPCop neben einer funktionie-renden Firewall einen Proxy-Server(Squid), einen DHCP-Server, einen Ca-ching-Nameserver (dnsmasq) und das In-

trusion-Detection-System Snort bereit.Außerdem stellt Ihnen IPCop interessan-te Zusatzfunktionen wie Traffic-Shaping,VPN und Dynamic DNS zur Verfügung.

Die Inbetriebnahme der Umgebung isteinfach: Laden Sie sich das aktuelle ISO-Image 1.4.20 von der Projekt-Websiteherunter und folgenden Sie den wenigenAnweisungen. Neuerdings wird IPCopbei SourceForge [2] gehostet. Die Steue-rung der Umgebung erfolgt über dasWeb-Interface, das unter https://{Hostna-me_bzw_IP-Adresse}:445 verfügbar ist. Be-achten Sie, dass der übliche HTTP-Portnicht länger unterstützt wird. Sollten Sie

den HTTPS-Port ändern wollen, weilWindows diesen beispielsweise für Ver-zeichnisdienste verwendet (SMB überTCP/IP) oder dieser aus Sicherheits-gründen gesperrt ist, so greifen Sie ein-fach zu dem Kommandozeilentool setre-servedports. Die Port-Änderung erfolgt mitdiesem Kommando:

$ /usr/local/bin/setreservedports

{neuer Port}

Sie können jeden Port zwischen 445 und65535 verwenden.

Administrative BenutzerkontenIPCop kennt vier verschiedene Benutzer-konten für die Systemadministration: root,admin, backup und dial.Die Benutzer rootund backup sind Systemkonten, währenddie Benutzer admin und dial für die Be-dienung der Web-Oberfläche benötigtwerden. Diese Konten sollten Sie kennen,weil sie zum einen bei der Installation an-gelegt werden und zum anderen für dieeffektive Nutzung der Umgebung wichtigsind.Hinter dem Benutzerkonto root stehtder Systemverwalter. Für diesen Accountwird das Kennwort während der Installa-tion von IPCop festgelegt,wobei die Min-destlänge des Kennworts sechs Zeichenbeträgt. Der Benutzer root kann sich ent-weder direkt an der Konsole oder, falls derRemote-Zugriff aktiviert ist, aus dem lo-kalen Netzwerk über SSH (Secure Shell)anmelden. Im Normalfall ist eine Anmel-dung als Benutzer root jedoch nicht er-forderlich. Beachten Sie Folgendes: Mitdiesem Konto verfügen Sie über alle Be-rechtigungen auf dem System.VergebenSie deshalb ein sicheres Kennwort für die-sen Benutzer. Sie sollten den SSH-Zugangaußerdem nur aktivieren, falls dies aucherforderlich ist.

Mit dem admin-Konto führen Sie diemeisten Arbeiten durch. Dessen Kenn-wort legen Sie ebenfalls während der In-stallation fest – auch hier beträgt die Min-destlänge sechs Zeichen. Dieser Benutzerhat vollen Zugriff auf die Konfigurationund die Protokolle der IPCop-Umge-

Das Netzwerk mit IPCop schützen

Ehrenamtlicher Netzwerk-Sheriff

von Dr. Holger Reibold

IT-Verantwortliche, die ihr Netzwerk vor Attacken schützen möchten,setzen zumeist auf Firewall-Lösungen. Entsprechende Umgebungen und

Software gibt es zuhauf. Doch nur wenige sind so einfach zu hand-haben und funktional flexibel wie IPCop. In diesem Workshop zeigen

wir Ihnen, wie Sie die Linux-basierte Firewall effektiv einsetzen.

B



Quell

e: co

rcord

isde -

Foto

lia.co

m

bung. Die Anmeldung erfolgt beim Zu-griff auf die geschützten Bereiche derWeb-Oberfläche. Der admin-Benutzerkann sich nur an der Web-Oberfläche an-melden. Eine Anmeldung an der Konso-le ist nicht möglich. Das Kennwort fürden Benutzer admin können Sie jeder-zeit nach erfolgter Anmeldung über dieWeb-Oberfläche ändern. Haben Sie dasKennwort einmal vergessen, melden Siesich einfach als root an der Konsole anund ändern das Kennwort des Benutzersadmin mit dem Programm setup.

Beim Benutzer backup handelt es sichnicht um einen Benutzer im herkömmli-chen Sinn, denn eine Anmeldung am Sys-tem ist nicht möglich. Das während derInstallation für diesen Benutzer vergebe-ne Kennwort wird nur dann benötigt,wenn der Schlüssel für eine Wiederher-stellung von Sicherungsdateien exportiertwerden soll. Dieser Schlüssel ist erforder-lich, wenn Sie IPCop neu installieren undbei der Installation eine vorhandene Si-cherungsdatei zurückschreiben wollen.Abschließend kennt IPCop noch den Be-nutzer dial. Er ist standardmäßig deakti-viert und wird nur dann benötigt, wennIPCop über eine manuelle Einwahlver-bindung (auch DSL) mit dem Internetverbunden ist.

Einstieg in die IPCop-KonfigurationNachdem Sie IPCop in Betrieb genom-men haben, gilt es im nächsten Schritt, dieUmgebung an Ihre Anforderungen anzu-passen. Nach dem ersten Einloggen be-schwert sich IPCop über ein fehlerhaftesProfil. Der Grund: Das Tool ist noch nichtfür die Einwahl ins Internet konfiguriert.Wenn Sie eine Verbindung ins Internet überDSL herstellen, müssen Sie zuerst ein Ein-wahlprofil erstellen.Dazu wählen Sie in derWeb-Oberfläche unter “Netzwerk” denPunkt “Einwahl”.Als Nächstes sollten Siesich dem System-Menü widmen.Dort bie-ten sich Ihnen verschiedene Möglichkeitenzur Konfiguration und Administration desSystems. Sie können insbesondere unter“Passwörter”die Kennwörter für admin unddial anpassen.Unter “SSH-Zugriff”erfolgtdie Konfiguration des SSH-Zugriffs auf denIPCop. Unter “Einstellungen” der Benut-zeroberfläche passen Sie beispielsweise dieSpracheinstellungen,Anzeige und Klang an.Daneben konfigurieren Sie über das “Diens-te”-Menü die Dienste, die IPCop für sichselber nutzt oder anderen Computern imNetzwerk zur Verfügung stellt. Hier findenSie die folgenden Einträge:- Proxy:Web-Proxy zur Beschleunigung

des Webzugriffs.- DHCP-Server: DHCP-Server für die

IP-Konfiguration von Clients.- Dynamischer DNS: Dynamische DNS-

Namen für wechselnde IP-Adressen.- Hosts bearbeiten: Statische Einträge im

DNS-Cache.- Zeitserver:Automatische Aktualisierung

von Datum und Uhrzeit.- Traffic Shaping: Priorisieren von Netz-

werkverkehr.- Einbruchdetektierung: Erkennung von

Angriffsversuchen.

In der Regel kommt in einem lokalenNetzwerk ohnehin ein DHCP-Server fürdie Client-Anbindungen zum Einsatz.Umdie Administration Ihrer Infrastruktur zuvereinfachen, bietet es sich an, eine beste-hende DHCP-Server-Konfiguration durchden in IPCop integrierten abzulösen. DerDHCP-Server lässt sich für die grüne unddie blaue Schnittstelle getrennt konfigu-rieren. Beachten Sie, dass der Abschnitt fürdie blaue Schnittstelle nur dann verfügbarist,wenn auch eine blaue Schnittstelle kon-figuriert ist. Da der DHCP-Server stan-dardmäßig nicht aktiviert ist, müssen Siediesen über “Dienste / DHCP” zunächstaktivieren.Auf dem zugehörigen Formu-lar erfolgt auch die Basiskonfiguration, diebeispielweise den zu vergebenden Adress-bereich definiert.

Die Firewall-KonfigurationDie Hauptaufgabe von IPCop ist das Be-reitstellen der Firewall-Funktionen, die Sieüber das gleichnamige Menü vornehmen.Hier erzeugen und verwalten Sie insbeson-dere die Firewall-Regeln Das Menü bietetdrei Untermenüs: Das Untermenü “Port-Weiterleitung”dient dem Weiterleiten vonAnfragen an interne Adressen,“ExternerZugang”konfiguriert den externen Zugriffvon Rot auf IPCop und “DMZ-Schlupf-löcher” dient dem Anlegen von Firewall-Regeln zwischen den einzelnen Zonen.

Die Port-Weiterleitung können Sie ver-wenden, um einen Port von der rotenSchnittstelle auf einen beliebigen Port ei-nes internen Computers weiterzuleiten.Damit können Sie Dienste im Internetanbieten, ohne den Server direkt mit dem



Bild 1: Ein erster Blick auf die webbasierte Administrationszentrale von IPCop mit der Dienste-Übersicht

Internet verbinden zu müssen. Durch dieWeiterleitung eines einzelnen Ports blei-ben alle anderen Ports des Servers auchweiterhin durch die Firewall geschützt.Bei der Port-Weiterleitung sind die fol-genden Regeln zu beachten:- Quell- und Ziel-Port brauchen bei ein-

zelnen Ports nicht identisch sein.- Wenn Sie einen Ziel-Port-Bereich an-

geben, muss der Quell-Port-Bereichidentisch sein.

- Ein Quell-Port kann nicht gleichzeitigauf verschiedene interne Ziele umge-leitet werden.

- Port-Bereiche dürfen sich nicht über-lappen. Ports innerhalb eines Bereicheskönnen nicht noch einmal einzeln wei-tergeleitet werden.

- Die vom IPCop reservierten Ports 67,68, 81, 222 und 445 können nicht wei-tergeleitet werden.

- Erstellen Sie nach Möglichkeit nurPort-Weiterleitungen nach Orange.

Mit der Funktion “Externer Zugang” rich-ten Sie einen Zugang von der rotenSchnittstelle direkt zu IPCop ein. Der ex-terne Zugang ist nicht ungefährlich, da Siedamit einen Zugang aus dem Internet aufIhren IPCop schaffen. Die Port-Weiter-leitung ist allerdings unabhängig vom ex-ternen Zugang. Sie müssen also Ports, dieSie für die Weiterleitung definiert haben,nicht auch noch zusätzlich als externenZugang einrichten. Die Port-Weiterlei-tung geht am IPCop vorbei, der externeZugang endet auf dem IPCop-System.

Von den Netzen Orange und Blau kannstandardmäßig nicht auf das grüne Netzzugegriffen werden, da diese Richtungvon der Firewall geblockt wird. In eini-gen Fällen ist es jedoch erforderlich, fürdie Kommunikation nach Grün ein klei-nes Loch in die Firewall zu bohren. Die-se kleinen Löcher werden DMZ-Schlupf-löcher (DMZ Pinholes) genannt, auchwenn Blau im weiteren Sinne nicht alsDMZ zu bezeichnen ist.

Notwendige SystempflegeEin weiterer sehr wichtiger Aspekt der IP-Cop-Administration ist die Systemwartung.Die verfügbaren Funktionen finden Sie überdas Menü “System”.Zur Wartung gehören insbesondere die Funktionen zweier Un-termenüs: “Updates” dient der Update-Prüfung und Systemaktualisierung,“Da-tensicherung” der Sicherung und Wieder-herstellung der Konfiguration. Über das Update-Menü können Sie nach Aktualisie-rungen für den IPCop suchen,diese auf dasSystem hochladen und installieren oder sicheine Liste der bereits installierten Updatesanzeigen lassen. IPCop prüft bei jedem Ver-bindungsaufbau ins Internet automatisch,ob neue Updates verfügbar sind. Stehenneue Updates zum Download bereit, so er-scheint auf der Startseite im Fenster mit denVerbindungsinformationen ein entspre-chender Hinweis.Die Updates für den IP-Cop sind nicht kumulativ.Sie müssen jedesUpdate daher nacheinander in der vorge-gebenen Reihenfolge installieren und kön-nen nicht einfach nur das neueste Update

installieren. Beachten Sie außerdem, dasssich die Update-Installation nicht mehrrückgängig machen lässt.

Um die Konfiguration im Fehlerfall oderbei einer Neuinstallation möglichst schnellwieder herstellen zu können, bietet derIPCop eine eingebaute Datensicherung

Bild 2: Das Anlegen einer Port-Weiterleitung ist mit wenigen Angaben erledigt

IPCop nutzt ein spezielles Sicherheitsmodell, das zwi-schen vier verschiedenen Zonen unterscheidet, die je-weils mit einer eigenen Farbe dargestellt werden: Rot,Grün, Blau und Orange. Jede dieser Zonen stellt eineneigenen Netzwerkbereich mit einer unterschiedlich defi-nierten Sicherheitsstufe dar. Die Zonen Rot und Grünsind grundsätzlich immer vorhanden, die Einrichtung derZonen Blau und Orange ist optional. Die Sicherheitszo-nen und Ihre wichtigsten Merkmale im Überblick:

- Rot – das Internet: Diese Zone bezeichnet aus derSicht der Firewall das externe Netz, das grundsätz-lich als nicht vertrauenswürdig gilt. Computer in die-ser Zone haben grundsätzlich keinen Zugriff auf dieanderen Zonen.

- Grün – das lokale Netzwerk: Die Farbe Grün stehtfür das innere Netz, in dem sich Ihre zu schützen-den Computer, Server und andere Netzwerksystemebefinden. Diese Zone hat den höchsten Schutzbe-darf und ist deshalb für eingehende Zugriffe jegli-cher Art standardmäßig gesperrt.

- Orange – die DMZ: Mit Orange wird das Perimeter-netzwerk, die sogenannte demilitarisierte Zone (DMZ,Demilitarized Zone) gekennzeichnet. In dieser Zonebefinden sich Computer, die aus dem Internet herauserreichbar sein sollen, zum Beispiel eigene Mail- oderWebserver. Durch diese Zwischenzone können Sie ei-gene Dienste im Internet anbieten, ohne dass dieseServer in Ihrem grünen Netzwerkbereich stehen müs-sen. Damit die Server von außen zu erreichen sind,müssen Sie bestimmte Bereiche für eingehenden Ver-kehr von Rot öffnen. Um diesem erhöhten Sicher-heitsrisiko zu begegnen, werden alle öffentlichenDienste in der orangenen Zone zusammengefasst.Orange kann von Grün und Blau heraus angesprochenwerden, der einzige Weg aus Orange heraus ist überRot. Diese Sicherheitszone ist optional.

- Blau – das Drahtlosnettzwerk: Üblicherweise wird dieblaue Zone für Computer verwendet, die per WLANverbunden sind. Hier sind zusätzliche Sicherheitsmaß-nahmen erforderlich, damit nicht jeder beliebigeWLAN-fähige Computer auf Ihr Netzwerk zugreifenkann. In der Grundkonfiguration ist Blau völlig isoliertund kann keine andere Zone erreichen. Die Kommuni-kation von Grün nach Blau ist jedoch standardmäßigmöglich. Diese Sicherheitszone ist optional.

Die Sicherheitszonen von IPCop



an. Die Sicherung ist auf Disketten undbeliebigen anderen externen Datenträ-gern möglich.Alle Datensicherungssätze,mit Ausnahme der Diskettensicherung,werden grundsätzlich verschlüsselt. Dazuwird ein Schlüssel verwendet, der wäh-rend der Installation von IPCop erzeugtwird. Sie können den Schlüssel mit derSchaltfläche “Exportiere Backup Schlüsselauf Ihren lokalen Computer” exportie-ren. Damit Sie den Schlüssel überhauptexportieren dürfen, müssen Sie beim Ex-port das Kennwort des Benutzers backupeingeben. Sie exportieren dabei jedochnicht den Original-Schlüssel, sondern ei-ne mit dem Kennwort des Benutzers backup verschlüsselte Kopie.

Zum Erstellen eines neuen Datensiche-rungssatzes geben Sie im Feld “Beschrei-bung” einen Namen für den Datensi-cherungssatz an und klicken auf denButton “Einen neuen Sicherungssatz an-legen”. Der Datensicherungssatz wird er-stellt und in der Auflistung unter Daten-sicherungssätze angezeigt. Um einenvorher exportierten Datensicherungssatzvon Ihrem lokalen Computer wieder aufden IPCop zu laden, wählen Sie den Da-tensicherungssatz über den Button“Durchsuchen” aus und klicken an-schließend auf “Import”. Der Datensi-cherungssatz wird nun auf den IPCophochgeladen und in der Auflistung un-ter Datensicherungssätze angezeigt.

Im Status-Menü finden Sie außerdem alles,was Sie zur regelmäßigen Überwachungdes IPCop-Systems benötigen. Neben derAnzeige der aktuellen Zustände könnendie wichtigsten System- und Netzwerk-aktivitäten auch in Diagrammform darge-stellt werden.

Tipps und TricksSollte es einmal vorkommen, dass Sie dasKennwort für den Benutzer root verges-sen haben, dann müssen Sie IPCop nichtneu installieren. Sie können auch bei ei-nem bestehenden System das Kennwortzurücksetzen. Zunächst fahren Sie IPCopherunter und starten das System erneut.

Bei der Anzeige des GRUB-Bootloadersdrücken Sie innerhalb von fünf Sekundendie Taste “a”, um die Befehlszeile für denBootvorgang anzupassen. In dem darauf er-scheinenden Bildschirm geben Sie das Wort“single” an das Ende der Zeile und bestäti-gen mit der Enter-Taste. IPCop startet biszu einem Shell-Prompt durch.Sie sind nunautomatisch als Benutzer root angemeldet,ohne dass Sie ein Kennwort eingeben müs-sen. Mit den Befehlen passwd und rebootvergeben Sie ein neues Kennwort für denBenutzer root und führen anschließend ei-nen Neustart durch.Wenn der IPCop wie-der hochgefahren ist, können Sie sich alsBenutzer root mit dem neuen Kennwortan der Konsole anmelden.

IPCop und Active DirectoryBetreiben Sie in Ihrem Netzwerk ein Acti-ve Directory,können Sie für die Windows-Clients nicht den DNS-Server von IPCopverwenden.Die Windows-Clients verwen-den DNS, um den Domänen-Controllerim Netzwerk zu finden. Da IPCop aberkeinen echten DNS-Serverdienst anbietet,sondern nur einen Caching-DNS für An-fragen an externe DNS-Server im Inter-net, kann er den für eine Active Directo-ry-Umgebung benötigten SRV-Eintrag iminternen Netz nicht bereitstellen.Aus die-sem Grund müssen Sie Ihre Windows-Clients so konfigurieren,dass Sie über einen

Bild 3: Dank des integrierten Update-Mechanismus ist es einfach, die IPCop-Installation auf dem neuesten Stand zu halten

www.loginventory.de

Windows Network InventoryWindows Network Inventory



Windows-Server den DNS-Server des Acti-ve Directory verwenden. Da dieser aberstandardmäßig keine externen Namen ausdem Internet auflöst,müssen Sie den DNS-Server auf Ihrem Windows-Server so ein-stellen, dass er IPCop als DNS-Forwardernutzt. Das bedeutet, dass alle DNS-Anfra-gen, die der Windows-Server nicht beant-worten kann, automatisch an den DNS-Server auf IPCop weitergeleitet werden.

Möchten Sie IPCop nachträglich in einbestehendes Active Directory implemen-tieren, so müssen Sie den DNS-Dienstauf dem Windows-Server entsprechendanpassen. Das Ziel ist es, alle Anfragen fürNamen außerhalb der eigenen DNS-Do-mäne an IPCop weiterzuleiten. ÖffnenSie dazu die DNS-Managementkonsole.Klicken Sie mit der rechten Maustasteauf das Server-Objekt und wählen Sie imKontextmenü den Punkt “Eigenschaf-ten” aus. Dann wechseln Sie auf den Rei-ter “Weiterleitungen” und fügen dort imFeld unter “Weiterleitungs-IP-Adresslis-te” der gewählten Domänen die IP-Adresse Ihres IPCop hinzu.

Add-ons für IPCopDa IPCop eine Linux-basierte Umge-bung ist, ist es sehr einfach, das Systemden eigenen Wünschen entsprechend zuerweitern und zu modifizieren. EinigeProgrammierer haben ihre Modifikatio-nen und Erweiterungen zu einem Paketgeschnürt und es der Allgemeinheit zurVerfügung gestellt. Diese Modifikationenfür IPCop werden Add-ons oder auchkurz “Mods” genannt.

Einige Add-ons sind nur für eine ganz be-stimmte IPCop-Version geschrieben wor-den. Das bedeutet, dass Sie vor dem Up-date Ihres IPCop auf eine neuere Versionsicherstellen müssen, dass das von Ihnenverwendete Add-on auch auf der neuenIPCop-Version einwandfrei funktioniert.Ebenso müssen Sie beachten, dass die of-fiziellen IPCop-Updates für die Original-Distribution konzipiert sind und wenigRücksicht auf vorhandene Modifikatio-nen nehmen, sodass nach einem Update

eventuell eine Neuinstallation des Add-ons erforderlich sein kann.

Es gibt mittlerweile eine fast unüberschau-bare Anzahl an Erweiterungen für den IP-Cop.Auch dem fortgeschrittenen IPCop-Admin fällt es nicht immer leicht, sich einenÜberblick über die verfügbaren Add-onsund deren Funktionalitäten zu verschaffen.Aus diesem Grund wurde das Projekt derIPCop Add-on Datenbank [3] ins Lebengerufen. In dieser Datenbank finden Siesehr viele IPCop-Add-ons mit einer Kurz-beschreibung und nach Themengebietensortiert.Die hier vorgestellten Add-ons stel-len nur eine sehr kleine Auswahl aller ver-fügbaren Erweiterungen dar.

Advanced ProxyDer “Advanced Proxy” erweitert den vor-handenen Web-Proxy um sehr viele Mög-lichkeiten. Neben zahlreichen Einstellun-gen zur Cache-Verwaltung bietet derAdvanced Proxy auch eine Benutzerau-thentifizierung für die verschiedensten Sys-temumgebungen. Zusätzlich zu der glo-balen Zugriffssteuerung über IP- undMAC-Adressen können Sie auch eigeneAdresskreise definieren, die beliebig ein-und ausgeschaltet werden können, ohnedass administrative Berechtigungen für dieWeb-Oberfläche erforderlich sind. So ha-ben beispielsweise Lehrkräfte die Mög-lichkeit, den Internetzugriff für Klassen-räume zu steuern.

BlockOutTraffic (BOT)Das Standardverhalten von IPCop, ausge-henden Verkehr grundsätzlich zuzulassen,ist nicht immer gewünscht. Das Add-on“BlockOutTraffic” (kurz BOT) bietet Ih-nen die Möglichkeit, Regeln für den aus-gehenden Verkehr sowie zwischen deneinzelnen Schnittstellen komfortabel überdie Web-Oberfläche zu erstellen. Dabeikönnen Sie auch Dienste und Adressengruppieren und Zeitregeln festlegen.

Extra InterfacesFalls Sie bei IPCop mehr interne Schnitt-stellen als nur Grün und Blau benötigen,finden Sie die Lösung im Add-on “Extra

Interfaces”. Damit haben Sie die Mög-lichkeit, den IPCop um bis zu vier weitereinterne Schnittstellen, Grau 1 bis Grau 4,auf insgesamt maximal acht Schnittstel-len zu erweitern.

IPCop addon binary collectionNicht nur ein einzelnes Add-on, sonderneine umfangreiche Sammlung von Add-ons ist die “IPCop addon binary collecti-on”. Dort finden Sie unter anderem eineganze Reihe von nützlichen Werkzeugenzur Hardwarediagnose, Programme für dieNetzwerkanalyse sowie Clients für dieverschiedensten Netzwerkprotokolle wiessh, rsync oder wget.

URL-FilterDer “URL-Filter” ist ein Add-on, mitdem Sie steuern können, auf welche Web-seiten Ihre Benutzer zugreifen dürfen. DerURL-Filter verwendet dazu eine Daten-bank mit verschieden kategorisiertenURLs, die bei Bedarf auch automatischaktualisiert werden kann. Sie können ne-ben den globalen Einstellungen auch Re-geln für bestimmte IP-Adressen oder Be-nutzer erstellen, in denen Sie festlegenkönnen, zu welcher Zeit welche Websei-ten freigeschaltet oder gesperrt sind.

FazitMit IPCop steht Ihnen die wohl benutzer-freundlichste Firewall-Lösung der OpenSource-Gemeinde zur Verfügung.Keine an-dere Umgebung ist vergleichbar einfach zuadministrieren und konfigurieren.Auch denVergleich mit kommerziellen Lösungenmuss IPCop nicht scheuen – im Gegen-teil. Die Firewall ist ebenso sicher und fle-xibel, zudem vor allem kostenfrei. (dr)



[1] IPCopwww.ipcop.org

[2] SourceForgewww.sourceforge.net

[3] IPCop Add-on-Datenbankwww.ipcopaddons.org

Links


it Windows Vista ist es Microsoft nichtso recht gelungen, im Unterneh-

mensumfeld Fuß zu fassen.Über die Grün-de der verhaltenen Akzeptanz von Vista zuspekulieren, ist mittlerweile müßig.Seit dem22.Oktober 2009 ist klar:Vista wird eher zueiner Randnotiz der Computergeschichtewerden.Alle Hoffnungen von Microsoft lie-gen nun auf Windows 7.Die Analysten vonIDC sagen eine Marktverbreitung von 59Prozent innerhalb von drei Jahren voraus,was eine Verdoppelung im Vergleich zuWindows XP darstellen würde.

Generelle MigrationspfadeDie Umstellung von Windows XP zuWindows 7 als Client-Betriebssystem imUnternehmen ist grundsätzlich über zweiWege möglich: Entweder werden die bis-herigen XP-Maschinen sukzessive durchneue Windows 7-PCs ersetzt, oder dievorhandenen Computer sind neu zu in-stallieren. Ein Inplace-Upgrade von XPnach Windows 7 bietet Microsoft nichtan. Der aktuell mit XP installierte PCmuss für Windows 7 definitiv neu aufge-setzt werden.

Alle Programme, Einstellungen und Datengehen bei diesem Vorgang zwangsläufigverloren, da die Neuinstallation sämtlicheInformationen auf der Systemfestplattelöscht. Für die Übernahme von Dateien

und Einstellungen hat Microsoft zwar denso genannten “Windows Easy Transfer”im Angebot, dieses Tool eignet sich je-doch in erster Linie für den Einsatz beiprivat genutzten Einzel-PCs. Eine fir-menweite Umstellung der Windows-Ein-stellungen oder der Konfigurationsinfor-mationen von Drittherstellern sind mitdem kleinen Programm nicht möglich.

Wie die Vorgänger wird auch Windows7 in verschiedenen Editionen angebo-ten. Die Varianten Home Premium, Pro-fessional und Ultimate sind primär fürden Endbenutzermarkt abgestimmt undliegen bei den Vollversionen zwischen120 und 300 Euro. Was im Privatum-feld als “Ultimate” bezeichnet wird, istfür das Unternehmen passenderweisedie “Enterprise”-Edition.

Die einfachsten Versionen “Starter” und“Home” scheiden in der Mehrzahl derFälle aus, da sie keinen Domänenbeitrittzulassen. BitLocker und Branch Cachesind Innovationen, die nur in den größtenAusprägungen angeboten werden. Je nachUnternehmensgröße,Vertrag und Kondi-tionen fallen die Windows-Preise sehr unterschiedlich aus. Sie sind jedoch imVergleich zu den anderen Kosten der Mi-gration sehr leicht zu identifizieren undzu berechnen.

Mehrkosten durch Client-AufrüstungGlücklicherweise sind die Systemvoraus-setzungen von Windows 7 insgesamt rechtmoderat, so dass eine große Anzahl derderzeitigen Windows XP- oder Vista-PCsauch mit dem neuesten Windows betrie-ben werden kann. Bekanntlich handelt essich bei den in Tabelle 1 beschriebenenSystemvoraussetzungen eher um Min-destanforderungen denn um eine Emp-fehlung für einen agil reagierenden PC.

Für einfachere Büro-Aufgaben, bei de-nen typischerweise nur eine oder zweiApplikationen gleichzeitig verwendet wer-den, sind diese Angaben jedoch durchausausreichend. Die Prozessorleistung von 1GHz erfüllen sehr viele Computer, daselbst im Jahre 2003 ein Einstiegs-PC mit1,2 GHz Rechenleistung ausgestattet war.Die geforderte Festplattengröße dürfte le-diglich bei einigen Notebooks zu einemProblem werden, da eine 40 GByte-Fest-platte seit weit mehr als fünf Jahren dietypische Mindestausstattung eines Büro-Computers darstellt.

Schwierig wird es indes bei der Forde-rung nach einem Gigabyte Hauptspei-cher.Vor gut fünf Jahren wurden Com-puter mit lediglich 256 MByte Arbeits-speicher ausgestattet. Die Ausprägung des

Kosten beim Umstieg auf Windows 7

Wider der Kostenfalle

von Oliver Bendig

Microsoft Windows 7 gilt als der gesetzte Kandidat für die Nachfolge des überaus erfolgreichen Windows XP. Gemäß einer aktuellen IDC-Studie werden weltweit bis Ende 2010 etwa 177

Millionen Lizenzen von Windows 7 auf den Markt kommen. Bei der Umstellung auf den jüngsten Microsoft-Spross gilt es, neben dem reinen Preis für das neue Betriebssystem

auch weitere Kosten im Auge zu behalten.

M

Quell

e: Ma

rkus

Lang

er -

Foto

lia.co

m

W I S S E N I K n o w - h o w


Arbeitsspeichers in dieser Zeit war vor-wiegend SDRAM. Diese Bausteine wer-den heute noch von verschiedenen Ver-sendern angeboten, aber bei weitem nichtmehr in der Vielfalt und zudem zu einemPreis, der eine Aufrüstung häufig unat-traktiv macht. Zwei 512 MByte großeSDRAM-Riegel liegen aktuell bei einemAnschaffungspreis von über 100 Euro. Zudiesem Preis addiert sich der manuelleAufwand beim Einbau und etwaigenBIOS-Updates, die eine effektive Nut-zung des Speichers erst ermöglichen.

Für die Bedarfsermittlung im Unterneh-men bieten sich die Report-Funktionenvon Systems-Management-Programmenförmlich an. Mit entsprechend gesetztenoder durch den Hersteller vorbereitetenReports und Filtern lassen sich Compu-ter in drei Kategorien einteilen: PCs, diemit Windows 7 sofort funktionieren wer-den, Rechner, die eine Aufrüstung erfor-dern und ältere Maschinen, die die Vo-raussetzungen unter vertretbarem Auf-wand nicht erreichen.

Kostenkriterium TreiberverfügbarkeitIm Gegensatz zu Windows XP basierenWindows 7 und Vista auf einem gänzlichanderen Treibermodell. In der Praxis hatdies zur Folge, dass für jede Systemkom-ponente und für jedes Peripherie-Gerätdie aktualisierten und passenden Treiberzur Verfügung gestellt werden müssen.Ohne korrekte Geräte-Treiber lässt sichWindows 7 nicht automatisiert installierenoder das Gerät funktioniert nicht korrekt.Windows Vista-Treiber lassen sich durch-aus auch in Windows 7 nutzen. Eine ge-

naue Prüfung vor der Umstellung ist den-noch erforderlich, da einige Hersteller dieWindows-Versionsnummer fest in ihrenInstallationsroutinen abprüfen. In solchenFällen bietet Windows 7 die Funktion“Troubleshoot Compatibility”, die einerSoftware eine andere Windows-Versions-nummer vorgaukelt. Primär handelt essich bei dieser Funktion jedoch um eineMöglichkeit, Software in einem Kompa-tibilitätsmodus zu betreiben, weniger umTreiber ins System einzubinden.

Bei der Suche nach den richtigen Trei-bern für Systemkomponenten und exter-ne Geräte wie Scanner oder Drucker istdie Inventarisierungsdatenbank einer Sys-tems-Management-Lösung einmal mehrdie Grundlage für die richtige Planung.Welche Komponenten und Geräte im

Unternehmen in welcher Anzahl über-haupt eingesetzt werden, ist mit einemReport in wenigen Mausklicks beant-wortet. Bietet ein Hersteller nicht die pas-senden Treiber an, so muss dieses Gerät,sofern möglich, durch ein anderes ersetztwerden. Dies ist in der Berechnung derGesamtkosten für die Migration entspre-chend zu berücksichtigen.

Großbaustelle SoftwarekompatibilitätDie Hauptaufgabe eines Betriebssystemsist das Betreiben von Anwendungen.Folgerichtig gilt es, alle Applikationen,die im Unternehmen genutzt werden,auf ihre Funktionstüchtigkeit unterWindows 7 zuvor zu erproben. Wäh-rend bei Programmen wie MicrosoftOffice oder SAP GUI kaum mit In-kompatibilität zu rechnen ist, sieht dasbei Branchenlösungen oder Eigenent-wicklungen möglicherweise etwas an-ders aus. Microsoft bietet unter [1] einkostenfreies Programm mit dem Namen“Application Compatibility Toolkit 5.5”,um Software auf ihre Zusammenarbeitmit Windows Vista / Windows 7 hin zuprüfen. Welche Programme überhauptim Unternehmen betrieben werden, be-antwortet wieder einmal der Report ei-

So sehen laut Microsoft die Systemvoraussetzungen für Windows 7 aus

32-Bit (x86) Windows 7 64-Bit (x64) Windows 7

CPU 1 GHz 1 GHz

RAM 1 GByte 2 GByte

HDD 16 GByte 20 GByte

Grafik Direct-X 9 mit WDDM 1.0 oder höher Direct-X 9 mit WDDM 1.0 oder höher


Welche Computer im Unternehmen für eine Umstellung auf Windows 7 überhaupt geeignet sind, ist mit den richtigen System-Management-Programmen sehr leicht feststellbar

ner Systems-Management-Software oderder Blick in eine hoffentlich akribischgeführte manuelle Liste. Zwar empfiehltes sich, jedes einzelne Programm in ei-ner Teststellung intensiver auf die feh-lerfreie Zusammenarbeit mit Windows7 zu prüfen, doch sollte der Blick zu-nächst auf die Hauptanwendungen fal-len. Bei welchen Applikationen es sichum Hauptanwendungen handelt, lässtsich entweder durch den rhythmischenEinsatz von WMI-Skripten feststellen,die aktive Programm-Prozesse in einerDatenbank ablegen, oder mit Hilfe ei-ner Systems-Management-Software. DasMigrationsvorhaben eignet sich somit,Kosteneinsparpotentiale direkt zu nut-zen, um teure und zu gering frequen-tierte Software auszusondern.

Für eine Migration müssen die Kosten fürdie Umstellung auf neue Programmver-sionen in die Kalkulation mit aufgenom-men werden. Den direkten Kosten stehendie Mehrwerte, die eine neue Version einesProgramms bietet, gegenüber. Möglicher-weise ist eine Verjüngung der Applikatio-nen schon im Vorfeld des Migrationsvor-habens eine Alternative, um Benutzer nichtmit einer zu großen Anzahl von Neue-rungen an einem Tag zu überfordern.Auchwenn bereits eine Systems-Management-Lösung im Einsatz ist, so muss, je nachUmfang des Softwarepakets, mit bis zuzwei Tagen an zeitlichem Aufwand ge-rechnet werden, bis eine Business-Appli-kation für den Roll-Out bereitsteht.

Ist eine für das Unternehmen benötigteSoftware aktuell nicht für Windows 7 ver-fügbar, so kann diese im “XP Mode” in ei-ner virtualisierten Umgebung weiterge-nutzt werden.Dieser Modus ist in den dreiVersionen Professional,Enterprise und Ul-timate verfügbar. Die Lizenz für das virtu-elle Windows XP ist in diesen Editionenim Lizenz-Preis von Windows 7 inbegriffen.Da die Leistungen in einer auf dem Client-Computer virtualisierten Umgebung ge-senkt und der zu erwartende administrati-ve Aufwand durch den XP-Modus erhöhtwerden, ist diese Variante eher der Notna-gel denn die geeignete Dauerlösung. Zu-dem setzt diese Funktion einen Hauptpro-zessor voraus,der Virtualisierung unterstützt,was bei vielen älteren Rechnern nicht derFall sein dürfte.

Auswahl des MigrationszeitpunktsWindows 7 hat grundsätzlich das Poten-tial, die Arbeitsweisen in Unternehmenzu vereinfachen und zu beschleunigen.Mit Blick auf die bereits begonnene, er-weiterte Produktsupport-Phase von XPist Windows 7 andererseits eine ArtZwangskandidat. Nach einer Analyse derzu erwartenden Kosten für die Migrati-on gilt es für die IT-Abteilung, den ge-eigneten Zeitpunkt für die Umstellungzu wählen.Wird eine Systems-Manage-ment-Lösung für die Migration einge-setzt, so bietet es sich an, den Zeitpunktdurch den Anwender selbst wählen zu las-sen. Der Benutzer weiß selbst am besten,wann er auf einen funktionierenden PCfür rund zwei Stunden verzichten kann.Diese Form der Mitsprache dürfte in vie-len Fällen wohlwollend aufgenommenwerden. Es versteht sich von selbst, dasseine solche Entscheidungsphase nicht un-begrenzt lang sein darf, da der IT-Supportansonsten über sehr lange Zeit zwei Be-triebssysteme zu betreuen hat. Die er-rechneten Kosten für die Umstellung denBenutzern und deren Vorgesetzten übereinen Service-Katalog offenzulegen, istein weiterer wichtiger Schritt in Rich-tung Transparenz – die Umstellung ge-schieht ja nicht zum Selbstzweck der IT.

Eine nirgends festgeschriebene, aber vie-len Administratoren bekannte Regel be-sagt, dass eine Migration im Windows-Umfeld vor einem Service Pack 1 alsüberaus mutige Entscheidung einzustu-fen ist. Sollte das Migrationsvorhabenaktuell noch auf einen unbestimmtenZeitpunkt in der Zukunft terminiertsein, so bietet sich die Zeit für einigeVorbereitungen an. Eine im Vorfeld definierte und standardisierte Benutzer-Umgebung reduziert manuelle Arbeits-schritte und die Komplexität. Mögli-cherweise ist ein Leasing von PC-Ar-beitsplätzen eine Alternative zum Kauf– Angebote lassen sich mit der nötigenRuhe besser vergleichen als unter Zug-zwang. Nur gering genutzte Arbeitsplätzebieten sich vielleicht für eine Umstel-lung auf ThinClients im Windows Ter-minal Server 2008-Betrieb an.

FazitDas Zusammenspiel aller Gattungen imSystems-Management, vom Lizenz-Ma-nagement über das Asset- hin zum Con-tract-Management, erlaubt in der Summeein effektives und im Vorfeld kalkuliertesUmstellen auf Windows 7. Wird über-haupt kein Automatismus eingesetzt, soerreichen die Umstellungskosten unge-ahnte Höhen mit mindestens vier Stun-den Zeitaufwand je Arbeitsstation – beider der EDV-Mitarbeiter primär damitbeschäftigt ist einem Installationspro-zessbalken von links nach rechts beimWandern zuzusehen. In vielen Unter-nehmen ist eine manuelle Umstellungaufgrund der Masse von PCs zudem oh-nehin nicht möglich. (ln)

Oliver Bendig ist Direktor Produktmanagementbei der Matrix42 AG in Neu-Isenburg.

[1] Microsoft Application Compatibility Toolkit (ACT) 5.5http://msdn.microsoft.com/en-us/library/

dd562082%28VS.85%29.aspx

Links

- Überlegen Sie sich vor dem Umstieg genau, welcheWindows-Versionen Sie wirklich benötigen.

- Stellen Sie vorab fest, welche PCs Sie austauschenoder aufrüsten müssen.

- Identifizieren Sie diejenigen Arbeitsplätze, die sichmöglicherweise besser für den Terminal Server-Be-trieb eignen.

- Fertigen Sie eine Liste der unbedingt erforderlichenAnwendungen an.

- Bedenken Sie die Auswirkung der Umstellung aufdas Lizenzmanagement.

So identifizieren Sie Upgrade-Kosten bei der Migration auf Windows 7



Sichern Sie sich jetzt das IT-Administrator Jahresabo All-Inclusive mit allen Monats-

ausgaben, Sonderheften und der Jahres-CD.

Statt Euro 29,90 zahlen Sie dabei für jedes Sonderheft nur Euro 19,90 – und müssen

keine zusätzliche Bestellung mehr tätigen.

Automatisch bekommen Sie im März und Oktober jeden Jahres das jeweilige

IT-Administrator Sonderheft und mit Ihrer Dezemberausgabe die jeweilige Jahres-CD mit allen Monatsausgaben des Jahres im PDF-Format zugestellt.

Als bestehender Jahresabonnent können Sie hier upgraden:

www.it-administrator.de/abonnements/aboupgrade/

Oder Sie sind Neukunde? Hier können Sie bestellen:

www.it-administrator.de/abonnements/jahresabo/

www.it-administrator.deHeinemann Verlag GmbHLeopoldstraße 85D-80802 München

Tel: 0049-89-4445408-0Fax: [email protected]

Das IT-AdministratorKomplettprogramm!!!

vertriebsunion meynenHerr Stephan OrgelD-65341 Eltville

Tel: 06123/9238-251Fax: 06123/[email protected]

Vertrieb, Abo- und Leserservice IT-AdministratorVerlag / Herausgeber

s06-11 ita 1210 a01 paessler - it-administrator · im test: bmc bladelogic operations manager...

Documents