Kostenlose Leseprobe <<

Transkript

1 Juli 2004 Fernsteuerung ohne Risiko VNC mit ZeBeDee und SSH sichern Reportage Proxyserver Appliance löst MS-Proxy ab Im Test: Intranator Enterprise Kommunikation über zentrales Gateway Würdiger Nachfolger Grundlagen Serial Attached SCSI News, Tipps & Tricks Kostenlose Leseprobe <<

2 EDITORIAL Liebe Leser, noch können Sie das Original nicht in den Händen halten, sondern nur auf Ihrem Bildschirm oder als Ausdruck betrachten: den IT-Administrator, das neue Magazin für professionelle System- und Netzwerkadministration. Und während Sie diese Leseprobe kritisch prüfen, arbeitet die Redaktion weiterhin fieberhaft an der ersten gedruckten Ausgabe, die am 3. September erscheint. Wenn Sie die erste Nummer in Ihren Händen halten wollen, wenn Sie mit uns die frische Druckfarbe einer neuen Zeitschrift riechen wollen, dann gehen Sie am besten gleich auf unsere Website unter Melden Sie sich dort unter dem Menüpunkt Abonnement" für ein Probeabo an, und Sie erhalten die ersten beiden Ausgaben des IT-Administrator gratis. Ich wurde in den letzen Monaten, in denen wir das Heft konzipiert und geplant haben, oft gefragt Warum macht ihr noch eine IT-Zeitschrift, und das in diesen schwierigen Zeiten, in denen der Anzeigenmarkt am Boden ist?" Meine Antwort darauf ist ganz einfach: Wir sind der festen Überzeugung, dass der Markt ein Magazin wie den IT-Administrator braucht. Und zwar nicht nur der Anzeigenmarkt, sondern vor allem der Lesermarkt. Mir scheint manchmal, als hätten einige Verlage in den letzten Jahren vergessen, dass sie Zeitschriften für Leser machen. Und genau das sehen wir als unsere Chance. Das funktioniert aber nur, wenn die Redaktion im engen Kontakt mit ihren Lesern steht und genau das haben wir vor. Nicht umsonst ist das Motto unseres Verlags Im Dialog mit Spezialisten". Daher rufen wir Sie an dieser Stelle auf: Reden Sie mit uns! Sagen Sie uns, wie Ihnen die Leseprobe gefällt! Verraten Sie uns, was Ihnen nicht gefällt! Besuchen Sie unser Forum auf unserer Website. Dort können Sie unsere Artikel mit anderen Lesern diskutieren. Haben Sie eine spezielle Frage, wünschen Sie sich einen bestimmten Test, Workshop, eine bestimmte Reportage? Schicken Sie eine an Wir können nicht jeden Wunsch erfüllen, aber wir werden versuchen, so viele Anregungen wie möglich in den zukünftigen Ausgaben zu berücksichtigen. Und zu guter Letzt: Lassen Sie unsere Leser an Ihrem Wissen teilhaben! Kennen Sie einen guten Tipp, den Trick, der Ihnen wochenlange Arbeit erspart hat? Wollen Sie selbst einen Fachartikel verfassen? Schreiben Sie uns und lassen Sie uns und Ihre Kollegen von Ihren Erfahrungen profitieren. Die Redaktion nimmt Ihre Tipps und Artikelvorschläge jederzeit gerne entgegen. Ich hoffe, ich konnte Ihnen auf diesem begrenzten Platz das Konzept hinter dem neuen Titel näherbringen. Lassen Sie uns gemeinsam den IT-Administrator zu einer erfolgreichen Zeitschrift machen auch und besonders in wirtschaftlich schlechten Zeiten. Auf viel Dialog mit Ihnen freut sich Ihr Georg von der Howen Chefredakteur IT-Administrator Leseprobe Juli

3 07 IT-Administrator INHALT - Leseprobe Juli Editorial 03 Inhalt Workshop: VNC absichern VNC ist ein kostenloses Werkzeug zur Verwaltung entfernter Computer. Kopfschmerzen bereitet dem Administrator nur die unverschlüsselte Verbindung zwischen Client und verwaltetem Rechner. Verschiedene kostenfreie Tools wie ZeBeDee oder SSH können hier Abhilfe leisten. Seite 6 Reportage: Content Filter 04 News AKTUELL PRAXIS 06 Workshop: VNC mit ZeBeDee und SSH sichern Fernlenken ohne Risiko 09 Tipps & Tricks 10 Reportage: Ablösung eines Proxyservers Vom Zwischenspeicher zum Torwächter PRODUKTE 14 Im Test: Intranator Enterprise Kompletter Internetserver im Eigenbau Zunehmend müssen Proxyserver die Durchsetzung von Sicherheitsregeln auf Benutzer- und Inhaltsebene übernehmen. Die Omnibusverkehr Rhein-Nahe GmbH migrierte ihren Internetcache auf eine Proxy-SG-800- Appliance von Blue Coat Systems und sparte im Vergleich zum Microsofts ISA-Server bares Geld. Seite 10 Im Test: Intranator Enterprise WISSEN 17 Grundlagen: Serial Attached SCSI Neues Bussystem löst paralleles SCSI ab 20 Vorschau & Impressum Mit Hilfe des Intranators wird ein Standard-PC zu einem Internetgateway mit Proxy und Contentfilter, server mit Virenschutz und einem zentralen Faxserver. Und auch eine Firewall, ein VPN-Gateway sowie das Schlüsselmanagement sind schon mit dabei. Seite 14 Leseprobe Juli

4 AKTUELL I News Puremessage von Sophos will Viren und Spam bereits am Gateway abwehren - und das unter Windows, Exchange und Unix Spam- und Virenschutz für server Puremessage von Sophos will virulante s und lästigen Spam bereits am Tor zum Unternehmen abfangen. Dazu arbeitet die Software in der Version für Windows/Exchange mit dem SMTP- Dienst des Internet Information Servers sowie mit Exchange Server 2000 SP3 und 2003 zusammen. Die Administration des Wächters erfolgt über die Microsoft Management Console (MMC). Der Endanwender darf über eine Weboberfläche auf seinen persönlichen Quarantänebereich zugreifen, in den die Software verdächtige Mails verschiebt. Puremessage für Red Hat Linux, Solaris, HP UX, FreeBSD und AIX enthält bereits Sendmail und Postfix und unterstützt weitere plattformen über eine Relay-Konfiguration. Die Administration erfolgt hier ausschließlich über einen Webbrowser. Unter beiden Plattformen versorgt sich Puremessage laut Sophos täglich mit Updates aus den hauseigenen Antispam- und Antivirenlaboren. Laut Hersteller soll die Software bis zu 98 Prozent aller Spam- s erkennen. Puremessage ist ab sofort verfügbar. In der Small Business Variante (5 bis 100 User) kostet Puremessage für zehn Benutzer 509 Euro im ersten Jahr. In der Enterprise Version (10 bis User) für Windows/Exchange schlagen 200 Benutzer mit Euro im ersten Jahr zu Buche. Puremessage Enterprise für Unix gibt es ab Benutzern, die im ersten Jahr Euro kosten. Dafür erhält der Administrator noch ein Extended Policy Modul und Vor-Ort-Support bei der Installation. (gh) Sophos: Patchkabel mit Platz sparender Verriegelung Ein Patchkabel mit neu entwickelter Verriegelung von The Siemon Company ist besonders für Umgebungen mit hoher Steckerdichte geeignet. Die Steckerkonstruktion entspricht dem RJ45-Standard, allerdings kommt ein besonderer Verriegelungsmechanismus zum Einsatz, der ohne das Betätigen einer äußeren Verriegelungslasche auskommt. Stattdessen wird der Mechanismus ähnlich wie bei einem SC-Glasfaser-Steckverbinder durch Drücken beziehungsweise Ziehen betätigt. Die Verriegelung erfolgt, sobald der Stecker in die Buchse des Patch-Panels gesteckt wird. Entriegelt wird die Verbindung durch Ziehen am Steckergehäuse. Der Verriegelungsmechanismus des Bladepatch nimmt um die einzelnen Datenträger über iscsi einbinden Datacore bietet ab sofort eine Lite-Version ihrer SAN-Melody Software an. Mit SAN-Melody Lite können Datenträger, die in Servern über das Netzwerk verteilt sind, für Applikationsserver freigegeben werden. Der blockbasierte Zugriff behandelt die Datenträger wie lokale Festplatten, ist also auch für Anwendungen wie Exchange geeignet, die in der Regel nicht über Filesharing auf externen Speicher zugreifen dürfen. Im Gegensatz zur Vollversion kann SAN-Melody Lite nicht mit Fibre-Channel-Adaptern zusammen Patchkabel herum weniger Platz für die Finger in Anspruch. Zudem ist das Steckergehäuse schlanker, Kabel lassen sich dadurch in Umgebungen mit hoher Steckerdichte leichter handhaben. Das Bladepatch entspricht den "Augmented Category 6"-Spezifikationen und kann somit für 10G-Übertragungsraten verwendet werden. (eht) The Siemon Company: Schlanker Stecker: Bladepatch-Kabel kommen ohne Verriegelungslasche aus arbeiten, sondern ist auf das iscsi-protokoll beschränkt. Die Software kann Datenträger aus mehreren Storageservern zu RAID-Verbänden verknüpfen und so Redundanz über das Netzwerk verteilen. Bei den Datenträgern ist SAN-Melody Lite tolerant: Die Software arbeitet mit ATA, SATA, SCSI und Fibre-Channel-Festplatten zusammen. Datacore erlaubt das spätere Update der 199 Euro teuren Lite-Variante auf die SAN-Melody Vollversion. (eht) Datacore: prod_sanmelodylite.asp Günstige 16- und 24-Port Gigabit-Ethernet-Switches Netgear stellt die ersten beiden Mitglieder der neuen nicht-verwaltbaren Gigabit- Switch-Baureihe JGS500 vor. Der JGS516 und der JGS524 verfügen über jeweils 16 beziehungsweise 24 Non-Blocking Ports. Geschwindigkeit und Polarität werden automatisch erkannt, dabei macht die Auto-Uplink-Funktion den Einsatz spezieller Crossoverkabel überflüssig. Im Full- Duplex-Betrieb sind Durchsatzraten von bis zu MBit pro Sekunde möglich. Integrierte LED-Anzeigen für jeden Port zeigen dessen aktuellen Status an. Die Geräte werden im Netgear-Metallchassis ausgeliefert. Zum Lieferumfang gehört außerdem ein Rack-Mount-Kit. Die Switches sind ab Ende Juli zum Preis von 367 Euro (JGS516) beziehungsweise 582 Euro (JGS524) erhältlich. (eht) Netgear: Schnelle Switches: Netgear bietet günstige Gigabit- Ethernet-Switches mit 16 und 24 Ports an 4 Leseprobe Juli

5 AKTUELL I News Benutzerdaten und -einstellungen umziehen Symantec Client Migration 3.0 erleichtert Unternehmen das Migrieren von Computern ihrer Angestellten. Die Software erleichtert Routineaufgaben durch Automatisierung über Skripte. Darüber hinaus stellt das Produkt dem Anwender ein Webinterface zur Verfügung, um seine Migrationen und Aktualisierungen von Applikationen selbst durchzuführen. Zusätzlich haben Anwender die Möglichkeit, Daten- und Profilübertragungen auf einer benutzerfreundlichen Oberfläche auszuführen, ohne dass ein gesonderter Client erforderlich ist. Der Schwerpunkt der Software liegt laut Symantec auf der Tiger im Tank: Ein Firmwareupdate hebt den Durchsatz von 54 auf 108 MBit/s Wireless mit Turbo Die Access-Points der Officeconnect Produktfamilie von 3Com können durch einen kostenloses Firmwareupgrade von 54 MBit/s Übertragungsrate auf 108 MBit/s erweitert werden. Zudem stattet 3Com die Access- Points mit dem Wireless Distribution System (WDS) aus. WDS ist eine Funktion, die die Einrichtung von WLANs durch die Verbindung mehrerer WLAN-Access- Points ermöglicht. Dadurch muss nicht mehr jeder Access-Point mit einem LAN verbunden sein. Die Access-Points fungieren als Brücken, die die Verbindungen bis zu einem Gerät mit LAN-Anschluss weiterreichen. Die neuen Features werden als Standardfunktionen in allen neuen Versionen der Officeconnect- Produkte angeboten und sind ab Ende Juni verfügbar. Softwareupdates stehen für 3Com-Kunden auf der Homepage des Herstellers zum Download bereit. (eht) 3Com: zentralen Verwaltung. Durch das Zurückgreifen auf einen zentralen Administrationsplan werde den Unternehmen mit Client Migration 3.0 eine kontrollierte und sichere Migration ermöglicht. Auch das Domänenkonzept von Windows unterstützt die Software, um vorhandene Benutzerrechte innerhalb einer Domain aufrecht zu erhalten. Um die Datensicherheit zu gewährleisten ist Datenübertragung verschlüsselt. Außerdem bietet Symantec Client Migration 3.0 vier Sicherheitsstufen zur Zugangsregelung. 100 Clientlizenzen kosten 12,46 Euro pro Lizenz. (eht) Symantec: Videokommunikationssystem für kleine und mittlere Unternehmen Für einen Preis von rund Euro liefert Polycom mit dem V500 natürliche Videokommunikation in hoher Qualität mit 30 fps (frames per second). Ein Polycom-eigenes Verfahren sorgt trotz niedriger Bandbreitenanforderungen für gute Sprachqualität. Anwender können die Konferenzen über Kabel-, DSL- oder LAN-Verbindungen nutzen. Unterstützt werden IP-Datenraten bis 512 KBit/s. Ein separates Modell ist in der Lage ISDN- Verbindungen bis zu 128 KBit/s Bandbreite aufzubauen. Durch die Unterstützung des H.264-Standards ist bessere Videoqualität über geringere Bandbreiten möglich. AES-Verschlüsselung sorgt für Abhörsicherheit der Gespräche und Konferenzen, ein Fehlerkorrekturverfahren gleicht Bandbreitenprobleme aus. Das Polycom V500 ist kompatibel zu anderen Endpunkten, Multipoint Control Units und Managementsystemen von Polycom und über zertifizierte Vertriebspartner in Europa erhältlich. (eht) Polycom: Fast als wär man da: Natürliche Videokommunikation mit dem Polycom V500 ISA-Server in frischem Gewand Die neue Version 2004 des ISA-Server von Microsoft ist eine Application-Level-Firewall, VPN- und Webcache-Lösung. Der Hersteller habe den ISA-Server speziell darauf angepasst, hauseigene Standardapplikationen wie den Exchange-Server und Microsofts Portaltechnologien geschützt im Internet bereit zu stellen. Zu den neuen Features des ISA-Servers gehört unter anderem, dass der über die VPN-Verbindungen geschleuste Datenverkehr nun vollständig gefiltert wird. Zudem untersucht die Software einige Standardprotokolle, darunter HTTP, DNS, H.323 und SMTP, bis hinauf zur Applikationsebene. Damit bietet das Systemähnliche Fähigkeiten wie die "Deep Inspection"- Technologie anderer Firewallhersteller. Eine neue grafische Benutzeroberfläche soll zusammen mit automatisiert Hilfsfunktionen und Vorlagen die Einrichtung und Administration des Systems vereinfachen. Windows Active Directory Services und Windows RADIUS sind integriert. Den ISA-Server 2004 gibt es als reine Softwarefirewalllösung für Windows Server 2003 oder von Microsoft OEM-Partnern als Security Appliance. Hewlett-Packard, Pyramid und Wortmann haben bereits angekündigt, dass sie die Software auf ihrer Hardware vorinstallieren werden. Der ISA- Server 2004 in der Standard Edition wird im dritten Quartal dieses Kalenderjahres erhältlich sein. Der Preis in den USA liegt bei US-Dollar pro Prozessorlizenz für Installationen mit bis zu vier Prozessoren pro Server. (eht) Microsoft: Leseprobe Juli

6 PRAXIS I Workshop VNC mit ZeBeDee und SSH sichern Fernlenken ohne Risiko VNC ist ein beliebtes Werkzeug zur Verwaltung entfernter Computer, nicht zuletzt weil es kostenlos im Internet zum Download bereit steht. Kopfschmerzen bereitet dem Administrator beim Einsatz der Remote- Control-Software nur die unverschlüsselte Verbindung zwischen Managementrechner und verwaltetem System. Verschiedene, ebenfalls kostenfreie, Tools wie ZeBeDee oder SSH umgehen das Manko. S eit Hardware erschwinglich geworden ist, stehen selbst im kleinsten Büro einer oder mehrere Server. Für die Servicequalität hat das Vorteile, doch wenn es um den Platzbedarf und Stromverbrauch geht, schlagen die Rechner kräftig zu Buche. Vor allem, wenn jeder mit einem eigenen Monitor ausgerüstet ist. Eigentlich Verschwendung, denn an der Serverkonsole ist selten Arbeit notwendig. Eine günstige und oft genauso praktikable Lösung stellen Programme zur Fernsteuerung des Desktops dar, allen voran VNC (Virtual Network Computing) [1]. Das Duo aus Client und Server kann von einem Arbeitsplatz aus beliebig viele Computer fernsteuern. Größter Vorteil im Vergleich zu einem analogen KVM-Switch: Die Software funktioniert auch über ISDN- und DSL- Leitungen hinweg und ist damit ideal für die Fernwartung in Firmen geeignet. Was VNC nicht bietet, sind ausgeprägte Sicherheitsfunktionen. Zwar wird das Passwort verschlüsselt übertragen und die Kommunikation zwischen Server und Client ist komprimiert. Doch für einen entschlossenen Angreifer stellt das keine große Hürde dar. Ältere Versionen von VNC und seinen vielen Ablegern weisen zusätzlich einige Sicherheitslücken [2] auf, die jedoch in den aktuellsten Releases behoben sind. Darum lautet Regel Nummer Eins beim Einsatz von VNC: aktuelle Programmversionen aus dem Internet beziehen [3] und systemweit einsetzen. Sicherheit eingebaut Eigentlich ist der Einbau von Sicherheitsfunktionen in VNC nahe liegend, doch die Programmierer des Original- VNC und vieler Derivate argumentieren dagegen. Der Tenor lautet, dass Anwender, die ernst zu nehmende Sicherheitsansprüche stellen, ohnehin über bestehende Schutzfunktionen verfügen, in die sich ein VNC ohne eigene Sicherheitsmechanismen besser einfügt. Allerdings gibt es Ausnahmen von dieser Regel. Dave Dyer hat ZVNC [4], eine VNC-Version mit eingebauter Verschlüsselung durch das Zusatztool ZeBeDee [5], entwickelt. Vorteil: Der Administrator kommt ohne zusätzliche Konfiguration von ZeBeDee aus. Der Einsatz ist simpel. Man installiert zunächst ein normales VNC oder ein Derivat im Test funktionierte TightVNC problemlos auf dem fernzusteuernden Computer und startet den ZVNC-Server aus seinem Verzeichnis heraus. Mit der Eingabe von hostname:6000 im ZVNC-Viewer verbindet man sich verschlüsselt mit dem Server. Über die Eingabe von hostname ohne weitere Portnummer im Viewer akzeptiert der Server auch unverschlüsselte Anfragen. So schön das klingt, ZVNC hat einen entscheidenden Nachteil: Dyer hat die Entwicklung nach dem ursprünglichen Release kaum noch fortgeführt, aktuelle VNC-Versionen werden nicht berücksichtigt. Zwei Schritte zum Erfolg: Erstens, der richtige Hostname Zweitens, Portnummer und Forwarding Minimalkonfiguration: Bei SSHVNC genügen IP-Adresse und Benutzernamen 6 Leseprobe Juli

7 PRAXIS I Workshop SSH Wer mit anderen VNC-Varianten arbeiten oder weitere Anwendungen schützen möchte ist also auf die Trennung von Sicherheit und Applikation angewiesen, ganz im Sinne der VNC-Entwickler. Der grundsätzliche Vorgang der sicheren Tunnelung ist dabei immer gleich. Ein Teil der Tunnelsoftware nimmt auf dem Client die Daten, zum Beispiel von VNC, entgegen und gibt sie, immer noch auf dem Client, an einen anderen Teil der Software weiter [6]. Dieser Teil kommuniziert mit dem Server über einen verschlüsselten Tunnel. Der Königsweg dazu ist der Einsatz von SSH (Secure Shell) als Tunnel zwischen Server und Client [7]. Die Anwendung, egal ob VNC, Telnet, FTP oder etwas anderes, kommuniziert mit ihren Gegenstellen abgeschottet in einem verschlüsselten Tunnel. Ein Authentisierungsmechanismus sorgt dafür, dass sich kein Rechner im Internet mehr erfolgreich als ein anderer ausgeben kann. Weder beim Aufbau noch bei der Nutzung einer Verbindung überträgt Secure Shell Daten unverschlüsselt. Hierbei sorgt ein asymmetrisches Verschlüsselungsverfahren für die Geheimhaltung der verwendeten Schlüssel. Allerdings erfordert SSH kräftigen Konfigurations- und Lernaufwand. Eine lohnenswerte Beschäftigung, wenn man Secure Shell generell einsetzen möchte, aber etwas übertrieben für den Gelegenheitsadministrator. Um den Lernaufwand zu umgehen gibt es zwei Wege. Der Erste: Man verwendet weitgehend vorgefertigte SSH-Komponenten, die nicht viel Konfiguration erfordern. Für Windows-, Linux-, Unix- und Mac-Anwender gibt es ein hervorragendes Tool von 3SP mit dem Namen SSHVNC [8]. Die Software übernimmt den Clientpart der SSH-Verschlüsselung und enthält einen VNC-Viewer, so dass man darüber direkt mit einem Server kommunizieren kann, auf dem SSH läuft. In allen aktuellen Linux- Distributionen ist ein SSH-Server enthalten und aktiv. Windows-Anwender können entweder die Serversoftware eines kommerziellen Anbieters nutzen oder auf OpenSSH [9] zurückgreifen. Das Paket enthält einen kompletten SSH-Server, der mit sehr wenig Konfiguration auskommt. Nach der Installation, bei der man alle Standardvorgaben akzeptieren kann, muss der Administrator lediglich die Benutzer freischalten. Dazu öffnet er ein DOS-Fenster und verzweigt in den Unterordner \bin. Dort gibt er folgende Befehle ein: mkgroup -l >>..\etc\group um lokale Gruppen von Windows in die SSH-Datenbank zu übernehmen und mkgroup -d >>..\etc\group um domänenweite Gruppen zu übernehmen. Danach importiert der Befehl: mkpasswd -l [-u Benutzername] >>..\etc\passwd den angegebenen, lokalen Benutzer in die SSH-Datenbank und mkpasswd -d [-u Benutzername] >>..\etc\passwd einen Domänenbenutzer. Lässt man den Benutzernamen weg, importiert der Befehl alle Anwender. Mit net start opensshd wird der Dienst hochgefahren und findet sich als Prozess cygrunrv.exe" in der Taskliste wieder. Auf dem Client verlangt SSHVNC nun für eine Verbindung lediglich die IP-Adresse oder den Hostnamen des Servers sowie einen Benutzernamen. Das Tool baut eine Verbindung auf, fragt nacheinander das Passwort für SSH und dann VNC ab und startet eine VNC-Session. Andere Applikationen wie FTP oder eine Terminalemulation lassen sich über den Client ebenfalls starten. Auch hier ist man an die VNC-Viewer- Version gebunden, die SSHVNC verwendet. Flexibel mit ZebeDee Ganz frei bei der Auswahl von Applikation und Anwendung ist nur, wer den Tunnel separat einrichtet. Mit dem OpenSSH-Server und einem passenden Client wie PuTTY [10] geht auch das. In den Screenshots 2 und 3 sieht man die beiden relevanten Menüs, in denen der Hostname und die umzuleitenden Ports eingetragen werden. Einfacher und unkomplizierter lässt sich dieselbe Aufgabe SSHVNC kümmert sich um Verschlüsselung und Fernsteuerung mit ZeBeDee absolvieren. Der Name kommt von Zlib Compression, Blowfish Encryption und Diffie-Hellman Schlüsselverwaltung. Das Tool ähnelt SSH in vielen Belangen, in dem es einen Tunnel zwischen Client und Server aufbaut und diesen durch starke Verschlüsselung sichert. ZeeBeDee unterstützt zudem die Tunnelung von UDP-Paketen. Weil der Autor Wert auf besonders einfache Handhabung gelegt hat, ist ein ZeBeDee-Tunnel fast ohne Konfiguration aufsetzbar. Gerade diese Eigenschaft macht ZeBeDee interessant für Administratoren, die ihre VNC-Verbindung ohne großen Aufwand sichern wollen. Das Tool ist neben Distributionen für Windows und Linux/Unix auch für Java und als Ruby-Implementation erhältlich und muss auf beiden Seiten der Verbindung installiert werden. Für den Einsatz unter Windows sind zudem zwei Einträge in der Registry nötig, die VNC erlauben, Loopback-Verbindungen anzunehmen. Die Änderungen sind dokumentiert, im ZeBeDee-Verzeichnis liegt auch eine vorbereitete Datei ( vncloopback.reg"), die der Administrator mit der rechten Maustaste und dem Befehl Zusammenfügen", in die Registry importieren kann. Wie sich ZeBeDee verhält, hängt von Konfigurationsdateien oder Kommandozeilenparametern ab. Die Liste der Befehle und Optionen ist ellenlang [11], muss den Administrator aber nicht interessieren. Für den Einsatz mit Leseprobe Juli

8 PRAXIS I Workshop VNC sind fertige Beispielkonfigurationen, vncserver.zbd" und vncclient.zbd", beigelegt. Die Serverdatei gibt die von VNC standardmäßig verwendeten Ports 5900 und 5901 zur Nutzung von ZeBe- Dee frei. Das reicht, um eine Verbindung aufzubauen. Dazu startet man den Server mit zebedee.exe -f server.zbd Das -f" zeigt an, dass eine Konfigurationsdatei für die Parameter folgt, danach kommt der entsprechende Dateiname. Damit ist der Server fertig eingerichtet. Am Client kommt man genauso einfach zum Ziel. Auch hier gibt es eine fertige Konfigurationsdatei, die automatisch den Tunnel aufbaut und den VNC-Viewer startet. Zur besseren Erklärung, hier die Schritt-für-Schritt-Anleitung: Zunächst muss der Tunnel etabliert werden. Bleibt man bei den Defaultports von VNC, lautet der Aufruf: zebedee.exe 5900:ip-adresse-oderhostname-des-server:5900 Die erste Zahl gibt den lokalen Port an, auf dem die Anwendung, also VNC, Daten verschickt. Anschließend folgt der Hostname oder die IP-Adresse des eigentlichen Servers, dann der Port, an dem die Serveranwendung, ebenfalls VNC, auf Daten wartet. Je nach Konfiguration von VNC können es auch andere Ports sein. Es ist sogar empfehlenswert, die Daten durch einen Nicht-Standardport zu tunneln. Dafür muss man in der Konfig-Datei für den Server nur den gewünschten Port oder Bereich freigeben, zum Beispiel durch den Eintrag target localhost: /tcp Nun startet man den VNC-Viewer und gibt die lokale IP-Adresse als Ziel ein, nicht (!) die Adresse des Servers. Denn der Tunnel beginnt auf dem eigenen Rechner dort wartet der Clientteil von Ze- BeDee auf die Verbindung. ZeBeDee leitet die Anfrage nun über den Tunnel zum Server und baut, nach Eingabe des Passworts, die VNC-Session auf. Alle beschriebenen Tunnellösungen können (und sollten) mit veränderten und/oder erweiterten Schlüsseln zusätzlich abgesichert werden. Detaillierte Anweisungen dazu bietet die mitgelieferte Dokumentation oder Mailinglisten im Internet. (Elmar Török) [1] [2] _forcing_vnc_passwords.html [3] _recurse=1&file=1#file_113 [4] zvnc.html [5] [6] infocus/1629 [7] [8] sshtools/sshvnc/sshvnc-features.php [9] [10] _windows.html#putty [11] manual.html#examples Links Das neue Rabattgesetz für System- und Netzwerkadministratoren! Nur gültig bis Dezember 2004! Testen Sie zwei Ausgaben des IT-Administrator, des neuen Magazins für professionelle System- und Netzwerkadministration, kostenlos! Überzeugen Sie sich, wie praxisnahe Workshops und Reportagen, Tipps und Tricks und vieles mehr Ihren Berufsalltag erleichtern und dazu Spaß machen. Und das Beste daran: Im Anschluss erhalten Sie zwei Jahre lang den IT-Administrator jeden Monat mit über 30% Rabatt im Vergleich zum Einzelheftpreis, wenn Sie wollen. Greifen Sie zu! WO? Auf

9 PRAXIS I Tipps & Tricks Red Hat Wie richte ich Red Hat als Router ein oder konfiguriere Routen? Es gibt einige Wege, um Routing bei einem Linux-Rechner einzurichten. Hier ist eine gebräuchliche und relativ unkomplizierte Variante. Sie setzt voraus, dass im System iptables für Network Address Translation (NAT) verwendet werden. Packet Forwarding gibt man so frei: echo "1" >/proc/sys/net/ipv4/ip_forward Damit diese Änderung auch nach einem Neustart erhalten bleibt, setzt man folgende Variable in /etc/sysctl.conf: net.ipv4.ip_forward = 1 Als nächstes soll iptables NAT übernehmen: /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Wobei eth0 die nach Außen führende oder public Verbindung ist. Man sollte sich auf alle Fälle auch die Zeit nehmen, und die iptables-regeln anpassen. Die aktuelle Routingtabelle sieht man mit: netstat -rn Die Installation von David XL, David SL oder David Home wurde auf einem Windows 2003 Small Business Server (SBS) durchgeführt. Das Infocenter kann auf keiner Win32-Arbeitsstation gestartet werden. Beim Start wird folgende Meldung angezeigt: Die Ordnungszahl 11 wurde in der Mapi32.dll nicht gefunden. Bei der Anmeldung der Arbeitsstationen an die Windows-2003-Domäne wird das Standard-Logon-Script verwendet. Dieses muss in dem ADS des Servers entfernt werden. Öffnen Sie hierzu das Snapin Active-Directory- Benutzer und Computer, wählen Sie die gewünschten Benutzer aus und entfernen unterhalb von Profil den Eintrag SBS_LOGIN_SCRIPT.bat. Bei der Anmeldung startet das Script eine Setuproutine für die automatische Softwareverteilung. Es handelt sich um den Small Business Server Client Application Installer zur Installation von Outlook und der Fax Services. (\\sbs-2k3\clients\setup). Nachdem das Script entfernt wurde, wird die Setuproutine für die automatische Softwareverteilung nicht mehr gestartet. Das Problem tritt bei DvISE-Installationen unter Windows-2003-SBS nur auf, wenn das Logon-Script genutzt wird und das Infocenter der Standard client ist. Um das Problem zu beheben, muss die MAPI32.DLL im Verzeichnis Windows\System32 durch eine Microsoft-Mapi ersetzt werden. Wo finde ich eine Liste der notwendigen Firmwareversionen, die vor einem Update auf Mac OS X installiert sein müssen? Unter der Adresse ple.com/article.html?artnum=86117 gibt es eine Liste mit den aktuellen Firmwareversionen samt Beschreibung für imac, emacs, ibooks, Power- Macs und Powerbooks. Der Computer (Windows 2000 oder XP) eines Anwenders reagiert häufig nicht mehr, es gibt keine Fehlermeldung, das System friert einfach ein. Woher bekomme ich einen Hinweis auf die Fehlerursache? Der Blue Screen of Death (BSOD) von Windows ist zwar gefürchtet, enthält aber auch Anhaltspunkte zur Fehlerursache. Wenn ein PC unter Windows plötzlich einfriert, kann der Anwender über die Tastatur einen BSOD auslösen. Microsoft hat eine entsprechende Routine in den PS/2 Treiber integriert (funktioniert nicht mit USB- Tastaturen). Dazu trägt man in der Registry den Key: HKEY_LOCAL_MACHINE/SYSTEM/Current ControlSet/Services/i8042prt/Parameters ein REG_DWORD namens: CrashOnCtrlScroll mit dem Wert 1 ein. Nach einem Reboot kann der Anwender über die Tastenkombination CTRL halten und Scroll-Lock zwei Mal drücken, einen BSOD auslösen, wenn der Rechner eingefroren ist. Klappt das nicht, ist der Fehler mit sehr hoher Wahrscheinlichkeit in der Hardware zu suchen. Wie kann ich von meiner XP-Arbeitsstation aus feststellen, wie lange ein Windows Server 2003 seit dem letzten Neustart läuft? Am einfachsten geht dies mit dem Windows-Tool systeminfo. Öffnen Sie ein DOS-Fenster (Eingabeaufforderung) und geben Sie auf der Kommandozeile den Befehl: systeminfo /s Servername /u Benutzername /p Passwort ein. Servername ist der FQDN (Fully Qualified Domain Name) des Servers, den sie abfragen wollen. Benutzername und Passwort müssen zu einem gültigen Benutzerkonto auf dem Server gehören. Wenn Sie noch den Parameter /fo TABLE anhängen, dann formatiert systeminfo die Ausgabe in einer Tabelle. Statt TABLE können Sie auch den Parameter LIST oder CSV verwenden. LIST ist der Standardwert, CSV generiert eine Zeile mit Kommaseparierten Daten. Mit ein paar Skripten können Sie auf diese Weise auch automatisiert die Uptime Ihrer Server überwachen. Der Netware-Security-Screen zeigt einen falschen angemeldeten Benutzer an Dieses Phänomen tritt auf, wenn sich ein Benutzer mit der rechten Maustaste auf das rote N im Systemtray klickt, im Menü Netware Login auswählt und sich als ein neuer Benutzer anmeldet. Dieses Problem wurde im Novell Client 4.9 SP2 für Windows NT/2000/XP behoben. Leseprobe Juli

10 PRAXIS I Reportage Ablösung eines Proxyservers Vom Zwischenspeicher zum Torwächter Als zentrales Tor zum Internet sorgen klassische Proxyserver hauptsächlich für die Zwischenspeicherung von Webseiten. Auf diese Weise sparen sie Bandbreite und beschleunigen den Zugriff auf oft gefragte Inhalte. Zunehmend sollen die Proxies jedoch weitere Aufgaben wie die Durchsetzung von Sicherheitsregeln auf Benutzer- und auf Inhaltsebene übernehmen. Die Omnibusverkehr Rhein-Nahe GmbH, ein mittelständischer Regionaldienstleister im Personennahverkehr, migrierte ihren Internetcache von einem MS-Proxy-Server auf eine Proxy-SG-800-Appliance von Blue Coat Systems und bietet nun ihren rund 100 Anwendern einen sicheren und kontrollierten Internetzugang an zu vergleichsweise günstigen Kosten. zufrieden geben. Für Administrator Platz bot das bestehende System keine Perspektive für seine Probleme in der alltäglichen Arbeitspraxis: "Es war beispielsweise nicht möglich, individuelle Policies pro User zu definieren oder einzelne URLs je nach Nutzergruppe (Quell- IP-Adressranges, einzelne Dienste) freizugeben", so Platz. Zudem wünschte sich der IT-Verantwortliche eine einfach zu bedienende Verwaltungsoberfläche am liebsten browserbasiert. A ls Dienstleister im öffentlichen Personennahverkehr gehört die Omnibusverkehr Rhein-Nahe GmbH (ORN) auf den ersten Blick nicht unbedingt zur klassischen Zielgruppe für Proxyappliances. Und wie so oft im richtigen Leben spielte auch der Zufall bei diesem Projekt eine gewisse Rolle. Anfang 2003 überlegte das EDV-Team der ORN, den bestehenden Microsoft-2.0-Proxy auszutauschen. Zu diesem Zeitpunkt griffen rund Der Webzugriff bei der Omnibusverkehr Rhein-Nahe GmbH erfolgt zentral über einen Proxy SG 800 von Blue Coat Systems 15 Nutzer über den MS-Proxy, der auf einem Windows-NT-Server 4.0 lief, auf das Internet zu. "Die alten Proxies boten zwar das übliche Caching, aber sonst nicht viel", erklärt Jochen Platz, IT-Administrator und Teamleiter Datenverarbeitung bei der ORN. Mit dieser mangelnden Flexibilität vor allem in Sachen Benutzerauthentifizierung und Administration wollte sich das Tochterunternehmen der Deutsche Bahn Regio AG nicht länger Zufällig bot zu diesem Zeitpunkt der langjährige IT-Dienstleister Sopra eine Kundeninformationsveranstaltung an, die sich für ORN als richtungweisend herausstellte. Auf dem Event des IT-Dienstleisters lernte das EDV-Team von ORN die Secure-Proxy-Appliances des amerikanischen Herstellers Blue Coat Systems kennen. Bei der Veranstaltung selbst ging es dabei nicht nur um die Proxyappliances von Blue Coat. Denn der Hersteller bindet auch zusätzliche Sicherheitsfunktionen seiner Technologiepartner wie Symantec, Trend Micro oder Surfcontrol in seine Proxies ein. Dies geschieht entweder über eine direkte Integration in der Appliances (on box) oder über ICAP (Internet Content Adaptation Protocol) als separates Gerät. "Wir wollten sowieso einen Antivirenscanner für die Web- 10 Leseprobe Juli

11 PRAXIS I Reportage dienste in unser Netzwerk einbinden.", erinnert sich Jochen Platz und forderte ein Testgerät an. Zusätzlich informierte sich der IT-Administrator über alternative Angebote und zog den Microsoft-ISA- Server in Erwägung. Kostenvorteil Eine Woche nach der Veranstaltung von Sopra hielt ORN das Testgerät von Blue Coat in Händen. Für den Test schloss Platz die Proxy SG 800 zunächst nur an einige Rechner des EDV-Teams an. Das Gerät arbeitete sozusagen im Parallelbetrieb mit den bestehenden Proxysystemen. Nach und nach zog der Administrator weitere Nutzer hinzu. So testeten nach zwei Wochen insgesamt 10 Nutzer stellvertretend für die insgesamt 100 Anwender innerhalb des Unternehmens die Proxyappliance. Ein Vergleich der Kosten für Hard- und Software für den ISA-Server von Microsoft und den Kosten für die Proxyappliance von Blue Coat sowie ein Abwägen der Folgekosten in Form von regelmäßigen Updates für die Server-basierende Konkurrenz machten die Entscheidung relativ leicht: Die Kosten für die Proxy- SG-800-Appliance von Blue Coat zusammen mit Consulting und einem 3-Jahresvertrag für die Anbindung eines Virenscanners von Symantec beliefen sich auf rund Euro. Im Vergleich dazu hätte ORN nach eigener Rechnung für die ISA-Lösung mit ISA- und Windows Serverlizenz, 100 Clientlizenzen und Serverhardware anfänglich bereits rund Euro bezahlen müssen. Hinzu wären dann noch Folgekosten für regelmäßige Updates und Wartung des Betriebssystems sowie Lizenzkosten für eine Antivirenlösung gekommen. So fiel die Entscheidung zugunsten der Lösung von Blue Coat. Integration ins Netz Nach zwei Manntagen lief das Gerät im operativen Betrieb des heterogenen Windows-2000/NT-Netzes der ORN. Der Appliance vorgeschaltet sind ein Paketfilter und eine Firewall. Das interne Netzwerk erstreckt sich neben der Firmenzentrale in Mainz über sechs Außenstellen zwei Kundencenter und vier Niederlassungen. Die Netzwerkanbindung innerhalb von Mainz erfolgt über Richtfunk mit 11 MBit/s, die Außenstellen greifen über ADSL auf das Firmennetz zu. Die externen Netzwerkverbindungen sind VPN-getunnelt und mit je einer 128 KBit/s-Wählverbindung abgesichert. Alle Außenstellen greifen dabei ausschließlich über die Zentrale und somit über die Proxyappliance auf das Internet zu. Über ICAP mit der Proxy SG 800 verbunden ist ein Virenscanner von Symantec, der unter anderem alle Webmails, die über Port 80 in das Netzwerk gelangen, kontrolliert. Die Konfiguration aller Policies für die Kontrolle des Webverkehrs erfolgt zentral in der Appliance. Anfangs nutze ORN das Gerät von Blue Coat vorwiegend als klassischen zentralen Proxy für den Internetzugang der rund 100 Anwender und zur Authentifizierung der verschiedenen Nutzergruppen. Während der Einführungsphase informierte das Unternehmen die Mitarbeiter darüber, dass der Internetzugriff protokolliert wird. Dieses Logging ermöglichte es dem EDV-Team festzustellen, welche Inhalte tatsächlich abgefragt wurden und die Sicherheitsregelwerke Projekt: Ablösung eines Proxy-Servers Kunde: Omnibusverkehr Rhein-Nahe GmbH Anwender: ca. 100 Gewähltes Produkt: Proxy SG 800 Appliance von Blue Coat Systems Alternative Produkte: Microsoft ISA Server Kosten: Euro für Proxy-Appliance, Consulting und 3-Jahresvertrag für Virenscanner Dauer: 2 Manntage für Einführung Anwendung in Kürze nach und nach immer feinkörniger anzupassen. Die Software Blue-Coat-Reporter erzeugt dazu Berichte auf Basis von Seitenzugriffen, Datenvolumen und der Verteilung des Datenverkehrs über die Tageszeit und bringt so Auffälligkeiten oder missbräuchliche Nutzung ans Licht. Zudem geben die generierten Berichte Auskunft über die Stabilität und Performance des Netzwerks. Am wichtigsten waren für IT-Administrator Platz die granularen Konfigurationsmöglichkeiten für den Webzugriff nach Merkmalen wie 100 Anwender greifen bei der ORN, einem Tochterunternehmen der Deutsche Bahn Regio AG, auf das Internet zu Leseprobe Juli

12 PRAXIS I Reportage Webadresse, Quell-IP-Adressrange und NTLM/Active-Directory-Nutzergruppe. Je länger das Team sich mit der Appliance beschäftigte, desto mehr Möglichkeiten entdeckten die IT-Verantwortlichen, um die Regelwerke immer weiter zu verfeinern. Die Konfiguration sämtlicher Policies erfolgte dabei zentral über ein Webinterface auf der SG 800 selbst. "Beim Einsatz eines Proxies mit flexiblem Regelwerk sollte sich der Administrator von Beginn an Gedanken über die Gruppenbildung der Nutzer und die firmenrelevanten Policies machen" Jochen Platz, IT-Administrator und Teamleiter Datenverarbeitung bei der ORN Aufwändige manuelle Änderungen an den Clients waren bei der Umstellung auf die Appliance nicht notwendig. Bei Nutzung der Windows-2000-Server bindet die Proxyappliance das Active Directory über einen so genannten Blue Coat Authentication Authorization Agent ein. Die Unterstützung für die Authentifizierung erfolgt über die von Microsoft empfohlene Methode des Security Support Provider Interface (SSPI). Über die "Einstellungen" im Internet Explorer wird hierbei die DFÜ-Verbindung entsprechen angepasst und über die Active-Directory- Policies der Windows-2000-Umgebung an alle 100 Clients verteilt. So genügte es, die Proxy-IP-Adresse und die Ports der einzelnen Dienste zu ändern. Die der Appliance vorgeschaltete Firewall stellt darüber hinaus sicher, dass kein Client die Sicherheitsregelwerke umgeht. Denn die Firewall lässt nur Port 80 und den Port für FTP-Datenverkehr offen. Und Datenverkehr dieser Art muss zwangsweise auch durch die Proxyappliance. Fernzugriffe über Laptops oder die Heimarbeitsplätze der Administratoren werden bei Webzugriffen ebenfalls durch den Proxy geschleust, der Zugang erfolgt hier über ein VPN durch die Firewall auf das LAN von ORN. Manchmal bereiten bestimmte Softwareanwendungen Probleme, die einerseits auf Onlineupdates angewiesen sind, aber keinerlei Proxyauthentifizierung zulassen. Doch diese Herausforderungen waren schnell gelöst. So gibt es die Möglichkeit, über das Proxylog die benötigten Update-URLs herauszufinden und diese für die einzelnen Systeme, zum Beispiel anhand der Quell-IP- Adresse, freizugeben. Ausbau Schnell nahm ORN die URL-Filterfunktion in Betrieb. Zu Beginn regelte das EDV-Team die Zugriffsberechtigungen für den Webzugang wie üblich über die "erlaubt/verboten"-merkmale für unterschiedliche Nutzergruppen. Doch diese Regelung empfand IT-Administrator Platz ziemlich schnell als überholt: "Inzwischen haben wir unsere Policies wesentlich verfeinert und führen detaillierte Black- and White Lists", so Platz. Aufgrund dieser Feineinstellungsmöglichkeit hat ORN erst kürzlich zwei so genannte halb-öffentliche PCs in das Netz eingebunden. Die beiden Rechner stehen in den Aufenthaltsräumen der Busfahrer und ermöglichen es den Mitarbeitern, während ihrer Pausen auf Websites zu surfen, die für die Arbeit relevant sind. Hierzu zählen beispielsweise die Fahrplanauskunft der Bahn oder Seiten der Partnerunternehmen aus dem Nahverkehrsverbund. Der Zugriff auf Internetinhalte, die nicht arbeitsrelevant sind, ist hingegen gezielt gesperrt. So eine Funktionsvielfalt hätte bei Lösungen anderer Hersteller gleich finanzielle Mehraufwendungen für Hardware, Software und Betriebssystem nach sich gezogen, erklärt Jochen Platz, der solche Terminals in Kürze für das Fahrpersonal in jeder Außenstelle zur Verfügung stellen wird. Mit der Proxyappliance kann der Administrator zudem verschiedene Nutzergruppen mit unterschiedlichen Rechten einrichten und diese individuell verwalten. So hat eine Gruppe beispielsweise vollen Webzugriff, darüber hinaus gelten nur die Authentifizierungseinstellungen des Active Directory. Eine weitere Gruppe hat nur eingeschränkten Zugang zum Internet, der über so genannte Denylisten geregelt wird. Die Appliance überprüft dann bei der Anfrage einer URL, ob der Nutzer die entsprechenden Zugriffsrechte hat. Hat er sie nicht, sendet das Gerät eine Nachricht an den Nutzer. Den Inhalt jeder einzelnen Nachricht kann der IT-Administrator bei Bedarf selbst individuell an die Unternehmenspolicy und das Corporate Design anpassen. Dies ermöglichte es, die Fehlermeldungen in Formulierungen umzumünzen, die der Nutzer auch wirklich versteht und nachvollziehen kann. Alternativ sind bestimmte Nachrichten vordefiniert und es existieren kleinere Regelwerke, die für einzelne Systeme gewisse URLs für die Durchführung von Onlineupdates freigeben (Virenscanner und mehr). Fazit Für ORN hat sich die Investition inzwischen mehr als gelohnt. Es fielen auch keine Kosten für eine Schulung des EDV- Teams an. "Während der Implementierung wurden bereits viele unserer Fragen beantwortet, außerdem ist die Appliance in sehr vielen Bereichen geradezu selbsterklärend", so Platz zufrieden. Anderen IT-Kollegen rät Platz, sich von Beginn an Gedanken über die Gruppenbildung der Nutzer und firmenrelevante Policies zu machen. Denn die Geräte bieten sehr viel Freiraum für flexible Anpassungen und eine Konfiguration, die auf das Unternehmen individuell zugeschnitten ist. (Larissa von der Howen/gh) Omnibusverkehr Rhein-Nahe GmbH Blue Coat Systems Sopra ICAP Forum Microsoft ISA Server Links 12 Leseprobe Juli

13 Für System- und Netzwerkadministratoren gibt`s jetzt was zu lesen! 2 Ausgaben kostenlos! Sie wollen immer auf dem neuesten Stand bleiben? Lieben Ihren Beruf, hätten aber gegen Erleichterungen seines Alltags nichts einzuwenden? Und sparen sich am liebsten unnötige Geldausgaben und Zeitverschwendung? Dann testen Sie den IT-Administrator, das Magazin für professionelle System- und Netzwerkadministration. Überzeugen Sie sich selbst, wie praxisnahe Workshops und Reportagen, Tipps und Tricks und vieles mehr Sie beruflich weiterbringen und Spaß machen. ZWEI KOSTENLOSE AUSGABEN DES >> KLICKEN SIE HIER <<

14 PRODUKTE I Test Im Test: Intranator Enterprise Kompletter Internetserver im Eigenbau Viel Funktion in wenig Schachtel: Der Intranator Enterprise Der Intranator Enterprise von Intra2net ermöglicht es dem Administrator, ein universales Gateway für die Kommunikation zwischen seinem Unternehmen und der Außenwelt aufzubauen. Mit Hilfe der Software wird ein Standard-PC zu einem Internetgateway mit Proxy und Contentfilter, server mit Virenschutz und einem zentralen Faxserver. Und auch eine Firewall, ein VPN- Gateway sowie das Schlüsselmanagement sind schon mit dabei. D er Intranator Enterprise von Intra2Net aus Tübingen basiert auf einem stark modifizierten Red Hat Linux und vereint praktisch alle Funktionen, die im weitesten Sinn mit Kommunikation zu tun haben, in einem Paket. Neben den oben angesprochenen Diensten packt der Hersteller einen Faxserver, Bandbreitenmanagement und Trafficshaping sowie Schlüsselverwaltung für IPSec-Verbindungen sowie einen Client für dynamisches DNS in das Paket. Gut aufbereitete Statistik- und Logfunktionen sind ebenfalls mit von der Partie. Hardwareanforderungen Intra2Net hat mehrere Versionen ihrer Kommunikationsdrehscheibe im Programm: Die Varianten Intranator Office und Intranator Enterprise sind reine Softwareprodukte der Anwender muss sich selbst um eine passende Hardware kümmern, auf der die Programme laufen. Durch die enge Orientierung an Red Hat Linux stellt das kein besonders Problem dar, allerdings ist der Intranator ein geschlossenes System. Treiber für unbekannte Hardware können nicht geladen werden. Was die Plug-and-Play-Erkennung bei der Installation ignoriert, funktioniert nicht. Für die meisten Anwender dürfte das kein Problem, sondern gewünschtes Verhalten sein. Schließlich besteht einer der großen Vorteile von Linux darin, Hardware als Basis zu verwenden, die nicht mehr den aktuellen Anforderungen entspricht. Ein Pentium-III-Prozessor mit mindestens 700 MHz Taktfrequenz und 256 MByte RAM genügen dem Intranator als Arbeitsgrundlage. Zu Schwierigkeiten kommt es eher, wenn hoch aktuelle Komponenten zum Einsatz kommen. Das erste Motherbard im Test war ein Abit AN7 mit nforce2-chipsatz. Obwohl die Installation durchlief, hing sich das System später nach jeder Änderung über die webbasierte Managementoberfläche auf der ISDN-Treiber schien nicht mit dem Chipsatz zurecht zu kommen. Auch mit dem zweiten Testrechner, einem System mit Gigabyte-Mainboard kam es zu Schwierigkeiten. Erst ein reichlich betagtes K7S5A von Elitegroup unterstützte der Intranator ohne Einschränkungen. Intra2Net gibt zwar auf ihrer Website zertifizierte Netzwerkkarten, Prozessoren, Festplattencontroller und ISDN-Karten an. Das besagt aber nur, dass diese Elemente von Intra2Net getestet wurden. Denn im Prinzip läuft der Intranator mit allen Komponenten, deren Treiber im Linuxkernel 2.4 enthalten sind. Das heißt allerdings auch, dass Serial-ATA in keiner Form weder on Board noch über eine Controllercard möglich ist. Durch die weitgehend freie Wahl der Hardwareplattform hat der Administrator aber auch die Chance, "seinen" Intranator genau an die individuellen Bedürfnisse des Unternehmens anzupassen. Im Test genügte uns beispielsweise ein Rechner mit Duron 800, um für fünf Mitarbeiter alle Dienste in ausreichender Geschwindigkeit zur Verfügung zu stellen. Bis zu drei Netzwerkkarten, eine für die DMZ, eine für das lokale Netz und ein für den WAN-Zugang, können ihren Dienst im Kommunikationsserver versehen. Dazu kommt noch eine optionale ISDN-Karte, die der Intranator für den Faxserver als auch für den Internetzugang über ISDN-nutzen kann. Der Herstellerhat sogar zwei Internet-by-Call-Zugänge von Arcor und Freenet hinterlegt. Installation und Konfiguration Abgesehen von der etwas wählerischen Hardwareunterstützung bei sehr neuen Komponenten kann man Intra2Net für 14 Leseprobe Juli

15 PRODUKTE I Test die Installation nur loben. CD einlegen, booten und (fast) fertig ist der Intranator. Etwa 20 Minuten dauert das Kopieren und Installieren der Daten auf die mindestens 20, besser 40 Gigabyte große Festplatte. Die hohe Kapazität ist für den Einsatz als Mailserver notwendig. Wer mit hohem Mailaufkommen rechnet, sollte lieber gleich zu einer größeren Platte greifen. Direkt nach der Installation bietet der Intranator eine textbasierte Konsole an, in der der Administrator die Hardwareerkennung starten, IP-Adressen bearbeiten, den Grundzustand wieder herstellen und eine Supportverbindung zu Intra2Net auslösen kann. Vorher muss er sich allerdings als "Root" mit dem während der Installation vergebenen Passwort anmelden. Da während der Installation auch ein Administrationsbenutzer eingerichtet wird, versucht man sich natürlich zuerst, mit dieser Kombination am System anzumelden. Erst nach einigen Versuchen stellt sich heraus, dass der Benutzername in diesem Fall "Root" lauten muss. Jede Form der Zugriffkontrolle bedarf der vorherigen Einrichtung von Benutzern in der Datenbank des Intranators. Große Mengen von Profilen kann der Administrator per XML importieren, in kleinen Netzwerken klickt er sich durch die fünf Menüs. Dabei legt er neben Name und Passwort auch die Gruppenzugehörigkeit, adressen- und Weiterleitungen sowie die Einstellungen von Spamfilter und der Webmailoberfläche fest. Auch Administrationsrechte können einzelnen Benutzern detailliert zugewiesen werden. Der Gruppenzugehörigkeit kommt dabei besondere Bedeutung zu. Hier vergibt der Administrator die quota, also den maximal zugelassenen Speicherplatz für Mails pro Benutzer. Zudem stellt er das Proxyprofil und die Zugangsberechtigungen ein. Zugangsberechtigungen sind dreistufig: Im ersten Fall bekommen Clients nur Zugriff auf dienste. Eine Ebene höher ist der Webzugriff In vielen Firmen ist der private Zugriff auf das Internet erlaubt. Was für die Benutzer sehr komfortabel ist, bereitet den Administratoren jedoch Kopfschmerzen. Denn selbst ohne böse Absicht können sich Anwender eine breite Auswahl an Viren, Würmern, Adware und ähnlichen Schädlingen einfangen. Ein Proxy mit URL-Filter, wie ihn der Intranator bietet, vermeidet das Schlimmste, in dem er den Zugriff auf bekannte unerwünschte Adressen sperrt. Zunächst ist alles erlaubt, der Administrator kann dann beliebig viele Themengruppen anlegen, die bestimmte Bereiche ausschließen. Zu den mitgelieferten und eingerichteten Listen gehören unter anderem Drogen, Erotik, Warez, Hacking, Mail und Werbung. Passt die vorgegebene IP-Adresse , muss der IT-Administrator die Konsole nicht benutzen, sondern kann auf einen Browser und die ausgezeichnete Benutzeroberfläche zurückgreifen. Einen Wizard, der den Administrator durch die ersten Schritte führen würde, hat Intra2Net allerdings nicht eingebaut. Das ausgezeichnete, deutsche Handbuch hilft zwar bei der Erklärung der einzelnen Funktionen und Menüpunkte, doch gerade für Anwender, die den Intranator selbst einrichten wollen, wäre eine Schritt-für-Schritt-Anleitung hilfreich. So findet man eher durch Zufall heraus, dass die Lizenznummer einer registrierten Version in einem eigenen Menü eingetragen werden muss und per Online-Verbindung mit der Intra2Net-Datenbank abgeglichen wird. Als deutliches Plus kann man hingegen die Onlinehilfe in den Seiten werten. Die Erklärungen verdienen ihren Namen wirklich und reichen einem technisch einigermaßen versierten Anwender aus, um den Intranator in den Griff zu bekommen. Sicherheit auf Providerebene: Zugriff von Außen ist bei jedem Internetprovider getrennt einstellbar Kommunikationsserver mit allen Diensten frei gegeben und im Vollzugriff können Clients auch andere PC s im lokalen Netz ansprechen. Damit können reine Büroarbeitsplätze streng von einander getrennt werden. Die Möglichkeit, dass sich schädliche Dateien wie Viren von PC zu PC ausbreiten, ist somit deutlich eingeschränkt. Noch feiner funktioniert der Contentfilter des Intranator. Hier sucht der Proxy auf jeder angesteuerten Seite nach Schlüsselwörtern aus den Kategorien Erotik, Warez, Gewalt, Glücksspiel und illegale Drogen. Findet er eine unzulässige Häufung, sperrt die Software den Zugriff auf die Seite, auch wenn die Adresse nicht in den Filterlisten auftaucht. Im Test funktionierten beide Verfahren ausgezeichnet und sorgten für einen "sauberen" Inter- Leseprobe Juli

16 PRODUKTE I Test maximal zehn MSN-Nummern verfügt, kann der Intranator im Normalfall zehn Empfänger unterscheiden. Laut Intra2Net erlauben bestimmte Telefonanlagen aber auch größere Mengen von MSNs. Eingehende Dokumente tauchen als mit Anhang im Posteingang des jeweiligen Benutzers auf. Das ist ein weiterer Grund, den integrierten Mailserver zu verwenden, doch selbst wenn nicht: Über die automatische Weiterleitung leitet der Intranator die Faxe an eine beliebige E- Mailadresse weiter. Auch ohne Outlook im Bilde: Über die Webmailfunktion greifen Benutzer auf ihre s auf dem Intranator zu netzugang. Über die zusätzliche Sicherheit hinaus beschleunigt der Proxy den Zugriff auf häufig aufgerufene Seiten über seinen lokalen Cachespeicher. Dieser ist frei definierbar und standardmäßig auf 100 MByte Größe gesetzt. Alle Webzugriffe kann die Software in einer Logdatei speichern, Intra2Net weist durch einen farblich gekennzeichneten Hinweis und durch einen Absatz in der Dokumentation darauf hin, mögliche gesetzliche oder betriebliche Vorschriften zu beachten. Mindestens genauso umfangreich ist dem Hersteller die Implementierung des Mailservers geraten. Dabei beachtet der Intranator viele Besonderheiten, die vor allem in kleinen Firmen vorkommen. So ist die Verwendung eines Multi-Drop-Accounts möglich, bei dem der Provider nur eine POP3-Adresse bereitstellt. Die eingehenden Nachrichten unterscheidet die Software nach den verwendeten Empfängernamen und stellt sie den Mailclients zu. Ganz ohne Client funktioniert der Webmailzugang des Servers. Bei freigegebenem HTTP-Zugriff auf den Intranator können sich die Anwender am Server mit ihren Benutzerdaten anmelden und auf alle funktionen einschließlich eines integrierten Viewers zugreifen. Durch den DynDNS-Client des Intranator funktioniert das auch, wenn der der Intranatorserver über DSL und einer dynamischen IP-Adresse mit dem Internet verbunden ist. Ebenfalls sehr positiv fiel uns die Fähigkeit des Mailservers auf, für den Versand einen authentifizierten SMTP- Relay zu nutzen. Für den T-Online-Relay sicher eine häufig anzutreffende Konstellation bei kleineren Firmen liefert die Online-Hilfe sogar eine detaillierte Beschreibung mit. Allerdings ist der Intranator auch ohne Relay ein vollwertiger und geschützter SMTP-Server. Für Sicherheit beim austausch sorgt zudem das integrierte Antivirengateway von F-Secure mit einstellbaren, automatischen Updates. Fax Praktisch werden viele Anwender die Faxserver-Funktion des Intranator finden. In Verbindung mit einer Fritzcard sorgt das integrierte Hylafax für Senden und Empfangen von Dokumenten über einen Faxanschluss. Der Versand läuft über Clientsoftware, die der Administrator an jedem PC installieren muss. Neben dem eigentlichen Client erfordert der Faxserver noch einen dedizierten Postscript-Druckertreiber. Danach kann der Anwender wie gewohnt auf das Fax drucken, ein Fenster fordert ihn dann zur Eingabe der Faxnummer auf. Den Empfang organisiert der Intranator über verschiedene MSN-Nummern des ISDN-Anschlusses, die den Benutzern zugeordnet werden. Da ein Standard-ISDN-Anschluss über Fazit Mit dem Intranator Enterprise hat der IT- Administrator die interne und externe Kommunikation seines Unternehmens im Griff. Die Software sorgt je nach verwendeter Hardware für kleine bis mittlere Unternehmen für sicheren Internetzugriff und verkehr sowie komfortables Faxen. Abgesehen von der etwas kapriziösen Hardwareauswahl konnten wir beim besten Willen keine Mankos an Intra2Nets Kommunikationsserver finden. (Elmar Török) Produkt Software auf Basis von Red Hat Linux für den Aufbau eines Kommunikationsservers mit den Funktionen Proxy, Contentfilter, Fax und Vorteile - Großer Funktionsumfang - Leichte Installation - Unbegrenzte Benutzeranzahl - Geringe Hardwareanforderungen Nachteile - Zickig bei neuer Hardware Hersteller Intra2Net Tel.: 07071/ Preis 1.499,- inkl. 12 Monate Updates Intranator Enterprise 16 Leseprobe Juli

17 WISSEN I Grundlagen Neues Bussystem löst paralleles SCSI ab nem Datendurchsatz von bis zu drei Gigabit pro Sekunde möglich. Parallel- SCSI kann nur mit Halbduplex arbeiten. Zusätzlich ist die Stromversorgung in die Steckverbindung integriert, spezielle Prechargekontakte für Hotplugfähigkeit sind ebenfalls im Standard vorgesehen. Frischzellenkur für Massenspeicher S Mit Serial Attached SCSI kommt in diesem Jahr ein Nachfolger für die altgediente Parallel-SCSI-Schnittstelle auf den Markt. Die Wurzeln von Parallel-SCSI reichen bis in das Jahr 1979 zurück, das Update ist daher durchaus angebracht. Doch SAS erneuert nicht nur Stecker und Kabel - mit dem Standard steht eine wesentlich weiter entwickelte Schnittstellen- und Übertragungstechnologie vor der Tür. erial Attached SCSI (SAS) löst den etablierten und in den letzten 25 Jahre ausgereiften Parallel-SCSI-Standard im Server- und Enterprise-Storagebereich ab. Dieser Schritt ist längst überfällig, Parallel-SCSI stößt mit seinem parallelen Übertragungskonzept an physikalische und konzeptionelle Grenzen: Die Taktraten können nicht weiter steigen, da sich sonst die bis zu 64 parallelen Leitungen gegenseitig stören und die Laufzeitdifferenzen der einzelnen Bits zu groß werden. Weiteres Manko: Aufgrund des großen Spannungshubs von mehreren Volt und der notwendigen Terminierungen benötigt Parallel-SCSI viel Energie und belastet moderne Netzteile stark. Die breiten Kabel und großen Stecker lassen sich in kompakten Servergehäusen überdies nur schwer unterbringen, behindern die Luftzirkulation und kommen bei Festplatten mit kleinem Formfaktor gar nicht erst nicht in Frage. Auf der logischen Ebene ist SCSI auf maximal 16 Geräte pro Controller beschränkt, die sich außerdem die verfügbare Bandbreite teilen müssen. Dazu ist die Adressierung der einzelnen Laufwerke kompliziert und erfordert Fachwissen des Administrators. Technische Spezifikationen von SAS SAS hebt durch eine neue Hardwarebasis und Protokollerweiterungen viele Limitierungen von SCSI auf. Auf der Hardwareebene nutzt SAS, wie der kleine Bruder Serial-ATA (SATA), ein serielles Buskonzept, das mit nur zwei Datenleitungspaaren auskommt. Die Daten werden mit sehr hoher Taktfrequenz und niedrigem Spannungshub (Low Voltage Differential Signal, kurz LVDS) übertragen. Dadurch ist ein Vollduplexbetrieb mit ei- SAS-Laufwerke verfügen standardmäßig über zwei Stecker für den redundanten Betrieb mit zwei getrennten Controllern. Die "Initiatoren" genannten Controller arbeiten im Gegensatz zu Parallel-SCSI mit einer Punkt-zu-Punkt-Verbindung: Jedes Laufwerk ist mit einem eigenen, dünnen Kabel an den Controller angeschlossen und kann so die volle Datenbandbreite nutzen. Das stellt einen enormen Vorteil gegenüber dem Shared-Media-Prinzip von herkömmlichem SCSI dar. Die Kabellänge darf bei SAS bis zu zehn Meter betragen. Für den Einsatz in großen Speichersystemen mit RAID-Konfigurationen ist SAS ideal vorbereitet. Zum einen wurden Stecker- und Kabelspezifikationen auf den Backplaneeinsatz abgestimmt, zum anderen lassen sich mittels günstiger Expander theoretisch bis zu Endgeräte in einem einzigen SAS-System betreiben (128 Geräte pro Expander an bis zu 128 Expandern). Expander gibt es in zwei Ausführungen, so genannte Edge-Expander für den Endgeräteanschluss sowie Fan-Out-Expander die Aufgaben als Infrastrukturhubs wahrnehmen. Aufgrund der kompakten Stecker und der dünnen Kabel bei SAS sind auch Speicherlösungen mit 2,5-Zoll-Festplatten und zukünftig eventuell sogar noch kleinere Formfaktoren möglich. Da- Während sich SATA-Platten an SAS-Controller anstecken lassen, ist der umgekehrte Weg durch das Steckerdesign verbaut Leseprobe Juli

18 WISSEN I Grundlagen mit ist SAS das ideale Schnittstellenkonzept für ultrakompakte Server mit nur einer Höheneinheit, Bladeserver und JBOD- Speicherarrays, die wenig Platz für Kabel, Stecker und Laufwerke haben. SAS unterstützt drei verschiedene Protokollvarianten: Das Serial SCSI Protocol (SSP) ist für den SAS-Betrieb konzipiert und überträgt Steuerkommandos und Daten. Der Befehlssatz ist vollständig SCSI-konform und entspricht dem SCSI Architecture Model (SAM), auf dem auch das IP-basierte iscsi aufbaut. Das SCSI Management Protocol (SMP) dient der Expandersteuerung und das SATA Tunneling Protocol (STP) ermöglicht den Betrieb von SATA-Platten an SAS-Controllern. sten im Moment handelt es sich fast immer um Weiterentwicklungen bewährter SCSI-Enterprise-Festplatten. Sie sind auf den harten Dauereinsatz in Serverschränken und Speicherkabinetten ausgelegt, Rund-um-die-Uhr-Betrieb, starke Vibrationen und hohe Temperaturen machen ihnen wenig aus. SAS-Festplatten erreichen unter diesen Bedingungen eine Mean Time Before Failure (MTBF) von einer Million Stunden und mehr. Sie können auch kundenspezifisch angepasst werden und besitzen leistungsfähige Fehlerkorrekturmechanismen. Für die gleichen, hohen Anforderungen sind auch FC-Festplatten ausgelegt. Sie unterscheiden sich von SAS- beziehungsweise SCSI-Modellen nur durch ihre Schnittstelle. Während sich SAS also eher für Server und RAID- Systeme eignet, ist das FC-Konzept besser für ambitionierte Speicherprojekte wie SANs oder geswitchte Hochgeschwindigkeitsnetze mit extrem hohen Sicherheitsanforderungen und einer hohen Anzahl von Geräten konzipiert. SATA und SAS für verschiedene Szenarien SATA-Platten haben mit SAS-Platten zwar Stecker und Kabel gemeinsam. Viele Hersteller weisen bei ihren Spezifikationen von SATA-Platten jedoch ausdrücklich Serial-ATA (SATA) Aktueller Busstandard zum Anschluss von IDE-Festplatten. Anschluss über eine Punktzu-Punkt Struktur, mit neuen Stecker- und Kabelformaten. Vollduplex/Halbduplex Beim Vollduplexbetrieb wird gleichzeitig in beide Richtungen eines Datenkanals übertragen, der Durchsatz verdoppelt sich im Vergleich zu Halbduplex. Precharge-Kontakte Vorrichtung an Steckern, die sicher stellen, dass bestimmte Kontakte früher/später getrennt werden als andere. Hot-Plug Austausch von Datenträgern im laufenden Betrieb. JBOD Just a Bunch of Disks Datenträger werden ohne RAID-Verbund, nur als einzelne Datenträger angesprochen. NCQ Native Command Queing Anforderungen zum Lesen oder Schreiben von Daten werden vom Plattencontroller zwischengespeichert und in eine Warteschlange gestellt. Glossar Mit Hilfe von Expandern lassen sich bis zu SAS-Laufwerke in einem System betreiben, sogar im Mischbetrieb mit SATA-Laufwerken SAS im Vergleich zu anderen Schnittstellen Um SAS in die Reihe der etablierten Standards Fibre Channel (FC), Paralleles SCSI (SCSI), Serial ATA (SATA) und Parallel ATA (PATA) einzuordnen ist es wichtig, nicht die Schnittstelle allein, sondern die Kombination aus Interface und Festplatte zu betrachten. Für verschiedene Einsatzgebiete sind zwar bestimmte Schnittstellen besser geeignet als andere. Doch auch das Festplatteninnenleben, also Motoren, Platten, Schreib-/Leseköpfe, Laufwerkslogik und Speicherausstattung müssen zur jeweiligen Anwendung passen. SAS-Platten haben die wesentlichen Eigenschaften der Parallel-SCSI-Laufwerke geerbt. Daher ähneln SAS-Platten bei der Technik ihren SCSI-Vorgängern am stärk- darauf hin, dass die Modelle für den Einsatz in Desktop- und Consumergeräten ausgelegt sind. Auch wenn heutzutage einem Dauereinsatz nichts im Wege steht, sind sie Weiterentwicklungen herkömmlicher IDE- beziehungsweise ATA- Platten. Bei starken Vibrationen wie sie in großen Serverschränken vorkommen, steigt ihre Suchzeit stark an, und ihre geringere MTBF orientiert sich an einer durchschnittlichen Betriebszeit von acht Stunden an fünf Tagen in der Woche. Zwar beherrschen auch SATA-Laufwer- 18 Leseprobe Juli

19 WISSEN I Grundlagen ke Funktionen wie das Native Command Queuing (NCQ), jedoch nicht in dem Umfang und mit der Leistung wie SAS- Laufwerke. Für Near-Line-Storage-Aufgaben sind SATA-Festplatten also durchaus denkbar, vor missionskritischen Aufgaben mit hohen Anforderungen an Zugriffsgeschwindigkeit, Ausfallsicherheit und Verfügbarkeit raten die Plattenhersteller ab. SAS und FC positionieren sich als Schnittstellen- und Festplattenstandards im unternehmenskritischen Einsatzbereich, während man SATA im unteren und mittleren Consumer-, Desktop- und Entry-Level-Serverbereich sowie bei Near- Line-Speicherlösungen einsetzt. Parallel- SCSI und -ATA sind mittelfristig auslaufende Standards, die durch SAS und SATA ersetzt werden. Mischbetrieb möglich Auf der physikalischen Ebene weist SAS große Ähnlichkeiten mit SATA auf, und tatsächlich sind beide Standards zu einem gewissen Grad kompatibel. So lassen sich SATA-Laufwerke gemeinsam mit SAS-Platten betreiben, da SAS-Controller mittels STP auch das SATA-Protokoll beherrschen. SAS-Controller erkennen SA- TA-Platten beim Hochfahren und stellen dann das richtige Protokoll, den richtigen Spannungshub und die Übertragungsgeschwindigkeit ein. Selbst ein Mischbetrieb ist möglich. Der umgekehrte Fall, SAS-Platten an SATA-Controllern, funktioniert allerdings nicht: Zum einen passen die Stecker nicht, zum anderen "sprechen" SATA-Controller nicht SSP. Die Kompatibilität zwischen SATA und SAS ist trotzdem sinnvoll. Sie erleichtert die Migration zwischen beiden Standards und ermöglicht den Mischbetrieb von sicherem aber teurem Mission-Critical-Storage und günstigen Near-Line-Storage- Einheiten in einem Speichersystem. Damit können IT-Administratoren den Gedanken des Information Lifecycle Managements umsetzen. Daten, die zunächst unternehmenskritisch sind, verlieren nach einiger Zeit an Bedeutung und wandern SAS-Controller beherrschen drei verschiedene Protokolle zur Ansteuerung von SAS- und SATA-Laufwerken sowie den Expandern in das Near-Line-Speichersystem, also von SAS- auf SATA-Platten. Zum andern können Racks zunächst mit günstigen SATA- Platten aufgebaut und später mit SAS-Geräten aufgerüstet werden. Das schafft Zukunftssicherheit bei der Investition in die Speichersubsysteme. Die Roadmap für SAS Seagate und andere Hersteller planen, die erste Generation ihrer SAS-Laufwerke im Lauf des Jahrs 2004 auf den Markt zu bringen. Sie entsprechen dem SAS-1.1- Standard vom November 2003, der vom ANSI-Komitee T10 entwickelt wurde. Dort sind bereits die nachfolgenden SAS- Entwicklungsstufen in Arbeit, die Übertragungsrate soll von derzeit drei auf sechs Gigabit pro Sekunde (2007 bis 2009) bis zu zwölf Gigabit pro Sekunde im Jahr 2010 bis 2012 anwachsen. Derzeit testen die Laufwerks- und Controller-Hersteller intensiv die Zusammenarbeit der Geräte und erproben die Leistungsgrenzen, beispielsweise auf dem "SAS Plugfest" der SAS-Arbeitsgruppe innerhalb der SCSI- Trade-Association. Hier zeigte Seagate beispielsweise im März 2004 erstmals den SAS-Dual-Port-Modus mit einer Übertragungsrate von vollen drei Gigabit pro Sekunde. Im April 2004 wurde erstmals die Interoperabilität zwischen SAS- und SA- TA-Laufwerken auf der Storage Networking World vorgeführt. Marktforschungsunternehmen und Hersteller rechnen jedoch nicht damit, dass Serial Attached SCSI Parallel-SCSI über Nacht ablösen wird. IDC geht davon aus, dass SAS bis 2005 Marktanteile von maximal 50 Prozent bei den verkauften Geräten erreicht. Herkömmliche SCSI-Geräte sind trotzdem auf absehbare Zeit nicht aus den Servern und Speichersystemen wegzudenken und bilden das Gros der installierten Basis. Erst 2007 erwartet Festplattenspezialist Seagate, dass SAS seinen Vorgänger Parallel-SCSI komplett vom Markt verdrängt hat. (Willis Whittington, ESG Interface Planning bei Seagate Technology/eht) SCSI Trade Association Seagate Maxtor Links Leseprobe Juli

20 VORSCHAU I September 04 Die Ausgabe 9/04 erscheint am 3. September 2004 Schwerpunktthema: Wireless LANs Workshop: Dynamische VPNs Workshop: WLAN-Absicherung mit 802.1x Im Test: Evolution Connector for Microsoft Exchange Server 2000/2003 Wissen: Grundlagen RADIUS Die Redaktion behält sich Themenänderungen aus akuellem Anlass vor. IMPRESSUM Redaktion Georg von der Howen (gh) Chefredakteur verantwortlich für den redaktionellen Inhalt georg@it-administrator.de Elmar Török (eht) Redakteur elmar.toeroek@it-administrator.de Raphael Wimmer (rw) Online Newsletter raphael.wimmer@it-administrator.de Autoren dieser Ausgabe Larissa von der Howen, Willis Whittington Anzeigen Anne Kathrin Heinemann Anzeigenleitung verantwortlich für den Anzeigenteil kathrin@it-administrator.de Tel.: 089/ Anzeigenpreise Es gilt die Anzeigenpreisliste Nr. 1 vom Anzeigendisposition 93Grad Anton Mergl, Andreas Skrzypnik Tel.: 089/ Fax: 089/ dispo@it-administrator.de Produktion Grafisches Konzept & Layout 93Grad, Anton Mergl, Andreas Skrzypnik Druck Ceská Unigrafie, a.s. U Stavoservisu Prag 10 Vertrieb Anne Kathrin Heinemann Vertriebsleitung Tel.: 089/ kathrin@it-administrator.de Vertriebsunion Meynen GmbH & Co. KG Große Hub Eltville Tel.: 06123/ Fax.: 06123/ leserservice@it-administrator.de Erscheinungsweise monatlich ab September 2004 Bezugspreise Einzelheftpreis: 12,60 Jahresabonnement Inland: 135,- Studentenabonnement Inland: 67,50 Jahresabonnement Ausland: 150,- Studentenabonnement Ausland: 75,00 (Studentenabonnements nur gegen Vorlage einer gültigen Immatrikulationsbescheinigung) Alle Preise verstehen sich inklusive der gesetzlichen Mehrwertsteuer von zurzeit 7 Prozent sowie inklusive Versandkosten. Internet Verlag Herausgeber Heinemann & Howen Verlag GmbH Inselkammerstraße Unterhaching bei München Tel.: 089/ Tel.: 089/ (zugleich Anschrift aller Verantwortlichen) info@huh-verlag.de Web: Eingetragen im Handelsregister des Amtsgericht München unter HRB Geschäftsführer Anne Kathrin Heinemann Georg Baron von der Howen Anteilsverhältnisse Die Anteile an der Gesellschaft halten zu gleichen Teilen die Geschäftsführer Anne Kathrin Heinemann und Georg von der Howen Urheberrecht Alle in IT-Administrator erschienenen Beiträge sind urheberrechtlich geschützt. Alle Rechte, einschließlich Übersetzung, Zweitverwertung, Lizenzierung vorbehalten. Reproduktionen und Verbreitung, gleich welcher Art, ob auf digitalen oder analogen Medien, nur mit schriftlicher Genehmigung des Verlags. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichen Schutzrechten sind. Haftung Für den Fall, dass in IT-Administrator unzutreffende Informationen oder in veröffentlichten Programmen, Zeichnungen, Plänen oder Diagrammen Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlags oder seiner Mitarbeiter in Betracht. Für unverlangt eingesandte Manuskripte, Produkte oder sonstige Waren übernimmt der Verlag keine Haftung. Manuskripteinsendungen Die Redaktion nimmt gerne Manuskripte an. Diese müssen frei von Rechten Dritter sein. Mit der Einsendung gibt der Verfasser die Zustimmung zur Verwertung durch die Heinemann & Howen Verlag GmbH. Sollten die Manuskripte Dritten ebenfalls zur Verwertung angeboten worden sein, so ist dies anzugeben. Die Redaktion behält sich vor, die Manuskripte nach eigenem Ermessen zu bearbeiten. Honorare nach Vereinbarung. So erreichen Sie den Leserservice Leserservice IT-Administrator Gabriele Reuber Eltville Tel.: 06123/ Fax: 06123/ leserservice@it-administrator.de Bankverbindung für Abonnenten Konto bei der Postbank Dortmund, BLZ Kontoinhaber: Vertriebsunion Meynen So erreichen Sie die Redaktion Redaktion IT-Administrator Heinemann & Howen Verlag GmbH Inselkammerstr Unterhaching Tel.: 089/ Fax: 089/ redaktion@it-administrator.de So erreichen Sie die Anzeigenabteilung Anzeigenverkauf IT-Administrator Anne Kathrin Heinemann Heinemann & Howen Verlag GmbH Inselkammerstr Unterhaching Tel.: 089/ Fax: 089/ kathrin@it-administrator.de 20 Leseprobe Juli