WLAN dringt vor

Technik News - Netzwerkmagazin
G46392
September 2003
D a s
N 09
13. Jahrgang
thema des monats
REICHWEITE ENTFALTEN
WLAN
dringt vor
Antennentechnik
in- und outdoor
CONTENT SECURITY
OrangeBox Web
Teil 2: Erstellen
von Access-Rules
p r a x i s n a h e
N e t z w e r k m a g a z i n
AKTUELL
• Compu-Shack: Wireless Networking und eTools im September on Tour
3
Herausgeber: COMPU-SHACK
NEWS
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Allied Telesyn: All-In-One: ADSL-Wireless-Router AT-AIO11
CS Production: GIGAline Xologic mit „Higher Technology“
CS Production: WAVEline Panel-Antenne 11-80
LANCOM Systems: Bis 108 MBit/s mit LANCOM Access Points
Allied Telesyn: AT-WD1008 bietet Gigabit Multiplexing im MAN
AVAYA Wireless: Neue Funktionen - neue Standards
Computer Associates: eTrust Security Command Center
Computer Associates: Management des On-Demand Computing
Computer Associates: eTrust Vulnerability Manager
AVAYA: Security Gateways in konvergenter Kommunikation
Tobit : Schneller Web-Zugriff
Novell: GroupWise auf Linux
APC: Planungsaufwand minimieren
Fluke Networks: WaveRunner - Sicherheitsanalyse im WLAN
WatchGuard: Firebox Vclass V200 -Multi-Gigabit Firewall/VPN
AVM: FRITZ!Card DSL SL USB im Handel
SonicWALL: SOHO TZW-Sicherheitslösung im WLAN
Newsticker
4
5
5
6
6
7
8
8
9
10
11
11
12
12
13
14
14
16
Electronic GmbH,
Ringstraße 56-58,
56564 Neuwied
Geschäftsfüher: Michael Krings
Telefon: 02631/983-0
Telefax: 02631/983-199
Electronic Mail: TECHNEWS @
COMPU-SHACK.COM
Redaktion: Heinz Bück
Hotline und Patches: Jörg Marx
Verantwortlich
für den Inhalt: Heinz Bück
Technische Leitung: Ulf Wolfsgruber
Erscheinungsweise: monatlich 1 Heft
Bezugsquelle: Bezug über
COMPU-SHACK
Electronic GmbH
Jahres-Abonnement
zuzüglichMWSt.:
Inland: 60,84 €
Ausland: 86,41 €
THEMA DES MONATS
WLAN dringt vor
Antennentechnik in- und outdoor
18
Layout und Titelbild: Marie-Luise Ringma
Druck: Görres-Druckerei,
In WLAN-Projekten spielen Antennen eine maßgebliche Rolle, weil sie die Ausdehnung der Funkzellen erhöhen und eine fehlerfreie Datenübertragung mit maximaler Datenrate sicherstellen.
Mit besonderen Richtfunkantennen können über große
Distanzen auch drahtlose LAN-Verbindungen zwischen
Gebäuden realisiert werden.
Koblenz
Lektorat: Andrea Briel
Anja Dorscheid
HOTLINE
Neue Patches in der Übersicht
Computer Associates: Fehlerbehebung bei ARCserve 9 für NetWare
Tandberg Data: Laufwerke und Cartridges aus einer Hand
Cisco: Tunnel-Konfiguration mit Easy VPN
Citrix: IMA Service und Speicherbelegung
Tobit: Mail Client lernt faxen
Microsoft: Reparaturen und Einstellungen am Internet Explorer
Novell: Reports zur Auswertung und zur Dokumentation
•
•
•
•
•
•
•
•
28
30
31
32
35
37
38
39
PRAXIS
•
•
•
•
OrangeBox Web, Teil 2: Erstellen von Access-Rules
Microsoft Windows Server 2003, Teil 5: Neuerungen bei den Cluster-Technologien
Nortel Networks, Teil 6: Security Features bei den Passport 8000ern
Über VoIP gesprochen, Teil 6: Secure Telephony in Digital Network Architecture
41
44
46
48
Reproduktionen aller Art (Fotokopien, Mikrofilm,
Erfassung durch Schrifterkennungsprogramme)
- auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers.
Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das
Internet. Wenn Sie speziell über Ihre Erfahrungen
referieren möchten, bieten wir Ihnen dies unter der
Rubrik “Hotline” an.
www.technik-news.de
Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und
Tips nicht garantieren und übernimmt keinerlei
Haftung für eventuell entstehende Schäden.
SOLUTIONS
• Training, Support und Projekte
15,34,49
VORSCHAU
• Messen, Roadshows, Termine
Die Liste aktueller
Updates zu Novell, Microsoft,
Computer Associates,
Bintec und Veritas
finden Sie auf Seite 28
50
09
Ausgabe 09/2003
2
a
AKTUELL
COMPU-SHACK
“Einfach machen” begeistert
Wireless Networking und eTools im September on Tour
Von Heinz Bück
Im Sommer veranstalteten CS Production und Compu-Shack Distribution ihre gemeinsame Workshop-Tour 2003.
Unter dem Motto “Wireless Networking - Ganz Einfach” waren alle Fachhändler eingeladen, die sich über aktuelle
WLAN-Lösungen wie auch über die neuen Geschäftsmöglichkeiten mit den cs:etools informieren wollten. Als sich
mehr als 450 Teilnehmerinnen und Teilnehmer meldeten, wurde die Wireless Tour spontan auf 13 Tage verlängert.
Aufgrund dieses riesigen Interesses wird sie im September mit zusätzlichen Terminen “ganz einfach” fortgesetzt.
Den eigenen Laptop mitzubringen
reicht, denn eine WLAN-Karte bekommen die teilnehmenden Fachhandelspartner geschenkt. Und daß es mit
der Installation so schnell geht wie
im High-Speed WLAN, zeigt Ihnen
Jörg Rech ganz praktisch nach dem
Motto “einfach machen!”. Sie erfahren, wie leicht die sichere Datenübertragung mit der VPN-Lösung Tuxgate
zu realisieren ist, wie flott man den
eigenen Profi-Online-Shop eingerichtet hat, und wie einfachcs:publish24 Ihnen ein professionelles
Händlermarketing macht.
WLAN bis 54 MBit
Jörg Rech, Senior Consultant der CS
Production, liefert den Zuhörern detaillierte Informationen zur Umsetzung von WLANs und zeigt zukunftssichere Lösungen für die drahtlose
Datenübertragung nach neuesten
WLAN-Standards auf. Der Fachautor
stellt u.a. die 54MBit-Kontrahenten
im 2,4- und 5GHz-Band in einem technischen Vergleich gegenüber. Er liefert wissenswerte Details für die Praxis und Projekte, in einem Vortrag, der
bereits die Teilnehmer der ersten
Veranstaltungsreihe durchweg begeisterte. So schrieb uns Dr.-Ing. Frank
U. Simon von der pdv-systeme Sachsen, der kurzfristig als Ersatzmann für
einen Kollegen eingesprungen war.
“Ich war auf eine etwas langatmige
Marketing-Veranstaltung eingestellt,
mit extensiver Werbung für GoldlineProdukte. Um so mehr war ich über-
rascht, auf welch hohem technischen
Niveau der Vortrag zu WLAN angesiedelt war. Herr Rech hat den mit
Abstand interessantesten und fundiertesten Vortrag gehalten, den ich
je zu diesem Thema gehört habe - und
das waren in den letzten drei Jahren
nicht wenige! Die Ausführungen waren sowohl für Planer als auch für
Realisierer von WLAN-Projekten und wir sind beides - außerordentlich
hilfreich und praktikabel.”
Auf zum Online-Shop!
Ausführlich geht Jörg Rech auf die
Sicherheitsaspekte und die Umsetzung von Hot Spots ein und demonstriert dann die praktische Inbetriebnahme eines WLANs. Dabei können
die Teilnehmer auf ihren mitgebrachten Notebooks selber einen
WAVEline-Adapter schnell und einfach installieren. Und auch beim zweiten Thema eCommerce haben sie die
Gelegenheit, aktiv teilzunehmen und
ihren persönlichen Online-Shop
selbst einzurichten. Roland Schramm
zeigt, wie einfach es mit cs:etools ist,
sich mit dem eigenen Shop im Internet
zu präsentieren, und welch vielseitige Vorteile sich für Fachhändler aus
der Nutzung der cs:mall24 ergeben.
Ebenso werden die Möglichkeiten
von cs:publish24 live demonstriert,
dem digitalen Werkzeug werblicher
Publikationen. Gerade die eTools eröffnen den Fachhandelspartnern neue
Vertriebswege und handfeste Vorteile im Wettbewerb. Beim gemeinsamen
09
Ausgabe 09/2003
3
Abendessen besteht Gelegenheit zum
persönlichen Gespräch mit den Referenten, um individuelle Fragen zu
klären.
Hochzufrieden
Die Teilnehmer der ersten WorkshopTour jedenfalls bestätigten uni sono
den hohen Informationsgehalt der
Veranstaltung, die mit ihrer besonderen Themenwahl eine Brücke zwischen technischen und vertrieblichen
Interessen schlägt. Denn sie liefert
wertvolle Informationen für die geschäftliche Praxis. “Auch die MallEinführung war sehr anregend,” so Dr.
Simon weiter, “wir werden nunmehr
doch über eine Nutzung nachdenken.
Insgesamt war die Veranstaltung sehr
effizient aufgesetzt. Vielen Dank von
mir an alle inhaltlich und organisatorisch Beteiligten. Ich wünsche mir
weitere Veranstaltungen auf so hohem
Niveau.”
Fortsetzung folgt
Die erfolgreiche Workshop Tour
2003 wird denn auch im September
fortgeführt. Die Veranstaltung ist kostenfrei und beginnt jeweils um 14:30
Uhr in:
Münster, 15.09
Düsseldorf, 16.09
Heidelberg, 17.09
Frankfurt, 22.09
Köln, 23. und 24.09
Online-Anmeldung unter:
www.cs-production.com.
AKTUELL
D
n
NEWS
ALLIED TELESYN
Un-Gebunden
All-In-One: ADSL-Wireless-Router AT-AIO11
Der neue All-In-One ADSL Wireless Router AT-AI011 von Allied Telesyn ist ein Multifunktionsgerät, das ADSLModem, Firewall, Router, Switch und WLAN Access Point in einem kompakten Gerät vereint. Es ermöglicht schnelle
Downloads, Video-on-Demand und Video Streaming sowie moderne Kommunikation via VoIP.
D
Der AT-AIO11 gibt dem
Nutzer die Freiheit eines
Wireless-Zugangs und bietet gleichzeitig alle Vorteile von High Speed ADSL.
Der integrierte LAN Switch
erreicht Duchsatzraten von
bis zu 200 Mbps im VollDuplex-Mode. Dies erlaubt
einen superschnellen
Filetransfer und bietet somit beste Voraussetzungen
für Downloads aller Art,
von MP3-Dateien, Videos oder umfangreichen Grafiken. Bei soviel UnGebundenheit bietet die integrierte,
professionelle Firewall dabei auch
Schutz bei der kabellosen Datenübertragung.
NEWS
Five-in-One
Der All-in-One oder genauer noch der
”Five-in-One”ADSL Wireless Router
ist ein wahrer Alleskönner. In einem
Gerät bietet er direkten Zugang zum
High Speed-Internet über das integrierte ADSL-Modem. Er fungiert als
WLAN Access Point und dient in kleinen Netzwerken als IP-Router mit integriertem Switch für vier 10/100TX
Auto-sensing Ports. Zudem sorgt die
Statefull Inspection Firewall für professionellen Schutz gegen unbefugten Datenzugriff.
Als perfekte Lösung für bandbreitenhungrige Endanwender unterstützt
das Multifunktionsgerät datenintensive Office-Applikationen und
umfangreiche Downloads aus dem
Web. Es öffnet den Weg für moderne
Anwendungen wie Video-on-Demand
und Video Streaming oder Telefonie
via VoIP.
Einfachstes Setup
Die Installation des Wireless Router
erfolgt problemlos über ein einfaches
Setup und ist innerhalb von Minuten
durchgeführt. Die Web-basierende
Installation ist kinderleicht und im
Handumdrehen abgeschlossen. Alle
benötigten Kabel sind im Lieferumfang inbegriffen. Zudem werden alle
führenden Betriebssysteme unterstützt, Windows 95, 98, ME, 2000
und NT ebenso wie UNIX und MAC.
Auch das Software Update des ATAIO11 erfolgt absolut einfach und
schnell durch das Laden einer neuen
Firmware in den Flash-Speicher des
Gerätes. Dabei wird eine Windowsbasierende TFTP-Applikation genutzt, Weiterentwicklungen und Neuheiten sind innerhalb von Sekunden
verfügbar.
Erste Wahl für ISPs
Nicht allein deswegen empfiehlt sich
der AT-AIO11 auch für Service
Provider. Durch den Einsatz von
standardbasierter DTM-Technologie
ermöglicht er AT-AIO11 Datentransferraten von bis zu 8 Mbps Downstream und 1 Mbps Upstream. Alter-
nativ wird G.Lite für jene Anwendungen unterstützt, bei
denen Kostenmi-nimierung
und simpelste Installation
benötigt wird. Enge Partnerschaften mit DSLAM-Herstellern garantieren Service
Providern absolute Interoperabilität. PPPoE- und
PPPoA-Unterstützung bietet
Kompatibilität mit bestehenden ISP Dial-up Systemen. Bridged Ethernet und
IP over ATM komplettieren die verfügbaren Optionen flexibler und robuster Netzwerkanbindungen.
Flexibel im LAN
Ein integrierter DHCP-Server übernimmt die automatische Zuweisung
von IP-Adressen, wobei sowohl statische als auch dynamische Adressenzuweisung durch den Internet Service
Provider unterstützt werden kann. Bis
zu 253 Nutzer können einen LANZugang und eine gemeinsame IPAdresse teilen. Der AT-AIO11 Router
ermöglicht all diesen Anwendern im
Netzwerk einen gleichzeitigen Internet-Zugang durch die Nutzung eines
einzigen ISP Accounts. Intelligente
Einsatzmöglichkeiten bietet der ATAIO11 auch im äußerst geräuscharmen Betrieb bei ADSL. Die Datenraten werden im Upstream und Downstream durch das integrierte ADSLModem dynamisch angepaßt. Dadurch wird die Serviceverfügbarkeit
maximiert. Bei jeder Session wird die
Geschwindigkeit der ADSL-Verbindung neu konfiguriert, um stets einen
maximalen Datendurchsatz zu erzielen.
09
Ausgabe 09/2003
4
CS PRODUCTION
CS-PRODUCTION
GIGAline Xologic 2600M
IndoorRichtfunk
Layer-2 Switching mit „Higher Technology“
Die CS Production stattet ihre GOLDline Switches mit zusätzlichen Technologien und neuen Features aus. ”Xologic” steht für eine preiswerte Reihe
von ”Higher Technology” Switches. Die Geräte der GIGAline Xologic adressieren einen Technologiesprung im oberen Mittelfeld der Access- und
Enterprise-Produkte .
D
Der GIGAline Xologic 2600M kombiniert hochklassiges Layer-2 Switching mit intelligenten ”Xologic”Fähigkeiten wie 8-fach Stacking über
Standardports mit einer IP-Adresse,
DHCP-Server, Clustering mit SelfHealing, Bandbreitenmanagement
mit Quality-of-Service und 802.1x
Sicherheit. Schon in Sachen Performance setzt der GIGAline Xologic
2600M - dank seiner 32Gbit/s
Backplane - völlig neue Maßstäbe im
KMU-Bereich.
VLAN-Gruppen sowie 4094
protokollbasierende VLAN-Gruppen
nach 802.1v unterstützt, und um bei
komplexeren Netzen die VLANAdministrierung zu erleichtern werden auch dynamische VLANs über
GVRP ermöglicht. Weiterhin bietet
der GIGAline Xologic 2600M die
Möglichkeit, bis zu 7 Trunking-Gruppen mit bis zu 4 Ports zu bilden. Die
flexible Lastaufteilung und die FailOver-Funktion sorgen zudem für eine
optimierte Bandbreitenaufteilung.
Wire-Speed
Sicherheitsfeatures
Die 6,6Mpps Forwarding-Rate versorgt den 24-Port 10/100Mbit Switch
und die beiden modularen GigabitUplinks (GBIC/Modul) in jeder Situation mit Wire-Speed, unabhängig
von der Paketgröße. Er sorgt somit
für die notwendige Stabilität bei zeitkritischen Anwendungen wie VideoStreaming oder Voice-over-IP. Hinzu
kommt, daß sich die Ausgangsports
mit einer 2-Level Queue belegen lassen, um herkömmlichen Traffic von
den zeitkritischen Anwendungen zu
trennen. Dabei werden Queuing-Mechanismen wie FCFS, High Priority
First und Weighted Round Robin
unterstützt. Das Bandbreitenmanagement ist in 1Mbit-Schritten skalierbar.
Um eine sichere Kommunikation in
einer Layer-2-Umgebung zu garantieren, unterstützt der GIGAline Xologic
2600M eine 802.1x Port-basierende
Authentifizierung. Damit lassen sich
einzelne Ports wirkungsvoll vor unauthorisiertem Zugriff schützen, da
sich jeder einzelne Benutzer über einen angeschlossenen RADIUS-Server authentifizieren muß, um Zugang
zum Netzwerk zu erhalten. Weitere
Sicherheitsfeatures wie Packet-Filtering, MAC-Adressen Limitierung und
Access Host, runden das Sicherheitskonzept des GIGAline Xologic
2600M ab.
VLAN-Unterstützung
Trunking und VLAN werden ebenfalls
vom GIGAline Xologic 2600M bereitgestellt. Neben dem portbasierendem VLAN werden 4094 Tagged-
Management
Die vielfältigen Möglichkeiten, die
der GIGAline Xologic 2600M bietet,
lassen sich leicht über das geschützte Web-Management oder Telnet mit
dem Command Line Interface konfigurieren. GIGAline Xologic 2600M
ist im September in den Fachhandel.
09
Ausgabe 09/2003
5
WAVEline
Panel-Antenne 11-80
Die CS-Production baut ihr WLANAntennen-Programm konsequent aus.
Die neue WAVEline Panel-Antenne
11-80 bietet eine exzellente Möglichkeit, zwei gegenüberliegende Gebäude über eine Richtfunkstrecke miteinander zu verbinden.
A
Als neue High-End-Richtfunkantenne ist die WAVEline Panel 1180 für die Wand- oder Fenstermontage im Indoor-Bereich vorgesehen. Hierbei wird der Installationsaufwand auf ein Minimum beschränkt, denn sie ist besonders
schnell an der Innenseite eines Fenster angebracht und kann durch ihre
Saugfüße ebenso einfach wieder entfernt werden. Die WAVEline Panel 1180 verfügt über einen Öffnungswinkel von 80° und liefert einen Antennengewinn von 11,5 dBi, wodurch sich eine Reichweite von bis
zu 1.000 m im ETSI-konformen Bereich ergibt. Sie wird mit einem kompletten Kabelsatz ausgeliefert, 9m
ULA168 SMA auf R-SMA sind im
Lierumfang enthalten. Die Antenne
ist mit einem SMA-Stecker ausgestattet und läßt sich mit der WAVEline
Interbuilding-, der Building-to-Building-Bridge und dem Access Point
54MBit verbinden, unter Verwendung der WAVEline Jumper-Cable
auch mit jeder anderen WAVElineKomponente.
n
NEWS
LANCOM SYSTEMS
54 MBit/s
Funknetzwerkadapter
Bis 108 MBit/s mit LANCOM Access Points
LANCOM Systems stellt neue Dual-Band-Funknetzwerkadapter entsprechend der 54-MBit-Standards IEEE 802.11a
und g vor. In Verbindung mit den LANCOM Systems Basisstationen der LANCOM 3x50 und L-54 Wireless Serien
werden mit den neuen Adaptern Übertragungsraten zu 108 MBit/s im Turbo-Modus erreicht.
L
LANCOM Systems ist einer der ersten europäische Hersteller, dessen
Access-Points die von der Regulierungsbehörde RegTP vorgegebenen
Bestimmungen erfüllen und den Turbo-Modus von 108 MBit/s ermöglichen. In Verbindung mit den Wireless
Basisstationen der LANCOM 3x50
und L-54 Wireless Serie können die
PCs auf ein bestehendes kabelgebundenes Ethernet und über die DSLRouting-Funktion auch auf das
Internet zugreifen.
High Speed Adapter
Für stationäre Desktop PCs bietet
LANCOM Systems mit derAirLancer
PCI-54ag eine PCI- Steckkarte für
802.11a und g.
Zum Lieferumfang der Produkte gehören Treiber für Windows 98 SE,
ME, 2000 und XP, umfangreiche Dokumentation sowie Managementund Diagnose-Software. Eine externe Antenne ist für die AirLancer PCI54ag verfügbar. Alle Funknetzwerkadapter bieten umfangreiche
Sicherheitsmerkmale. Mit WEP128
oder WEP152 wird die Verbindung
verschlüsselt. Zusätzlich sorgen die
Sicherheitsfeatures der LANCOM
Wireless Basisstationen mit IPSec
over WLAN, 802.1x/EAP, RADIUS
und ACL für die optimale Sicherung
der Daten. Die LANCOM 3x50
Wireless Access Point Serie kann mit
einer AirLancer MC-54g oder
AirLancer MC-54ag aufgerüstet werden, so daß diese zwei getrennte Funkzellen im 2,4GHz Band und/oder
5GHz Band gleichzeitig verwalten
können.
NEWS
High Speed Standards
Die PC-Card AirLancer MC-54ag beherrscht die beiden High Speed Standards a und g. Sie bedient IEEE
802.11a im 5 GHz Band mit 54 bzw.
108 MBit/s und 802.11g mit 54
MBit/s im 2,4 GHz Band. Der Dualband-Adapter ist kompatibel zum
weit verbreiteten IEEE-Standard
802.11b mit 11 MBit/s Datenübertragungsrate und damit für Notebook-Anwender geeignet, die ein
Höchstmaß an Flexibilität benötigen.
Die Umschaltung zwischen den Funkstandards erfolgt auf Wunsch automatisch und stellt damit jederzeit die
schnellstmögliche Verbindung zur
Verfügung. So kann beispielsweise
die Verbindung zum Firmennetzwerk
mit bis zu 108 MBit/s erfolgen, während auf Reisen die Kompatibilität zu
Public-Hot-Spots bei Übertragungsraten bis 11 MBit/s gewahrt bleibt.
Die Funknetzwerkkarte ist seit Mitte
August verfügbar, ebenso die AirLancer MC-54g für das 2,4 GHz Band.
ALLIED TELESYN
Mit CWDM auf Glasfaser
AT-WD1008 bietet Gigabit Multiplexing im MAN
Allied Telesyn hat ihr erstes Produkt für Coarse-Wavelength-DivisionMultiplexing (CWDM) vorgestellt. Der AT-WD1008 bietet 8 Kanal Gigabit
Multiplexing für bis zu 100 km Entfernung. Bevorzugte Einsatzorte sind
Metropolitan Area Networks und große Campus-Lösungen, wo maximale
Übertragungskapazität auf vorhandener Glasfaser zu einem hervorragenden Preis-/Leistungsverhältnis gefragt ist.
D
Der neue AT-WD1008
von Allied Telesyn kann
bis zu vier Gigabit-Kanäle in zwei Richtungen
über Single-Mode Glasfaser oder acht DuplexKanäle über ein SingleMode Glasfaserpaar un-
09
Ausgabe 09/2003
6
terstützen. Dabei werden mit der
CWDM Technolo gie Über tragungsdistanzen von bis zu 100 km
ermöglicht.
Das Produkt wurde speziell für den
Einsatz in Metropolitan Ar ea
Networks (MAN) entwickelt, die
”Triple Play” Applikationen unterstützen. Damit sind Hochgeschwindigkeits-Internet sowie die Übertragung von Sprache und Bild über eine
einzige Verbindung für den Heimbereich gemeint.
CWDM-Technologie
Der Einsatz der CWDM-Technologie
in Enterprise-Umgebungen und
MANs ist die ideale Lösung, um über
Glasfaser die Netzwerk-Kapazitäten
voll auszuschöpfen und die momentanen Netzwerk-Topologien zu erweitern. Allied Telesyn konnte mit ihrer
Weiterentwicklungen die WDMTechnologie vereinfachen, gleichzeitig deren Kosten reduzieren und
wichtige Funktionen für BackboneVerbindungen im MAN ergänzen.
Bei demVerfahren wird eine bestimmte Anzahl von Kanälen mit verschiedenen Wellenlängen (Farben) auf einer Monomode-Glasfaser übertragen,
wobei im Gegensatz zu Dense WDM
(DWDM) die Distanz der Wellenlängen zueinander größer ist und somit
keine kostenintensive temperaturgeregelte Laser-Technologie zum
Einsatz kommen muß.
CWDM-Lösungen sind überall dort
empfehlenswerte Alternativen, wo
Glasfaser-Carrier auf Grund der notwendigen hohen PMD (Polarisation
Mode Dispersion) oder aus Kostengründen keine 10Gigabit/STM-64
Verbindungen unterstützen können.
Die CW DM-Lösung bietet vergleichbare Bandbreiten und gleichzeitig die Flexibilität, mit einer oder
mehrerer Mo-nomode-Fasern eine frei
skalierbare Lösung zu gestalten. Allied Telesyn kann nun mit ihrer
CWDM-Komponente einen weiteren
wichtigen Baustein für eine komplette End-to-End-Lösung anbieten, in
der gewohnten hohen Qualität und
darüber hinaus zu einem einem herausragenden Preis-/Leistungsverhältnis
AVAYA
Wireless Technik
Neue Funktionen - neue Standards
Avaya Wireless Produkte sind bekannt durch ihre umfangreichen Funktionen
und Leistungsstärke. Sie finden in unterschiedlichsten Anwendungen und
Einsatzszenarien Verwendung und entwickeln sich durch die Implementierung moderner Wireless-Technologien zu Multifunktionssystemen.
B
Bei der Entwicklung des
Wireless Produktportfolios
von Avaya wurde besonderes Augenmerk auf die Vorbereitung der Systeme für
zukünftige Standards gelegt.
So ist beispielsweise der
Access-Point-3 (AP-3) von
Avaya bereits bestens vorbereitet. Durch die Wahl der
jeweiligen Wireless-Karten
kann der Avaya AP-3 mit einem 802.11a- und 11g-Upgrade-Kit alle drei relevanten WLAN-Standards bedienen: 802.11a, b und g. Durch einfache Software-Upgrades stehen den
Anwendern stetig Produkterweiterungen zur Verfügung. So wird zum
Beispiel neben der Unterstützung der
neuen 802.11g UpgradeKits auch den
gestiegenen Sicherheitsbedürfnissen
im WLAN Rechnung getragen.
WLAN Security
Der Avaya AP-3 unterstützt, sofern die
802.1x Authentifizierung aktiviert ist,
die dynamische Verschlüsselung für
alle 802.11g Clients, auf Basis von
”per-User-per-Sessions” mit Schlüsseln, die einzeln generiert werden.
Ebenso wird das Feature Closed System für die 11a- und 11g-Umgebungen unterstützt.
Hierbei wird der Client gezwungen,
einen gültigen Netzwerknamen
(SSID) zu verwenden, wobei die fortwährende Suche eines Clients nach
einem gültigen SSID verhindert wird,
da der Avaya Access Point diesen
nicht, wie sonst üblich, als Broadcast
sendet.
09
Ausgabe 09/2003
7
AP Reihe 3 bis 6
Neben dem 802.11g Upgrade Kits für
den Avaya AP-3 ist auch ein entsprechendes Upgrade-Kit für den Avaya
Single Slot Access-Point-4 (AP-4) von
11b auf 11g eingeführt worden. Somit erhält der Nutzer die Möglichkeit,
vom bisherigen Standard 802.11b
durch Austausch der Mini-PCI Karte
auf höhere Übertragungsgeschwindigkeiten zu migrieren, ohne dabei
die gesamte Hardware austauschen zu
müssen. Im gleichen Zug wurde nun
der Avaya Access Point-6 (AP-6) vorgestellt, der als Single-Slot Access
Point die Reihe der WLAN-Standards
schließt: 11b (AP-4), 11a (AP-5) und
11g (AP-6). Durch den aktuellen
Softwarestand für diese Access-Point
Reihe besitzen alle Systeme die gleichen Funktionen, wie es für die entsprechenden Standards beimAP-3 der
Fall ist. Beide Reihen, der Avaya Dual
Slot Access Point wie auch die Single Slot APs lassen sich via Web
Based Management, CLI Interface als
auch via SNMP konfigurieren und
betreiben.
n
NEWS
COMPUTER ASSOCIATES
COMPUTER ASSOCIATES
Flutbrecher
Sonar
eTrust Security Command Center
Management des OnDemand Computing
Mit eTrust Security Command Center von Computer Associates können komplexe Sicherheitsabläufe in Unternehmen proaktiv verwaltet werden und damit Sicherheitsrisiken minimiert werden. Die offene, skalierbare Lösung bricht
die Informationsflut und reduziert Geschäftsrisiken.
Unter dem Codenamen ”Sonar”
stellt Computer Associates eine neue
Technologie für die Analyse und Verwaltung von Geschäftsprozessen vor.
CA bringt vier neue Managementlösungen auf den Markt: zwei Unicenter-Produkte sowie eine neue
eTrust- und eine BrightStor-Lösung.
M
e
eTrust Security Command Center
vereint das gesamte Sicherheitsmanagement eines Unternehmens in
einem zentralen Punkt und erlaubt die
Zusammenführung, Korrelierung
und Priorisierung unterschiedlicher
Sicherheitsdaten auf einer Web-basierten Oberfläche. Damit können
Unternehmen ihre Informationsinfrastrukturen effektiv und effizient
schützen. Administratoren sehen sich
inzwischen einer tagtäglichen Flut
von Warnungen und Störungsmeldungen ausgesetzt. Bereits ein
einzelnes Sicherheitsereignis kann
Tausende von Meldungen verursachen. Diese Datenflut macht es fast
unmöglich, Ereignisse zu priorisieren
und damit Dringlichkeitsstufen für
einzelne Aufgaben festzulegen.
NEWS
Prioritäten setzen
Das eTrust Security Command Center erfaßt und integriert solche
Sicherheitsdaten, sowohl von CAs eigenen eTrust-Lösungen als auch von
denen anderer Anbieter. Dazu gehören zum Beispiel Lösungen von
Check Point, Cisco, IBM, McAfee
und Microsoft, von Nortel, Symantec
und Trend Micro. Alls diese Daten
werden zur Umsetzung eines effizienten Sicherheitsmanagements aus
einer geschäftlichen Perspektive aufbereitet. Dazu werden die kritischen
Ereignisse priorisiert und einheitliche
Richtlinien system-, plattform- und
standortübergreifend umgesetzt.
Dringlichkeit bewerten
Damit Unternehmen sicherheitskritische Ereignisse sofort identifizieren und zielgerichtet darauf reagieren können, bietet ein integriertes
Sicherheitsmanagement mit eTrust
Security Command Center entscheidende Vorteile. Es verbessert nicht nur
das Erkennen von Schwachstellen
aus der Flut der Daten, sondern erhöht auch die Effizienz geeigneter
Maßnahmen durch eine konsequente Umsetzung unternehmensweiter
Sicherheitsrichtlinien. Die Nutzung
und Integration von Sicherheitsdaten
in heterogenen Netzwerken wird vereinfacht. Im Einsatz mit Unicenter
von CA ermöglicht es eTrust Security
Command Center, sicherheitskritische Abläufe in Echtzeit zu überwachen.
Mit ihrer Sonar-Technologie und
neuen Managementlösungen stellt
CA die erste umfassende Management-Infrastruktur beim On-Demand
Computing bereit. Damit bietet das
Softwareunternehmen als erster eine
umfassende, integrierte Managementstrategie an, die auch den komplexen
Anforderungen an Unternehmenssysteme und -sicherheit sowie
Speicherressourcen gerecht wird.
Unternehmen erhalten nun flexiblere Infrastrukturen, können völlig neue
Service Levels anbieten und ziehen
so den maximalen Nutzen aus ihren
IT-Ressourcen.
Agentenlos
Sonar ermöglicht einen vollständigen Einblick in On-Demand-Infrastrukturen und ihre Wirkung auf
Unternehmensabläufe. Die SonarTechnologie basiert auf ”agentenloser” Logik, die bisher ige ITÜberwachungstechniken übertrifft.
Sie korreliert Geschäftsprozesse mit
den entsprechenden IT-Komponenten und gleicht dabei Investitionen
in die IT-Infrastruktur mit den geschäftlichen Prioritäten ab. Die neue
CA-Technologie führt Ursachen-Analysen durch, die den wirtschaftlichen
Schaden von Infrastruktur-Ausfällen
bewerten und kritische Sicherheitsfragen sowie deren Ursachen lokalisieren. Sonar beobachtet und analysiert den Datenverkehr im Unter-
09
Ausgabe 09/2003
8
nehmensnetz und erfaßt mehr als
1.700 Protokolle und Datenquellen.
Die Software stellt die IT-Struktur
grafisch dar und aktualisiert die Abbildungen, sobald sich die Ressourcen-Zuteilung ändert. Mit Hilfe der
modernen Analysemethode erkennt
Sonar auch automatisch unzulässigen
Netzwerkverkehr und unsachgemäßen Gebrauch.
Sonar-Technologie
CA wird Sonar in alle Lösungen ihrer
Managing On-Demand ComputingFamilie integrieren und bietet vier
neue Lösungen für das Managing OnDemand Computing. Der BrightStor
Process Automation Manager automatisiert die Zuteilung und Bereitstellung von Speicherressourcen entsprechend den geschäftlichen Anforderungen über verschiedene Plattformen hinweg. Darüber hinaus bietet
er Anleitungen für Best Practices in
der Speicherbereitstellung, richtlinienbasierte Datensicherung und wiederherstellung, wie auch Tools für
die Dokumentation und Automatisierung kundenspezifischer Richtlinien
und Prozesse.
Der eTrust Vulnerability Manager ist
eine Lösung für die Lokalisierung
von System-Schwachstellen. Sie überwacht das Netzwerk und erkennt automatisch Schwachstellen, welche
die Sicherheit der IT-Umgebung bedrohen.
On-Demand Computing
Die Unicenter NSM Option for
VMware Software überwacht virtuelle Rechnerumgebungen auf Intel-basierten Linux- und Windows-Plattformen. Die Lösung ermittelt, ob zusätzliche Ressourcen benötigt werden,
um vereinbarte Service Levels zu erfüllen. Unicenter NSM Dynamic
Reconfiguration Option ist ein Modul für die Verwaltung und dynamische Bereitstellung von virtuellen
Maschinen von VMware. CA und
VMware werden ihre Lösungen erweitern und integrieren, um die Zuweisung von Ressourcen entsprechend den Geschäftsanforderungen
zu automatisieren.
COMPUTER ASSOCIATES
Entdecker
eTrust Vulnerability Manager
Eine neue Lösung von Computer Associates automatisiert und beschleunigt
die Entdeckung von Sicherheitslücken. Der eTrust Vulnerability Manager
ermöglicht Unternehmen die Evaluierung von Schwachstellen. Er arbeitet
mit einer laufend aktualisierten Wissensdatenbank, die zur Zeit Informationen über mehr als 6.000 Sicherheitslücken beinhaltet.
C
CA bringt mit eTrust
Vulnerability Manager
eine neue Lösung für
das Sicherheitsmanagement auf den
Markt. Das Produkt erkennt automatisch,
welche IT-Komponenten im Unternehmen
Schwachstellen aufweisen, die die Sicherheit der IT-Umgebung
bedrohen. Der ”Entdecker” analysiert
in Echtzeit die IT-Systeme und stellt
seine Bestandsaufnahmen einer stets
aktuellen Liste bekannter Schwachstellen gegenüber. Durch die Straffung und Priorisierung der Aufgaben,
die für das Risikomanagement und
den Schutz der Infrastruktur entscheidend sind, reduziert der eTrust
Vulnerability Manager die Kosten für
die Identifizierung und Beseitigung
von Sicherheitslücken. Durch die Integration mit dem eTrust Security
Command Center erhalten Kunden
eine umfassende und effiziente Lösung für das Sicherheitsmanagement
im Unternehmen. CA zufolge werden
bis ins Jahr 2008 etwa 90 Prozent aller erfolgreichen Hackerangriffe über
bekannte Software-Schwachstellen
erfolgen.
Schwachstelle finden
eTrust Vulnerability Manager arbeitet mit einer laufend aktualisierten
Wissensdatenbank, die zur Zeit Informationen über mehr als 6.000
Sicherheitslücken beinhaltet. IT-Infrastrukturen lassen sich dadurch ef-
09
Ausgabe 09/2003
9
fektiv auch auf erst vor
kurzem
entdeckte
Schwachstellen hin überwachen. Die CA-Lösung
sorgt außerdem dafür,
daß durch die jeweils aktuellen Sicherheits-Patches Konfigurationsstandards beibehalten
werden können. eTrust
Vulnerability Manager
stärkt vorhandene Sicherheitsimplementierungen und verfolgt
einen von innen nach außen gerichteten Ansatz für die Lokalisierung
von Schwachstellen. Dadurch lassen
sich Betriebssysteme, Applikationen
und Datenbanken bis auf die Ebene
individueller Patches genau identifizieren.
Lücken schließen
Durch die Korrelation von IT-Komponenten und Schwachstellen wird
eine nach Prioritäten sortierte Aufgabenliste inklusive einer schrittweisen Anleitung zur Beseitigung dieser
Sicherheitslücken erstellt. Die Komplexität der Analyse und die Kosten
zur Beseitigung von Schwachstellen
sinken. CA wird eTrust Vulnerability
Manager mit Unicenter Asset Management und Unicenter Software Delivery integrieren. Kunden erhalten so
einen einheitlichen, unternehmensweiten Ansatz für die Identifikation
von Schwachstellen sowie für die
Automatisierung von entsprechenden Gegenmaßnahmen beiAngriffen.
eTrust Vulnerability Manager unterstützt UNIX, Linux und Windows.
n
NEWS
AVAYA
Security Gateways
Sicherheit in konvergenter Kommunikation
Neue Sicherheits-Gateways von Avaya erfüllen die hohen Anforderungen von IT-Verantwortlichen und optimieren
IP-Telefonie-Anwendungen in Unternehmen mit verteilten Standorten. Die Gateways sind Teil des Avaya Trusted
Communications Frameworks, eines Multi-Vendor-Ansatzes für Sicherheit und Geschäftskontinuität, der insbesondere das Risiko einer mobilen Kommunikation reduzieren soll.
A
Avaya stellt fünf neue Gateways vor, die eine sichere IPKommunikation gewährleisten und die Implementierung
von IP-Telefonie-Anwendungen in konvergenten Netzen
vereinfachen. Von den neuen
Avaya Sicherheits-Gateways
profitieren insbesondere
Zweigstellen und Filialen von Unternehmen sowie Contact Center und
Teleworker. Die neuen SicherheitsGateways sind mit VPN-Funktionalitäten und einer Secure Perimeter Firewall ausgestattet, die vor
Denial-of-Service- (DoS) Angriffen
schützt. Aufgrund der Integration kritischer Sicherheitstools und der VPNFunktionen ist es möglich, eigene IPAnwendungen sicher mit den Umgebungen Dritter zu teilen, auch mit Unterstützung von IP-Telefonie.
NEWS
Effizient
Dieser Ansatz bietet eine höhere Effizienz der Kommunikation mit verteilten Standorten. Dazu gehören eine
24/7 Erreichbarkeit auch in Zweigstellen und die Erhöhung der Produktivität von Contact Center Agenten.
Telearbeiter wiederum erhalten mit
den neuen Systemen von jedem beliebigen Standort aus eine Qualität
der Kommunikationsanwendungen
wie in der Zentrale. Zum Beispiel liefern sie Mitarbeitern, die von zuhause
aus arbeiten, eine preisgünstige Always-on-Verbindung zu ihrem VPN,
das sicheren Zugang zu produktiven
Kommunikationsmöglichkeiten bietet, wie Telefonkonferenz mit sechs
Teilnehmern und Zugang zu den
forderungen von Teleworkern, mobilen Anwendern
und Home Offices.
Sicher
Unternehmensverzeichnissen. Für
mobile Mitarbeiter bieten die
Gateways verschlüsselte Sprach- und
Datenübertragung über IP mittels
mobiler Geräte oder Laptops und ermöglichen so auch eine sichere Übertragung von sensiblen Informationen
über eine drahtlose Internet-Verbindung.
Vielseitig
Die Gateways sind Teil eines MultiVendor-Ansatzes für Sicherheit und
Geschäftskontinuität, der innerhalb
des Avaya Trusted Communications
Frameworks Risiken der mobilen
Kommunikation begegnen will, um
Schwachstellen zu erkennen und Systeme wie Anwendungen sicher in
Multi-Vendor-Umgebungen zu verwalten. Avayas Sicherheits-Gateways
entsprechen dabei den Anforderungen für verteilte Standorte jeder Größe. Die Avaya SG203 und SG208
Gateways wurden für die Zentralen
von mittleren und großen Unternehmen entwickelt, die weltweit Standorte betreuen. Demgegenüber ist das
Avaya SG200 Gateway speziell für
kleinere und mittlere Unternehmen
konzipiert sowie für verteilte Unternehmens-Standorte. Avaya SG5 und
SG5X schließlich adressieren die An-
Die neuen Avaya SicherheitsGateways lassen sich so konfigurieren, daß sie zentral
verwaltbar sind. Damit können ITVerantwortliche sämtliche VPNs und
Firewalls mit einer einzigen Software-Schnittstelle managen. Für das
Sicherheitsmanagement bedeutet
dies Vereinfachung und Kostenersparnis, da Updates in VPN- und FirewallPolicies über das konvergente Unternehmensnetz schnell an Hunderten
von Gateways durchgeführt werden
können. Falls der zentrale Unternehmensserver ausfällt, kann das
Sicherheits-Gateway in den Filialen
weiterhin die Konfigurationsinformationen an die entsprechenden
IP-Telefone liefern. Der Grund dafür
ist, daß ein Sicherheits-Gateway als
DHCP-Server mit IP-Telefonie-Konfiguration fungieren kann, was die
Geschäftskontinuität in einer verteilten IP-Umgebung verbessert. Sie sind
zudem mit einem Bandbreiten-Manager ausgestattet, der je nach den besonderen Ansprüchen an den Bedarf
von bis zu vier unterschiedlichen
Kommunikationsformen angepaßt
werden kann, für E-Mail, InternetZugänge und für Sprachübertragung.
Ein Gateway kann dabei so konfiguriert werden, daß es automatisch die
IP-Sprachpakete identifiziert und
priorisiert, was die Quality of Service
in Unternehmen mit verteilten Standorten erhöht.
09
Ausgabe 09/2003
10
TOBIT
NOVELL
Abrufbereit
GroupWise auf
Linux portiert
Schneller Web-Zugriff
Tobit Software hat eine Reihe Verbesserungen und Erweiterungen für ihre David-Produktfamilie vorgenommen. Mit dem Service Pack 31-Jul-2003 wird u.a. ein neuer
Internet-Zugriff auf Adressen, Termine und Nachrichten
zur Verfügung gestellt und auch der Abruf von Audiound Videodateien über einen Browser ermöglicht.
Betatest für Server-Komponenten
startet im September
GroupWise wird in Zukunft vollständig auf Linux laufen. Novell kündigte auf der LinuxWorld an, GroupWise
for Linux noch in der ersten Hälfte 2004 auf den Markt
zu bringen. Das neue kommende Produkt enthält einen
linuxfähigen GroupWise Client sowie die notwendigen
Server-Komponenten, die jetzt in den Betatest gehen.
D
Das Service Pack 31-Jul-2003 ermöglicht es, eine bestehende Installation von David XL, David SL, David Home
oder FaxWare 7 auf den aktuellen Entwicklungsstand zu
bringen. Mit dem neuen SP verbessert Tobit nicht nur die
Möglichkeiten für den Web-Access, sondern erhöht auch
die Geschwindigkeit beim Nachrichtenaustausch zwischen Client und Server. Tobit hat eine Reihe von Veränderungen vorgenommen, um noch bessere Stabilität und
mehr Komfort für den Anwender zu bieten. Die unterschiedlichen Möglichkeiten, Nachrichten auszutauschen
und abzurufen, wurden dabei berücksichtigt.
N
Novell GroupWise läuft bereits seit einigen
Jahren plattformübergreifend auf der NetWare
und Windows NT/2000. In Zukunft wird es
auch für Linux ein GroupWise geben, das
damit alle wichtigen Betriebssysteme unterstützt. Schon im April hatte Novell die
anstehende Verfügbarkeit des Java-basierten GroupWise Client for Linux
angekündigt. Nun sind auch die
Serverkomponenten weit gediehen,
um die GroupWise for Linux-Lösung komplett zu machen. Der
plattformübergreifende GroupWise Client ist zur Zeit
schon im Betatest, der für die Server-Komponenten beginnt Ende September. Nachdem Ximian Anfang August
von Novell übernommen wurde, wird GroupWise bald
auch den Ximian Evolution Collaboration Client unterstützen.
InfoCenter Web
Der Web-Client für die Tobit-Produkte, das InfoCenter
Web, erlaubt in Verbindung mit dem Internet Access Modul den Zugriff und die Bearbeitung aller Nachrichtentypen über einen beliebigen Internet Browser. Nach dem
Download und der Installation des neuen Service Packs
können neben Faxen, Sprach-, und SMS-Nachrichten, EMails, Aufgaben und Terminen jetzt auch HTML Mails
über das InfoCenter Web abgerufen werden. Der Web
Client wird damit zur vollständigen Anwenderoberfläche
bei internem oder externem Nachrichtenaustausch. Zusätzlich zu den Erweiterungen des Web-Zugriffs wurde
u.a. auch ein neuer Druckertreiber für Windows 2003 dem
Produkt hinzugefügt. Damit können jetzt Faxe aus verschiedenen Applikationen über die David-Produkte auf
einem Windows 2003 Betriebssystem versenden werden.
Offene Plattformen
Seit Linux den Netzwerkmarkt erobert, können Unternehmenskunden ihre Netzwerk-Plattform viel freier wählen. Innerhalb ihrer Linux-Strategie bietet Novell bewährte
Netzwerkdienste und Unterstützung auch für diese Plattform. GroupWise for Linux stellt Unternehmen, die Linux
einsetzen, die Verläßlichkeit und die umfassende Ausstattung einer bewährten Kommunikations-Plattform zur Verfügung. Denn auch GroupWise for Linux ermöglicht den
Anwendern Zugang zu allen Informationen, die sie brauchen, sei es über den Client oder über Web Browser, via
Desktop und Laptop, Wireless Telefon, PDA und RIMGerät. Zur Zeit nutzen bereits mehr als 34 Millionen Anwenderinnen und Anwender GroupWise. Informationen
über Novells Linux-Angebote finden Sie unter
http://www.novell.com/linux.
Download kostenlos
Das Service Pack 31-Jul-2003 liegt für alle Tobit Kunden
zum kostenlosen Download im Club Tobit Software bereit. Weitere Informationen zu den neuen Funktionalitäten
finden Sie im Club Tobit Software. Das Service Pack kann
ausschließlich für vorhandene Installationen von David
XL, David SL, David Home oder FaxWare 7 verwendet
werden. Ein UpDate von DvISE 6.6 auf die aktuellen
Programmversionen ist mit diesem Service Pack nicht
möglich.
09
Ausgabe 09/2003
11
n
NEWS
APC
FLUKE NETWORKS
Web Build-Out Tool
Wellenreiter
Planungsaufwand minimieren
WaveRunner - Sicherheitsanalyse im WLAN
American Power Conversion hat ein Internet-basiertes Planungs-Tool für
eine effizientere Konzeption der Network Critical Physical Infrastructure
(NCPI) vorgestellt. Es reduziert die Komplexität und Risiken bei der Konzeption von physikalischen Stromversorgungsinfrastrukturen für netzwerk-kritische Systemanwendungen.
D
Das neue InfraStruXure Web BuildOut von APC unterstützt IT-Manager
und APC Partner bei der spezifischen
Konfiguration der modularen und
skalierbaren Stromschutzarchitektur
InfraStruXure. Diese modular aufgebaute Lösung berücksichtigt neben
den grundlegenden Stromschutzaspekten auch Rack-, Kühlungs- und
Stromversorgungs-Komponenten sowie Datenmanagement und ergänzende Services. Auf diese Weise entsteht eine durchgängig monitorfähige
Stromversorgungsinfrastruktur vom
Netz bis zum Verbraucher. Netzwerkkritische, physikalische Infrastrukturen (NCPI) werden damit zu offenen,
integrierten und bedarfsabhängig anpaßbaren Lösungen. Das neue Web
Build-Out Tool rationalisiert den
Entwurf und erspart zeitintensive
Überlegungen für jede Einzelkomponente der Architektur.
NEWS
Planung optimiert
Der optimierte Planungsprozeß erfolgt gemeinsam mit dem Kunden in
einer Step-by-Step-Beratung. Das
InfraStruXure Built-Out Tool erfaßt
alle Anforderungsdaten wie etwa die
Eigenschaften des Grundrisses, den
Strombedarf, die Anzahl der Systeme
und Redundanzen, aber auch die
Konfiguration der Stromverteiler
(PDUs) sowie der Batterie-Autonomiezeit und Kühlung. Eine umfassende Auswahl standardisierter und vorkonfigurierter Komponenten vereinfacht die Zusammenstellung der Lösung, verkürzt die spätere Installationszeit und gewährt ein absolut
kundenspezifisches und dennoch integriertes sowie skalierbares System.
Auf Basis der erfaßten Daten entsteht
ein Plan der konzipierten Infrastruktur. Zuletzt definiert der Anwender
seine Service-Anforderungen sowie
die benötigten Zubehörkomponenten. Am Ende des Beratungsprozesses
erhält der Kunde eine individuelle
Angebotsdokumentation. Diese enthält eine ausführliche Materialliste
aller benötigten Komponenten sowie
eine grafische, originalgetreue Darstellung des Serverraumes. Ebenso
enthalten ist eine detaillierte Anleitung zur Installation aller Komponenten. Auch die entsprechenden notwendigen Service-Konzepte werden
in aller Ausführlichkeit dargestellt.
Expertenwissen
Mit dem neuen InfraStruXure BuildOut Tool gibt APC ihren Mitarbeitern,
autorisierten bzw. zertifizierten Händlern und IT-Managern eine wirkungsvolle Pla-nungshilfe an die Hand.
Durch das in der Software gebündelte Expertenwissen von APC verringern sich die Beratungskosten deutlich. Die klar strukturierte und transparente Planung erleichtert die Auswahl der im Gesamtsystem integrierten einzelnen Komponenten. Mit der
gezielten Schulung ihrer Mitarbeiter
und Partner gewährt APC ihren Kunden darüber hinaus eine große Auswahl an kompetenten Beraterinnen
und Beratern. APC Partner und Value
Added Resellers erhalten eine entsprechende Zertifizierung über ein
mehrstufiges Training.
WaveRunner ist das jüngste Mitglied
der Handheld-Geräte von Fluke
Networks, das echten Bedienkomfort
für die Prüfung und Planung drahtloser LANs bietet. Das praktische
Gerät wurde für den Handbetrieb
konzipiert und funktioniert an jedem
Ort im WLAN, ob im Konferenzraum,
in der Fabrikhalle oder an der
Außenladerampe.
W
WaveRunner ist ein HP iPAQ Pocket
PC, powered by Linux, mit dem
802.11b-Installationen einfach überprüft und unkontrollierte Geräte, die
die Sicherheit von Unternehmensnetzwerken beeinträchtigen, schnell ermittelt und lokalisiert
werden können. Denn
WLANs bieten bekanntlich mißliebige
Angriffspunkte. Dabei
sind viele Sicherheitslücken in drahtlosen
Netzen oft gar nicht
auf technische Belange zurückzuführen,
sondern vor allem auf die
User-Bequemlichkeit. Ungenügende
Kenntnisse oder unkontrollierter
Einsatz der WLAN-Technik ohne
Wissen der hauseigenen IT-Abteilung sind häufig die Ursachen, wenn
das WLAN nichtautorisierten Personen offensteht.
Planung und Konzeption
Der Einsatzbereich des WaveRunner
ist weit gesteckt. Die Analysemöglichkeiten setzen bei der Implementierung drahtloser LAN-Umgebungen
an und reichen von der Entdeckung
eigenmächtig installierter Access
Points, der Verifizierung neuer Installationen bis zur Fehlerbehebung und
09
Ausgabe 09/2003
12
Optimierung drahtloser Verbindungen. Schon bei der Konzeption hilft
der WaveRunner von Fluke Networks
bei der Festlegung der Standorte von
Access Points und ihrer Konfigurationen und minimalisiert dadurch
zudem noch die Installationskosten.
Anhand geeigneter Messungen kann
die beste Abdeckung schnell ermittelt werden, um die APs optimal zu
positionieren oder einzelne Kanäle
zuzuweisen. Das praktische Handheld-Gerät erleichtert eine ausgewogene Kapazitätsplanung, wo viele
mobile Clients gemeinsam auf Access
Points zugreifen. Damit Engpässe gar
nicht erst auftreten, können Benutzern ungenutzte Kanäle und weniger
ausgelastete Access Points vorausschauend zugewiesen werden. Zukünftige Erweiterungen des Netzwerks lassen sich genauer vorausplanen.
Fehlererkennung
Ist das drahtlose Netzwerk installiert,
kann es mit WaveRunner daraufhin
überprüft werden, ob Clients zu den
einzelnen APs Verbindungen herstellen können und die Access Points
korrekt konfiguriert sind. Das handliche Gerät verrät, ob eine ausreichende Abdeckung gewährleistet ist oder
das Wired Equivalency Pr otocol
(WEP) auch wirklich funktioniert.
Auch unerwünschte bzw. unbekannte Access Points im Netzwerk werden
angezeigt. So erhält der Techniker
umgehend eine Antwort auf die Frage, wo sich ein bestimmter AP befindet bzw. wer darauf zugreift. Wave
Runner erleichtert die Fehlersuche,
weil mit Ping-, Durchsatz- oder WebTests Daten bis hinab zu einzelnen
Konversationen ermittelt werden können. Im Handumdrehen wird deutlich,
ob z.B. eine WLAN-Karte auch tatsächlich funktioniert, und ob ein
Client einen AP oder die Schlüsselgeräte erkennt. Probleme können
schneller gelöst werden Der Lieferumfang umfaßt einen Compaq iPAQ
mit Linux und WaveRunner Software, Schnittstelle für PC-Karte, Wireless LAN-Adapter, Holster, ein Ladegerät und eine Synchronisierungsstation.
WATCHGUARD
Firebox Vclass V200
Multi-Gigabit Firewall/VPN
Als hochperformante Security-Lösung mit einem Durchsatz von mehreren
Gigabit bietet die neue WatchGuard Firebox Vclass V200 für Unternehmen
und Service Provider eine erhöhte Wertschöpfung durch Multi-Gigabit
Firewall/VPN. Sie soll in großen Netzwerkumgebungen die bislang verschiedenen Anwendungen mit einer einheitlichen, kosteneffizienten und zudem
einfach zu implementierenden Sicherheitslösung ersetzen.
W
WatchGuard hat ihr
Angebot an hochleistungsfähigen
Firebox Vc lassSicherheitslösungen um die Watch
Guard Firebox
Vclass V200 erweitert. Auf der Basis
von WatchGuards intelligenter ASICArchitektur liefert die Firebox Vclass
V200 eine High-Performance Security, die einen Firewall-Durchsatz von
2 Gbit/s und einen 3DES VPN-Durchsatz von 1,1 Gbit/s bietet. Sie unterstützt Multi-Tenant für erweitertes
VLAN-Tagging und Benutzterdomänen, Server-Load-Balancing mit
sechs verschiedenen Algorithmen für
bis zu 16 Server sowie erweitertes
Load-Sharing und Ausfallsicherheit.
Dabei bedient sie bis zu 40.000 VPNTunnel und verwaltet 500.000
Sessions gleichzeitig.
High Availability
Die WatchGuard Firebox Vclass
V200 arbeitet mit High Availability
Active/Active-Load-Sharing, das den
Netzwerkdurchsatz verdoppelt, indem es zwei identische Systeme für
simultane Übertragung von Traffic
einsetzt. Außerdem ist eine Stateful
Failover-Funktionalität für die High
Availability Active/Passive-Fähigkeit der Firebox Vclass V200 vorhanden, die bei Ausfällen einen transparenten Wechsel auf ein anderes System gewährleistet. Dank ihrer Multi-Tenant-Fähigkeit bietet die Vclass
09
Ausgabe 09/2003
13
V200 eine erhöhte Flexibilität für
Unternehmen, da diese
nun virtuelle Firewalls für einzelne Abteilungen, Geschäftspartner oder Mitarbeiter einrichten können.
Cut-Through
Das neue ModellV200 basiert wie die
gesamte Firebox Vclass-Reihe auf
WatchGuards intelligenter Custom
Security-ASIC- und Cut-Through-Architektur. Die meisten der heute verfügbaren Firewall- und VPN-Lösungen - selbst die mit Nutzung der traditionellen ASIC-Sicherheitstechnologie der ersten Generation - verwenden die CPU und den Systembus des
Host-Systems für Vorgänge wie
Firewall-Policy-Durchsetzung, NAT
und Load-Balancing oder für PaketKlassifizierungen und Look-Ups.
Dies kann sich in der Praxis erheblich auf die Performance auswirken.
Die WatchGuard Firebox Vclass-Lösungen hingegen nutzen eine CutThrough-Architektur, die den Systembus überbrückt, indem sie vier in die
ASIC-Architektur eingebettete
RISC-Prozessoren verwendet. Diese
RISC-Prozessoren der intelligenten
ASIC-Sicherheitsarchitektur können
programmiert werden, beispielsweise mit zusätzlichen Funktionen für
Klassifizierung, Load Balancing und
Routing.
n
NEWS
AVM
SONICWALL
Quartett komplett
All right
in One
FRITZ!Card DSL SL USB im Handel
Mit der neuen FRITZ!Card DSL SL USB bekommt die AVM DSL-Familie nun
ihr viertes Mitglied. FRITZ!Card DSL hält interne Einsteckkarten für DSL
und ISDN, reine DSL-Karten für den PCI-Bus, ein USB-Gerät für DSL und
ISDN sowie nun auch - als viertes im Bunde - ein einfach zu installierendes
USB-Gerät für DSL bereit.
M
Mit der FRITZ!Card DSL SL USB
bietet der Berliner Kommunikationsspezialist AVM ab sofort ein neues
DSL-Endgerät an. Klein wie ein Mobiltelefon verbindet das USB-Gerät
den PC direkt mit dem DSL-Anschluß. Erstmals bei den DSL-Endgeräten können Anwender entscheiden,
ob besondere Informationen per LED
angezeigt werden soll. Eine umfangreiche Software-Ausstattung und ein
ausführliches Diagnose-Tool sorgen
für sicheres und einfaches Surfen.
NEWS
Klar und deutlich
Himbeerrot präsentiert AVM das neue
externe Gerät für den PC. Ein zusätzliches Netzteil ist nicht erforderlich.
Die FRITZ!Card DSL SL USB ist das
erste Endgerät mit einer frei belegbaren Leuchtdiode (LED). So läßt sich
beispielsweise erkennen, ob das kostenpflichtige Dienstmerkmal Fast
Path aktiviert ist. Die FRITZ!Card
DSL unterstützt diesen Modus und
ermöglicht so sehr kurze Antwortzeiten (Ping-Zeiten). Drei weitere LEDs
geben Auskunft über die von herkömmlichen ADSL-Modems bekannten Status der USB- und DSL-Verbindung, ein weiteres zeigt beim neuen
AVM-Produkt auch eine aufgebaute
kostenpf lichtige Verbindung ins
Internet (PPP) an. Wie alle Mitglieder der FRITZ!Card DSL-Produktlinie bietet die SL USB-Variante eine
umfangreiche Software-Ausstattung.
Firewall-Mechanismen schützen
beim Internet-Surfen, Zeit- undVolumenbudgets ermöglichen eine genaue Kontrolle der Verbindungskosten. Ist die neue FRITZ! Card DSL
mit einem PC im Netzwerk verbunden, kann jeder Rechner im Netzwerk
die schnelle Internet-Verbindung einsetzen. Zusätzlich integriert das neue
USB-Gerät die Funktion Traffic Shaping. So kann unter allen Surfbedingungen die volle DSL-Geschwindigkeit eingesetzt werden. Bei herkömmlichen ADSL-Modems ohne Traffic
Shaping verringert beispielsweise ein
Mailversand die Geschwindigkeit
eines gleichzeitig stattfindenden Seitenaufbaus oder Downloads spürbar.
Und für den täglichen DSL-Einsatz
liefert AVM mit FRITZ!web DSL und
ADSLWatch zwei einfach zu bedienende Programme zur Internet-Einwahl und zur ausführlichen deutschsprachigen DSL-Diagnose. Die neue
FRITZ!Card DSL ist an allen gängigen USB-Anschlüssen (USB 1.1 und
2.0) einsatzbereit für alle DSL-Anschlüsse nach U-R2-Standard geeignet. Es unterstützt mit maximal 8
MBit/s alle T-DSL-Angebote der
Deutschen Telekom AG auf PCs ab
Pentium III mit den Betriebssystemen
XP, Me, Windows 2000, 98 (SE).
Linux-Treiber folgen im vierten Quartal. Die FRITZ!Card DSL SL USB ist
im Fachhandel erhältlich.
SOHO TZWSicherheitslösung
im WLAN
Mit der SOHO TZW bietet
SonicWALL eine
All-in-OneSicherheitslösung auch für die drahtlose Vernetzung in kleinen bis mittleren Firmennetzen. In einem Gerät
bietet sie Wireless-, Firewall- und
VPN-Technologie aus einer Hand.
D
Die SOHO TZW eröffnet zu einem
interessanten Preis Mobilität für die
Anwender und berücksichtigt zugleich einen starken Unternehmensschutz. Mit IPSec-Verschlüsselung
im Wireless LAN liefert sie fundierte
Sicherheit, um das Netzwerk wirkungsvoll vor Hackern und Lauschern zu schützen.
IPSec im WLAN
Die Integration des SonicWALL Global VPN Clients erlaubt einen sicheren Wireless-Zugang zum Unternehmensnetzwerk für Desktops,
Laptops und Tablet PCs. Mit dem
eingebauten Wireless Guest Service
können Administratoren sogar unterschiedliche Trusted Zones einrichten, die verschiedene Netzwerk- oder
Internetzugänge völlig voneinander
trennen, so daß Gästen ein Zugang
zum Internet ermöglicht wird, ohne
daß sie Zugriff aufs Unternehmensnetzwerk bekommen müssen. Sie erhalten variable Möglichkeiten auf
verschiedenen Anbindungsebenen
und die geforderte Flexibilität, ohne
Kompromisse bezüglich der Netzwerksicherheit eingehen zu müssen.
09
Ausgabe 09/2003
14
Integrierte Sicherheit
In der SOHO TZW läuft das SonicOS,
SonicWALLs innovatives neues Betriebssystem, welches ein Webinterface mit integrierten Installationshilfen anbietet. Mit diesem Betriebssystem ist es einfach, eine integrierte
Wireless Umgebung gemeinsam mit
dem verkabelten Netzwerk aufzubauen, unabhängig davon, ob Unternehmen ihre Hauptniederlassung, eine
Abteilung, eine Geschäftsstelle oder
nur einen Gastzugang aufsetzen
möchten. Die SOHO TZW liefert für
die Netzwerksicherheit eine weitere
Variante aus dem SonicWALL Komplett-Portfolio, das mit seinen integrierbaren Sicherheitsapplikationen
Virenschutz, Content Filtering und
VPN-Technologie bereitstellt. Jedes
dieser Zusatzprodukte kann für drahtlose wie auch für kabelgebundene
Netzwerke konfiguriert werden.
Zentrale Verwaltung
Die neuen SOHO-Geräte TZW können wie üblich von einer zentralen
Stelle mit dem SonicWALL Global
Management System (SGMS) verwaltet werden. Es gibt den Administratoren die integrierten Tools an die
Hand, um alle Sicherheitsrichtlinien
über eine große Unternehmens- oder
Dienstleisterumgebung zu verwalten.
Sie können die Firewall-Einstellungen konfigurieren, VPN für jeden
Benutzer installieren und Sonic
WALL-Upgrade- und Abonnementdienste wie Complete Anti-Virus oder
Content Filtering durch einen Klick
hinzufügen. Service-Anbieter können ein Remote Management für
Firewalls ihrer Kunden als Zusatzdienstleistung anbieten. So wird die
Einhaltung der Sicherheitsrichtlinien
für das Netzwerk gewährleistet.
Die SonicWALL Produkte sind über
die Compu-Shack Fachhandelspartner erhältlich Diese bieten in enger Zusammenarbeit mit Sonicwall
Security Experten praxisnahe Beratung sowie schnelle und gute
Supportleistungen und können für
jede Netzwerkgröße das richtige Sicherheitskonzept anbieten.
COMPU-SHACK SUPPORT
Ausgeleuchtet
Alles klar für Ihr Wireless LAN Projekt?
Vielerorts werden zur Zeit Wireless Netzwerke geplant und implementiert.
Wie die zugehörigen Funkwellen breitet sich die WLAN-Technologie immer weiter aus. Um schon bei der Konzeption sicherzustellen, daß es keine
”schwarzen Löcher” im Funknetz gibt, Bereiche also, in denen es keinen
oder nur unzureichenden Empfang gibt, ist eine “Ausleuchtung” vor der Installation dringend geboten. Mit dem Compu-Shack Support-Team haben
Sie dafür den kompetenten Partner an Ihrer Seite, für Hotspot-Projekte oder
gebäudeübergreifende Installationen, flächendeckend und punktgenau.
Einleuchtend
Eine Ausleuchtung vor Ort bringt schnell die erforderliche Planungssicherheit. In einem Vorgespräch werden alle Fragen zur Hardware des jeweils bevorzugten Herstellers, der genaue Zeitablauf und die Details des
Projekts geklärt:
• Integration in das vorhandene Datennetzwerk
• Beschaffenheit des Geländes und der Umgebung
• Gebäude und Hilfsmittel bei großen Deckenhöhen in Hallen
Nach einer Begehung der zu vermessenden Örtlichkeiten liefert die Funkvermessung alle Angaben zur Optimierung der besprochenen Areale:
• Markierung der Standorte der WLAN Komponenten
• Wahl der passenden Antennen innen und außen
• Dokumentation über die Funkvermessung
Eine Nachbesprechung bringt alle Fakten zusammen. Die Ergebnisse werden im Plan eingezeichnet. Nach der Komplettierung des Berichtes wird
die Dokumentation an den Auftraggeber gesendet.
Erhellend
Optional bietet das Support-Team schon während der Ausleuchtungsphase
auch eine Einweisung der Verantwortlichen für die spätere Montage an, sei
es für die Installationsfirma oder für hauseigene Techniker. Damit alle erhellenden Fakten vor Ort bekannt sind. Ebenso kann eine Inbetriebnahme
oder Überprüfung nach einer Installation erfolgen, um bei Access Points
und Antennen die einwandfreie Funktion sicherzustellen oder die Sicherheit der Anlage zu prüfen. Neben der Planung, Installation und Wartung
unterhält das Support-Team eine Telefon-Hotline für Ihr Funknetzwerk.
Zudem werden auch eintägige Workshops angeboten, in denen die WLANTechniken und ihre praktische Installation am Beispiel von Wireless Komponenten der Hersteller Avaya, Cisco und CS Production geschult werden.
Dabei geht es um Wireless Hard- und Software, besondere Betriebs-Modi
und Anwendungsgebiete, aber auch um Standards, Reichweiten und Kanalaufteilung bei DSSS und FHSS. Spezifikationen für BSSID, Ad-hoc und
Infrastrukturnetze werden ebenso besprochen wie die Sicherheitsmöglichkeiten über WEP, WEPII und EAP und die Antennentechnik.
Individuelle Angebote und persönliche Konditionen erfragen Sie unverbindlich beim
Support-Team unter der Rufnummer 02631-983-988.
09
Ausgabe 09/2003
15
n
NEWS
...Über 30
Media Center PCs:Microsoft Windows XP Media
Center Edition wird künftig auch in Europa verfügbar.
Microsoft kooperiert mit über 30 führenden HardwareHerstellern in Europa und Asien, um noch in diesem
Jahr PCs mit dem Betriebssystem Windows XP Media
Center Edition in Frankreich, Deutschland, Großbritannien, China und Japan auf den Markt zu bringen. Neben
den Windows XP Funktionen bieten die Media Center
PCs zusätzlich integrierte Multimedia- und
Entertainment-Tools. Damit erhält der Heimanwender
ein multimediales Gerät, mit dem sich digitale Medien
einfach über den PC nutzen lassen. Dazu gehört LiveTV ebenso wie Personal Video Recording (PVR), digitale Musik, Video und Bilder sowie DVD. Über eine Fernbedienung läßt sich der PC auch vom Sofa aus bedienen. Der Media Center PC wird in den USA, Korea und
Kanada bereits ausgeliefert. Mit der Windows XP Media Center Edition wird der PC zu einem Medien-Center für die digitale Unterhaltung, die der User ferngesteuert nutzen kann. Die übersichtliche Oberfläche des
Medien-Centers vereint alle vorstellbaren digitalen
Medien auf dem Media Center PC. Die Windows XP
Media Center Edition basiert auf der umfangreichen
Medienplattform, die vor knapp zwei Jahren zusammen
mit Windows XP eingeführt wurde und richtet sich an
Technologie-Begeisterte und Fans digitaler Unterhaltung, die häufig ihren PC nutzen, um Musik zu hören,
Bilder oder Filme anzuschauen.
NEWS
...Neue Paradigmen
Adaptive Enterprise-Strategie:Das HP
Symposium 2003 wendet sich adaptiven Enterprise-Strategie zur allgemeinen IT-Kostensenkung zu. Ständig steigende geschäftliche Anforderungen bei gleichzeitiger
Reduzierung der Kosten und Verbesserung des Service
sind die größten Herausforderungen an die IT. Wie sich
die Kosten der IT reduzieren und gleichzeitig der Beitrag der IT zur Wertschöpfung erhöhen lassen, steht im
Mittelpunkt des HP Symposiums “Neue Paradigmen in
der IT”. Referenten aus der Wirtschaft, von HP wie auch
von Microsoft, Oracle und SAP sprechen über neue
Wege zur Dynamisierung der Informationstechnologie,
das zentrale Element von HP´s Adaptive Enterprise-Strategie. Internet-Autor Tim Cole gibt in seiner Keynote
“Neue Werkzeuge auf dem Weg zur nächsten Evolutionsstufe” interessante Ausblicke auf die Zukunft der IT. Heterogene, verteilte Systemlandschaften dominieren heute viele Infrastrukturen. Sie machen es Unternehmen
schwer, auf ständig wechselnde Geschäftsanforderungen
zu reagieren und gleichzeitig die Kosten zu reduzieren.
HP verfolgt das Ziel einer adaptiven IT-Infrastruktur, die
auf offenen Standards aufbaut. Dabei steht für HP die
Ausgangssituation der Kunden im Mittelpunkt. Das HP
Symposium 2003 findet am 30. September statt. Die
Teilnahme an dieser Veranstaltung ist kostenlos. Interessenten können sich bis zum 15.09 bei HP anmelden:
www.hp.com/de/events/hpsym posium.
...VoIP wächst
Millionen IP-Telefone:Cisco Systems hat im
Juli 2003 das zweimillionste IP-Telefon verkauft. Die
Zahl der verkauften Endgeräte belegt, daß IP-Telefonie
sich zu einer anerkannten Technologie entwickelt. Ein
deutlicher Beleg für das Marktwachstum bei VoIP ist,
daß die zweite Million IP-Telefone von Cisco innerhalb
des letzen Jahres verkauft wurde. Im August 2002 hatte
Cisco noch den Verkauf von einer Million Endgeräte
gemeldet. Es hatte dreieinhalb Jahre gedauert, um diese
Zahl zu erreichen. Die zweite Million brauchte kaum
ein Jahr. Die IP-Kommunikationssysteme von Cisco sind
derzeit bei 8.500 Unternehmen weltweit im Einsatz. Die
Anwender erhöhen mit der Technologie ihre Produktivität und Flexibilität. IP-Telefonie kommt vor allem in
den Branchen Finanzdienstleistung, Gesundheitswesen,
Einzelhandel, Logistik und dem öffentlichen Sektor zum
Einsatz. Europa, Afrika und der Nahe Osten tragen rund
30 Prozent zur Cisco Kundenbasis bei.
...Wohl geordnet
Chaos Computer Club:Cisco Systems sponserte
das Chaos Communication Camp in Altlandsberg bei
Berlin mit Netzwerk-Technologie. Vom 7. bis 10. August veranstaltete der Chaos Computer Club das OpenAir-Event für Computer-Experten. Die Teilnehmer waren eingeladen, sich bei zahlreichen Vorträgen und Workshops über aktuelle technologische Trends in den Bereichen Informationstechnologie und Telekommunikation auszutauschen. Für die rund 2.000 erwarteten Teilnehmer aus aller Welt wurde das 60.000 Quadratmeter
große Veranstaltungsgelände mit einem mehrere Kilometer langen Glasfaser-Netzwerk ausgestattet. Es wurde
über eine 155 Mbit/s Funkstrecke und mehrere Provider
an das Internet angeschlossen. Auf drei Türmen waren
28 Access Points für ein drahtloses Netzwerk installiert,
das bis zu 1.000 Teilnehmer gleichzeitig versorgen kann.
...Linux World
Authentifizierung inbegriffen:Novell
eDirectory wird in Zukunft auch Red Hat Enterprise
Linux AS und SuSE Linux Enterprise Server 8 unterstützen. Damit führt Novell ihre Strategie fort, die sicheren Netzwerk-Services auf unterschiedlichen Plattfor-
Ticker
09
Ausgabe 09/2003
16
men zur Verfügung zu stellen. Novell eDirectory ist der
weltweit am weitesten verbreitete Verzeichnisdienst. Die
nächste Version von eDirectory bietet damit auch für
Linux die erweiterten Authentifizierungsmöglichkeiten.
Novell eDirectory unterstützt Biometrie, Smart Cards
und Chipkarte. Durch die Integration der Novell Modular Authentification Services (NMAS) sind Unternehmen in der Lage, auf unterschiedliche Methoden zurückzugreifen und eine abgestufte Authentifizierung
einzusetzen, in der Nutzerrechte geändert werden können, je nach der Sicherheitsstufe des benutzten Verfahrens. So kann einAdministrator beispielsweise auf Basisressourcen über ein einfaches Paßwort zugreifen, während er für den weitergehenden Zugriff ein digitales
Zertifikat sowie zusätzliche eine Kombination mehrerer Authentifizierungsmethoden benötigt. Das LDAPzertifizierte eDirectory bringt Linux höhere Sicherheit
und besseres Management in einem Paket, das nun neben NetWare, Windows NT/2000, Solaris und AIX auch auf Red Hat Enterprise Linux und SuSE Linux
Enterprise Server läuft. eDirectory 8.7.1. ist seit August
über den Fachhandel erhältlich und außerdem im Lieferumfang der meisten Novell-Produkte enthalten.
...Beschleunigt
...Kunstdrucker
Inter-National Gallery:HP und die National
Gallery in London ermöglichen Meisterwerke auf Abruf. Ein Monet für das Wohnzimmer, ein Van Gogh für
das Büro oder doch lieber einen Picasso? Besucher der
National Gallery in London haben die Wahl. Seit kurzem stehen ihnen über 900 der ausgestellten Meisterwerke als hochwertige Drucke zum Mitnehmen zur Verfügung, in den Größen DIN A4, DIN A3 und DINA2. Mit
dem neuen interaktiven HP Print-on-Demand-Kiosk
müssen Kunstinteressierte das gewünschte Motiv nur
auswählen, die Größe festlegen und ausdrucken lassen.
Das Ergebnis steht nach rund fünf Minuten zur Verfügung, inklusive eines Echtheits-Zertifikates, für den
Nachdruck, versteht sich. Bis 2004 soll das Angebot des
Print-on-Demand-Kiosk alle 2300 Gemälde umfassen.
Als weiteren Schritt will das Museum das Print-onDemand-Angebot auch auf die Internet-Seite ausdehnen, mit internationalem Lieferservice. Über den Printon-Demand-Kiosk können Kunstfreunde jetzt aus einem
wesentlich größeren Angebot an Ausdrucken wählen.
Bislang standen dafür lediglich die 134 populärsten der
rund 2300 ausgestellten Bilder als Offset-Drucke zur
Verfügung. Eine Ausweitung des Angebotes war aufgrund
des Aufwands und der Lagerung bisher nicht möglich.
www.nationalgallery.org.uk zu erreichen.
CRM in neun Sprachen: Microsoft beschleunigt
die weltweite Markteinführung ihrer Business Solutions
CRM. Grund hierfür sei die hohe internationale Nachfrage von Seiten der Kunden und Partner. Lokalisierte
Versionen von Microsoft CRM sollen bereits Ende 2003
in mehr als 20 Ländern und neun Sprachen erhältlich
sein, u.a. auch in Deutsch, Niederländisch und internationalem sowie in US-amerikanischem Englisch. In
Deutschland wird das Produkt voraussichtlich ab 1.
Dezember 2003 vertrieben werden. Zusätzlich zur Lokalisierung des Produktes bietet die Version 1.2 von
Microsoft CRM Erweiterungen, die die Arbeit mit der
Lösung und die Integration in die vorhandene IT-Landschaft erleichtern. Hierzu zählen ein optimiertes Setup,
breitere Möglichkeiten im Reporting und die Kompatibilität zum Microsoft Windows Server 2003, dem Exchange Server 2003, dem Small Business Server 2003
sowie Office 2003. Nach dem Feedback erster Kunden
wurden bereits weitere Funktionalitäten in die Lösung
integriert. Des weiteren bietet Microsoft CRM eine optimierte Entwicklungsumgebung innerhalb des Outlook
Clients, was die Lösung auch für Independent Software
Vendors interessant macht. Microsoft CRM ist die erste
Geschäftsanwendung, die auf Basis des .NET-Frameworks erstellt wurde. Sie erlaubt damit eine engere Anbindung an getrennte Systeme und erleichtert die Integration in externe Web-Services, wie beispielsweise Kreditabfragen, Analysen und automatisiertes Marketing.
...Fibre Channel
Für RAID und Cluster: Für große RAID und
Clustering Systeme mit Anforderungen an höchste
Datenverfügbarkeit, Skalierbarkeit, Datensicherheit und
maximalen Datendurchsatz bietet ICP einen 2 Gbps
Fibre Channel Controller mit einer Datenübertragungsrate von bis zu 200 MB/sec. Der Controller wird aktuell
mit Firware Release 1.9.6a angeboten. GDT8522RZ ist
die Version für RAID 0/1/4/5/10 und alle gängigen Betriebssysteme, GDT8622RZ ist der Clustering Controller
zum Aufbau eines Microsoft Windows 2000 Server Clusters. Hot Fix, Hot Plug und Auto Hot Plug werden ebenfalls unterstützt. GDT8x22RZ verfügt über einen Intel
80303 RISC I/O Chip mit Co-Prozessor (XOR-Engine
für schnelle RAID 4/5 Parity Berechnungen) und optionalem Cache bis zu 256MB ECC SDRAM. An die zwei
redundanten FC2-AL Schnittstellen können bis zu 252
Geräte angeschlossen werden. Mit Kupferkabel und Standard HSSDC Konnektoren beträgt die Kabellänge max.
25 m. Für größere Strecken von bis zu 10 km sind FibreOptic-Medien (MIAs) zu verwenden. Zusätzlich verfügt
jeder Controller über einen Wide/Ultra160 SCSI Kanal
mit 68-pin Stecker. Neben Standard SCSI Festplatten
können an diesem Kanal bis zu 15 SCSI Geräte z.B.
Festplatten, CD-ROM, DAT und DLT betrieben werden.
09
Ausgabe 09/2003
17
REICHWEITE ENTFALTEN
WLAN dringt vor
Antennentechnik in- und outdoor
Von Jörg Rech
I
In WLAN-Projekten spielen Antennen eine maßgebliche Rolle,
weil sie die Ausdehnung der
Funkzellen erhöhen und eine
fehlerfreie Datenübertragung mit
maximaler Datenrate sicherstellen.
Mit besonderen
Richtfunkantennen
können über große Distanzen
auch drahtlose
LAN-Verbindungen zwischen
Gebäuden realisiert werden.
09
Ausgabe 09/2003
18
Was den praktischen Einsatz von Antennen anbetrifft, tut sich der gestandene Netzwerker oft schwer, in die
Domäne der Hochfrequenztechniker
vorzudringen und eine richtige Auswahl unter den verschiedenen Antennen-Typen zu treffen. Unser
Schwerpunktartikel leuchtet deshalb
die diversen Antennenvarianten im
WLAN aus, nennt ihre technischen
Parameter und zeigt auf, in welchen
Bereichen sie bei der professionellen
Umsetzung von WLAN-Projekten
bevorzugt eingesetzt werden können.
Denn durch den Einsatz von externen Antennen erhöht sich die Ausdehnung der Funkzellen, wodurch der
Planer und Praktiker eine fehlerfreie
Datenübertragung bei maximaler
Datenrate sicherstellt. Um drahtlose
LAN-Verbindungen zwischen zwei
oder mehreren Gebäuden zu realisieren, kommen Richtfunkantennen zum
Einsatz, um auch große Distanzen
überbrücken zu können. Das Einsatzspektrum von Antennen ist also
höchst vielfältig. Welche Antennen,
Kabel und Stecker eingesetzt werden
sollten, ist vom besonderen Anwendungsfall abhängig. Unser Beitrag wird die notwendigen Daten liefern und aufzeigen, was beim Einsatz
von Antennen im In- und OutdoorBereich zu beachten ist.
Der aktuelle Beileger zum Heft
zeigt am Beispiel der GOLDline
Produkte der CS Production die
Kombinationsvielfalt von WAVEline Antennen, Steckern, Adaptern und Kabeln im 2,4GHZBand.
Wir werden die erzielbaren Distanzen,
die bei Datenraten von 1 bis 54 MBit/s
in der Praxis zuverlässig umgesetzt
werden können, physikalisch bestimmen und mathematisch ermitteln.
Aktuelle Gesetzesgrundlagen, die bei
der Errichtung von grundstücksübergreifenden WLAN-Einrichtungen
berücksichtigt werden müssen, wollen ebenfalls berücksichtigt werden.
Versehen mit diesen grundlegenden
Informationen, sollte der praktischen
Umsetzung von WLAN-Projekten
indoor wie outdoor nichts mehr im
Wege stehen.
Physikalisches
Um die Frage zu beantworten, welche Antenne man für welchen Anwendungsfall bevorzugt einsetzen
sollte, werden wir uns zuerst mit den
physikalischen Grundlagen, den Eigenschaften und den Antennenparametern auseinandersetzen. Der
WLAN-Datenaustausch basiert auf
der Übertragung elektromagnetischer
Wellen, die sich frei im Raum ausbreiten können. Dazu wandeln Antennen auf der Seite des Senders
leitungsgeführte Wellen in Freiraumwellen um. Auf der Seite des Empfängers wird ein Teil der Freiraumwellen
von den Antennen wieder in
leitungsgeführte Wellen umgewandelt. Deshalb bezeichnet man Antennen auch oft als Wellentypwandler.
Bei der drahtlosen Datenübertragung
geht es darum, daß ein möglichst großer Teil dieser vom Sender abgestrahlten Leistung zum Empfänger übertragen wird.
Trägerfrequenzen
Antennen strahlen entweder elektromagnetische Energie ab oder nehmen
elektromagnetische Energie auf. Hierbei wird allerdings die Nutzinformation nicht direkt umgewandelt, sondern vorher auf eine Trägerfrequenz moduliert. Die spezielle
Ausführung einer Antenne hängt im
09
Ausgabe 09/2003
19
wesentlichen von der Höhe der
Trägerfrequenz und der gewünschten
Abstrahl- oder Richtcharakteristik ab.
802.11-WLAN-Lösungen arbeiten
entweder im 2,4-GHz- oder 5-GHzFrequenzband, bei 802.11b und
802.11g mit 2,4 GHz, bei 802.11a/h
mit 5 GHz. Diese Frequenzbänder
gehören zum Bereich der Ultrakurzwellen, die sich als Sichtwelle ausbreiten und dabei Distanzen von wenigen Metern bis zu einigen Kilometern erzielen können. Bei der Ultrakurzwelle liegt das beste Sende-/
Empfangsverhältnis vor, wenn zwischen Sender und Empfänger eine
freie Sicht vorhanden ist. In diesem
Fall spricht man von der quasioptischen Sichtverbindung.
Antennenprinzip
WLAN-Komponenten verfügen
grundsätzlich über eine interne Antenneneinrichtung und gegebenenfalls über die Anschlußmöglichkeit
für eine oder zwei externe Antennen.
Die erzielbaren Reichweiten der
WLAN-Komponenten ist im wesentlichen davon abhängig, ob die interne oder eine externe Antenneneinrichtung verwendet wird. Grundbaustein einer jeden Antenne stellt
ein offener Schwingkreis dar. Wird ein
Parallelschwingkreis mit der Resonanzfrequenz angeregt, pendelt die
Energie zwischen Spule und Kondensator hin und her. Verkleinert man nun
die Spule auf eine Windung und zieht
die Kondensatorplatten so weit auseinander, daß sich diese an den Enden des Leiters beziehungsweise der
Spule befinden, so erhält man einen
offenen Schwingkreis. Im offenen
Schwingkreis erzeugt der Strom ein
ringförmiges Magnetfeld und die
Spannung ein elektrisches Feld. Entspricht die Länge der Antenne, die
sich quasi aus einem auseinandergebogenen Drahtstück bildet, der
halben Wellenlänge ( /2), so werden
beide Felder im Raum abgestrahlt.
Dabei durchdringen sich die beiden
thema des monats
Elf für Aironet
Antennen zur Produktfamilie 350, 1100 und 1200
Cisco Systems trägt der Entwicklung im Wireless Umfeld mit einer marktorientierten Produktpalette Rechnung. Sowohl für Indoor als auch für Outdoor
werden optimierte Lösungen ermöglicht, die sich anhand der Kundenvorgaben unterscheiden können. Aus den verfügbaren drei Produktfamilien Aironet
350, 1100 und 1200 kann jedem Kunden - je nach gewünschtem Einsatzort eine passende Lösung offeriert werden.
Standardkonformität
Bedingt durch die Weiterentwicklung der Übertragungsstandards im 2,4GHzBand von 802.11b mit 11MBit/s zu 802.11g mit 54MBit/s (Sendemodul im Herbst
verfügbar) sowie im 5GHz-Band mit 54MBit/s nach Standard 802.11a, bietet
Cisco mit den Access Points 1220 und 1230 der Aironet-Familie 1200 zwei
universell und übergreifend einsetzbare Produkte. Diese können mit den verfügbaren Antennen sowohl für Indoor- als auch für Outdoor-Lösungen eingesetzt werden. Beide Access Points sind in ihrer Funktionalität nahezu identisch, sie unterscheiden sich nur durch das ab Werk gelieferte Betriebssystem.
Innen und außen
Die Auswahl der für die Übertragung notwendigen Sendemodule hängt definitiv vom Einsatzort innen oder außen ab. Dabei sind zwingend die amtlichen
Vorgaben der Regulierungsbehörde zu beachten. Der 802.11b Standard ist
überall einsetzbar, ebenso trifft dies auf den neuen Standard 802.11g zu. Der
Einsatz von 802.11a Komponenten ist in Deutschland derzeit nur als reine
Indoor-Lösung erlaubt. Daher sind in den Access Points 1220 und 1230 Kombinationen unterschiedlicher Übertragungsstandards möglich: zur Zeit 802.11b
und 802.11a sowie als zukünftig erwartete Kombination 802.11g und 802.11a.
Die Wireless Familien Aironet 350 und 1100 umfassen Produkte, die nur mit
einem Standard (802.11b) betrieben werden können, lediglich der Access
Point 1100 wird auf den Standard 802.11g updatebar sein.
11 Antennenmodelle
Access Points und Bridges der Familien 350 und 1200 können für ihre Einsatzorte mit spezifischen Antennen bestückt werden. Cisco bietet 11 Modelle
für In- und Outdoor an. Sie bieten die besonderen unterschiedliche Leistungsmerkmale, die sich nach den spezifischen Vorgaben für den jeweiligen Einsatz ergeben. Als (reine) Indoor-Antennen können die drei omni-direktionalen
Antennen AIR-ANT1728, AIR-ANT3213 und AIR-ANT5959 eingesetzt werden
sowie die Patch-Antenne AIR-ANT3549 und die Dipole AIR-ANT4941. Als
Outdoor-Antennen werden die beiden Omni-Antennen AIR-ANT4121 und AIRANT2506 angeboten sowie die AIR-ANT3338 Parabol und die AIR-ANT1949
Yagi-Antenne. Die AIR-ANT1729 Patch und AIR-ANT2012 Spatial Diversity
werden von Cisco als Kombi-Antennen geführt und sind also sowohl indoor
als auch outdoor einsetzbar. Entscheidend für die optimale Nutzung der Antenneneigenschaften ist die richtige Kombination mit Access Points und
Workgroup Bridges bei Indoor-Lösungen bzw. mit den Bridges als reine
Outdoor-Lösung.
Informationen zu Cisco Aironet hält das Cisco Focus Sales Team bei
Compu-Shack bereit: [email protected]
Wechselfelder zueinander senkrecht
und bilden die elektromagnetische
Strahlung. Da diese sich von der Antenne weg bewegt, bezeichnet man
die elektromagnetischen Felder auch
als elektromagnetische Wellen.
Eigenschaften
Die technischen Eigenschaften einer
Antenne werden über mehrere Parameter betrachtet. Deren wichtigste
Parameter sind die Impedanz, der
VSWR-Wert, und die Polarisation wie
auch das Strahlungsdiagramm, der
Antennengewinn, das Vor-Rück-Verhältnis und die Halbwertsbreite.
Generell muß man bei der technischen Betrachtung von Antennen
berücksichtigen, daß für passive Antennen das Reziprozitätstheorem gilt.
Eine Antenne wird als passiv betrachtet, wenn keine nichtlinearen Bauelemente - wie etwa Verstärker oder
Ferrite - enthalten sind. Im WLANBereich werden vorwiegend passive
Antennen eingesetzt. Das Reziprozitätstheorem sagt aus, daß die Antenne im Sende- und Empfangsfall dieselben charakteristischen Eigenschaften aufweist, was besagt, daß eine
Antenne, die in einer bestimmten Vorzugsrichtung ihre Leistung besonders
gut abstrahlt, auch aus dieser Vorzugsrichtung die elektromagnetische Leistung besonders gut empfängt. So erzielt man bereits eine Reichweitensteigerung, wenn beispielsweise an
einen Access Point eine externe Antenne angeschlossen wird, obwohl
die Stationen weiterhin mit internern
Antennen arbeiten. Eigentlich werden nur bei Richtfunkstrecken auf
beiden Seiten dieselben Antennenvarianten verwendet.
Impedanz
Unter der Impedanz versteht man den
frequenzabhängigen Widerstand, der
aus einen Wirkanteil, sowie induktiven und kapazitiven Anteil geprägt
ist. Im WLAN-Bereich weisen alle
09
Ausgabe 09/2003
20
Komponenten eine Impedanz von 50
Ohm auf. Hierbei ist es besonders
wichtig, daß die Impedanz der Antenne, der Sende-/Empfangsstufe und
des Antennenkabels gleich sind. Unterschiede in der Impedanz würden
zu Fehlanpassungen führen, wodurch
ein Teil der eingespeisten Leistung
reflektiert wird und der Wirkungsgrad
der Antennenanlage sinken würde.
VSWR-Wert
Da im WLAN-Bereich die Antennen
über einen relativ großen Frequenzbereich eingesetzt (z.B. 2,4 – 2,4835
GHz) werden, kann die Impedanz nur
bedingt eingehalten werden. Durch
die breitbandige Nutzung liegt
zwangsläufig eine Fehlanpassung
vor, die zu einem gewissen Grad an
Reflexionen führt. Inwieweit die Impedanz von der Nenngröße abweicht,
wird über den VSWR-Wert (Voltage
Standing Ware Ratio) beschrieben.
Ein VSWR-Wert von 1,5 sagt beispielsweise bei einer 50 Ohm Antenne aus, daß die Impedanz beim spezifizierten Frequenzbereich einen Minimalwert von 33,3 Ohm (50 Ohm :
1,5) und einen Maximalwert von 75
Ohm (50 Ohm x 1,5) aufweisen kann.
DerVSWR-Werte von WLAN-Antennen liegt in der Regel zwischen 1,3
und 2,0. Eine Antenne ist um so besser, je kleiner der VSWR-Wert ist.
Polarisation
Die Antennenpolarisation beschreibt,
wie eine Antenne die elektrischen
Feldlinien abstrahlt. Im WLAN werden in der Regel Antennen mit einer
linearen vertikalen Polarisation eingesetzt, wobei die elektrischen Feldlinien senkrecht zur Erdoberfläche
gerichtet sind und die magnetischen
Feldlinien horizontal zur Erdoberfläche. Bei den korrespondierenden
Antennen ist es wichtig, daß die Polarisation gleich ist und möglichst
exakt aufeinander ausgerichtet ist.
Liegt beispielsweise eine Drehung
von 90° vor, indem eine Antenne horizontal und die andere Antenne vertikal ausgerichtet ist, kann dies eine
zusätzliche Dämpfung von bis zu 20
dB hervorrufen und die erzielbare
Distanz stark einschränken.
Antennengewinn
Eine Dipol-Antenne strahlt ihre Leistung in allen Richtungen annähernd
gleichmäßig ab. Alternativ dazu gibt
es solche, die eine Richtwirkung aufweisen und ihre Leistung in eine bestimmte Vorzugsrichtung oder ein
Winkelsegment abstrahlen. Diese
Abstrahlcharakteristik wird - getrennt
in der horizontalen und vertikalen
Ebene - über zwei Strahlungsdiagramme beschrieben. Über diese
läßt sich der Öffnungswinkel einer
Antenne ablesen. Je kleiner der Öffnungswinkel ist, desto größer ist ihre
Richtwirkung.
Zudem liefert die Angabe des Antennengewinns eine Aussage über die
Richtwirkung. Der Antennengewinn
bringt zum Ausdruck, mit welcher
Leistungssteigerung die betrachtete
Antenne ihre Sendeleistung in bevorzugter Richtung abstrahlt. Bei der
Angabe des Antennengewinns handelt es sich also nicht um einen
Leistungsgewinn, sondern um eine
rein theoretische Größe, die lediglich
beschreibt, inwieweit die Antenne im
bevorzugten Winkelsegment ihre
Leistung abgibt, beziehungsweise
aufnimmt. Hierbei wird ein Vergleich
zu einem isotropen Kugelstrahler hergestellt und beschrieben, wieviel zusätzliche Leistung man diesem zufügen müßte, damit er dieselbe
Strahlungsleistung in betrachteter
Vorzugsrichtung abgibt. Ein isotroper Kugelstrahler ist eine hypothetische - in der Realität nicht existierende - ”verlustlose” Antenne, die die
elektromagnetische Leistung in alle
Richtungen gleichmäßig abstrahlt.
Die Angabe des Antennengewinns
erfolgt in der Einheit dBi (dB isotrop),
wodurch zum Ausdruck gebracht
09
Ausgabe 09/2003
21
wird, daß ein Vergleich zu einem isotropen Kugelstrahler gebildet wurde.
Je höher der Antennengewinn, desto größer ist die Reichweite, die
mit der Antenne erzielt werden
kann. Der Antennengewinn hat einen direkten Zusammenhang mit
dem Öffnungswinkel der Antenne,
denn je kleiner der Öffnungswinkel, desto größer ist der Antennengewinn.
Strahlungsdiagramme
Die grafische Darstellung der Abstrahlung erfolgt vorwiegend in kreisförmigen Diagrammen, wobei die
vertikale und horizontale Ebene getrennt dargestellt werden. Das Kreisäußere kennzeichnet die maximal
abgestrahlte Leistung der Antenne,
während zur Kreismitte hin die abgestrahlte Leistung abfällt. In Abbildung 1 sind als Beispiel die
Strahlungsdiagramme einer OmniAntenne mit Gewinn abgebildet. Diese Antenne strahlt auf der horizontalen Ebene ihre Leistung über 360°
gleichförmig ab, in der vertikalen
Ebene über einen Öffnungswinkel
von 15°. Durch die Stauchung der
Signalkeule auf der vertikalen Ebene wird auf der horizontalen Ebene
eine höhere Reichweite erzielt.
Vor-Rück-Verhältnis
Neben der Beschreibung der Abstrahlcharakteristik bieten die
Strahlungsdiagramme auch wertvolle Informationen über die Ausprägung sogenannter Nebenzipfel. Von
einer qualitativ hochwertigen
Richtfunkantenne wird eine möglichst starke Unterdrückung solcher
Nebenzipfel erwartet, da diese benachbarte Antennen beeinflussen
können. Demnach soll eine
Richtfunkantenne in seitlicher und
rückwärts Richtung keine oder nur
thema des monats
WAVEline
2,4GHz indoor
Antennen und Stecker, Adapter und Kabel
Die CS Production hat ein differenziertes Antennenprogramm für Innen- und
Außen entwickelt, das die Anforderungen bei Gebäude-Installationen wie auch
bei Richtfunkstrecken erfüllt. Es beinhaltet zudem ein reichhaltiges Sortiment
an Steckern und Adapterkabeln für herstellerübergreifende WLAN-Implementationen. Die Antennen werden mit einem kompletten Kabelsatz ausgeliefert,
so daß eine ETSI-Konformität von vorneherein gewährleistet ist. Antennen mit
R-SMA-Stecker lassen sich direkt mit der WAVEline Interbuilding-, der Buildingto-Building-Bridge oder dem AP 54MBit verbinden, unter Verwendung der
WAVEline Jumper-Cable auch mit WLAN-Komponenten anderer Hersteller.
WAVEline Omni-Antenne 2,2-80
Die Omni Antenne 2,2-80 ist die ideale Ergänzung für das mobile Notebook.
Mit Klettverschluß angebracht, sichert sie eine stabilere Kommunikation, da
es in Grenzbereichen nicht zur automatischen Herunterregelung der Bandbreite kommt. Der Signalrauschabstand wird um 2 bis 5 dB verbessert, wodurch eine erhebliche Steigerung der Sende- bzw. Empfangscharakteristik
gegeben ist. Die Antenne wird mit ca. 40 cm Pigtail-Kabel ausgeliefert und ist
mit Float-Mount- und Lucent-Stecker erhältlich
WAVEline Patch-Antenne 6-80
Als preiswerte Indoor-Lösung bietet die WAVEline Patch-Antenne 6-80 mit 80°
Öffnungswinkel einen Antennengewinn von 6 dBi für Reichweiten bis 800 m.
Über Float-Mount-Stecker werden PCMCIA- und MiniUSB-Adapter oder Komponenten mit Wireless-Option verbunden, über SMA der WAVEline Building-toBuilding Access Point oder PCI Desktop Adapter. Der klappbare Standfuß wird
abgewinkelt zur Wandmontage genutzt.
WAVEline High-Gain USB-Adapter
Der High-Gain USB-Adapter verbindet die exzellente Charakteristik einer
Richtfunkantenne mit der einfachen Installation eines USB-Adapters. 80° Öffnungswinkel und 6 dBi Antennengewinn steigern die Reichweite in offener
Umgebung um 100 % bis auf 800 m. PCs oder Notebooks werden untereinander oder über AP verbunden. Der Antennenkopf ist um 90° schwenkbar.
WAVEline Semi-Omni 4-75
Speziell für die Montage an Hohlraumdecken geschaffen, baut die Semi-Omni
4-75 ein halbkreisförmiges Funkfeld auf. Auf diese Weise können Access Points
bei Hotspot-Installationen in Hotels oder Cafes unsichtbar unter der
Deckenabhängung montiert werden.
WAVEline Panel-Antenne 11-80
Die Panel-Antenne 11-80 bietet eine exzellente Möglichkeit, zwei gegenüberliegende Gebäude indoor miteinander zu verbinden. Die High-EndRichtfunkantenne für die Wand- oder Fenstermontage im Innenbereich ist durch
ihre Saugfüße besonders schnell an der Innenseite eines Fenster angebracht.
Mit einem Öffnungswinkel von 80° liefert sie einen Antennengewinn von 11,5
dBi, womit Reichweiten bis 1.000 m erzielt werden können.
klein ausgeprägte Nebenzipfel aufweisen. Deren Ausprägung wird in
einem bestimmten Winkelbereich,
über die Dämpfung der Nebenzipfel
relativ zur Hauptkeule, als Nebenzipfeldämpfung beschrieben.
Die Nebenzipfeldämpfung des rückwärtigen Winkelbereichs, bezogen
auf die Hauptkeule, wird als VorRück-Verhältnis bezeichnet. Wird
eine Richtfunkantenne an eine Wand
mit hoher Dämpfung montiert, so
kann eine Reflexionsstörung aus der
rückwärtigen Richtung der Antenne
erwartetet werden, falls in dieser Richtung große Nebenzipfel ausgeprägt
sind. In diesem Fall werden
Richtfunkantennen mit großem VorRück-Verhältnis eingesetzt, da hierbei die rückwärtigen Nebenzipfel
klein sind und die eigene Beeinflussung gering ist. WLAN-Richtfunkantennen weisen ein typisches VorRück-Verhältnis von 8 bis 25 dB auf.
Halbwertsbreite
Mit der Angabe des Öffnungswinkels
wird das Winkelsegment der Antenne beschrieben, über das die Leistung
bevorzugt abgegeben wird. Je größer
der Antennengewinn ist, desto kleiner ist der Öffnungswinkel. Der Öffnungswinkel wird in den Strahlungsdiagrammen an dem Punkt bestimmt,
an dem die Leistung gegenüber dem
Maximum auf die Hälfte, also um -3
dB, abgefallen ist. Da am Betrachtungspunkt die Leistung auf die Hälfte abgefallen ist, spricht man im Fachjargon auch von der sogenannten
Halbwertsbreite oder 3dB-Breite.
Antennentypen
Im WLAN können verschiedene Antennentypen zum Einsatz kommen.
In Abhängigkeit des Anwendungsfalls wird erwartet, daß eine Antenne
ihre Leistung großflächig abstrahlt
oder über einen kleines Winkelsegment auf einen bestimmten Punkt
09
Ausgabe 09/2003
22
ausrichtet, um größere Distanzen zu
erzielen. Es werden primär in zwei
Gruppen unterschieden: Rundstrahlund Richtfunkantennen. In WLANs
kommen omnidirektionale Antennen
bzw. omnidirektionale mit Gewinn,
Patch-, Yagi oder Panel-Antennen
zum Einsatz. Welche bevorzugt eingesetzt werden sollte, ist von Fall zu
Fall abzuwägen.
Omnidirektionale
Für die Reichweitenerhöhung innerhalb von Gebäuden, z.B. in Büros
oder Wohnräumen, können beispielsweise an den mobilen Stationen
omnidirektionale Antennen im
Miniaturformat eingesetzt werden,
die einen Antennengewinn von 2 bis
4 dBi aufweisen. Sie senden und emp-
fangen in alle Richtungen etwa gleich
gut. Über diese kleinen Omni-Antennen kann der Signalrauschabstand
um 2 bis 5 dB erhöht und die Sende/Empfangscharakteristik einer
WLAN-Station wesentlich verbessert
werden. Eine Station, die sich an der
Grenze einer Funkzelle befindet,
kann dank der Omni-Antenne mit einer höheren Datenrate arbeiten und
dabei eine fehlerfreie Datenübertragung garantieren.
Omni mit Gewinn
Neben den normalen, die ihre Leistung gleichmäßig in alle Richtungen abstrahlen, gibt es auch OmniAntennen mit Gewinn. Diese weisen
einen typischen Antennengewinn
von 5,2 bis 12 dBi auf. Die
Richtfunkwirkung wird über einen
vertikalen Öffnungswinkel von 50°
bis 7° erzielt, wobei der horizontale
Öffnungswinkel auf 360° bleibt. Wegen des erzielten Gewinns bezeichnet man diesen Antennentyp auch als
Gewinnrundstrahler. Es gibt Gewinnrundstrahler für die hängende Dekken- oder die Mastmontage. Die
Deckenausführung ist für die Versorgung von größeren Hallen vorgesehen. Gewinnrundstrahler für die Mastmontage werden vorwiegend im Außenbereich eingesetzt, um größere
Flächen auszuleuchten und die
Reichweite zu vergrößern. Abbildung
1 zeigt das Strahlungsdiagramm eines solchen Gewinnrundstrahlers, der
für die Mastmontage im Außenbereich geeignet ist.
Patch-Antenne
Abb. 1: Strahlungsdiagramm einer Omni-Antenne
Eine weitere Antennenvariante, die
zur Kategorie der Richtfunkantennen
gehört, ist die Patch-Antenne. Sie
weist einen typischen Antennengewinn von 4 bis 6 dBi auf, der über
einen vertikalen und horizontalen
Öffnungswinkel von 80° bis 65° erzielt wird. Dabei ist eine Reichweitensteigerung von bis zu 100% möglich.
Patch-Antennen werden in der Regel
für den Innenbereich konzipiert und
zeichnen sich durch ihre flache Bauweise aus. Sie sind für die Wandmontage geeignet und lassen sich
bevorzugt an Access Points anschließen, um die Ausdehnung einer Funkzelle in einer bevorzugten Richtung
zu erhöhen. Abbildung 2 zeigt das
typische Strahlungsdiagramm einer
Patch-Antenne.
Abb. 2: Strahlungsdiagramm einer Patch-Antenne
Yagi-Antenne
Typische Richtfunkantennen sind die
Yagis, mit denen im 2,4-GHz-WLANBereich Distanzen bis 1000 m überbrückt werden können. Mit Yagi-Antennen lassen sich zwei Gebäude über
größere Distanzen per WLAN miteinander verbinden. Ihre Bauweise ist
09
Ausgabe 09/2003
23
thema des monats
WAVEline
2,4GHz outdoor
Punkt-zu-Punkt und Multipunkt-Verbindungen
Das WAVEline-Antennenprogramm ist auch für professionelle Outdoor-Lösungen reich bestückt. Mit ihm sind alle Anwendungsfälle im WLAN abzubilden. Für
Punkt-zu-Punkt-Verbindungen zwischen zwei Gebäuden sind sowohl die
WAVEline Yagi-Antenne als auch die Panel-Antenne bestens geeignet. Zur Verbindung mehrerer Gebäude über Punkt-zu-Multipunkt Links können zusätzlich
noch die WAVEline Omni und die WAVEline Pico-Cell verwandt werden.
Rund- und Richtstrahler
Für die diversen Rundstrahler und Richtfunkantennen umfaßt das WAVElineAntennenprogramm ein umfangreiches Sortiment an Steckern und entsprechenden Kabeln. Das im Lieferumfang enthaltene LMR200 Kabel ist speziell
für die Außenmontage entwickelt und bietet eine hohe Korrosionsfestigkeit sowie
eine spezielle Schicht zur Verhinderung von Wassereindringung. Der Kabelsatz sorgt für die notwendige Dämpfung, damit die max. zulässige Sendeleistung eingehalten wird. Ein Befestigungssatz zur stabilen Wand- und Mastmontage ist bei allen WAVEline Outdoor-Antennen im Lieferumfang enthalten.
Blitzschutz ist zusätzlich erhältlich.
WAVEline Omni- 8-15
Als Rundstrahlantenne für Areale bis 510 m Durchmesser empfiehlt sich die
Omni 8-15 für große Plätze, Lagerhallen oder Hot-Spots. Die wetterfeste Antenne hält Windgeschwindigkeiten bis 216 km/h stand und bietet auch bei schlechtem Wetter sehr gute Leistungen. Sie erreicht bei einem Öffnungswinkel von
15° einen Antennengewinn von 8 dBi.
WAVEline Pico 8,5-70
Als wetterfeste Richtfunkantenne mit einem Öffnungswinkel von 70° horizontal
und 65° vertikal ist die Pico 8,5-70 indoor wie outdoor einsetzbar, bei einem
Wirkungsgrad von ca. 96% und einem Antennengewinn von 8,5 dBi. Die Reichweite erhöht sich um 50 bis 80% auf ca. 650 m. Die Pico ist für größere Hallen,
kleinere Plätze oder Hot Spots ebenso geeignet wie für Gebäudeverbindungen.
WAVEline Yagi-Antenne 12-35
Diese preiswerte Richtfunkantenne für Gebäudeverbindungen bringt bei 11
MBit/s Reichweiten bis 820 m im ETSI-konformen Bereich. Die wetterfeste Yagi
12-35 erreicht bei einem Öffnungswinkel von 35° einen Antennengewinn von
12 dBi. Ihre hochentwickelten Richtfunkeigenschaften empfehlen sie zum Aufbau mehrerer Richtfunkstrecken zur Bandbreitenbündlung, ohne alle Störeinflüsse auf Nachbarantennen.
WAVEline Panel-Antenne 14-30
Exzellente Übertragung auf Richtfunkstrecken bis 1.000 m und extreme Wetterfestigkeit zeichnen die WAVEline Panel 14-30 aus. In der gebäudeübergreifenden Kommunikation erbringt sie selbst bei schlechter Witterung sehr
gute Leistungen, bei einem Öffnungswinkel von 30° und 14 dBi Antennengewinn.
Sie schafft eine gegen Störeinflüsse unempfindliche 11 MBit/s-Verbindung, auch
bei geringem Abstand zu Nachbarantennen in Richtfunkstrecken.
durch einen Längsstrahler und eine
Reihe von parasitären Dipolen, die
als Direktoren bezeichnet werden,
charakterisiert. Der Antennengewinn
ist von der Anzahl und der Länge der
Direktoren und deren Abstand abhängig. Yagi-Antennen kennt man von
herkömmlichen terrestrischen Fernsehantennen, die bis vor kurzem noch
bei uns die Dächer zierten, wo jetzt
die Schüsseln stehen. WLAN-YagiAntennen haben einen vertikalen und
horizontalen Öffnungswinkel von
35° bis 25°, bei einen typischen Antennengewinn von 12 – 14 dBi. Abbildung 3 zeigt das Strahlungsdiagramm einer Yagi-Antenne.
Panel-Antenne
Yagi-Antennen haben den Nachteil,
daß sie relativ viel Nebenzipfel und
rückwärtige Keulen mit großen Ausprägungen besitzen. Demnach können benachbarte Systeme und die
Yagi-Antenne selbst stark beeinflußt
werden. Dies ist besonders kritisch,
falls die Yagi an einer Wand mit hoher Dämpfung montiert wird, da hier
die Reflexionen besonders stark sind.
Eine Alternative stellt die Panel-Antenne dar, weil sie ebenfalls eine ausgeprägte Richtfunkcharakteristik
aufweist. Vom Prinzip her entspricht
sie mehreren zusammengeschalteten
Patch-Antennen, um eine größere
Richtwirkung zu erzielen. Panel-Antennen liefern, bei einem Öffnungswinkel von etwa 30°, einen typischen
Antennengewinn von 12 bis 14 dBi.
Abbildung 4 zeigt das Strahlungsdiagramm einer typischen Panel-Antenne.
Steckervarianten
Im WLAN kommen unterschiedliche
Varianten von Antennensteckern und
-buchsen zum Einsatz. Die diversen
Ausführungen unterscheiden sich in
der Größe, in den mechanischen und
in den elektrischen Eigenschaften.
09
Ausgabe 09/2003
24
Diese verschiedenen Varianten sind
für den besonderen Anwendungsfall
gedacht. Für die PCMCIA- oder
Cardbus-Adapter werden kompakte
Buchsen- und Steckerformen benötigt. Im Außenbereich hingegen
braucht man welche, die gegen Witterungseinflüsse resistent sind. Diese
Anforderung ist zwangsläufige mit
größeren Bauformen verbunden.
Ein weit verbreiteter Miniaturstecker
ist der sogenannte MC Card Plug, der
auch als MCX-Stecker bezeichnet
wird und bei vielen WLAN-Adaptern
Anwendung findet. Da dieser Steckertyp von der Firma Lucent (Orinoco)
eingeführt wurde, spricht man hierbei auch oft vom sogenannten
Lucent-Stecker. Eine Alternative dazu
ist der Micro Miniature Coaxial
Connector, kurz MMCX, und vielfach
auch als Float-Mount-Stecker bezeichnet. Er hat ebenfalls eine kompakte Steckerform für den Einsatz bei
WLAN-Adaptern.
Pigtails
Die beiden Miniaturstecker MCX und
MMCX zeichnen sich also durch ihre
kleine und kompakte Bauweise aus.
Dieser Vorteil ist jedoch mit dem
Nachteil verbunden, daß diese
Steckervarianten mechanisch sehr
anfällig sind. Schon ein mehrmaliges
Aus- und Wiedereinstecken kann
dazu führen, daß der Stecker in den
Buchsen den festen Sitz verliert. Hierdurch besteht die Gefahr, daß sich die
elektrischen Eigenschaften verschlechtern, wodurch die Übergangsdämpfung ansteigen kann. Deshalb
empfiehlt es sich die Miniaturstecker
nur dort einsetzen, wo es unbedingt
auf eine kompakte Bauform ankommt. Zudem sollte schnellstmöglichst auf die größeren Varianten
mit der Hilfe von Pigtails adaptiert
werden. Pigtails entsprechen kurzen
Jumperkabel, die an den beiden Enden unterschiedliche Steckervarianten haben, um eine Adaptierung zwischen den verschiedenen
Steckerformen zu realisieren. Die
kurze Ausführung der Pigtails sorgt
für eine geringe Dämpfung, die im
Schnitt bei 0,7 dB liegt. Pigtails gibt
es in den unterschiedlichsten Kombinationen, die alle Steckervarianten
abdecken, so daß für jede Problemstellung eine Lösung verfügbar sein
sollte.
SMA und TNC
Abb. 3: Strahlungsdiagramm Yagi-Antenne
Bei den Access Points kommen vorwiegend das SMA- und TNC-Steckgesicht zum Einsatz. Hierbei handelt
es sich jeweils um eine Stecker-Buchsen-Kombination, die verschraubt
werden können und somit weitaus
bessere mechanische und elektrische
Eigenschaften bieten. Die Bauform
fällt jedoch etwas größer aus. Das
SMA-Steckgesicht gibt es in zwei
Ausführungen als SMA oder ReverseSMA, bei denen sich die Ausführung
des Innenkontaktes unterscheidet.
Beim Reverse-SMA ist der Innenkontakt der Buchse als Stift ausgeführt, wohingegen er beim SMA als
Kelch ausgeführt ist. Abbildung 5 a
zeigt die Indoor-Steckertypen.
Abb. 4: Strahlungsdiagramm einer typischen Panel-Antenne
Outdoor-Stecker
Werden Antennen im Außenbereich
montiert, kommen entweder TNCStecker oder N-Stecker zum Einsatz.
Diese beiden verfügen innen über einen Dichtungsring, wodurch sie bis
zu einem gewissen Grad wasserdicht
und damit für den Außenbereich besonders geschützt sind. Das TNCSteckergesicht ist etwas größer als die
09
Ausgabe 09/2003
25
thema des monats
Mobile und feste Antennen
RoamAbout Wireless LAN Portfolio
Die RoamAbout Wireless LAN Produkt-Familie von Enterasys Networks gründet auf IEEE 802.11b, dem 11 Mbps Standard. Enterasys bringt im Herbst Karten auf den Markt, die sowohl 802.11a als auch 11b/g unterstützen, um in
Wireless Access Points RoamAbout R2 alle drei Verfahren mit ihren unterschiedlichen Geschwindigkeiten und Frequenzen betreiben zu können.
RoamAbout 2000 und R2
Die Indoor- und Outdoor-Lösungen bestehen aus dem preisgekrönten
RoamAbout 2000 Access Point und der RoamAbout R2 Access Plattform. Adapter, Kabel und Antennen runden das Programm ab. Enterasys Networks verfügt
über ein wohl abgewogenes Antennenprogramm für In- und Outdoor-Lösungen. Für Access Points und Wireless Clients sorgt innen die Range Extender
Antenna für eine Optimierung der Übertragung und des Datenempfangs. Die
RoamAbout Outdoor Antennen-Familie für das 2,4GHz-Band beinhaltet
direktionale und omnidirektionale Antennen und interessanterweise auch eine
für die Fahrzeugmontage.
Außenmontage
Die mobile RoamAbout 5 dBi Vehicle-Mount ist eine omnidirekionale Breitbandantenne mit einem Antennengewinn von 5 dBi. Sie kann an Fahrzeugen montiert werden, die dauerhaften Netzwerkzugang benötigen. Die RoamAbout 7 dBi
Omni dagegen ist als wetterfeste, omnidirektionale Antenne mehr für Stabilität.
Diese Rundstrahlantenne ist für die Mastmontage an Gebäuden vorgesehen
und liefert einen Antennegewinn von 7 dBi. Die RoamAbout 14 dBi Directional
Antenna schließlich ist eine High-Gain Antenne für die direkte Gebäudeverbindung. Sie ist als Yagi-Antenne für die Punkt-zu-Punkt-Kommunikation bis
etwa 2 km gedacht, wird normal am Mast montiert und vertikal polarisiert. Alle
Richt- und Runkstrahler sind mit einem weiblichen Standard N-Stecker versehen
Kabel und Stecker
RoamAbout Pigtail Kabel ist auf die RoamAbout PC-Cards
und Access Points abgestimmt. Es hat einen Miniatur-Stekker auf der einen und einen male N-Connector nach Industriestandard auf der anderen Seite. Die APs der RoamAbout
Familie lassen sich einfach und schnell mit dem drahtgebundenen LAN via Unshielded Twisted Pair verbinden.
Outdoor Product Sets werden in Komplettpaketen a la carte
angeboten - erkenntlich an der Teilnummer RBTED - und
beinhalten alle notwendigen Komponenten samt Software
für jeweils ein Ende des Wireless Link. Folglich sind zwei
Kits für eine Point-to-Point-Verbindung erforderlich.
RoamAbout RF Kabel ist in verschiedenen Längen für die
Verbindung von WLAN-Komponeneten
mit Pigtail-Anschluß verfügbar. Das
Kabel hat einen Standard-N male
Connector an beiden Enden, ebenso
wie der Blitzschutz.
SMA-Varianten und kommt ebenfalls
in zwei Ausführungen daher, die als
TNC oder Reverse-TNC (auch RPTNC genannt) bezeichnet werden.
Beim N-Stecker handelt es sich um
die größte Bauform, die im WLANBereich zum Einsatz kommt. Er wird
gleichfalls durch Verschrauben mechanisch fixiert und bietet durch seine Größe die besten elektrischen Eigenschaften. Abbildung 5 b zeigt die
Outdoor-Steckertypen.
Innen und außen
Für die richtige Auswahl einer Antenne ist es natürlich auch wichtig zu
prüfen, inwieweit die Antennen für
den Innen- und Außenbereich konzipiert sind.
Outdoor-Antennen
Natürlich werden im Außenbereich
höhere Anforderungen gestellt, da
Antennen in diesem Bereich resistent
gegen Temperaturschwankungen und
das Eindringen von Feuchtigkeit sein
müssen. Ihre Oberfläche muß Witterungseinflüssen standhalten können.
Outdoor-Antennen müssen in unseren Breitengrad eine Betriebsfähigkeit bei einer Temperatur zwischen –
40° bis + 80° aufweisen und korrosionsbeständig sein. Das Antennenkabel muß temperaturbeständig, gegen Feuchtigkeit resistent und UVbeständig sein. Und auch die Antennenstecker müssen höhere
Witterungsanforderungen erfüllen.
Deshalb wird außen der TNC- oder
N-Stecker vorausgesetzt. Da aber beide in der Regel auch nicht ganz
100%ig wasserdicht sind, sollten diese Stecker im Außenbereich zusätzlich mit selbstverschweißenden
Dichtungsband umwickelt werden.
Indoor-Einsatz
Eine flächendeckende Versorgung
eines Gebäudes hängt von der Reichweite der einzelnen Funkzellen ab.
09
Ausgabe 09/2003
26
Lucent-Buchse
Float-Mount-Stecker
SMA-Stecker
Abb. 5 a: WLAN-Steckertypen indoor
werden, daß sich deren
Funkzellen überlappen,
denn nur so können
Funklöcher vermieden
und ein Datenaustausch
von jedem beliebigen
Punkt des Gebäudes aus
gewährleistet werden.
Eine lückenlose Ausleuchtung kann durch
eine hohe Dichte von
Access Points sichergestellt werden. Jedoch
stößt man hierbei, gera- Abb. 6: Patch-Antennen im Hochregal-Lager
de im 2,4-GHz-Frequenzband, schnell an die Grenze der ge Korridore oder in einem Hochverfügbaren Kanäle, denn im 2,4- regallager die Zwischengänge auszuGHz-Band stehen tatsächlich nur 3 leuchten. Geht es darum den InnenKanäle zur Verfügung, die sich ohne bereich großflächig auszuleuchten,
gegenseitige Beeinflussung überlap- kommen Omni-Antennen zum Einpen dürfen. Abhilfe hierbei bieten satz. So können z.B. die Gänge eines
Indoor-Antennen, weil sie die Reich- Hochregallagers optimal ausgeleuchweite und versorgte Fläche einer tet werden. (s. Abb. 6). Unabhängig
Funkzelle erheblich erhöhen, so daß vom Einsatz einer Antenne können
weniger Funkzellen benötigt werden. im Innenbereich die Reichweiten im
So bietet sich beispielsweise der Ein- Vorfeld nicht kalkuliert werden. Dessatz von Patch-Antennen an, um lan- halb ist eine Funkausleuchtung generell notwendig, um die notwendiN-Stecker
gen Punkte der Access Points zu bestimmen und die richtige Antennenauswahl treffen zu können.
Die erzielbare Reichweite einer Funkzelle ist von der Datenrate und von
den Hindernissen abhängig.
Je höher die Datenrate, desto geringer ist die Fläche, die durch einen Access Point beziehungsweise eine Funkzelle versorgt werden
kann.
Dasselbe gilt für die Hindernisse, falls
die Anzahl der Hindernisse groß ist
oder die Dämpfungswerte der Hindernisse groß sind. Somit ist die richtige
Plazierung der Access Points für die
lückenlose Ausleuchtung eines Gebäudes wichtig. Hierbei geht es darum, Funklöcher zu vermeiden. Dazu
müssen die Access Points so plaziert
Weiter geht´s
TNC-Stecker
Abb. 5 b: WLAN-Steckertypen outdoor
09
Ausgabe 09/2003
27
Die Reichweitensteigerungen, die
man mit Antennen erzielen kann, läßt
sich am besten anhand einer Richtfunkstrecke betrachten. Reichweiten
sind von einer Vielzahl Faktoren abhängig, von der Sendeleistung, dem
Antennengewinn, von Dämpfungsverlusten auf Kabeln oder Verbindungsstücken und vielem anderen
mehr, auf das wir das nächste Mal eingehen werden. Wir werden Ihnen sagen, wie man eine Richtfunkstrecke
richtig plant und die erzielbare Reichweite möglichst genau vorab kalkuliert. Außerdem geht es um die praktische Antennenausrichtung und im
Zusammenhang damit auch um die
DIN VDE 855, die die mechanische
und elektrische Sicherheit regelt.
h
HOTLINE
Monats-Patch CD 09/2003
Aktuelle Updates von A bis Z im September
Die aktualisierten Listen der neu erschienenen und empfohlenen Patches finden Sie als offene Excel-Dokumente auf
der Monats-CD im Verzeichnis_PatchListen. Der Patch-Finder sagt Ihnen, auf welcher CD sich bestimmte Updates
befinden. Gehen Sie über die Oberfläche der Technik News-CD zur Patchdatenbank, dort auf Auflistung
aller Patches dieses Jahres und geben Sie im Feld Patchname die gesuchte Datei ein. Die Auswertung
zeigt an, auf welcher CD sie zu finden ist.
BinTec
BW634.exe 8123 KB
DBMIB634.zip 552 KB
DS762B.exe 1249 KB
EDIR8704.exe 7433 KB
EDIR8704.tgz 116681 KB
NDP3SP3A.exe 388 KB
ZENGTOMCATINST.exe 10143
ZFS3SP2JNINICI.exe129 KB
ZFS3SP2PATCH2.exe 1330 KB
Computer Associates
QO41394.CAZ
QO41972.CAZ
QO41638.CAZ
Microsoft
WINDOWSXP-KB821557-X86-DEU.exe 5205 KB
WINDOWSXP-KB821557-X86-ENU.exe 5203 KB
WINDOWS2000-KB823980-X86-DEU.exe 901 KB
WINDOWS2000-KB823980-X86-ENU.exe 898 KB
WINDOWSSERVER2003-KB823980-X86-DEU.exe 1456 KB
WINDOWSSERVER2003-KB823980-X86-ENU.exe 1454 KB
WINDOWSXP-KB823980-X86-DEU.exe 1265 KB
WINDOWSXP-KB823980-X86-ENU.exe 1261 KB
Novell
483PSP2D.exe 2724 KB
ACCUPG51SP6.exf 139 KB
ACCUPG60SP3.exf 184 KB
BM37FP3B.exe 2309 KB
BM37SP2.exf 7685 KB
BMICSA.exe 3421 KB
CGIPERL71903.exe 108 KB
CPQACPI.exe 307 KB
CPQARRAY.exe 136 KB
DS621.exe 690 KB
Veritas
B90PNLS_260999.EXE
BW634.exe 8123 KB
In diesem Update finden Sie die neue BinTec BRICKware for Windows in der Release 6.3.4.
HOTLINE
DBMIB634.zip 552 KB
Zugehörige BinTec Mib-Files für die neue Bintec BRICKware for Windows r.6.3.4.
ARCserve Backup 9 Für Windows 2000
QO41394.CAZ (SP3/4 dt.engl.)
Tape Engine Update, die Liste der unterstützten Geräte ist bei CA im Web verfügbar.
QO41972.CAZ (QO41394)
NEC Maschine bootet nicht mehr nach Blue Screen im Zusammenhang mit Disaster Recovery.
ARCserve Backup 9 Für Windows
QO41638.CAZ
Für die Version 9.01 bringt der Patch3 ein kumulatives Update für die deutsche und englische Version.
Die Liste der behobenen Probleme können Sie der enthalten Datei ReadmeP3.xxx.html für die jeweilige Sprache entnehmen.
Patches
09
Ausgabe 09/2003
28
WINDOWSXPKB821557-X86-DEU.exe 5205 KB
Security Update für Windows XP 32-Bit Version behebt
Unchecked Buffer in Windows Shell (deutsch).
WINDOWSXPKB821557-X86-ENU.exe 5203 KB
wie zuvor (engl.)
WINDOWS2000KB823980-X86-DEU.exe 901 KB
Security Update für Windows 2000 behebt Buffer Overrun In
RPC Interface Could (deutsch).
WINDOWS2000KB823980-X86-ENU.exe 898 KB
wie zuvor (engl.)
WINDOWSSERVER2003KB823980-X86-DEU.exe 1456 KB
wie zuvor für Windows Server 2003 (deutsch)
WINDOWSSERVER2003KB823980-X86-ENU.exe 1454 KB
wie zuvor für Windows Server 2003 (engl.)
WINDOWSXPKB823980-X86-DEU.exe 1265 KB
wie zuvor für Windows XP 32-Bit Version (deutsch)
WINDOWSXPKB823980-X86-ENU.exe 1261 KB
wie zuvor für Windows XP 32-Bit Version (engl.)
483PSP2D.exe 2724 KB
Das Update behebt Probleme des Novell Client 4.83, die nach
dem SP2 bekannt wurden.
ACCUPG51SP6.exf 139 KB
Update für NW 5.1 SP6 Overlay CD unterstützt Accelerated
Upgrade.
ACCUPG60SP3.exf 184 KB
wie zuvor für NW 6.0 SP 3 Overlay CD
BM37FP3B.exe 2309 KB
Behebt Probleme des Bordermanager v.3.7, die nicht im SP2
behoben werden. Das SP2 muß in jedem Fall vorher installiert
werden.
BM37SP2.exf 7685 KB
SP2 für Bordermanager v.3.7 mit Updates für alle Produkte im
Lieferumfang.
BMICSA.exe 3421 KB
Bordermanager ICSA Compliance Kit v.2.0 wird benötigt, sobald auf NW 5.1 mit SP6 oder NW 6 mit SP3 gearbeitet wird.
CGIPERL71903.exe 108 KB
Security Update für NW 5.1 (SP6) bzw. NW 6 (SP2) mit installiertem Enterprise Web Server.
CPQACPI.exe 307 KB
Die Module C P Q A S L . N L M , C P Q A C P W R . N L M und
CPQACMGR.NLM beheben Installations-Probleme auf Compaq
Rechnern mit Multiprozessor Boards, wenn mit NW 5.1 (SP6)
oder NW 6 (SP3) Overlay CD installiert wurde.
CPQARRAY.exe 136 KB
Die Version 2.16 des Compaq 32-Bit Array Controller aus dem
SP 6 läuft nicht unter NW 5.1. Hier ist die lauffähige Version
2.09.
DS621.exe 690 KB
Neue NDS-Version für die NW 4.11 und 4.2 DS.nlm v.6.21
und DSREPAIR.nlm v.4.73a. Dieses Update behebt entscheidende Probleme bei der Integration von NW 6 Servern und der
Synchronisation auf eDirectory 8.6.x oder höher auf Windows
NT Servern.
DS762B.exe 1249 KB
Das NDS-Update für NW v5.1 mit NDS-v.7 enthält DS.nlm
v7.62b und ein neues DSLOADER.nlm.. Er behebt u.a Probleme bei der Integration eines NW 6.5 Servers und beim
Enhanced Auxiliary Class Handling. Nicht auf NW 5.1 mit DSVersion 8.x installieren und nicht auf NW 4.x oder 6.x.
EDIR8704.exe 7433 KB
Die eDirectory Version 8.7.0.4 für NW und Windows NT darf
nur auf eDirectory v. 8.7 Build 10410.98 installiert werden. Zur
Schema-Erweiterung s. TID 10077872.
EDIR8704.tgz 116681 KB
wie zuvor für AIX, Linux und Solaris nur auf Build 10410.98
installieren, wegen Schema-Erweiterung immer zuerst auf dem
Master der Root.
NDP3SP3A.exe 388 KB
Update für NDPS-Version auf NW 5.1 (SP6) bzw. NW 6
(SP3) behebt Fehler -344 bei Print Queues (s. TID 10081038)
ZENGTOMCATINST.exe 10143
Novell Installation Services (NIS) für TomCat 4.1 der NW 6 für
ZenWorks for Desktops v.4.x.
ZFS3SP2JNINICI.exe129 KB
Update für ZenWorks for Servers v.3.0 für NW 5.1 (SP 6) bzw.
NW 6 (SP3).
ZFS3SP2PATCH2.exe 1330 KB
Patches für ZenWorks for Servers v.3.0 nach SP 2.
Backup Exec 9.0 Für NetWare
B90PNLS_260999.EXE dt/engl.
Backup Exec Version 9.0 Build 4202 enthält NCLT Build = 636N04202, NDCA Build = 636N04202; NSVR Build = 636N04202;
DENCLT Build = 636N04202; DRIVER Build = 0011\0011N010;
Windows 95/98/ME Agent = 5.027; MAC Agent = 5.00 ; UNIX Agent = 5.046 ; RANT/OFO Option = 3923R.
09
Ausgabe 09/2003
29
h
HOTLINE
COMPUTER ASSOCIATES
Wenn´s mit der Neun nicht klappt
Teil 2: Fehlerbehebung bei ARCserve 9 für NetWare
Von Armin Schmuck
Einige Reaktionen bei ARCserve 9 für NetWare scheinen merkwürdig bis unerklärlich, wenn es nach der Installation
plötzlich zu Abbrüchen oder in laufenden Jobs zu überraschenden Fehlermeldungen kommt. Doch meist ist es nur ein
kleiner Schritt, die gute Beziehung zum System wiederherzustellen.
M
Mit Wechslern kommt es gelegentlich zu Abends beim
Laden von ARCserve. Server FS1 halted verheißt
nichts Gutes und kündigt an: Abend 1 on P00: Server-5.00k: Page Fault Processor Excep
tion (Error code 0000 0000)Running
process: CHANGER INIT Process. Der Grund
dafür liegt darin, daß die CPU des Systems beim Ausführen des Codes in LIBC.NLM ein Problem festgestellt hat.
Der Prozeß gehört zu dem Modul Changer.nlm. Das
Problem liegt darin, daß nicht die Backup-Software, sondern die verwendete Tape Library die hardwaremäßige
Kontrolle über den Reinigungs-Slot hat. Deshalb hat
ARCserve für NetWare keine Kenntnis davon, daß das
Bandlaufwerk gereinigt wird. Hardware-Kontrolle über
die Library und gleichzeitige ARCserve Software-Kontrolle liegen im Konflikt. Wird die Hardware-Kontrolle
verwendet, kann ein Auftrag von ARCserve durch die
Reinigungsfunktion der Library unterbrochen werden.
Wird die automatische Reinigungsfunktion der Tape
Library eingeschaltet, nachdem die ARCserve Tape
Library Option schon konfiguriert wurde, kann es zum
genannten Abend kommen. Er tritt in der Initialisierungsphase auf, also dann, wenn das Modul Tapesvr.nlm
geladen wird. Sie können das Problem durch den Eintrag
CLEANTAPE = DISABLED in der Datei \Arc
serve\Nlm\Tapesvr.cfg beheben.
HOTLINE
Antrieb fehlt?
Nach dem Installieren der SAN- und Tape-Library-Option von BrightStor ARCserve 9 auf einem Server, auf dem
der Fiber HBA-Treiber (Host Bus Adapter) CPQFC.HAM
geladen ist, schlägt der Backup Job fehl. Zwei Fehlermeldungen erscheinen bei Problemen mit Compaq HBA an
der Server-Konsole:
CHEYFC : Invalid Buffer length passed to Ham.
CPQFC : A request exceeding the
reported maximum data transfer length
has been rejected by the driver.
Um das Problem zu beheben, müssen Sie die Datei
Tapesvr.cfg, die Sie im Verzeichnis ARCserve\NLM
finden, editieren. Unter der Sektion [CONFIG] ändern
Sie die Werte für RSHOTS und WSHOTS auf =1. Danach
müssen Sie ARCserve neu starten. Trotz detailliertem
Durchsuchen eines Bandes mag es vorkommen, daß sich
die Informationen darüber nicht finden lassen. Diese können prinzipiell an zwei Stellen abgerufen werden. Zum
einen über den ARCserve Manager, im Job Log, den Sie
unten im Auftrags-Statusfenster finden. Oder Sie müssen
am ARCserve Server über die Auftragsnummer, im Verzeichnis ARCserve\Jbstatus.log, durch eine detaillierte Suche die passende Datei herausfinden und diese mit einem Text-Editior öffnen.
Manager zu lahm?
Ist der ARCserve Manager auf einer Arbeitsstation sehr
langsam, fragt sich, was zu tun ist, um ihn zu beschleunigen? Der Manager benötigt den Namen des Novell Baumes, um arbeiten zu können, je nach Umfeld dauert dies
recht lange. Abhilfe können Sie dadurch schaffen, daß
Sie auf dem Server, auf dem ARCserve installiert, ist die
Datei SYS:\Etc\Host editieren. Sie müssen darin die
IP-Adresse und den Tree-Namen des Servers eintragen,
der über eine Replica der Root Partition verfügt.
Geladen?
Nach dem Laden des Backup Agent for Open Files (BAOF)
auf einem NetWare 6.0 Server besagt eine Meldung, daß
man trotz alledem noch offene Dateien bei der Sicherung
habe. Woran kann das liegen? Nun, bei NSS Volumes lautet die Empfehlung von CA, daß ein Server, nachdem der
BAOF auf ihm geladen wurde, neu gestartet werden sollte. Damit kann man sichergehen, daß
keine offenen Dateien vorhanden sind.
Bei traditionellen Volumes auf
NetWare 6 besteht eine Abhängigkeit
des BAOF zu SPX. Das heißt, daß das
Ipxspx.nlm auf dem Server geladen
sein muß. Das bedeutet aber nicht, das
IPX auch auf einer Netzwerkkarte gebunden sein muß, sondern lediglich,
daß es die Voraussetzung ist, damit das
genannte NLM geladen werden kann.
09
Ausgabe 09/2003
30
TANDBERGDATA
Medien in eigener Regie
Laufwerke und Cartridges aus einer Hand
Tandberg Data unterstreicht durch ihr Engagement im Medienbereich die Entwicklung vom Laufwerkshersteller zum
Anbieter kompletter Storagelösungen. Für jedes ihrer Bandlaufwerke stellt Tandberg inzwischen das passende Medium
unter eigenem Label bereit. Kunden erhalten die komplette SLR-, DLT-, SDLT- und DLT VS-Technologie aus einer
Hand. Die Tandberg Hotline richtet ihren Service konsequent an den Anwendern aus.
Cartridges durchlaufen bei Tandberg
Data hohe Qualitätskontrollen und
werden durch das Unternehmen
zertifiziert, wodurch eine sehr hohe
Betriebssicherheit garantiert wird.
Fachhändler profitieren vor allem von
der vereinfachten Logistik. Anwender
haben die Möglichkeit, alle
technischen Probleme mit einem Ansprechpartner zu
klären. Im Falle eines Datenverlusts stehen außerdem die
Recovery-Spezialisten IBAS in Norwegen parat, mit denen
Tandberg Data seit Jahren eine strategische Kooperation
unterhält. Die farbliche Kennzeichnung der Medien
erleichtert die Zuordnung von Laufwerksmodell und
Cartridge.
Cartridges bei Tandberg Data mit dem Bulk
Eraser wieder in einen ursprünglichen Zustand
zu versetzen, um sie dann auch im DLT1/DLT
VS80 nutzen zu können. Einzelheiten nennt
die Tandberg Data Hotline unter der TelefonNr.: 0231 5436-142.
C
Bulk Eraser
Durch die Erweiterung der Techno-logie-Plattformen und
der Produktpalette steht Tandberg Data heute für professionelle, auf die Bedürfnisse der Kunden zugeschnittene Storage-Lösungen. Tandberg Data in Dortmund
hält u.a. auch eine Dienstleistung bereit, die von manchen
DLT1/DLT VS80-Besitzern gewiß sehnsüchtig erwartet
wurde. Die Rede ist von der Möglichkeit, DLT-Cartridges
mittels eines sogenannten Bulk Erasers vollständig und
rückstandsfrei von allen Daten und Formatinformationen
zu löschen, so daß die solcherart behandelten Datenträger
in ihren magnetischen Eigenschaften einer frisch hergestellten Cartridge gleichen.
Wie neu
Bekanntlich wird die DLTtapeIV-Cartridge sowohl in den
DLT-Geräten 4000,7000 und 8000 als auch in den DLT1/
DLT VS80-Streamern eingesetzt. Da die Bandformate und
Spurlagen zwischen diesen beiden Gerätegruppen sehr
verschieden sind, können die mit den erstgenannten DLTs
beschriebenen Cartridges nicht mit den VS80-Streamern
überschrieben oder gelöscht werden. Gleiches gilt für den
umgekehrten Fall. Viele Kunden möchten nun nach dem
Umstieg von den 4000er, 7000ern oder 8000ern auf die
DLT1/DLT VS80-Serie die alten Cartridges weiter verwenden. Gegen eine geringe Gebühr ist es möglich, diese
Seriennummer
Immer wieder löst die Frage des Hotliners nach der Seriennummer eines Streamers beim Kunden nur ein hilfloses
Schulterzucken aus. Die Lieferpapiere sind nicht zur Hand,
das Laufwerk ist noch eingebaut und die auf dem Streamer
angebrachte Seriennummer somit nicht verfügbar. Doch
zur Identifikation des Gerätes ist sie für den technischen
Support unabdingbar, um Herkunft, Garantiezeiten,
Fehlerhistorie, Austausch oder Reparatur abzuklären. Es
gibt aber glücklicherweise Möglichkeiten, die Seriennummer mittels Software zu ermitteln.
Per Software
Veritas Backup Exec stellt unter Windows NT4/2000 die
Seriennummer direkt zur Verfügung. Unter Geräte/Lauf
werksname/Eigenschaften ist die Info unmittelbar
verfügbar. Für die Desktop-Systeme Windows95/98/ME
kann das Programm FlashIt verwendet werden. Dieses
auf der Tandberg-Webseite zur Verfügung stehende
Programm ist eigentlich zum Einprogrammieren der
Streamerfirmware vorgesehen. Als nützliches Nebenprodukt meldet es jedoch auch alle im Rechner vorhandenen SCSI-Geräte mit ihren Seriennummern. Das Hilfsprogramm ist auch als NT4/W2000-Version erhältlich, die
bei weniger auskunftfreudigen Backup-Programmen
eingesetzt werden kann. Ungünstiger ist die Situation bei
Novell-basierenden Servern. Leider bieten weder Novell
selbst noch die installierten Backupprogramme die Möglichkeit, die Seriennummer direkt auszugeben. Als Notlösung bietet sich FlashIt an, das auch in einer DOSVersion verfügbar ist und somit auf dem – natürlich auf
DOS-Ebene heruntergefahrenen – Novell-Server eingesetzt werden kann. Die beste Lösung ist aber sicherlich,
die Seriennummer(n) schon vorab am Server zu vermerken,
so daß sie im Servicefall sofort verfügbar ist.
09
Ausgabe 09/2003
31
h
HOTLINE
CISCO
On the Route again
Teil 2: Tunnel-Konfiguration mit Easy VPN
Von Jörg Marx
Das Thema Virtual Privat Networks ist zwischenzeitlich in aller Munde. Fast in jeder Firma ist es üblich, daß
Niederlassungen und Außenstellen über einen VPN-Tunnel an die Zentrale angebunden werden. Cisco hat mit der
Easy VPN-Technik mittlerweile ein anwenderfreundliches Feature für die Remote-Administration auf fast allen
Router-Produkten, der Pix Firewall und den VPN- Clients implementiert.
E
Make it easy
Ein VPN dient dazu, Firmennetzwerke über WAN-Strekken - z.B. über das Internet - sicher zu verbinden. Aber
auch Außendienstmitarbeiter oder kleine Filialen werden
zusehends über VPN an die Firmenzentralen angebunden.
Cisco hat ihr Easy VPN Feature mittlerweile auf fast allen
Produkten implementiert, angefangen bei den Routern
ab der IOS-Version 12.2(4)YA, bei der Pix Firewall wie
auch bei den VPN-Hard- und Software Clients. Ziel ist es,
daß ein VPN-Client alle nötigen Informationen zum
Tunnelaufbau von der Zentrale erhält, so daß in einer Außenstelle nur ein noch minimale Anpassungen nötig sind.
Wo ein Client ist, muß auch ein Server sein. Doch ein
Easy VPN-Client kann sich immer nur auf einen EasyVPN-Server verbinden. Dieses Feature ist auf den IOSRoutern 1700 und höher ab der Version 12.2(8)T verfügbar, selbstverständlich auch auf der aktuellen Pix Software und dem Cisco VPN-Concentrator 3000. Auf dem
Easy VPN-Server wird eine Security Policy hinterlegt, in
der alle nötigen VPN-Parameter wie der Encryption- und
der Authentication-Algorithmus hinterlegt werden. Hat
sich nun ein passender VPN-Client auf den Server verbunden, wird die für ihn hinterlegte Policy auf den Client
geladen, der nun eine transparente Verbindung in die Zentrale hat, die zudem durch die Policy je nach Wunsch
reglementiert werden kann. Doch Cisco Easy VPN verfügt zudem noch über weitere positive Eigenschaften.
Take it easy
Dabei liegt das Problem darin, daß sich die Konfiguration eines VPN-Tunnles auf den verschiedenen Geräten oft
sehr aufwendig gestaltet. Sie vollzieht sich vielerorts als
lang anhaltender Test der best geeigneten Parameter, wobei immer wieder Änderungen durchgeführt werden müssen, um einen sauber funktionieren VPN-Tunnel zu erhalten. Denn eine Konfiguration ist für Außendienstler oder
die Mitarbeiter kleinerer Büros meist selbst nicht machbar. Sie haben dazu normalerweise nicht das erforderliche
Know-how und müssen meist warten, bis der verantwortliche Netzwerkadministrator persönlich zur Außenstelle
kommt. Verständlich, daß ein vereinfachtes Verfahren erwünscht ist, das den Konfigurationsaufwand auf ein Minimum reduziert, indem die Geräte zentral vorkonfiguriert
werden können. Cisco hat hier reagiert und stellt dafür
die Easy VPN-Technik zur Verfügung.
High Availability
Abb. 1: Cisco Easy VPN Server und Client
HOTLINE
Cisco Easy VPN ist kompatibel zum
Reverse Route Injection (RRI) und
zum Hot Standby Router Protocol
(HSRP). Werden beide in Kombination eingesetzt, erreicht man eine weit
höhere Flexibilität und Verfügbarkeit
der vorhandenen VPN-Verbindungen.
RRI ist ein Feature, welches speziell
für VPN entwickelt wurde, um Redundanzen zu ermöglichen. Es werden
sowohl static als auch dynamic CryptoMaps unterstützt. RRI arbeitet folgendermaßen. Ist eine Route angelegt z.B. durch einen neu aufgebauten VPN-
09
Ausgabe 09/2003
32
meter, NAT/PAT-Konfigurationen und Access-Listen, aber
auch Authentication und Key-Management.
Tunnel - wird sie automatisch in allen dynamischen
Routing-Protokolle ”injiziert”. Hierdurch können z.B.
Verbindungen zwischen zwei Außenstellen, die über die
Zentrale verbunden sind, aufgebaut werden.
HSRP hingegen wurde entwickelt, um eine höhere Verfügbarkeit im IP-Routing zu erreichen. Zwei oder mehrere Router bekommen eine virtuelle IP-Adresse, die im
Netzwerk als Default Gateway genutzt wird. Diese Adresse ist jedoch immer nur auf einem Router gebunden. Fällt
er aus, übernimmt der nächste. Cisco IPSec kann nun diese virtuelle IP-Adresse als Identity-Adresse oder Tunnel
Endpoint nutzen. So kann ein Failover im VPN-Netzwerk
realisiert werden. Beide Techniken können im Easy VPNBereich zum Einsatz kommen, jedoch nur auf der zentralen Seite, dem Easy VPN-Server (vgl. Abb.1).
Client-Modi
Der Client kann in zwei unterschiedlichen OperationsModes genutzt werden. Der erste wird als Client-Mode
bezeichnet. Hierbei wird automatisch eine NAT/PAT-Konfiguration auf dem Remote Device angelegt, so daß kein
Host hinter dem Easy VPN Client eine IP-Adresse aus dem
Bereich der Zentrale verwendet. Ebenfalls werden die
nötigen Access-Listen automatisch auf dem Device angelegt, um den Tunnel aufzubauen. Wichtig zu wissen ist,
daß diese Kommandos nicht in der Startup oder RunningConfig abgelegt werden. Sie sind nur aktiv, wenn der Tunnel aufgebaut ist. Ansehen können Sie diese mit den Kommandos: SHOW IP NAT STATISTICS und SHOW
ACCESS-LIST.
Der zweite Modus nennt sich Network Extension-Mode.
Hierbei wird das remote Netzwerk komplett ins zentrale
Netzwerk geroutet. Somit wird ein transparenter Zugriff
zwischen beiden sichergestellt. Hierbei wird kein NAT/
PAT in die Verbindung gelegt.
Splitt Tunneling
Cisco Easy VPN unterstützt Splitt Tunneling, welches eine
Trennung vornimmt zwischen dem Verkehr, der unverschlüsselt direkt ins Internet gehen soll, und dem, der
verschlüsselt durch den Tunnel gereicht wird. Ohne Splitt
Tunneling würde jeglicher Traffic direkt in den VPN-Tunnel geleitet, wodurch der Remote User nicht mehr direkt
im Internet arbeiten könnte.
Im Sinne der Administrierbarkeit ist es das beste, so wenig Konfigurationsparameter wie möglich von der ClientSeite abzufragen, und statt dessen eine einfach Überprüfung der Remote-Seite stattfinden zu lassen, nach der alle
notwendigen Parameter von einem zentralen Device übermittelt werden. Das kann ein Cisco VPN-Konzentrator sein,
ein Router oder die Cisco Pix Firewall.
Der Client kann in jedem Fall mit allen nötigen Informationen versorgt werden. Hierzu zählen die Tunnel Para-
Konfiguration
Das folgende Beispiel zum Cisco Easy VPN beschränkt
sich auf die Cisco IOS-Router. Im ersten Schritt möchten
wir den Easy VPN-Server konfigurieren, danach den
Client. In unserem Beispiel arbeiten wir im sogenannten
XAUTH-Mode mit lokaler User-Datenbank auf dem
Router. Es werden nur die für Easy VPN-Server nötigen
Parameter angezeigt. Tabelle 1 versieht die benötigten
Kommandos mit einer kurzen Beschreibung.
Tabelle 1
aaa authentication login
userlist local
username cisco password 7 cisco
crypto isakmp xauth timeout
crypto map dynmap client
authentication list userlist
aaa new-model
aaa authorization network
hw-client-groupname local
aaa session-id common
crypto map dynmap isakmp
authorization list
hw-client-groupname
crypto map dynmap
client configuration
address respond
crypto map dynmap 1 ipsec-isakmp
dynamic dynmap
für die Authentisierung wird eine lokale User-Datenbank verwendet
erzeugt einen lokalen User namens cisco mit dem Paßwort cisco
Zeit, in der ein User Namen und Paßwort eingetragen haben muß
legt eine crypto map namens dynamp an, die eine XAUTH Authentication
aktiviert
bestimmt, daß der Router mittels AAA authentisiert
alle Netzwerkservices des Routers müssen sich mit AAA anmelden.
Die Gruppe hw-client-groupname nutzt die lokale Userdatenbank.
legt eine unique Session-ID für jede AAA-Session auf dem Router an.
definiert die Gruppe hw-client-groupname für die lokale CryptoMap, so daß alle VPN-Verbindungen hierüber authentisiert werden.
aktiviert die IKE Negotiation, damit auch VPN-Peers ohne feste IP-Adresse
zugelassen werden.
IKE wird für den Verbindungsaufbau des IPSec Tunnels verwendet.
Tabelle 1: Benötigte Kommandos für Easy VPN-Server
09
Ausgabe 09/2003
33
h
HOTLINE
172.168.0.65 172.168.0.127
access-list 150 permit ip
172.168.0.128 0.0.0.127 any
Easy VPN-Server
Eine fertige Konfiguration würde wie folgt aussehen:
Beachten Sie, daß hierbei nur die zur Konfiguration wichtigen Parameter gezeigt werden. Dennoch hat man, wie
der Kommando-Abfolge zu entnehmen ist, am Easy VPNServer schon einen etwas höheren Konfigurationsaufwand.
aaa new-model
aaa authentication login userlist local
aaa authorization network
hw-client-groupname local
aaa session-id common
username cisco password 7 cisco
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp client configuration
address-pool local dynpool
crypto isakmp xauth timeout 60
crypto isakmp client configuration
group hw-client-groupname
key hw-client-password
dns 172.168.0.250 172.168.0.251
wins 172.168.0.252 172.168.0.253
domain cisco.com
pool dynpool
acl 150
crypto ipsec transform-set
transform-1 esp-des esp-sha-hmac
crypto dynamic-map dynmap 1
set transform-set transform-1
crypto map dynmap client authentication
list userlist
crypto map dynmap isakmp authorization
list hw-client-groupname
crypto map dynmap client configuration
address respond
crypto map dynmap 1 ipsec-isakmp
dynamic dynmap
interface Ethernet0
crypto map dynmap
ip local pool dynpool
Easy VPN-Client
Umso geringer sieht es aber am Client aus. Im folgenden
ist die zum obigen Easy VPN-Server passende ClientKonfiguration mit den dazu nötigen Parametern aufgeführt:
crypto ipsec client ezvpn hw-client
group hw-client-groupname
key hw-client-password
mode network-extension
peer 20.0.0.5
interface Ethernet0
crypto ipsec client ezvpn hw-client
Zur Überprüfung und zur Fehleranalyse bietet Cisco wie
gewohnt zahlreiche SHOW-Kommandos an. An dem
Remote Client können Sie mit dem Befehl show crypto
ipsec client ezvpn alle Informationen über die
VPN-Verbindung erhalten, insbesondere ob der Tunnel
up ist, und welche IP-Adressen zugewiesen wurden. Sollten Probleme entstehen oder Werte nicht stimmen, können mittels debug crypto ipsec client ezvpn
genauere Informationen zu Fehlern herangezogen werden.
Technik-News-Leserumfrage
Service-Angebote des Compu-Shack Support
HOTLINE
In unserer 150. Ausgabe hatten wir Sie, liebe Technik News Leserinnen und Leser, gebeten, uns per Fragebogen
einige Hinweise zum aktuellen Service-Bedarf im Netzwerkbereich zu geben. Der Rücklauf war beeindruckend,
die vielen Anmerkungen in jeder Hinsicht kompetent und hilfreich. Daher herzlichen Dank an alle Teilnehmer!
Im Trend
Nach der Auswertung der Befragung geht es Technik-News-Lesern zufolge derzeit vor allem um Security-Fragen
in der Netzwerkkommunikation, begleitet auch von entsprechenden Backup-Lösungen und -Strategien. Die
Netzwerkbetriebssysteme und der Patch-Service haben unverändert hohen Stellenwert. Wireless LAN ist dem
aktuellen Trend folgend stark im Kommen, ebenso Voice over IP, das kontinuierlich in die Netzwerke Einzug hält.
Das Support- und Consulting-Team der CS- Solution wird ihr Service-Angebot für die technische Unterstützung auf
die aktuellen Projektvorhaben der Unternehmenskunden und Fachhandelspartner abstimmen und die genannten Interessensschwerpunkte in den Mittelpunkt stellen. Für Oktober wird ein TN-Quartals-DVD vorbereitet.
Gewinner
Als Dankeschön haben wir unter allen Teilnehmerinnen und Teilnehmern einige attraktive Preise verlost (s. Seite
38). Gewinner werden gewiß aber alle Leser der Technik News sein, die Ihre bevorzugten Schwerpunkt-Themen
im Netzwerk mit den entsprechenden technischen Hintergründen aufbereiten wird.
Glückwunsch an die Gewinner und Dank an alle Teilnehmer
Ihre Technik-News-Redaktion
09
Ausgabe 09/2003
34
CITRIX
Tips & CiTricks
IMA Service und Speicherbelegung
Wenn eine lokale Microsoft Access Datenbankdatei als permanenter Ablageort der IMA-Daten verwendet wird, kann
die vom IMA-Service verwendete Speichermenge kontinuierlich anwachsen, bis der Dienst einen Restart ausführt.
Behoben werden kann dieser Sachverhalt durch die Installation des Windows 2000 Service Pack 2 und der Modifikation der Registry-Datenbank des Servers.
D
Die Windows 2000Versionen vor Service Pack 2 hatten ein Speicherleck
in der Microsoft Jet Database Engine.
Verwendung findet die Engine immer
dann, wenn als Speicherort der IMADaten eine Acces-Datei auf dem lokalen MetaFrame XP Server dient. Sie
wird auch dann verwendet, wenn der
Citrix Resource-Manager auf dem
System installiert wurde, und zwar
unabhängig vom IMA-Datenbanktyp.
Weitere Hinweise zum Speicherleck
der MicroSoft Jet Database Engine finden Sie im Technet-Artikel ”Q273772”:
FIX: Memory Leak in Jet ODBC Driver
with SQL_NUMERIC or SQL_C_
BINARY Data
Der erwähnte Bugfix ist im Service
Pack 2 für Windows 2000 bereits integriert. Die vom IMA-Service benutzte Speichermenge kann durch
Modifikation des folgenden
Registry-Keys beschränkt werden:
HKEY_LOCAL_MACHINE\Software\
Microsoft\Jet\4.0\Engines\Jet 4.0
REG_DWORD: MaxBufferSize
Default: 0, Minimum: 512
Berechnet
Der Eintrag MaxBuffersize entscheidet über die Größe des internen
Cache der Jet Database Engine, gemessen in KiloBytes (KB). Per
Default verhält sich die benutzte
Speichermenge proportional zum installierten Memory des Servers. Wenn
der Registry-Eintrag MaxBuffer
Size auf 0 gesetzt wird (Default), so
kann über die folgende Formel ein
realistischer Arbeitswert ermittelt
werden: (Total RAM in MB - 12MB)
: 4 + 512KB Zum Beispiel wäre bei
einem System mit 32 MByte Arbeitsspeicher die Default BufferSize (32
MB – 12 MB) : 4 + 512 KB, ingesamt
also 5632 KByte.
Das von Microsoft vorgegebene Minimum an Arbeitsspeicher für den internen Cache der Jet Databse Engine
beträgt 512 KByte (0x200 in hexadezimal). Wenn die BufferSize von 0
auf 512 geändert wird, so werden Sie
feststellen, daß der IMA-Service anschließend weniger Speicher verbraucht.
Startschwierigkeit
In einigen Fällen kann der IMADienst während der Installation von
Meta Frame XP auf einem Windows
2000 SP2 System nicht gestartet werden, wenn als Data Store ein Oracle
Datenbank-Server Verwendung findet. Festgestellt wurde dieses Fehlverhalten mit den MDAC Versionen
2.5 SP2 und 2.6 SP1. Auf dem Server
war der Oracle Client v8.16 installiert.
Workaround
Stoppen Sie als erstes den Setup-Prozeß von MetaFrame XP manuell über
den Task-Manager von Windows
09
Ausgabe 09/2003
35
2000 und starten Sie anschließend
das System neu. Nach dem Reboot
muß das Service Pack 1 für MetaFrame XP installiert werden. Zum
Schluß starten Sie den Server wieder,
der IMA-Service sollte nun ordnungsgemäß funktionieren.
Zusatz-Info
Wenn die Installation von MetaFrame
XP über den Task-Manager von
Windows 2000 manuell terminiert
wird, so sind die Dateien bereits kopiert und auch die Registry-Einträge
vorgenommen worden. Das einzige,
was von der Setup-Routine von
MetaFrame XP noch nicht ausgeführt
wurde, ist der Start des IMA-Service.
Durch die Installation von Service
Pack 1 für Citrix MetaFrame XP werden die Dateien upgedated, die für
den Start des IMA-Dienstes notwendig sind.
IMA startet nicht
Die Installation von MetaFrame XP
kann auch fehlschlagen, wenn der
Spooler-Dienst entweder gestoppt/
disabled oder aber so konfiguriert
wurde, daß er nicht unter einem lokalen System-Account arbeitet. In diesen Fällen erhalten Sie die Fehlermeldung Setup could not start
the IMA-Service. Wie die Meldung bereits aussagt, läßt sich der
IMA-Dienst nicht starten. Im
Ereignisprotokoll sehen Sie die folgenden Fehlermeldungen:
Failed to load plugin
h
HOTLINE
MfPrintSs.dll with error
80000001h.
Failed to load initial
plugins
with
error
80000001h.
The Independent Management
Architecture service
terminated with servicespecific error 2147483649.
Um das geschilderte Fehlverhalten zu
korrigieren, konfigurieren Sie den
Spooler-Dienst so, daß er unter einem
lokalen System-Account läuft. Anschließend betätigen Sie in der Setuproutine von MetaFrame XP die Option Wiederholen oder aber Sie starten die Installation erneut.
Ohne Resource
Der Citrix Resource Manager funktioniert nicht ohne IMA-Service.
Wenn Sie den Resource Manager 2.0
von der MetaFrame XP 1.0 CD installieren, so gilt es unbedingt zu beachten, daß das Feature-Release 2 nicht
dem Server vorher hinzugefügt wurde. Anders herum gesagt, es ist nicht
erlaubt, den Resource Manager von
der Original MetaFrame CD auf einen Server zu installieren, der bereits
über das Feature-Release 2 verfügt.
Sollte dies dennoch passieren, so
kann der IMA-Service nicht starten,
was wiederum dazu führt, daß der
Resource-Manager nicht funktioniert, da er ja den IMA-Dienst voraussetzt. Wenn Sie nun versuchen,
den IMA-Dienst manuell zu aktivieren, so erhalten Sie die Fehlermeldung
-214783602.
Führen Sie die folgenden Schritte aus,
um das genannte Fehlverhalten zu
korrigieren: Control-Panel über
Start / Settings ausführen. Dann
selektieren Sie die Option Add /
Remove Programs mit anschließender Deinstallation des Resource-
Sollte der Resource Manager 2.0 bereits auf der Metaframe XP Version 1.0
installiert sein, so erkennt die SetupRoutine des Feature-Release 2 diesen
automatisch und führt ein Update der
entsprechenden Komponenten durch.
Manager. Wie üblich folgt der Neustart des Servers.
Sollte der IMA-Service immer noch
nicht gestartet werden können, so
versuchen Sie, die Metaframe XP Installation zu reparieren. Hierzu wechseln Sie wieder in das Control-Panel
und selektieren unter dem Eintrag
Add / Remove Programs die Funktion Change / Repair. Bringt auch
diese Maßnahme keinen Erfolg, so
entfernen Sie Citrix MetaFrame XP
(Feature-Release 2) vom entsprechenden System und installieren die
Software komplett neu.
...Glückwunsch an die Gewinner und
Dank an alle Teilnehmer!
Je einen 64MB USB-Memorystick Corega von Allied Telesyn haben gewonnen:
Bernd Prösdorf, CCP Condor-Computer West
Carsten Peters, Hansa Projekt
Detlef Stienen, Gesodata mbH
Guido Markowitsch, WMC Computersysteme
Hans Mertes, Mertes Computerservice
Hubertus Hettenkofer, Controlware GmbH
Joachim Berthold, TU Dresden
Frank Sauerbier, AbaMediCus
Jürgen Wiesheu, DSW-Consulting GmbH
Stefan Blahowetz, KIV in Hessen
Tobias Stücher, Connect EDV-Vertriebs GmbH
Ein 216 Seiten starkes Buch ”PC-Netzwerktechnik”
von CS Production geht an:
A. Eckert Saint-Gobain Isover G+H AG
Alf Schulze, Lexware GmbH & Co. KG
Andreas Hauswald, Rayen Intec GmbH
Andreas Hoyer, ACC Computer Center Annaberg
Bernd Buta, Siemens AG ICN
Claus Friedrich, CeNes GmbH
Hans Joachim Kocher, Kocher + Kollegen
Harald Haneder, Haneder EDV-Dienstleistungen
HOTLINE
Jeweils eine Wireless Compact Flash Karte von CS Production für den PDA erhalten:
Holger Kistner, Kistner Datensysteme
Alexander Beck, Beck EDV e.K.
Andreas Topel, Traffix Network Partner
Bernd Begerow, gid gmbh
Carsten Greve, Greve DatCom
Hans-Reinhard, Tews Computer + NetworkService
Harald Vranden, Klimkeit Computer Systeme
Heiko Lange, ESC
Jörg Augustin, FEM-CAD
Martin Schlarb Hueber, Getriebebau GmbH
Mathias Timmermann, Hamburger Daten Service
Jürgen Strübing, TK Handel und DL
Kay Fischbach, E/M/C GmbH
Lars Herrmann, Schiffl & Partner GmbH & Co.
Michael Cullmann, igr Aktiengesellschaft
Michael Krupka, Computer-Solution Krupka
Mitarbeiter der Heubeck GmbH
Oliver Braun, PC Spezialist Systempartner
Peter Rißler, Albert-Schweitzer-Gymnasium
Uwe Tilch, Stadtverwaltung Bischofswerda
Winfried Wendt, Wendt EDV Dienstleistungen
09
Ausgabe 09/2003
36
TOBIT
Fortbildung
Mail Client lernt faxen
Wie bringt man einem E-Mail Client das Faxen bei? Nun, mit dem richtigen E-Mail Server ist es kein Problem, anderen
Mail-Clients das Faxen beizubringen. Bei Tobits DvISE-Produkten ist hierfür das sogenannte MailGate verantwortlich. Hierzu einige Tips der Tobit Hotline.
der eigentlichen Installation alle David-Dienste beendet werden sollten.
Im Windows NT/2000 DvISE Administrator finden Sie nach der Installation einen weiteren Menüpunkt, der
den Namen MailGate trägt. Unter
NetWare müssen Sie den Service separat in Form des NLMs MAILGATE
von der Server-Console aus starten.
Konfiguration
B
Beim Tobit MailGate handelt es sich
um ein SMTP-Gateway, das entweder
unter Windows NT/2000 oder unter
Novells NetWare zum Einsatz kommt.
Voraussetzung hiefür ist eine bereits
vorhandene David-Installation. MailGate schlägt eine Brücke zwischen
den David-Nachrichtendiensten Fax,
Voice, T-Mail, GSM/SMS und dem
SMTP-Protokoll. Nach Installation
der Software ist jeder SMTP-fähige
E-Mail Client in der Lage, Faxe, TMails, Vocie-Mails und SMS über den
David-Server zu versenden und zu
empfangen.
Installation
Zuerst sollte sichergestellt sein, daß
der Dienst David Postman korrekt
konfiguriert wurde. Anschließend
wird der Service Tobit MailGate installiert, in dem das Programm SET
UP.EXE im Verzeichnis \GATE
WAYS\MAILGATE\NT bzw. \GATE
WAYS\MAILGATE\NW von der David Installations-CD ausgeführt wird.
Im MailGate PDF-File oder in der
Online-Hilfe im DvISEAdministrator
finden Sie weitere Hinweise dazu.
Wichtig ist es zu beachten, daß vor
Zur Konfiguration werden mehrere
Submenüs angeboten, unter anderem
die Rubrik System, die für generelle
Einstellungen gedacht ist. Der Punkt
Eingang dient der Konfiguration des
E-Mail-Empfangs sowie dem Umgang mit Sendeaufträgen. Im Menüpunkt Ausgang finden Sie Einstellungsmöglichkeiten für die Benachrichtigung des Verfassers bei gesendeten Aufträgen. Faxrundsendungen wiederum werden unter
Weiterleitung eingerichtet, für
automatisierte Sendeaufträge ist eine
Konfiguration unterhalb von Mail
Robot durchzuführen. Die meisten
Einstellungen von MailGate können
im Prinzip übernommen werden, aus
diesem Grund wollen wir hier nur die
notwendigen Anpassungen erläutern.
Anpassungen
Im Feld Absenderkennung unterhalb von System wird die von
MailGate zu verwendende Kennung
eingestellt, die bei Rückmeldungen
über Sendestatus und Nachrichtenempfang im Feld FROM eingetragen
wird. Diese Rückmeldungen gehen
an den jeweiligen Urheber eines
Auftrages.Im Punkt Benutzer-
09
Ausgabe 09/2003
37
daten auf der Registerkarte Eingang werden alle E-Mail-Adressen
mit dem dazugehörigen Benutzernamen eingetragen, die aus der DvISEKonfiguration stammen. Nachrichten, die nicht anhand der Verteilerliste identifiziert werden konnten,
werden an die Adresse gesendet, die
im Punkt Generell unterhalb von
Ausgang konfiguriert wurde. Hierfür bietet sich die Adresse des Administrators an, natürlich können Sie
auch einen anderen Benutzer definieren, der diese Mails erhalten soll. In
der Rubrik Ausgang wird im Menüpunkt Verteilung eine sogenannte
Verteilkennung eingegeben, die dafür sorgt, daß empfangene Nachrichten entsprechend dem User im Feld
Verteilen an zugeordnet werden
können.
Einträge
Für das Versenden und Empfangen
von Faxen müssen am verwendeten
E-Mail Client keine speziellen Anpassungen vorgenommen werden.
Bei der Erstellung eines neuen Telefax muß lediglich im Feld To zuerst
der gewünschte Dienst definiert werden, gefolgt von der Rufnummer der
Gegenstelle, an die das Fax gerichtet
ist, und zum Abschluß noch die Domäne oder IP-Adresse Ihrer Firma eingetragen werden. Aufgrund der eingegebenen Syntax erkennt MailGate
automatisch, daß es sich bei der Message um ein Fax handelt und leitet
hieraufhin den Sendeauftrag an den
David-Service-Layer weiter, der sich
der Bearbeitung annimmt und das
Fax schließlich an das Ziel versendet, das Faxgerät der Gegenstelle.
h
HOTLINE
MICROSOFT
Selbst ist der Mann
Reparaturen und Einstellungen am Internet Explorer 6
Ärgern Sie sich auch über die lästige automatische Fehlerberichterstattung, die an Microsoft versendet werden soll,
sobald ein Systemfehler beim Internet-Explorer aufgetreten ist ? Anlaß genug, nachzuschauen, wie wir sie abschalten können. Ist die IE 6 Installation beschädigt, gibt es zudem Möglichkeiten, sie selbst zu reparieren.
D
Die lästige Fehlerberichtübertragung
an Microsoft beim Internet-Explorer
läßt sich glücklicherweise auch abschalten. Dies ist jedoch von der IEVersion und dem verwendeten Betriebssystem abhängig. Wurde der
Internet-Explorer nachträglich als
Update installiert, können Sie die
Fehlerberichterstattung über die
Systemsteuerung unter Software/
Installieren-Deinstallie
ren abschalten.
Zuerst selektieren Sie die Option
Internet Explorer Fehlerberichterstat tung, anschließend führen Sie einen Mausklick auf
Hinzufügen/Entfernen aus.
HOTLINE
IE und XP
Unter Microsoft Windows XP finden
Sie nach der Installation des Betriebssystem bereits den Internet-Explorer
in der Version 6 vor, die Konfiguration kann einfach und bequem über die
System-steuerung durchgeführt werden. Um die Fehlerberichterstattung
des Internet-Explorer unter Windows
XP zu deaktivieren, wechseln Sie zuerst in die Systemsteuerung und selektieren dort den Dienst System.
Hier angelangt finden Sie das Register Erweitert, in dem nun als
nächstes die Schaltfläche Fehlerberichterstattung mit der
Maus ausgewählt wird.
Im nun erscheinenden Dialogfenster
können Sie bestimmen, wie die Funktion der Berichterstattung behandelt
werden soll. Sie haben die Möglichkeit, diese komplett zu deaktivieren
oder einzelne Programme auszuschließen.
Unter ME und 2000
Wenn IE 6 nicht auf einer Windows
XP Plattform installiert wurde, sondern z.B. unter Windows Me oder
2000, so bleibt nichts anderes übrig,
als die Fehlerberichterstattung manuell über die Registry zu beenden. Hierzu starten Sie den Regedit und öffnen den folgenden Schlüssel:
HKEY_LOCAL_Machine\Software\
Microsoft\Internet Explo
rer\Main und legen einen neuen
Eintrag als DWORD an, der die Bezeichnung IE-WatsonEnabled
tragen muß. Soll die Funktion später
aus irgendwelchen Gründen wieder
aktiviert werden, so löschen Sie entweder den Registry-Eintrag oder tragen den Wert 1 ein.
Reparaturen
Ist die IE 6 Installation beschädigt,
so haben Sie die Möglichkeit diese
selbst zu reparieren. Für den Fall, daß
der IE6 als Update installiert wurde,
öffnen Sie die Reparaturoption über
die Systemsteuerung. Dort angekommen, selektieren Sie den Punkt Software und wählen die Funktion Programme ändern/Entfernen.
Über die Menüpunkte Internet
Explorer 6 und Tools aktivieren Sie schließlich die Option
Internet Explorer reparier en . Hieraufhin öffnet sich ein
Dialogfenster und bietet Ihnen den
Start der Reparatur an. Finden Sie die
Reparaturfunktion nicht an der gerade geschilderten Stelle, so können Sie
diese über den folgenden Befehl in
einer Eingabeaufforderung ausführen: rundll32 setupwbv.dll,
IE6 Maintenance. Anschließend
öffnet sich ein Dialogfenster, in dem
Sie die Option Internet Explorer reparieren auswählen, und
zum Abschluß Ihre Auswahl bestätigen. Nun werden einige Dateioperationen ausgeführt, das Resultat
stellt sich in Form als IE6 mit all seinen Grundeinstellungen dar.
Beschleuniger
Ab der Internet-Explorer Version 5.5
haben Sie die Möglichkeit, dessen
Startdauer erheblich zu verkürzen,
indem Sie ihn mit dem Parameter nohome aufrufen. Hierzu geben Sie
im Feld Ö f f n e n den Befehl
iexplore- nohome ein und klikken anschließend auf OK. In diesem
Fall wird der Internet-Explorer unverzüglich erscheinen. Über das Favoriten-Menü oder durch die direkte Eingabe der URL im Feld Adresse
werden die gewünschten Internetseiten aufgerufen. Wird der Internet-Explorer auf diese Art- und Weise gestartet, so ignoriert er die voreingestellte Startseite, statt dessen erscheint ein leeres Dokument. Weiterhin ist der Menübefehl Extras
Internetoptionen ohne Funktion, obwohl er weiterhin sichtbar ist.
Diese Situation ändert sich aber sofort nach dem Aufruf der ersten
Webseite.
Schnellstart
Wenn Sie planen, den Schnellstart
permanent zu nutzen, so legen Sie
09
Ausgabe 09/2003
38
einfach eine Verknüpfung auf Ihrem
Desktop an, indem Sie einfach eine
leere Stelle aussuchen und die rechte
Maustaste betätigen. Im nun erscheinenden Menüfenster wählen Sie
Neu/Verknüpfung aus und suchen
den Pfad zur Datei iexplore.exe,
die sich standardmäßig im Ordner
C:\Programme\Internet Explorer befindet. Nach Auswahl der
erwähnten Datei übernehmen Sie diese mit der Öffnen-Schaltfläche und
fügen den Parameter -nohome hinzu. Das endgültige Kommando zum
Schnellstart des Internet-Explorers
sieht wie folgt aus: C:\Program
me\Internet Explorer\Iex
plore.exe -nohome. Wichtig ist
es zu wissen, daß der Parameter nohome hinter dem letzten Anführungszeichen stehen muß. Nun erfolgt
ein Klick auf Weiter, um anschließend einen Namen für die Verknüpfung zu definieren, z.B. IE Faststart. Über die Schaltfläche Fertig stellen wird die Konfiguration abgeschlossen und die neue Verknüpfung steht Ihnen als Symbol auf
dem Desktop zur Verfügung.
Kennwort
vergessen
Wenn Sie wissen möchten, wie der
Paßwortmanager des Internet-Explorer reaktiviert werden kann, wird Ihnen die folgende Vorgehensweise bei
vergessenen Web-Kennwörtern weiterhelfen.
Rufen Sie das Menü E x t r a s /
Internetoptionen auf, um anschließend zum Register Inhalte
zu wechseln und gehen Sie zur
Schaltfläche AutoVervoll ständigen, mit deren Hilfe gesteuert
wird, wie der Internet-Explorer mit
Eingaben auf Web-Formularen umgehen soll. Die Option Webadressen
sorgt für das Ein- oder Ausschalten
des Gedächtnis für die URL-Eingabe, Formulare hingegen ist für
normale Formulareingaben verantwortlich. Der Menüpunkt Benutzer namen und Kennwörter
für Formulare schließlich entscheidet, ob der Internet-Explorer
Anmeldeinformationen speichert.
NOVELL
Console mio
Reports zur Auswertung und zur Dokumentation
Von Jörg Marx
Die ConsoleOne der Novell Netware 5.1 und 6.0 ermöglichen nicht nur die
Administration einer NDS, es lassen sich auch sehr gute Reports generieren.
Diese können zur Auswertung wie auch zur Dokumentation herangezogen
werden. Wie und was hier im einzelnen geht, erfahren Sie in diesem Artikel.
N
Netzwerkadministratoren benötigen
unterschiedliche Level des Netzwerkmonitoring, für den Netzwerkverkehr, File-System-Statistiken und
die aktuelle Server-Auslastung, für
die Netzwerk-Bandbreitenauslastung
oder eDirectory-Objekte und deren
Status. Letztere können Sie prima mit
der ConsoleOne bearbeiten, denn es
werden Reports für die zahlreiche Objekte und deren Eigenschaften unterstützt: Server, Printer und Print-Server, Trustee Assignments, Security
Equivalences und Group Memberships, aber auch User und deren Security Policies. Um das Reporting der
ConsoleOne nutzen zu können, müssen jedoch einige Vorkehrungen getroffen werden.
Reporting
Generell ist die Reporting-Funktion
nur auf einer ConsoleOne verfügbar,
die auf einem Windows-Rechner
läuft. Hierzu müssen folgende Programme bzw. Zusätze installiert werden. Im ersten Schritt müssen die
ConsoleOne Schema Extensions für
die Reporting Services installiert
werden, im zweiten die NovellDefined Report Catalogs, als drittes
die ODBC-Treiber für Novell
eDirectory, und zu guter letzt muß die
Datenquelle konfiguriert werden.
Step by Step
Beginnen wir mit der Installation der
ConsoleOne Schema-Erweiterung für
09
Ausgabe 09/2003
39
die Reporting Services. Hierzu öffnen
Sie die ConsoleOne und wechseln auf
den gewünschten Container. Über
Tools / Install gelangen Sie in
ein Auswahlfenster, in dem Sie das
Installations-Snapin für Berichts-Services auswählen und installieren können. Über die Buttons Next =>
Finsh wird die Installation abgeschlossen.
Als nächstes werden die NovellDefined Reports Catalogs installiert.
Hierzu starten Sie die ConsoleOne
und wechseln auf den gewünschten
Container. Über den Punkt Tools
können Sie jetzt die Install-Defined
Reports auswählen und ebenfalls installieren.
Anschließend wird der eDirectory
ODBC-Treiber installiert. Hierzu gehen Sie über das Verzeichnis der
ConsoleOne, default-mäßig ist es
C:\Novell\ConsoleOne\1.2.
Unter dem Verzeichnis \Repor
ting\Bin finden Sie die Datei
ODBC.exe, die durch einen Doppelklick ausgeführt wird. Folgen Sie der
Installationsanleitung.
Der Installation folgt die Konfiguration der Data Source Names (DSN).
Hierbei handelt es sich um die ODBCTreiber für einen Zugriff auf das
Novell eDirectory. Folgende Einstellungen müssen hierzu vorgenommen
werden. Öffnen Sie über START /
Settings / Control Panel das
ODBC-Icon.Auf dem Feld USER DSN
gehen Sie über ADD und wählen den
ODBC-Treiber für das Novell
eDirectory. Über das Feld Finish
h
HOTLINE
verlassen Sie das Menü. In der Data
Source Setup- Box tragen Sie als
DSN-Namen NDS-Reporting ein,
das Beschreibungsfeld hier können
Sie ignorieren. Durch Bestätigen mit
O.K. verlassen Sie dieses Programm
gleich wieder und finden in der NDS
nun drei neue Objekte: die NDS General Objekt Reports, die NDS
User Security Reports und
die NDS Users and Groups
Reports. Unter jedem dieser Objekte finden Sie entsprechend vordefinierte Berichte, die Sie sofort verwenden können.
Statusberichte
Folgende Informationen können über
die einzelnen NDS-Berichte abgefragt werden. Die General Object Reports berichten über die vorhanden
File - und Print-Server wie auch über
die Drucker im Netzwerk. Der NDS
User Security Report stellt detaillierte Inhalte zu maßgeblichen
Sicherheitselementen zusammen: zu
Disabled UserAccounts, Locked User
und Security Equivalences, zu den
Template Settings und Trustee
Assignments, oder zu User password
Requirements. Er listet User, die nicht
eingelogged sind, ein abgelaufenes
Password haben und solche mit mehrfachen Logins.
Der NDS-Report zu Users and Groups
trägt Informationen über User Contact
List und Duplicate Common User
Names zusammen, über Group
Memberships und Organization
Roles wie auch zur User Information
und zu den Login Scripts.
HOTLINE
Berichte erstellen
Die Report-Erzeugung geschieht wie
in folgendem Beispiel. Wir erzeugen
einen Report mit den Trustee
Assignments für alle User. Dazu starten wir die ConsoleOne und gehen
auf das Objekt N D S
User
Security Reports. Mit der rechten Maustaste können Sie einen Bericht erstellen. Im folgenden Fenster
haben Sie die Möglichkeit, bestimmte Details auszuwählen. Wir gehen
beispielsweise auf T r u s t e e
Assigments und sagen OK. Schon
wird der entsprechende Bericht für
alle User erzeugt. Wie das Ergebnis
aussieht, können Sie in der Abbildung 1 sehen.
Report - Export
Geben Sie dem Report im oberen Feld
einen beliebigen Namen. Im unteren
Feld können Sie Ihre Abfrage selbst
zusammenstellen. Abschließend bestätigen Sie diese Abfrage mit dem
Button OK.
Kurz gesagt, über diese Reports ist
ein Admin sehr schnell in der Lage,
auf einfachstem Wege wichtige Informationen aus der NDS zu finden und
übersichtlich darzustellen.
Ihre Berichte können Sie anschließend in verschieden Formaten exportieren. Unterstützt werden HTML,
PDF und SDF. Diese können hervorragend zur Dokumentation des Netzwerks verwendet werden.
Um sie zu exportieren, Abb. 1:Report für User Trustee Assignments
gehen Sie auf einem erzeugten Bericht in der
oberen Menüleiste auf ein
Icon mit der Bezeichnung
Bericht exportieren. Wenn Sie es Anwählen, geht ein Fenster auf,
in dem Sie eines der genannten Formate auswählen können. Abschließend müssen Sie noch den
Dateinamen und das Verzeichnis angeben, unter
Abb. 2: Export eines Reports
dem Ihr Exportfile abgelegt werden soll (vgl.
Abb. 2).
Gezielte Abfrage
Ein nützliches Feature
der Report-Funktionen
sind die Queries, die man
auf die NDS absetzen
kann (vgl. Abb. 3). Hiermit können Sie Reports
erzeugen, deren Inhalt
Sie selbst bestimmen.
Sie definieren mittels
SQL-Statements Abfragen auf die NDS. Das
hört sich schwieriger
an, als es ist. Um eine
solche Abfrage zu generieren, können Sie auf
dem gewünschten Report-Objekt über die
rechte Maustaste die
Eigenschaften des Objektes öffnen. Gehen
Sie hier auf das Feld
Queries und legen Sie
über den Punkt New
eine neue Abfrage an.
Abb. 3: Erstellen eines eigenen Reports über die
Query-Funktion
09
Ausgabe 09/2003
40
p
PRAXIS
COBION
OrangeBox Web
Teil 2: Erstellen von Access-Rules
Von Hardy Schlink
Nachdem wir die ersten Schritte zur Konfiguration von OrangeBox Web erläutert, uns mit dem Zugang zur Management Console, der Änderung der Default-Zugangsdaten und Aktivierung der Security-Software beschäftigt haben,
gehen wir nun an die Konfiguration der Zugriffsregeln der OrangeBox Web. Wir werden die vier ”Schlüssel”-Objekte
kennenlernen und sehen, wie sie zu einer funktionierenden Policy kombiniert werden.
Um ein Unternehmen vor der Vielfalt ungewollter WebInhalte zu schützen, gilt es, eine sogenannte Internet
Access Policy zu definieren, die aus einer oder mehreren
Rules aufgebaut werden kann. Nach der Installation von
OrangeBox Web werden Sie in der Management-Console
zwei vordefinierte Regeln vorfinden. Die Aufgabe dieser
Rules ist es, das private LAN direkt nach der Installation
der Security-Software gegen die allermeisten dieser zweifelhaften Inhalte abzuschotten. Wir wollen Ihnen anhand
eines Beispiels zeigen, wie Sie eigene Regeln aufbauen
können, um die Konfiguration an Ihre Umgebung oder
Anforderungen Ihrer Kunden anpassen zu können.
Internet Access Policy
Bei der OrangeBox Web besteht die Internet Access Policy
aus einer oder mehreren Rules. Diese Regeln werden immer aus mindestens vier verschiedenen Objekten ”Schlüssel”-Elementen im wahrsten Sinne des Wortes zusammengestellt. Sie definieren, wann eine Rule aktiv
sein soll, für wen die Regel bestimmt ist, welcher Inhalt
behandelt werden soll und welche Aktion ausgeführt wird.
Mit ihren sprechenden Namen stehen uns also vier Regelwerke zur Verfügung, um diese Funktionen zu implementieren, die Who, When, What und Action Objects.
Who Objects
Ein Who Object kann als Stellvertreter für einen Benutzer, eine Benutzergruppe, eine oder mehrere IP-Adressen
oder für einen Workstation-Namen angesehen werden. Sie
haben die Möglichkeit, ein Who Object aus den genannten Optionen zusammenzusetzen, d.h. es besteht anschließend aus der Kombination der genannten Objekte.
When Objects
Wie der Name vermuten läßt, wird mit den When Objects
ein Zeitintervall bestimmt, in dem die definierten Rules
aktiv sind, außerhalb der spezifizierten Zeit sind sie inaktiv. Auf diese Weise läßt sich leicht eine Regel erstellen,
die z.B. die Arbeit mit bestimmten Web-Inhalten während
der Mittagspause erlaubt, während für die Arbeitszeit der
Zugriff auf die gleichen Inhalte verboten wird.
What Objects
Die Aufgabe eines What Objects ist es, verschiedene Kategorien von Web-Seiten, Custom Categories und Media
Types unter einem Namen zu kombinieren. Eine Kategorie besteht aus vordefinierten URLs, die einer bestimmten Rubrik angehören, z. Bsp. Sex, Waffen oder Drogen.
Die Custom Categories erlauben das selbstständige Zusammenstellen eines What Object, welches in Verbindung
mit sogenannten Custom Lists arbeitet. Diese wiederum
müssen vorher im Menüpunkt Settings / Custom
Categories angelegt werden. Die Media Types
finden Verwendung, um besondere Dateitypen und erweiterungen zu bestimmen und sie beispielsweise für
den Download zu verbieten.
Action Objects
Die Action Objects schließlich bestimmen, welche Aktionen mit den vorher definierten Rules ausgeführt werden
sollen. Wir haben fünf Möglichkeiten zur Auswahl:
Allow, Block, Custom Blockpage, Passlock und
Priority. Selbstredend erlauben oder verbieten die
beiden ersten das Arbeiten mit bestimmten Web-Inhalten.
Die Option Custom Blockpages ermöglicht es, auf
gesperrte Seiten hinzuweisen. Dazu werden sogenannte
Blockpages ausgewählt, die den Benutzern während des
Surfens im Internet beim Zugriff auf verbotene Inhalte
angezeigt werden können. Custom Blockpages werden
vom Unternehmen selbst erstellt und können damit natürlich auch weiterführende Informationen enthalten.
Mit Hilfe der Funktion Passlock wird der Zugriff auf
normalerweise geblockte Webseiten für eine gewisse Zeitspanne erlaubt. Diese Ausnahme wird vom System geloggt,
um später entsprechende Auswertungen anfertigen zu
können. Die Option Priority schließlich erlaubt es,
unterschiedliche Prioritäten zu vergeben.
09
Ausgabe 09/2003
41
PRAXIS
U
p
PRAXIS
Am Beispiel
und unter IP To die 255.255.255.255 ein. Durch
diese Angaben wird der gesamte IP-Address Space in die
Definition mit einbezogen, d.h. letztendlich gilt die noch
zu konfigurierende Rule für alle Workstations und Server
des LAN. Durch Ausführen des Button OK wird die gerade
getätigte Einstellung abgespeichert (s. Abb. 1).
Nachdem wir nun die Hauptkomponenten zur Erstellung
von eigenen Regeln kennen, schreiten wir zur Tat, um ein
Szenario beispielhaft zu implementieren. Es soll den
Umgang mit Zugriffsregeln verdeutlichen und als Anregung für den praktischen Einsatz der OrangeBox Web
dienen. Selbstverständlich lassen sich Zugriffsregeln davon abweichend auf die individuellen Anforderungen
eines Unternehmens anpassen. Die Möglichkeiten hierzu
sind nahezu unerschöpflich.
Abb. 1: Definition eines Who Objects
Surf-Fair & Co
Die Geschäftsleitung des mittelständigen Unternehmen
”Surf-Fair & Co” möchte ihren Mitarbeiterinnen und
Mitarbeitern das Surfen im Internet durchaus ermöglichen,
gleichzeitig aber den Zugriff auf fragwürdige und gefährliche Web-Inhalte unterbinden. Nach Rücksprache mit
dem Betriebsrat und Anhörung der Belegschaft kommt
man gemeinsam überein, die Arbeitnehmer wie auch das
Unternehmen vor gefährlichen und inkriminierenden Inhalten aus dem Internet zu schützen. Dabei sollen beispielsweise Besuche von Web-Auktionen oder Game
Servern während der Arbeit nicht durchführbar sein, weil
hierdurch die Produktivität unnötig leidet. Von Seiten des
Managements wird es zudem nicht gerne gesehen,
daß sich Mitarbeiter während der regulären ArbeitsAbb. 2: Verfügbare Optionen des When Object
zeiten in Jobbörsen tummeln.
Gesagt, getan
Nach Abwägung aller Fakten wird der Zugang auf
Internet-Seiten mit den folgenden Inhalten generell untersagt: Sex, Pornografie, Alkohol, Drogen,
Kriminalität, Waffen, Online Shopping, Games und
Jobsuche. Diese Beschränkungen sollen den ganzen Tag gelten. Sehen wir uns also an, wie ein generelles Verbot für solche Websites umzusetzen ist.
Dazu erfolgt zunächst die Anmeldung an der Management-Konsole von OrangeBox Web (s. TN 08/2003).
Anschließend wechseln wir auf die linke Bildschirmseite
und selektieren das Plus-Zeichen + vor ”Policy
Configuration”, woraufhin wir die Menüpunkte
”Rules, mit ihren vier Objekten erkennen können.
PRAXIS
Definition Who
Der erste Schritt besteht in der Definition eines neuen
Who Objects. Hierzu klicken wir mit der rechten Maustaste auf den Menüpunkt und wählen die Option New, als
Namen geben wir Alle Mitarbeiter an. Hiermit ist
gemeint, daß dieses Objekt alle IP-Adressen des gesamten Unternehmensnetzwerk umfassen wird. Nun ist ein
Wechsel auf die rechte Bildschirmseite der ManagementKonsole notwendig, um dort unter dem Menüpunkt New
die Rubrik IP Address auszuwählen. Im nun erscheinenden Fenster geben wir unter IP From die 1.0.0.0
Konfiguration When
Als nächstes gilt es, das When Object anzulegen, welches dafür sorgt, daß die Regel zu den geforderten Zeiten
Gültigkeit hat. Auch hier klicken wir das Object an, selektieren New, und vergeben den Namen, der Immer aktiv lauten soll. Auf der rechten Seite erscheint eine Skala, bei der alle Zeiteinheiten die Farbe gelb haben. Weiter
unten steht die Gültigkeitsdauer 12:00 am – 12:00
am. Das When Object ist also jeden Tag rund um die Uhr
in Aktion (siehe Abbildung 2). Sollte für einen besonderen Zeitraum ein bestimmtes Who-Objekt - sagen wir zum
Online-Banking - freigegeben werden, weil ”Surf-Fair &
Co” beispielsweise in der Mittagspause den Mitarbeiterinnen und Mitarbeitern bestimmte private Aktionen im
Internet erlauben möchte, so ist dies der Ort, um den zugehörigen Zeitrahmen festzulegen.
09
Ausgabe 09/2003
42
entsprechende Regel, die im Menü Rules eingetragen
wird, auf der linken Seite der Management-Konsole. Hier
angelangt - Rechtsklick Maus und New - wählen wir als
Namen diesmal Generelle Zugriffsregeln. Auf
den ersten Blick ist erst einmal kein Eintrag auf der rechten Bildschirmhälfte zu sehen, in der Mitte aber befindet
sich ein Menübalken mit den bekannten 4 Objekten.
Aktivieren
Um nun die neue Access-Rule mit Leben zu füllen, wählen wir zunächst das Who Object mit der Maus aus.
Daraufhin erscheint unser vorher selbst angelegtes Objekt Alle Mitarbeiter. Wir erinnern uns, daß es sich
hierbei um die Definition aller IP-Adressen des Unternehmensnetzwerkes handelt. Durch einen Doppelklick
oder das einfache Verschieben des Eintrags mit der Maus
nach oben befindet es sich anschließend im oberen Bereich des Bildschirms und gehört somit zum Inhalt der
Zugriffsregel. Anschließend erfolgt der Wechsel zum When
Object, wo die Möglichkeit besteht, unser Object Immer aktiv auf die gleiche Art und Weise der AccessRule hinzuzufügen. Genauso verfahren wir mit dem What
Object, indem ein Wechsel in die entsprechende Rubrik vollzogen und dort unser Eintrag Verbotene
Inhalte in den oberen Bereich der rechten Bildschirmhälfte kopiert wird. Zum Abschluß unserer Beispielkonfiguration erfolgt noch das Hinzufügen eines Action
Objects zur Access-Rule, hier wird das Symbol mit der
Bezeichnung Block ausgewählt.
Falls Sie nach der Konfiguration einer Rule ein kleines
Schloß unterhalb des Regel-Symbols erkennen, so weist
dieses Sie darauf hin, daß von der Software OrangeBox
Web in einem der vier definierten Objekte eine Fehlkonfiguration entdeckt wurde. Überprüfen Sie dann nochmals Ihre Einstellungen.
Abb. 3: Kategorien eines What Object
Einstellung What
Wenn wir nun zum What Object wechseln, so ist nach
dessen Expandierung zu erkennen, daß bereits eine große Anzahl an vordefinierten Einträgen vorhanden ist. Um
die Übersichtlichkeit zu steigern, ist es von Vorteil für die
Firma ”Surf-Fair & Co” ein eigenes What Object anzulegen, dessen Inhalt - nach der nun folgenden Konfiguration - aus jenen vereinbarten Kategorien bestehen soll,
die sich im Unternehmen verbieten.
Mit dem bekannten rechten Mausklick vergeben wir über
die Option New für das neue What Object den Namen
Verbotene Inhalte. Auf der rechten Seite der Management-Konsole können wir über den Menüpunkt New
und anschließender Selektion von URL Filter bestimmen, welche Kategorien Mitglieder werden sollen. Hierbei halten wir uns an die weiter oben im Text genannten
Definitionen und markieren mit unserer Maus die folgenden Kategorien:
- Pornography/Nudity
- Ordering
- Criminal Activities
- Games/Gambling
- Drugs
- Job Search
- Weapons
Das war es eigentlich schon, die Einstellungen werden
automatisch übernommen (s. Abb. 3)
In Betrieb
Wurde alles korrekt konfiguriert, so erscheint kein Hinweis auf einen Fehler. Die Access-Rule ist nun betriebsbereit. Um unsere Konfiguration in den produktiven Betrieb zu befördern, ist sie nur noch in der Software abzuspeichern, da wir bisher im Offline-Modus gearbeitet haben. Das Abspeichern der Einstellungen geschieht durch
Auswählen der Option Send im oberen Menübalken. Im
nun erscheinenden Fenster müssen Sie nur noch den Button Start betätigen, woraufhin die Information erfolgt
sollte, daß die Speicherung erfolgreich war. Ganz wichtig
ist es jetzt, um die Funktionen der Security-Software überhaupt benutzen zu können, daß Sie in Ihrem Web-Browser
den OrangeBox Web Server als Proxy eintragen. Im
Internet-Explorer können Sie die Einstellung unter dem
Menüpunkt Extras / Internetoptionen / Verbin
dungen / LAN-Einstellungen vornehmen, indem
die Option Proxyserver verwenden aktiviert wird,
und die Adresse des Orangebox Web-Server und der entsprechende Port (Default ist 8080) eingetragen werden.
No Action Object
Für unser Beispiel ist es nicht erforderlich, ein neues Action Object anzulegen, da die vordefinierten Objekte für unsere Zwecke vollkommen ausreichen. Um unsere
Konfiguration abzuschließen, fehlt uns also nur noch eine
09
Ausgabe 09/2003
43
p
PRAXIS
Teil 5: Neuerungen bei den Cluster-Technologien
Windows Server 2003 kennt zwei Arten von Cluster-Diensten. Das Network Load Balancing ist in allen Versionen der
Produktfamilie integriert und sorgt für den clusterübergreifenden Lastenausgleich beim eingehenden IP-Verkehr.
Die Dienste des Cluster Service (MSCS) stehen nur der Enterprise und Datacenter Edition zur Verfügung, für hohe
Verfügbarkeit und Skalierbarkeit in unternehmenswichtigen Anwendungen.
B
Bei einem Cluster sind die Computer physikalisch per Kabel und programmtechnisch mit einer Clustersoftware miteinander verbunden. Diese Verbindungen sorgen für FailoverFunktionen und Lastenausgleich unter den Computern, um einzelne Ausfallpunkte zu vermeiden. Anwendungen können auf mehr als einen Computer verteilt werden, wodurch ein
gewisser Grad an Parallelität erreicht
wird. Darüber hinaus sorgt die hieraus resultierende einfachere Systemwiederherstellung im Fehlerfall für
eine erheblich bessere Verfügbarkeit.
Die Rechenleistung des Clusters
kann einfach durch Hinzufügen von
Prozessoren oder Computern erhöht
werden. Gleichzeitig erscheint der
Cluster für Endbenutzer, Anwendungen und das Netzwerk als ein einziges Systemimage, so daß die Administratoren vor Ort oder an RemoteStandorten die Verwaltung auch über
einen einzigen Zugriffspunkt steuern
können. Die Windows Server 2003Produktfamilie kennt zwei Arten von
Cluster-Diensten: NLB und MSCS.
den Dienst, im sogenannten Failover.
Ein Benutzer, der gerade auf einen
Dienst zugreift, wird darum nicht unterbrochen und merkt meist nicht einmal, daß der Dienst mittlerweile von
einem anderen Server bereitgestellt
wird.
Load Balancing
Das NLB ist in allen Versionen der
Windows Server 2003-Familie integriert und sorgt für den clusterübergreifenden Lastenausgleich beim eingehenden IP-Verkehr. Das Network
Load Balancing verbessert sowohl
die Verfügbarkeit von auf Internetservern basierenden Programmen wie
Webserver n, Streaming MediaServern und Terminaldiensten. Der
Netzwerklastenausgleich kann als
Lastenausgleichsinfrastruktur und
zur Bereitsteller von Steuerinformationen für Verwaltungsanwendungen,
die auf Basis der Windows-Verwaltungsinstrumentation (WMI) erstellt
wurden, kann nahtlos in vorhandene
Webserverfarm-Infrastrukturen integriert werden.Wir kommen später auf
NLBzurück.
PRAXIS
Cluster Service
Der MSCS steht bei Windows Server
2003 nur in der Enterprise und der
Datacenter Edition zur Verfügung, um
eine hohe Verfügbarkeit und
Skalierbarkeit von Datenbanken,
Messagingsystemen Datei- und
Druckdiensten zu gewährleisten.
Mehrere Server (Knoten) in einem
Cluster stehen in ständiger Kommunikation. Wenn einer aufgrund von
Fehlern oder Wartungsarbeiten ausfällt, übernimmt sofort ein anderer
Verbesserungen
Aufbauend auf Windows 2000 vereinfacht Windows Server 2003 die
Bereitstellung und Verwaltung von
Clusterdiensten und hilft, sie effizienter zu gestalten, und zwar als ein
integraler Bestandteil des Betriebssystems und nicht länger als eine optionale Komponente. Dies sorgt dafür, daß ein Server-Cluster-Knoten
ohne Distributionsmedien konfigu-
riert werden kann, und mit den
Clusterverwaltungstools nun auch
von einer Remote-Verwaltungsstation. Zum Einrichten einer der
Konfiguration sind keine Neustarts
mehr erforderlich und auch das Entfernen eines Knotens aus einem
Servercluster ist so einfach wie das
Ausschließen aus dem Cluster. Sämtliche Konfigurationsdaten, die mit
dem Knoten zusammenhängen, werden automatisch gelöscht, wie gesagt, ohne daß Neustarts nötig wären.
Konfiguration
Wenn ein Serverclusterknoten konfiguriert wird, wird die Hardware- und
Softwarekonfiguration während des
Konfigurationsprozesses überprüft,
um sicherzustellen, daß alle bekannten Inkompatibilitäten vor Abschluß
der Dienstkonfiguration erkannt werden. Viele Konfigurationsoptionen
erhalten Standardwerte, um das Einrichten zu vereinfachen und zu beschleunigen, der bewährten Methoden entspricht. Nach dem Einrichten
kann ein funktionierender Servercluster mit Hilfe der Verwaltungstools
konfiguriert werden.
Die Konfigurationsinfrastruktur ist
offen und steht damit auch unabhängigen Software-Anbietern zur Verfügung. Auf diese Weise können Anwendungen nahtlos ServerclusterRessourcen einrichten und während
der Installation deren Konfiguration
ändern. Die Einrichtung von Serverclustern kann ebenso skriptgesteuert
und über Befehlszeilentools wie über
die Clusteradministrations-GUI erfolgen.
09
Ausgabe 09/2003
44
Größere Cluster
In der Datacenter Edition wurde die
Anzahl - von maximal 4 Knoten unter Windows 2000 - auf 8 Knoten unter Windows Server 2003 erhöht, in
der Enterprise Edition - von vormals
2 unter Windows 2000 Advanced Server - nunmehr auf 8 Knoten. So stehen dem Administrator wesentlich
mehr Möglichkeiten für die Bereitstellung von Anwendungen und von
Failover-Richtlinien zur Verfügung,
insbesondere bei geografisch verteilten Clustern an mehreren Standorten.
Sie berücksichtigen Fehlertoleranzen
sowie herkömmliche Knoten- und/
oder Anwendungsfehler. All dies erhöht die Flexibilität bei verteilten
Cluster-Konfigurationen und N+IKonfigurationen (N aktive und I
Reserveserver). N+I wird besonders
bei der Unterstützung größerer Microsoft Exchange Server-Bereitstellungen unter Windows Server 2003 zunehmend an Wichtigkeit gewinnen.
AD Integration
Servercluster, die unter der Edition
oder Datacenter Edition ausgeführt
werden, sind vollständig in das Active
Directory integriert. Dies stellt sicher,
daß ein ”virtuelles” Computerobjekt
in Active Directory registriert wird.
Auf diese Weise können Anwendungen die Kerberos-Authentifizierung
und -Delegierung für die hochgradig
verfügbaren Dienste, die in einem
Cluster ausgeführt werden, nutzen.
Das Computerobjekt bietet fürActive
Directory-fähige Dienste zudem einen
Standardspeicherort zum Veröffentlichen von Dienststeuerungspunkten.
64-Bit
Servercluster werden auch auf Computern unterstützt, die mit den 64-BitVersionen von Windows Server 2003
ausgestattet sind. Anwendungen, die
den größeren Hauptspeicher nutzen,
können auch die Vorteile der höheren Verfügbarkeit nutzen, die von den
Failover-Funktionen geboten wird.
Werden Servercluster in Verbindung
mit Speicherinfrastrukturen eingesetzt, die einen dynamischen Ausbau
der Volumes gestatten, können die
Cluster-Festplatten mit einem neuen,
zum Lieferumfang gehörenden Tool
namens DiskPart dynamisch online erweitert werden.
Ressourcen
Es ist nun einfacher, im Cluster Drukker oder MSDTC einzurichten. Der
Microsoft Distributed Transaction
Coordinator muß nur einmal konfiguriert werden, woraufhin die
Konfigurationsinformationen auf alle
Knoten repliziert werden. Anwendungen können mit Hilfe von Skriptsprachen wie Visual Basic Script und
JScript serverclusterfähig gemacht
werden, wodurch das Schreiben von
spezifischen Ressourcen-Add-Ins für
Anwendungen vereinfacht wird, die
im Verbund überwacht und gesteuert
werden. Ebenfalls können Ressourcenskripts zum Speichern von serverclusterweiten Konfigurationsdaten
verwendet werden, die zudem in der
gleichen Weise verwendet und verwaltet werden wie jede andere Ressource. Die Integration von MSMQ
(Microsoft Message Queuing) wurde
um die Unterstützung von Triggern
erweitert, so daß hochverfügbare Anwendungen auf Basis aller Features,
die von dieser Messaging-Infrastruktur bereitgestellt werden, entwickelt
werden können.
Failover
Servercluster können die Vorteile von
Netzwerkerweiterungen nutzen. Bei
einem vollständigen Verlust der internen Kommunikation wird beispielsweise die erweiterte Logik für
Failover-Mechanismen unterstützt.
Dabei wird der Netzwerkstatus für die
öffentliche Kommunikation aller
Knoten berücksichtigt, bevor die
Entscheidung hinsichtlich des Quorumbesitzes getroffen wird.
Die Media Sense-Erkennung ermöglicht einen besseren Failover-Schutz.
Da sie standardmäßig deaktiviert ist,
wird die Netzwerkrolle beibehalten,
alle auf IP-Adressen beruhenden Ressourcen bleiben online. Der
Multicast-Takt wird automatisch ausgewählt, sofern ein Servercluster groß
09
Ausgabe 09/2003
45
genug ist und die Netzwerkinfrastruktur Multicast zwischen den
Cluster-Knoten unterstützt. Wenn die
Multicast-Kommunikation aus irgendeinem Grund ausfällt, wird die
interne Kommunikation auf Unicast
zurückgesetzt. In jedem Fall ist die
gesamte interne Kommunikation signiert und sicher.
Speicherfunktionen
Die Servercluster können leistungsfähige Speicherfunktionen nutzen.
Auf freigegebenen Festplatten werden nun Volume-Bereitstellungspunkte unterstützt, die bei Eintritt
eines Failovers aktiviert werden und
die einen flexiblen Dateisystem-Namespace bereitstellen.
Clientseitige Zwischenspeicherung
(CSC) - auch als Offline-Dateispeicherung bezeichnet - wird für die
geclusterten Dateifreigaben unterstützt, so daß ein Clientcomputer
Daten im Cache zwischenspeichern
kann, die auf einer geclusterten Freigabe gespeichert sind. Das verbesserte Distributed File System (DFS) bietet mehrere eigenständige Stämme
und unabhängiges Stamm-Failover.
Es unterstützt Aktiv-/Aktiv-Konfigurationen und die Zusammenfassung
mehrerer Dateifreigaben auf unterschiedlichen Computern in einem
gemeinsamen Namespace.
Beim nächsten Mal geht es um den
Netzwerklastenausgleich
Eine neue Broschüre zu
den Zertifizierungen
und Kursen können Sie
jetzt im Internet bestellen oder als PDF
downladen. Aktualisierte Informationen
zu Trainings, Terminen und Preisen finden Sie unter www.
training.compushack. com. Für eine
ausführliche persönliche Beratung
steht Ihnen das
Compu-Shack Training Team unter
02631-983-317
zur Verfügung.
p
PRAXIS
NORTEL NETWORKS
Ausfallsicherheit
Teil 6: Security Features bei den Passport 8000ern
In diesem Artikel zur Passport 8000er-Serie wollen wir Ihnen einige der verfügbaren Security Features vorstellen.
Wir werden Ihnen zeigen, wie Sie sogenannte unsichere Protokolle schnell ausschalten und die Sicherheitsfunktionen
des Switch korrekt konfigurieren.
Bevor Sie Security Features verändern, empfehlen wir Ihnen, aus Sicherheitsgründen alle unsicheren Protokolle
zu disablen, die zur Kommunikation mit dem Passport
8000 Verwendung finden können. Zu sicheren und unsicheren Protokollen gibt Ihnen die Tabelle 1 einen Überblick der von Passport unterstützten Protokolle, einschließlich der Standardeinstellung.
Verschlüsselung
Die Passport-Systeme der 8000er Serie unterstützen momentan die Verschlüsselungs-Algorithmen DES (SNMP
v3) und Triple DES (SSH v1/v2), um die Kommunikation
mit dem Device gegen unberechtigte Zugriffe abzusichern. Auf Grund von Export-Restriktionen hat Nortel
Networks die Verschlüsselungs-Komponenten von der
eigentlichen Software getrennt.
Eine Anleitung für den Download der verschlüsselten
Images entnehmen Sie bitte der ”Release Notes” Ihrer eingesetzten Software. Ohne die erwähnten Images werden
der SSH-Server sowie das SNMP v3 Protokoll nicht korrekt funktionieren.
Telnet
Das Telnet-Protokoll findet Verwendung, um eine Session mit dem Switch aufzubauen, um die Ausführung von
CLI-Kommandos zu ermöglichen. In einem frei zugänglichen Netzwerk können mit Hilfe eines Netzwerk-Sniffer
leicht Daten ausgelesen werden, etwa der Username und
das Paßwort der Telnet-Session, da diese Informationen
in Klartext übertragen werden. Sind die Zugangsdaten
einer nicht-authorisierten Person bekannt, kann diese problemlos eine Verbindung zum Passport-System initiieren
und die Konfiguration so verändern, daß die gesamte
Netzwerkkommunikation beeinträchtigt oder gar ganz
ausfallen kann.
Um auf CLI-Kommandoebene Telnet auszuschalten, geben Sie bitte den folgenden Befehl ein: c o n f i g
bootconfig flags telnetd false.
SNMP v1 oder v2
Die SNMP-Protokolle werden zur Kommunikation mit
Netzwerk-Management-Applikationen benutzt, z.B. der
Java Device Manager oder Optivity Switch Manager. Ausgeschaltet wird SNMP mit dem CLI-Kommando config
bootconfig flags block-snmp true.
Unsichere aus!
FTP/TFTP/HTTP
PRAXIS
Aus Gründen der Netzwerk-Sicherheit disablen wir alle
Protokolle, die einen nicht-authorisierten Zugriff auf den
Passport ermöglichen. Jede der nun folgenden Sektionen
beinhaltet eine typische Anwendung eines unsicheren
Protokolls und erklärt, wie sie ausgeschaltet wird.
Die Aufgabe des FTP- oder TFTP-Protokolls besteht im
Transferieren von Konfigurationsdateien zum oder vom
Passport 8000 Device. Disabled werden sie durch die Befehle config bootconfig flags ftpd false
bzw.
config
bootconfig
Tabelle 1
flags tftpd
false.
Unsichere
Grundeinstellung
Sichere
Grundeinstellung
Mit Hilfe des inteFTP/TFTP
Disabled
SCP
Disabled
Telnet
Enabled
Secure SHell (SSH) v1, v2 1)
Disabled
grierten Web-ManaSNMPv1, SNMPv2
Enabled
SNMPv3 2)
Enabled
gement-Servers der
Rlogin
Disabled
Secure SHell (SSH) v1, v2 1)
Disabled
Passport 8000er,
http
Disabled
No equivalent 3)
wird der Zugriff auf
1) Nortel Networks empfiehlt, SSH v2 statt SSH v1 zu verwenden
das System mit be2) für SNMP v3 muß das DES Image geladen sein
3) aus Sicherheitsgründen empfiehlt Nortel, dieses Protokoll nicht einzusetzen
liebigen Web-Browsern ermöglicht. In
Tabelle 1: Von Passport unterstützte Protokolle
der Grundeinstellung ist diese Funk-
09
Ausgabe 09/2003
46
tion ausgeschaltet. Wurde die Option jedoch zur Kommunikation über HTTP irgendwann einmal enabled, so
läßt sie sich durch config web-server disable
wieder rückgängig machen.
Station geblockt
Um den Zugriff für nur eine einzelne Station zu untersagen - Passport 8000>:5# config sys accesspolicy# policy 2 - legen wir eine zweite Access
Policy an und wechseln unter .../access-policy
policy 2#. Der nachfolgende Satz von Kommandos
verbietet den Netzwerkzugriff auf den Switch über die
angegebenen Protokolle und für einen spezifischen Host:
Rlogin
Neben Telnet ist es auch möglich, das Rlogin-Protokoll
einzusetzen, um am Switch CLI-Operationen auszuführen. In der Default-Konfiguration ist es disabled. Sollte es
aus gegebenen Gründen einmal eingeschaltet worden
sein, so und können Sie es über config bootconfig
flags rlogind false wieder deaktivieren.
.../policy/2# create/
.../policy/2# name POLICY2/
.../policy/2# mode deny/
.../policy/2# network 192.168.100.1/32
.../policy/2# host 192.168.100.1/
.../policy/2# precedence 1/
.../policy/2# service/
.../policy/2/service# http enable
.../policy/2/service# rlogin enable
.../policy/2/service# snmp disable
.../policy/2/service# telnet disable
.../policy/2/service# tftp enable
.../policy/2/service# ftp enable
.../policy/2/service# ..
.../policy/2# ../
Sichere ein!
Wenden wir uns den sogenannten sicheren Protokollen
zu. Uns interessiert nicht nur, wie sie aktiviert werden
können. Einige Beispiele sollen Ihnen zeigen, wie Sie
den normalerweise offenen Zugang zum Switch absichern
können, indem beispielsweise nur eine einzelne Station
auf das System zugreifen darf.
Die Policy arbeitet im sogenannten Deny Modus und
spezifiziert Dienste und Adressen, die keinen Zugriff auf
das System erhalten sollen.
SSH, SCP und SNMP v3
Damit Sie das SSH- und SCP-Protokoll überhaupt aktivieren können, ist es erforderlich, das DES Encryption
Image in den Arbeitsspeicher des Passport 8000 zu laden. Sie erhalten es vom Nortel Web-Server. Das Einschalten der Protokolle SSH und SCP geschieht über das CLIKommando config bootconfig flags sshd
true. Auch für SNMP v3 muß das DES Encryption Image
im Passport seine Arbeit verrichten. Um das Protokoll verwenden zu können, ist keine explizite Aktivierung über
das CLI-Interface notwendig, d.h. es kann sofort nach dem
Laden des DES Encryption Image konfiguriert werden.
Mit Hilfe sogenannter Access Policies erhält der Administrator bei den Passport 8000er die Möglichkeit, den Zugang zum System auf einfache Art und Weise abzusichern.
Anhand von drei Beispielen wollen wir Ihnen zeigen, wie
Sie diese Aufgabe zur Absicherung des Zugriffs auf das
Network Management Interface bewältigen.
Station freigegeben
Kommen wir als letztes zum umgekehrten Fall, um den
Netzwerk-Management-Zugriff für eine einzelne Station
erlauben: Passport 8000>:5/config/sys/
access-policy# policy 3. In unserem Beispiel
wollen wir unter .../access-policy/policy/3#
einer Workstation den Zugriff auf das Passport-System
für Managementaufgaben erlauben, wobei der Access aber
nur über die Protokolle SNMP und Telnet gestattet wird.
Sie erreichen dies, indem Sie im CLI-Prompt die folgenden Befehle absetzen.
.../policy/3# name POLICY3/
.../policy/3# mode allow/
.../policy/3# network 192.168.100.1/32
.../policy/3# host 192.168.100.1/
.../policy/3# precedence 10/
.../policy/3# service/
.../policy/3/service# http disable
.../policy/3/service# rlogin disable
.../policy/3/service# snmp enable
.../policy/3/service# telnet enable
.../policy/3/service# tftp disable
.../policy/3/service# ftp disable
.../policy/3# network 192.168.100.1/32
.../policy/3# host 192.168.100.1/
.../policy/3# ../
Alle geblockt
Im ersten Beispiel wird der Management-Access über unsichere Protokolle generell für alle Stationen unterbunden. Eine Default Policy verbietet den Zugang für
alle unsicheren Kandidaten. Passport 8000>:5/
config/sys/access-policy# policy 1: wechselt auf .../access-policy/policy/1#. Folgende
Kommandos untersagen den Zugriff auf alle Stationen:
.../policy/1# mode deny
.../policy/1# service
.../policy/1/service# rlogin enable
.../policy/1/service# snmp enable
.../policy/1/service# telnet enable
.../policy/1/service# tftp enable
.../policy/1/service# ftp enable
Der Zugriff für diese einzelne Station ist nun erlaubt. Damit die von Ihnen neu angelegten Access Policies dauerhaft Verwendung finden können, müssen sie nur noch über
das CLI-Kommando config sys access-policy
enable true eingeschaltet werden.
09
Ausgabe 09/2003
47
p
PRAXIS
DATAVOICE
Fragen zu aktuellen VoIP-Technologien beantwortet das Compu-Shack
Business Development unter:Tel.: 02631/
983-458, eMail: [email protected]
Über VoIP gesprochen
Teil 6: Secure Telephony in Digital Network Architecture
Nortel Networks kombiniert führende Sprach- und Sicherheitstechnologien, mit deren Hilfe für Unternehmenskunden
Wege geschaffen werden, ihre gesamte Kommunikationsinfrastruktur zu schützen. Dazu bietet Nortel erweiterte
Sicherheitsvorkehrungen, um die traditionelle und IP-Telefonie zu sichern. Die Sicherheits-Philosophie ”Security in
the Digital Network Architecture (DNA)” dehnt sich damit auf den Bereich der Secure Telephony aus und stützt sich
auf Sicherheitsverfahren, Produktsicherheit und Sicherheitsprodukte.
D
Die Konzeption von Secure
Telephony zielt auf die Bereitstellung hochwertiger, über funktionale
Grenzen hinwegreichender Sicherheitsvorkehrungen; gleichgültig ob
ein Unternehmen traditionelle Festnetz-Telefonie nutzt, sich in der Umstellungsphase auf IP-Telefonie befindet, kabellose IP-Telefonie einführt
oder eine reine IP-Telefonie-Lösung
einsetzt. Da IP-Telefonie im Markt
unablässig an Boden gewinnt, sehen
sich die Kunden gezwungen, für die
Sicherheit dieser Systeme und Anwendungen zu sorgen. Als Reaktion auf
diese Forderungen hat Nortel
Networks an die jeweiligen Phasen
der IP-Telefonie-Einführung angepaßte Planungsprogramme erstellt,
die unabhängig davon, in welcher
Phase sich ein Unternehmen befindet,
einsetzbar sind. Dank der Erfahrung
des Unternehmens im Bereich der
Sprachübermittlung sowie seinem
führenden Produktprogramm zur Datensicherheit ist Nortel Networks prädestiniert, für Sicherheit in der Kommunikationsinfrastruktur zu sorgen.
PRAXIS
Secure Telephony
Um Sicherheit nahtlos über die gesamte Infrastruktur hinweg zu gewährleisten, gehören zur Nortel
Networks Secure Telephony - außer
der maßgeschneiderten Planung auch neue Funktionsmerkmale, mit
deren Hilfe umfangreichste Sicherheitsvorkehrungen bereitgestellt werden. Besonders, wenn ein Unternehmen die Vorteile nutzt, die sich durch
den Übergang auf IP-Telefonie erge-
ben, ergibt sich ein eigenes Gefährdungspotential, denn es wächst die
Bedrohung, durch abgehörte Gespräche, Gebührenbetrug und Denial-ofService-Angriffe geschädigt zu werden. Umfassende Sicherheit ist aber
bekanntlich keine Funktion, die man
einfach einschalten kann. Die Bereitstellung eines ganzheitlichen Sicherheitskonzeptes für die Kommunikationsinfrastruktur setzt eine sichere
Architektur voraus, bewährte und sichere Verfahrensweisen, robuste Plattformen und Betriebssysteme sowie
Schulungsmaßnahmen und umfassende Überprüfungen.
Security in the DNA
Secure Telephony ist Teil der Nortel
Networks Initiative ”One Network. A
World of Choice”. Ziel dieser Initiative ist es, Unternehmen jeder Größe
aus allen Wirtschaftsbereichen in die
Lage zu versetzen, mit Kunden, Partnern, Lieferanten und Mitarbeitern an
der Erhöhung der Einnahmen, der
Verringerung der Kosten, der Verbesserung des Kundendienstes und der
Steigerung der Produktivität zu arbeiten. Secure Telephony baut auf Multi-Layer-Security auf, die auf den Prinzipien der Sicherheit in der digitalen
Netzwerkarchitektur (DNA) basiert.
Ihr liegt die Nortel eigene Philosophie zugrunde, die unter dem ArbeitsTitel ”Security in the DNA” verschiedene Ansätze zusammenfaßt. Auf diese Weise wird sichergestellt, daß jede
einzelne Komponente der Kommunikationsinfrastruktur einen Beitrag zu
den globalen Sicherheitsanstrengun-
gen leistet. Die Ausweitung der
”Security in the DNA” auf Secure
Telephony richtet sich auf drei Bereiche: Sicherheitsverfahren, Produktsicherheit und Sicherheitsprodukte.
Sicherheitsverfahren
Der erste Bereich ”Bewährte Sicherheitsverfahren” beruht auf umfassenden Sicherheitsüberprüfungen. Bewährte Verfahren sorgen für die physikalische Isolierung einzelner
Netzwerkbereiche durch virtuelle lokale Netzwerke und Firewalls. Dieses Konzept stellt sicher, daß beispielsweise die Sprachnetz-Komponente im Falle des Eindringens nicht
zugänglich ist. Dur ch Authentifizierung und Zugriffskontrolle werden Betrieb, Verwaltung und Management des Netzwerks abgesichert.
Weiterhin wird durch die Verwendung
von Zug riff-Verschlüsselungstechniken sichergestellt, daß das
Netzwerk nicht unterbrochen werden
kann. Auch ist es Eindringlingen nicht
möglich, widerrechtlich an Dienste
zu gelangen.
Die Verschlüsselung der Sprachvermittlung über öffentliche Netze ist
ein weiterer Aspekt des umfassenden
Schutzes wichtiger Informationen.
Dies gilt für den Sprachverkehr über
das traditionelle Festnetz ebenso wie
für die hybride oder reine IPTelefonie und kabellose IP-Telefonie.
Das Auffinden von Sicherheitslücken
in der Netzwerkkonfiguration und
das schnelle Schließen dieser Lücken
mit Hilfe intelligenter Intrusion-
09
Ausgabe 09/2003
48
Detection-Tools ist entscheidend, um
die Punkte zu versiegeln, über die ein
unberechtigter Zugriff erfolgt. Um
mögliche Gebührenbetrugsangriffe
zu verhindern, wird durch die Beseitigung von Konfigurations-Sicherheitslücken anhand zugelassener
Überprüfungstools sichergestellt, daß
die Nebenstellenanlagen Meridian 1
und Succession CSE 1000 IP unempfindlich gegen Eindringversuche von
außen sind. Um die Verwaltung der
IP-Telefonie-Infrastruktur zu schützen, ist es wichtig, sie durch das Verschlüsseln von Kennwörtern und die
Vergabe des Benutzerzugriffs über
Profile zu sichern. Mit dem Optivity
Telephony Manager ist die Einführung derartiger Maßnahmen problemlos möglich.
Produktsicherheit
Im zweiten Bereich der ”Produktsicherheit” wird die Integration führender Sicherheitsmerkmale in die
Nortel-Networks-Produkte erreicht.
Nortel Networks hat Maßnahmen
zum Schutz der Betriebssysteme ergriffen, die die IP-Telefonie unterstützen, indem eine spezielle Betriebssystem-Software verwendet wird und
Zugangsdienste wie das File Transfer (FTP) und Simple Network Management Protocol (SNMP) deaktiviert
werden, wenn sie nicht erforderlich
sind. Succession CSE 1000,
Succession CSE MX (Multimedia
Exchange), Business Communications Manager und Meridian 1 wurden einer Betriebssystem-Aktualisierung unterzogen. Dadurch erhielten
die Plattformen eine höhere Widerstandsfähigkeit gegenüber Viren und
Hackerangriffen. Die Plattformen
wurden unter Laborbedingungen anhand bekannter Viren und Sicherheitsangriffe getestet.
Die Meridian 1- und Succession-Produkte sind mit starken Telefonie-Sicherheitsvorkehrungen ausgestattet.
Unberechtigter Zugriff wird beschränkt und ungewöhnliche Anrufmuster, die auf den widerrechtlichen
Bezug von Dienstleistungen hinweisen, werden aufgezeichnet. Im Rahmen neuer Upgrades erhielt die Daten- und Telefonie-Plattform Business
Communications Manager ergänzende Anwendungen, beispielsweise zur
Unterstützung der Firewall-Inspektion für die Industriestandards H. 323
und das Session Initiation Protocol.
Das Ergebnis ist mehr Sicherheit bei
der Sprachübertragung. Dank seiner
VPN-Funktionalität wird sowohl die
Sprach- als auch die Datenkommunikation über öffentliche Netze abgesichert.
Sicherheitsprodukte
Der dritte Bereich beruht auf ”Sicherheitsprodukten”, Plattformen also,
die eigens entwickelt wurden, um die
Funktionsfähigkeit der Infrastruktur
sicherzustellen. Das Alteon Switched
Firewall System gestattet die Anwendung unterschiedlicher Sicherheitsstrategien über mehrere Domains hinweg - z.B. zur Trennung von empfindlichen technischen Daten und Mitarbeiter-Kommunikationsdaten oder
zur Abgrenzung zwischen Anrufservern und Datenzentren.
Die Contivity Secure IP Services
Gateways wurden speziell entwickelt,
um die Übertragung von IP-Daten
und den Sprechverkehr über einen
VPN-Tunnel abzusichern. Die leistungsfähige Firewall wurde um die
Unterstützung der Inspektion unter
den Standards H.323 und SIP erweitert. Die Kombination aus Dienstqualität und Secure Routing
Technology (SRT) bewirkt, daß die
Sprachqualität durch die Sicherheitsmechanismen nicht beeinträchtigt
wird. Contivity kann zusammen mit
Business Communications Manager,
Meridian 1, Succession CSE 1000
und Succession CSE MX verwendet
werden. Dies gestattet die Bereitstellung kostengünstiger und höchst sicherer Daten- und IP-Telefonie-Verbindungen über ein öffentliches IPNetzwerk oder das Internet. Die Kombination dieser drei Elemente bietet
den höchstmöglichen Grad verfügbarer Netzwerksicherheit. Als einziger
Anbieter hat Nortel Telefonie und
Sicherheit in Einzelplattformen integriert und eine Entwicklungsplanung neuer IP-Telefonie-Produkte
ausgearbeitet, die auf dem Prinzip
”Security in the DNA” basieren.
09
Ausgabe 09/2003
49
COMPU-SHACK CONSULTING
VoIP-Baukasten
Preiswerter Einstieg in die IP-Telefonie
Die Compu-Shack Consulting hat einen Baukasten
zusammengestellt, mit dem Unternehmen in wenigen Schritten zu einer vollständigen VoIP-TelefonieEinstiegslösung gelangen. Einfach und preiswert lassen sich
Außendienstmitarbeiter oder
kleine Außenstellen mit VoIP
anbinden und etliches an
Telefonkosten sparen.
Alles drin
Die komplette Lösung kann aus
verschiedenenVoIP-Bausteinen
für bis zu 5 Telefon-Arbeitsplätze zusammengestellt werden.
Voraussetzung ist lediglich eine
funktionsfähige VPN-Verbindung zwischen Zentrale und Niederlassung, die vom
Kunden zur Verfügung gestellt wird. Sie ist nicht im
Baukasten-Preis enthalten, kann aber jederzeit individuell angeboten werden.
Fix und fertig
Im Preis inbegriffen ist eine vorhergehende Beratung
durch das Consulting-Team einschließlich einer
Plausibilitätsprüfung. Außerdem erhalten die Kunden einen halbtägigen Workshop und obendrein
auch noch die Installation des VoIP-Gateways/
Gatekeepers vor Ort. Fordern Sie Ihren BaukastenFlyer an oder laden Sie ihn im Download-Bereich
des Compu-Shack Fachhandelsportals auf Ihren
Rechner.
VoIP Komplett
1. Der Flyer zeigt die Bausteine für Voice Gateways,
Komponenten für Zentrale und Niederlassung sowie
Varianten für 5 Clients. Wählen Sie je eine Komponente aus.
2. Aus den Punktwerten für die einzelnen Komponenten ermitteln Sie den Preis.
3. Klären Sie mit dem Consulting Team unter 02631983-345 alle Fragen zu Ihrem Netzwerk-Design.
4. Vereinbaren Sie einen Termin für den Workshop
und die Installation.
Alle Informationen hält das Consulting Team unter
02631-983-345 für Sie bereit.
v
VORSCHAU
WORKSHOPS - ROADSHOWS - SEMINARE
ProCurve
KnowlEDGE
Security,
VoIP und Storage
HP Workshop Tour
2003 startet
Technology Days im September
Compu-Shack setzt die im August gestarteten Technology Days im September fort. Begleitet von der Computer Reseller News und führenden Herstellerpartnern liegen die Schwerpunkte der Tagesveranstaltung für Fachhandelspartner auf Security-, VoIP- und Storage-Technologien.
F
V
Vom 15. 09. bis 1.10. lädt HP die
Compu-Shack Fachhandelspartner
ein in die Welt der HP Netzwerk-Komponenten. Der Produktbereich HP
ProCurve Networking geht wieder on
Tour und veranstaltet in acht Städten
seine HP ProCurve KnowlEDGE Workshops, die wahlweise zwei Kurse anbieten. Vormittags von 9.00 bis 13.00 Uhr geht es um “Secure Mobility mit der ProCurve Serie 700WL”,
nachmittags von 14.00 bis 18.00 Uhr
heißt es: Hands On “Redundante
Gateways mit XRRP”. Alle Information zu den Veranstaltungen und Anmeldeformulare finden Sie in CompuShack´s HP-Fachhandelsportal.
Führende Hersteller wie Cisco Systems, Cobion, Computer Associates,
IBM, Innovaphone, KOBIL, Nortel
Networks, Novell, Polycom, Sonic
WALL, Tandberg und WatchGuard
sind auf den Compu-Shack Technology Days vertreten. Durch die begleitende Ausstellung haben die Besucher den direkten Kontakt zu den
Technologieführern und können ihre
Fragen an ausgewiesene Experten
adressieren.
Key-Technologies
Fachvorträge, Live-Hacking und Demonstrationen begleiten die Ausstellung. Hochkarätige Referenten inforAktuelle Termine zu Veranstaltungen
der Compu-Shack finden Sie unter
www.portal.compu-shack.com.
Auch Anmeldungen können in der
Rubrik Workshops online erfolgen.
mieren über aktuelle Trends in den
Technologie-Bereichen Security,
Voice over IP und Storage. In einem
ausgewogenen Mix aus technischen
Informationen und vertrieblichen
Strategien wird ein eindrucksvoller
Überblick über die derzeit innovativsten Netzwerk-Technologien geboten. Die Compu-Shack Technology
Days finden am 9. September in
Rodgau bei Frankfurt und am 11. September in Stuttgart statt Die Teilnahmegebühr beträgt 98,- Euro. Ab zwei
Personen bezahlen Besuchergruppen
nur noch 49,- Euro pro Person. Als
besonderes Bonbon erhält jeder Teilnehmer einen hochwertigen 64 MB
USB-Memory Stick kostenlos on top!
Die komplette Agenda finden Sie im
Compu-Shack Fachhandelsportal.
Die Anmeldung erfolgt ausschließlich über das dort hinterlegte Formular.
VORSCHAU
Training-Highlights im Oktober/November 2003
Kursbezeichnung
Kurs-Nr.
Termin
Ort
Preis in €
Advanced Novell eDirectory
Deploying and Managing Microsoft ISA Server 2000
Building Scalable Cisco Internetworks
Maintaining a Microsoft Windows Server 2003 Environment
Interconnecting Cisco Network Devices
Cisco IP Telephony
Implementing and Managing Microsoft Exchange 2000
WatchGuard Firewall & VPN
Novell Network Management NetWare 6
Cisco Secure PIX Firewall Advanced
NV 3007
MS 2159
Cis BSCI
MS 2275
Cis ICND
Cis CIPT
MS 1572
WG 001
NV 3004
Cis PFA
06.10. - 10.10.03
08.10. - 10.10.03
13.10. - 17.10.03
13.10. - 15.10.03
20.10. - 24.10.03
20.10. - 24.10.03
20.10. - 24.10.03
27.10. - 29.10.03
27.10. - 31.10.03
10.11. - 14.11.03
Neuwied
München
München
Neuwied
Neuwied
Neuwied
Neuwied
München
Neuwied
München
1.850,1.190,2.350,1.190,2.350,2.700,1.850,1.950,1.850,2.620,-
Alle im Text und den Terminen
genannten Preise gelten zuzüglich der
gesetzlichen Mehrwertsteuer
Das aktuelle Trainings-Programm finden Sie unter
www.training.compu-shack.com, persönliche Beratung
unter: 02631-983-317 oder per e-Mail an
[email protected].
09
Ausgabe 09/2003
50
MESSEN, ROADSHOWS, SEMINARE
N 10
No 10/2003
Thema des Monats Oktober
SERVICE ÜBER DRAHT UND ÄTHER
Remote Access Services (RAS) haben sich etabliert,
Dienste für Kabel und Funk, die es dem auswärtigen
Anwender ermöglichen, von einem entfernten Standort auf zentrale Ressourcen zuzugreifen. Dabei sollten
ihm bestenfalls unterschiedliche Technologien zur
Verfügung stehen. Denn nicht alle Services für Draht
und Äther sind an allen Orten gleichermaßen verfügbar. Zudem gibt es nur allzu verschiedene Anwendungsfälle und Anwendergruppen, mit ganz spezifischen
Anforderungen an ihre Access-Möglichkeiten. Vielerlei Erwartungen werden an den gebotenen Service
gestellt. Sei es bei Bandweite, Performance oder Sicherheit, sei es im Unternehmen, im HomeOffice, im
mobilen Außendienst oder ganz privat. Welcher
“Remote-Access-Service” ist demnach für welche
Einsatzgebiete und an welchen Standorten geeignet,
welcher mittelfristig zu empfehlen? Wir wollen eine
Bestandsaufnahme machen. Dabei wird prinzipiell
zwischen drahtgebundenen und drahtlosen Techniken unterschieden. Wir werden die Leistungsdaten
der etablierten Services für Kabelverbindungen und
Mobilfunk vergleichen, die Chancen der Protagonisten im DSL und WLAN abwägen und abschließend
auch auf Sonderformen eingehen, die neu aufkommende Ansätze wie CATV und wiederaufgelegte wie
Powerline versprechen und halten können.
Praxis:
Praxis:
RAS-Techniken
Teil 1: Drahtgebundene Kommunikation
Von Detlev Reimann und Rolf-Dieter Köhler
WLAN dringt vor, Teil 2:
Windows Server 2003, Teil 6:
Reichweite im Richtfunk
Cluster und Load Balancing
Unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Informationsbroschüren, beispielsweise zu Security. Neue Demo-CDs können Sie kostenlos unter www.technik-news.de
bestellen, zum Beispiel zu CA Brightstore ARCserve 9 for NetWare bzw.
Windows (Deutsch)
oder zu Novell GroupWise 6.5.
Ausgewählte Termine
08.-09.09.2003
09.09.2003
11.-12.09.2003
11.09.2003
15.09.2003
15.09.2003
15.-16.09.2003
16.09.2003
17.-18.09.2003
22.09.2003
22.09.2003
23.09.2003
23.-24.09.2003
23.-24.09.2003
24.09.2003
25.09.2003
29.09.2003
30.09.2003
01.10.2003
CS und Novell: First Class Training ”Nakoma”
Compu-Shack und CRN: Technology Days
CS und Novell: First Class Training ”Nakoma”
Compu-Shack und CRN: Technology Days
CS Production Workshop-Tour: ”Wireless Networking”
HP ProCurve KnowlEDGE Workshops
CS und Novell: First Class Training ”Nakoma”
CS Production Workshop-Tour: ”Wireless Networking”
CS und Novell: First Class Training ”Nakoma”
CS Production Workshop-Tour: ”Wireless Networking”
HP ProCurve KnowlEDGE Workshops
HP ProCurve KnowlEDGE Workshops
CS und Novell: First Class Training ”Nakoma”
CS Production Workshop-Tour: ”Wireless Networking”
HP ProCurve KnowlEDGE Workshops
HP ProCurve KnowlEDGE Workshops
HP ProCurve KnowlEDGE Workshops
HP ProCurve KnowlEDGE Workshops
HP ProCurve KnowlEDGE Workshops
09
Ausgabe 09/2003
51
Dortmund-Unna
Rodgau bei Frankfurt
Münster
Stuttgart
Münster
Berlin
München
Düsseldorf
Heidelberg
Frankfurt
Bad Homburg
Ratingen
Frankfurt-Dietzenbach
Köln
Hannover
Hamburg
Nürnberg
München
Sindelfingen