08 - ITwelzel.biz
Transcription
08 - ITwelzel.biz
Technik News - Netzwerkmagazin G46392 August 2002 D a s N 08 12. Jahrgang thema des monats NETWORK SECURITY Unter Spannung Unterbrechungsfreie Stromversorgung ÜBER KURZ ODER LANG High-Speed Ethernet Teil 2: 10 GBit-Technologien für WAN-Lösungen p r a x i s n a h e N e t z w e r k m a g a z i n AKTUELL • Security powered by Compu-Shack 4 Herausgeber: COMPU-SHACK NEWS 3Com: OfficeConnect Wireless Cable/DSL Gateway 3Com: SuperStack 3 Switch 4200 läßt Kunden die Wahl AVM: FRITZ!Card kombiniert DSL und ISDN für Linux AVM: BlueFRITZ! AP-X BinTec: Der xDSL-Router X3200 ist da LANCOM Systems: Kostenlose Updates Computer Associates:eTrust 20/20 gegen Sicherheitsverletzungen Microsoft: Word 2002-Update Transition Networks: PointSystem Netgear: ProSafe-Firewall-Router Novell und Compu-Shack: Small Business Suite mit m@ilbridge-Service Cisco: Wireless LAN Solution Engine Cisco: Intelligenz am Netzwerkrand Allied Telesyn: Neues ADSL-Modem WatchGuard: Hochleistungsfähige Firebox Vclass Serie Tandberg Data: SuperLoader im Rackmount-Format Newsticker • • • • • • • • • • • • • • • • • 4 4 5 5 6 6 7 7 8 8 9 10 11 11 12 13 14 Teil 2: 10 GBit-Technologien für Erscheinungsweise: monatlich 1 Heft Koblenz Lektorat: Andrea Briel Anja Dorscheid 20 Abo-Versand: Wolanski GmbH, Bonn Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik “Hotline” an. 30 31 32 35 36 37 38 41 42 42 46 48 PRAXIS • Do IT Dot NET, Teil 5: Commerce Server 2000 • Nortel Networks, Teil 2: Alteon Ethernet Web-Switch 180 50 52 SOLUTIONS 9,13,35,37,53 VORSCHAU 08 • Messen, Roadshows, Termine Technische Leitung: Ulf Wolfsgruber Druck: Görres-Druckerei, Empfohlene Novell und Microsoft Patches Empfohlene BinTec und Tobit Patches Empfohlene ARCserve Patches Neue Patches in der Übersicht: ARCserve Neue Patches in der Übersicht: Novell, Bintec BinTec: Security für BinTec Router Cisco:Wireless Utilities, Teil 1: Tools für Cisco Aironet 350 Tips & Citrix: Druckerreplikation bei Metaframe 1.8 Novell: Pure IP und SLP, Teil 2: SLP-Konfiguration auf Server und Client Microsoft: Manuelles Entfernen und Re-Installation Tandberg Data: DLT VS80 unter ARCserve 6.61 Novell: Interessante Tips der Deutschen Netware FAQ • Training, Support und Projekte Verantwortlich für den Inhalt: Heinz Bück Layout und Titelbild: Marie-Luise Ringma HOTLINE • • • • • • • • • • • • Redaktion: Heinz Bück Hotline und Patches: Jörg Marx 16 Unter Spannung Um einen zuverlässigen Netzwerkbetrieb garantieren zu können, muß jedes Sicherheitskonzept auch die Implementierung von Notstrom-Systemen vorsehen. Um den Ausfall von Servern, auf denen die geschäftskritischen Applikationen ihre produktiven Dienste verrichten, auf ein Minimum zu beschränken, wachen die USVs zuverlässig im Hintergrund. COMPU-SHACK.COM COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichMWSt.: Inland: 60,84 € Ausland: 86,41 € WAN-Lösungen Unterbrechungsfreie Stromversorgung Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ Bezugsquelle: Bezug über THEMA DES MONATS High-Speed Ethernet Electronic GmbH, Ringstraße 56-58, 56564 Neuwied 2 54 www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. BinTec B6202.x1x 1363 KB B6202.x2c 1497 KB B6202.x4a 1602 KB B6202.zip 1360 KB NW56UP1.exe 3250 KB SETUPEX.exe 4958 KB Novell TSA5UP9.exe 724 KB 295137.exe 114 KB DS760A.exe 1237 KB Microsoft EDIR8527.exe 13725 KB Q299956_W2K_SP3_x86_ EDIR8527.tgz 8909 KB EDIR862SP1.exe 12405 KB DE.exe 231 KB EDIR862SP1.tgz 7623 KB Q299956_W2K_SP3_x86_ FLSYSFT7.exe 891 KB EN.exe 231 KB NDP21P4.exe 853 KB WM320920_8.exe 1188 KB Ausgabe 08/2002 6_ COMPU-SHACK Netzwerksicherheit in der Offensive Security powered by Compu-Shack Von Heinz Bück Zu groß sind inzwischen die Risiken und Schäden, als daß Unternehmen ihre Netzwerksicherheit noch ernsthaft auf die Anschaffung von Firewalls oder Virenscannern beschränken wollten. Network Security ist bei all ihrer Vielschichtigkeit ein existentieller Faktor und unverzichtbarer Bestandteil des Netzwerkbetriebs geworden. Daher startet Compu-Shack im Verbund mit führenden Herstellerpartnern eine Offensive in Sachen Netzwerksicherheit, mit einem exzellenten Portfolio an Sicherheits-Technologien und Dienstleistungen. Weil Sabotage von innen, Sicherheitslücken oder Sicherungsfehler mehr Schaden als die viel berüchtigteren Hackerangriffe von außen verursachen, fordert eine unternehmensweite Netzwerksicherheit Entscheider und Planer, IT-Personal und Anwender gleichermaßen. Und sie erfordert mehr als eine kluge Strategie oder gute Komponenten, sondern will eingebettet sein in eine wirtschaftlich angemessene und technisch verläßliche Implemetierung im jeweils besonderen Unternehmensnetzwerk. Daher startet Compu-Shack für ihre Fachhandelspartner eine Offensive im Bereich Security, die ein ausgewähltes Sicherheitsportfolio, Consulting und Support umfaßt. Ein eigenes Security-Team wird den Partnern in den relevanten Technologiebereichen zur Verfügung stehen. IT´s Security Compu-Shack bietet ihren Fachhandelspartnern damit breite Unterstützung, um erprobte Security-Produkte und eigene Sicherheits-Services anzubieten. Denn der Bedarf steigt kontinuierlich. Um auch KomplettLösungen entwerfen und installieren zu können, steht neben einem abgerundeten Portfolio führender Hardund Software-Hersteller ein differenziertes Dienstleistungsangebot abrufbereit. Es erlaubt dem Fachhandel, im Rückgriff auf ausgewiesene Experten ein individuelles Sicherheitskonzept für ihre Kunden zu entwickeln und bezieht für Unternehmen der verschiedensten Größenordnung eine anforderungsgrechte Produktauswahl unter den Aspekten der Wirtschaflichkleit und der Investitionssicherheit mit ein. Zur Stärkung einer engen Sicherheits-Partnerschaft zwischen Fachhandel und Endkunden wird Compu-Shack regionale Kundenveranstaltungen und lokale Hausmessen unterstützen, Teststellungen ermöglichen und Referenz-Projekte vorführen. Security-Team Die Sicherheitsexperten des CompuShack Security-Teams werden die Fachhandelspartner bei den diversen Anforderungen unterstützen, sei es bei der reinen Bedarfsermittlung oder einer maßgeschneiderten Konzeption. Spezielle Trainings und Security Learning Cycles, entsprechender Hotline-Support und Vor-Ort-Service begleiten die Initiativen als ein möglichst weit gefaßtes Know-how-Angebot, um einen dauerhaft gesicherten Netzwerkbetrieb in den Partner- 08 Ausgabe 08/2002 3 unternehmen zu gewährleisten. Die neu geschaffene Business Development Unit bei Compu-Shack wird aus einer kontinuierlichen Beobachtung der Marktsituation und der sicherheitsrelevanten Trends für eine schnelle Umsetzung von innovativen Security-Technologien am Markt sorgen. Das Security Team betreut dabei sowohl Kunden als auch neue Herstellerpartner innerhalb dieses schnell wachsenden Marktsegments. Die Mitarbeiter dieses kundennah agierenden Teams stellen die direkten Ansprechpartner für technologiebezogene und konzeptionelle Fragen. Security Portfolio Compu-Shack steht für eine zukunftsweisende Abrundung des Produktportfolios. Ziel ist es, alle relevanten Sicherheits-Technologien durch marktführende Hersteller komplett abzubilden, um ihren Fachhandelspartnern dadurch eine größtmögliche Produktauswahl für eine herstellerübergreifende und kundenorientierte Lösung anbieten zu können.Compu-Shack Training wird in Workshops und einschlägigen Fachschulungen die aktuellen Themen aufgreifen und einen zeitnahen Know-how Transfer anbieten. Gleichzeitig wartet sie mit einem entsprechenden Zertifizierungsangebot der Key-Hersteller für Fachhändler auf, damit die Compu-Shack Partner sich auch im Bereich Netzwerksicherheit als qualifizierte Experten im Security-Markt etablieren. AKTUELL W 6_ KB a AKTUELL n NEWS 3COM 3C OM Access Point mit Switch Ethernet Switching SuperStack 3 Switch 4200 läßt Kunden die Wahl OfficeConnect Wireless Cable/DSL Gateway 3Com ergänzt ihre 10/100 Switch-Produktpalette um die SuperStack 3 Switch 4200-Familie. Diese managebaren Switches sind für Netzwerke in kleineren Betrieben ebenso gedacht wie für Unternehmen, die eine erschwingliche, flexible und leicht zu handhabende Lösung für Arbeitsgruppen oder den Einsatz in Verteilerschränken suchen. 3Com erweitert ihre erfolgreiche Produktreihe von kostengünstigen Wireless-LAN-Lösungen um das OfficeConnect Wireless Cable/DSL Gateway. Das WiFi zertifizierte Gerät arbeitet wie ein Wireless LAN Access Point nach Standard 802.11b und integriert einen Switch mit 4 Ports. An ein Kabel- oder DSL-Modem angeschlossen, wird in kleinen Unternehmen der gleichzeitige Internet-Zugang für bis zu 32 Anwender möglich. D Die neuen SuperStack 3 Switches der 4200er Familie mit ihren beiden 10/100/1000 Downlink Ports kommen als 26 Port Switch 4226T bzw. als 50 Port-Modell 4250T mit 24 und 48 10/100 Ports auf den Markt. Die beiden Wirespeed Switches bieten professionelle Layer-2-Leistungsmerkmale einschließlich Link Aggregation und unterstützen 802.1Q VLAN Tagging zur Identifizierung sowie 802.1p Traffic Priorisierung. Die automatische Verbindung über Gigabit Ports macht die SuperStack 3 Switch 4200-Familie ohne jeden Aufwand stapelbar, wobei dieselben Ports zugunsten einer höheren Dichte weiterhin für 10/100Verbindungen genutzt werden können. D Der Nachfolger des mehrfach ausgezeichneten 3Com Home Wireless Gateway zeichnet sich durch die einfache Installation und Konfiguration sowie hohe Qualität und Zuverlässigkeit aus. Denn das neue 3Com OfficeConnect Wireless Cable/DSL Gateway ist speziell auf die Ansprüche von kleinen Unternehmen und Office-Anwendern zugeschnitten. Neben dem schnellen Breitbandanschluß bietet es eine integrierte Firewall, unterstützt 40/64-bit und 128-bit Wired Equivalent Privacy (WEP)-Verschlüsselung und ermöglicht den sicheren Datenverkehr per Virtual Private Network. Remote Office-Anwender und Remote AccessApplikationen sind aufgrund der VPN-Unterstützung sicher zu integrieren. Managed und unmanaged Als leistungsstarke und einfach anzuwendende Management Applikation ist 3Coms Network Supervisor enthalten. Netzwerkverbindungen und IP-Endgeräte werden von der Software aufgespürt, dokumentiert und grafisch dargestellt, einschließlich der 3Com NBX-Telefone und der Produkte anderer Hersteller. In verständlicher Form wird das momentane Belastungsniveau aufgezeigt. Die Software definiert Schwellwerte und Alarme, meldet Störungen im Netzwerk, generiert Reports in anwenderdefiniertem Format und startet Konfigurations-Tools für Endgeräte. Das integrierte Stack Management soll als kostenpflichtiges Software Upgrade Ende 2002 erhältlich sein Für Unternehmen oder Abteilungen, die kein Netzwerkmanagement brauchen, entwickelt 3Com weiterhin ihre Produktlinie der Unmanaged Switches und Hubs, die SuperStack 3 Baseline-Familie. Diese einfacheren Ethernet Switches werden verwendet, um LAN-Konfiguration in Kleinunternehmen, Niederlassungen oder Unternehmensabteilungen aufzubauen. Als Erweiterung der Baseline-Familie kündigte 3Com für Mitte August einen SuperStack 3 10/100 Switch mit 48 Ports und zwei 10/100/1000 Ports in einem kompakten Formfaktor vor. Dieser Switch wurde für Büros mit ständig wachsenden Mitarbeiterzahlen und höheren Bandbreitenanforderungen entwickelt. NEWS Vielseitig Die Wireless-LAN-Lösung in Verbindung mit Kabel/DSLBreitband-Anbindungen hilft beim flexiblen Aufbau oder der Erweiterung eines kleinen Netzwerks, zumal Kosten für die Neuverkabelung entfallen. Bei Umzügen ist das Netzwerk schnell wieder eingerichtet, auch Arbeitsplatzwechsel von Mitarbeitern sind einfach zu vollziehen. Für kurzfristige Besprechungen und Kundenbetreuung können flexible Workgroups aufgesetzt werden mit Zugang zum Server, E-Mail und Internet. Zusätzlich besitzt das neue OfficeConnect Gateway vier 10/100 Ethernet Ports, die an das Unternehmensnetzwerk angeschlossen werden können. Das Wireless Cable/DSL Gateway ist ab sofort verfügbar. 08 Ausgabe 08/2002 4 AVM AVM DSL unter Linux DUN-Profil FRITZ!Card kombiniert DSL und ISDN BlueFRITZ! AP-X Auch Linux-Anwender können jetzt die FRITZ!Card DSL einsetzen. Sie verbindet den PC mit dem Highspeed-DSL-Anschluß und bietet gleichzeitig einen ISDN-Zugang. Entsprechende CAPI4Linux-Treiber für den DSL/ISDNController stehen für die Distributionen SuSE 7.3 und 8.0 bei AVM zum Download bereit. Anwender von BlueFRITZ!, dem kabellosen ISDN-Zugang von AVM, können nun das erste Update kostenlos downloaden. Es integriert das DUNProfil BlueFRITZ! AP-X. M Mit den neuen CAPI4Linux-Treibern von AVM lassen sich DSL und ISDN nun auch unter Linux komfortabel nutzen. Über die Schnittstelle CAPI 2.0 können DSL- und ISDN-Verbindungen gleichzeitig aufgebaut werden. CAPI4Linux garantiert die Kompatibilität zur DSL-Schnittstelle UR2 der Deutschen Telekom und zu diversen anderen Anbietern. Ein weiteres Komfortmerkmal bei der DSL-Nutzung ist die automatisierte Erkennung der DSL-Gegenstelle (DSLAM). Für das populäre HylaFAX-Paket steht mit CAPI4HylaFAX eine spezielle Adaption für die CAPI 2.0-Schnittstelle zum kostenfreien Download bereit. Für SuSE-Linux Die Linux-Treiber stehen in vorkompilierten Archiven zur Verfügung. Diese gestatten eine besonders einfache Integration in SuSE-Linux 7.3 und 8.0. Dabei ist weder die Übersetzung der Quelltexte noch eine Anpassung an die individuelle PC-Konfi- guration notwendig. Anwender anderer Distributionen oder Kernelversionen können CAPI4 Linux durch manuelles Übersetzen der in den Treiberarchiven enthaltenen Quelltexte ebenfalls verwenden. Die FRITZ!Card DSL verbindet als Einsteckkarte den PC direkt mit dem DSL-Anschluß und bietet gleichzeitig einen ISDN-Zugang. In einem kleinen Netzwerk können mehrere Anwender gleichzeitig im Internet surfen. K ADSL Watch Des weiteren bietet AVM mit K ADSL Watch den Anwendern der FRITZ!Card DSL nun einen aussagekräftigen Monitor für die DSL-Verbindung unter Linux KDE2.x/3.x. Neben dem ISDN-Monitor K ISDN Watch gibt es damit auch einen entsprechenden Monitor für die DSLVerbindung und den Verbindungsstatus der FRITZ!Card DSL. K ADSL Watch zeigt Verbindungsauf- und abbauten sowie die Übertragungsrate in Sende- und Empfangsrichtung und gibt den benutzten AVM DSL/ISDNController, die Verbindungszeit und den Datendurchsatz an. FRITZ!Card DSL soll im Herbst auch als externes USB-Gerät zur Verfügung stehen. Die CAPI4Linux-Treiber für den DSL/ ISDN-Controller finden Sie unter www.avm.de zum Download. 08 Ausgabe 08/2002 5 M Mit dem DUN-Profil (Dial Up Networking) haben nun auch internetfähige Geräte wie PDAs oder Notebooks über den BlueFRITZ! Access Point direkten Zugriff auf ISDN. Im Unterschied zum bereits integrierten CIP-Standard, der neben allen ISDN-Diensten vor allem Fast Internet over ISDN unterstützt, eignet sich das DUN-Profil für einen Basis-Zugang zum Internet. Auch wenn es Leistungsmerkmale wie Kanalbündelung, ISDN-Datenkompression oder Faxübertragung nicht unterstützt, macht es für Anwender von BlueFRITZ! durchaus Sinn, denn damit erhalten auch Bluetooth-Produkte mit integriertem Internet-Browser, die nicht von Haus aus das digitale Kommunikationsnetz unterstützen, einen Internetzugang über ISDN. Das DUN-Profil wird in BlueFRITZ! AP-X durch ein Update der Anlagensoftware integriert. Mit der im Lieferumfang enthaltenen Konfigurations-Software können Anwender das Update einfach und komfortabel in BlueFRITZ! AP-X laden. Dies kann sowohl über das USBKabel als auch über eine BluetoothVerbindung erfolgen. Nach dem Update der Anlagensoftware ist die Einwahl ins ISDN über DUN ohne weitere Konfiguration möglich. Das erstes Update für BlueFRITZ! AP-X steht im AVM Dowload-Bereich bereit, zusammen übrigens mit einer neuen Version 2.01 von KEN! und KEN! DSL n NEWS BINTEC LANCOM SYSTEMS Zuwachs Service-Konzept Der xDSL-Router X3200 ist da Kostenlose Updates BinTec hat die X-Generation um den xDSL-Router X3200 für den professionellen Anwendungsbereich erweitert. Der VPN-fähige Router im 19-Zoll-Gehäuse ermöglicht einen sicheren und schnellen Breitbandzugang für mittlere und große Unternehmen. Der neue Router ist ab August 2001 verfügbar. Die Lancom Systems GmbH bietet ab sofort Service und Support für die früheren ELSA LANCOM- und AirlancerProduktfamilien. Kostenlose Treiber, Firmware-Updates und Handbücher für LANCOM Systems Geräte und ehemalige LANCOM- und Airlancer-Produkte von ELSA sind im Internet abrufbar. M Mit dem flexibel einsetzbaren xDSL-Router X3200 bietet BinTec ihren Unternehmenskunden einen Zuwachs an Daten-Kommunikationsfunktionen und öffnet den schnellen Zugang zum ADSL- oder Kabelmodem-Breitbandnetzwerk. Eine integrierte ISDN-Schnittstelle fungiert als Backup-Lösung beim Ausfall der xDSL-Leitung, um teuere Ausfallzeiten zu verhindern. X3200 unterstützt Faxund Netzwerkdienste, E-Mail, Online-Banking und File Transfer. Benutzerfreundliche Tools erleichtern die Konfiguration und Fernwartung. Umfassenden Schutz vor Zugriffen aus dem Internet bietet die bewährte SAFERNET Firewall von BinTec. Der Austausch sensibler Unternehmensdaten ist durch Sicherheitsfeatures wie VPN, Network Address Translation und IPSec gewährleistet. I Investitionen von ELSA-Kunden in LANCOM- und Airlancer-Produkte bleiben gesichert. Die im Mai gegründete LANCOM Systems GmbH führt die beiden erfolgreichen Produktfamilien des ehemaligen ELSA-Geschäftsbereiches Communication Systems weiter und bietet Service und Support für die früheren ELSA Router und Wireless-LAN-Komponenten. Geräte, die von LANCOM Systems seit dem 1. Mai 2002 neu verkauft werden, haben eine zweijährige kostenlose Herstellergarantie. Service und Support NEWS IPSec Client Zusätzlich bietet die LANCOM Systems GmbH für die von der ELSA AG erworbenen LANCOM- und Airlancer-Produkte einen kostenpflichtigen Reparaturservice an. Für die Einsendung ist eine RMA-Nummer (Return of Material Authorisation) erforderlich, die über das SupportTeam angefordert werden kann. Eine Überprüfung mit Reparatur des Gerätes wird pauschal für 54 • plus Versandkosten angeboten. Sollte eine Reparatur nicht möglich sein, erhalten Kunden einen Kostenvoranschlag für ein Austauschgerät. Treiber- und Firmware-Updates von LANCOM Systems zu den bisherigen ELSA-Produkten bleiben voll kompatibel. Den Anwendern werden in Zukunft auch kostenlos neue Features angeboten. Für telefonischen Support steht das LANCOM Systems SupportTeam werktags von 9 bis 17 Uhr unter der Rufnummer 01907 / 64100 für 1,24 •/min. zur Verfügung. Weitere Informationen finden Sie im Internet unter www.lancom.de. Gleichzeitig gab BinTec bekannt, daß der aktuelle IPSec Client für Windows PCs jetzt auch für Windows XP erhältlich ist. Die hinsichtlich Speicherbedarf und Performance verbesserte Version wurde unter anderem mit den PublicKey Cryptography Standards PKCS #11, PKCS #12 und PKCS #15 erweitert. Dies erlaubt die Unterstützung von Tokens und persönlichen Identifizierungsverfahren. Der IPSec Security Client von BinTec bietet Unternehmensmitarbeitern, die häufig reisen oder zu Hause arbeiten, einen sicheren Fernzugriff über ein bestehendes IPSecGateway oder zu einem IPSec-fähigen Server der Firma. Er trägt mit dazu bei, Sicherheitslücken innerhalb des LAN zu verhindern. Die flexible Paketfilterfunktion ermöglicht den einfachen Aufbau persönlicher Firewalls zum Schutz der Arbeitsplatzrechner vor unerwarteten vorsätzlichen Angriffen. Es werden alle gängigen Windows Versionen bis XP unterstützt. 08 Ausgabe 08/2002 6 COMPUTER ASSOCIATES MICROSOFT Gegen Wirtschaftsspionage 19. Juni eTrust 20/20 bietet Schutz gegen Sicherheitsverletzungen Word 2002-Update Echtzeit-Warnung und eine innovative Playback-Funktionalität für die schnelle Feststellung und Dokumentation potentieller Attacken und Richtlinienverletzungen zeichnen die neue Sicherheitslösung von Computer Associates aus. Mit eTrust 20/20 kündigt CA für Ende des Jahres 2002 eine neue Software zum Schutz vor Hacker-Angriffen, Datendiebstahl, Wirtschaftsspionage und Verletzung von Firmenrichtlinien an. Ein Produkt-Update bietet neue Sicherheitsvorkehrungen für Microsoft Word 2002. Denn bisher konnte bei unzureichenden Sicherheitsbedingungen auf Online-Dateien zugegriffen und Makros ohne Warnung ausgeführt werden. Schutz und Kontrolle S Statt einer Flut von Analysedaten will CA den IT-Verantwortlichen in Unternehmen mit effizienten Tools zur Seite stehen, um alle Anzeichen für Sicherheitsverletzungen sofort zu erkennen und entsprechend reagieren zu können. eTrust 20/20 heißt das kommende Produkt, das alle physischen und IT-spezifischen Anomalien visualisiert, um die Sicherheit innerhalb eines Netzwerks zu gewährleisten. Administratoren sollen damit die Möglichkeit haben, bereits geringfügigen Sicherheitsverletzungen Einhalt zu gebieten und Sicherheitslücken oder gezielte Angriffe frühzeitig festzustellen. Dank der integrierten Playback-Funktionalität werden weitreichende Möglichkeiten der Analyse und Dokumentation implementiert, damit Verletzungen der ITSicherheit nachgewiesen werden können. eTrust 20/20 will Netzwerkadministratoren die nötige Übersicht in komplexen, geografisch verteilten Umgebungen geben. Die neue Lösung kann vorhandene Informationen auswerten und in die Datenanalyse mit einbeziehen. Alle Auffälligkeiten innerhalb eines Netzwerks werden ausführlich dokumentiert und darauf aufbauend geeignete Abhilfemaßnahmen getroffen. eTrust 20/20 stellt die unterschiedlichen Zugriffe und Zugriffsrechte eines Users nebst Zeitangabe übersichtlich dar. Das visuelle Playback reproduziert in grafischer Darstellung alle Zugriffsversuche eines Users. Mit eTrust 20/20 soll die CA Sicherheits-Suite um eine leistungsstarke Zugriffs- und Identitätskontrolle, Virenschutz, Policy Management und weitere Sicherheitslösungen bis Ende des Jahres 2002 erweitert werden. Eine Trial Version zu eTrust InoculateIT können Sie kostenlos unter www.techniknews.de bestellen. 08 Ausgabe 08/2002 7 D Das Word 2002-Update: 19. Juni 2002 bietet die höchsten Leistungs- und Sicherheitsstandards, die Microsoft zufolge aktuell für Word 2002 verfügbar sind. Es verhindert, daß auf Online-Dateien, die als Teil eines Seriendruckes in Word 2002 verwendet werden, unter ungeeigneten Sicherheitsbedingungen zugegriffen wird und möglicherweise Makros ohne Warnung ausgeführt werden. Das Client Update steht als W r d 1004.exe zum Download unter http://office.micro soft. com/downloads/2002/wrd 1004.aspx. Das Administrative Update zur Server-Installation steht als Wrd1004a. exe unter http:/ /download. micro soft.com/ download/Word2002/Patch/ wrd1004/W982KMeXP/EN-US bereit. Beachten Sie die Installationshinweise. Zusätzliche Informationen zur administrativen Installation hält die Microsoft Knowledge Base: Q301348 OFFXP vor. Als weiteren Artikel empfiehlt Microsoft das Office XP Resource Kit: http:// www.micro soft.com/ office/ork/xp/jou rn/wrd1004a.htm. n NEWS TRANSITION NETWORKS NETGEAR Conversion Funktionsspektrum PointSystem ProSafe-Firewall-Router Das bewährte Conversion Center von Transition Networks hat im aktuellen PointSystem seinen würdigen Nachfolger gefunden und bietet viele Features für verschiedene Topologien. Netgear bringt mit der ProSafe-Serie eine interessante Produktpalette multifunktionaler Firewall-Router für kleinere und mittelständische Unternehmen heraus. Mit ihrem vielseitigen Funktionsspektrum bieten sie nicht nur fortschrittliche Sicherheitsmerkmale, sondern wahlweise oder im Paket eine Wireless-Anbindung, Printserver-Funktionen und Breitbandanschluß. NEWS D Die neue Medienkonvertierungsplattform PointSystem von Transition Networks macht die Veränderungen in einem Unternehmensnetzwerk problemlos mit, unterstützt eine breite Palette etablierter Netzwerkplattformen und läßt sich über eine grafische Benutzeroberfläche einfach administrieren. Das 18 Slot Chassis ist bis zu 8 Einheiten stapelbar und bietet die Möglichkeit, die beiden Power Supplies für eine jeweils 50-prozentige Nutzung zu konfigurieren oder für 100% mit einer zweiten redundanten Auslegung. Der Einsatz eines Management Moduls mit Remote Office Funktion ist optional, wobei über dessen Micro Controller die neuen Software-Updates über die Management Console geladen werden können. Mit einem MasterManagement-Modul kann man alle Chassis im Stack verwalten, benötigt wird dazu nur das Slave ManagementModul in jedem Chassis. Durch DualSlide-In-Karten kann die Port-Dichte in den freien Slots 7 bis 18 über Telco-Anschlüsse verdoppelt werden. Bei Ausfall eines Chassis in einem Bus arbeiten die anderen ohne Störungen weiter. Die neue Class A und B Zertifizierung bestätigt jetzt auch die Eignung für Heimanwender und medizinische Umgebungen. Zur Zeit sind für das Point System Ethernet-, Fast Ethernet- und Gigabit Ethernet-Karten verfügbar. Ein Ausbau auf andere Topologien ist geplant. I In kostengünstigen, integrierten Produkten bietet Netgear mit ihrer neuen ProSafe Router-Serie vielseitige Netzwerklösungen mit Firewall-Funktionalität der Business-Klasse. Die jüngst vorgestellten Firewall-Router ermöglichen den sicheren InternetAnschluß mehrerer PCs über Breitbandverbindungen mit DSL- oder Kabelmodem. Sie beinhalten fortschrittliche Sicherheitsmerkmale zur Verhinderung von Denial of ServiceAttacken sowie Stateful Packet Inspection (SPI). Die ProSafe-Router erlauben Protokollierung, Berichte und Alarme über Internet-Aktivitäten und Content-Filterung auf URL-Basis, um auch den Zugang zu bestimmten Web-Seiten zu sperren. Eine VPNPassthrough-Funktion sorgt für ein Maximum an Netzwerksicherheit. Der Smart Setup Wizard von Netgear sorgt für ein komplettes, benutzerfreundliches Setup auf Internet-Basis. Multifunktional Der ProSafe FM114P kombiniert fünf Gerätefunktionen in einem. Er arbeitet als 802.11b Wireless Access Point mit 11 Mbps und SPI-Firewall, als Router, Switch und Printserver zur gleichzeitigen Nutzung von Drukkern. Auch der ProSafe FR114W kann als wireless-ready Firewall-Router mit einer Netgear wireless PC-Card MA401 aufgerüstet werden, um drahtlose Access-Points zu unterstützen, eine Sicherheitslösung, die die Option offen läßt, auch später noch Wireless-LAN-Anbindungen zu realisieren. Der ProSafe Firewall Router FR114P mit Print-Server wartet indes mit integrierter bidirektionaler Server-Funktionalität auf, um DruckerRessourcen in kleinen Büronetzen gemeinsam zu nutzen. Alle drei FirewallModelle bieten eine Bedieneroberfläche für die Installation, einen schnellen Mikroprozessor sowie einen 10/100 WAN-Port und RemoteManagement-Funktionen. Durchgängig sicher Der Breitband-Kabel/DSL-Router FVS318 mit VPN- und Firewall-Funktionalität verfügt über acht 10/100 Switch-Ports. Er kann bis zu acht IPSec-basierte VPN-Tunnel aktivieren, die bei authentifizierten RemoteSites oder mobilen Benutzern für durchgängige Sicherheit sorgen. Für Unternehmen, die ihr Netzwerk ohne großen Budget-Aufwand schützen wollen und die auch Remote Management für einen problemlosen Multi-Site-Einsatz benötigen, bringt das Gerät eine echte Firewall mit SPI-Technologie und intelligentem Web-Agenten zur einfachen Konfiguration. Der Router kann bis zu 253 Benutzer unterstützen und wird für zusätzlichen Schutz mit einer kostenlosen Virenschutz- und Privacy-Software für PCs geliefert. 08 Ausgabe 08/2002 8 NOVELL UND COMPU-SHACK COMPU-SHACK Einstieg ins Internet-Mailing Noch mehr Power Small Business Suite mit m@ilbridge-Service E-Mail-Kapazitäten bis 500 MB In Verbindung mit der Novell Small Business Suite 6 können kleine Unternehmen jetzt schnell und günstig in das Internet-Mailing einsteigen. Denn zur aktuellen NSBS 6 bietet Compu-Shack ihren m@ilbridge-Service, der die Leistungsmerkmale von Novell GroupWise auch für Low-Cost-Internet-Zugänge voll ausschöpft. Compu-Shack hat das Leistungsangebot des m@ilbridge Service erweitert und ihre Kommunikationslösung nun auch für größere E-MailAufkommen verfügbar gemacht. Die Eigenentwicklung von Compu-Shack bietet jetzt gestaffelte Übertragungskapazitäten bis 500 MB. C Compu-Shack eröffnet mit ihrem m@ilbridge-Service gerade für kleine Unternehmen eine interessante EMail-Kommunikationslösung. Sie schließt die Lücke zwischen InternetAnschlüssen per Wählleitung und GroupWise 6, das u.a. auch Bestandteil der Small Business Lösung ist. Mit Hilfe der m@ilbridge können Unternehmenskunden auch ohne Standleitung ins Internet das Novell Mail-System in vollem Umfang nutzen. Denn die m@ilbridge-Lösung von Compu-Shack stellt einen vollwertigen SMTPE-Mail-Zugang bereit, ohne daß mehr als der herkömmliche, preiswerte Standard-Internet-Anschluß per Wählleitung benötigt wird. So können Intranet- und Internet-Mails in einem System gebündelt werden. Kommunikationslösung Dazu bietet die Novell Small Business Suite 6 in einem Paket alle wichtigen Netzwerkund Storage-Funktionen für bis zu 50 Anwender. Die Betriebssystem-Plattform bildet Novell NetWare 6. Zum Lieferumfang der Suite gehören neben Group Wise 6 auch ZENworks for Desktops 3.2, Tobit FaxWare und der BorderManager Enterprise Edition 3.6, der für die Sicherheit des Netzwerkes sorgt. Das Leistungsangebot des m@ilbridge-Service umfaßt die Bereitstellung einer Server-Software, das Hosting der E-Mails bei Compu-Shack, das Routing über den m@ilbridge-Server inklusive eines monatlichen Datentransfervolumens von Fragen zur m@ilbridge und dem erwei125 MB sowie das Scannen terten Service beantwortet das Support der übermittelten E-Mails Team unter 02631 / 983-988 oder per nach Viren. Während der VerEmail an m@ilbridge.de Nützliche tragsdauer genießen die Informationen zum Service-Umfang, den m@ilbridge-Kunden einen technischen Details und aktuellen Einkostenlosen Telefonsupport stiegsangeboten finden Sie auch im für die eingesetzte m@ilInternet unter www.mailbridge.de. bridge-Software. 08 Ausgabe 08/2002 9 Um den Service für m@ilbridge Anwender noch effizienter zu machen, hat CompuShack jetzt eine Erweiterung des Serviceumfangs vorgenommen. In mehreren Stufen von jeweils 125 MB können Kunden eine Übertragungskapazität von bis zu 500 MB wählen, um m@ilbridge für das Internetmailing mit GroupWise und einem Low-Cost-Internetzugang zu nutzen. Gerade kleinere Unternehmen mit bis zu 50 Novell GroupWise E-Mail-Clients und erhöhtem Übertragungsbedarf können die vollwertige Internet-Mail-Anbindung über SMTP nun flexibel erweitern. Mit einer Zusatzvereinbarung bei Vertragsabschluß können Kunden wählen, ob sie eine automatische Anpassung nach Überschreitung der Basistransferrate von 125 MB wünschen. Die zusätzliche Übertragungskapazität wird dann zu geringen Mehrkosten und ohne weitere Formalitäten im Bedarfsfall zur Verfügung gestellt. Dies hat für die m@ilbridge-Nutzer den Vorteil, daß der eingeplante Spielraum sich einem veränderlichen Kommunikationsverhalten dynamisch anpaßt. n NEWS CISCO Wireless LAN Solution Engine CiscoWorks Management Familie erweitert CiscoWorks wurde mit der Wireless LAN Solution Engine um eine intelligente Lösung zum Management von WLANInfrastrukturen erweitert. Darüber hinaus erhielten auch die CiscoWorks LAN und Routed WAN Management-Solution zusätzliche Sicherheits- und Betriebsfunktionen. Die neuen Werkzeuge und Monitoring-Tools erhöhen die Produktivität der IT-Abteilung und die Ausfallsicherheit des Netzwerks. D Die Cisco Wireless LAN Solution Engine (WLSE) ist eine Anwendung für das Management und für die Konfiguration von WLAN-Infrastrukturen aus Cisco Wireless Produkten. WLSE identifiziert und konfiguriert Access Points in definierten Gruppen. Darüber hinaus dokumentiert die Lösung den Datendurchsatz und die Client-Verbindungen. Damit ermöglicht sie eine optimale Performance des drahtlosen Netzwerks. Die zentralen Managementfunktionen werden durch ein integriertes, auf Vorlagen basierendes Tool ergänzt, das die Konfiguration erleichtert. NEWS WLAN Monitoring Während mit bisherigen Management-Lösungen nur ein einziger Access Point angesprochen werden konnte, ermöglicht WLSE die Definition einheitlicher Profile für alle Access Points im Unternehmen und stellt damit auch bei der Fehlersuche ein wirkungsvolles Werkzeug dar. WLSE reagiert mit Fehlermeldungen auf unautorisierte Konfigurationsänderungen an einem Access Point oder auf Änderungen in den Sicherheitsparametern. Sicherheitslücken lassen sich schließen, bevor sie für unerlaubte Zugriffe genutzt werden können. Die Lösung bietet proaktives Fehlerund Performance-Monitoring für Access Points, Bridges und angeschlossene Switches. So können WLAN-Anwendungen beispielsweise auch für PDAs ohne Sicherheitsrisiken eingesetzt werden. LAN und WAN Solution Die CiscoWorks LAN- und die Routed WAN Management Solution LMS und RWAN-Lösungen bieten jetzt erweiterte Sicherheits- und Betriebsfunktionen für umfassendes, skalierbares Infrastruktur-Management in LAN- beziehungsweise gerouteten WAN-Infrastrukturen. Dazu gehören u.a. die Unterstützung von Secure Socket Layer (SSL) und Secure Shell (SSH) in CiscoView, um sichere Transaktionen zwischen CiscoWorks-Anwendungen, Clients und Managed Devices zu gewährleisten und Unternehmensdaten im Managed Network zu schützen. Neben der Unterstützung für Windows 2000 sowie für Solaris 2.7 und 2.8 Server wurde das Cisco Internetworking Operating System auf mehr als 30 weitere Cisco-Endgeräte ausgedehnt. Die Erweiterung des RME Software Image Manager (SWIM) ermöglicht dynamische Updates von PIX Device Images, leichteres Management großer PIX-Installationen und reduzierten Aufwand für Verwaltung und Update von PIX-Software. Übrigens wurde die Cisco PIX515R jüngst im Firewall-Test der Zeitschrift Internet Professionell zum Testsieger gekürt. ...Gigabit Switching Ticker Module für Matrix E6 und E7:Enterasys Networks stellt ab sofort ein neues Gigabit Ethernet Switch Modul für die Switches Matrix E6 und Matrix E7 zur Verfügung. Das 6-Port Switching-Modul unterstützt sämtliche Layer-3-/4 Funktionalitäten der dritten Generation. Es ermöglicht die exakte Kontrolle von kritischen Bereichen wie etwa den Zugangspunkten zum Netzwerk, ohne die vergleichsweise hohen Kosten und die Komplexität von Routing-Lösungen. Zudem liefert das Matrix 6G302-06 Modul die Durchsatzrate und Portdichte, die für die Beseitigung von BandbreitenEngpässen und für den Einsatz in großen Netzwerken erforderlich ist. Der Einsatz des NetSight Atlas Policy Managers sorgt dafür, daß Funktionen wie Quality-of-Service sowie Security- und Traffic-Kontrolle an den Desktops und Servern am Netzwerkrand automatisch zur Verfügung gestellt werden. Netzwerk-Manager sind somit in der Lage, Anwendungen mit hoher Priorität bereitzustellen, Service Level Agreements durch ausreichend hohe Bandbreite zu garantieren und Sicherheitsverletzungen direkt am Ursprung zu stoppen. 08 Ausgabe 08/2002 10 ALLIED TELESYN CISCO Zeit und Geld Mit 24 Fiber-Ports Intelligenz am Netzwerkrand Cisco erweitert die Produktpalette ihrer Intelligent Ethernet Switches um den Catalyst 3550-24-FX-SMI. Er bietet 24 100BaseFX-Multimode-Fiber-Ports und zwei GBIC-basierte Gigabit Ethernet Ports in einer Höheneinheit und bringt intelligente Dienste bis an den Netzwerkrand. Gleichzeitig bieten kostenfreie Software- Erweiterungen bei den Serien Catalyst 3550 und 2950 neue Sicherheitsfunktionen. D Der neue Catalyst 3550-24-FX-SMI soll vor allem in Umgebungen mit großen elektromagnetischen Störungen oder bei Kabellängen über 100m zum Einsatz kommen, wo der Einsatz von Glasfaserkabeln notwendig ist. Auch für Gebäude die mit “Fiber to the desk”-Technologie verkabelt sind, bietet sich der neue Catalyst 3550-24-FX-SMI an. Die Intelligent Ethernet Switches der Catalyst 3550 Serie sind stapelbare Multilayer Switches, die Verfügbarkeit, Sicherheit und Quality of Service bieten. Mit ihren Fast Ethernet und Gigabit Ethernet Konfigurationen können sie als Access Layer Switch in Unternehmen und als Backbone Switch in mittleren Netzwerken zum Einsatz kommen, wo sie für intelligente Dienste, Rate-Limiting, Security Access Control Lists und Hochleistungs-IPRouting genutzt werden. Die Switches der Catalyst 3550 Serie sind mit der Cisco Cluster Management Suite Software (CMS) ausgestattet, die über WebBrowser mehrere Desktop Switches gleichzeitig konfigurieren und auf Fehler untersuchen läßt. CMS bietet neue Konfigurations-Wizards, die Implementierungen von konvergierten Applikationen und netzwerkweiten Diensten vereinfachen. Intelligente Dienste Gleichzeitig erweiterte Cisco den Funktionsumfang der Software bei den Serien Catalyst 3550 und 2950 um neue Sicherheitsfunktionen für das LAN und um benutzerfreundliche Web-basierte Management-Funktionen. Kleine und mittelständische Unternehmen können damit eine sichere LAN-Infrastruktur aufbauen, während große Unternehmen für ihre Etagenbereiche und Worksgroups intelligente Dienste bis in den Anschlußbereich bringen. Neue Funktionen erweitern die Sicherheitsprozesse um Secure Shell (SSH) und SNMPv3 für verschlüsselten Administrator-Datenverkehr bei Telnet- und SNMP-Verbindungen. Sie sorgen für erhöhten Schutz vor unautorisiertem Zugriff auf Paßwörter und Konfigurationsinformationen. Die Nutzer-Authentifizierung auf IEEE 802.1x-Basis ermöglicht Administratoren die Kontrolle über Netzwerkzugriffe im Anschlußbereich auf PortEbene. DHCP-Interface-Tracker übermitteln Switch- und Port-Informationen an den DHCP-Server, um Nutzerstandorte aufzufinden. Netzwerk-Administratoren können mit VirtualLAN- und auf Router-Schnittstellenbasierenden Access Control Listen den Netzwerkzugang limitieren. Mit dem Security Wizard kann ein Administrator den Zugriff auf bestimmte Server oder Teile des Netzwerks in wenigen Schritten unterbinden. Die Software-Erweiterungen für die Intelligent Ethernet Switches des Catalyst 3550er Serie und 2950er Serie sind kostenfrei erhältlich. Kunden finden die neuste Version unter: www.cisco.com/public/swcenter/sw-lan.shtml. 08 Ausgabe 08/2002 11 Neues ADSL-Modem Mit dem AT-AR215 bringt Allied Telesyn ein ADSL-Modem mit USBSchnittstelle heraus. Über die Telefonleitung wird problemlos und schnell ein High-Speed-Anschluß hergestellt. A Als externes USB-Gerät unterstützt das neue ADSL-Modem AT-AR215 von Allied Telesyn DownstreamDatenraten von bis zu 8 MBit/s und bis zu 1 MBit/s upstream über eine herkömmliche Telefonleitung. So können bandbreitenintensive Anwendungen im Bereich Teleworking, Download oder Videoconferencing effektiv genutzt werden. Das Modem bietet eine kompakte, platzsparende Lösung für Heimanwender wie auch für die geschäftliche Nutzung oder zur Anbindung von Home Offices an das Firmen-LAN. Der externe Zugriff von Mitarbeitern auf das Intranet eines Unternehmens wird durch VPN gesichert. Über die mitgelieferten Plug&Play-Treiber einfach zu installieren, erfolgt der Anschluß an die ADSL-Schnittstelle des Service Providers über den USB-Port eines PCs. AT-AR215 ist eine preiswerte und gute Lösung für Notebooks, Laptops und Desktop-Systeme. Als USB-Modem benötigt es kein externes Powersupply, da die Stromzufuhr über den USB-Anschluß am PC erfolgt. n NEWS WATCHGUARD 20.000 Tunnel Hochleistungsfähige Firebox Vclass Serie WatchGuard Technologies steigt mit der Firebox Vclass in den breiten Markt für leistungsstarke Firewall-Anwendungen ein. Die Geräte der neuen Produktreihe beinhalten einen speziellen Security-ASIC und bieten SecurityFunktionalitäten für Unternehmensnetzwerke mit einer VPN-Skalierbarkeit bis zu 20.000 Tunnel. M Mit der Integration von RapidStream und der Einführung der Firebox Vclass bringt WatchGuard eine neue Familie von High-Speed-Produkten auf ASICBasis auf den Markt. Die FirewallReihe der Unternehmensklasse umfaßt die Geräte V100, V80, V60 und V10, die speziell auf die Leistungsund Flexibilitätsanforderungen umfangreicher Netzwerke und Datenzentren ausgerichtet ist, aber auch kleinere Unternehmenseinheiten berücksichtigt. Die Produkte bieten erstklassige Leistungswerte von 10 bis 20.000 IPSec-VPN-Tunnel und einen Firewall-Durchsatz von 75 bis 600 Megabit. NEWS High Availability Die hochleistungsfähige Firebox V100 ist ein kompaktes, in ein 19”Rack passendes Gerät mit zwei Gigabit-Ethernet-Ports und zwei Hochverfügbarkeits-Ports (HA). Als Firewall-/VPN-Zentrale für große, über mehrere Standorte verteilte Unternehmen, für Datenzentren und Service Provider bietet die V100 einen Firewall-Durchsatz von 600 Megabit pro Sekunde, eine 3DES VPN-Leistung von 300 Megabit und bis zu 20.000 IPSec-VPN-Tunnels. Zu ihren Netzwerkfunktionen gehören MultiTenant-Fähigkeit, VLAN, Quality of Service und Server Load Balancing. V100, V80, V60 und V10 Bei einer Unterstützung von bis zu 8.000 IPSec-Tunnel verfügt die Firebox V80 über vier 10/100-FastEthernet-Ports und zwei HA-Ports mit 270 Megabit Firewall- und 150 Megabit 3DES VPN-Durchsatz. Die V80 richtet sich daher an große Unternehmen mit umfangreichen VPN-Strukturen, während sich für kleinere bis mittlere die Firebox V60 empfiehlt, denn sie unterstützt bis zu 400 Tunnel und liefert 200 Megabit-WirespeedFirewall-Performance und 100 Megabit für 3DES. Für kleine Organisationseinheiten stellt die V10 mt einer 75Megabit-Firewall, einem 3DES VPNDurchsatz von 20 Megabit und 10 IPSec-Tunnel den optimalen VPNEndpunkt für die Geräte Firebox V100, V80 und V60 dar. Die Firebox V10 kann für 10 oder 25 Benutzer lizenziert werden. Vcontroller und CPM Zur Vereinfachung der Verwaltung und Implementierung der WatchGuard Security-Lösungen enthalten die neuen Geräte Vcontroller, eine stabile, Java-basierte Software, die eine zusätzliche Sicherheitsstufe für lokale und entfernte VPN-Standorten bereitstellt. Eine integrierte, intuitiv aufgebaute grafische Benutzeroberfläche mit Assistenten dient zur Verwaltung von Firewall- und VPN-Policies. WatchGuard bietet außerdem ein optionales Centralized Policy Manager-System (CPM) an. Dabei handelt es sich um eine leistungsfähige, hochgradig skalierbare Plattform zur Netzwerkverwaltung. Dieses Java-basierte, verteilte Client/Server-Sicherheitssystem vereinfacht die Einrichtung eines wirksamen Security-Managements in umfangreichen Netzwerken. CPM implementiert zentralisierte und globale Verwaltungsstrukturen und enthält Drag&Drop-Funktionen für Konfigurationen und zur Einrichtung von Policies. So können Netzwerk-Administratoren gleichzeitig Policies für einzelne Geräte, Gerätegruppen oder ganze Netzwerke definieren. Zentralisierte Alarm- und Login-Funktionen ermöglichen ihnen einen Überblick über die Konfigurationen und Aktivitäten des Netzwerk-Traffics. LiveSecurity Service Die Firebox Vclass ist ab sofort erhältlich. Die Produkte sind mit einer auf 1 Jahr beschränkten Hardware-Garantie ausgestattet. Jedes enthält ab Werk 90 Tage WatchGuard LiveSecurity Service, der mit regelmäßigen Updates und neuesten Sicherheitsfunktionen aufwartet, und als Abonnement verlängert werden kann. Im Rahmen dieses LiveSecurity-Angebots steht den Kunden ein WatchGuard Team aus Sicherheitsexperten, Mitarbeitern des technischen Supports und Schulungspersonal zur Verfügung. Es bietet Software-Updates, Online-Schulungen und telefonischen Support und gibt aktuelle Mitteilungen bei VirusAlarm, Warnhinweise und Abwehrmeldungen heraus. Die Compu-Shack Solution bietet ebenfalls eine Firebox Hotline und WatchGuard Zertifizierungsschulungen. Info unter der Rufnummer 02631 / 983-988 an oder per E-Mail an support@compu-shack.com . 08 Ausgabe 08/2002 12 TANDBERG DATA SECURITY Geballte Ladung Firebox 1000 SuperLoader im Rackmount-Format Dienstleistungspaket Tandberg Data hat die ersten SuperLoader im Rackmount-Format auf den Markt gebracht. Leistungsstark, modular und kompakt wie kein anderer Autoloader bisher bieten die Modelle SDLT3520L und DLT1280L eine außergewöhnlich hohe Kapazität. Dabei nutzen die neuen SuperLoader mit nur 2 HE auf voller Breite den wertvollen Platz in einem Standard-19-Zoll-Schrank perfekt aus. D Das modulare Konzept der Tandberg SuperLoader eröffnet einen einzigartigen Konfigurationsspielraum und Investitionsschutz. In den Grundmodellen ist ein Cartridge-Modul mit 8 Medien vorgesehen. Optional läßt sich ein zweites Modul bereits ab Werk oder durch den Anwender vor Ort integrieren. Wer mit dem SuperLoader DLT1280L startet, kann dank eines Einschubmoduls (Drive Carrier Assembly), das Laufwerk, Netzteil und SCSISchnittstelle umfaßt, auf das Topmodell 3520L aufrüsten und auch künftige Streamer-Generationen einsetzen, was ein absolutes Novum darstellt. Aufrüsten Der SuperLoader DLT1280L, ausgestattet mit einem DLT1 Laufwerk, speichert im Kompressionsmodus bis zu 1,2 TByte mit einer Höchstgeschwindigkeit von 6 MB pro Sekunde. Das Top-Modell SDLT3520L basiert auf dem SDLT220 Laufwerk und bietet komprimiert eine bis zu 3,5 TByte große Speicherkapazität bei einer maximalen Transferrate von 22 MB pro Sekunde. Der Remote-ManagementZugang gewährleistet eine einfache Installation und Konfiguration der SuperLoader. Ein Ethernet Port erlaubt dem Anwender, das bereits integrierte Web-Management-Tool direkt zu nutzen und mit Hilfe eines Standard-Web-Browsers auf die Einstellungen des Gerätes und die Statusinformationen von jedem beliebigen Ort aus zuzugreifen. Das Inventarisieren der Medien erleichtert ein Barcode-Leser, der optional erhältlich ist und auch nachgerüstet werden kann. Die SuperLoader unterstützen alle führenden Backup-Software-Lösungen, u. a. CA ARCServe, VERITAS BackupExec und Legato Networker. Im Servicepaket von Tandberg Data sind Hotline und Vorab-Austauschservice kostenlos im ersten der drei Garantiejahre enthalten, gegen geringe Gebühr erfolgt der Austauschservice auch während der ganzen Garantiezeit. 08 Ausgabe 08/2002 13 Compu-Shacks Projektberatung bietet dem Fachhandel ein kombiniertes Produkt- und Dienstleistungspaket. Es beinhaltet eine NFR Firebox 1000 mitsamt einer 6-stündigen IntensivEinweisung in die Funktionen der WatchGuard High Performance Firewall-Lösung. Als Komplettlösung und Alternative zu High-EndProdukten sollte die WatchGuard Firebox 1000 im Angebot eines Fachhändlers nicht fehlen. Sie ist günstig in der Anschaffung und bringt vergleichsweise geringe Folgekosten mit sich. Sie ist leicht zu konfigurieren und beinhaltet sowohl Proxies, VPNs als auch Managementsoftware. Sie verfügt u.a. über einen VPN-Manager, 5 IP-SEC Mobile Clients, Remote User VPN, User Authentification sowie Web Access Control und ist empfohlen für bis zu 1000 authentifizierte User. Gleichzeitig legt ihr Erwerb den Grundstein für eine Zertifizierung als WatchGuard Händler. Intensiv-Einweisung Um die Fachhändler zu schulen, ihren Kunden die vielen Vorteile der Firebox live und vor Ort zu demonstrieren, bietet die Projektberatung der Compu-Shack Solution im Rahmen einer besonderen Preisaktion eine NFR Firebox 1000 mit einer 6stündigen Einweisung durch Security-Experten im Compu-Shack Trainings-Center Neuwied an. Das Projekt-Team berücksichtigt dabei individuelle Wünsche oder betriebliche Anforderungen bei der Inbetriebnahme der Firebox, der Einrichtung von Logging und Policies, dem Aufbau eines VPN von Firebox zu Firebox oder eines VPN-Tunnels mit PPTP. Dieses praxisnahe Know-how kommt Anwärtern für eine Zertifizierung zum WatchGuard-Händler bei den zu absolvierenden Prüfungen unmittelbar zugute. Wer die Einweisung nicht in Anspruch nehmen möchte, kann innerhalb dieses Specials eine Anrechnung auf ein WatchGuard-Seminar erhalten, das bis Ende des Jahres bei Compu-Shack Training gebucht wird. Info unter 02631 / 983-345, E-Mail-Anfrage an projekte@compu-shack.com oder im Internet unter www.projekte.compu-shack.com. n NEWS ...Wechsel Rapid Re-Keying:Enterasys Networks hat ihren Wireless Access Point RoamAbout R2 um die Sicherheitsfunktion Rapid Re-Keying erweitert. Dabei handelt es sich um einen dynamischen Key-Wechsel, der Wireless LANs vor dem unerlaubten Mitschneiden der Funkverbindung und damit vor Hacker-Angriffen schützen soll. Er bringt ein Höchstmaß an Sicherheit bei drahtloser Datenübertragung, die mit der nach 802.11-Standard integrierten WEP- Verschlüsselungstechnologie Sicherheitslücken offenbarte. Als Antwort auf diese Problematik hat Enterasys Networks das Rapid Re-Keying in ihren Access Point integriert. Der Einsatz des Authentifizierungs-Standards 802.1X ermöglicht eine automatische und regelmäßige Verteilung der Keys, die das Mitschneiden und die Analyse der Daten verhindern. RoamAbout R2-Kunden können die Software kostenlos von der Enterasys Website downloaden. Voraussetzung für Rapid Re-Keying ist die im Access Point Kit V8.00 integrierte Firmware V2.090.16 mit BootROM V2.00.15. Im dritten Quartal soll Rapid Re-Keying auch für den Access Point 2000 verfügbar sein. Für den RoamAbout R1 ist keine Integration der Sicherheits-Funktion geplant, weil dieses Produkt ausschließlich den SoHoMarkt addressiert. NEWS ...Antiviren Schutz im Datacenter: eTrust Antivirus von Computer Associates erhielt als erste Antiviren-Lösung nun auch die Zertifizierung für Windows 2000 Datacenter Server. Zuvor schon für die Advanced Server zertifiziert, ist eTrust Antivirus damit bereits für zwei der neuen Microsoft Server-Betriebssysteme ausgezeichnet. Im Labor der VeriTest wurde eTrust Antivirus auf Sicherheit, Verwaltbarkeit und Zuverlässigkeit im Betrieb mit Windows 2000 Server-Produkten getestet. Für die Datacenter-Zertifizierung werden Applikationen zusätzlich auf ihre Zuverlässigkeit, Verfügbarkeit und Fehlertoleranz im Serverbetrieb mit bis zu 32 Prozessoren geprüft. eTrust Antivirus basiert auf den Forschungsarbeiten der weltweiten CA eTrust Antivirus Research Center und schützt Unternehmen vor Virenschäden. Die Antiviren-Technologie ist unter dem Produktnamen eTrust InoculateIT über autorisierte CA-Reseller erhältlich. Computer Associates hat dazu eine Trial-Version herausgegeben, die kostenlos unter www.techniknews.de bestellt werden kann. ...Verbindungen Drahtlose Applikationen:Citrix Systems und Symbol Technologies haben ein Abkommen zur Ent- wicklung von branchenübergreifenden Lösungen für mobile Mitarbeiter geschlossen, die Anwendern von Symbol-Geräten einen virtuellen Zugang zu Applikationen und Informationen ermöglichen. Die Vereinbarung sieht vor, daß die beiden Partner zusammen an der technischen Produktintegration von Citrix MetaFrame XP und den drahtlosen PocketPCs von Symbol arbeiten. Dabei sieht das Abkommen die gegenseitige Schulung der jeweiligen Channel-Partner vor. Symbol Systeme und Produkte werden vor allem dort eingesetzt, wo durch Barcode-Scanning, mobile Computer und Wireless LANTechnologie die Produktivität gesteigert werden soll. Weltweit sind über zehn Millionen solcher BarcodeLeser und Mobil-Computer von Symbol in drahtlosen LANs im Einsatz, beispielsweise im Einzelhandel, bei Transport- und Logistik-Unternehmen, in der Fertigung, bei Post- und Paket-Diensten, bei Behörden sowie im Gesundheitswesen und im Ausbildungsbereich. ...Eigennamen Server Locator Services:Tobit Software kündigt die Erweiterung ihrer Server Locator Services (SLS) um die Nutzung eigener Domainnamen an. Bisher war es beim SLS-Einsatz nur möglich, den eigenen Server über eine Subdomain unterhalb von tobit.net zu erreichen. Jetzt können Unternehmen, die David in Verbindung mit einem DSL-Anschluß einsetzen, trotz dynamischer IP Adressen direkt ihren eigenen Mail-, Web- und WAPServer betreiben. Dabei liefert der Unternehmensserver seine aktuelle IP an einen Tobit DNS-Server, der diese dann bei jeder Anfrage weiterleitet. Durch die erweiterten Dienste können jetzt zusätzlich zu den Subdomains unterhalb von tobit.net, eigene Domains genutzt werden. Und auch eigene Subdomains können in diesem Kontext definiert werden, z.B. Support.Firma.de. Beim Service Provider wird als zuständiger DNS-Server der Tobit-SLS-Server eingetragen. Die Möglichkeit, die Server Locator Services mit oder ohne eigene Domain zu nutzen, wird von Tobit kostenlos angeboten. ...Einen Schritt weiter Neue WLAN-Frequenzen:Die Regulierungsbehörde für Telekommunikation und Post (Reg TP) hat die 5GHzBänder für das WLAN freigegeben und kommt nach eingehender Prüfung zu der Einschätzung, daß Wireless LANs keine Konkurrenz für UMTS darstellen. Daher stellt die Reg TP neben dem bisherigen 2,4 GHz-Bereich weitere Frequenzen zwischen 5150 und 5350 MHz sowie zwischen 5470 MHz und 5725 MHz für neue WLANAnwendungen bereit. Das Electronic Communications Committee, ein Ausschuß der Europäischen Konferenz der Verwaltungen für Post und Telekommunikation hatte diese Frequenzbereiche mit der Entscheidung ERC/ Ticker 08 Ausgabe 08/2002 14 DEC/(99)23 und der Empfehlung ERC/REC 70-03 für die Nutzung durch HIPERLAN-Funkanwendungen vorgesehen. Zwar ist die Entwicklung damit einen Schritt weiter, denn der 5GHz-Bereich ist nun offiziell für eine gebührenfreie Nutzung freigegeben, doch muß nach wie vor die ETSI-Behörde dem Standard 802.11h als dem Zusammenschluß von Hiperlan2 und 802.11a noch zustimmen. 802.11a ist in Deutschland immer noch nicht zugelassen, sondern nur 802.11b und g sowie Bluetooth. ...64 Bit High-End-Computer: Intel hat die zweite Generation ihres Itanium 2 Prozessors freigegeben, mit integriertem 1,5 MB oder 3MB L3 Cache sowie Taktfrequenzen von 900 MHz und 1 GHz. Zahlreiche Systemhersteller werden in den nächsten Monaten im Bereich der High-End-Computer für Data Center neue Serverund Workstationsysteme auf Basis des 64-Bit Prozessors anbieten. Zu den Betriebssystemen, die derzeit mit dem Itanium 2 zusammenarbeiten, gehören Windows Advanced Server, Limited Edition, Hewlett-Packard HPUX und Linux von Caldera, MSC.Software, Red Hat, SuSE und TurboLinux. Zusätzlich plant Microsoft die Einführung von Windows.NET Datacenter und Enterprise Server Versionen für den Itanium 2. Dieser kommt in anspruchvollen Systemen für geschäftskritische Aufgaben zum Einsatz, die außergewöhnliche Leistung in den Bereichen Business Intelligence, Datenbanken und Hochleistungsberechnungen bieten, beim ComputerAided Engineering und bei verschlüsselten Transaktionen. Aufgrund seiner hohen Skalierbarkeit planen OEMs Mehrwege-Systeme auf Basis des Itanium 2 mit acht bis 64 oder mehr Prozessoren. Führende Softwarehersteller entwickeln bereits kommerzielle Anwendungen, zum Beispiel für IBM DB2, Microsoft SQL Server 2000, Oracle 9i oder SAP R/3. ...WiFi5 kommt Zertifizierungen ab Oktober:Gleichwohl sollen die ersten Wireless LAN Access Points und Netzwerkkarten, die den WIFI 5 Standard 802.11a erfüllen, voraussichtlich im Oktober 2002 zertifiziert werden. Die Wireless Ethernet Compatibility Alliance (WECA) gab bekannt, daß die Agilent’s Interoperability Certification Labs zur Zeit in den letzten Vorbereitungen stekken. Die Installation des Testnetzes soll bis September abgeschlossen sein. Danach wird jedes zu zertifizierende Produkt eine einwöchige Prüfungsprozedur durchlaufen müssen, um das begehrte Logo der WIFI-Hersteller für seine Hard- oder Software zu erwerben. ...Un-Secure Shell? Sicherheitsloch in Unix-Systemen:In der Standard-Installation der bekannten Open-Source-Version der populären Secure Shell-Protokollsammlung hat die X-Force von Internet Security Systems einen Software-Fehler entdeckt, der unter Umständen die betroffenen Unix-Systeme für gezielte Denial-of-Service-Attakken und Overflow-Angriffe verwundbar macht. OpenSSH verschlüsselt unsichere Kommunikation in Netzwerken, beispielsweise über Telnet, Rlogin, Rsh oder FTP. Ursprung des Problems sei der Authentifizierungs-Mechanismus Challenge Response des Secure Shell Daemon. Ein Angreifer könnte durch die Schwachstelle mit Hilfe einer bestimmten Zeichenkette den zentralen sshd-Prozeß zum Absturz bringen oder Zugriff auf das System mit den Rechten des Root-Accounts bekommen. Betroffen sind neben den OpenSSH Implementationen 2.9.9 bis 3.2.3 vor allem die Unix-Derivate OpenBSD in den Versionen 3.0 und 3.1 sowie FreeBSD (Current). OpenSSH ist in vielen Unix-Distributionen, Netzwerk-Produkten und Security-Applikationen enthalten. Ein unter ftp:// ftp.openbsd.org/pub/OpenBSD/OpenSSH verfügbarer Patch auf die OpenSSH Version 3.4 sollte umgehend von allen OpenBSD-Administratoren installiert werden, falls die eigenen Systeme mit einer betroffenen OpenSSHImplementation arbeiten. Auf dem FTP-Server finden Sie im Ordner portable außerdem verschiedene Patches für andere Plattformen, unter anderem beispielsweise für Red Hat Linux 7.3. ...Karteileichen? NICs in der Datenbank: Wenn Inhaberdaten einer Domain nicht mehr aktuell sind, so liege das nicht an technischen Unzulänglichkeiten ihrer Datenbank, so die DENIC, sondern an den Domaininhabern, die Adreßänderungen nicht weitergäben. Damit trat die deutsche Domain-Verwaltung jüngsten Kritiken entgegen. Die Verpflichtung, die Domaindaten der NICs auf dem aktuellen Stand zu halten, liege den Registrierungsbedingungen zufolge klar bei den Domaininhabern. Wenn diese jedoch ihren Pflichten nicht nachkämen und ihren Provider nicht informierten, könne dieser auch nicht für eine Aktualisierung der Angaben in der DENICDatenbank sorgen, die entgegen anderslautenden Meldungen durchaus ausreichend dimensioniert sei, alle Updates innerhalb kürzester Zeit durchzuführen. DENICMitglieder sind verpflichtet, Änderungen an den Domaindaten, von denen sie Kenntnis erhalten, umgehend weiterzuleiten. Domains, deren Inhaber insolvent werden, und für die der Provider keine Zahlungen mehr erhält, gehen als so genannte TRANSIT-Domains zur weiteren Bearbeitung an die DENIC. Nach den Registrierungsbedingungen ist die DENIC berechtigt, Domains zu löschen, wenn die Identität des Kunden aus den Registrierungsangaben nicht festgestellt werden kann oder die Daten falsch sind. 08 Ausgabe 08/2002 15 thema des monats FÜR LAN, MAN UND WAN High-Speed Ethernet Teil 2: 10 GBit-Technologien für WAN-Lösungen Von Jörg Rech Neben einer verzehnfachten Datenrate verspricht die neue Highspeed-Variante eine saubere Verschmelzung der LAN- und WAN-Domäne. Im WAN-Bereich kommt heutzutage vorwiegend die SDH/SONET-Technologie (SynchronousDigital-Hierarchy-System/Synchronous-Optical-Network) zum Einsatz. SDH ist der Nachfolger, der seit den sechziger Jahre in öffentlichen Netzen vorherrschenden Plesiochrone Digital Hierarchie (PDH). Das SDH-System bietet gegenüber dem PDH-System weitaus höhere Übertragungsraten und eine vereinfachte Möglichkeit, Dienste mit geringerer Datenrate in Datenströme mit höhere Datenrate aufzunehmen bzw. zu extrahieren, da hierbei, unabhängig der Hierarchie, einheitliche Rahmenstrukturen verwendet werden. SDH und SONET sind in etwa kompatible Systeme, wobei SONET heute vorwiegend in Nordamerika verbreitet ist. WAN Interface Sublayer Damit 10-Gigabit-Ethernet auf die bestehenden WAN-Netze aufsetzen kann, wurde im neuen 10-GigabitStandard ein entsprechendes Interface definiert, das als WAN Interface Sublayer (WIS) bezeichnet wird. WIS kann zusätzlich auf der PHY-Ebene implementiert werden und somit die Anbindung an ein SDH/SONET ermöglichen (vgl. TN 7/2002 Abb. 2). Problematisch hierbei ist allerdings, daß SDH/SONET nicht mit einer Datenrate von genau 10 GBit/s arbeitet, sondern mit einer STM-64/STS192 Datenrate von 9,95328 GBit/s. Aus dieser Datenrate ergibt sich eine Nutzdatenrate (Payload-Datenrate) von 9,58464 GBit/s. Möchte man nun den Datenstrom von 10-GiagbitEthernet über SDH/SONET-WAN- Lösungen übertragen, so ist eine Anpassung der Datenrate zu der von 10Gigabit-Ethernet notwendig. Stretch-Funktion anstelle der sonst üblichen 96 Bit auf 200 Bit bringt. Auf diese Weise wird für den PHY ein ausreichend zeitlicher Abstand zwischen den aufeinander folgenden Frames geschaffen, die eine Anpassung zwischen den un- Diese Anpassung wird technisch über eine sogenannte StretchFunktion realisiert, durch die auf der MAC-Ebene der Abstand zwischen den Ethernet-Frames erhöht wird, indem man 104 zusätzliche IdleSymbole zwischen den Frames einfügt und den Frame-Abstand - 08 Ausgabe 08/2002 16 terschiedlichen Datenraten ermöglicht. Dazu werden von dem WANPHY die Idle-Symbole beim Aussenden der Frames wieder entfernt, um die Anpassung zu der Datenrate von 9,58464 GBit/s zu erzielen. Auf der Seite des Empfängers werden die IdleSymbole wieder hinzugefügt, damit der ursprüngliche Frame-Abstand wieder hergestellt wird. Die Anpassung zu SDH/SONET erfolgt dann in der Form, daß man die 64B/66B-kodierten Ethernet-Frames einfach über den WIS in ein Übertragungsformat packt, das zu SDH und SONET kompatibel ist. Transportmoduls Bei SDH werden die Daten in Rahmen gepackt, die als Synchronous Transport Module (STM) bezeichnet werden. Die STM entsprechen in der einfachen Darstellung einer byteweisen Strukturierung in Spalten und Zeilen. Die STM-1-Grundstruktur ist dabei in 270 Spalten und 9 Zeilen unterteilt. Die Übertragung der Rahmen erfolgt zeilenweise, dabei wird mit dem oberen linken Byte begonnen und mit dem rechten unteren Byte die Übertragung abgeschlossen. Jede Zeile wird durch einen 9 Byte langen Header eingeleitet, dessen Bytes als Overhead-Bytes bezeichnet Tabelle 1 SDH STM-1 STM-3 STM-4 STM-6 STM-8 STM-16 STM-64 SONET STS-1 STS-3 STS-9 STS-12 STS-18 STS-24 STS-48 STS-192 Faktor 1/3 1 3 4 6 8 16 64 Datenrate 51,84 MBit/s 155,52 MBit/s 466,56 MBit/s 622,08 MBit/s 933,12 MBit/s 1244,16 MBit/s 2488,37 MBit/s 9953,28 MBit/s Tab. 1: Gegenüberstellung der SDH/SONET-Rahmenstrukturen werden. Dieser Header enthält zusätzliche Informationen, die während der Datenübertragung für die Steuerung, Kontrolle und die Synchronisation genutzt werden. So können z.B. Übertragungsfehler abschnittsweise erkannt werden. Der komplette Header innerhalb eines Rahmens hat somit eine Länge von 9 x 9 Bytes und ist in einen sogenannten Regenerator Section Overhead (RSOH) unterteilt, den Multiplex Section Overhead (MSOH) und den AU-Pointer. Regeneratoren Der RSOH dient zum einen der Steuerung zwischen den Regeneratoren und zum anderen dem MSOH zur Steuerung zwischen den Multiplexern, die hinter den Regeneratoren im SDH-Netz plaziert sind. Die RegeneratoAbb. 1: SDH-Rahmen in der STM-1-Struktur ren werden dazu genutzt, um gedämpfte und durch Dispersion verzerrte Signale, bezüglich Takt und Amplitude, aufzufrischen, damit große Distanzen überbrückt werden können. Über die SDH-Multiplexer werden die Daten der unterschiedlichen Dienste herangeführt, sie stellen die Endpunkte innerhalb eines SDHNetzes dar. Die AU- 08 Ausgabe 08/2002 17 Pointer korrigieren innerhalb der Rahmen die Position der Nutzdaten, die von unterschiedlichen Diensten stammen können. Die Nutzdaten selbst werden in sogenannte Container verpackt, die wiederum innerhalb der STM in den Bereich hinter dem Header gepackt werden, der als Synchr onous Payload Envelope (SPE) bezeichnet wird. Die Übertragungsdauer eines Rahmens beträgt jeweils 125 µs. Betrachtet man die Struktur des STM-1 Rahmens, so verfügen diese über einen SPE mit einer Länge von 2349 Bytes. Die 2349 Bytes werden aus 9 Subframes mit je 270 Bytes Länge gebildet, wobei sich die 270 Bytes aus 9 Bytes Header und 261 Bytes für SPE zusammensetzen (siehe Abb. 1). SDH-Hierarchien Bei Synchronous-Digital-HierarchySystemen (SDH) sind unterschiedliche Strukturen der Rahmen für die Datenübertragung vorgesehen, über die die unterschiedlichen Hierarchien gebildet werden. Um eine höhere Datenrate zu erzielen, ist dabei lediglich eine Vervielfachung der SMT-1Struktur notwendig (siehe Tabelle 1). Da die Übertragung der Rahmen, unabhängig von der Datenrate, grundsätzlich 125 µs dauert, können unterschiedliche Dienste mit verschiedenen Datenraten problemlos unterstützt werden. Dadurch erreicht man eine hohe Flexibilität in der Umset- thema des monats SPE eine Länge von 16704 Bytes. Jede Zeile innerhalb der SPE beginnt mit einem 1 Byte langen Path Overhead (POH), einem 63 Bytes langen Bereich mit festem Inhalt und schließt mit einem Bereich von 16640 Bytes für die Nutzdaten ab, in dem die Container mit den Nutzdaten aufgenommen werden können. Abb. 2: 10-Gigabit Synchronus Payload Envelope mit Innerhalb des Be- Path Overhead innerhalb eines STM reichs für die Nutzdaten werden die eigentlichen Ethernet-Frames eingebetLösung können bei einer Wellenlänge von 1310 nm auf einer 9/125 µm tet (s. Abb. 2). Die Ethernet-Frames werden dabei Monomode-Glasfaser Distanzen von von der Präbis zu 10 km überbrückt werden. Dieambel bis se kostspieligere Variante ermöglicht zum Ende es, durch den Einsatz der 1550-nmMonomode-Lösung Distanzen bis zu des CRCFelds voll40 km zu überbrücken. Eine Kompaständig übertibilität zu den bestehenden WANnommen und Systemen ist damit gewährleistet, was in die Conder breiten Migration und Akzeptanz von 10-Gigabit-Ethernet im WANtainer gepackt. Durch Bereich letztendlich zugute kommen die POH-Erwird. gänzung werAbb. 3: 10-Gigabit-Ethernet als hochperformate Backboneden die ConLösung tainer zu sogenannten Virtuellen Containern, kurz VC, wobei 10-Gigabit-Ethernet STM-64/STS-192 die sogenannten VC-4-64 Container Bei 10-Gigabit-Ethernet kommt die verwendet. Die Anfangsposition der STM-64/STS-192-Rahmenstruktur VCs innerhalb der SPE wird über sozum Einsatz, bei der man auf eine genannte H-Pointer angegeben. Die Datenrate von 9953,28 MBit/s H-Pointer sind neben anderen Abb. 4: Über 10-Giagbit-Ethernet kommt und in der die 64B/66B-ko- Kontroll-informationen im 63 Byte lassen sich MAN- und WANdierten Ethernet-Frames des MAC- langen Bereich der POH eingebettet. Verbindungen realisieren Layer gepackt werden. Bei dieser Rahmenstruktur ist der EW-Lösung Header und der Bereich für die Nutzdaten hinsichtlich der Anzahl der Um im WAN-Bereich der Übertragung Spalten gegenüber der STM-1- über große Distanzen gerecht zu wer- 10-Gigabit-Ethernet wird in erster Rahmenstruktur 64 mal so groß. So- den, wird vorwiegend die 10GBASE- Linie eine Lösung für die hochpermit hat der Header eine Länge von LW und 10GBASE-EW Variante zur formanten Backbones (vgl. Abb. 3) 576 Bytes und der Bereich für die Anwendung kommen. Mit der EW- sein sowie den WAN- und MAN-Bezung unterschiedlicher Dienste bzw. Hierarchien über eine gemeinsame WAN-Verbindung auf der Basis der SDH-Technologie. Über die AU-Pointer ist sogar eine Anpassung leicht abweichender Datenraten zwischen den verschiedenen Diensten möglich. Diese Schwankungen werden dabei über das sogenannte Stopfen ausgeglichen. Sollte die Datenrate der zugeführten Daten geringer sein, so wird ein positives Stopfen angewendet, bei dem Füllbytes eingefügt werden und der geänderte Container-Anfang über einen entsprechenden Pointer korrigiert wird. Ist die Bitrate der zugeführten Daten etwas höher, so wird das negative Stopfen angewendet, bei dem im Bereich des AU-Pointers Nutzdaten aufgenommen werden. Zukunftsvisionen 08 Ausgabe 08/2002 18 reich bedienen (vgl. Abb. 4). Wie auch immer, laut einschlägigen Markstudien wird prognostiziert, daß bereits im Jahre 2005 zirka 5,3 Millionen 10-Gigabit-Ethernet-Ports installiert sein werden. MAN und WAN Was den Einsatz im MAN- und WANUmfeld betrifft, so wird 10-GigabitEthernet auf jeden Fall dazu beitragen, Ethernet in die Haushalte zu bringen. Denn sind die lokalen Knotenpunkte damit erst einmal flächendekkend versorgt, so ist der Weg über die letzte Meile zum privaten oder geschäftlichen Anwender schnell überwunden. Entsprechende Initiativen und Interessengemeinschaften wurden bereits gebildet, die dies unter dem Slogan “Ethernet to the First Mile” technologisch vorantreiben möchten. Sogar beim IEEE wurde eine Arbeitsgruppe “Ethernet in the first Mile 802.3ah” gebildet, die sich bereits mit der Definition eines entsprechenden Standards beschäftigt. Allgemeines Ziel dessen ist es, die heutigen Last-Mile-Protokolle wie DSL oder ISDN durch das weitaus schnellere Ethernet abzulösen. Jedoch ist es derzeit noch fraglich, ob dabei das Kupferkabel noch eine Rolle spielen wird oder nicht. Berücksichtigt man die zu überbrückenden Distanzen, so kann man jedoch spekulativ davon ausgehen das die Glasfaser das Rennen machen wird. Man spricht deshalb auch des öfteren schon von “Fiber to the Home”. Jörg Rech ist als Mitarbeiter der Compu-Shack Production im Bereich der Entwicklung tätig. Als Autor ist er jüngst wieder mit seinem neuesten Fachbuch hervorgetreten, das mit 642 Seiten die Ethernet-Technologie detailliert beschreibt. “Ethernet, Technologien und Protokolle für die Computervernetzung” ist im Heise Verlag unter der ISBN 3-88229-186-9 erschienen und auch bei Compu-Shack unter der Artikelnummer CS-100-04-ETHER erhältlich. Modularität im Rack APC PowerStruXure für Datacenter Mit ihrer PowerStruXure stellt APC eine modulare Rack-Struktur für Datencenter bereit. Beginnend bei der Primärstromverkabelung entsteht in einem multiplizierbaren Racksystem für die kompatiblen USV-Einheiten eine vollständige Sicherheitslandschaft. Ihre hohe Skalierbar ist an den besonderen Kundenbedürfnissen ausgerichtet, bis hin zur permanenten Monitorfähigkeit der gesamten Installation Da bei unterdimensionierten Plattformen die sukzessive Nachrüstung oft zu Komplikationen führt, macht APC PowerStruXure die Skalierbarkeit zum Programm, selbst bei komplexen Datencentern. Auch weil Wachstumsprozesse nicht genau vorhersehbar sind, bietet APC damit eine neue Produktreihe an, deren Komponenten im Sinne einer Pay-as-you-grow-Strategie ohne großen Aufwand an das Systemwachstum angepaßt werden können. Ihre Rack-Bauweise erlaubt eine bedarfsorientierte, individuelle Ausstattung im Datencenter, vorkonfiguriert, getestet und bis zur Einsatzreife vorinstalliert. Modular und flexibel Aufgrund ihres modularen Aufbaus kann die PowerStruXure-Serie schnell auf neue Erfordernisse eingehen, wobei Altinstallationen einbezogen werden können. Denn die immer kürzeren Innovationszyklen von Servern oder Komponenten haben Folgen für die vorgeschaltete Versorgungs-Infrastruktur. Ein eigenes Kontrollsystem, der sogenannte Information Controller, überwacht und regelt die Infrastruktur. Mit einer durchdachten Interface-Lösung kann die gesamte Steuerung durch das Servicepersonal betrieben werden, auch per Fernwartung via Web. In drei unterschiedlichen Leistungsklassen A bis C für kleine Datencenter bis zu großen ISP-Anwendungen wird ein angepaßtes, skalierbares und redundantes USV-Racksytem mit intelligenter Stromverteilung angeboten. Anforderungsgerecht Die PowerStruXure Typ A bietet die einfachste Möglichkeit für kleine Datencenter, ohne jeden größeren Anpassungsaufwand, in Racks mit vorinstallierter Primärstromversorgung und integrierter Stromverteilung. Ihr Herzstück bildet das Symmetra RM Power Array, eine redundante USV, die zwischen 2 und 12 kVA ausgelegt ist und je nach Ausbaustufe nur 8 bis 15 Höheneinheiten beansprucht. Mit dem Typ B kann auf wachsende Anforderungen flexibel reagiert werden. Diese Version integriert die neu entwickelte, redundante Symmetra drei-Phasen USV im Leistungssegment von 10 bis 40kW. Die extrem hohe Stromdichte dieser modularen USV ermöglicht eine kompakte Bauweise bei hoher Leistungsausbeute. Teil der Infrastruktur der PowerStruXure Typ B ist das rack-basierte Stromverteilungssystem (PDU), welches die USV auch von der kritischen Last isolieren kann. 08 Ausgabe 08/2002 19 thema des monats NETWORK SECURITY Unter Spannung Unterbrechungsfreie Stromversorgung Von Hartmut Schlink U Um einen zuverlässigen Netzwerkbetrieb garantieren zu können, muß jedes Sicherheitskonzept auch die Implementierung von Notstrom-Systemen vorsehen. Um den Ausfall von Servern, auf denen die geschäftskritischen Applikationen ihre produktiven Dienste verrichten, auf ein Minimum zu beschränken, wachen die USVs zuverlässig im Hintergrund. 08 Ausgabe 08/2002 20 Pflegeleicht und stillschweigend erfüllen unterbrechungsfreie Stromversorgungssysteme ihre sensible Aufgabe, in einem meist unbeachteten, wenngleich spannungsreichen Dasein. Dabei haben die Notstromversorgungen durchaus mehr Beachtung verdient, denn sie sind ein unverzichtbarer Bestandteil der Network Security und verrichten ein “Netz-Werk” der besonderen Art. Wir werden darlegen, welche leicht zu übersehenden Gefahren durch die USV von unserer teueren Hardware ferngehalten werden. Wir werden sehen, welch ausgeklügelte Techniken heutzutage verwendet werden. Und wir werden unterschiedliche Typen unterbrechungsfreier Stromversorgung kennenlernen, um zu klären, welche Vor- und Nachteile die verschiedenen Techniken mit sich bringen, wenn der Saft wirklich einmal weg ist. Gefahrenquellen In einer hochentwickelten- und technisierten Welt sehen wir es als selbstverständlich an, unseren Strom permanent und in gleichbleibender Qualität aus der Steckdose geliefert zu bekommen. Doch dies entspricht eher einem Wunschdenken, das nicht nur bei spektakulären Totalausfällen medienwirksam ad absurdum geführt wird. Tagtäglich treten die verschiedensten kleineren und größeren Störungen auf, die die Stromversorgung beeinträchtigen und empfindliche Folgen für den gesicherten Betrieb unserer empfindlichen Netzwerke haben können. Ein kurzer Stromausfall kann bei den “normalen” Workstations eines Netzwerk im Einzelfall wohl noch toleriert werden, Abstürze von wichtigen Servern hingegen können schon zu großen Schäden in den betroffenen Unternehmen führen. Aus diesem Grund ist es von äußerster Wichtigkeit, die unternehmenskritischen Daten durch die Installation von Notstromversorgungen gegen die Gefahrenquellen aus der Steckdose zu schützen. Spannungseinbrüche Zwar bemühen sich die Energieversorgungsunternehmen um weitgehende Ausfallsicherheit, doch können wir uns nicht darauf verlassen, zu jedem Zeitpunkt die gleiche Stromqualität zu bekommen. Sogenannte Spannungseinbrüche, die zwischen 10 und 15% der Nennspannung liegen, können dafür sorgen, daß unsere Server abstürzen. Hervorgerufen werden Spannungseinbrüche z.B. durch Lastschaltungen in industriellen Betrieben, etwa beim Einschalten größerer Maschinen. Der wechselnde Energiebedarf solch leistungsstarker Verbraucher kann aber auch zu Überspannungen im Stromnetz führen, wodurch es woanders zu Schäden in der Elektronik von Netzwerkkomponenten kommen kann. Das Tückische hieran ist, daß es nur sehr selten zum totalen Ausfall der Stromversorgung kommt. Vielmehr sind die Störeinflüsse meist nur von sehr kurzer Dauer, so zwischen 100 und 300 ms, und vielleicht nur am Flackern des Lichtes zu erkennen. Ein Gefahrenherd, dem selten Beachtung geschenkt wird, sind die Schaltnetzteile der Computer. Sie lassen sich schon bei Störungen im Zeitraum von 1 bis 10ms aus dem Takt bringen. Zurückführen läßt sich dieser Sachverhalt auf die Qualität der Netzteile, wobei hier dem verwendeten Kondensator eine besondere Beachtung geschenkt werden sollte. Ist er ausreichend dimensioniert, so lassen sich stromlose Zeiten von 30 bis 50 ms noch überbrücken, wohingegen ein schlechteres Netzteil seinen Dienst bereits quittiert und den Rechner zum Absturz bringt. Alltäglich Beispiele für unvorhersehbare Störungen im Stromnetz kennt zudem jeder. Ob wegen technischer Pannen oder menschlichem Versagen, 08 Ausgabe 08/2002 21 die diversen Gefahrenquellen für den Betrieb unserer empfindlichen Netzwerke machen die Installation von Notstromversorgungen einfach unverzichtbar. Daher wollen wir uns den verschiedenen Technologien einer Unterbrechungsfreien Stromversorgung zuwenden, die unsere produktiven Applikationen und unternehmenskritischen Daten schützen, den USV-Systemen oder - wie sie im Englischen heißen - den Uninterruptible Power Supplies, kurz UPS. Power Supplies Die Hauptaufgabe einer USV ist es, die angeschlossenen Geräte ohne Unterbrechung mit Strom zu versorgen. Sind Systeme direkt an die Steckdose angeschlossen, so gibt es nur eine einzige “Power Source”, bei deren Ausfall die Geräte unweigerlich abstürzen. Eine USV hingegen kann diese Einschränkung eliminieren, indem sie den angeschlossenen Devices eine zweite Stromquelle zur Verfügung stellt. Das herkömmliche Design der USV sorgt dafür, daß im normalen Betrieb die “Primary Power Source” - die Energie aus der Steckdose - die Versorgung übernimmt, während die “Secondary Power Source” - die Energie aus den Batterien der USV - sofort einspringt, sollte der Strom vom Energieversorger ausbleiben (siehe Tab. 1). Wenn die konventionelle Stromquelle wieder zur Verfügung steht, schaltet das Notstromgerät automatisch wieder in den Ursprungszustand zurück. Zwar wissen viele, daß es Notstromaggregate gibt, aber die meisten denken, daß es sich dabei nur um eine Art dicken Akku handelt. In Wirklichkeit existieren aber die verschiedensten Implementierungen und Strategien, die sich in ihrer Arbeitsweise grundlegend unterscheiden. thema des monats Standby Supply Spannungs-Spektrum APC Silcon DP300E Serie bis 40 KVA Mit der Silcon DP300E Serie bietet APC eine USV, die den Anforderungen eines breiten Spektrums von elektrischen Einrichtungen gerecht wird, von der Serverfarm und dem Mainframe-Rechner bis zu unternehmensweiten Installationen, Fertigungsstraßen, elektronischen Regelsystemen und Telekommunikationsgeräten. Sie verfügt über Online-Technologie und ist mit 10, 20 oder 40 KVA erhältlich. Bis zu neun Silcon-Systeme können parallel betrieben werden, um den Anforderungen bei Stromanstieg oder für eine Redundanz gerecht werden zu können. Durch die einzigartige Datapower-Technologie mit Delta-Umwandler weisen Strom- und Spannungskurven keine Verzerrungen und Phasenverschiebungen auf. Dadurch erreicht der Eingangsleistungsfaktor fast den Idealwert von 1, unabhängig von Schwankungen in den Last- oder Netzspannungswerten. Wegen diesesr optimierten Eingangsleistungsfaktors können Elektrokabel und Sicherungen bei der Installation der Silcon DP300E kleiner als sonst üblich dimensioniert werden. Die Bus-Steuerung bietet eine intelligente Verteilung der Stromlast, die eine deutliche Energie-Einsparung zu Zeiten von geringeren Stromanforderungen ermöglicht. Energiemanagement Für eine erhöhte Verfügbarkeit oder Last können USV-Systeme aus mehreren Einheiten zusammengestellt werden. Die einzelnen Anlagen des Gesamtsystems sind so dimensioniert, daß die Stromversorgung auch bei Ausfall eines Systems sichergestellt ist. Für den Normalbetrieb hat das zur Folge, daß sich die Last auf die einzelnen Anlagen verteilt. Diese Lastverteilung erhöht die Lebensdauer der USV. Durch die Parallelschaltung von bis zu 9 USV der Silcon DP300E Serie wird Redundanz geschaffen. Wenn die Notstromversorgung über Zeiträume von mehr als 1 bis 2 Stunden aufrecht erhalten werden muß, bietet sich die Kombination einer auf 5 bis 10 Minuten ausgelegten USV mit einem Dieselgenerator an. Bei Stromausfall bezieht die Silcon DP300E den Strom so lange aus der Batterie, bis der Generator angelaufen ist und einen stabilen Betriebszustand erreicht hat. Die USV-Anlage kann dann sanft auf den Generator umschalten, ohne daß ein Laststoß produziert wird. Service Compu-Shack bietet die Möglichkeit, Serviceleistungen von APC zu erwerben. Das Spektrum reicht vom StartUp-Service zur Inbetriebnahme und Inhouse-Schulung des Personals durch einen autorisierten APC-Partner bis hin zum VorOrt-Service mit 4 Stunden Reaktionszeit sowie einem technischen Telefon-Support vorn 7 * 24 Stunden. Informationen und ein ausführliches Datenblatt der Silcon DP300E im PDF-Format können Sie per E-Mail anfordern an pmhardware@compu-shack.com. Bei einer Standby UPS handelt es sich um die einfachste und preiswerteste Ausführung. Viele bezeichnen dieses System nicht als eine vollwertige Notstromversorgung, sondern als sogenannte Standby Power Supply (SPS). Denn bei dieser Technologie aus dem unteren Preissegment ist die Primary Power Source nichts anderes als die Stromversorgung aus der Steckdose, die Secondary Power Source wird durch die integrierten Batterien abgebildet. Der Name Standby UPS resultiert aus ihrer Arbeitsweise. Unter normalen Umständen versorgen die Batterien und der Inverter die angeschlossen Geräte gar nicht mit Energie, sondern sie warten damit, bis die primäre Stromversorgung ausgefallen ist. In dieser Zeit sorgt die Elektronik für das Aufladen der Batterien und nutzt hierzu die normale Stromversorgung. Kommt es zum Stromausfall, so wechselt der sogenannte “Transfer Switch” auf die “Secondary Power Source”, um die angeschlossenen Systeme mit Strom zu versorgen. Stellt sich der Ursprungszustand wieder ein, wird wieder auf die Primary Power Source zurückgeschaltet (s. Abb. 1). Zusätzlich sorgt die Elektronik der USV für die Filterung der Eingangsspannung, um Spannungseinbrüche oder -spitzen zu verhindern, die unter Umständen dafür sorgen könnten, daß auf Batteriestrom geschaltet werden muß. Switch Time Der Nachteil einer Standby UPS ist, daß die Umschaltung von Primary auf Secondary Power zwar sehr schnell, aber eben nicht sofort geschieht. Eine gewisse Umschaltzeit Switch Time oder Transfer Time - ist immer vorhanden. Dauert diese zu lange oder kann das Netzteil des Rechners diese Zeit nicht überbrükken, so kann es trotz USV zum Absturz eines Systems kommen.Aus die- 08 Ausgabe 08/2002 22 sem Grund wird empfohlen, diese Art von Notstromversorgung nicht für unternehmenskritische Systeme zu verwenden, deren Ausfall zu großen finanziellen Schäden führen könnte. Als Vorteil ist aber sicherlich der günstige Preis anzusehen. Die Leistung der Geräte reicht für gewöhnlich bis zu 1000 VA. Wenn Sie eine Standby UPS einsetzen möchten, so vergleichen Sie die Datenblätter der USV und des Netzteiles, um festzustellen, ob das Netzteil die Switch Time überbrücken kann. Ferroresonant Bei der Ferroresonant Standby UPS handelt es sich im engeren Sinne um eine Verbesserung der Standby Technologie. Wie bei dieser ist die normale Stromversorgung die primäre, die Batterie die sekundäre Energiequelle. Inverter und Batterien warten auf ihren Einsatz. Der SekundärstromSchaltkreis ist der gleiche wie bei der Standby UPS. Der große Unterschied besteht in der Verwendung eines sogenannten Ferroresonant Transformers, der den Transfer Switch ersetzt (s. Abb. 2). Normalerweise ist ein Transformer oder Transformator für das Wechseln von einer Spannung auf eine andere - Abb. 1: Blockschaltbild einer Standby UPS Abb. 2: Blockschema einer Ferroresonant Standby UPS z.B. von 220 auf 12V - zuständig, in einer Ferroresonant Standby UPS jedoch nicht. Er besitzt drei Spulen, wovon zwei für den Eingang der Primary und Secondary Power Source, die dritte für die Ausgangsspannung verantwortlich sind (vgl. Abb. 2). Diese Konstruktion ermöglicht es dem Transformator, als eine Art Weiche zu agieren. Denn egal, welche Eingangsquelle gerade aktiv ist, der gemeinsame Ausgang gibt die Energie immer an die angeschlossenen Geräte weiter. Der Transfer Switch in Abbildung 2 sorgt nur für die Isolation der Line Power. Der Kern des Ferroresonant Transformer speichert in seinen magnetischen Feldern eine gewisse Energie, die als ein Buffer angesehen werden kann. Sollte ein Umschalten auf die Sekundärquelle notwendig werden, wird der Buffer und die gespeicherte Energie für ca. 1 Sekunde den Ausgang mit Energie versorgen, so daß die angeschlossenen Verbraucher beim Wechseln der Power Sources nicht in Mitleidenschaft gezogen werden. Dies ist der besondere Vorteil gegenüber der elementaren Standby-Technik. Die Kapazität dieses USV-Typs beträgt bis zu 15.000 VA, ist also geeignet, um mehreren Serversystemen eine unterbrechungsfreie Stromversorgung zu liefern. Line-Interactive Die Line-Interactive UPS verwendet ein ganz anderes Design als die Standby. Der separate Ba ttery Charger, Inverter und Source Selection Switch wird durch eine Kombination aus Inverter/Converter ersetzt, der zum einen die Batterien auflädt und zusätzlich seine Energie in Wechselstrom umwandelt. Dieser wird über den Ausgang allen angeschlossenen Devices zur Verfügung gestellt. Die AC Line Power stellt hierbei die Primary Source dar, die Batterien die Secondary. Solange die nor- 08 Ausgabe 08/2002 23 thema des monats male Stromversorgung o.k. ist, lädt der Converter/Inverter die internen Batterien auf, andernfalls nehmen die Akkus der USV ihre Arbeit auf und sorgen für den kontinuierlichen Betrieb der Geräte (s. Abb. 3). Der große Vorteil dieser Implementierung einer Notstromversorgung ist die ständige Verbindung des „Inverter/ Converter“ zu seinem Ausgang, und damit die ständige Versorung der angeschlossenen Geräte mit hochqualitativer Wechselspannung. Hieraus resultiert eine schnellere Reaktion auf einen „Power-Fehler“, die von den Standby UPS gewohnten Umschaltzeiten sind hier nicht so tragisch. Natürlich besitzt auch der „Inverter/ Converter“ die notwendige Elektronik, um Störungen der Eingangsspannung wie z.B. Spannungspitzen oder -Zusammenbrüche abzufangen. Eingesetzt wird die „Line-Interactive UPS“ sowohl im Soho- wie auch im Business-Bereich, wobei Kapazitäten bis zu 3000 VA zur Auswahl stehen. Obwohl die Reaktionszeiten beim Umschalten auf Batteriestrom schon sehr kurz sind, kann diese Art von USV die angeschlossenen Systeme nicht so gut schützen, wie der nun folgende Typ von Notstromgeräten. durchgehend aus Batterien versorgt, nachdem die Energie durch den Inverter von Gleic h- auf Wechselspannung konvertiert wurde. Der Eingangsstrom wird vom Battery Charger zum permanenten Aufladen der Akkus benötigt. Da beim Ausfall der Eingangsspannung keine Umschaltung auf Batteriestrom notwendig ist, ergibt sich natürlich auch keine Switch Time, die ja, wie wir gesehen haben, für die angeschlossenen Geräte kritisch werden kann. Sobald die UPS registriert, daß die Eingangsspannung ausbleibt, versorgt der Inverter mit Hilfe der internen Akkus weiterhin seinen Ausgang mit Energie. Die angeschlossenen Devices bemerken den Ausfall der Stromver- sorgung überhaupt nicht und arbeiten wie bisher ohne Umschaltzeit oder Unterbrechung weiter. Das einzige, was nun passieren könnte, ist, daß sich die Batterien allmählich entladen, da der Battery Charger von nun an nicht mehr nachladen kann. Der große Vorteil dieser permanenten Versorgung der angeschlossenen Systeme durch die umgewandelte Batteriespannung liegt in der totalen Isolation der Eingangsspannung. Alle Störungen aus der Steckdose wirken sich nur auf den Battery Charger aus, aber niemals auf den Ausgang der UPS. Sie werden sich sicherlich fragen, warum bei diesem Typ von Notstromgerät überhaupt ein zweiter Abb. 3: Aufbau der Line-Interactive UPS Online True UPS Die Online UPS, manchmal als True UPS bezeichnet, ist in manchen Teilen der Standby UPS sehr ähnlich, in anderen aber das genaue Gegenteil der preiswerten USV-Systeme. Ihre Ähnlichkeit besteht im Vorhandensein der beiden Power Sources und des Transfer Switch, der zwischen den beiden umschaltet. Im Gegensatz zur Standby sind bei der Online UPS die Batterien die Primäre Energiequelle, während die Secondary Power Source durch das sogenannte Utility Power bereitgestellt wird (s. Abb. 4). Dieser Unterschied ist signifikant. Denn im normalen Betriebsmodus werden alle angeschlossenen Geräte Abb. 4: Blockschaltbild der Online True UPS 08 Ausgabe 08/2002 24 Versorgungsweg (gestrichelte Linie in Abb. 4) implementiert wurde, da doch die Akkus ständig für die Stromversorgung sorgen. Die Antwort ist ganz einfach. Der zweite Versorgungspfad dient der Redundanz, falls z.B. der Inverter durch interne Probleme einmal ausfallen sollte. Die Wahrscheinlichkeit ist nicht sehr hoch, doch sollte es dennoch vorkommen, schaltet der Transfer Switch auf die gefilterte Eingangsspannung um. Man muß aber hierbei beachten, daß nun wieder die kritische Switch Time ins Spiel kommt. Lader und Inverter Auch wenn es so scheinen mag, die Online- und Standby UPS beherbergen nicht die gleichen internen Komponenten. Der große Unterschied liegt im Design der Lade- und Inverter-Elektronik. Bei der Standby UPS werden diese Bauteile normalerweise nur ca. einmal im Monat für wenige Minuten in Anspruch genommen. Bei der Online UPS hingegen müssen die Komponenten für den Dauerbetrieb rund um die Uhr ausgelegt werden. Die hierfür erforderliche Entwicklungsarbeit und die bessere Qualität schlagen sich natürlich auch im Preis nieder. Online UPS Systeme sind in der Regel teurer als ihre Standby Pendants. Aus den genannten Gründen werden die Online Devices primär für den Schutz von großen und wichtigen Serversystemen im Datencenter verwendet. Die Kapazitäten variieren von 500 VA bis zu mehreren tausend VA. Delta-Conversion Ein Nachteil der Online Systeme liegt in einer gewissen Ineffizienz. Die gesamte Power aus der Steckdose wird zunächst von Wechsel- auf Gleichspannung umgewandelt, um die Akkus zu laden, und später wieder zurück in Wechselspannung für die angeschlossenen Geräte. Dieser Prozeß verbraucht natürlich eine gewisse Energie, die als Wärme entweicht. Diese Umwandlung erfolgt permanent und nicht nur im Falle eines Stromausfalls. Um diesen Nachteil zu kompensieren, wurde ein neues Design mit dem Namen DeltaConversion Online UPS entwickelt. Der Begriff Delta wird übrigens häufig verwendet, um den Unterschied zwischen zwei uantitäten deutlich zu machen. In der neuen Technologie wird der Battery Charger durch den sogenannten Delta Converter ersetzt. Anstatt die komplette Versorgung des Ausgangs im normalen Modus durch die Batterien vorzunehmen, wird nur Abb. 5: Design der Delta-Conversion Online UPS 08 Ausgabe 08/2002 25 ein Teil direkt vom Delta Converter zur Verfügung gestellt, und zwar direkt von der Eingangs-Powerleitung. Sowohl der Converter wie auch der Inverter stellen die beiden Power Sources dem Ausgang zur Verfügung. Durch das Bypassing der Batterien während der normalen Stromversorgung wird der Energieverbrauch reduziert. Im Falle eines Stromausfalls stellt der Delta Converter seine Arbeit ein, der Rest funktioniert wie bei der Online UPS, da der Inverter die ganze Zeit über seinen Dienst versieht (s. Abb. 5). Für gewöhnlich kommt dieses neue Design nur bei Notstromversorgungen zum Einsatz, die eine Kapazität von 5000 VA oder höher aufweisen. Innenleben Nachdem wir die verschiedenen Notstromgeräte kennengelernt haben, wollen wir uns einen Überblick über das Innenleben einer USV verschaffen. Der Fokus soll hierbei auf den kleineren Einheiten liegen, da die größeren Systeme ein solche Vielzahl an Features anbieten, daß sie den Rahmen dieses Artikels sprengen würden. Alle UPS-Devices besitzen eine Elektronik, um Wec hselspannung zum Laden der Akkus in Gleichspannung umzuwandeln, und um umgekehrt zur Versorgung der Endgeräte aus der Gleich- wieder Wechselspannung zu generieren. Typ, Größe und Qualität dieser Komponenten sind abhängig von der Art der UPS. Hohe Qualität für ausgezeichnete Geräte wird sich dementsprechend auch im Preis niederschlagen. Die modernen Notstromsysteme werden jedenfalls mit Hilfe eines Microprozessors gesteuert, der in der UPS alle Keyfunktionen regelt, das Entdecken von Fehlern der Eingangsspannung oder das Umswitchen zwischen den Power-Sources, das Überwachen der Batterien oder bestimmter Status-Indikatoren. thema des monats Form- und Feature-Vielfalt APC Smart-UPS Serien bis 10.000 VA Durch die vielseitige Kombination von Form, Features und Funktionalität bieten die Systeme der Smart-UPS-Serien von APC für verschiedenste Netzwerkumgebungen eine durchgehend zuverlässige Stromversorgung, die Ausfallzeiten auf ein Minimum reduziert. Das Portfolio deckt mit der Smart-UPS und der DPReihe Leistungsspektren bis 5.000 bzw. 10.000 VA ab. Ein besonders gutes Preis-Leistungs-Verhältnis haben dabei die Geräte der Smart-UPS-Serie. Die line-interaktiven Systeme bieten ein Spektrum von 420 VA für kleinere Server bis hin zu 5.000 VA für anspruchsvolle Netzwerke. Für besonders lange Batterielaufzeiten empfehlen sich die Smart-UPS-Geräte der XLReihe. Dabei gibt es für beide Serien eine große Auswahl an 19-Zoll-Rackmodellen. Die Batterien sind leicht zugänglich und können vom Benutzer selbst einfach gewartet bzw. gewechselt werden. Die Steuerung und Statuskontrolle der USVSysteme sind als Inband- und Out-of-Band-Version erhältlich und erlauben das gewünschte Maß an Kontrolle. Mit Hilfe der PowerChute Plus-Software speichert die unterbrechungsfreie Stromversorgung die aktuellen Daten und fährt das Netzwerkbetriebssystem herunter, bevor die Batterie vollständig entleert ist, unabhängig davon, ob ein Administrator gerade vor Ort ist oder nicht. Smart-UPS DP Das Smart-UPS Portfolio der DP-Reihe reicht sogar von 4.000 VA bis 10.000 VA und bietet hocheffizienten Schutz in moderner Online-Technologie mit Leistungsfaktor-Korrektur, d.h. 10.000 VA entsprechen 10.000 Watt. Die Smart-UPS-DPSerie ist für mehrere Datei-Server, Minicomputer oder Server-Farmen, für kleinere Mainframes, elektronische Regelsysteme, Telekommunikationssysteme und andere unternehmenswichtige Einrichtungen einsetzbar. Bei allen DP-Modellen kann die Überbrückungszeit durch den einfachen Anschluß weiterer BatteriePacks verlängert werden. Auch hierbei gehört die PowerChute Plus-Software bereits zum Lieferumfang. USV-Zubehör Darüber hinaus bietet APC eine große Auswahl an zusätzlichen Features, wie Web/SNMP Managementkarte, Call-UPS II-Karte zur Sendung von Nachrichten im Störungsfall z.B. auf Pager, Measure-UPS II-Karte zur Überwachung von Temperatur und Luftfeuchtigkeit im Raum sowie Interface-Expander oder Share-UPS zur Shutdown-Steuerung von bis zu zehn Servern über eine USV. Bei den meisten Optionen handelt es sich um Smart-Slot-Karten, die schnell und einfach in jede USV-Anlage der Smart-UPS- und Smart-UPS DP-Serie eingebaut werden können. Für die Smart-UPS DP-Serie ist ebenfalls ein APC-Service-Angebot bei Compu-Shack erhältlich. Es umfaßt die Serviceleistungen, vom vorab beschriebenen “StartUp-Service” hin zum Vor-Ort-Service mit einer Reaktionszeit von 4 Stunden. Alle Garantieerweiterungen können innerhalb der Werksgarantiezeit abgeschlossen werden. Info per E-Mail an: pm-hardware@compu-shack.com. Batterien Ein Kernelement sind die verwendeten Batterien, welche die gesamte Energie beim Aufladen speichern, um bei Stromausfall für eine qualitativ hochwertige Ausgangsspannung zu sorgen. Ihre Größe bestimmt das Volumen einer USV und damit auch die Kapazität und Zeit, die den Endgeräten im Notfall bleibt. Die Daten werden mit der nominalen Spannung in Volt und der Kapazität in Amperestunden (Ah) angegeben. Eine Amperestunde bedeutet, daß genügend Energie zur Verfügung steht, um 1 Ampere eine Stunde lang mit der angegebenen Spannung bereitzustellen. Je größer die Amperestundenzahl, um so größer ist auch die Kapazität einer Batterie. In der Theorie kann eine 17Ah/12 V Batterie 17Ampere bei 12Volt für eine Stunde liefern oder 1A bei 12V für 17 Stunden. In der Praxis sieht die Sache ein wenig anders aus, da die Kapazität einer Batterie von der sogenannten Entladungsrate (Discharge Rate) abhängig ist. So kann eine Batterie von 20 Ah, die mit einer Rate von 5 Ampere pro Stunde entladen wird, nur über eine Kapazität von 18 Ah verfügen. Und auch die erwartete Versorgungszeit von 4 Stunden trifft nicht zu, sondern es werden meist nur 3 Stunden erreicht. Dieses Verhalten bei der Entladung sollten Sie bei der Kalkulation der Batteriekapazität unbedingt beachten. Um das Speichervolumen nachträglich zu erhöhen, haben einige Hersteller die zusätzliche Installation von weiteren Battery Packs vorgesehen, die über spezielle Konnektoren an das ursprüngliche USV-System angeschlossen werden. Lebenszyklen Heutzutage verfügen Notstromgeräte über die Möglichkeit, den Zustand einer Batterie zu überprüfen, indem die Spannung und das Ladeverhalten 08 Ausgabe 08/2002 26 festgestellt wird. Es liegt nämlich in der Natur eines Akkus, daß er nach gewisser Zeit die notwendige Spannung nicht mehr liefern kann, und die ursprüngliche Kapazität nicht mehr erreicht wird, obwohl er voll aufgeladen ist. Aus diesem Grund kann heutzutage eine defekte Batterie ohne Probleme gegen eine Neue ausgetauscht werden. Der Lebenszyklus ist abhängig vom Umgang mit den Batterien. Unter normalen Umständen befinden sich die Akkus in einem vollgeladen Zustand, was durch den internen Battery Charger gewährleistet wird. Sehr wichtig ist es, daß der Betrieb der am Batteriestrom angeschlossenen Geräte nach einem Stromausfall beendet wird, sobald die akustischen oder optischen Warnsignale anzeigen, daß sich die Kapazität dem Ende zuneigt. Doch wird eine USV ihre Batterien niemals zu 100% entladen, da dies zu deren schnellem Ende führen würde. Sobald die normale Stromversorgung aber wieder zurVerfügung steht, sollte man unmittelbar damit beginnen, die Akkus wiederaufzuladen. Auch die Umgebungstemperatur spielt eine Rolle für die Lebensdauer einer Batterie. Sollte die vorgegebene Kapazität und Spannung nicht mehr erreicht werden können, so kann dies an zu kalten Temperaturen liegen. Dann muß für die entsprechenden klimatischen Bedingungen gesorgt werden, je nach den Spezifikationen des Herstellers. Ausgänge Auf den ersten Blick mag es nicht wichtig sein, wie viele Ausgänge eine UPS besitzt, zumal dies von der Größe und dem Preis abhängt. Dennoch sollten Sie sich vor dem Kauf Gedanken darüber machen, wie viele Systeme gegen den Ausfall der herkömmlichen Stromversorgung abgesichert werden sollen, um die entsprechende Dimension zu bestimmen. Normalerweise ist es nicht erforderlich, Druk- ker oder Scanner an eine Notstromversorgung anzuschließen, diese würden nur zu einer unnötigen Belastung führen, denn die wichtigen Systeme hätten weniger Kapazität, um die Dauer des Stromausfalls zu überbrücken. Da es aber u.U. wichtig sein kann, daß die erwähnten Drucker oder andere Peripheriegeräte zumindest gegen Störungen aus dem Stromnetz geschützt werden, verfügen viele USV-Systeme über sogenannte Bypassed-Ausgänge. Diese sind so verdrahtet, daß zwar eine Filterung der Störungen im Stromnetz stattfindet, aber keine Energie aus Batterien angezapft wird. Indikatoren Da die USV in heutigen Infrastrukturen eine wichtige Rolle einnimmt, haben einige Hersteller dafür gesorgt, daß auch die Anschlüsse für Modem und Netzwerk gegen Störeinflüsse abgesichert sind. Um sich über den Zustand der Notstromversorgung einen schnellen Überblick zu verschaffen, besitzen fast alle Geräte sogenannte Status Indikatoren. Optische Indikatoren, in der Regel LEDs, zeigen den aktuellen Status an, während akustische Indikatoren lautstark auf ernste Probleme hinweisen. Fast jede UPS verfügt über die LEDs Online, die den Normalzustand anzeigt, On Battery, wenn die UPS auf Batterieversorgung umgeschaltet hat, und Overload, wenn Sie mehr Geräte angeschlossen haben, als die USV versorgen kann. Eine USV checkt ihre Batterien in periodischen Abständen, damit die Betriebsparameter eingehalten werden. Sollte der Test fehlschlagenm so wird die LED Replace Battery aufleuchten, was darauf hindeutet, daß die Akkus erneuert werden müssen. Low Battery besagt, wann die Batterien so gut wie leer sind. Größere Notstromversorgungen besitzen mehrere LEDs, die uns den Batterie-Status differenzierter anzei- 08 Ausgabe 08/2002 27 gen. So leuchten z.B. 5 LEDs, wenn die Batterien zu 100% aufgeladen sind, 4 Lämpchen sagen uns, daß die Akkus noch zu 80% geladen sind usw. Beim Load Status zeigen LEDs bei einem Stromausfall an, wieviel Kapazität von den angeschlossenen Systemen aktuell verbraucht wird. Monitoring Eine der nützlichsten Komponenten moderner Notstromversorgungen stellt die sogenannte Control und Monitoring Software dar, die die Administratoren mit erweiterten Statusund Alarmmeldungen versorgt und die Operationen der UPS überwacht. Gehörte diese Option früher nur bei den teureren Modellen zum Lieferumfang, so legen die meisten Hersteller heutzutage auch den preiswerteren Geräten eine entsprechende Software bei oder bieten sie als Add-On an, auch zusammen mit entsprechender Hardware, die meist über ein spezifisches Kabel an einen speziellen Port der USV und Management-Station angeschlossen wird. Meist findet die serielle Schnittstelle des PCs Verwendung. Andere Systeme bieten eine Anbindung via USB, über eine spezielle Einsteckkarte oder einfach über das Netzwerk an. Software-Funktionen Die Management-Software unterscheidet sich von Hersteller zu Hersteller, aber alle Produkte bieten Funktionen für die generellen Kategorien Status, Logging, Diagnose, Alarm und Shutdown. Die Software zeigt die Details zum momentanen Ladezustand der Batterien, Umgebungsvariablen wie etwa Temperatur sowie die elektrische Charakter istik der Ein- und Ausgangsenergie. Selbsttests oder Ereignisse werden aufgezeichnet und geben z.B. über die Häufigkeiten und Dauer von Stromausfällen ein klares Bild des thema des monats Status quo. Mit Hilfe der DiagnoseSoftware lassen sich sporadisch oder in festen Zeitabständen Tests auf der USV ausführen. Die Notstromversorgungen können Messages an den Monitor-PC oder weitere Workstations im Netzwerk senden, sollte es zu Problemen mit einer ihrer Komponenten kommen. Ein noch wichtigeres und unentbehrliches Feature aber ist die Möglichkeit, alle angeschlossenen Geräte im Falle eines Stromausfalles automatisch und ordnungsgemäß herunterzufahren, wobei die entsprechenden Parameter je nach den Umgebungsbedingungen definiert werden können. Zum Beispiel könnte der Shutdown-Prozeß eintreten, wenn 80% der Akku-Energie aufgebraucht ist. Von diesem Schwellenwert an wird die Managementsoftware alle Applikationen auf den angeschlossenen Systeme beenden, um anschließend den eigentlichen Shutdown einzuleiten. Ohne diese Funktion würden die Rechner abstürzen, sobald die Batterien keine Energie mehr liefern können. Man hätte sich die USV sparen können, wenn der Absturz eh nur hinausgezögert worden wäre. Nicht alle Applikationen spielen beim Shutdown mit. Im Zweifelsfall sollten Sie vorher entsprechende Testserien durchführen. Formfaktoren Notstromgeräte werden nicht generell in vordefinierten standardisierten Größen ausgeliefert, wie dies bei vielen anderen Komponenten der Fall ist. Der Hauptgrund hierfür ist, daß die USV-Systeme meist spezifische Geräte sind, die je nach Kapazität eine unterschiedliche Anzahl von Batterien beherbergen, je höher die Kapazität, desto größer die UPS. Die meisten Systeme werden jedoch in zwei Bauformen angeboten. Die StandAlone-Geräte werden meist neben den abzusichernden Geräten installiert, während die 19-Zoll Rackmount-Modelle zusammen mit Servern, Switches oder Routern im Server- oder Verteilerschrank eingebaut werden, was in einer größeren Infrastruktur und unter Aspekten der Sicherheit zu empfehlen ist (vgl. TN 06: Schränke und Schranken). Tabelle 1 Load Level 100 VA 200 VA 300 VA 400 VA 500 VA 600 VA Laufzeit 49 min 22 min 14 min 9.3 min 7.2 min 5.8 min Tabelle 1: Laufzeit in Abhängigkeit vom Load Level bei einer 650VA USV Kapazität und Laufzeit Die beiden wichtigsten Faktoren einer USV sind ihre Kapazität und Laufzeit. Sie entscheiden, wie lange die angeschlossen Geräte mit Batteriestrom versorgt werden können. Obwohl man meinen könnte, daß die Begriffe doch das gleiche bedeuten, sie bezeichnen etwas ganz Unterschiedliches. Die Laufzeit gibt an, wie viele Minuten eine UPS in der Lage ist, die Devices mit Notstrom zu bedienen. Dies ist abhängig vom Load Level, denn je mehr Equipment an das Notstromgerät angeschlossen wird, desto mehr Energie wird den Batterien entzogen, mit der Folge einer verkürzten Laufzeit. Die Kapazität hingegen steht für die gesamte Leistung, die im Notfall zur Verfügung steht. Je größer das Volumen der Batterien ist, desto größer ist ihre Kapazität. Diese kann durch die Installation von sogenannten BatteryPacks nochmals gesteigert werden. Tabelle 1 zeigt anhand einer USV mit einer Gesamtkapazität von 650 VA das Verhältnis zwischen Load Level und Laufzeit. Output und Wellenform Die Qualität einer Notstromversorgung wird nach Art der elektrischen Wellenform ihrer Ausgänge beurteilt. Das Optimum ist die Erzeugung einer Sinuswelle, die sich von der des normalen Stromnetzes nicht unterscheidet. Leider ist dies nicht bei allen USV-Systemen gegeben, besonders in den niedrigen Preiskategorien nicht. Der Inverter ist hierbei - auch preislich - der entscheidende Faktor. Er entscheidet über den Output und damit über dessen Wellenform, die ggf. zu handfesten Problemen und je nach Konstellation sogar zum Absturz der angeschlossenen Geräte führen kann. Aber genau das wollten wir ja vermeiden. Generell kann man sagen, daß die günstigen USVs qualitativ gesehen einen schlechteren Output liefern, als die teueren Systeme. Die drei signifikanten Wellenformen der Ausgänge sind die Sinuskurve (Sine Wave), die Square Wave und die modifizierte Square Wave. Sine Wave Bei der Sinuskurve handelt es sich um die optimale Wellenform, die der des normalen Stromnetzes entspricht (s. Abb. 6). Qualitativ hochwertige USV-Systeme liefern diese wahre Sinuswelle an allen Ausgängen. Probleme mit den Endgeräten sind hierbei nicht zu erwarten. Es werden exzellente Komponenten und Converter eingesetzt. Diese Technik kommt in den Online-Notstromgeräten zum Einsatz. Square Wave Die viereckige Ausgabe einer Wellenform läßt uns kaum mehr von einer 08 Ausgabe 08/2002 28 thema des monats Welle im ursprünglichen Sinne reden. Anstelle eines sanften Übergangs vom negativen zum positiven Bereich der Welle kommt es bei der “Square Wave” zum plötzlichen Anstieg vom negativen in den positiven Bereich. Dort angekommen wird die Abb. 6: Sinuswelle am Ausgang Abb. 7: Form der Square Wave Abb. 8: Modifizierte Square Wave Hälfte in diesem Bereich verbleiben, um anschließend genauso schnell wieder in den negativen Bereich zu fallen (s. Abb. 7). Das Ganze hängt ab von der Qualität des Inverters, der als Alternative in den günstigen USV zum Einsatz kommt, und ist letztlich nur eine Frage des Preises. Es sollte Sie daher nicht überraschen, daß nicht jedes Equipment mit dieser Wellenform zurecht kommt. Aus eigener Erfahrung kann ich Ihnen berichten, daß es sogar zum Absturz der angeschlossenen Geräte kommen kann, sobald die UPS auf Batterieversorgung umschaltet. Wenn Sie planen, ein System dieser Bauart einzusetzen, sollten Sie auf jeden Fall vorher das Zusammenspiel mit Ihren Systemen und der USV testen. Modifizierte Square Wave Bei der modifizierten Square Wave handelt es sich um einen Kompromiß zwischen der Sinuswelle und der Square Wave. Die positiven und negativen Bereiche werden durch elektronische Bauteile an die Form der Sinuswelle angepaßt (s. Abb. 8). Trotzdem lassen sich die Kosten für die verwendeten Komponenten eher denen der Square-Wave-Technik zuordnen als der von OnlineSystemen. Aber auch hier kann es zu Problemen mit den angeschlossenen Devices kommen, wenngleich nicht so häufig wie mit Notstromgeräten der Square-WaveKlasse. Doch auch hier ist es empfehlenswert, entsprechende Tests durchzuführen. Fazit Notstromgeräte sollten nicht mal gerade so nebenbei angeschafft werden. Wir haben gesehen, daß es einige wichtige Parameter zu beachten gilt. Kapazität und 08 Ausgabe 08/2002 29 Laufzeit einer UPS müssen den Gegebenheiten entsprechend kalkuliert werden, um von vorneherein Probleme zu vermeiden. Ein wichtiger Aspekt ist das Management der USVSysteme. Es darf auf keinen Fall fehlen. Denn was nützt die beste UPS, wenn wir keine Nachrichten über kritische Zustände erhalten. Auch die Wahl der “richtigen” Wellenform ist ein entscheidendes Kriterium bei der Anschaffung von Notstromgeräten, damit die angeschlossenen Systeme im Notfall optimal versorgt werden und die vermeintlich preiswerte, nicht zur billigen Lösung wird, die einen teuer zu stehen kommt. h HOTLINE Stand: 11. Juli 2002 Technik-News Patch-CD August 2002 NetWare NW 6.0 C1.exf ES7000.exe FLSYSFT7.exe HTTPSTK1.exe NAT600D.exe NICI_U0.exe NW56UP1.exe NW6SMS1A.exe NW6NSS1A.exe NWFTPD4.exe NSSCHECK.exe NFAP1SP1.exe NW6SP1.exe SNMPFIX.exe TCP604S.exe XCONSS9F.exe NW 5.1 4PENT.exe AFNWCGI1.exe B1CSPJVM.exe C1.exe COMX218.exe DLTTAPE.exe DS760A.exe DS880D.exe DSBROWSE.exe FLSYSFT7.exe FP3023A.exe FP3023S.exe HDIR501C.exe IDEATA5A.exe INSTP5X.exe JVM131.exe NAT600D.exe NDP21P4.exe NDPSINF.exe NESN51.exe NICi_U0.exe NIPT1.exe NW51FS1.exe NW51INST.exe NW51SP4.exe NW51UPD1.exe NW 4.2 DECRENFX.exe DS614.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NAT600D.exe NLSLSP6.exe NLSLSP6.exe NWIPADM.nlm NW4SP9.exe NW4WSOCK.exe ODI33G.exe SCMAA.exe SNMPFIX.exe TSANDS.exe XCONSS9F.exe NW56UP1.exe NWFTPD6.exe NWPAPT2.exe PKISNMAS.exe PSRVR112.exe PREDS8A.exe PREEDIRD.exe RINSTALL.exe SBCON1.exe SCMDFLT.exe SLPINSP3.exe SNMPFIX.exe SCMDFLT.exe SLPINSP3.exe SLP107G.exe STRMFT1.exe TIMESYNC.exe TCP553J.exe TCP590S.exe TSA5UP9.exe WBDAV51.exe XCONSS9F.exe Windows Clients Win 95/98 dt. NPTR95B.exe W98332E.exe WCNICIU0.exe Win 95/98 engl. NPTR95B.exe W98332E.exe WCNICIU0.exe Win NT/2000/XP dt. 236779.exe 275382.exe 295137.exe 299628.exe Win NT/2000XP engl. 236779.exe 275382.exe 295137.exe 299628.exe ZENworks ZENworks for Deskt. 3.0 278415.exe ZD322K2.exe ZD32DVPW.exe ZD32NOTF.exe ZD32NW.exe ZD32SCN.exe ZD32ZIDS.exe NT483PT2.exe WNT483G.exe WCNICIU0.exe NT483PT2.exe WNT483E.exe WCNICIU0.exe Miscellaneous Updates NW SAA 4.0 NW4SAA.exe SAA40020.exe SAA4PT1.exe iChain 2.0 IC20SP1.exe GroupWise 6.6 CCMLN2.exe EXCHNT2.exe GW6SP1.exe GW6TOMCAT_NT.exe GW6WASF.exe HOTLINE Deutsche Updates Windows 98 Windows NT 4.0 O98SECU.exe DEUQ300972I.exe Y2KW982G.exe ID4SETUP.exe SP6I386G.exe Englische Updates Windows 98 Y2KW98_2.exe Windows NT 4.0 IE4USP.exe IESETUP.exe MPRI386.exe PPTPFIXI.exe RRASFIXI.exe SP6I386.exf W2KSP2SRP1D.exe eDirectory 8.x AM210PT2.exe AM210SNP.exe AMW2KP2A.exe AMW2KSP1.exe C1UNX85A.exe DSRMENU5.tgz DSX86UPG.tgz EDIR862.exe EDIR862.tgz EDIR8527.exe EDIR8527.tgz EDIR862SP1.exe EDIR862SP1.tgz EDIRW32.exe EINSTALL.exe MWUNXPFIX.exe NDSAS3S1.exe NDSUNIX4.tgz UNIXINF1.tgz UNIXINS2.tgz PWDSNC1.exe ZENworks 3.0 ZD3WSMG.exe ZD3XWSREG.exe ZD3XWVOL.exe ZD3XZISW.exe ZENINTG.exe ZFD3SP1A.exe Bordermanager 3.5/3.6 ADMATTRS.exe BM37VPN1.exe BM35ADM6.exe BM3CP3.exe BM35SP3.exe BM3XC02.exe BM36C02.exe BMAS3X01.exe BM36SP1A.exf PXY031.exe BM37FLT.exe PXYAUTH.exe GWIA6SP1.exe GWPDLOCK.exe GWPORT32.exf NOTES51.exe WAVIEW71.exf Tools / DOCs ADMN519F.exe CFGRD6B.exe CONFG9.exe COPYNLM3.exe CRON5.exe DSDIAG1.exe DBGLOG1.zip ETBOX7.exe HIGHUTIL1.exe LOADDLL1.exe MIGRTWZD.exe NCCUTIL5.exe NLSDLL.exe ONSITB8.exe SCHCMP2.exe STUFKEY5.exe TABND2.exe TBACK3.exe TBOX7.exe TCOPY2.exe TRPMON.exe ZFSDBPB.exe ZS3SCH.exe RADATR3A.exe SETUPEX.exe VPN36E.exe Cluster Services CS1SP3.exe CVSBIND.exe Windows 2000 ENPACK_WIN2000ADMIN_GER.exe Q311967_W2K_SP3_X86_DE.exe Q318593_W2K_SP3_X86_DE.exe Q299956_W2K_SP3_X86_DE.exe W2KSP2.exf W2KSP2SRP1D.exe Internet Explorer 6.0 Q313675.exe Q316059D.exe Microsoft .NET NDP10SP357.exe Exchange 5.5 SP4_550G.exe Exchange 2000 EX2KSP2_SERVER.exe Q320436ENUI386.exe Windows 2000 ENPACK_WIN2000ADMIN_EN.exe Q311967_W2K_SP3_X86_TWE.exe Q318593_W2K_SP3_X86_EN.exe Q316094_W2K_SPLl_X86_EN.exe Q299956_W2K_SP3_X86_EN.exe W2KSP2.exe Windows XP Q315000_WXP_SP1_x86_NEU.exe WM320920_8.exe Internet Explorer 6.0 Q316059D.exe Microsoft .NET NDP10SP317396.exe Q320436ENUI386.exe Exchange 2000 Q278523ENGI.exe Exchange 5.5 SP4_550E.exe Exchange 5.0 SP2_500I.exe SP2S500I.exe Patches 08 Ausgabe 08/2002 30 Bintec Router Software Bingo! Brick XS/Office Brick X.21 X8500 BGO521.bg BRK512.xs BRK495.x21 B6105P03.x8a X4000 BRK521P2.xs2 Brick XL/XL2 Bingo! Plus/Professional Brick XMP BRK521P1.xl B6202.x4a BGO494.bgp BRK521P1.XP Netracer X3200 Brick XM NR494P1.zip B6202.zip BrickWare u. Configuration Wizard BRK511.xm XCentric X2300 BW613.exe BRK521P1.xm2 XC523.xcm B6202.x2c MODULE14.xcm X1000 / 1200 NLMDISK.zip B6202.x1x Tobit Produkte für Novell TimeLAN Novell DAVID 6.5 David 6.6 TIMELAN.exe D65SP1NW.exe D66NWSP2.exe Faxware 5.11 für Netware SB 4.2 DVVSCA10.exe DVGRAB.nlm POSTMAN.nlm DAVID4.nlm PM_NW.zip DVVSCA10.exe WEBACCNW.exf Faxware 5.11 für Netware SB 5.0 IVC.dcc HF1NWG.exe DAVID5.nlm Tobit Produkte für Microsoft Tobit ServTime Win 98 Tools DAVID 6.5 für NTl David 6.6 NT / 2000 SETUPW98.exe DCNSETUP.exe D65SP1NT.exe 1839NT.zip DVPGP.dll DVEXTINF.exe DV4EXSP2.exe D66NTSP2.exe HF1NTG.exe Tobit TimeLAN für NT DVZMSD.exe MAPI32.dll DV_WIN.zip IVC.dcc SETUPNT.exe KLICKTEL.zip DV4EXSP3.exe MCSCANNT.zip SENDMAIL.exe DV4EXW2K.exe WEBACCNT.exe Tobit ServTime für NT DVGRAB.exe SERVTIME.exe Q299956_W2K_SP3_x86_DE.exe 231 KB Dieses W2K-Update der deutschen Version behebt das Problem einer hohen Prozessor-Auslastung, wenn auf einem HP Packard Multifunktionsdrucker gedruckt wurde. Mehr Info dazu im Artikel Q299956. Q299956_W2K_SP3_x86_EN.exe 231 KB wie zuvor für die englische Version. WM320920_8.exe 1188 KB Security Patch für den Microsoft Media Player auf Windows XP. rot grün seit unserer letzten Veröffentlichung neu hinzugekommen Technik News Service-CD blau gelb 08 Ausgabe 08/2002 31 aus Platzgründen nicht mehr auf der Monats-CD auf der letzten Service CD h HOTLINE ARCserve 2000 Name Edition Datum Basis Produkt Updates QO19741.CAZ Alle 02.07.02 Beschreibung Voraussetzung Registry Dateien werden nicht alle gesichert (dt./engl.) Client Agenten QO19337.CAZ AE QO19339.CAZ ASO Universeller NetWare Agent für AE Produkte Build 260 Universeller NetWare Agent für AE Produkte Build 260 Keine Keine NT Agent Registry Details übersprungen (engl.) NWAgent behebt Lizenzfehler (englisch) QO05692 Keine Fix und Unterstützung zusätzl. Bandlaufwerke/ Changer (dt./engl.) Fix und Unterstützung zusätzl. Bandlaufwerke/ Changer (dt./engl.) SP3 dt. SP3 dt./engl. Qo15176 dt./SP4 engl. ASOQo15178 QO19666.CAZ AE/WG 01.07.02 Fix für Registry Key Handle Leak bei langen Backups (engl.) SP4 engl. QO19668.CAZ AE/WG 01.07.02 Fix für Registry Key Handle Leak bei langen Backups (dt.) SP3 dt. AS2000SP4.EXE AE/WG 28.06.02 Service Pack 4 selbstextrahierend ohne DR (engl.) Keine QO19251.CAZ AE/WG 28.06.02 Service Pack 4 mit Cazipxp –u zu extrahieren ohne DR (engl.) Keine AS2000SP4.TXT AE/WG 28.06.02 Beschreibung zum Service Pack 4 (engl.) Keine QO19353.CAZ Alle 24.06.02 Behebt Problem korrupter Dateien nach Wiederherstellen (Agent) (engl.) SP4 engl./ ASO=Keine QO19352.CAZ Alle 24.06.02 Behebt Problem korrupter Dateien nach Wiederherstellen (Server) (engl.) SP4 engl. / ASO=QO15178 QO19351.CAZ Alle 24.06.02 Rotation Job incremental/differential kein Exchange (dt./engl.) SP4engl./Qo15176= dt./ASO=Qo15178 QO15556.CAZ AE/WG 12.04.02 Job überschreibt Medium in Save Set (engl.) QO15169 QO15169.CAZ AE/WG 05.04.02 Incrementeller Fix, behebt 20 Probleme (engl.) QO05692+Device Fix QO15991.CAZ AE/WG 23.04.02 Behebt Fehler Dr. Watson bei Dbasvr und RPC Dienst crashed (dt./engl.) SP3 dt. / SP3 engl. QO15579.CAZ AE/WG/ 12.04.02 Behebt Fehler bei Image File E3406 (dt./engl.) QO15176 dt/ ASO Qo15178 engl QO15331.CAZ AE/WG/ 09.04.02 Behebt Dr. Watson NLO unter ARCserve 2000 u. AS400 eing. (dt./engl.) Device Fix ASO QO15176.CAZ AE/WG 05.04.02 Job überschreibt Medium in Save Set (dt.) SP3 de QO15571.CAZ ASO 12.04.02 Client Agent, behebt Fehler leere Zeilen und Zeichen im Log File (engl.) Keine QO15178.CAZ ASO 05.04.02 Job überschreibt Medium in Save Set (engl.) Keine QO11058.CAZ AE/WG 05.02.02 Backup auf Platte (anstelle Bandlaufwerk) durchführen (engl.) SP3 QO09494.CAZ AE/WG 01.11.02 ARCserve 2000 Service Pack 3 in Deutsch Keine QO08105.CAZ ASO 18.12.01 Job läuft nicht, wenn von Terminal Server gestartet (engl.) SP3 QO07149.CAZ AE/WG 10.12.01 Behebt Fehler “A runtime error has occured” bei Navigation (engl.) SP3 QO06308.CAZ AE/WG 29.11.01 Online Hilfe Nachrichten wurden hinzugefügt (engl.) Keine QO05692.CAZ AE/WG 19.11.01 ARCserve 2000 Service Pack 3 in Englisch Keine LO98929.CAZ ASO 01.08.01 Backup Job hängt beim Sichern von System State Keine QO05189.CAZ ASO 11.08.01 SQL 2000 als Datenbank (engl.) Keine QO05188.CAZ AE/WG 11.08.01 SQL 2000 als Datenbank (engl.) SP3 QO04949.CAZ AE/WG 05.11.01 DR. Watson beim Modifizieren von GFS Jobs (dt.) SP3 dt. QO00944.CAZ Alle 14.09.01 Remote Server nicht im Server Tree bei erster Verbindung (dt./engl.) SP3 dt. QO00943.CAZ AE/ASO 14.09.01 DRWatson b. Öffnen des Job Status (AE oder TNG ASO 7.0) (dt./engl.) SP3 dt./engl. LO85115.EXE AE/WG 12.12.00 Exchange 2000/Lotus Notes LOG BKUP Unterstützung (dt./engl.) SP3 dt./engl. QO15557.CAZ LO86966.ZIP 24.06.02 24.06.02 AE 12.04.02 AE/WG 22.01.02 HOTLINE Bandlaufwerke und Changer QO18317.CAZ Alle 07.06.02 QO15984.CAZ Alle 23.04.02 ASO=Keine Exchange Agent QO13758.CAZ AE/WG QO13760.CAZ Alle LO94975.CAZ AE/WG QO06202.CAZ AE/WG 18.03.02 verschiedene Brick Level Fixes (dt.) 18.03.02 verschiedene Brick Level Backup Fixes (engl.) 04.06.01 Error in Multi Byte Exchange Agent (engl.) 28.11.01 Exchange, verschiedene Brick Level Backup Fixes (dt.) SP3 dt. SP3 engl. Keine SP3 dt. Open File Agent QO14476.CAZ Alle QO10908.CAZ AE/WG QO01917.CAZ AE/WG LO90527.CAZ ASO QO06336.CAZ AE/WG 17.04.02 04.02.02 25.09.01 14.03.01 29.11.01 Keine Keine Keine Keine Keine Kumulativer Patch für Open File Agent (dt./engl.) NT/2000 OFA Blue Screen wenn Eroom installiert ist. (dt.) Blue Screen wenn OFA mit MSMQ verwendet wird (dt.) Invalid License Error, wenn Open File Option installiert ist. (engl.) Behebt Fehler, daß das System hängt, oder: Paged Pool is empty (dt.) EE = Enterprise Edition; AE = Advanced Edition; WG = Workgroup / Single Server / Small Business Edition; ASO = Advanced Storage Option; W2K = Windows 2000 Edition; ELO = Enterprise Library Option; VLO = Virtual Library Option; NLO = Network Library Option Patches 08 Ausgabe 08/2002 32 Informix Agent QO05792.CAZ AE/WG 20.11.01 Behebt Fehler: Invalid Objekt Pathname (engl.) Lotus Notes Agent QO15787.CAZ AE/WG QO15790.CAZ AE/WG QO10195.CAZ AE/WG QO10201.CAZ ASO LO89345.CAZ AE/WG engl. QO10199.CAZ AE/WG 17.04.02 17.04.02 22.01.02 22.01.02 05.03.01 Kumulativer Patch für OFA Ver. Notes Agent (engl.) Kumulativer Patch für OFA Ver. Notes Agent (dt.) Notes Agent Installation Patch (engl.) Notes Agent Installation Patch (engl.) NT Lotus Notes LOG BKUP Unterstützung (dt./engl.) 22.01.02 Notes Agent Installation Patch (dt.) Keine Keine Keine Keine Keine LO85115 / SP3 Keine Serverless Backup Option QO16438.CAZ AE/WG 01.05.02 Unterst. Atto FC HBA und behebt Fehler E2002 (dt./engl.) QO06297.CAZ AE/WG 29.11.01 Behebt verschiedene. Probleme des Serverless Agents (dt./engl.) SP3 dt./engl SP3 dt. SQL Agent LO91562.CAZ LO82876.EXE LO95010.EXE Keine LO82875 SP3 dt. AE/WG 30.03.01 Unbeaufsichtigte Installation des SQL 2000 Agent hängt (engl.) AE/WG 17.10.00 SQL Agent, Sichern von MS-SQL Server 2000 (engl.) AE/WG 05.06.01 NT ARCserve 2000 Agent für SQL2000 (dt.) Image Option QO17318.CAZ AE/WG 17.05.02 Behebt Image Option Backup Fehler (engl.) QO10618.CAZ Alle 30.01.02 HBM Treiber verursacht Blue Screen ASO engl., AE/WG dt. Keine Keine Oracle Agent QO12367.CAZ QO12765.CAZ SP3 Keine AE/WG 22.02.02 Unterstützung für Oracle 9I (engl.) ASO 02.03.02 Unterstützung für Oracle 9I (engl.) ARCserve 7.x für NetWare Basis Produkt Updates QO19341.CAZ EE 24.06.02 Qo12831,QO05996 QO17320.CAZ EE 17.05.02 QO16630.CAZ EE 02.05.02 QO16426.CAZ EE 30.04.02 QO12831 QO15463.CAZ EE 11.04.02 QO12831.CAZ EE 04.03.02 QO11943.CAZ EE 14.02.02 QO11242.CAZ EE 06.02.02 QO08364.CAZ EE 21.12.01 QO06599.CAZ EE 04.12.01 QO05996.CAZ EE 11.01.01 Server Komponente für Universal NetWare Agent Modifizierter Job ändert nicht neue Zeit Behebt Problem mit Disaster Recovery auf NW 5.1 mit SP4 Sicherheitserweiterung Pw. wird unter Umständen im Klartext übertragen QO05996 Keine QO05996, 8.3- und lange Verzeichnisnamen werden zurückgesichert Nicht alle Benutzer / Dateien in großen NDS Bäumen zu sehen GroupWise Agent Installation schlägt fehl, wenn mehr als 8 Buchstaben Behebt Import/Export Problem im Device Manager Security Erweiterung für ARCserve Behebt Live Trial Produkt Lizenz Problem Kumulativer Patch (Service Pack) mit NetWare 6 Unterstützung QO05996 QO05996 Keine QO05996 QO05996 QO05996 Keine Client Agent für NetWare QO19337.CAZ AE 24.06.02 Universeller NetWare Agent für AE Produkte Build 260 Keine Bandlaufwerke und Changer QO18290.CAZ EE 05.06.02 Unterstützung zusätzlicher Bandlaufwerke und Changer QO05996 Tape Library Option LO98883.ZIP EE QO05996 31.07.01 TLO Setup und Device Konfiguration Update (SAN) Storage Area Network Option QO14907.CAZ EE 01.04.02 Unterstützung Qlogic SANBlade 2300 Fibre Channel Adapter LO98879.CAZ EE 31.07.01 SAN Option Timeout mit Remote Kommunikation Keine Keine ARCserveIT 6.6 für NetWare QO17326.CAZ EE 17.05.02 Behebt Problem, daß lange Dateinamen nur 8.3 restored werden keine ARCserveIT 6.6x für Windows NT QO17317.CAZ QO19086.CAZ ASO EE 17.05.02 Behebt Problem von ASO Manager, sieht keine Cluster Volumes 18.06.02 Eject Tape Schalter im Tapetest Utilty hinzugefügt 08 Ausgabe 08/2002 33 Keine Keine Sofern nicht ausdrücklich ein Hinweis auf Deutsch gegeben wird, sind diese Patches für die englische Spracheversion der Software. Die Dateien mit der Endung CAZ müssen mit dem Programm und der Syntax Cazipxp.exe – u < D a t e i n a m e mit Endung caz> entpackt werden. h HOTLINE Neue Patches in der Übersicht ARCserve 2000 QO19741.CAZ ASO/AE/WG (dt./engl.) Dieser Patch behebt das Problem, daß beim Wiederherstellen des Verzeichnissesc:\winnt\system32\con fig nur die Ereignisanzeige und nicht die Registry Dateien zurückgespielt werden, obwohl diese Option bei den Wiederherstellungsoptionen aktiviert wurde. Zur Installation muß nur die in diesem Patch enthaltene Datei Asrestor.dll nach dem üblichen Sichern der Originaldatei ins ARCserve- oder ASO-Verzeichnis kopiert werden. Für die ASO Version muß vorher der PatchQO15178 eingespielt sein, für AE/WG deutsch ist es derQO15176, für englisch das SP4. QO19353.CAZ QO19352.CAZ QO19666.CAZ QO19668.CAZ AE/WG (engl.) AE/WG (dt.) Dies ist ein Fix für ein auftretendes Registry Key Handle Leak bei langen Backups. Der ARCserve Manager asmgr.exe und die Asrunjob.exe können dann fehlschlagen . In der englischen Version ist SP4, in der deutschen SP3 Voraussetzung für das Einspielen dieses Fixes. Zur Installation wird die Aslog.dll nach Sichern der Originaldatei ins ARCserve-Verzeichnis kopiert. HOTLINE AS2000SP4.EXE bzw. QO19251.CAZ (engl.) In diesen Dateien ist das aktuelle Service Pack 4 für ARCserve 2000 enthalten, es liegt jedoch einmal als Datei AS2000sp4.exe und ebenfalls als Datei Qo19251.caz vor. Der einzige Unterschied ist, daß die erste eine selbstextrahierende EXE-Datei ist, während Q O 1 9 2 5 1 . c a z wie gewohnt mit dem Utility Cazipxp.exe extrahiert werden muß. Beide enthalten die neue Version des Service Packs ohne Disaster Recovery (DR) Dateien. Das erste SP4 vom 20.06.2002 hatte ein Problem mit der DR-Option und wurde zurückgezogen. Dieses SP4 hat also denselben Inhalt bis auf die DR Option. Da eine genaue Beschreibung der Änderungen jeden Rahmen sprengen würde, ist die Datei AS2000SP4.txt auf der Monats-CD mit abgelegt worden. AE/WG ASO (engl.) Wenn der ARCserve 2000 NT Client Agent auf einem Windows 2000 System mit Service Pack 2 und dem Windows Security Rollup Package 1 (SRP1) vom Januar 2002 (Q311401) installiert wurde, kam es zu einem Problem mit korrupten Dateien nach dem Wiederherstellen. Es tritt auf, wenn die Dateien mit ARCserve komprimiert oder verschlüsselt werden. Dies hier ist der Teil, der auf den NT Client Agent anzuwenden ist. Voraussetzung ist SP 4 in Englisch, für die ASO-Version besteht keine. Der Serverpart ist in der Datei QO19352.CAZ enthalten (s.u). AE/WG ASO (engl.) Für das zuvor genannte Problem ist dies der Serverpart, der auf den ARCserve System anzuwenden ist. Voraussetzung ist SP4 in Englisch, für die ASO Version der Patch QO15178.caz. Der NT Agentpart ist in der Datei QO19353.CAZ enthalten (s.o) QO19351.CAZ AE/WG/ASO (dt./engl.) Bei einem einfachen Rotation Job, welcher das Sichern eines Exchange Servers mit einbezieht, wurde dieser ohne Fehlermeldung oder Warnung ausgelassen, ob nun incremental oder differential gesichert wurde. Die Exchange Datenbank wurde nicht gesichert, und man bekam nicht einmal einen Hinweis im Logfile darauf. Voraussetzung für den Einsatz dieses Patches ist bei der deutschen AE/WG Version der Patch Qo15176, bei der englischen hingegen das SP4 und bei der ASO Version der Patch QO15178. QO18317.CAZ AE/WG ASO (dt./engl.) In dieser Datei ist die Unterstützung für zusätzliche Bandlaufwerke und Changer enthalten. Voraussetzung ist der vorherige Einsatz des SP3 in Deutsch bzw. Englisch. Wenn Sie die Disaster Recovery Option verwenden, müssen Sie anschließend neue Bootdisketten erstellen. Computer Associates hat Trial-Versionen zu BrightStor ARCserve 7 for NetWare sowie zur Workgroup- und Advanced-Edition von ARCserve 2000 herausgegeben. Die Demo-CDs können Sie kostenlos unter www.technik-news.de bestellen. Die aktuelle Liste der unterstützten Geräte finden Sie unter http://esupport.ca.com/index.html?/ public/storage, und zwar im Unterverzeichnis / arcserve2000supp.asp bzw. /asnw7supp.asp. Patches 08 Ausgabe 08/2002 34 QO17318.CAZ AE/WG (engl.) QO18290.CAZ EE Dieser Patch behebt den Fehler während eines Image Option Backup: can not locate $file_name attrbutes. In dieser Datei ist die Unterstützung für zusätzliche Bandlaufwerke und Changer enthalten. Voraussetzung ist der Patch Qo05996. QO19337.CAZ ARCserveIT 6.6 für NetWare AE (engl.) Dieser universelle NetWare Agent für AE Produkte Build 260 in Englisch ist einzusetzen für BrightStor Enterprise Backup (BEB) für Windows NT / 2000, BEB für Unix, ARCserve 2000 AE für Windows NT / 2000, sowie ARCserve 7 für NetWare bzw. Linux. Serverseitig müssen jeweils die letzten Patches eingespielt werden damit die Funktion gewährleistet ist. QO19339.CAZ ASO (engl.) wie zuvor für ASO Produkte ARCserve 7 für NetWare QO19337.CAZ AE (engl.) wie zuvor für die AE Produkte QO19341.CAZ EE QO17326.CAZ EE Dieser Patch verhindert, daß lange Dateinamen nur im 8.3 Format wiederhergestellt werden, oder daß zwei Verzeichnisse angelegt werden, eines mit langen und ein zusätzliches mit 8.3 Dateinamen. ARCserveIT 6.6x für Windows NT QO17317.CAZ ASO Das Problem, daß der ASO Manager keine Cluster Volumes bei der Auswahl der Dateien sieht, kann mit diesem Patch behoben werden. QO19086.CAZ EE Im Tapetest Utilty wurde ein Schalter für das Auswerfen des Bandes hinzugefügt. Diese Serverkomponente wird für den Einsatz des neuen universellen NetWare Agent benötigt. Auf der Maschine, auf dem der Agent läuft, muß QO19337 eingespielt werden (Universal Agent) QO17320.CAZ Sofern nicht ausdrücklich ein Hinweis auf Deutsch gegeben wird sind diese Patches für die englische Spracheversion der Software.Die Dateien mit der Endung CAZ müssen mit dem Programm und der SyntaxCazipxp.exe –u <Dateiname mit Endungcaz> entpackt werden. EE Dieser Patch behebt das Problem, daß bei einem modifizierten Job die Zeit nicht angepaßt wurde, die OriginalAusführungszeit bleibt erhalten. Voraussetzung ist der Patch QO05996. NetWare 6 Userlizenzen Wie schon mehrfach erwähnt, hat Novell die Lizenzierung bei der NetWare 6 geändert. Was aber in manchen neuen NDS Implementationen nicht berücksichtigt wird, ist die Plazierung der User Lizenzobjekte. Während diese in früheren NetWare Versionen meist im Container des Serverobjekts lagen und dort auch - vom Server selbst - gefunden wurden, müssen sie bei der NetWare 6 vom Userobjekt aus gefunden werden. Sie dürfen also die Userlizenzen und User nicht in zwei parallel liegenden Organisatorischen Einheiten (OU) ablegen, sondern sollten darauf achten, daß die Lizenzen in der User OU selbst oder in einer beliebigen höher liegenden OU oder Organisation liegen, damit sie per Tree Walking in Richtung [Root] gefunden und genutzt werden können. Sie können das - bzw. die Lizenzzertifikate - im NW Admin durch Doppelklick betrachten und erkennen sofort, ob und von wem Lizenzen belegt sind. 08 Ausgabe 08/2002 35 h HOTLINE 295137.exe 114 KB EDIR862SP1.exe 12405 KB Das Update für den Novell Client 4.83 für Windows NT, 2000 und XP behebt das Problem des DNS Suffixes, wenn im Client keine Primary Domäne eingetragen wurde. Service Pack 1 für die Novell eDirectory Services v8.6.2 für alle Plattformen in der internatonalen Version. Wichtig: Nur auf eDirectory v8.6.2 installieren, nicht auf einer Netware 4.x oder 5.0, einer NDS 6.x, 7.x, 8.x, 8.5.x oder 8.7.x installieren. Das Update enthält die Module DS 10320.29, DSREPAIR 10210.29, N L D A P 10320.03, D S M E R G E 10210.19 und LDAP.jar. DS760A.exe 1237 KB NDS-Update für die Novell Netware v5.1 mit einer installierten NDSVersion 7. Sie finden die Module DS.nlm v7.60a,DSREPAIR.nlm v5.29 undNLDAP.nlm v3.09a. Diese sind neuer als die des Service Pack 4 der Netware 5.1. Gegenüber der ersten Version des Updates DS760A.exe hat sich auch das DSLOADER.nlm geändert. EDIR8527.exe 13725 KB Patch für das eDirectory 8.5.1 international für Netware 5.x, Windows NT/2000, Solaris und Linux. Das Unix Update finden Sie zudem noch einzeln in der Datei EDIR8527. tgz. EDIR8527.tgz 8909 KB HOTLINE Aktuelle Versionen von NDSD v85.27a und NDSREPAIR v85.17a für eDirectory 8.5.1 international für Solaris und Linux. Zur Installation dieses Updates muß min. eDirectory 8.5.1 (mit NDSD v85.12d oder höher) installiert sein. RMANSRVR.nlm 25.03.2002. Behoben wurde der Short Term memory allocation Fehler. Die Implemtierung des Switches / NOADVERT dient zur Kontrolle des SRS-Verkehrs. Beim Laden des Brokers wurde der Switch/IPADDRESS hinzugefügt. NW56UP1.exe 3250 KB Das Service Pack 1 für eDirectory v8.6.2 für Solaris und Linux in der internationalen Version beinhaltet die Modulversionen NDSD 10320.29 und N D S R E P A I R 10210.30. Update der SERVER.exe für NW 5.1 mit SP4 und NW 6.0 mit SP1. Sie sollten den Patch nicht auf einer NW 5 Small Buisness installieren, das führt zu Lizenz Problemen! Das Update behebt Probleme von SetParametern, die nach einem Reboot verloren gingen, und Pehler der Unload Check Option beim Unloaden von NLMs. FLSYSFT7.exe 891 KB SETUPEX.exe 4958 KB Dieses Update des FILESYS.nlm der Netware 5.1 mit SP 4 bzw. 6.0 mit SP 1 wird benötigt, weil Dateien, die im Namen das Zeichen [ALT 255] hatten, auf Traditional Volumes nicht korrekt abgespeichert werden konnten. Bordermanager v3.7 VPN-ClientSoftware für Windows XP, ME, 2000, NT und 98. Diese 3.7 EPFGS VPNClient-Version arbeitet mit der Bordermanager Domestic- wie auch der Export-Version 3.6 und 3.7 zusammen. NDP21P4.exe 853 KB TSA5UP9.exe 724 KB Das Update für die NDPS-Services der Netware 5.1 ist nur auf Servern zu installieren, die auch mit SP 4 versehen sind. Folgende Module sind neu: BROKER.nlm 25.03.2002, NTFYSRVR.nlm 25.03.2002, REGSRVR.nlm 25.03.2002 und Update der TSA-Module der Netware 5.1. Mit dem Update werden Probleme mit einer Path länge von mehr als 255 Zeichen länge und Probleme mit parallelen Backup Jobs wenn einer von beiden beendet wurde. EDIR862SP1.tgz 7623 KB B6202.zip 1360 KB B6202.x1x 1363 KB Software Image 6.2.2 für X1000 und X1200. Software Image 6.2.2 für X3200. B6202.x2c 1497 KB B6202.x4a 1602 KB Software Image 6.2.2 für X4000. Software Image 6.2.2 für X2300. Patches 08 Ausgabe 08/2002 36 BINTEC COMPU-SHACK SOLUTION Release 6.2.2 Sommer mit Support Security für BinTec Router M Mit dem Software Release 6.2.2 hat BinTec die Funktionalität ihrer XRouter - mit Ausnahme der X8500 abermals erweitert. Mit Hilfe des H.323 Proxys und Gatekeepers ist nun sichere VoIP-Telefonie möglich, z.B. mit NetMeeting. Der H.323 Proxy schützt durch seine Firewall-Funktionalität das interne Netzwerk. Die Funktion Multinat erlaubt das einfache Mappen von kompletten Netzwerkadressen. Dank des FeaturesSchedu ling können nun für jeden Wochentag bis zu vier Zeitschlitze definiert werden, in denen ein Router Verbindungen aufbauen darf. Erstmals können ab dem Release 6.2.2 BinTec Router als DHCP Clients fungieren. Die Einwahl vom Handy ist nun dank HSCSD Unterstützung (V.120) mit einer Bandbreite von bis zu 57600 kbit/s möglich. Als besondere Highlights unterstützen die Router den Aufbau von IPSec- oder PPTP-gesicherten Verbindungen, auch wenn beide Router lediglich dynamische IP-Adressen haben. Der Umfang der IPSec Implementierung wurde erweitert, z.B. um AES Unterstützung, und die Bedienung weiter vereinfacht. Hinweise zu den neuen Features und den Änderungen finden Sie im File B6202.x1x Für die volle IPsec-Funktionalität ist ein eigenes, lizenziertes Image nötig. Hinweise finden Sie im Bintec relnote_622_de.pdf. In der kommenden Technik News 9/ 2002 wollen wir Ihnen aus den vielen Neuerungen vor allem die Security-Features vorstellen. Funktionserweiterung BinTec hat seit dem Software Release 6.1 den Funktionsumfang wie folgt erweitert: • DHCP Client • H.323 • Neue BinTec-IPSec-Version • XoT – X.25 über TCP/IP • Dynamic DNS • Dynamic VPN (PPPT) • Dynamic IPSec • Hardwarekompression mit MPPC und STAC • Kanalbündelung bei SammelRufnummern: BAP/BACP • V.120 • Multi-NAT • Konfigurierbares ICMP • RIP und OSPF deaktivierbar • automatische Kabelerkennung an X.21-Schnittstellen • Weekly Schedule • CAPI Supplementary Services Fehler-Korrekturen Die neue System-Software korrigiert zudem eine Reihe von Fehlern, die im Release 6.1.2 aufgetreten waren: • SNMP-Schwachstelle • SNMP Shell • Absturz durch Syslog Level Debug • IPSec und Backroute Verification • Closed User Group • Path MTU Discovery und IP Accounting • Daten im Flash-ROM beschädigt • LEDs bei X4E-3BRI-Erweiterungs karte • Logik-Update • IP- und Bridge-Menüs im Frame Relay • Kompatibilität zu älterer Software • RADIUS Accounting 08 Ausgabe 08/2002 37 Fahr´n Sie ruhig! Wir machen das! Damit Sie sich auch während der Ferien keine Sorgen um Ihr Firmennetzwerk machen müssen, hat der Compu-Shack Support einen Urlaubs-Service für die Netzwerkbetreuung eingerichtet. Erfahrene Systemingenieure helfen, die urlaubsbedingten Ausfallzeiten und Engpässe zu überbrücken, Das Support Team der Compu-Shack Solution unterstützt Sie bei nahezu allen Aufgaben, die während der Urlaubszeit in Ihrem Unternehmensnetzwerk oder in laufenden Projekten anfallen, gleich vor Ort oder auch remote. Das Dienstleistungssprektrum reicht von der Netzwerkadminstration bis zur qualifizierten Überwachung der Server, Backup-Systeme und Security-Einrichtungen. Auch für die Überbrückung von längeren Ausf allzeiten Ihr es Netzwerkpersonals, beispielsweise vor der Einstellung neuer Mitarbeiter oder während deren Einarbeitungszeit, ist das Support Team für Sie da. Sommerpreise Bis zum 30. September 2002 haben Sie die Möglichkeit, diesen streßfreien Service zu besonders attraktiven Sommerpreisen zu buchen. Die genauen Konditionen für die verschiedenen Dienstleistungen finden Sie im Compu-Shack Fachhandelsportal unter http://portal.compu-shack.com in der Rubrik Geld sparen. Eine persönliche Beratung zum Urlaubsservice erhalten sie unter der Rufnummer 02631 / 983-988. Das Support Team erstellt Ihnen ganz unverbindlich ein maßgeschneidertes Ang ebot für Ihre aktuellen Projektanforderungen, telefonisch oder auf E-Mail-Anfrage an: support@compu-shack.com. h HOTLINE CISCO Wireless Utilities Teil 1: Tools für Cisco Aironet 350 Von Jörg Marx Die Cisco Aironet Serie 350 umfaßt alle Komponenten, die man für den Aufbau von drahtlosen Netzwerken benötigt. Sie sind perfekt aufeinander abgestimmt und unterstützen u.a. die Betriebssysteme Windows CE, 95/98, NT 4.0 und 2000 sowie Novell NetWare. Für die Konfiguration bietet Cisco besondere Tools an, die wir Ihnen vorstellen möchten, weil sie die ohnehin schon einfache Installation eines WLAN auch in komplexeren Umgebungen wesentlich erleichtern. I Innerhalb der Reichweite ihrer FunkAdapter können sich die WLAN-Benutzer frei bewegen. Dabei sind innerhalb von Gebäuden zwischen zwei Teilnehmern ohne Access Point Entfernungen von etwa 30 Metern möglich. Benutzt man APs als Basis-Stationen, läßt sich der Aktionsradius innerhalb von Gebäuden ganz erheblich vergrößern. Für die LAN-Kopplung zwischen Gebäuden mit direkter Sichtverbindung (Line of Sight) lassen sich mit Richtantennen ohne weiteres bis zu 10 Kilometer Luftlinie bei 11Mbps Bandbreite überbrükken. HOTLINE Standardkonform Die Cisco Aironet Serie umfaßt alle Komponenten, die man für den Aufbau von drahtlosen Netzwerken benötigt, Karten, Access Points, Brükken und Antennen. Die Datenübertragung erfolgt mit 11 Mbps im 2.4 GHz Bereich und entspricht in etwa der eines Ethernet-LANs mit 10 Mbps. Zwar gibt es schon den neuen Standard IEEE 802.11a, der im 5 GHz Bereich mit einer Übertragungsrate von 54 Mbps arbeitet, doch in Deutschland gibt es leider auch immer noch Probleme mit dem Fequenzbereich, für den es bislang noch keine Freigabe gibt. Die IEEE 802.11b-konformen Produkte der Cisco Aironet-Serie lassen sich ohne weiteres in bestehende Funknetze einbinden. Sie arbeiten reibungslos mit LAN-Komponenten anderer Hersteller zusammen, sofern diese ebenfalls auf ihre Interoperabilität mit anderen standardkonformen Produkten getestet wurden. Deshalb dürfen Produkte wie Cisco Aironet mit dem WiFi-Logo (Wireless Fidelity) gekennzeichnet werden. Wireless Utilities Einbau und Installation der Cisco WLAN-Card ist relativ einfach. Die Karte führen Sie in einen freien PCMCIA Slot ein und das Betriebssystem wird diese automatisch als eine Cisco Aironet PCMCIA-Karte identifizieren. Anschließend müssen Sie den entsprechenden Treiber installieren und die Protokoll- und Client-Eigenschaften definieren, und schon ist die Karte drin. Immer nur die aktuellen CiscoTreiber für das entsprechende Betriebssystem installieren. Diese finden Sie unter http:// www.cisco.com/kobayashi/swcenter/sw-wireless.shtml Für alles weitere bietet Cisco besondere Tools an, die Sie sich installieren sollten. Sie finden diese Utilities im Startmenü unter Programme / Cisco Systems, Inc, falls Sie bei der Installation keinen anderen Ordnernamen angegeben haben. In der aktuellen Version sind alle diese Tools imAironet Client Utility (ACU) integriert, das der Konfiguration des Funknetzzugangs dient, insbesondere der Betriebsart (WEP 40 Verschlüsselung) und dem Funknetznamen tsunami (optional, weil Standard). Der Client Encryption Manager (CEM) hilft bei der Key-Definition zur verschlüsselten Übertragung, während der Link Status Meter (LSM) die Qualität und Stärke des Funksignals des aktuellen Access Point anzeigt. Abb. 1: Das Hauptfenster der aktuellen ACU Version 5.014.15 Aironet Client Utility Im Eingangsmenü in der unteren Statuszeile wird mit is Associa ted to angezeigt, mit welchem Access Point eine Karte eine Verbindung unterhält (siehe Abb. 1). Sollte die Wireless-Karte nicht eingesteckt 08 Ausgabe 08/2002 38 oder nicht richtig installiert sein, erscheint in der unteren Zeile die Warnung Cannot access the Wire less LAN Adapter! Ist die Karte falsch konfiguriert oder haben Sie aus einem anderen Grunde keine Verbindung zu Ihrem Access Point, so finden Sie dort unten den Hinweis: Your PC4800 is Not Associa ted! Profile-Manager Über den Profile Manager können Sie die Karte konfigurieren. Zuerst geben Sie einen selbst definierten ProfileNamen an, mit [Enter] kommen Sie in die Profile-Konfiguration (siehe Abb. 2). Hier erscheint der aus vier Registerkarten bestehende Properties-Dialog. Auf jeder Registerkarte gibt es eine Schaltfläche Defaults, mit der man die von Cisco definierten Standardwerte übernehmen kann. In der Registerkarte System Parameters kann man unter SSID1 als den Namen des Funknetzes tsunami eintragen, in 7 Klein-Buchstaben (siehe Abb. 3). Da dies der von Cisco verwendete Standardname ist, kann man den Eintrag auch leer lassen. Alle anderen Werte lassen Sie auf ihren Default-Werten stehen. Im Properties-Dialog braucht man nur auf der Registerkarte Network Security die WEP-128-Verschlüsselung zu aktivieren und einen Schlüssel einzutragen. Alle weiteren Dokumentationen des PropertiesDialogs dienen nur der Abrundung des Profiles. Abschließend können Sie das Profile abspeichern und Ihre Karte ist funktionsbereit. grund der Kodierung besonders abhörsicher. Cisco bietet als zusätzliche Sicherheitsmechanismen nach dem neuen Standard 802.1x das EAP-Protokoll (Extensible Authentication Protocol) oder eine Authentisierung über einen Radius- bzw. den Cisco ACS-Server an. Sicherheitsmechanismen Der Schutz der übertragenen Daten vor unbefugtem Zugriff wird durch Abb. 2: Definition eines Profile eine hochwirksame Ve rs c hlüsselung anhand des weltweit gültigen WEP-Protokolls gewährleistet (Wired Equiva lent Privacy). Durch den Einsatz von dynamischen WEPSchlüsseln bei den Cisco Aironet-Produkten wird der unbefugte Zugang zum Netzwerk extrem erschwert. Die WEP-Schlüssel werden dabei optioAbb. 3:Systemparameter des User Profiles nal je Benutzersitzung pro Zeit und Applikationen geändert. Sollte ein Angreifer einen Schlüssel bei Dynamic WEP ausgelesen haben, so ist dieser doch im nächsten Moment schon nicht mehr für ihn brauchbar. Das Netzwerk wird geschützt. Zudem ist die kabellose Übertragung auf- 08 Ausgabe 08/2002 39 Abb. 4: Client Status im ACU-Tool Fehlererkennung Um Fehler zu finden, gibt es von Cisco ein paar gute Hilfsmöglichkeiten. Unter Status finden Sie imACU alle relevanten Daten und Informationen zu Ihrer Wireless-Karte und erkennen, ob diese verbunden ist oder eben nicht (siehe Abb. 4). Sie sehen hier die wichtigsten Soft- und Firmware-Versionen, den Link Speed und Abb. 5: Paketstatistiken im ACU h HOTLINE die Daten des angeschlossenen Access Points mitsamt seiner IPAdresse. Der Menüpunkt Statis t i c s wartet mit Protokollauswertungen auf, auch zu den WLANspezifischen Dingen wie Authenti cation und Association Pakets. Link Status Meter HOTLINE Eine feine Sache ist der Link Status Meter. Hiermit erhalten Sie ein Tool, mit dem Sie die Signalstärke und -qualität sehr gut messen und grafisch darstellen können. Sie erkennen, ob ein Access Point erreichbar ist oder nicht. Auch wenn Sie z.B. eine Lagerhalle ausmessen möchten, um Access Points anzubringen, können Sie hiermit sehr gut bestimmen, wie viele APs benötigt werden, und wo diese am besten angebracht werden müssen. Sobald der Pegel in den orangefarbenen Bereich abfällt, ist eine 11Mbps-Verbindung nicht mehr zwingend verfügbar. Von daher sollte man hier in den Bereich eines weiteren Access Point gelangt sein, damit ein Roaming zu einem stärkeren Sender stattfinden kann. Abb. 6: Link Status Meter Keine Verbindung Wenn keine Funkverbindung zustande kommt, schauen Sie, ob die Statusleuchte der Karte grün ist. Oder ist die Karte eventuell nicht richtig eingedrückt? Zeigt das Cisco Utility LSM ein Signal an? Falls nicht, so haben Sie vielleicht verges- sen, mit dem ACU die WEP-Verschlüsselung zu aktivieren oder tatsächlich einen falschen Funknetznamen konfiguriert, der Eintrag muß leer sein oder tsunami - in Kleinschreibung! Prüfen Sie auch, ob eventuell der verwendete WEP-Key nicht mit dem auf dem Access Point übereinstimmt. Über den Menüpunkt Site Survey können Sie einen Restart der Karte bewirken, das könnte eventuell helfen. Nach der Karteninstallation sollten Sie sowieso den Windows-Rechner in jedem Fall neu starten. Befindet sich wirklich ein Access Point in Ihrer unmittelbaren Nähe, indoor bis ca. 30 Meter Entfernung? Oder ist eventuell der Access Point selbst defekt, dann sollten Sie einfach mal einen anderen testen. Falls die Cisco Utilities melden, daß gar keine Karte gefunden wurde, sollten Sie die aktuellste Treiber-Software bzw. Firmware von Cisco herunterladen und installieren. In der nächsten Ausgabe gehen wir auf die Konfiguration des Access Points ein. Aironet 350 Serie Cisco Wireless Komponenten Die Cisco Aironet Serie 350 verfügt über eine Reihe neuer Software-Features, darunter flexible Frequenzbereiche, Load-Balancing, HotStandby-Redundanz und Worldmode-Funktionalität. Um die maximale Reichweite zu erhalten, haben die Client Adapter, Access Points und Bridges eine einstellbare Übertragungsleistung von bis zu 100 Milliwatt. Die Access Points der Cisco Aironet 350 Serie arbeiten mit einer Inline-Stromversorgung über Ether-net. Dadurch wird die Installation vereinfacht. Die Stromversorgung ist mit dem IEEE-Standardentwurf 802.3a kompatibel und arbeitet mit Cisco-Switches der Serien Catalyst 3524-PWR, Catalyst 4006 und Catalyst 6x00 sowie dem Cisco Inline Power Patch Panel. Adaper und Access Points Die Aironet 350 Wireless PC-Cards sind PCMCIA-Karten, die im Notebook eingebaut werden können. Mit dem Wireless-PCI-Adapter hingegen werden normale Desktop PCs an das WLAN angebunden. Als Betriebssysteme werden von beiden Karten Windows 95/98/NT/2000 und XP, Linux und Macintosh unterstützt. Der Wireless Access Point der Aironet 350 Serie ist mit das wichtigste Gerät in einer Cisco Wireless Umgebung. An ihm können Sie alle Clients anmelden. Er sorgt für ein sauberes Roaming, wenn mehrere APs zum Einsatz kommen, oder arbeitet einfach nur als Repeater oder Bridge. Brücken und Antennen Die Workgroup Bridge der Aironet 350 Serie sorgt mit ihrem integrierten Hub für die drahtlose Anbindung von bis zu 8 Rechnern zum nächsten Access Point. Die Wireless Bridges hingegen arbeiten hauptsächlich gebäudeübergreifend. Dabei kommen die externen Antennen zum Einsatz. Es gibt Bridge Antennen mit 1,5 km Reichweite bei 1 Mbps bzw. 480 Meter bei 11 Mbps, und mit 7,4 km Reichweite bei 1 Mbps bzw. 2,3 km bei 11 Mbps. Für größere Reichweite stehen YagiAntennen bis 10,5 km bei 1 Mbps bzw. 3,3 km bei 11 Mbps. Und selbst 40 km Reichweite können über eine leistungsstarke Antenne bei 1 Mbps überbrückt werden, bei 11 Mbps sind es dabei immerhin noch 18,5 Kilometer. 08 Ausgabe 08/2002 40 C TIPS & C ITRIX Printer Management Druckerreplikation bei Metaframe 1.8 für NT 4.0 und Terminal Server Von Hardy Schlink Damit Drucker von mehreren Metaframe Servern in einer Serverfarm repliziert werden, nehmen Sie die Druckertreiber-Installation und die Konfiguration der vorgesehenen Drucker auf einem beliebigen verfügbaren Source-Serve vor. Anschließend werden die angepaßten Registry-Einstellungen aus dem Druckerverzeichnis über alle MetaframeServer kopiert, die eingebunden werden sollen. Testen Sie aber alle replizierten Drucker. I Installieren Sie alle Drucker, die später auf anderen Servern erscheinen sollen, zunächst auf einem “sauberen” Terminal bzw. Metaframe Server, der noch keine Drucker installiert hat. Im Printer Control Panel selektieren Sie nach einem Doppelklick auf Add Printer die Option My Computer und dann den Button Next. Klikken Sie nun auf Add Port, wählen Sie Local Port aus und klicken Sie auf New Port. Als Port-Namen geben Sie an dieser Stelle den UNCPfad zum Printer-Share an, z.B.: \\PrintServer\Printer Sharename. Nun folgt die Auswahl des passenden Druckertreibers. Vergeben Sie auch für den Drucker einen Namen, aber vereinbaren Sie kein Sharing für den Drucker. Anschließend werden Sie aufgefordert, die Terminal-Server Edition CD einzulegen, um den Druckertreiber installieren zu können. Drucker-Einträge Generell werden Registry-Einträge für Druckertreiber in sogenannten Subkeys unterhalb des Pfades HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet \Con trol \Print \Enviroments \Windows NT x86 \Drivers \Version-2 abgespeichert. Drukkertreiber-Felder speichert das System unter %SystemRoot% \system32 \spool \drivers \w32x86 \2 ab. Druckerdefinitionen für My Computer wiederum werden in der Registry unter dem Pfad HKEY_LO CAL_MACHINE \SYSTEM \Cur rentContolSet \Control \Print \Printers eingetragen. Subkey Nach der Installation der Druckertreiber testen Sie alle angelegten Drukker auf ihre korrekte Funktion. Um die Konfiguration nun vollständig abzuschließen, starten Sie den Registry-Editor regedt32.exe auf dem bis jetzt benutzten System und wählen den Key HKEY_LOCAL_MA CHINE \SYSTEM \CurrentCon trolSet \Control \Print aus. Sie selektieren mit der Maus den Subkey P r i n t und wählen im Registry-Menü den Punkt Save key aus. Das System bietet Ihnen nun an, den ausgewählten Subkey in eine Datei zu speichern, der Sie nur noch einen Namen geben müssen, z.B. print.key. Der nächste Schritt ist das Kopieren dieser Datei auf einen weiteren zur Verfügung stehenden File-Server. Vom ursprünglichen Metaframe Server, auf dem die Drukker konfiguriert und die Datei print.key erzeugt wurde, kopieren Sie nun noch das Verzeichnis %SystemRoot% \system32 \spool \drivers \w32x86 \2 auf den File-Server, wo sich nun auch die Kopie der Datei print.key befindet. Drucker replizieren Auf jedem Metaframe-Server, zu dem Sie die Drucker replizieren möchten, 08 Ausgabe 08/2002 41 sind nun weitere Anweisungen durchzuführen. Loggen Sie sich auf dem entsprechenden Metaframe-Server mit Administratorrechten ein und verbinden Sie sich zu dem File-Server, auf dem wir die oben genannten Daten abgespeichert haben. Auf dem Metaframe Server stoppen Sie den Spooler-Service. Nun wird auch hier der Registry-Editor aufgerufen und zum Subtree HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Print gewechselt. Selektieren Sie den Key Print und führen Sie den Menüpunkt Registry / Restore aus. Sie werden nach der Pfadangabe zur Datei print.key gefragt. Nach der Auswahl der entsprechenden Datei erhalten Sie eine Warnung, die besagt, daß Sie beabsichtigen, unterhalb des selektierten Keys Print alle Einstellungen zu überschreiben. Vergewissern Sie sich an dieser Stelle noch einmal, daß Sie im RegistryEditor den richtigen Key ausgewählt haben, in unserem Fall ist es der Key Print. Nach Bestätigung der Meldung mit OK wird der Registry-Editor geschlossen. Als letztes müssen Sie noch das Verzeic hnis% S y s t e m R o o t % \system32 \spool \drivers \w32x86 \2, welches vorher auf einem verfügbaren File-Server gesichert wurde, auf den Metaframe-Server kopieren. Starten Sie nun den Spooler-Service wieder und testen Sie die replizierten Drucker. h HOTLINE NOVELL Pure IP und SLP Teil 2: SLP-Konfiguration auf Server und Client Von Jörg Marx In der letzten Ausgabe hattn wir das Service Location Protokoll mit seinen Begrifflichkeiten und Features erklärt. Diesmal gehen wir auf die Konfiguration des SLP auf Seiten des Servers und des Clients ein. Wo müssen welche Einstellungen vorgenommen werden, um eine fehlerfreie Kommunikation zwischen den einzelnen Komponenten zu gewährleisten. etc\slp.cfg vorgenommen, in die die IP-Adresse des SLP-DA eingetragen wird, jedoch nur Server ohne DA, nicht auf dem Server, auf dem der DA läuft. Die Datei sieht folgendermaßen aus: SLP.CFG ; ; ; ; ; ; ; ; ; ; ; ; HOTLINE S Standardmäßig verfügt ein NetWare 5.1 oder 6.0 Server ja bereits über die SLP-UA und SLP-SA Agenten, hierzu muß an einem Server nichts mehr getan werden. Einen SLP-DA erstellen Sie direkt an der Konsole des NetWare Servers, indem Sie das Modul SLPDA.nlm laden. Anschließend bestätigen Sie alle kommenden Abfragen und erhalten einen funktionsfähigen SLP-DA. Prüfen können Sie das, indem Sie mittels NWAdmin oder ConsoleOne in der NDS nachsehen, ob ein SLP-Container angelegt wurde. In diesem muß sich ein Scope-Objekt befinden und unter diesem Scope-Objekt schließlich sollten sich alle laufenden Pure IP-Services des Netzwerkes als eigenes Objekt befinden. Wenn Sie das alles so vorfinden, läuft Ihr SLP-DA fehlerfrei (vgl. Abb. 1). This is a sample of the slp configuration file. Two types of entries can be made: 1) DA entries, 2) SA Register Filters. The following is an example of a static DA. DA IPV4, 130.1.1.1 The SA Register Filter would be used when the administrator wanted all services of a specific service type being mapped to a single scope. For example, the administrator wanted all “lpr” printers being registered to scope “printer”. DA IPV4, 172.10.1.1 DA IPV4, 172.10.1.2 SLP auf Servern In kleineren Netzwerken reicht es aus, wenn man einen SLP-DA installiert hat. Bei WAN-Verbindungen jedoch oder in sehr großen lokalen Netzen kann es vorkommen, daß mehrere DAs installiert werden müssen.Alle anderen Server im Netzwerk, die nur über einen SA und UA verfügen, benötigen einen Verweis auf den Server mit dem installier ten DA. Dieser wird jeweils in der Datei Abb. 1: SLP Informationen aus der ConsoleOne Optionen Optional haben Sie die Möglichkeit, die Dienste manuell in die Slp.Cfg einzutragen, das würde folgendermaßen aussehen: 08 Ausgabe 08/2002 42 REGISTER TYPE „nwserver.novell“ to SCOPE „DEFAULT“ ; REGISTER TYPE „portal.novell“ to SCOPE „DEFAULT“ ; if Portal Web Services should used REGISTER TYPE „bindary.novell“ to SCOPE „DEFAULT“ ; Bindery services REGISTER TYPE „ndap.novell“ to SCOPE „DEFAULT“ ; use if Server holds a NDS replica REGISTER TYPE „rconsole.novell“ to SCOPE „DEFAULT“; registering Rconsole REGISTER TYPE „srs.novell“ to SCOPE „DEFAULT“ ; use if NDPS Broker Service is loaded Abschließend kann man bei der Konfiguration am Server an der Monitor-Konsole unter Server Parameters / SLP die Scope Unit im Feld SLP Scope List als DEFAULT eintragen. Weitere Parameter im Monitor sind: SLP Cache Timeout = 120 SLP Enable UA Multicast = OFF SLP Register nwserver = ON SLP Maximum WTD = 10 SLP Reset = OFF SLP Scope List = SCOPEUNIT1 SLP Close Idle TCP Connections Time = 300 SLP DA Heart Beat Time = 10800 SLP DA Event Timeout = 15 SLP SA Default Lifetime = 3600 SLP Retry Count = 20 SLP Debug = 20 SLP Rediscover Inactive Directory Agents = 60 SLP Multicast Radius = 3 SLP DA Discovery Options = 1 SLP MTU Size = 1450 SLP Broadcast = OFF SLP auf Clients Damit der Client den SLP-DA Server schnell und einfach findet, muß dieser hier statisch eingetragen werden, dies kann auch automatisch durch den Novell DHCP-Server erfolgen. Die unerwünschte Alternative wäre ansonsten, daß der Client über Multi cast nach einem Server sucht. Um den SLP-DA im Novell Client einzustellen, gehen Sie im Menü auf Service Location und tragen dort die IPAdresse des DA oder eine entsprechende Abb. 2: SLP Settings am Client Scope Unit ein (s. Abb. 2). Wenn Sie den Punkt static aktivieren, werden nur diese Einstellungen verwendet. D.h. wenn die eingetragenen SLP-Server ausfallen sollten, wird auch nicht nach anderen gesucht. General aus (s.Abb. 3). Sie erhalten die Optionen von SLP. Die SLP Times lassen Sie auf den Default-Werten stehen, es sei denn, Sie haben WAN-Verbindungen, wo lange Antwortzeiten auftreten können. Wenn SLP Active Discovery aktiviert ist, wird immer nach einem SLP-DA gesucht. Sobald man Abb. 3: SLP-Parameter am Client die statischen SLPEinträge hinterlegt hat, kann man diesen Punkt auch abschalten, um das Netzwerk nicht mit unnötigen Multicastoder Broadcast-Paketen zu belasten. Wenn der Punkt aktiviert ist, werden sowohl die DAs als auch die SAs kontaktiert. Die SLP Maximum Transmission Unit definiert die Größe der Pakete, die über UDP versendet werden, de-faultmäßig steht dieser Wert auf 1400. Unter SLP Multi cast Radius wird bei aktiviertem Multicast definiert, wie hoch die maximale Anzahl der Subnetze ist, über die der Multicast gehen soll. Der Default-Wert hier ist 32. Mit Use Broad cast for SLP Multicast können Sie zwar den Client von Multicast auf Broadcast umschalten, doch sollten Sie das nicht tun, unsere Empfehlung lautet also OFF. Über die Einstellung Use DHCP for SLP können Sie sich die SLP-Parameter des Clients über einen Novell DHCP-Server übermitteln lassen. Troubleshooting Die Server-Konfiguration können Sie an der Konsole mit dem Kommando display slp services daraufhin überprüfen, welche Services bekannt sind. In einer Liste sollten dazu zahlreiche URLs angezeigt werden, z.B. nwserver, rconsole, smdr, portal, bindery, timesync, ndap, srs usw. Sie können auch eine einzelne Scope Unit mit dem Kommando display slp services / scopeunit name abfragen. Wird dabei nichts angezeigt, sollten Sie versuchen, über den Monitor unter SLP Scope List den vollen Distin guished Name der Scope Unit einzutragen, etwa so: .default.münchen. Am Client Am Client gibt es das Kommando SLPINFO, um den Staus des SLP-Protokolls zu prüfen (s. Abb. 4). In einer DOS-Box bekommen Sie alle wichtigen Informationen zu den Einstellungen des Clients. Dieses Programm verfügt über eine Vielzahl von Optionen, mit denen sich al- Parameter Anschließend gehen Sie auf Advanced Settings und wählen unter Parameter Groups die Option SLP 08 Ausgabe 08/2002 43 h HOTLINE les in Erfahrung bringen läßt, was der Client zum SLP vorhalten kann. Es gibt z.B. das Kommando SLPINFO /d/a, mit dem alle DAs angezeigt werden. Ist deren Status UP, dann stehen diesem Client alle DA-Services zur Verfügung, ist der Status eines DA DOWN, so ist der DA zwar auf dem Client konfiguriert, aber entweder nicht aktiv, oder der Client kann ihn nicht finden. Time Settings Haben Sie ein großes Netzwerk oder WAN-Verbindungen, kann es vorkommen, daß die Client SLP Time Abb. 4: SLP-Info für den Client Settings geändert werden müssen. Hierzu ein Vorschlag. Unter Give Up On Requests to SAs steht der Default auf 15, setzen Sie ihn auf 30. Die Quit Idle Connects lassen Sie auf dem Default von 5 stehen, ebenfalls die SLP Cache Replies auf ihrem vorgegebenen Wert 1, und auch die SLP Default Registration Lifetime belassen Sie auf 10800. Das Wait Before Giving up on DA ändern Sie jedoch vom Default 5 auf 100, während Sie Wait Before Registering on Passive DA wiederum auf dem Wert 2 stehen lassen. MICROSOFT Druckertreiber unter Windows Manuelles Entfernen und Re-Installation Von Hardy Schlink Wenn unter Windows ein Drucker aus dem Druckerordner oder mit Hilfe des Druckermanagers entfernt wurde, so heißt dies noch lange nicht, daß der Druckertreiber von der Festplatte des Systems gelöscht wurde. Im folgenden wollen wir Ihnen zeigen, wie Sie Printer Driver unter Windows entfernen können, auch um korrupte Treiber gegebenenfalls anschließend gleich auszutauschen. HOTLINE W Wenn die Vermutung nahe liegt, daß ein Druckertreiber unter Windows korrupt ist, und es sogar zu Instabilitäten des gesamten Systems kommt, mag es hilfreich sein, einen korrupten Treiber zu entfernen und gleich einen neuen zu installieren. Das UserInterface unter Windows XP stellt uns ein Fea ture zur Verfügung, um Druckerdateien zu löschen. Sie klikken auf Start und anschließend auf Printers and Faxes. Im FileMenü wählen Sie die S e r v e r Properties aus, im Tab Drivers den zu löschenden Druckertreiber und klicken zum Abschluß auf Remove. Fertig! Unter Windows 2000 und seinen Vorgängern benötigen wir jedoch die Hilfe des Registry-Editors. Aus diesem Grund sei vorab ausdrücklich erwähnt, daß dessen inkorrekte Be- Windows 2000 und NT nutzung zu ernsten Problemen führen kann, die schlimmstenfalls zur Neuinstallation des Betriebssystem führen können. Fertigen Sie daher zur Sicherheit zuerst eine Kopie der Registry an. Unter Windows 2000 und NT 4.0 entfernen Sie die Druckertreiber aus dem Druckerordner, unter Windows NT 3.5x mit Hilfe des Druckmanagers. Bei Windows NT 3.5x oder 4.0 aktivieren Sie im Control Panel die Option Services und stoppen den Spooler-Service. Für Windows 2000 Workstations gehen Sie dazu ebenfalls in das Control Panel, doppelklicken auf die Administrative Tools, wählen dann die Option Services und stoppen den Spooler-Dienst.Führen Sie nun den Registry-Editor regedt32. exe aus, und Sie wechseln in den Subkey HKEY_LO CAL_ MACHINE \System \CurrentControlSet \Control \Print \Environmen ts \Windows NT x86 \Drivers \Version-<x>\<Printer 08 Ausgabe 08/2002 44 Driver>. Notieren Sie sich die Werte auf der rechten Seite und schreiben Sie die Dateinamen auf. Nachdem Sie den entsprechenden Drukkertreiber-Key selektiert haben, führen Sie im Menü Edit des RegistryEditor die Funktion Delete aus. Wechseln Sie nun in das folgende Verzeichnis und löschen die Druckertreiber-Dateien, die Sie sich zuvor notiert haben: %System Root% \System32 \Spool \Drivers \<Platform>. In der oben aufgeführten Syntax steht Version-1 für Windows NT 3.5x, Version-2 für Windows NT 4.0 und Version-3 für Windows 2000. <Printer Driver> repräsentiert den Namen des Treibers, den es zu löschen gilt. <Platform> steht hier für die Prozessorfamilien Intel, MIPS, Alpha oder PPC. Ordner löschen Tabelle 1 hilft Ihnen, den richtigen Ordner der jeweiligen Windows-Version herauszufinden, für welche die Druckertreiber installiert wurden. Sollten Sie jetzt nicht in der Lage sein, die Dateien und Ordner laut Tabelle zu löschen, obwohl der Spooler-Service beendet wurde, und erhalten Sie statt dessen eine Fehlermeldung, daß Dateien in Benutzung seien (z.B. Tabelle 1 Ordner w32x86\0: w32x86\1: w32x86\2: w32x86\3: Win40\0: Druckertreiber für Windows Intel Windows NT 3.1 Intel Windows NT 3.5x Intel Windows NT 4.0 Intel Windows 2000 Windows 95 Tabelle 1: Ordner für verschiedene Windows-Versionen Rasddui.dll), so setzen Sie die Start-Art des Spooler-Dienstes auf Disabled. Anschließend starten Sie das System neu und versuchen nun, die entsprechenden Dateien und Ordner zu entfernen. Vergessen Sie aber nicht, die Start-Art des Spooler-Service anschließend wieder auf Automatic zurückzusetzen. Neue Treiber Unter Windows NT 3.5x oder 4.0 wird nun zum Control Panel gewechselt, ein Doppelklick auf Services ausgeführt und der Spooler-Dienst wieder gestartet. Für Windows 2000 Systeme können Sie diese Aktion unter Control Panel / Administrative Tools / Services durchführen. Und da das Stoppen und Neustarten des Spooler-Service nicht ausreichend ist, müssen Sie den entsprechenden Server neu starten. Nun installieren Sie den Drucker erneut. Unter Windows NT 4.0 und Windows 2000 verwenden Sie hierfür den Druckerordner. Windows 3.5x Systeme benötigen hierfür den Druckmanager. Unidriver Sofern die aufgeführten Schritte nicht funktionieren, kann es unter Umständen erforderlich werden, die den einzelnen Druckern zugeordneten Unidriver zu löschen, namentlich Rasdd.dll, Pscript.dll oder Plotter.dll. Ist das Printing Subsystem initialisiert oder benutzt ein anderer Prozeß die Dateien, so werden diese gelockt und können daher nicht vom System entfernt werden. In diesem Fall können die Files aber umbenannt oder das System neu gestartet werden, um die Treiber wieder freizugeben. Wenn Sie feststellen möchten, welcher Unidriver mit einem bestimmten Drucker assoziiert wurde, so bietet sich hierfür die Datei Printer.inf an, welche alle Zuordnungen enthält. Weiterleiten von Nachrichten Sicherlich haben Sie es auch schon erlebt, daß eine eingegangene Nachricht eigentlich für einen Kollegen bestimmt war. Um ihn nun nicht über Telefon informieren zu müssen, bietet uns der David-Server über das Kontextmenü eine bequeme Möglichkeit, die Message entsprechend weiterzuleiten. Zunächst selektieren Sie die entsprechende Nachricht im Eingangsarchiv. Mit Hilfe der rechten Maustaste wird anschließend das Kontextmenü der Message geöffnet und der Punkt Manuell verteilen ausgewählt. Hierauf erscheint ein weiteres Dialogfenster, in dem der gewünschte Empfänger der Message definiert wird. Im Menüpunkt Info für den Empfänger haben Sie die Möglichkeit, einen Kommentar zu hinterlassen, der beim Öffnen der Nachricht automatisch angezeigt wird. Um die Message nun dem gewünschtem Empfänger zukommen zu lassen, schließen Sie die Aktion über den Button Ok ab. Nachrichten sollten aus Sicherheitsgründen intern als Kopie verteilt werden. Einstellungen hierzu finden Sie im Dialogfeld zum Verteilen von Nachrichten. Hier angelangt kann nun zwischen Kopieren und Verschieben von Nachrichten ausgewählt werden. Per Default sind sowohl das Tobit Info Center XP wie auch das konventionelle Tobit Info Center auf Kopieren vorkonfiguriert. Um eine Änderung vorzunehmen, ist lediglich die entsprechende Checkbox zu aktivieren. 08 Ausgabe 08/2002 45 h HOTLINE TANDBERG DATA Streamern auf der Spur DLT VS80 unter ARCserve 6.61 Zu den mißliebigen Erfahrungen der Administratoren gehört es, daß neue Hardware oftmals von bereits installierten Software-Paketen nicht oder unzureichend unterstützt wird. Wie Sie den DLT Streamer VS80 unter der BackupSoftware ARCserve 6.61 für Windows NT4 durch veränderte Parameter in der Registry optimieren, verrät der Tandberg Support. Außerdem sagen wir Ihnen, was es mit dem sogenannten Bulk Erase auf sich hat. D HOTLINE Der neue Tandberg Data Streamer DLT VS80 läuft zw ar unter der Backup-Software ARCserve 6.61 für Windows NT4, doch ist die Performance infolge nicht optimal eingestellter Parameter eingeschränkt. Die Datenübertragungsrate bei DLTStreamern wird nämlich von der eingestellten Blockgröße beeinflußt, für die ARCserve den Standardwert 512 Byte verwendet. Das unliebsame Resultat ist, daß die Übertragungsrate von 180 MByte/min unkomprimiert auf ca. 10 MByte/min sinkt. Durch einen Eintrag in der Registry von NT4 ist die Blockgröße aber zu beeinflussen und die gewünschte Leistung zu erzielen. In die Registry Nachdem der ARCserve-Bandprozeß gestoppt ist, wird mit dem RegistryEditor der Schlüssel \HKEY_LO CAL_MACHINE \SOFTWARE \Com puterAssociates \ARCserve IT \Base \TapeEngine ausgewählt. Der Ordner TapeEngine enthält einen oder mehrere Unterordner DEVICE, von denen einer Daten über den angeschlossenen DLT VS80 enthält. Dort ist folgender Eintrag hinzuzufügen: V a l u e N a m e = D e faultBlockFactor, Data type=Reg_Dword, Data: 7, Hexadecimal. Nach Beenden von Regedit wird der Bandprozeß wieder gestartet. Falls keine Fehler unterlaufen sind, muß die Geräteinformation nun eine Blockgröße von 65536 Byte ausweisen. Damit diese nun auch wirksam wird, muß die Cartridge jedoch vor dem nächsten Backup neu formatiert werden, da die Blockgröße auf dem Band vermerkt wird. Infolge einer Kooperation zwischen Quantum und Tandberg Data übernimmt Tandberg ab sofort den technischen Support für alle Quantum DLT-Laufwerke, einschließlich Reparatur und Austausch. Info zu diesem Service gibt die Tandberg Hotline in Dortmund unter 0231 / 5436142 oder auf EMail- Anfrage an support-de@ tandberg.com. Bulk Erase DLT1- und DLT VS80-Streamer können prinzipbedingt keine Cartridges löschen oder überschreiben, die mit DLT-Formaten 4000, 7000 oder 8000 beschrieben worden sind. Um diese Cartridges dennoch in DLT1- bzw. DLT VS80-Streamern einsetzen zu können, müssen die Cartridges wie- der in ihren ursprünglichen Zustand zurückversetzt werden. Bulk Erase ist dazu die geeignete Methode, um jegliche magnetische Information schnell und komplett von einem Datenband zu entfernen. Dabei wird die komplette Cartridge durch einen starken Elektromagneten gelöscht, ohne daß dazu ein Streamer benötigt wird. Die Methode ist ebenso schnell wie gründlich, das DLTtapeIV-Band enthält nach der Prozedur keinerlei Informationen mehr und kann ohne Einschränkungen in jedem beliebigen DLT-Laufwerkstyp eingesetzt werden. Nicht bei SLR-Bändern! Da die heutigen Datenbänder eine außerordentlich hohe Koerzivität besitzen, sind äußerst starke und entsprechend kostspielige Elektromagnete erforderlich, um die restlose Entmagnetisierung zu gewährleisten. Die Löschung von DLTtapeIV-Bändern wird deshalb von verschiedenen Firmen als Dienstleistung angeboten. Es sei allerdings davor gewarnt, diese Löschmethode bei anderen Bandtypen, etwa bei SLR-Bändern anzuwenden. Die SLR-Bänder enthalten Servo- und Positionierinformationen, die schon bei der Herstellung der Cartridge aufgebracht werden. Nach einem Bulk Erase wären diese Informationen natürlich ebenfalls verschwunden und die Cartridges nicht mehr zu benutzen. 08 Ausgabe 08/2002 46 BINTEC IPSec Client Security für Windows XP Der aktuelle IPSec Security Client von BinTec für Windows PCs ist jetzt auch für Windows XP erhältlich. Die hinsichtlich Speicherbedarf und Performance verbesserte Version wurde unter anderem mit den Public-Key Cryptography Standards PKCS #11, PKCS #12 und PKCS #15 erweitert. Dies erlaubt die Unterstützung von Tokens und anderen persönlichen Identifizierungsverfahren. LAN, Peer-to-Peer und Client-ServerKonfigurationen. Um die Anmeldung für Benutzer zu vereinfachen, werden Tokens unterstützt. Die Anmeldung kann aber auch über biometrische Methoden wie Fingerabdruck oder Iris-Scan erfolgen. PKI-Security Der IPSec Security Client von BinTec bietet sicheren Fernzugriff über ein bestehendes IPSec-Gateway oder direkt zu einem IPSec-fähigen Server und unterstützt nun alle gängigen Windows Versionen bis Windows XP. Die Installation erfolgt über einen Wizard, mit dem die notwendigen Parameter eingegeben werden können. Die Paketfilterfunktion ermöglicht den Aufbau persönlicher Firewalls zum Schutz der Arbeitsplatzrechner vor unerwarteten vorsätzlichen Angriffen. Die Vorgänge der Verschlüsselung und Authentifizierung sind für den Endanwender vollständig transparent, da die IPSec-Technologie Sicherheit auf der Netzwerkebene bietet, die allen Anwendungen auf Internet-Basis gemeinsam ist. Der Anwender verwendet weiterhin die ihm bekannten Anwendungen in gewohnter Weise. Der aktuelle IPSec Security Client von BinTec bietet volle PKI-Unterstützung inklusive lokaler LDAP-Fähigkeit (Lightweight Directory Access Protocol) zum Abruf von Zertifikaten und Certificate Revocation Lists (CRLs). Er unterstützt Protokolle mit Common Certificate Online Enrolment. Authentifizierung Check IPSec Die zentrale Verwaltung der Konfiguration macht Netzwerkadministratoren das Aktualisieren der Sicherheitsrichtlinien im gesamten Unternehmen recht einfach, ebenso wie das Einrichten sicherer Verbindungen. IKE Probing und das mehrschichtige Sicherheitsverfahren ermöglichen das flexible Konfigurieren mehrerer Verbindungen einschließlich Fernzugriff, Über die BinTec Website können Sie prüfen, ob eine Update-Version Ihres IPSec Clients vorliegt. Sie benötigen dazu die Seriennummer, die auf der Verpackung zu finden ist. Falls eine Update-Version vorliegt, bekommen Sie einen Link angezeigt, über den Sie die neue Software herunterladen können:www.bintec.de in der Rubrik Service/Support. D 08 Ausgabe 08/2002 47 cs training direkt an görres h HOTLINE NOVELL FAQs und Facts Tools und Tips der Deutschen Netware FAQ Von Stefan Braunstein Er ist einfach nicht tot zu kriegen, der Norton Commander und auch für NetWare existieren zwei Clones, die auf die lokale DOS-Partition des Servers zugreifen und ohne Zutun eines Clients agieren können. Daneben gibt es weitere Freeware Utilities, die wertvolle Dienste leisten. Stefan Braunstein, der Verwalter der Deutschen Netware FAQ und der Utility-Sammlung NetwareFiles liefert TN-Lesern diesmal aktuelle Tips und viele Tools. O HOTLINE Ob für DOS, Windows 32, OS/2, Linux oder Java-basierend, auf fast jedem Betriebssystem gab und gibt es mindestens eine Implementation des seit über 10 Jahren erfolgreichen Dateimanagers Norton Commander. Auch für NetWare bestehen zwei Clones, die den unschätzbaren Vorteil haben, daß sie auf die lokale DOS-Partition des Servers zugreifen und auch ohne Zutun eines Clients agieren können, zum Beispiel bei Netzwerkproblemen. Der File Commander for Netware von ROLETOSoft (http://www.ro letosoft.com) ist Shareware, bie- Stefan Braunstein, der Verwalter der Deutschen Netware FAQ (www.nwfaq.de) und der Netzwerk-Utility-Sammlung (www.net warefiles.de), liefert TechnikNews-Lesern allmonatlich eine Serie mit Tips, Tricks und Tools rund um Novell NetWare. Sie erreichen den Autor über:www.braun stein.de. TIDs und englischsprachige Informationen sind in der Novell Knowledge Base http:// support.novell.com/search/ kb_index.htm zu finden. Einen direkten Link zur NetWare FAQ haben Sie auch über Technik News online: www.techniknews.de. tet aber im Vergleich zur Freeware ComNETWORK Commander V1.61 einige zusätzliche Features wie etwa den Zugriff auf die NDS Struktur inklusive Paßwortänderung beliebiger NDS Userobjekte. Auf der TN Monats-CD befindet sich die Lite Version des Com NETWORK Commanders mit einigen Einschränkungen gegenüber der Vollversion, die Sie nach einer Registrierung beim Hersteller unter http:// www.comnet work.hu/ccnlm ebenfalls kostenlos erhalten. Commander Clones Abb. 1: ComNETWORK Commander Abb. 2: ROLETOsoft File Commander Beide Programme besitzen keine ausführliche Dokumentation, sondern leider nur eine Beschreibung der Funktionen in einem kurzem Readme bzw. einer Hilfe über die Funktionstaste [F1]. Deshalb möchte ich ein wichtiges Feature des ROLETOsoft Commanders erklären, das sich aus der Kurzbeschreibung nicht erschließt. Man kann per Tastenkombination [ALT]+[F1] bzw. [F2] und der Taste [EINFG] einen Login in die NDS vornehmen und sich deren Struktur inkl. aller Objekte anzeigen lassen, oder sich auch auf einem anderen Server anmelden und diesen dann in 08 Ausgabe 08/2002 48 Abb. 3: Remote-Anmeldung und NDS-Zugriff des ROLETOsoft File Commanders Screenshot zu sehen - über AdRem Free Remote Console kein [ALT]+[F1 ] oder [F2] möglich ist. Hier wird von den Programmen z u s ä t z l i c h ein[SHIFT]+[F1] oder [F2] bzw. ein [STRG]+[F1] oder [F2] benutzt. Beide Programme zeigen übrigens lange Dateinamen im Fenster standardmäßig nur in der 8.3 Schreibweise an, übertragen diese beim Kopieren aber problemlos. Filer NLM Abb. 4: FILER.NLM Abb. 5: Compaq File Manager einem Fenster darstellen. Alle üblichen Dateioperationen sind im folgenden zwischen den beiden Servern möglich (vgl. Abb. 3). Ansonsten sind beide Programme mit den von Norton Commander Clones üblichen Funktionstasten zu bedienen, wobei von RCONSOLE aus oder - wie im Für alle, die der Bedienphilosophie des Norton Commander nichts abgewinnen können, gibt es zwei weitere Freeware Tools. Filer.nlm 1.35 von Christophe Dubois lehnt sich an die Bedienung der Netware-eigenen FILER.EXE an, hat aber wie das Original wegen des einen Fensters Nachteile. Außerdem wird das Programm seit einigen Jahren nicht mehr gepflegt, läuft aber dennoch auch unter NetWare 6 problemlos. Compaq File Manager Das zweite Programm ist der Compaq File Manager, der wiederum eine eigene Bedienung hat. Dateien und Verzeichnisse werden über ein einzelnes Fenster angezeigt, wobei man Dateioperationen durch die TAB-Taste auswählt. Auch hier ist es möglich, sich 08 Ausgabe 08/2002 49 auf einem Remote Server anzumelden. Unklar ist aufgrund der fehlenden Dokumentation, ob es sich tatsächlich um Freeware handelt, aber alle NetWare Tool-Sammlungen im Internet haben cpqfm.nlm so gelistet. Toolbox.NLM Wenn Sie mit Dateimanagern gar nichts zu tun haben möchten, können Sie das Toolbox.NLM von Novell benutzen (URL s.u. ), das der Serverkonsole eine Vielzahl von neuen Kommandozeilenbefehlen beschert. So können Sie mit COPY, MOVE, MKDIR, DEL, FLAG, PURGE und weiteren Befehlen, die unter anderem auch andere Programme oder Java.Applets starten, eine individuelle Anwendung stricken und als NCFBatchdatei abspeichern. Die läuft per CRON.NLM, das ebenfalls bei Novell erhältlich ist, sogar zu gewünschten Zeiten automatisch ab. Es gibt zwei Versionen. Die neuere Etbox7 unterstützt alle aktuellen NetWare Versionen und erfordert eine speicherbare, individuelle Anmeldung am Server. Die ältere Tbox7 hingegen läuft auch noch mit NetWare 3.x und gestattet - immer mit vollen Adminrechten - alle Befehle ohne weitere Anmeldung. Sie finden die Tools bei Novell unter http:// support.novell.com/ servlet/filedownload/pub/ etbox7.exe/, ...tbox7.exe/ und ...cron5.exe/ und auf der TNMonats-CD In meiner Sammlung Netware Tools.de finden Sie vor allem im BereichNLM Utilities weitere Tools, die den Befehlsumfang der Konsole erweitern, so zum Beispiel ZIP/UNZIP-, Shutdown- und PurgeUtilities,grep, sed, cron und andere Portierungen aus der Unix Welt. Sie sind auf der aktuellen TN Monats-CD im Verzeichnis NWFAQ abgelegt, vgl. dort die Tools Info.txt. Exklusiv für unsere Leser gibt es dort im RC.ZIP eine spezielle Trialversion des FileCommanders, die erst am 31.10.2002 abläuft. Diese kann sogar den verfügbaren Speicherplatz von lokalen Laufwerken auslesen p PRAXIS MICROSOFT Do IT Dot NET Teil 5: Commerce Server 2000 Von Patrick Fell Microsoft Commerce Server 2000 ist eine umfassende, integrierte Lösung, die sofort einsatzbereite Features und Tools bietet, mit denen eCommerce-Anwendungen für das Web recht schnell entwickelt, bereitgestellt und verwaltet werden können. Mit Commerce Server lassen sich firmenspezifische, skalierbare Anwendungen für Business-To-Consumer(B2C) und Business-To-Business-Sites (B2B) erstellen. PRAXIS C Commerce Server ermöglicht Unternehmen auf einfache Weise, hochdynamische personalisierte eCommerce-Sites zu realisieren, die die Kundenzufriedenheit optimieren und zu regelmäßigen Käufen anregen. Um sich erfolgreich im Markt zu behaupten, können die Unternehmensvorgänge analysiert und in einer Echtzeit-Feedbackschleife auf die sich wandelnden Bedürfnisse von Kunden und Partnern angepaßt werden. Wir werden uns hier zwar nicht um die Erstellung von Sites kümmern können, da dies zu firmenspezifisch wäre. Aber wir werden Ihnen die vielfältigen Tools und Features des Commerce Server vorstellen (vgl. Tabelle 1), die harmonisch zusammenarbeiten, um Merchandising, Kataloganzeige, Kundendienst sowie Auftragserfassung und -bestätigung anbieten zu können. Wir wollen auf die Servermaschine inkl. der Tools eingehen und danach eine Übersicht über die Commerce Server-Architektur geben. Denn diese besteht aus fünf Hauptsystemen mit differenzieren Features, um eCommerce-Anwendungen zu implementieren, zu administrieren und zu optimieren: dem Business Analytics System, dem Produktkatalog, der Zielgruppen-Adressierungsystem, dem Profilsystem und der Geschäftsprozeß-Pipeline. Verwaltungstools Nach der Installation stehen für die Administration der Commerce Ser- ver-Manager und der Commerce Server Site Packager zur Verfügung. Sie stellen reine Commerce Server-Komponenten dar, die für die Konfiguration, die Verwaltung und Anpassung des Systems entscheidende Bedeutung haben. Server-Manager gens nicht zur Verwaltung von Site Server 3.0 oder dessen Commerce Edition (SSCE) eingesetzt werden. Site Packager Als ein Bereitstellungstool dient der Commerce Server Site Packager (s. Abb. 2). Mit ihm können Sie Ihre Site und deren Anwendungen und Ressourcen in eine einzige Datei packen, um sie in eine andere Umgebung zu verschieben, einschließlich der Einstellungen der IIS-Metabasis, des Dateisystems, der Verwaltungsdatenbank und der SQL Server-Datenbanken. Mit dem Site Packager können Sie die Commerce Server-Site oder Teile davon auf anderen Computern entpacken, beispielsweise um sie nach dem Entwickeln oder Aktualisieren Zur Administration der Commerce Server Ressourcen, Sites, Anwendungen und Webserver dient der Commerce Server-Manager (s. Abb. 1). Er bietet ein gemeinsames Framework zur Verwaltung unter einer einheitlichen Oberfläche. Die Microsoft Management Console (MMC) dient als Host für den Commerce Server-Manager. Seine Funktionen stehen weder über web- noch über befehlszeilenbasierte Verwaltung Abb. 1: CS Server Manager Konsole zur Verfügung. Der Zugriff und die Manipulation des Großteils dieser Funktionen erfolgt statt dessen über COM-Objekte. Daher können Sie zur Erweiterung der Verwaltungsumgebung ein WSH-Skript (Windows Scripting Host) oder eine Active Server Page (ASP) schreiben. Der Commerce ServerManager kann übri- 08 Ausgabe 08/2002 50 Volumen des Datenverkehrs der WebSite u.U. aber strengere Anforderungen an den Webserver stellen. Tabelle 1 Software Abb. 2: Commerce Server Site Packager von der Entwicklungs- zur Testumgebung und anschließend zur Produktionsumgebung zu verschieben. In den meisten Fällen wird der Site Packager nur zur ersten Bereitstellung einer Site eingesetzt. Für inkrementelle Aktualisierungen und Rollbacks sollten Sie lieber Microsoft Application Center 2000 oder ein anderes Content Management-Produkt verwenden. Hardware Für den Commerce Server, die Verwaltungstools und den Business Desk Client gelten folgende Mindestanforderungen an die Hardware, wobei CD-ROM, VGA- oder besser SVGA-Monitor selbstverständlich sind. Commerce Server 400 MHz Pentium-kompatible CPU 256 MB RAM (128 Entwicklungsumgebung) 100 MB freier Festplattenspeicherplatz CD-ROM-Laufwerk Verwaltungstools 266 MHz Pentium-kompatible CPU 128 MB RAM 20 MB freier Festplattenspeicherplatz Business Desk Client 266 MHz Pentium-kompatible CPU 128 MB RAM 5 MB freier Festplattenspeicherplatz In der Produktionsumgebung wird das Vor der Installation von Commerce Server 2000 müssen Sie die unten aufgeführte Software auf Ihrem Server in der dort angegebenen Reihenfolge installieren. Die Hotfixes gelten für Windows 2000 Server, Advanced Server und Professional. Zusätzlich muß eine Installation von SQL Server 2000 oder SQL 7.0 vorhanden sein, auf die der Commerce Server im selben Netzwerk zugreifen kann (s. unten). Und auch der Business Desk Client benötigt noch zuvor einige Softwareinstallationen. Die Anforderungen für Commerce Server, SQL Server und den Business Desk Client sehen wir folgt aus. Commerce Server 1. Windows 2000 oder Advanced Server. (Anm.: Wollen Sie nur die Verwaltungstools oder die Hilfe installieren, ist dies auch auf Windows 2000 Professional möglich.) 2. Windows 2000 Server SP 2 3. Microsoft Windows 2000-Hotfixes Der Commerce Server Direct Mailer muß auf demselben Computer wie SQL Server installiert sein. SQL Server 2000 Clienttools Analysis Services Clienttools für Analysis Services SQL Server 2000 enthält Microsoft Data Access-Komponenten 2.6. SQL Server 7.0 Clienttools SQL Server 7.0 mit Service Pack 2 OLAP Services mit Service Pack 2 OLAP Add-In-Manager OLAP Server-Clienttools MDAC 2.6 Business Desk Client Windows 98, ME, NT 4.0 oder 2000 Internet Explorer 5.5 Microsoft Office-Webkomponenten oder SQL Server 2000-Clienttools Nachdem wir die Systemvoraussetzungen kennengelernt haben, werden wir beim nächsten Mal die Commerce Server-Architektur vorstellen und ihr Verhältnis zum Internet Information Server 5.0 erläutern. 08 Ausgabe 08/2002 51 Produktkatalogsystem Erstellung und Aktualisierung von Produktkatalogen, mit Importfunktionen für andere Datenquellen (u.a. im XML- oder CSV-Format) und Export im XML-Format. Austausch von Katalogdaten mit Lieferanten über BizTalk Server 2002 Hinzufügen von Suchfunktionen für die Benutzer, um Produktkategorien, Freitexte oder Preise auffindbar zu machen. Drilldown-Suche verfeinert die Anforderung. Erstellen von benutzerdefinierten Katalogen mit Sonderpreisen für bestimmte Gruppen und Preisnachlässen für bestimmte Produkte Berichte mit Verkaufszahlen Profilsystem Verwalten von Benutzern und Organisationen und Profilerstellung, Web-Site, User- und - Transaktionsanalyse Erstellen von angepaßten Zielausdrücken, gezielten Werbe-, Preisnachlaß- und Direktsendungskampagnen Business Analytics System Import und Verwalten großer Datenmengen in das Datawarehouse Site-Analyse und Berichte mit Identifizierung von Benutzergruppen, um Waren oder Inhalte zielgruppengerecht anzubieten oder Trends für neue Kundensegmente zu ermitteln Cross-Selling-Funktionen und dynamische Produktempfehlungen Zielgruppen-Adressierungssystem Personalisieren von Einkaufserlebnissen mit gezielten Produktangeboten und optimierten Inhalten für bestimmte Benutzer Erstellen und Analysieren personalisierter Preis-, Direktmarketing- und Werbekampagnen, besuchsabhängiger und kaufbezogener Angebote konkurrierende Anzeige auf verschiedenen Seiten Berechnen der Anzeigenpreise nach Anzahl der Anforderungen oder Klicks und nach Art der Seite Geschäftsprozeß-Pipelines Anpassen der Auftrags-, Zielgruppenadressierungsund Merchandising-Prozesse Definieren von Phasen eines Geschäftsprozesses und deren Verknüpfung Tabelle 1: Features des Commerce Server 2000 p PRAXIS NORTEL NETWORKS Secure Web Switching Teil 2: Alteon Ethernet Web-Switch 180 Mit neun Gigabit-Ports empfiehlt sich der Alteon 180 Ethernet Web-Switch für hochleistungsstarke Web-ServerFarmen und die Aggregation von 10/100/1000 Mbps Ethernet. Unter Hinzufügung des Web OS Internet-Verkehrsmanagements verfügt der Alteon 180 über leistungsstarke Funktionen zur Verkehrskontrolle, einschließlich lokaler und globaler Server-Lastverteilung, Anwendungsredirektion und Paketfilterung. Zudem unterstützt er inhaltsintelligentes Switching wie URL-gestützte Redirektion und Load Balancing. PRAXIS M Mit einer SwitchingBandbreite von insgesamt acht Gigabit leitet der Alteon 180 fünf Millionen Pakete à 64 Bytes pro Sekunde weiter. Jeder seiner mit 10/ 100 oder 1000 Mbps operierenden Ports ermöglicht einen 100prozentigen Wirespeed-Durchsatz. Ein Switching-ASIC an jedem Port umfaßt eine Layer-2-Switching Engine und doppelte 32-Bit-RISC-Prozessoren für Session-Switching-Dienste. Der Alteon 180 kann Web-Sessions mit Höchstgeschwindigkeiten schalten und ist einer Lastverteilung von bis zu 200.000 Sessions pro Sekunde mit mehrfachen Servern gewachsen. Sowohl das 10/100 Mbps- als auch das 1000 Mbps-Interface kann zur physikalischen Redundanz auf einem Dual-Speed-Port an entsprechende Interfaces auf einem dezentralen Alteon 180 angeschlossen werden. Der Alteon 180 designiert automatisch das Interface mit der höheren Geschwindigkeit als das aktive Interface und gewährleistet ein zuverlässiges Failover zwischen den Interfaces innerhalb einer Sekunde. High Peformance Ethernet-Frames aller Größen, einschließlich sogenannter Jumbo- Frames mit bis zu 9.000 Bytes, können automatisch und transparent weitergeleitet werden, um den Durchsatz auf CPU-gestützten Systemen zu steigern, besonders bei Server-Backups, Datenreplikation und der Kommunikation zwischen den Frontends der Anwendungen und NFS-Servern. Das IP-Switching im Alteon 180 gewährleistet Flexibilität in den verschiedensten Topologien. Der Alteon 180 unterstützt RIP v1, statisches Routing und zwei Standardroutes mit Funktionsprüfungen. Route-Aktualisierungen können auf Portbasis abgerufen werden und vermeiden somit unnötigen Datenverkehr. Der Switch erlernt und speichert bis zu 800 IP-Adressen im Cache und erlaubt somit ein direktes IP-Switching für lokal angeschlossene Netzwerke. Routing zwischen VLANs oder IP-Teilnetzen im Wählnetz ohne externen Router sind möglich. Mit den Frame TaggingFunktionen nach IEEE 802.1Q unter- stützt der Alteon bis zu 256 netzwerkweite VLANs je Port. Dadurch kann der Datenverkehr aus mehreren virtuellen Netzen oder IP-Teilnetzen über einen einzelnen 10/100- oder einen 1000-Mbps Port mit einem anderen Server laufen. Der 180 ermöglicht das automatische Einfügen und Entfernen von Frame Tags und damit eine transparente Interoperation mit Geräten, die nicht mit IEEE 802.1Q konform sind. Die Filterfunktionen bieten weitreichende Möglichkeiten zur Kontrolle des Datenverkehrs im Netzwerk. Netzwerkadministratoren können Pakete herausnehmen oder weiterleiten, je nach Anwendung, Protokoll, IPQuell- oder Zieladresse. Bis zu 224 Filterregeln können je Switch erstellt werden, wobei beliebige Regelkombinationen auf unterschiedliche Ports angewandt werden können. Load Sharing Die neue URL-gestützte Web-CacheRedirektion und Server-Lastverteilung des Alteon 180e bzw. 184 optimiert Cache-Server- und WebFarmen, indem sie Anfragen mit spezifischen URLs oder übereinstimmende URL-Teilzeichenketten zu 08 Ausgabe 08/2002 52 dem vorgesehenen Cache oder WebServer schickt. Inhaltsregeln können für jeden Web-Switch eingestellt werden, die eine Server-Abstimmung erlauben, indem sie statische und dynamische Inhaltsanfragen via URL syntaktisch analysieren. Der Alteon 180 unterstützt L2-, L3und L4-Trunk-Gruppen und ermöglicht somit die Link-Level-Redundanz und ein Load Sharing mit Routern und Switches. Wenn ein Link in einer Trunk-Gruppe ausfällt, wird der Datenverkehr in weniger als einer Sekunde über die anderen Trunks geleitet. Mit Web OS (vgl. TN 7/2002) verfügt der Alteon 180 über Erfassungsund Lastverteilungsfunktionen für Anwendungs-Sessions bei mehreren Servern für beliebige TCP-, UDP- oder IP-gestützte Anwendungen. Die SLBFunktionen liefern praktisch unbegrenzte Serverkapazitäten an einem und mehreren, geographisch verteilten Standorten. Die Leistungssteigerung durch Hinzufügen weiterer Server ist linear. Durch die FunktionsÜberwachung einzelner Server und Anwendungen entsteht eine hohe Service-Verfügbarkeit. Die Redirektion der Anwendungen mit dem Alteon 180 ermöglicht die Verwendung von transparenten WebCaches und die Lastverteilung von Firewalls oder Routern. Management Mit den Alteon-Switches 180e und 184 können Bandbreitenausnutzung nach Client oder Server-Farm, nach virtuellem Service und Anwenderprogramm, nach Benutzerklasse, Inhaltstyp und vielen anderen Verkehrsklassen gemessen, kontrolliert und abgerechnet werden, indem eine Auswahl von Attributen der Layer 2 bis 7 verwendet wird. Bandbreiten-Policies, bestehend aus drei Bandbreitenraten, können jeder Tarifklasse zugeordnet werden. Diese Raten enthalten eine sogenannte Committed Information Rate (CIR), welche die garantierte minimale Bandbreite ist, eine weiche Abgrenzung, die mißt, wann Bandbreite verfügbar ist, und eine harte Burst Rate, welches die maximale Stoßrate ist. So entsteht ein abgestuftes Bandbreiten-Management für Quality of Service. Netzwerkadministratoren können alle Switch-Funktionen mit einem standardmäßigen Web-Browser, SNMP-Anwendungen und CLI über den Port der Konsole oder über Telnet konfigurieren und überwachen. Der Alteon 180 unterstützt ein privates MIB und vier RMON-Gruppen auf jedem Port. Mit Port-Duplizierung kann die Switch- und Server-Leistung analysiert werden. Das Management-Interface des Alteon 180 ist unter HPUX, Solaris und Windows NT mit HP OpenView 5.0 integriert. COMPU-SHACK Alteon Service Als zertifizierter Nortel Alteon Partner stellt Compu-Shack das komplette Dienstleistungsangebot für Alteon Lösungen zur Verfügung. Mit dem Know-how ihrer zertifizierten Alteon Spezialisten ist die Compu-Shack Solution in der Lage, die Optimierungsanforderungen moderner Netzwerke zielgenau und lösungsorientiert abzudecken, vom Consulting bis zur Implementation und dem nachfolgendem technischen Support. Produktinformation Unterstützte Standards - Spanning Tree (IEEE 802.1d) - Logical Link Control (IEEE 802.2) - Flußkontrolle (IEEE 802.3x) - RMON, SNMP - IP, RIPv1, TFTP (RFC 783) - BootP (RFC 1542, RFC 951) - Telnet (RFC 854) 1000BASE-SX Ports - Vollduplex Gigabit Ethernet - SC-Glasfaseranschluß - Kurzwelle (850 nm) - 62,5 µm MM-Glasfaser 0,2 bis 275 m - 50 µm MM-Glasfaser 0,2 bis 550 m 10BASE-T/100BASE-TX Ports - 10/100 Voll- oder Halbduplex - Autonegotiation - RJ-45-Anschlüsse für UTP-Ports L2/L3-Support - 802.1Q (256 VLANs) - Jumbo-Frames (alle Ports) - 802.1d Spanning Tree - 4K MAC-Adressen je Port und 8 K je Switch - IP-Switching, 256 IP-Interfaces - 4 standardmäßige Routen mit Load Balancing und automatischem Failover - IP-gestütztes Trunking RS-232C Konsole - DB-9 serieller Anschluß, Buchse - DCE-Interface 08 Ausgabe 08/2002 53 Support Team 02631-983-988 support@compu-shack.com Optimierung Für Kunden, die sich nicht sicher sind, welches Optimierungspotential in ihrer Netzwerkumgebung steckt, bietet das Projekt-Team eine dezidierte Analyse der Systemumgebung. In Workshops vor Ort können gezielte Lösungen zur Steigerung der Profitabilität erarbeitet werden. Die Alteon Spezialisten der Compu-Shack Solution wappnen das Netzwerk für die E-BusinessAnforderungen der Zukunft. Projekt Team 02631-983-345 projekte@compu-shack.com Eine Broschüre zu den Alteon Dienstleistungen können Sie kostenlos anfordern, auf der Bestellkarte in der Heftmitte oder im CompuShack Fachhandelsportal unter http://portal.compu-shack.com. v VORSCHAU WORKSHOPS - ROADSHOWS - SEMINARE Live Hacking Sessions Security Learning Cycle Die erfolgreichen Live Hacking Sessions der Compu-Shack Solution führen geradewegs in die okkulte Welt der subversiven Cyber-Angriffe und zeigen die aktuellen Gefahrenpotentiale im Netzwerk auf. Aufgrund des regen Interesses an praxisnahem Network Security-Know-how werden weitere Termine im Spätsommer angeboten. Eine Reservierung lohnt angesichts der regen Nachfrage jetzt schon. I Innerhalb ihrer Security Learning Cycles demonstriert Compu-Shack in eindrucksvollen Live Hacking Sessions die gängigen Praktiken und Angriffsszenarien von Hacker-Attakken. Denn Network Security ist zu einem existentiellen Thema geworden, bei dem die Projekt-Mitarbeiter der Compu-Shack Solution Unternehmen und Fachhandelspartner intensiv beraten und praxisnah unterstützen. Die Teilmnehmer werden die subversiven Strategien von Hackern bei Netzwerkattacken kennenzulernen. Compu-Shack hat dazu abermals den Linux-Fachmann Mark Semmler gewonnen. Zusammen mit Security Spezialisten der Compu-Shack Projektabteilung, führt er die Vorgehensweise und das Psychogramm der Angreifer aus den Dunkelzonen des Internet anschaulich vor Augen. Wei- tere Veranstaltungen sind für den 24. September in Dortmund und den 8. Oktober in Leipzig vorgesehen. Im Oktober kommen die “Live-Hacker” auch nach München. Gefahrenpotentiale Die Angreifertypen und Angriffsmotive sind vielfältig. Sie reichen von der unbefugten Nutzung von Ressourcen, Bandbreiten oder Speicherplatz bis zur Sabotage, Denial of Service Attacken oder dem Verfälschen und dem Diebstahl von Daten. Die Live Hacking Sessions zeigen, wie Script Kiddies, Amateur-Hacker und Profi-Angreifer ihr Unwesen treiben. Und auch das Gefahrenpotential durch Manipulation aus den Reihen der eigenen Mitarbeiter ist Gegenstand der Sicherheitsanalyse. Aus Konfigurationsfehlern, Nachlässigkeit bei der Administration, Programmierfehlern und der Kommunikation über unverschlüsselte Netzwerkprotokolle resultieren ernsthafte Gefahren. Zur Analyse kann beispielsweise ein dreistufiges Scan-Paket genutzt werden, ein Internet Security-Service der Compu-Shack Solution, der den differenzierten Sicherheitsanforderungen gerecht wird. Eine Online Anmeldung für die Live Hacking Sessions finden Sie unter www.compu-shack.com. Interessenten, die an projekte@ compu-shack.com schreiben, können sich bereits vormerken lassen. Und auch Fragen zum Scan-Paket und zum aktiven Schutz gegen Hacker-Attacken beantwortet das Projekt-Team der Compu-Shack Solution unter 02631-983-245. Netzwerk-Know-how: Highlights ab September 2002 Kursbezeichnung Installationstechniken im Windowsumfeld (WS) Systemprogrammierung unter Linux Termin 30.09.2002 29.10.2002 MS WS .NET Serv 13.09.2002 18.10.2002 02.12.2002 MS WS DNS 13.09.2002 29.11.2002 MS WS Migr 14.10.-15.10.2002 04.11.-05.11.2002 MS WS PKI 30.10.-31.10.2002 09.12.-10.10.2002 MS WS XP 26.09.-27.09.2002 30.10.-31.10.2002 MS 2150 16.09.-20.09.2002 23.09.-27.09.2002 Lin Sysprogram 23.09.-27.09.2002 Veranstaltungsort München Neuwied Neuwied München Neuwied München Neuwied Neuwied München Neuwied München Neuwied München München Neuwied München NetWare 5 to NetWare 6 Upgrade NV 3000 Cisco Secure Virtual Private Network Cis VPN Potsdam Neuwied München Neuwied Alle genannten Preise gelten zuzüglich der gesetzlichen Mehrwertsteuer. Das aktuelle Trainings-Programm finden Sie unter www.training.compu-shack.com, persönliche Beratung unter: 02631-983-317 oder per e-Mail an training@compu-shack.com. Tages-Workshop: Microsoft .NET Server VORSCHAU Tages-Workshop: Microsoft DNS 2-Tage-Workshop: Von NT 4.0 zu Windows 2000 2-Tage-Workshop: Public Key Infrastructure 2-Tage-Workshop XP-Professional Stationen Designing a Secure Microsoft Win 2000 Network Kurs-Nr. MS WS Install 16.09.-20.09.2002 23.09.-27.09.2002 24.09.-27.09.2002 28.10.-31.10.2002 Preis 299,- € 299,- € 299,- € 499,- € 499,- € 499,- € 1.850,- € 1.660,- € 1.850,- € 2.040,- € 08 Ausgabe 08/2002 54 MESSEN, ROADSHOWS, SEMINARE N 09 No 09/2002 Thema des Monats September TECHNOLOGIE UPDATE .NET SERVER Neue Features, Active Directory und DNS Von Jeannette Saebisch Dot NET ist das neue Zauberwort in der MicrosoftWelt. Wir hatten bereits über die Philosophien gesprochen und sind dabei, die neuen Technologien, die dahinter stehen, vorzustellen. Mit dem eigentlichen Betriebssystem, dem .NET Server, wollen wir uns im kommenden Schwerpunkt-Artikel beschäftigen. Denn für viele stellt sich die Frage, ob eine Aktualisierung auf .NET wirklich notwendig ist, gerade dann, wenn eben erst ein Upgrade auf Windows 2000 stattgefunden hat. Um diese Entscheidung zu erleichtern und Ihnen erste Kriterien für eine Migrations- Praxis: planung zu geben, werden wir uns im Überblick anschauen, welche neuen Features und Verbesserungen der .NET-Server mit sich bringt. In annähernd allen Bereichen hat es Änderungen gegeben, angefangen bei den Netzwerkdiensten wie DHCP und WINS über RAS und Routing bis hin zu den Certificate Services. Wir wollen ein besonderes Augenmerk auf die Bereiche Active Directory und DNS legen. Das Active Directory - als zentrale Bereich einer MicrosoftUmgebung - hat, wie zu erwarten, wichtige Funktionen hinzugewonnen, die für eine .Net-Entscheidung maßgebend sein können. Besonders erfreulich ist dabei die Entwicklung innerhalb der Group Policy Tools. Ebenso stellt DNS einen zentralen Kern- und Angelpunkt dar, den wir uns genauer anschauen wollen. Grundlage unserer Betrachtung war die aktuelle Beta3-Version des .NET-Servers, die zwar noch viele überraschende Tücken mit sich bringt, aber dennoch die wesentlichen Verbesserungen anschaulich präsentiert! Die Familie der Windows .NET-Server soll Anfang 2003 in der Endfassung veröffentlicht werden. WLAN Security: Do it Dot NET, Teil 6: Secure Web Switching Teil 3: Avaya Wireless Microsoft Commerce Server Alteon CacheDirector Computer Associates hat neue Trial-Versionen zu eTrust InoculateIT, BrightStor ARCserve 7 for NetWare und zur Workgroup- bzw. Advanced-Edition von BrightStor ARCserve 2000 herausgegeben. Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Im Compu-Shack Fachhandelsportal unter http:// portal.compu-shack.com finden Sie alle verfügbaren Compu-Shack Kataloge, Printmedien und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services, u.a. zu Nortel Alteon oder Networking Security. Interessante Downloads der Compu-Shack Solution befinden sich unter: www.training.compu-shack.com. im Bereich Downloads. Ausgewählte Termine 04.-06.09.02 12.09.2002 13.09.2002 13.09.2002 30.09.2002 08.10.2002 14.-18.10.2002 19.-21.11.2002 Linux Kongress CS Security Learning Cycle: Live Hacking Session CS Workshop: Microsoft DNS CS Workshop: Microsoft .NET Server CS Workshop: Microsoft Windows Installationstechniken CS Security Learning Cycle: Live Hacking Session Systems 2002 exponet Cologne 2002 08 Ausgabe 08/2002 55 Köln Dortmund München Neuwied München Leipzig München Köln production anzeige 08 Ausgabe 08/2002 56