Optimierung von Administrationsprozessen in einem heterogenen Netzwerk mittels Active Directory

Inhaltsverzeichnis

Kapitel 1 Einleitung
1. Zielsetzung der Arbeit
2. Aufbau der Bachelor Thesis

Kapitel 2 Dokumentation des Firmennetzwerkes
1. Beschreibung der Netzwerkstruktur
2. Visualisierung des Firmennetzwerkes

Kapitel 3 Analyse der Administrationsprozesse
1. Implementierung einer spezifischen Berechtigungsstruktur
2. Virtualisierung unterschiedlicher Systemkonfigurationen

Kapitel 4 Potentialanalyse aktueller Monitoring- u Verwaltungstools
1. Frühwarnsystem
1.1. E-Mail Benachrichtigung über auftretende negative Event-Logs
1.2. Auswertung des Exchange Server Logs
2. Evaluierung der Monitoringsoftware WhatsUp

Kapitel 5 Optimierung des Administrationsaufwandes mit Hilfe des Active Directory
1.Active Directory in Windows Server 2003
1.1. Aufbau des Active Directory
1.2. Modelanalyse für LOCOM.
1.3. Definition der Gruppenrichtlinien
1.4. Delegation
1.5. Softwareverteilung
1.5.1. Microsoft Outlook 2003
1.5.2. Adobe Acrobat Reader 7.0.7
1.5.3. Microsoft Office 2000
2. Distributed File System - DFS
3.SharePoint Services 2.0
3.1. Allgemeine Einsatzmöglichkeiten
3.2. Einsatzmöglichkeit bei LOCOM

Kapitel 6 Ausarbeitung von zukunftsorientierten Lösungsansätzen mit SAN (Storage Area Network)
1. Beschreibung von einem Storage Area Network
1.1 Visualisierung einer SAN-Architektur
1.2 Storage-Strategien.
2. Einsatzmöglichkeiten von SAN im Unternehmen
3. Kostenaufwand für LOCOM

Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Anhang

Danksagung

Diese Arbeit wäre nicht möglich gewesen ohne die Mithilfe diverser

Mitmenschen.

Ich möchte mich ganz herzlich bei Herrn PROF. DR. Lothar Gmeiner von der Fachhochschule Karlsruhe Fakultät für Informatik für seine Unterstützung und Betreuung bei dieser Arbeit bedanken.

Für die intensive Betreuung, die angenehmen Arbeitsbedingungen und die Unterstützung bei der Auswahl des Themas bedanke ich mich besonders bei Armin Krieg und der Firma LOCOM Software und Consulting GmbH.

Ein riesengroßes Dankeschön geht an meine Eltern Evi und Günther Weiß ohne die das Informatik Studium nur schwer möglich gewesen wäre.

Vielen Dank auch an alle meine Kommilitonen und speziell Freundin, die mich während des Studiums und ganz besonders während dieser Bachelor Thesis angespornt und bei Laune gehalten hat, wenn die Motivation einmal nachließ.

Kapitel 1 Einleitung

Die Firma LOCOM GmbH wurde 1988 gegründet und ist in Karlsruhe ansässig.

Abbildung in dieser Leseprobe nicht enthalten

Der Schwerpunkt vom Teilbereich „LOCOM Consulting“ liegt in der strategische Planung und der Implementierung von Supply Chains. Im Teilbereich „LOCOM Software“ werden Systeme und Lösungen für das Transportmanagement und die Supply Chain Planung entwickelt.

Der Geschäftsbereich Consulting implementiert Kundendaten in die eigens entwickelten Softwareprodukte. Dies ist sehr datenintensiv und stellt an die Infrastruktur hohe Anforderungen. Weiterhin findet bei LOCOM eine projektbezogene Softwareentwicklung für viele renommierte Unternehmen statt. Dies bedeutet für den Systemadministrator im Hause eine ständige Anpassung der Infrastruktur.

1. Zielsetzung der Arbeit

Das Ziel der Bachelor Thesis ist die Bearbeitung von fünf Teilaufgaben mit denen sich ein Systemadministrator auseinandersetzt. Zunächst wird eine Dokumentation der gesamten Netzwerkstruktur erstellt, um einen Überblick über das Netzwerk zu erhalten. Als nächstes folgen die Analyse der Administrationsprozesse und die Verifizierung der aktuellen Monitor- und Verwaltungstools. Die größte Priorität in der Thesis basiert auf dem Active Directory. Dazu werden mögliche Lösungsansätze für die Softwareverteilung und Delegation ausgearbeitet. Unter Einsatz dieser Verfahren bietet Active Directory eine noch höhere Effizienz und Effektivität. Der Abschluss dieser Thesis bildet die Ausarbeitung von zukunftsorientierten Speicherlösungen. Dazu wird die Technologie eines Storage Area Network geprüft.

2. Aufbau der Bachelor Thesis

Zunächst wird im Kapitel 2 eine Darstellung über den Stand der Technik des Firmen-netzwerkes von LOCOM aufgezeigt. Hierzu wird die Vernetzungsgeschwindigkeit des LANs beschrieben und im Anschluss folgt eine ausführliche Dokumentation des Firmennetzwerks. Der Leser soll einen Überblick über das gesamte Netzwerk der Firma LOCOM erhalten. Es sind alle Server, Clients und sonstigen Netzwerkkomponenten registriert.

Kapitel 3 befasst sich mit der Analyse von zwei Administrationsprozessen, mit dem Ziel, die Arbeit des Systemadministrators zu erleichtern. Die Implementierung einer spezifischen Berechtigungsstruktur soll mit einem Geschäftsprozessdiagramm auf Optimierungspotential hin untersucht werden. Weiterhin findet eine Virtualisierung unterschiedlicher Systemkonfigurationen statt, um die physischen Rechner zu substituieren.

Im Kapitel 4 erfolgt eine Potentialanalyse der aktuellen Monitoring- und Verwaltungstools. Hierbei wird nach Lösungsansätzen ermittelt, die effizienter als die bereits eingesetzten Tools sind. Gegebenenfalls wird die ermittelte Lösung in das bestehende System implementiert.

Die Hauptpriorität dieser Bachelor Thesis liegt im Kapitel 5 in der Einarbeitung, sowie effektiven Nutzung des Active Directorys und den dazugehörigen Tools, wie Distributed File System und SharePoint Services 2.0. Da die Fähigkeit von Active Directory zurzeit nur in sehr geringem Umfange genutzt wird, soll zunächst ein Modell des Active Directory geplant werden. Nach Umsetzung der Architektur, wird nach Methoden für die Richtlinien- und Delegationsvergabe gesucht. Diese werden im weiteren Verlauf den Active Directory-Objekten entsprechend zugewiesen.

Nach der Entwicklung der Active Directory Struktur, soll in Zukunft die Software-verteilung ausschließlich über das Active Directory organisiert werden. Hierzu findet ein Versuchsaufbau statt.

Im Rahmen dieses Kapitels wird weiter geprüft, ob sich die Datenorganisation mittels Distributed File System (DFS) über das Active Directory nach den Vorstellungen des Systemadministrators realisieren lassen. Ein weiteres Tool dessen Einsatz-möglichkeit geprüft wird ist SharePoint Services 2.0. Dadurch sollen Programm-updates oder sonstige Bekanntmachungen für die Kunden von LOCOM veröffentlicht werden. Der Einsatz dieser Software würde den Exchangeserver enorm entlasten.

Im letzen Kapitel wird eine Übersicht über Storage-Strategien gegeben. Dabei wird das zukunftsorientierte SAN (Storage Area Network) näher betrachtet. Durch diese Technologie könnte in Zukunft ein wesentlich höherer Durchsatz bei der Datenspeicherung erzielt werden. Zum Schluss werden die Investitionskosten geprüft, die für eine Realisierung notwendig wären.

Kapitel 2 Dokumentation des Firmennetzwerkes

In der Dokumentation der Netzwerkstruktur sollen alle Server und sonstigen Peripheriegeräte im gesamten Netzwerk der Firma LOCOM erfasst werden. Dazu findet zunächst die Analyse der Netzwerkhardware statt. Es werden die Hauptserver, wie Mailserver, Domänen Controller, Firewallserver, Backupserver und die Router, sowie Clients ermittelt. Anschließend werden die Zusammenhänge unter den Peripheriekomponenten festgestellt. Hierzu findet eine Überprüfung der Vergabe von IP-Adressen für Clients und Servern im Netzwerk statt. Dadurch können Rückschlüsse auf die Arbeitsweise des Netzwerkes gezogen werden. Weiterhin wird geprüft über welche Eingangs- und Ausgangs- IP-Adressen, Portbelegungen und Dienste die Hardwarekomponenten innerhalb des Netzes miteinander kommunizieren.

Nach der korrekten Einordnung aller benötigten Daten zum Netzwerk wird die Visualisierung mit Microsoft Visio 2003 durchgeführt. Hierbei wird ein Netzwerkstrukturplan erstellt, der die exakte Struktur widerspiegelt. Das Visio Projekt soll im HTML-Format erstellt werden, um es in das Intranetportal „Wiki“ von LOCOM implementieren zu können. Dies hat den Vorteil, dass die Übersicht über jeglichen Browser dargestellt und von jedem Mitarbeiter eingesehen werden kann. Des Weiteren soll ein Feature eingebaut werden, dass per Mausklick auf eine Hard-warekomponente nähre Details zur gewählten Peripherie anzeigt.

Diese Aufgabe muss von jedem neuen Systemadministrator durchgeführt werden, der in einem Unternehmen anfängt. Es ermöglicht die schnelle Einarbeitung in die Systeminfrastruktur. Er erhält einen Überblick über das Netzwerk und kann die gewonnenen Erkenntnisse bei seiner Arbeit sinnvoll nutzen.

1. Beschreibung des Netzwerkstruktur

Das Netzwerk der Firma LOCOM basiert auf der Ethernettechnologie mit der im Local Area Network (LAN) Daten mit einer Geschwindigkeit von über 100 Millionen Bit pro Sekunde (Mbps) im Clientbereich übertragen werden können.

Das „Rückgrat“ des LANs stellt der Server-Backbone da. Mittels der Backbone-Verbindung werden die Switches der Consulting Abteilung mit denen der Software Abteilung verbunden. Dadurch kann ein schneller Zugriff auf die Datenbank- und Fileserver gewährleistet werden. Darüber hinaus ist es möglich die Datenmenge von ca. 2 TB mit Hilfe eines Autoloader-Backup-Systems in 2 Tagen zu sichern. Hierbei kann eine Übertragungsgeschwindigkeit von bis zu 1000 Million Bits pro Sekunde (Mbps) bzw. 1 GBit über den Lichtwellenleiter erreicht werden. Das eigentliche Zentrum des Backbone sind äußerst schnelle Server, die die Leistungen erst ermöglichen. Durch diese Technologie wird die Bandbreite für die 100 MBit Clients erhöht. (s. Abb. Netzwerkstrukturplan der Firma LOCOM)

Der Hauptinternetzugang der Firma LOCOM erfolgt über den Firewallserver von der Mutterfirma. Dieser Firewallserver wird ausschließlich von den Administratoren betreut und spart dem LOCOM Administrator Arbeitszeit für Wartungsarbeiten und Netzwerksicherheit.

LOCOM selbst setzt nochmals einen Firewallserver ein. Dieser setzt auf dem Betriebssystem Linux auf und dient für Fernzugriffe der Mitarbeiter. Er ist direkt mit der Firewall der PTV verbunden. Der Firewallserver von LOCOM wird für DNS, Proxy und das abholen von POP3-E-Mails verwendet. Das Abholen von E-Mails vom externen E-Mail-Provider erfolgt über die Linuxsoftware „Fetchmail“. Diese leitet die E-Mails an das lokale Mailsystem weiter.

Hinter dem Firewallserver befinden sich die 15 File- und Datenbankserver. Diese Server werden mit den Betriebssystemen Microsoft NT4, Windows 2000 Server, Linux und Windows 2003 Server betrieben. Sie dienen als File- und Daten-bankserver. Auf den Datenbankservern wird die Datenbanksoftware Oracle 8.0.5, 8.1.7, 9i und 10g eingesetzt. Um die Datensicherheit im Unternehmen zu wahren wird die Redundanz durch den Einsatz von RAID sichergestellt. Die Abkürzung RAID steht für "Redundant Array of Independent Disks".

Bei der RAID-Technologie kommen unterschiedliche RAID-Level zum Einsatz. Bei RAID-0 werden die Daten vom Controller verteilt auf mehrere Platten parallel geschrieben (Stripes). Dieser RAID-Level bietet keine Redundanz, da bei einem Plattendefekt alle Daten verloren gehen. Es kann hingegen eine hohe Zugriffsge-schwindigkeit auf Informationen gewährleistet werden. RAID-1 ist ein Daten-spiegelungsverfahren. Die Daten werden bei diesem RAID-Level auf zwei Festplatten geschrieben. Sobald ein Plattendefekt auftritt, kann ohne Ausfallzeit auf der zweiten Platte weitergearbeitet werden. Nach dem Austausch des defekten Datenträgers wird die funktionierende Platte zurückgespiegelt. Dies ist der sicherste, aber auch teuerste RAID-LEVEL, da eine Platte nur aus Redundanzgründen verwendet wird. Bei RAID-Level 5 werden die Daten nicht gespiegelt, sondern es wird eine Prüfsumme (Parity) generiert und neben Nutzinformationen auf eine der vorhandenen Festplatten geschrieben. Aus Gründen der Redundanz wird die Prüfsumme nicht immer auf die gleiche Platte geschrieben. Die Kontrollsumme wird auf die erste, dann auf die zweite, dritte Platte und folgende geschrieben. Tritt ein Festplattendefekt auf können die beschädigten Nutzinformationen anhand der verbliebenen Parity-Informationen auf den funktionsfähigen Datenträgern wiederhergestellt werden.

Die Festplatten der Server werden je nach Zugriffsgeschwindigkeit und Datensicherheit mit RAID-10 bzw. dem serverüblichen RAID-5 gespiegelt.

Bei RAID-10 wird großer Wert auf die Performancevorteile von RAID-0 gelegt und mit der Datensicherheit von RAID-1 kombiniert.

Mit dem serverüblichen RAID-5 werden die Daten und der Exchangeserver betrieben. Bei RAID-5 werden mindestens drei Platten benötigt. Diese werden als ein Laufwerk zusammengefasst, und die Daten werden, ähnlich wie beim RAID-0, auf die angeschlossenen Platten verteilt. Ein RAID-5 kann auch auf mehr als drei Platten stattfinden. Bei LOCOM werden fünf Platten eingesetzt, dadurch erhält man eine Gesamtkapazität von vier Platten, wobei 20 Prozent der Kapazität für die Parity-Daten verloren gehen. Eine Merkregel besagt, umso mehr Platten am RAID-5-Controller angeschlossen sind, desto höher ist der Performancegewinn.

Die Domänenstruktur wurde erst kürzlich um eine Active Directory-Domäne mit Exchange-2003-Server erweitert. Bisher diente Active Directory hauptsächlich als Identifikationsservice der Windowsdomäne.

Da der Firewallserver keine Secure-Client Verbindungen trotz geöffneter Ports zulässt, wurde ein dedizierter Fernwartungsserver aufgesetzt. Dieser basiert auf einem VMware-Server unter Linux mit DSL- und ISDN-Router Anbindung.

Hiermit können die spezifischen Kundenanforderungen für Fernwartungszugriffe realisiert werden.

2. Visualisierung des Firmennetzwerkes

(1) Firewall der PTV
(2) Firewall von LOCOM
(3) DSL- und ISDN-Router für Fernwartungszugriffe
(4) Software-Gebäudeflügel
(5) Consulting-Gebäudeflügel
(6) Printserver

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Netzwerkstrukturplan der Firma LOCOM

(1) 1GBit Backbone-Verbindung (Lichtwellenleiter)

(2) Backbone-Switch und Client-Switches im Softwareflügel

(3) Backbone-Switch und Client-Switches im Consultingflügel

(4) Ca. 35 Clients

(5) Ca. 35 Clients

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Backbone und LANs der Firma LOCOM

In das LAN des Consulting-Gebäudeflügels sind die Netzwerkdrucker integriert und mit dem Printserver LOCOM-NT2 verbunden. Die Peripherie kann von den Arbeits-platzsystemen über den Druckserver genutzt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Ausschnitt vom Netzwerkstrukturplan der Drucker

Kapitel 3 Analyse der Administrationsprozesse

Bei der Analyse werden gezielt Administrationsprozesse aus der täglichen Arbeit des Systemadministrators herausgegriffen und diese näher betrachtet. Die Untersuchung basiert zunächst auf der Abbildung in Form eines Geschäftsprozessdiagramms des Ist-Zustandes. Anhand dieses Modells können im weiteren Verlauf Eingriffe in den Arbeitsablauf erfolgen, die den Geschäftsprozess rationalisieren und dadurch einen gewünschten Soll-Zustand abbilden.

1. Implementierung einer spezifischen Berechtigungsstruktur

Die Firma LOCOM entwickelt für viele renommierte Kunden der Wirtschaft spezielle Logistiksoftware. Um eine logische Trennung zu ermöglichen und inkonsistente Datenhaltung zu vermeiden, werden die einzelnen Projekte in separate Projektordner abgespeichert. Auf die Projektordner darf ausschließlich nur von den dafür verantwortlichen Entwicklern und dem Projektleiter zugegriffen werden. Diese Regelung wird im Projektvertrag von der Firma gegenüber dem Kunden unterzeichnet und dient der Einhaltung der Geheimhaltungsvorschrift.

Der Zugriff auf die entsprechenden Ordner ist über spezifische Ordner-berechtigungen geregelt. Vor Beginn des Projekts informiert der Projektleiter den Systemadministrator über die Neuanlage eines neuen Projektordners und die Vergabe der Ordnerberechtigungen je nach Aufgabe des Mitarbeiters während des Projekts. Dieser Schritt ist notwendig, da ein Projektleiter nach den firmenpolitischen Regelungen keine Berechtigungen den Mitarbeiteraccounts zuordnen und Ordner anlegen darf. Ausschließlich der Systemadministrator hat diese Befugnis. Hierbei kann ein Mitarbeiter „Vollzugriff“, „Lesestatus“, „Schreibstatus“, „Änderungsstatus“, nur „Ordnerinhalt auflisten“ oder einen „Lese- und Ausführungsstatus“ erhalten. Um in die Sicherheitseinstellung eines Ordners zu gelangen wird ein Rechtsklick auf einen Dateiordner ausgeführt. Über den Menüeintrag Eigenschaften à Reiter Sicherheit kann der Administrator zu den Sicherheitseinstellungen navigieren und diese manipulieren. Die folgende Grafik zeigt eine spezifische Ordner-berechtigungsstruktur eines beliebigen Ordners, die von Mitarbeitern eingesehen und nur vom Systemadministrator abgeändert werden kann.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Screenshot der Sicherheitseinstellungen

Analyse Ist-Zustand des Geschäftsprozesses „Vergabe von Ordnerberechtigungen“:

1. Projektleiter teilt den Ordnernamen und dafür berechtigte Mitarbeiter dem Administrator mit
2. Administrator legt den neuen Projektordner unter Berücksichtigung der Vorschriften des Projektleiters an
3. Zuweisung von Gruppen bzw. Benutzernamen aus dem Active Directory, die eine Berechtigung für den Ordner haben
4. Vergabe von Rechten an die Gruppe bzw. den einzelnen Benutzer gemäß den Angaben des Projektleiters
5. Der Systemadministrator gibt Rückmeldung an den Projektleiter über die Neuanlage
6. Der Teamleiter informiert den Administrator zu einem späteren Zeitpunkt ggf. erneut, über Mitarbeiter, die der Ordnerberechtigung hinzufügt bzw. aus dieser entfernt werden müssen falls überzählig

Abbildung in dieser Leseprobe nicht enthalten

Abb. 5: Ablauf des Geschäftsprozesses Projektordner anlegen

Um eine Rationalisierung des Arbeitsaufwandes für den Systemadministrator zu erreichen und die Wartezeit für Projektleiter zu minimieren, müssen dem Projektleiter mehr Rechte für die Benutzerverwaltung eingeräumt werden. Dieser Vorgang bedarf einer firmenpolitischen Neuregelung und muss zunächst bei der Geschäftsleitung Zustimmung finden.

Ein möglicher Lösungsansatz für diese Rationalisierungsmaßnahme wäre, dass der Systemadministrator weiterhin nur das alleinige Recht zur Anlage eines Projekt-ordners besitzt. Der Projektleiter erhält nach der Erstellung auf den zuvor genannten Ordner die Berechtigung „Vollzugriff“ vom Administrator zugewiesen, um autonom die Benutzerverwaltung steuern zu können. Damit ist jeder Projektleiter in der Lage selbständig seinen Mitarbeitern (Gruppen bzw. Benutzernamen) Zugriff auf den Ordner zu erteilen und ihnen die benötigten Berechtigungen über eine MMC Konsole zuzuweisen bzw. zu entziehen. (Vorgehensweise s. Active Directory Delegation).

Nach Realisierung der oben beschriebenen Lösungsmöglichkeit entsteht ein neuer Soll-Zustand. Bei diesem Geschäftsprozess können keine Arbeitsschritte eingespart werden, jedoch wird der Systemadministrator entlastet, wie aus dem folgenden Geschäftsprozessdiagramm hervorgeht. Eine Verkürzung der Wartezeit für Team-leiter ist ebenfalls zu beobachten. Es kann ein wesentlich flüssiger Arbeitsablauf im Geschäftsprozess gewährleistet werden. Der Systemadministrator wird in Zukunft nur noch für die Neuanlage des Projektordners und die Berechtigungsvergabe an den Projektleiter verantwortlich sein. Die verbleibende Benutzerverwaltung wird an den Projektleiter übertragen (delegiert) und von diesem geregelt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 6: Ablauf des Geschäftsprozesses Projektordner anlegen

2. Virtualisierung unterschiedlicher Systemkonfigurationen

Ein weiterer Administrationsprozess der bei der täglichen Arbeit eines System-administrators anfällt, ist die Erstellung von Testumgebungen. Diese werden von Entwicklern benötigt, damit aufgrund von Problemen bei der Entwicklung und Testphasen Softwareprojekte rechtzeitig und budgetgerecht fertig gestellt werden können.

Um die Software unter realen Bedingungen auf fehlerfreie Funktionalität untersuchen zu können, müssen unterschiedliche Systemkonfigurationen auf Testrechnern aufgesetzt werden. Dabei wird in der Testphase überprüft, ob eine korrekte Darstellung der Zeichen und Oberflächen der zu testenden Software gewährleistet ist. Des Weiteren können ungewollte Seiteneffekte festgestellt werden.

„Die Analyse des Ist-Zustandes hat ergeben, dass immer für eine Testumgebung ein physikalischer Rechner verwendet wird. Dieser basiert auf einem Betriebssystem mit unterschiedlichen Softwarepaketen, die für das Testen benötigt werden. Dabei kann beobachtet werden, dass die Software von der Hardware abhängig ist und dass die Arbeitintensivität einer Anwendung das gesamte Betriebsystem für sich beansprucht.“[VMware]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 7: Testumgebung auf einem physikalischer Rechner (Quelle VMware)

Wie ersichtlich ist, birgt eine Nichtvirtualisierung der Testumgebungen viele Nachteile in sich, z.B. hohe Anschaffungskosten für die physikalische Rechnerinfrastruktur, unflexible Systemumgebungen und das Platzproblem zum Aufstellen aller Test-maschinen.

Um die oben genannten Probleme zu vermeiden, muss ein neuer Soll-Zustand geschaffen werden. Ein möglicher Lösungsansatz der bei LOCOM realisiert wird, ist der Einsatz von VMware Server unter dem Betriebssystem Linux. Ein wesentlicher Vorteil für die Verwendung von VMware Server ist, dass es sich bei dieser Software um eine Freeware Version handelt, bei der keinerlei Lizenzierungskosten entstehen. Diese Software bietet dem Systemadministrator die Möglichkeit alle benötigten Testumgebungen auf nur einem physikalischen Server den Entwicklern zur Verfügung zu stellen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 8: VMware Server mit verschiedenen Betriebssystem-Images

„Die Virtualisierung einer Testumgebung bietet noch die weiteren Vorteile, dass das Betriebssystem und die darauf laufenden Anwendungen Hardware-unabhängig sind. Folglich können virtualisierte Betriebssysteme auf allen Systemplattformen bereitgestellt werden. Wie in der vorherigen Abbildung gezeigt, wird z.B. das virtualisierte Windows XP auf einem Linux-Server ausgeführt.

Der zunehmende Einsatz von Virtualisierungssoftware liegt im Allgemeinen darin begründet, dass das Betriebssystem mit seinen Anwendungen als gemeinsame Einheit verwaltet wird. Es können verschiedene Betriebssysteme auf einem physischen Computer ausgeführt werden, der seine Systemressourcen an die virtuellen Rechner verteilt. “[VMware]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 9: Virtualisierte Testumgebungen auf einem physischen Computer (Quelle VMware)

Durch die schnelle Bereitstellung der virtuellen Betriebssysteme, bleibt dem Systemadministrator mehr Zeit für seine Kernaufgaben. Eine erstellte Testumgebung kann von mehreren Entwicklern gleichzeitig genutzt werden. Hierbei fällt eine Zeitersparnis an, so dass nicht mehrere identische Testumgebungen produziert werden müssen. Durch das vereinfachte Konfigurationsmanagement kann eine weitere Einsparung für das Konfigurieren der Systeme erzielt werden. Dies steigert die Produktivität bei der Firma LOCOM.

Ein weiteres Aufgabengebiet der Software „VMware Server“ stellt die Fernwartung der Kundensysteme dar. Dabei werden die ausgelieferten Softwareprodukte Vor-Ort über unterschiedliche Datenanbindungen aktualisieren. Für diese Verbindungen stehen verschiedene Verbindungsclients zur Verfügung. Dazu gehören DFÜ-, VPN-, SSH-, sowie DSL-Clients. Bisher wurde für jeden Kunden ein eigener physikalischer Rechner mit spezifischem Verbindungsclient eingesetzt. Durch die Virtualisierungsmöglichkeit der VMware konnte eine Zusammenfassung aller Wartungsrechner auf einem einzigen Server erfolgen.

Für die Virtualisierung wurde zunächst die Freeware „VMware Server“ auf einem Linuxsystem aufgesetzt und die virtuelle Maschine konfiguriert. Unter dem virtuellen System konnten die gleichen Systemkonfigurationen erstellt werden, wie sie auf den physikalischen Rechnern vorhanden waren. Zum Beispiel wurde ein Image erstellt mit der Installation des Betriebssystems Microsoft Windows XP und dem kundenspezifischen Verbindungsclient. Der Client musste für einen ordnungs-gemäßen Verbindungsaufbau konfiguriert werden. Nach Abschluss der Konfigura-tionsmaßnahmen fand ein Testverbindungsaufbau statt, um eine korrekte Daten-anbindung sicherzustellen.

Kapitel 4 Potentialanalyse aktueller Monitoring- u. Verwaltungstools

Bei der Potentialanalyse werden Verwaltungstools gesucht, die den System-administrator rechtzeitig vor schwerwiegenden Systemfehlern warnen bevor es zum totalen Serverausfall kommt. Weiterhin soll ein Programm gefunden werden, das im Stande ist die Auswertung des Exchange Server Logs durchzuführen und dieses für den Administrator lesbar aufzubereiten.

Im weiteren Verlauf dieses Kapitels wird die eingesetzte Softwarelösung zur Überwachung des Netzwerkes und einzelner Server genauer betrachtet. Dazu wird geprüft, wie aktuell die verwendete Software nach dem gegenwärtigen Marktstand ist und welche Funktionalitäten bisher ungenutzt blieben. Des Weiteren soll eine neue Softwarelösung ermittelt werden, die die bestehende Software in ihrem Leistungsspektrum ergänzt bzw. ablösen kann.

Um einen vollständigen Netzwerkausfall zu vermeiden und Fehlerquellen im Netzwerk rechtzeitig zu identifizieren wird ein Frühwarnsystem eingeführt.

1. Frühwarnsystem

Bei der Firma LOCOM soll ein Frühwarnsystem auf allen Windows Servern implementiert werden. Das Programm erkennt rechtzeitig alle auftauchenden Fehler im Windows-Ereignisprotokoll „System“ und setzt den Systemadministrator per E-Mail darüber in Kenntnis. Dadurch können Fehlerquellen frühzeitig beseitigt werden bevor es zu einem gesamten Netzwerkausfall kommt. Es sollen E-Mail Benachrichtigungen generiert werden, die ausschließlich Fehlermeldungen beinhalten. Dadurch bleibt der Überblick gewahrt und es führt nicht zu einer übermäßigen Netzauslastung. Dabei können Informationsmeldungen und Warnungen des Windows-Ereignisprotokolls vernachlässigt werden, da nicht alle auf schwerwiegende Probleme hindeuten. Für die Navigation zum Windows-Ereignisprotokoll klickt der Benutzer in der Systemsteuerung auf das Icon Verwaltung à Ereignisanzeige. Unter dem Menüpunkt Anwendungen werden Informationen zu Anwendungen protokolliert, die nachträglich installiert wurden. Beim Menüpunkt Sicherheit befinden sich alle Informationen, die etwas mit der Sicherheit des Betriebssystems zu tun haben, wie z.B. Meldungen über abgelaufene Zertifikate. Für die meisten Einträge muss vorher die Sicherheitsprotokollierung aktiviert werden, damit eine Registrierung erfolgen kann. Im Menüpunkt System werden alle Informationen abgelegt die das System betreffen. Bedeutsame Fehler über die eine Information erfolgen muss sind z.B. „nicht gestartete Dienste“ bzw. „Datenverlust beim Schreiben“ auf einen Server. Diese Fehler sind für das Frühwarnsystem von größter Priorität, um Systemabstürze zu vermeiden und defekte Platten zu erkennen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 10: Windows-Ereignisprotokoll

Wie in der vorherigen Abbildung zu sehen ist kommt es von Zeit zu Zeit vor, dass sich Fehler in den Betriebsablauf des Systems einschleichen. Diese machen sich lediglich in der Windows-Ereignisprotokollanzeige bemerkbar und werden vom Systemadministrator, der nicht ständig das Ereignisprotokoll kontrolliert übersehen. Daher muss ein Benachrichtigungssystem eingeführt werden. Zu diesem Thema wurde im Fachmagazin C´t Heft 18 ein Artikel veröffentlich der Ratschläge, für ein vorgefertigtes Programm und eine Anleitung zum Aufbau eines Frühwarnsystems gibt.

E-Mail Benachrichtigung über auftretende negative Event-Logs

„[…] Um die Überwachung zu automatisieren, bietet sich das Kommando-zeilenwerkzeug eventtriggers an, das zum Lieferumfang von XP Professionell und Server 2003 zählt. Damit lassen sich Trigger definieren, die automatisch Befehle ausführen, sobald ein bestimmtes Ereignis eintritt. In Verbindung mit einem kleinen Skript, das wir im Folgenden vorstellen, können Sie sich etwa per Mail benachrichtigen lassen.

Die Syntax zum Erstellen eines neuen Triggers verrät die Eingabe eventtriggers /create /? auf der Kommandozeile. Das Erstellen eines neuen Triggers ist Anwendern mit Administratorrechten vorbehalten. Eine sinnvolle Anwendung ist es etwa, alle Ereignisse der Quelle „disk“ zu überwachen, die Warnungen und Fehler zu Protokoll gibt, wenn eine Festplatte fehlerhafte Daten anliefert.

eventtriggers /create /tr disk /l system /so disk /tk „c:\trigger\test.cmd“

Dieser Trigger überwacht das Systemprotokoll (Parameter /l) und reagiert auf jedes Ereignis der Quelle „disk“ (/t disk), egal ob es sich um einen Fehler, eine Warnung oder nur eine Information handelt. Der Parameter /tk übergibt das Programm, das der Trigger starten soll. In Anführungszeichen eingeschlossen, können Sie hier auch einen Befehlsaufruf inklusive Parametern angeben. Um den Trigger statt des Systemprotokolls das Anwendungs- oder Sicherheitsprotokoll überwachen zu lassen, geben Sie beim Parameter /L „application“ oder security an.

Beim Experimentieren mit den Optionen von eventtriggers hat sich herausgestellt, dass das Werkzeug nicht ganz so funktioniert, wie es Microsoft in der Dokumentation beschreibt. […]

Unter dem Soft-Link 0618200 finden Sie ein Zip-Archiv, das alle hier gezeigten Skripte versammelt. […]

Mit dem Windows Scripting Host genügen wenige Zeilen VB-Script, um eine E-Mail zu verschicken, die einen Administrator auf ein Ereignis aufmerksam macht. Im Download-Paket finden Sie dafür zwei Beispiele: sendMailLocal.vbs ist für einen Mail-Server im lokalen Netz vor konfiguriert, der keine Anmeldung verlangt. sendMailExtern.vbs kann auch den Server eines externen Mail-Providers, etwa Google Mail, ansprechen und sich per SSL authentifizieren. […]

Die Skripte werten drei übergebene Parameter aus: Der erste bestimmt die Betreffzeile der Nachricht, der zweite den Inhaltstext und optional können Sie eine Datei angeben, die als Anhang verschickt werden soll. […] “[C´t 2006]

Für die Verwendung von E-Mail Benachrichtigungen über negative Event-Logs im Firmennetzwerk, musste ein Download auf die freiverfügbare Datei des zuvor genannten Soft-Link erfolgen. Nach dem Entpacken des Dateiarchivs stellte sich heraus, dass einige Files nicht eingesetzt werden konnten. Dazu zählte sendMailExtern.vbs, da ein Mailversand über den lokalen Mail-Server erfolgen muss. Zusätzlich wurde das nicht benötigte Readme.txt File entfernt. Nach der Aussortierung aller nicht benötigten Dateien wurde eine Namensänderung des Files sendMailLocal.vbs in sendMail.vbs durchgeführt, um den Überblick zu wahren.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 11: Ordnerstruktur für E-Mail Benachrichtigung

Damit eine Ausführung der Visual-Basic Skript Files sichergestellt werden konnte, wurde in der Batchdatei StartSendMail.bat das Grundverzeichnis („workpath“) definiert (s. Anlage StartSendMail.bat). Darüber hinaus wurde der Pfad für die Ausführung des VB Skriptes SendMail modifiziert.

[...]