PC-Netz, Banyan VINES, Windows 2000, Samba, Directory Service, LDAP, Active Directory
Mit der Ablösung von VINES Mail im Jahr 2001 wurde die notwendige Ablösung von Banyan VINES als Netzbetriebssystem im PC-Netz begonnen. Im letzten Jahr haben einige Institute VINES durch ein neues Betriebssystem ersetzt. Die Probleme dieser Umstellung wurden bisher nur im CMS und mit den DV-Beauftragten diskutiert. Es geht aber auch darum, die Fehler aus den Anfangszeiten der PC-Vernetzung an der HU nicht zu wiederholen. Diese Veränderungen sollten auch dazu genutzt werden, die Benutzerfreundlichkeit des Netzes zu verbessern. Dieser Beitrag zeigt die möglichen Alternativen und deren Vor- und Nachteile und zieht die Bilanz aus dem erreichten Stand der Umstellung des PC-Netzes.
Diese Umstellung bietet uns eine Chance, alte Netzstrukturen (und Denkweisen) abzulösen und neue Konzepte zu verwirklichen, die zu mehr Benutzerfreundlichkeit, noch größerer Stabilität der angebotenen Dienste und zu einfacherer Administration führen können. Das Hauptanliegen des Artikels ist deshalb, an dieser Stelle wieder einmal für ein gemeinsames PC-Netz (-Konzept) aller Einrichtungen der HU zu werben. Ich will versuchen, das Thema durch sparsame Verwendung technischer Begriffe auch Nicht-Administratoren nahe zu bringen, damit auch die Benutzer des Netzes in der Lage sind, die entsprechenden Fragen zu stellen ...
Der Begriff PC-Netz ist sehr unscharf, wenn von Konzepten für ein gemeinsames Netz die Rede sein soll. Als PC bezeichnen wir meistens einen (Windows-)Rechner mit Intel- oder AMD-Prozessor. Interessanter ist hier aber, was hinter der Abkürzung steht: Personal Computer. Es geht um die Arbeitsplatz-Rechner der Mitarbeiter und Studierenden. Wenn Arbeitsgruppen zusammenarbeiten wollen – mit anderen Gruppen innerhalb und auch außerhalb der HU – und Studierende aus den Angeboten verschiedener Institute und mehrerer Hochschulen wählen können (und teilweise müssen), dann kann man beim Nachdenken über Konzepte nicht an Betriebssystem-Grenzen Halt machen.
In einem benutzerfreundlichen Netz müssen also alle Dienste gleichermaßen für Windows-, Macintosh- und Unix-Benutzer nutzbar sein. Datenaustausch zwischen verschiedenen (Betriebsystem-) Plattformen sollte keine Sache sein, die einen großen Teil der Arbeitszeit verschlingt.
Soweit zum anzustrebenden Ideal. In den folgenden Abschnitten wird gezeigt, mit welchen Konzepten wir diesem Ideal näher kommen wollen. Es wird aber auch klar, dass die Umsetzung dieser Überlegungen nur stufenweise zu verwirklichen ist und uns wegen des Aufwandes sicher noch mindestens zwei Jahre beschäftigen wird.
Viele Benutzer wissen gar nicht, welches Betriebssystem ihnen die verschiedenen Dienste wie Netzlaufwerke (File Services), Druckmöglichkeiten, E-Mail usw. zur Verfügung stellt und woher die Daten kommen, wenn sie nach Benutzern, Verzeichnissen, Druckern, Mail-Adressen suchen. Das sollte auch nicht notwendig sein, aber ... Der passende Drucker müsste doch nach mir vertrauten Merkmalen (Standort, Kurzbezeichnung, Typ) einfach zu finden und auszuwählen sein! Wenn mir zur Adressierung einer Mail die Mail-Adresse des Empfängers fehlt, kann ich sie doch einfach über eine Suche nach dem Namen (und evtl. weiteren Merkmalen) finden, oder etwa nicht? Dazu muss ich doch nicht unbedingt an meinem Arbeitsplatz-Rechner sitzen, das geht doch auch an einem öffentlichen Arbeitsplatz in der Bibliothek?! Ach, das funktioniert nur bei Windows-Rechnern?
Wozu sind Computer miteinander vernetzt, wenn sie so einfache Anforderungen nicht erfüllen können?! Verzeichnisdienste können das. Sie ermöglichen es den Benutzern, unabhängig vom Standort und von ihrer Betriebssystem-Plattform (Windows-Rechner, Mac oder Unix-Workstation) nach anderen Benutzern oder nach Ressourcen (Druckern, Verzeichnissen, Informationen) im Netz zu suchen und diese Ressourcen zu nutzen, sofern sie die Berechtigung dazu haben.
Nicht mehr: dieses Passwort für den Netzzugang am Arbeitsplatz, jenes Passwort, um Mails zu lesen, ein drittes für die Einwahl. Mit einem Verzeichnisdienst wird es möglich, den Zugang zu allen benötigten Ressourcen über ein einziges Passwort zu bekommen (Single Sign-On). Verzeichnisdienste sind ein wichtiger Baustein im Konzept für ein benutzerfreundliches Netz. Ein weiterer Baustein sind Web Services.
Einige dieser wünschenswerten Funktionen sind schon vorhanden, z. B. standortunabhängiger Zugriff auf die Mailbox über das IMAP-Protokoll oder einen Web-Mailer (MailMan, SquirrelMail). Insgesamt verbleibt aber nach einem kritischen Blick auf das PC-Netz der HU eher der Eindruck von Kleinstaaterei. Welche Gründe auch immer zu den einzelnen Lösungen geführt haben mögen – wirklich benutzerfreundlich und zukunftsfähig im Sinne der oben genannten Anforderungen sind sie nicht. Um das Ziel eines gemeinsamen Netzes zu erreichen, ist es unumgänglich, Fehlentscheidungen der Vergangenheit zu benennen, um sie zukünftig zu vermeiden. Dazu gehören u. a.:
Das PC-Netz – im Sinne der Begriffsbestimmung am Anfang – der Humboldt-Universität besteht zurzeit aus
Auch wenn mancher darüber den Kopf schütteln mag: Banyan VINES hat mit einigen damals zukunftsweisenden Technologien Maßstäbe gesetzt, wenn es um Anforderungen an das PC-Netz geht.
Seit 1991 ist es als Netzbetriebssystem im HU-Netz im Einsatz. Auf dem Höhepunkt seiner stärksten Verbreitung an unserer Universität (etwa 1999) waren ca. 100 Server im Einsatz, heute sind es immer noch knapp 70. Nicht alle Einrichtungen waren daran beteiligt, einige sind später auf andere Lösungen umgestiegen.
Etwa ein Jahrzehnt vor Microsoft hatte Banyan einen Directory Service (StreetTalk) in sein Netzbetriebssystem integriert und gezeigt, wie man große und über viele Standorte verteilte Netze einfach und mit relativ geringem Aufwand verwalten kann.
VINES unterstützt mehr oder weniger gut MS-DOS-, Windows- und Macintosh-Clients. Unix-Benutzer können (mit Einschränkungen) per Web-Browser (über Banyan Intranet Connect) auf Netzlaufwerke (File Services) im VINES-Netz zugreifen.
Die Fa. Banyan existiert nicht mehr, unser Support-Vertrag ist schon im Jahr 2000 abgelaufen – VINES funktioniert noch, aber es wird nicht mehr weiterentwickelt.
Das sind daher auch die größten Schwächen des Systems: die nun fehlende Unterstützung für modernere Hardware (und unterstützte Hardware ist kaum noch zu bekommen, also nicht ersetzbar ...), fehlende Clients für modernere Windows-Versionen (Windows Me und Windows XP) und weitere Nachteile. Da VINES von immer weniger Einrichtungen der HU eingesetzt wird, verschwinden immer mehr Benutzer aus dem Verzeichnis (StreetTalk) – es ist schon seit längerer Zeit nicht mehr repräsentativ. Der Ablösungsprozess bekommt eine Eigendynamik. Dies nur als Warnung an die allzu Zögerlichen.
Auf der RZ-Benutzerversammlung am 15.05.2002 haben wir bekannt gegeben, dass wir Banyan VINES im Wesentlichen bis zum Jahresende 2003 ablösen wollen und aus den oben genannten Gründen auch müssen.
Welche wichtigsten Anforderungen müssen also die Nachfolger erfüllen?
Schon längere Zeit war klar, dass es nicht möglich sein wird, für alle Einrichtungen der Universität den gleichen Weg und das gleiche Ziel(-Betriebssystem) vorzuschreiben – zu verschieden sind die Anforderungen, die personelle und technische Ausstattung und die internen Strukturen. Außerdem hatten sich einige Institute bereits entschieden.
Nach gründlichem Überlegen blieben zur Ablösung von Banyan VINES zwei Alternativen übrig:
In Klammern sind die in Frage kommenden Verzeichnisdienste (Directory Services) gleich mit angegeben: Active Directory ist Bestandteil von Windows 2000, ein LDAP-Server muss zu Samba noch zusätzlich installiert werden.
Die Entscheidung zwischen der kostenpflichtigen Variante A. und der »kostenlosen« Open Source-Variante B. kann nicht schwer fallen, wenn das Geld knapp ist – könnte man meinen. Sie ist aber doch nicht ganz so einfach, weil sie eben von den konkreten Bedingungen der Institute abhängt. Gegenwärtig bietet keine der beiden Varianten eine völlig zufrieden stellende Lösung für unsere Anforderungen.
Wir werden also beide Wege unterstützen – in allen Phasen der Migration von Banyan VINES bis zum neuen System – mit der Absicht im Hinterkopf, daraus (in weiteren Schritten) ein gemeinsames Netz der HU zu bauen.
Welche Variante für Ihre Einrichtung letztlich besser geeignet ist, das sollten Sie mit uns beraten – eine grobe Orientierung kann an dieser Stelle sicher nicht schaden:
Samba ist nicht mit einem kompletten Netzbetriebssystem wie Windows 2000-Server direkt vergleichbar. Uns interessieren hier aber nur die am häufigsten benötigten Funktionen:
Die in den Abschnitten A. und B. aufgelisteten Eigenschaften der beiden Lösungen sind natürlich nur die wichtigsten. Sowohl Windows 2000- als auch UNIX/Linux-Server können über unser zentrales Backup-System gesichert werden (siehe auch http://www.hu-berlin.de/rz/filesv/tsm.html). Beide Varianten erfordern sehr gute Kenntnisse der eingesetzten Betriebssysteme, über Netzwerk-Protokolle und zusätzliche Software, außerdem einige Administrations-Erfahrung.
Die Etablierung beider Systeme im HU-Netz bedeutet natürlich zunächst, dass wir im ersten Schritt noch keinen netzweiten Verzeichnisdienst haben werden (die Benutzer der Windows 2000-Netze findet man nur im Active Directory, die anderen über einen eigenen LDAP-Server). Es sind weitere Schritte auf Seiten des CMS nötig, um alle Verzeichnisse zusammenzuführen.
Die Ablösung der alten Systeme (Banyan VINES, Windows NT ...) erfordert einen beträchtlichen Kraftaufwand sowohl auf der Seite der jeweiligen Einrichtungen als auch bei uns im Computer- und Medienservice. Die zögerliche Haltung in einigen Instituten, mit der Analyse und der Planung der ersten Schritte zu beginnen, ist verständlich. VINES wird zwar inzwischen einigen Anforderungen an ein modernes Netzbetriebssystem nicht mehr gerecht, funktioniert an den meisten Standorten aber seit Jahren sehr zuverlässig, wenn auch wegen veralteter Hardware oft zu langsam. Die Nachfolge-Systeme haben kaum eine Probezeit. Sie müssen im Prinzip sofort mit der gleichen hohen Verfügbarkeit bereitstehen.
Seit mehreren Monaten bereiten wir diesen Übergang sorgfältig vor. Wir haben dazu
Jetzt ist der Zeitpunkt erreicht, an dem die DV-Beauftragten mit ihren Institutsleitungen überlegen müssen, wann und wie sie die Umstellung ihres PC-Netzes in diesem Jahr bewältigen wollen. Die Planung der Umstellung muss frühzeitig erfolgen. In jedem Falle sind Mitarbeiter des CMS zeitintensiv eingebunden. Wir können aber nur wenige Institute parallel betreuen.
Bei einer Umstellung eines Instituts-Netzes von Banyan VINES auf Windows 2000-Server (Variante A, siehe oben) sind zum Beispiel – in dieser Reihenfolge und mit diesem Aufwand – folgende Schritte zu gehen:
Viele glauben, der Aufbau und die Inbetriebnahme der neuen Server wäre die größte Hürde, die zu überwinden ist. In Wirklichkeit nehmen jedoch die gesamte Planung, die Lernphase in der Test-Domäne und die Umstellung der vielen Clients mit ihren Detail-Problemen die meiste Zeit in Anspruch.
Vom CMS kann bei allen diesen Schritten Unterstützung erwartet und angefordert werden. Insbesondere die Planungen sollten mit uns gemeinsam vorgenommen werden. In Einzelfällen können wir bei Engpässen auch einen Teil der Hardware zur Verfügung stellen und/oder den Aufbau und die Administration personell unterstützen.
Da der Aufwand für die genannten Veränderungen im PC-Netz sehr groß ist, sollte dieser Prozess für jedes Institut gut geplant werden (in enger Zusammenarbeit mit den zuständigen Mitarbeitern des CMS). Der Aufwand ist nur gerechtfertigt, wenn am Ende ein gutes Konzept steht, das entsprechend umgesetzt wird. Werden die Mängel der existierenden Netze dadurch nicht beseitigt, haben wir es falsch geplant.
Die möglichen Vorteile eines gemeinsamen Netzes sollen hier noch einmal zusammengefasst werden:
DV-Beauftragte und Institutsleitungen sollten sich gut überlegen, ob sie wieder eine »eigene« Lösung bauen (und welchen Gewinn diese bringen soll ...) und damit eine neue Insel im HU-Netz schaffen. Letztlich haben die Benutzer dieser Insel darunter zu leiden, da sie überall sonst im HU-Netz nur beschränkte Gast-Rechte erhalten und für normale Arbeitsaufgaben höheren Aufwand treiben müssen als andere.
Es geht darum, ob wir in einem gemeinsamen Netz instituts- und fachübergreifend mit mehr Effektivität zusammenarbeiten können oder weiterhin Flaschenpost von Insel zu Insel schicken wollen.