cms-journal
Nr. 25
Mai 2004
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 25 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/25
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

Das PC-Netz der HU – die Zeit für VINES läuft ab

Winfried Naumann
w.naumann@cms.hu-berlin.de

Keywords

Active Directory, Banyan VINES, LDAP, PC-Netz, Samba, VINES-Ablösung, Windows 2000, Windows Server 2003

Abstract

Die Ablösung von Banyan VINES geht nur schleppend voran, obwohl fast alle technischen und organisatorischen Voraussetzungen für die Umstellung geschaffen wurden. Der Beitrag berichtet über die Veränderungen im PC-Netz in den letzten 12 Monaten.

Als der letzte Artikel zu diesem Thema vor etwa einem Jahr im CMS-Journal Nr. 24 [1] erschien, war der größte Teil des Umzuges des CMS von Mitte nach Adlershof schon überstanden und die offizielle Eröffnung des Erwin Schrödinger-Zentrums stand kurz bevor (die öffentlichen Rechner der Bibliothek und des PC-Saals waren schon einige Tage vorher benutzbar). In den Wochen davor hatten wir große Anstrengungen unternommen, um zur Eröffnung des neuen Hauses neue Dienstleistungen – auch im Windows-Netz – anbieten zu können. Dadurch gab es deutliche Fortschritte beim Aufbau des Windows-Server-Netzes.

Ein Jahr später berichten wir nun erneut über den aktuellen Stand im PC-Netz. Das vor ca. anderthalb Jahren formulierte Ziel, Banyan VINES im Wesentlichen bis zum Jahresende 2003 ablösen zu wollen, ist eindeutig nicht erreicht worden, und nur enorme gemeinsame Anstrengungen werden dazu führen, dass wir dem Ziel bis zum Ende diesen Jahres nahe kommen.

Die Vorteile und die Notwendigkeit eines gemeinsamen Netzes mit zentraler Benutzerverwaltung im CMS und Verzeichnisdiensten, die über alle Betriebssystem-Plattformen hinweg benutzbar sind, wurden in dem genannten Artikel schon begründet. Dort wurde auch erklärt, warum mit dem Begriff PC-Netz nicht eine Ansammlung vernetzter Windows-PCs sondern ein Netz von Arbeitsplatz-Rechnern der Universität mit verschiedenen Betriebssystemen gemeint ist, in dem Mitarbeiter und Studierende möglichst einfach und effektiv zusammenarbeiten können.

Zwei Entwicklungsrichtungen wollten wir (v. a. für die VINES-Ablösung) unterstützen: Windows-Server und Unix/Linux mit Samba/LDAP. Diese drei Themen – Windows 2000/2003, Samba/LDAP und VINES-Ablösung sind die Schwerpunkte im folgenden Beitrag über die Entwicklung des PC-Netzes in den vergangenen 12 Monaten.


Windows-Server-Netz

Beginnen wir mit einer einfachen Aufzählung der Veränderungen:

für Studierende:

  • nur noch ein Accountname/ein Passwort: Für alle Studierenden wurde bzw. wird automatisch parallel zu Ihrem NIS (Unix)-Account ein gleichlautender Account für das Windows-Netz generiert. Das Passwort kann über die bekannte Web-Seite geändert werden und wird dann synchron für beide Accounts geändert. Zum Windows-Account gehören 10 MB Speicherplatz im Home-Verzeichnis auf einem Windows-Fileserver. Im Gegensatz zu den Mitarbeitern brauchen sich die Studierenden also nur noch einen Accountnamen und ein Passwort für den Zugang zu allen Diensten zu merken, haben aber noch zwei Home-Verzeichnisse (unter Unix, unter Windows).

für alle Benutzer:

  • höhere Stabilität, weniger Ausfallzeiten: Die Tests von Fileserver-Clustern unter Windows Server 2003 stehen kurz vor dem erfolgreichen Abschluss. Besonders für die Fileserver mussten in der Vergangenheit die Mittwoch-Wartungszeiten häufig in Anspruch genommen werden, um die Server nach dem Einspielen der notwendigen Sicherheits-Patches neu starten zu können. Durch den Einsatz von Clustern können wir zumindest diese Unterbrechungen vermeiden und grundsätzlich eine größere Ausfallsicherheit erreichen. Außerdem ist es möglich, die Speicherbereiche mehrerer Einrichtungen auf eine geringere Anzahl von Servern zu verteilen und damit Kosten für Hard- und Software zu sparen.

für Administratoren:

  • Beratung und Unterstützung während der gesamten Umstellung: Wir unterstützen die Ablösung von Banyan VINES und die Umstellung auf Windows-Server von der Suche nach der optimalen Lösung, die zu den Anforderungen der Einrichtung am besten passt, bis zum Abschluss der Umstellung und darüber hinaus. Die unterschiedlichen Möglichkeiten der Unterstützung werden weiter unten ausführlicher dargestellt.
  • Entlastung bei den Accounts für Studierende: Die Windows-Accounts für Studierende (aktuell ca. 19800) werden in einer eigenen Domäne (student.hu-berlin.de) vom CMS verwaltet. Die Administratoren der Institute können diese Accounts einfach verwenden, um damit den Studierenden in ihrem Bereich Zugriff auf bestimmte Dienste zu erlauben oder zusätzlichen Speicherplatz zu vergeben. Von der Verwaltung dieser Accounts sind sie damit entlastet.
  • Entlastung bei den Fileservern: Inzwischen werden die Windows-Fileserver aller neu aufgebauten Domänen vom CMS beschafft, aufgebaut und administriert (Ausnahmen: Sprachenzentrum, Sozialwissenschaften). Damit wollen wir erreichen, dass die Administratoren der Institute weiter entlastet werden und neue Technologien wie z. B. SAN- und Cluster-Unterstützung ohne größere Verzögerungen und Schulungsaufwand eingeführt werden können.
  • verbesserte Information, leichtere Dokumentation: Für alle Administratoren im Windows-Netz wurde ein Wiki (siehe auch [2]) aufgebaut. Wir nutzen es, um Informationen und Anleitungen bereitzustellen und Veränderungen im Netz zu dokumentieren und zu planen. Den Administratoren der Institute bieten wir die gleiche Möglichkeit an.

Zurzeit sind es leider nur wenige Einrichtungen, deren Benutzer bereits im Windows-Netz arbeiten. Einige Vorteile gegenüber dem alten VINES-Netz kann man deutlich benennen:

  • mehr Speicherplatz, höhere Geschwindigkeit: Sowohl für die persönlichen (Home-)Verzeichnisse der Benutzer als auch für Projekte steht deutlich mehr Speicherplatz zur Verfügung. Der Zugriff auf diese Netzlaufwerke ist wesentlich schneller, da alle Speicherbereiche im SAN liegen. Der Datenaustausch über Netzlaufwerke auf Servern ist schneller und einfacher als in den zurzeit weit verbreiteten Peer-to-Peer-Netzen der Arbeitsgruppen.
  • Offline weiterarbeiten: Benutzer, die ihre Daten im Windows-Netz ablegen (statt auf der lokalen Festplatte ihres PCs/Notebooks), können damit auch auf ihrem Notebook weiterarbeiten, wenn unterwegs oder zu Hause keine Verbindung zum Windows-Netz mehr besteht oder durch Netzstörungen der Fileserver gerade nicht verfügbar ist. Die Synchronisation mit den Daten im Netz kann beim An- und Abmelden automatisch erfolgen. Ohne größere Schwierigkeiten hat man damit sowohl mit dem Arbeitsplatz-PC als auch mit dem Notebook Zugriff auf die letzte Version der Daten und kann beliebig zwischen LAN- und WLAN-Verbindungen wechseln (wenn die technischen Voraussetzung am jeweiligen Standort vorhanden sind).
  • Virenscan auf Netzlaufwerken: Eigene Dateien und Dateien, die Sie mit anderen Benutzern über Netzlaufwerke austauschen, werden automatisch schon beim Schreiben auf die Platten gescannt. Natürlich ersetzt das nicht den Virenscanner, der lokal auf jedem PC installiert und aktiviert sein sollte (um die Leistungsfähigkeit der Server nicht zu stark zu bremsen, können in Archiven verpackte Dateien z. B. nicht vollständig gescannt werden). Zwangsläufig zeigt sich dabei aber, wer noch immer sehr nachlässig mit diesen Problemen umgeht (infizierte Dateien von anderen Rechnern einschleppt, keinen Virenscanner auf seinem Rechner installiert hat, sorglos Mail-Anhänge öffnet …). Das führt nach und nach zu mehr Datensicherheit in unserem Netz.
  • regelmäßiges Backup der Daten: Nur wenige Benutzer sichern konsequent regelmäßig die ihnen wichtigen Daten von der lokalen Festplatte ihres Rechners. Liegen diese Daten von vornherein auf einem Netzlaufwerk, ist für das tägliche Backup automatisch gesorgt – ohne dass man sich extra darum kümmern muss. In den meisten Installationen im Windows-Netz wird der Ordner »Eigene Dateien« jedes Benutzers automatisch auf sein Home-Verzeichnis auf dem Fileserver umgelenkt. Wer also alle seine wichtigen Daten in diesem Ordner hält, kann davon ausgehen, dass sie (mindestens in der Version vom Vortag) wiederhergestellt werden können, wenn er einmal versehentlich etwas löscht oder eine Festplatte defekt ist.
  • sanfte Migration ins Windows-Netz: Dort, wo Benutzer an ihrem Rechner schon unter Windows 2000 oder Windows XP arbeiten, gelingt die Umstellung vom lokalen Benutzer-Account auf den Account im Windows-Netz (Account in der Windows-Domäne der Einrichtung) in den meisten Fällen ziemlich problemlos: die gewohnte Arbeitsumgebung (das Benutzer-Profil) kann für den neuen Account übernommen werden (Desktop- und Startmenü-Einstellungen, Bookmarks, Browser-, Mail- und andere persönliche Konfigurationen). Wenn alles gut vorbereitet ist, ist die Umstellung nicht mit tagelangem Arbeitsausfall verbunden. Die Umstellung kann nach und nach erfolgen (z. B. nach Arbeitsgruppen).

Die genannten Vorteile gelten (mit Ausnahmen) natürlich nicht nur für das Windows-Server-Netz. Sie machen den Unterschied zur Situation in vielen Arbeitsgruppen-Netzen aus, wie wir sie zurzeit in einigen Einrichtungen antreffen. Auch mit Samba-Servern (siehe nächster Schwerpunkt) lässt sich das verwirklichen.

Damit die VINES-Ablösung und/oder die Abschaffung der Peer-to-Peer-Netze gelingt, bieten wir den DV-Beauftragten und Administratoren Unterstützung in vielfältiger Form an. Sie ist natürlich von unseren personellen Möglichkeiten und unserer Arbeitsbelastung abhängig. Einer großen Fakultät mit hauptamtlichen Administratoren werden wir nicht die gleichen Hilfeleistungen anbieten können wie einer kleinen selbständigen Einrichtung. Wir sprechen die Administratoren wegen der anstehenden Umstellung inzwischen direkt an, sind aber auch darauf angewiesen, dass der Kontakt nicht nur einseitig von uns aufrechterhalten werden muss.

Die wichtigsten unserer Angebote noch mal in der folgenden Aufzählung:

  • Gemeinsame Suche nach der geeigneten Lösung für die Ablösung von Banyan VINES oder des Arbeitsgruppen-Netzes, gemeinsame Planung der Umstellung;
  • Beratung bei der Hardware-Beschaffung und Beschaffung teilweise aus Mitteln des CMS;
  • Ausleihe von Server-Hardware für die Test-Phase und in der Umstellungs-Phase;
  • Bereitstellung eines stabilen und dauerhaft verfügbaren Testnetzes, in dem alle Konfigurationen und Administrations-Aufgaben geübt und getestet werden können (und sollten), bevor die Umstellung im eigenen Bereich in Angriff genommen wird;
  • Übergabe vorinstallierter Server, die nur noch in Betrieb genommen werden müssen;
  • Anleitungen, Skripte und Werkzeuge, die den Aufbau der Windows-Domäne vereinfachen;
  • Technische Administration aller Fileserver (gesamter Speicherplatz im SAN, Ausfallsicherheit durch Cluster unter Windows Server 2003) – die Institute kümmern sich nur um die Konfiguration der Zugriffsrechte, die Verwaltung ihres Speicherplatzes und die Betreuung ihrer Benutzer;
  • für kleinere Einrichtungen: Benutzer-Accounts in einer von uns administrierten Domäne – die DV-Verantwortlichen betreuen nur die Benutzer-Accounts und Gruppen, die Benutzer und ihre Rechner – sie brauchen aber keine eigenen Server.

Bitte nehmen Sie diese Angebote wahr. Mit einer E-Mail an wintech@cms.hu-berlin.de können Sie den Kontakt zu uns aufnehmen.

Die notwendigen Schritte bei der Umstellung wurden schon in [1] aufgezählt. Die bisher gemachten Erfahrungen zeigen, dass diese Aufgabe nur bewältigt werden kann, wenn

  • der DV-Beauftragte damit nicht allein gelassen wird, sondern mit der Institutsleitung plant und von ihr unterstützt wird;
  • das Vorhaben nach dem aufgestellten Zeitplan konsequent umgesetzt wird und für eine gewisse Zeit Priorität gegenüber anderen (wichtigen) Aufgaben bekommt;
  • die Umstellung in ständigem engen Kontakt zum CMS geschieht.

Den größten Zeitaufwand erfordert dabei nicht etwa die Installation der Server, sondern die Planung und Vorbereitung, die Einarbeitung in die neuen Aufgaben und die Umstellung der einzelnen Benutzer-Accounts und der einzelnen Computer. Das wird in der Regel unterschätzt.

Es gibt natürlich Aufgaben, die noch nicht erfüllt wurden und deshalb in unserem Arbeitsplan für die nächsten Wochen stehen:

  • die Umstellung der Mitarbeiter-Accounts (auch Mitarbeiter sollen nur noch einen Accountnamen und ein Passwort benutzen müssen – zurzeit heißt bei den meisten der Unix-Account noch anders als der Windows-Account).
  • die allmähliche Umstellung der Windows-Server von Windows 2000 auf Windows Server 2003.
  • Benutzer der Universitätsbibliothek sollen sich mit ihrem Aleph-Account ebenfalls im Windows-Netz anmelden können und zusätzliche Anwendungen freigeschaltet bekommen. Auch der freie Internet-Zugang wird dadurch dann möglich.
  • Mitarbeitern der umliegenden Forschungseinrichtungen aus dem IGAFA-Verbund soll ebenfalls die Nutzung von Diensten der Bibliothek und des CMS ermöglicht werden.
  • Der Zugang zum Windows-Netz von Orten außerhalb des HU-Netzes über VPN und der Web-Zugang zu Daten auf den Windows-Fileservern muß noch fertiggestellt werden.
  • Mit virtuellen Servern unter VMware GSX sollen die Möglichkeiten im Testnetz und für Lehrgänge deutlich verbessert und für uns der Arbeitsaufwand erheblich gesenkt werden.

Inhaltsverzeichnis

Windows-Server-Netz ...

Samba/LDAP ...

Ablösung von Banyan VINES...

Literatur ...


Samba/LDAP

In den vergangenen Monaten haben der Aufbau und die Verwaltung des Windows-Netzes den überwiegenden Teil unserer Arbeitszeit verschlungen. Da es mehrere, auch große Institute gibt, die auf die Samba-Lösung setzen, wird es Zeit, auch diese Strategie stärker zu unterstützen. Das ist vor allem deshalb wichtig, weil Lösungen gefunden werden müssen, die Benutzerverwaltung dieser Einrichtungen in einen gemeinsamen Verzeichnisdienst der HU zu integrieren, bevor diese Integration durch neue »Insel-Lösungen« im HU-Netz erschwert wird. Wie schon gesagt: unser Ziel bleibt die Schaffung eines Verzeichnisdienstes (Directory Service), der an jedem Standort im HU-Netz verfügbar ist und allen Benutzern an jedem Standort den einfachen Zugang zu allen Diensten ermöglicht und trotzdem ausreichende Sicherheit bietet.

Im April wird der erste Samba-Lehrgang stattfinden, in dem gezeigt wird, wie Samba mit einem LDAP-Verzeichnisdienst verknüpft werden kann und damit der Anschluss an die zentrale Benutzerverwaltung gelingt.

Inhaltsverzeichnis

Windows-Server-Netz ...

Samba/LDAP ...

Ablösung von Banyan VINES...

Literatur ...


Ablösung von Banyan VINES

In den vergangenen 12 Monaten ist es lediglich einem Institut gelungen, VINES abzulösen und auf Windows 2000 umzustellen. Sicher hat das auch damit zu tun, dass im CMS genug zu tun war, um den Umzug zu bewältigen und alle neuen Einrichtungen und Dienste im Erwin Schrödinger-Zentrum in Betrieb zu nehmen. Andererseits ist auch deutlich zu sehen, dass die DV-Beauftragten in den Instituten in Alltags-Problemen »versinken« und die Umstellung nicht genügend Priorität bekommt, weil sie nicht zur Aufgabe der gesamten Einrichtung wird.

Die Zeit für VINES läuft ab:

  • Wo Institute ihre alten Server abschalten, muss damit gerechnet werden, dass die Verfügbarkeit des VINES-Netzes auch für die verbleibenden Benutzer schlechter wird.
  • Es gibt keinen VINES-Client für das längst etablierte Windows XP.
  • Hardware-Ausfälle von VINES-Servern sind kaum noch zu beheben, weil die alte Hardware, die in diesen Servern einsetzbar ist, kaum noch vorhanden ist.
  • Die Leistungsfähigkeit der alten Server-Hardware (Speicherplatz, Netzwerk-Bandbreite) steht inzwischen in krassem Gegensatz zu den Anforderungen moderner Arbeitsplatz-Rechner und vor allem zu den Anforderungen der Benutzer an das Netz. Das führt dazu, das Netzlaufwerke auf VINES-Servern kaum noch genutzt werden, die großen Datenmengen der Benutzer aber ohne Backup auf den lokalen Platten der PCs lagern und in den schon genannten Peer-to-Peer-Netzen hin- und hergeschaufelt werden.
  • Zum größten Problem wird jedoch immer mehr, dass unser Netz an einigen Stellen einfacher strukturiert und leichter zu verwalten wäre, wenn das VINES-Protokoll nicht mehr unterstützt werden müsste. Mehrere Kollegen verbringen viel Zeit mit der Betreuung des VINES-Netzes, die besser in das Testen und in die Einführung neuer Technologien investiert wäre.

Die Möglichkeiten zur Weiterentwicklung unseres PC-Netzes sind vorhanden und sind in diesem Bericht genannt worden. Sie müssen nur genutzt werden. Wir bieten fast jede Hilfe an. Für mehr Benutzerfreundlichkeit und ein schnelleres und stabileres Netz lohnen sich die Anstrengungen für die Umstellung auf jeden Fall. http://edoc.hu-berlin.de/e_rzm/24/ naumann-winfried-2003-04-17/HTML/ 18.php

Inhaltsverzeichnis

Windows-Server-Netz ...

Samba/LDAP ...

Ablösung von Banyan VINES...

Literatur ...

Literatur

[1] Naumann, W.: Das PC-Netz der Humboldt-Universität im Wandel. CMS-Journal Nr. 24/April 2003, S. 53-56 (http://edoc.hu-berlin.de/e_rzm/24/naumann-winfried-2003-04-17/XML/18.xml)
[2] Rhode, D.: Zusammenarbeit organisieren mit TWiki.(http://edoc.hu-berlin.de/e_rzm/25/rohde-daniel-2004-05-11/XML/10.xml)