Windows im URZ
Dieser Artikel soll der Auftakt zu mehreren Veröffentlichungen
sein, die für die nächsten Monate im URZ zum Thema Windows geplant sind.
Es werden einige aktuelle Probleme benannt und technologische Ziele
formuliert, die in den nächsten Monaten mit Realität
untersetzt werden müssen.
Zahlreiche Dienste des URZ basieren auf zwei Betriebssystemen als
Hauptplattformen:
In unserer Einrichtung wird seit 1997 WindowsNT eingesetzt.
Mittlerweile hat Microsoft nach der Version Windows2000 nun WindowsXP auf den Markt
gebracht.
Objektive Gründe für das URZ, sich mit der Ablösung von
WindowsNT zu befassen sind zum einen die fehlende Unterstützung aktueller
Hardware (USB) und zum anderen die Herstellerankündigung, die
Unterstützung von WindowsNT einzustellen! Letztere Aussage hat sowohl
Konsequenzen hinsichtlich der Wartung des Betriebssystems als auch
für künftig einzusetzende Software, die
nicht mehr für WindowsNT bereitgestellt werden wird.
Damit ist seitens des URZ jedoch noch keine Entscheidung für eine
Umstellung gefallen. Das Thema ist nicht damit erledigt, ab morgen statt den
Installations-CD's für WindowsNT nun diejenigen für WindowsXP zu
nehmen und die entsprechenden PC neu zu installieren. Dies ist schon in Anbetracht
von mehreren Hundert PC's nicht möglich und wird auch bei der anderen
Hauptplattform nicht so realisiert. Ein Betriebsystem ist nur Mittel zum
Zweck, nämlich eine Basis zur Aktivierung von notwendigerweise zu
nutzender Software, um konkrete Aufgaben zu lösen.
Aktueller Stand und Ausblick
Das URZ bietet für eine effiziente Nutzung der an der TU existierenden
Rechentechnik sowie des Arbeitskräftepotentials eine Reihe von Diensten
an, wie
-
Bereitstellung/Installation von Software und deren Aktualisierung
-
Bereitstellung von Speicherplatz (Fileserving)
-
Sicherung der erzeugten/gespeicherten Daten (Backup)
-
authentifizierter Computerzugang (Login)
-
Gewährleistung der Computersicherheit (Security)
-
Installations-/Administrationsdienst
-
...
Diese Dienste sind in eine globale Technologie eingeordnet und konnten bisher
auch mit WindowsNT realisiert werden. Der Umstieg auf eine neue
Windows-Version kann somit nur im Einklang mit der Gesamttechnologie vollzogen werden
und unter Bewertung bzw. Einsatz neuer, im Betriebssystem enthaltener Technologien und
Werkzeuge.
Dies muss aber auf jeden Fall auch eine Bewertung der bisherigen Dienste sowie des
erforderlichen Aufwands zu deren Realisierung beinhalten.
Dabei musste festgestellt werden, dass eine Skalierung einiger Dienste nicht gegeben ist.
Beim Installations-/Administrationsdienst zum Beispiel steigt mit der Integration
weiterer Rechentechnik auch der personelle Aufwand erheblich. Gründe hierfür sind
unterschiedliche PC-Hardware, der Einsatz der Spezialisten vor Ort (hierbei
geht ein immenses Arbeitszeitpotential verloren) und vom Standard abweichende
technologische Sonderwünsche (z.B. Scanner unterschiedlicher
Hersteller oder differierende Einsatzszenarien beim Zugang zu
Druckerressourcen). Demgegenüber ist der
für in Pools integrierte PC's notwendige Aufwand wesentlich
günstiger, neben der örtlichen Konzentration vor allem auf Grund
gleicher Hardware, gleicher Software und gleicher technologischer Nutzung.
Auch der Aufwand für die Wiederherstellung konsistenter Windowsinstallationen ist
unverhältnismäßig hoch.
Weiterhin ist zu registrieren, dass es Fälle gibt, in denen eine
Nutzung spezieller Dienste vereinbart wurde, diese auch seitens des URZ
realisiert aber seitens des Nutzers niemals genutzt wurden (z.B.
die Bereitstellung von spezieller Software oder des Betriebssystems Linux)! Dies ist
mindestens eine Vergeudung von Ressourcen des URZ.
Globale Zielstellungen
Ein Umstieg auf eine neue Betriebssystemversion muss also unbedingt diesen und
weiteren Fakten Rechnung tragen!
Somit sind folgende Zielstellungen zu beachten:
-
effektiverer Einsatz von Ressourcen (personell, finanziell)
-
Einsatz skalierbarer Technologien
-
Überarbeitung der Dienste und der mit diesen in Zusammenhang stehenden
Vereinbarungen (service level agreements)
-
Realisierung von Diensten, einschließlich der Beschaffung von Hardware,
nur dann, wenn
dies für beide Seiten (Dienstenutzer und Diensteanbieter)
Synergieeffekte bringt
-
zukunftssichere Technologie
-
Technologien für mobile Geräte
-
Abrechenbarkeit/Nachweisführung
Künftige Dienste und Teiltechnologien
Nachfolgend einige Überlegungen zum möglichen künftigen
Dienstleistungspektrum:
Installationsdienst
Bezieht sich auf Mitarbeiterarbeitsplätze.
Die Erstinstallation erfogt durch das URZ, die Wiederherstellung jedoch durch den lokalen
Administrator - identisch mit dem Hauptnutzer - ausgestattet mit entsprechenden Rechten, Werkzeugen und Kenntnissen.
Adminstrationsdienst
Künftig nur für Poolrechner und pool-ähnliche
Arbeitsplatzrechner.
Voraussetzung: gleiche Hardware
Beschaffungsdienst für PC's
Initiierung eines zentralen Beschaffungsdienstes für PC's, sowohl Pools
als auch Arbeitplatzrechner betreffend.
upgrade-Dienst
Automatische Aktualisierung von security-relevanten Systemkomponenten.
Beratungs- und Ausbildungsdienst
Verbesserung und Effektivierung des Beratungs- und Ausbildungsdienstes -
Durchsetzung helpdesk-Nutzung, Beratungszeiten/-dienst, spezifische
Weiterbildungsangebote
Vorortarbeiten
Keine Vorortarbeiten durch URZ-Mitarbeiter,
Vorortarbeiten durch ausgebildete Hiwi's gegen Bezahlung.
Nutzerverwaltung, Softwaredienst
(siehe nachfolgende Punkte)
Hinsichtlich der möglichen Windowsversionen gibt es eine Orientierung auf
WindowsXP für Arbeitsplätze/Poolrechner und auf Windows2000 für
den möglichen Servereinsatz.
Es dürfte erkennbar sein, dass die mit der Umsetzung dieser Anforderungen
verbundenen Arbeiten nicht von heute auf morgen realisierbar sind. In den
nächsten Ausgaben der "Mitteilungen des URZ" soll deshalb der jeweilige Stand der
Aktivitäten dargestellt werden, wie auch Konkretisierungen hinsichtlich
technologischer Vorhaben.
Künftige Nutzerverwaltung - Varianten für Windows
Einer der wichtigsten Gesichtspunkte bei der öffentlichen Bereitstellung
einer Betriebssystemplattform ist die Frage der Nutzerverwaltung und Authentifizierung.
Dabei steht zwar die Sicherheit im Vordergrund, aber Nutzeridentifikation ist z.B.
auch für die Abrechnung von Druckjobs erforderlich.
Nicht zu vernachlässigen ist die Anpassung der Oberfläche an persönliche Vorstellungen und
die individuelle Konfiguration der Anwendungsprogramme, welche oft die tägliche Arbeit erleichtern.
Aktueller Stand
Für die Windowsplattform in den Ausbildungspools und an Mitarbeiterarbeitsplätzen kommt derzeit
die Technologie einer Domain zum Einsatz. Hierbei übernehmen 3 Server die Verwaltung
der Nutzeraccounts. Das bedeutet, dass eine eigenständige Datenbasis mit Nutzerkennzeichen
und Passwörtern für diese Windowsdomain existiert. Eine Synchronisation mit den für E-Mail, WWW
und Linux-PCs existierenden Passwörtern ist nur über Umwege in beschränktem Umfang möglich.
Die Bereitstellung der Konfigurationsinformationen für Oberflächen und Anwendungsprogramme
erfolgt bereits über das AFS-Homeverzeichnis des Nutzers.
Ziele
Ziel beim Aufbau der zukünftigen Windowsplattform soll aus Nutzersicht ein einheitlicher Mechanismus
zur Authentifizierung mit URZ-Account und eine transparente Sicht auf das Homeverzeichnis sein.
Aus administrativer Sicht wird nach einer möglichst einfachen Struktur gesucht, welche eine
sehr gute Integration in vorhandene Dienste des URZ erlaubt.
Eine zentrale Rolle wird dabei weiterhin AFS als Netzwerkfilesystem für die Homeverzeichnisse spielen.
Aus Sicht der Nutzerverwaltung eröffnen sich einige Realisierungsmöglichkeiten, welche nachfolgend
näher betrachtet werden sollen.
Migration der Domain "URZ_POOLS"
Eine Möglichkeit beim Aufbau einer künftigen Windowsplattform stellt die Migration der
laufenden Domain "URZ_POOLS" dar. Der Aufwand dafür lässt sich zwar schwer abschätzen, da
bekanntlich in den Details die Probleme versteckt sind, wird aber vom Hersteller
als gering beziffert. Eine schrittweise Aktualisierung der Arbeitsstationen ermöglicht somit
einen "sanften" Übergang.
Ein gravierender Nachteil liegt hier in der Übernahme der vorhandenen Technologie und damit verbundener
Probleme. Die Möglichkeit eines neuen Entwurfs des Gesamtsystems sowie die Erprobung neuer Lösungen
werden dabei regelrecht verbaut. Deshalb wird diese Variante als nicht zukunftsorientiert betrachtet.
Active Directory und die Folgen
Neben der Migration der vorhandenen Domain besteht auch die Möglichkeit,
eine neue Domain-Struktur
auf Basis von Active Directory aufzubauen. Dabei tritt aber wieder das Problem der Nutzerverwaltung auf.
Eine Anbindung an vorhandene Dienste wie die URZ-Account-Datenbasis MoUSE ist nur über zusätzliche
Programmieraufwendungen möglich. Ein Passwortabgleich mit AFS scheint nicht möglich.
Neben den erwähnten Problemen erfordert die Einführung von Active Directory einige grundlegende Änderungen
an zentralen Netzdiensten DHCP und DNS. Die Aufwendungen für diese
technologische Variante scheinen in einem ungünstigen Verhältnis zu den
nutzbaren Features von Active Directory zu stehen.
GINA - Graphical Identification and Authentification
Hinter dem Titel GINA verbirgt sich eine Entwicklerschnittstelle von Microsoft für zusätzliche
Identifizierungsverfahren. Beispielanwendungen sind z.B. Smartcards oder biometrische Verfahren.
Daneben existieren aber auch einige freie Projekte, meist universitärer Einrichtungen, welche die
Synchronisation von Nutzeraccounts zwischen UNIX- und Windowssystemen unterstützen.
Ein auf AFS-Authentifizierung basierendes Modul wird seit einiger Zeit als alternative Lösung zur
Windowsdomain erprobt.
Vorteilhaft ist eine schnelle, domain-unabhängige Anmeldung. Demgegenüber stehen Aufwendungen für die
Pflege von Systemrichtlinien (Policies), welche bisher über das Domain-Konzept abgedeckt wurden.
Ausblick
Keine der dargestellten Varianten kann als die ideale Lösung für die Nutzerverwaltung der
zukünftigen Windowsplattform betrachtet werden. Im Rahmen von Experimenten und Testumgebungen sind
weitere Möglichkeiten unter Einbeziehung des OpenSource-Projektes SAMBA zu untersuchen.
In der Gesamtkonzeption müssen neben den Aspekten der Nutzerverwaltung noch weitere Punkte wie
Softwareinstallation u.v.m. beachtet werden.
Softwaredienst
Aktueller Stand
Softwarenutzung
Zwei Varianten:
Nach Abschluss einer Vereinbarung zwischen URZ und Nutzer wird eine einmalige
lokale Basisinstallation realisiert, mit einem einmaligen Entgelt für
technologisch bedingte Systemsoftware.
Weiterhin ist ein Zugriff auf zentrale kostenpflichtige Software möglich.
Die Anzahl der kostenpflichtigen Software wird mit diversen Lizenzmanagern,
Dongles bzw.
Installationscodes begrenzt. Durch Rechtevergabe können Lizenzen nur
bestimmten Nutzern zugeteilt
werden. Bei dieser Nutzungsart stehen dem Nutzer pro Arbeitsplatz theoretisch
107 Programme zur Verfügung.
Für die kostenpflichtige Software ist vereinbarungsgemäß eine
Kostenbeteiligung pro Mitarbeiterarbeitsplatz zu entrichten.
Installation/Verteilung
Neu installierte Software wird mittels Administrationstools (MS Systems
Management Server bzw.
selbst entwickeltem Managementscript) auf die Arbeitsplätze verteilt.
Für einige Programme ist es notwendig, dem Nutzer eine persönliche
Nutzerumgebung (z. B.
Umgebungsvariable, Registryeinträge, notwendige eigene Systemdateien
usw.) einzurichten. Das erfolgt
mittels eines Scriptes, das alles Erforderliche beim erstmaligen Start des
Programmes generiert.
Probleme
-
Unterschiedliche Hardware bringt Probleme bei Standardinstallationen von
Software.
-
Veraltete Hardware macht nach Jahren Probleme bei weiterentwickelten
Softwareprodukten, besonders bei
CAD- und Grafiksoftware treten Geschwindigkeits- und Speicherplatzprobleme
auf.
-
Unverträglichkeit von Programmen, verursacht durch namensgleiche
dynamische Bibliotheken und Dateien. Zusätzlich treten Probleme durch Notwendigkeit von Schreib-
und Änderungsrechten in Installationsverzeichnissen und diversen lokalen Verzeichnissen auf,
da ein Nutzer hier keine Änderungsrechte haben darf.
-
Unzulänglichkeiten und Instabilitäten der Administrationsprogramme
begrenzen die Möglichkeiten der Ferninstallation und -wartung.
-
Instabilitäten von Anwendungsprogrammen, die nicht für eine
Installation im Netz vorgesehen sind,
erfordern Nacharbeit und Tests.
Künftige Softwareinstallation und -wartung
Ziele
-
Wartungsarmer stabiler Betrieb der Programme bei guter Performance der
Software
-
Wartung erfolgt möglichst ausschließlich über das Netz
-
Abrufbare Daten zu installierter Software
-
Absicherung der Einhaltung der Lizenzbedingungen
-
Software-upgrades nur für Pool- und poolähnliche Computer
sonst Selbstinstallation, über sogenannte "Tankstellen"
-
Verringerung der Vielzahl von Softwareprodukten durch Konzentration auf
Schwerpunktsoftware (Kostensenkung, Verbesserung der Stabilität,
Support-Verbesserung)
-
Unterschiedliche Varianten für Softwarebereitstellung bzw. -nutzung
Softwarebereitstellungsvarianten
-
Applikationsserver
Kleine Programme beschränkter Lizenzanzahl werden auf einem
Applikationsserver angeboten. Zugriff/Nutzung ist sowohl von Windows- als auch
Linuxarbeitsplätzen möglich.
-
Installation im Netz
Bereitstellung von Installationen im AFS und anschließend Verteilung auf
Arbeitsplätze.
-
Lokale Installationen
CAD-, Grafikprogramme, Browser, Officeprogramme, Antivirenprogramme,
Programme, die vom Hersteller
nur für lokale Installation vorgesehen sind und ggf. vom Nutzer
gewünschte spezifische Programme
werden einmalig lokal installiert.
Softwareprodukte
Die im bisherigen Windows NT-Administrationsdienst angebotene Vielzahl von
Softwareprodukten muss zurückgefahren werden auf Software, die vom URZ
effektiv gewartet und unterstützt werden kann
(Netzwerktauglichkeit, Lizenzbestimmungen, Kosten). Sowohl die
verringerten Kosten als auch der bessere Support dürften den meisten
Nutzern Vorteile bringen. Einzel- bzw. Spezialsoftware sollte vom Nutzenden
selbst beschafft und gewartet werden - bei Ausnutzung der vom Händler oder
Hersteller angebotenen Zusatzleistungen - , da eine zentrale Beschaffung
keinerlei Synergieeffekt bringt.
Vom URZ ist eine Liste empfohlener Software zu erarbeiten und mit den
potentiellen Nutzern zu diskutieren. Empfohlene Software soll Bestandteil
einer Basisinstallation sein und außerdem für eine entsprechend breite
Nutzung exklusiv positioniert werden. Dabei ist neben Effizenz besonders auf Standards,
offene Protokolle, Plattformunabhängigkeit und Zukunftssicherheit zu
achten.