Tech

nik

New

s -

Net

zwer

kmag

azin

12. Jahrgang

N

t h e m a d e s m o n a t s

09

G46392

September 2002

D a s p r a x i s n a h e N e t z w e r k m a g a z i n

TECHNOLOGIE UPDATE

.NET ServerTeil 1: Neue Features des Betriebssystems

PRAXIS

Gefiltert undverschlüsselt

Schutzmechanismen imWireless LAN

Ausgabe 09/2002

22222

09

COMPU-SHACKElectronic GmbH,Ringstraße 56-58,56564 Neuwied

02631/983-002631/983-199TECHNEWS @COMPU-SHACK.COM

Heinz Bück

Ulf Wolfsgruber

monatlich 1 Heft

Bezug überCOMPU-SHACKElectronic GmbHJahres-AbonnementzuzüglichMWSt.:Inland: 60,84 €Ausland: 86,41 €

Heinz BückJörg Marx

Anja Dorscheid

Wolanski GmbH,Bonn

Andrea Briel

Görres-Druckerei,Koblenz

Marie-Luise Ringma

Reproduktionen aller Art (Fotokopien, Mikrofilm,Erfassung durch Schrifterkennungsprogramme)- auch auszugsweise - nur mit schriftlicher Geneh-migung des Herausgebers.Wir möchten uns nachträglich bei all denen be-danken, die durch die freundliche Zusammenar-beit das Erscheinen dieser Zeitung ermöglicht ha-ben. Als Informationsquelle dient uns auch dasInternet. Wenn Sie speziell über Ihre Erfahrungenreferieren möchten, bieten wir Ihnen dies unter derRubrik “Hotline” an.

Selbstverständlich kann COMPU-SHACK die ein-wandfreie Funktion der vorgestellten Patches undTips nicht garantieren und übernimmt keinerleiHaftung für eventuell entstehende Schäden.

Herausgeber:

Telefon:Telefax:

Electronic Mail:

Redaktion:Hotline und Patches:

Verantwortlichfür den Inhalt:

Technische Leitung:

Erscheinungsweise:

Bezugsquelle:

Layout und Titelbild:

Druck:

Lektorat:

www.technik-news.de

• Compu-Shack: Neue Partner in Sachen Netzwerk-Sicherheit 3

AKTUELL

NEWS

THEMA DES MONATS

HOTLINE

PRAXIS

SOLUTIONS

20Abo-Versand:

• Messen, Roadshows, Termine 5 8

VORSCHAU

• Training, Support und Projekte 11,29,47,51,57

.NET ServerTeil 1: Neue Features des Betriebssystems

Inhalt der Patch CDB6202P01.x3B 1333 KBBM35ADM7.exe 118 KBBM37VPN2.exe 4997 KBBW621.exe 8761 KBCS1SP4.exe 12634 KBDHCP311D.exe 183 KBNFAP1SP2.exe 1622 KBNW51SP5.exe 374429 KBPXY031.exf 758 KBXC533.xcm 1154 KBXCONSS9F.exf 156 KB

Bei der aktuellen Diskussion der neuen Microsoft.Net-Technologien steht meistens XML als zu-kunftsweisende Plattform für universelle Web-Dien-ste im Vordergrund. Wir hingegen wollen uns mitdem Serverbetriebssystem der .NET-Server Familybeschäftigen, dem eigentlichen Fundament, auf dasdie .NET-Architektur aufsetzt.

• KOBIL Sytems: SecOVID-Authentifizierungssysteme mit Chipkarten und Token 4• SonicWALL: Sicherheit in verteilten Unternehmen 5• 3COM: OfficeConnect Cable/DSL Secure Gateway 6• 3COM: LAN-Telefonie für wachsende Unternehmen 6• 3COM: OfficeConnect Wireless PC Card für Einsteiger 7• Avaya: IP Office für kleine und mittelständische Unternehmen 7• Computer Associates: eTrust Admin 2.0 optimiert User-Verwaltung 8• BinTec: XAir erhöht die Sicherheit 8• AVM: Mit ISDNWatch sicher ins Web 9• Cisco Systems: COMET Lösungen für höchsten Datendurchsatz 1 0• CS: WAVEline Compact-Flash Adapter 1 1• IBM: Mini-Rack für kleine Unternehmen 1 2• Enterasys Networks: Rapid Re-Keying im Wireless LAN 1 2• IBM: Intel 32-bit Server mit modularer Architektur 1 3• Tobit: DvISE-Familie optimiert 1 3• Netgear: Switch für kleinere Netzwerke 1 4• Novell: NetMail XE 3.1 für Windows 1 4• Novell: Identitätsmanagement 1 5• AVM: FRITZ! v3.03 1 5• Tobit Software: Unified Messaging für Exchange 1 6• Tobit Software: Nachrichtenzentrale David MX und XL 1 6• Bluetooth Special Interest Group: ISDN über Bluetooth standardiert 1 7• Newsticker 1 8

• Empfohlene Novell und Microsoft Patches 3 0• Empfohlene BinTec und Tobit Patches 3 1• Empfohlene Veritas Patches 3 2• Neue Patches in der Übersicht: Veritas 3 4• Neue Patches in der Übersicht: Novell 3 6• Neue Patches in der Übersicht: Microsoft, Bintec 3 7• BinTec: X-Router Software v6.22, Teil 1: Security Features DynDNS und DynVPN 3 8• Cisco: Wireless Utilities, Teil 2: Setup des Cisco Aironet 350 Access Points 4 0• Novell: Performance von Microsoft Client 4 4• Tandberg Data: SCSI- Schnittstellen 4 7• Novell: Interessante Tips der Deutschen Netware FAQ 4 8

• Wireless Security: Schutzmechanismen im Wireless LAN 5 0• Do IT Dot NET, Teil 6: Die Architektur des Commerce Server 2000 5 2• Nortel Networks: Alteon CACHEdirector 5 6

Inhalt der Service CDCDCONONE133SP1.exe 35734 KBJVM131SP1.exe 49125 KBNC332SP1.exe 21379 KBNC483SP1.exe 4654 KBNW6SP2.exe 257035 KBW2KSP3.exe 128540 KBW2KSP3E.exe 127909 KB

33333

09 Ausgabe 09/2002

C

aA K T U E L L

A K

T U

E L

L

Compu-Shack verstärkt ihre Initiati-ven im Bereich Security und erwei-tert ihr Angebot an ausgewähltenSicherheitsprodukten um das Port-folio der Hersteller KOBIL Systemsund SonicWALL. Neben einerFokussierung auf die vielfältigenSicherheitslösungen ihrer zahlrei-chen Herstellerpartner steht bei die-ser Offensive in Sachen Netzwerk-Si-cherheit die Ausweitung des Produkt-und Dienstleistungsangebots oben-an. Ein eigenes Security-Team unter-stützt die Fachhandelspartner in densicherheitsrelevanten Technologie-bereichen. Es berät Systemhäuser undReseller bei neuen Hard- und Soft-ware-Produkten aus den führendenSecurity-Portfolien weltweit agieren-de Herstellerpartner und bietet zudemConsulting und Support für einenumfassenden Network Security Ser-vice.

sichere Abwicklung von e-Banking,e-Government und Anwendungenmit Digitaler Signatur gewährleisten.Zudem stellt KOBIL SystemsAuthentifikations- und Verschlüsse-lungslösungen her, die Netzwerke vorunberechtigten Zugriffen schützenund eine sichere Kommunikation er-möglichen.Auf die Eigenentwicklungen derKOBIL Systems setzen große Unter-nehmen wie die T-TeleSec, das LandRheinland-Pfalz und namhafte Bank-institute wie etwa die Hypo Vereins-bank. Der Vertrieb erfolgt überSystempartner und Reseller. Mit sei-nen qualitativ hochwertigen Produk-ten sieht der Hersteller seinen Marktin ganz Europa. Damit empfiehlt ersich hervorragend als Compu-ShackPartner, mit einem intelligten Port-folio an Chipkartenterminals undIdentifikationssystemen, IT-Sicher-heitslösungen sowie Verschlüsse-lungs- und PKI-Technologien.

schleuniger, Firewalls mit höchster3DES-Performance, aber auchContent Filter, Authentfizierungs-Lösungen und Virenschutz. Zur Ad-ministration von regional oder welt-weit verteilten Sicherheitsstrukturendient das SonicWALL Global Mana-gement System.Als führender Anbieter von Security-Lösungen agiert SonicWALL welt-weit und realisert sichere Verbindun-gen mit externen Standorten undTransaktions-Sicherheit im E-Commerce.Für den Netzwerkzugang von mobi-len Benutzern und Teleworkern oderden Austausch von vertraulichen In-formationen mit externen Partnernüber das Internet gibt es ein differen-ziertes Lösungsangebot. Die IPsec-VPN- und ASIC-Technologie erlaubteinen schnellen Zugriff auf Unter-nehmensressourcen, Authentifizie-rungsdienste erhöhen die Sicherheitmit öffentlichen Schlüssen oder di-gitalen Zertifikaten. SonicWALL un-terhält strategische Partnerschaftenzu Cisco, 3COM, NetGear undNetwork Associates.

Mit KOBIL Systems wurde ein re-nommierter deutscher Hersteller vonIT-Sicherheits-Lösungen als Partnergewonnen. Das 1986 gegründeteWormser Unternehmen ist u.a. auf dieEntwicklung von multifunktionalenChipkartenterminals sowie aufAuthentifikations- und PKI-Applika-tionen spezialisiert. Das Angebotumfaßt Smartcard-basierte Sicher-heits-Software und Chipkarten-terminals der Klasse 1 bis 4, die eine

Internet Security für Web Access undTransaktionen ist die Kernexpertiseder britischen SonicWALL. Das 1991gegründete Unternehmen bietet einreichhaltiges Portfolio an Kompo-nenten und Diensten zum Sicher-heits-Management und bedient da-mit kleine, mittlere und große Unter-nehmen gleichermaßen. Es umfaßtVPN-Konzentratoren und SSL-Be-

COMPU-SHACK

IT´s SecurityNeue Partner in Sachen Netzwerk-Sicherheit

Von Heinz Bück

Compu-Shack hat im Rahmen ihrer Security-Offensive mit KOBIL Systems und SonicWALL zwei neue Hersteller-partner gewonnen, die mit einem exzellenten Portfolio führender Sicherheits-Technologien aufwarten. Die deutscheKOBIL Systems bietet mit ihren intelligenten Chipkartenterminals bewährte IT-Sicherheits-Lösungen. Die britischeSonicWALL ist Spezialist im Bereich Internet Access und Transaction Security.

Informationen zu Security-Pro-dukten erteilt das BusinessTeam Development unter02631/983-458 oderpm-busdev@compu-shack.com.

KBBKB

BKBKB9 KB

B

Ausgabe 09/2002

44444

09

S

KOBIL SYSTEMS

EinmalpaßwörterSecOVID-Authentifizierungssysteme mit Chipkarten und Token

Mit SecOVID bietet KOBIL Systems für die Internet- und Netzwerksicherheit in Unternehmen ein intelligentes Authenti-fizierungssystem auf Chipkartenbasis. Durch die Verwendung einmalig generierter Paßwörter gewährleistet es er-höhte Sicherheit bei der Benutzeranmeldung im Netz und einen wirkungsvollen Schutz vor dem Ausspionieren vonZugangsberechtigungen durch Replay- und Brute Force-Attacken oder trojanische Pferde.

SecOVID steht für SecureOne-Time Verification andIDentification und ist einintelligentes Zugangs-schutzsystem, das eines dermeistgängigen Sicherheits-probleme im Netzwerk lö-sen hilft, das Ausspähen vonBenutzernamen und zuge-höriger Paßwörter. Da derZugriff auf Netzwerke oderschützenswerte Ressourcenüblicherweise mit Paßwör-tern geschieht, die sich er-fahrungsgemäß nur seltenändern, bietet sich Hackerneine willkommene Angriffsfläche, umunberechtigten Zugang zu einemSystem zu erlangen. Gegen solcher-lei Angriffe bietet die Installationvon SecOVID ein zuverlässigesSchutzsystem. Denn es ersetzt die sta-tischen Paßwörter im System durchEinmalpaßwörter, die nach dem er-sten Gebrauch ihre Gültigkeit wiederverlieren.

SecOVID ReaderWie gewohnt gibt der Benutzer denUser-Namen und ein Paßwort ein, da-mit der Server den Zugang gestattet.Doch anders als sonst ist jedes Paß-wort nur ein einziges Mal gültig. Fürden Benutzer ist immer nur das Paß-wort aktuell gültig, das durch seineSecOVID-Chipkarte berechnet undauf dem Display des Taschenkarten-lesers SecOVID Reader oder SecOVIDReader Plus angezeigt wird. Zur Frei-schaltung seiner Chipkarte muß derBenutzer eine Karten-PIN eingeben.Noch praktischer ist die Handhabung

des SecOVID Tokens in der Größe ei-nes Schlüsselanhängers, das aufKnopfdruck nach Eingabe der PIN einEinmalpaßwort generiert und in sei-nem Display anzeigt. Auch im Falleeines Diebstahls von Taschenkarten-leser, Chipkarte oder des SecOVIDTokens eines Benutzers entsteht keinSicherheitsrisiko, da die Sicherheitder Authentifizierung immer auf zweiFaktoren beruht.

SecOVID-ServerServerseitig besteht das System auseinem Admintool zur Benutzer- undKartenverwaltung sowie aus demSecOVID-Server, der Paßwortan-fragen entgegennimmt, prüft und dasErgebnis zurückgibt. Der SecOVID-Server ist kompatibel zum RemoteAuthentication Dial-In User Service,dem bekannten de facto-Standard füreine zentralisierte Benutzerauthenti-fizierung. Doch kann der SecOVID-Server durchaus als RADIUS-Servermit erweiterten Fähigkeiten angese-

hen werden, denn er über-prüft auch statische Paßwör-ter und weitere Bedingun-gen wie die Telefonnummeroder IP-Adresse des Benut-zers. Zudem kann der SecOVID-Server unterschiedli-che Berechti-gungslisten fürBenutzer verwalten.

N E

W S

nN E W S

SecOVIDIntegration

Eine Integration desSecOVID-Systems in Hard-und Software-Produkte, die

eine Authentifizierung von Benut-zern durchführen wie Firewalls,Router, Webserver oder diverse Be-triebssysteme, ist in den meisten Fäl-len sehr einfach durchführbar.SecOVID kann mit geringem Auf-wand prinzipiell überall dort einge-setzt werden, wo bisher normale Paß-wörter benutzt wurden. Es verbessertdie schwache User-Authentifikationvon Netzwerk-Betriebssystemen,auch wenn Benutzern die Einwahlüber das Telefonnetz ermöglicht wer-den soll. Ob für Remote Access Ser-vice oder moderne Router, die zumNetzwerk-Login die Telefonanrufeentgegennehmen, es ist lediglich derSecOVID-Server im Firmennetzwerkzu installieren. In der Praxis habensich KOBIL zufolge VPNs und Router- z.B. im Zusammenspiel vonSecOVID mit Bintec- und Cisco-Routern - als vollkommen problem-los erwiesen. Weitere Info zu KOBILsSecOVID-Authentifizierungssys-temen finden Sie unterwww.portal.compu-shack.de.

55555

09 Ausgabe 09/2002

SONICWALL

Global Management SystemSicherheit in verteilten Unternehmen

SonicWALL bietet nicht nur Komponenten und Dienste zum Sicherheits-Management im Unternehmen, im E-Commerceund in Behörden, sondern auch Anwendungen zur Zugriffssicherheit und Sicherheitsprodukte für Transaktionen. DasPortfolio bedient kleine, mittlere und große Unternehmen. Es umfaßt Firewalls mit höchster 3DES-Performance, VPN-Konzentratoren und SSL-Beschleuniger, aber auch Inhaltsfilter, Authentifizierungs-- sowie Antivirus-Lösungen. Kern-stück einer übergreifenden Administration ist das Global Management System.

Sichere Verbindungen mit ex-ternen Standorten zu schaf-fen, gehören zur Kern-expertise der SonicWALL, um den Aus-tausch von vertraulichenInformationen mit mobilenBenutzern, Tele-workern oderexternen Partnern über das Internetzu schützen. Die IPsec-VPN- undASIC-Technologie von SonicWALLbieten dabei einen schnellen und si-cheren Zugriff auf die Unternehmens-ressourcen. Der Authentifizierungs-dienst erhöht die Sicherheit der In-frastruktur mit öffentlichen Schlüssenwie PKI und digitalen Zertifikaten ineiner einfach anzuwendenden Lö-sung. Die SSL-Beschleuniger besei-tigen langsame Reaktionszeiten imWeb, weil sie die Webserver bei SSL-Transaktionen entlasten und derenRessourcen und Rechenleistungschonen. Für ein umfassendes Mana-gement der verschiedenen Sicher-heitsbereiche sorgt das SonicWALLGlobal Management System (SGMS).

Global ManagementGerade bei dezentralen Netzwerkenwird das Management von Sicher-heitsrichtlinien und -diensten zuneh-mend komplexer. Das SonicWallSGMS stellt Unternehmen undDienstanbietern dazu eine zentralePlattform, um von einem Standort auseine Vielzahl von Sicherheitsan-wendungen und -komponeneten ver-walten zu können. Das Global Mana-gement System ist eine übergreifen-de Software-Lösung zur Administra-

tion und Verwaltung derSonicWALL Internet Security

Appliances in verteilten Netzwerk-strukturen. Sie bietet dabei Unterneh-men wie Service Providern die Mög-lichkeit, Tausend von SonicWALLInternet Security Appliances zentralzu managen. Dienstleister undProvider erhalten damit flexible, lei-stungsstarke und einfach zu bedie-nende Werkzeuge, um ihren Kundenkostengünstig Managed Security Ser-vices anzubieten. Die Möglichkeit,Sicherheitsrichtlinien zentral zu ver-walten, reduziert den Personalbedarfin verteilten Strukturen, trägt wesent-lich zur Verringerung der Kosten beiund erhöht die Profitabilität.

Verteilte ArchitekturAdministratoren können über SGMSdie SonicWALL Appliances in ver-teilten Architekturen konfigurieren,Services wie VPN, Anti-Virus undContent Filter verwalten und Up-rades durchführen. Die Applianceswerden dabei entweder individuellverwaltet oder aber die Policies wer-den an Gruppen gebunden oder au-tomatisch an alle verwalteten

SonicWALL Appliances verteilt.Dazu werden die Datenwährend der Übertragung

mittels VPN-Technologieverschlüsselt, um ein Höchst-

maß an Sicherheit zu gewähr-leisten. Das SGMS LoadBalancing ermöglicht eineredundante Auslegung des Sy-stems sowie eine ausgewoge-ne Lastverteilung, um eine

größtmögliche Verfügbarkeitund eine effiziente Ausnutzung derBandbreite zu gewährleisten. MitSonicWALL SGMS können die Ad-ministratoren große verteilte Netzesegmentieren und die Management-Aufgaben auf verschiedene Mitarbei-ter verteilen.

Entry EditionUm auch kleineren verteilten Unter-nehmensstrukturen die Möglichkeitdes zentralisierten Managements zugeben, bietet SonicWALL die SGMSEntry Edition an. Sie ist zur Verwal-tung von bis zu 20 SonicWALLInternet Security Appliances einsetz-bar, ob für VPN oder Sicherheits-Ser-vices wie Anti-Virus, Content Filteroder starke Authentisierung. So-nicWALLS GMS beinhaltet zudemumfangreiche Reporting-Tools, un-terstützt verschiedene Datenbanken,und bietet sowohl ein einfach zu be-dienendes Web-Interface als auch einCommand Line Interface. Weitere In-formationen zu den SonicWALL-Sicherheitslösungen finden Sie imCompu-Shack Fachhandelsportal:www.portal.compu-shack.de.

Ausgabe 09/2002

66666

09

D

N E

W S

nN E W S

K

3COM

ErweiterteKapazität

LAN-Telefonie für wachsende Unternehmen

3com verdoppelt die Kapazität ihrer NBX Hard- und Soft-ware und unterstützt nun Unternehmen mit bis 1.500 Ne-benstellen pro Standort. Die Erweiterung der NBX-Platt-form ist Teil der 3Com Strategie, Kunden skalierbare IP-Telefonie-Merkmale und erweiterte Kommunikations-möglichkeiten zu bieten.

3COM

Multiple-User-VerbindungenOfficeConnect Cable/DSL

Secure Gateway

Mit dem OfficeConnect Cable/DSL Secure Gateway bie-tet 3Com kleinen und mittelständischen Unternehmen absofort einen kostengünstigen Breitbandzugang mit hoch-wirksamen Sicherheitsvorkehrungen. Das Gateway be-inhaltet neben der Übersetzung von Netzwerk- und Port-adressen, Traffic Filter und der Erkennung von Hacker-attacken eine hochwirksame Firewall. VPN-Verbindun-gen können nach Bedarf initiiert und terminiert werden.

Kostengünstig gestaltet sich das OfficeConnect Cable/DSL Secure Gateway für kleine und mittelständische Un-ternehmen vor allem durch die Möglichkeit, Multiuser-Verbindungen aufzubauen und somit bei DSL- wie auchbei der Kabel-Breitbandanbindung Kosten zu reduzie-ren. Diese Einsparungen bietet übrigens auch das seit Fe-bruar 2002 erhältliche OfficeConnect Cable/DSLGateway. Die Secure Variante bietet zudem eine Firewall,die Industrie- und Sicherheitsstandards entspricht undsämtliche Transaktionen verfolgt, um sicherzustellen, daßeingehende Datenpakete tatsächlich aus dem firmenin-ternen Netzwerk angefragt wurden. Die Daten-verschlüsselung kann über die Standardprotokolle PPTPoder IPSec erfolgen.

ConnectionsEin integrierter Switch stellt dem Anwender insgesamtvier Ethernet/Fast Ethernet LAN-Ports zur Verfügung. DieVerbindung des 3Com OfficeConnect Cable/DSLGateway zum Internet erfolgt über einen lokalen Ethernet-Anschluß, der mit einem Kabel- oder DSL-Modem ver-bunden ist. Um die Installation zu erleichtern, erkenntdas Secure Gateway den verwendeten Ethernet-Kabeltypund stellt automatisch die passende Verbindung ein. An-wender können sich direkt über die vier Ports verbindenoder jeder Anschluß kann auch für die Anbindung an einbestehendes Büronetzwerk verwendet werden. Bei derErweiterung über ein LAN können mehr als 250 Anwen-der auf einen einzigen Breitband-Internet-Zugang zugrei-fen. Das 3Com OfficeConnect Cable/DSL Secure Gatewayist ab sofort verfügbar.

Die erweiterte Kapazität der NBX Hard- und Software bie-tet nun Unternehmen verschiedenster Größenordnungeine differenzierte Auswahl bei der Implementierung vonIP-Telefonie. Eine höhere Dimensionierung und verbes-serte Kommunikations-Anwendungen für einen optimier-ten Kundenservice schaffen Investitionssicherheit aus ei-ner weitreichenden Skalierbarkeit. Als Teil einerEnterprise Strategie, die auch größere und verteilte Un-ternehmen adressiert, hat 3Com die Kapazität ihrer NBX-Plattform verdoppelt. Das SuperStack 3 NBX-Systemreicht jetzt von zwei bis zu 1.000 Anwendern pro Stand-ort, eine Systemerweiterung auf 1.500 Geräte ist mit ei-nem gebührenpflichtigen Software-Schlüssel aktivierbar.

InvestitionsschutzUnternehmenskunden mit starkem Wachstum müssen ihreNBX Hard- und Software nicht ersetzen, um ihr System zuerweitern. Für eine Aufstockung der Kapazität und derAnwenderzahl ist lediglich ein einfaches Software- bzw.Hardware-Upgrade notwendig. Der Preis richtet sich nachder Größe des existierenden NBX Systems.Investition in ein 3Com Sprachnetzwerk lassen sich da-mit kontrollieren, erweitern und schützen. NBX-Kundensollen zudem die innovative XRN-Technologie von3Com, die noch in diesem Jahr verfügbar sein wird, ein-setzen können.Damit erhalten sie für ihr Sprach-/Datennetzwerk Leistungund Quality of Service auf höchstem Niveau. Der XRN-Core garantiert, während IP-Telefonie oder andere unter-nehmenskritische Applikationen laufen, die bestmögli-che Ausfallsicherheit des Netzwerkes. Die 3Com LAN-Telefonie-Lösungen sind weltweit erhältlich.

77777

09 Ausgabe 09/2002

D

3COM

XJACK macht den Unterschied

OfficeConnect Wireless PC Card fürEinsteiger

Kleine Unternehmen und Heimanwender können nun ihreNotebooks mit leistungsstarken Funk-LAN-Funktionen zueinem erschwinglichen Preis ausstatten. Die 3Com Cor-poration stellte zwei neue 11 MBit/s OfficeConnectWireless PC Cards für Funk-LAN-Einsteiger vor, mit fe-ster Antenne und mit XJACK Antenne.

AVAYA

Konvergenzkompakt

IP Office für kleine undmittelständische Unternehmen

Avaya liefert ihre neue Kommunikationslösung IP Officeaus. Das Anwendungspaket für konvergente Sprach- undDatenkommunikation in kleinen und mittelständischenUnternehmen umfaßt sowohl IP-Telefonie als auch inte-grierte Kommunikationsfunktionen wie Unified Commu-nication und Contact Center Services.

Die patentierte XJACK-Antenne macht den feinen Unter-schied bei den neuen OfficeConnect Wireless PC Cardsaus. Sie bietet mobilen Anwendern hohen Komfort undsorgt im Betrieb für eine hervorragende Verbindung zumFunk-LAN. Ist die PC Card außer Betrieb, kann die An-tenne in der Karte versenkt werden, verbleibt somit sicherim Notebook und garantiert einen einfachen Transport.Doch ob nun mit fester oder XJACK-Antenne, beide Kar-ten arbeiten mit dynamischer Geschwindigkeitsan-passung, um jederzeit die schnellstmögliche Verbindungherzustellen, und bieten damit zuverlässige Funkverbin-dungen mit Übertragungsgeschwindigkeiten bis zu 11MBit/s. Beide Karten unterstützen mit 40 Bit und 128 BitWEP-Verschlüsselung die notwendige Sicherheit bei Da-tenübertragungen und sichern mit 802.1xAuthentifizierung den Zugang zu drahtlosen Netzwerken.

WLAN ManagerDie 3Com OfficeConnect PC Cards sind mit Netzwerk-management Software ausgestattet, dem 3Com WirelessLAN Manager. Damit lassen sich einfach und schnell Pro-file für verschiedene Standorte erstellen, etwa für Hotel-zimmer oder Heimarbeitsplätze, fürs Büro oder in Außen-stellen. Ändert der Mitarbeiter seinen Standort, wählt ereinfach das entsprechende Profil und kann sofort eine Ver-bindung zum Funk-LAN herstellen.Die OfficeConnect PC Cards sind Wi-Fi zertifiziert unddaher mit allen anderen Wi-Fi-Produkten im besten Ein-vernehmen. Bei Geschwindigkeiten von 11, 5,5, 2 und 1MBit/s sind sie zudem IEEE 802.11b kompatibel. Dieneuen Wireless PC Cards sind bereits in Deutschland ver-fügbar und bieten zusammen mit dem kürzlich vorgestell-ten OfficeConnect Wireless Cable/DSL Gateway eine ko-stengünstige Komplettlösung für kleine Unternehmen undHeimbüros.

IP Office präsentiert sich als neue Kompaktlösung derAvaya ECLIPS-Familie. Die Enterprise-Class IP Solutionswurden um eine Lösung für 100 Endbenutzer und 50Kontaktzentrumsmitarbeiter erweitert, die auf maximal180 Teilnehmer im traditionellen Betrieb erweitert wer-den kann. Avaya liefert damit in vier Versionen ein kon-vergentes Sprach-/Datenprodukt für die integrierte Netz-werk- und Kommunikationsanwendung in kleinen undmittelständischen Unternehmen (KMU) und bietet auchSicherheit für den Fernzugriff.

Sprache und DatenIP Office bietet zahlreiche vorinstallierte und einfach zuergänzende Sprach-Daten-Komponenten. Neben denHub-, Router- und Firewall-Funktionen und einem inte-grierten Internet-Zugang enthält das Kompaktpaket eineApplikationspalette für Unified Messaging, Office-CTI(Computer Telephony Integration) und Contact Center-Lösungen. In vier Versionen werden diverse Erweiterun-gen für den Auf- und Ausbau einer IP-Kommunikations-infrastruktur angeboten, von der Einsteigervariante fürkleine Büros bis zur Kommunikationszentrale mit CallCenter-Funktionalität. Das vollständige Portfolio derKMU-Lösungen von Avaya umfaßt zudem Voice-Mail,einen PC-basierten Vermittlungsplatz sowie eine automa-tisierte Telefonzentralen-Funktion.IP Office kann als IP- oder ISDN-Nebenstellenanlage(PBX) mit einem vollständigen Sortiment anKommunikationsanwendungen für einen einzelnenStandort, als Filiallösung für ausgelagerte, eigenständigeUnternehmensstandorte oder als kleines, integriertesContact Center dienen. Unterstützt werden Mehrkanal-kommunikation, einschließlich analoger, digitaler undIP-Telefone, Fax-, E-Mail- und Webkanäle sowie DECT-Telefone.

Ausgabe 09/2002

88888

09

DM

N E

W S

nN E W SBINTEC

WEPplusXAir erhöht die

Sicherheit

Die BinTec WLAN Lösung XAir wur-de mit erhöhter Sicherheit ausgestat-tet. Ab sofort wird die sichere Ver-schlüsselung WEPplus, die schwacheSchlüssel vermeidet, unterstützt.Auch wurden die Zugangskontrolleerweitert und die Authentifi-zierungsverfahren IEEE 802.1x undEAP/MD5 implementiert.

COMPUTER ASSOCIATES

BenutzerrechteeTrust Admin 2.0 optimiert User-Verwaltung

Computer Associates hat die Version 2.0 von eTrust Admin bereitgestellt. Dieneue Managementlösung ermöglicht die automatische Vergabe und Löschungvon Zugangsrechten sowie den physikalischen Zugriff und Zugang zu dervom Unternehmen bereitgestellten IT-Infrastruktur. Die plattformüber-greifende Software-Lösung erhöht die Sicherheit und minimiert den Verwal-tungsaufwand in komplexen IT-Umgebungen.

Mit eTrust Admin 2.0 erhalten Admi-nistratoren über eine einheitlicheOberfläche eine systemübergreifendeKontrolle über alle Berechtigungenund Ressourcen, wodurch sich auchdie Kosten für Sicherheitsaufgabenverringern. Aufbauend auf vorhande-nen Verzeichnisdiensten ermöglichteTrust Admin 2.0 automatisiertes,rollenbasiertes Benutzerrechte-Mana-gement und verbessert somit die Ef-fizienz einer IT-Sicherheitsinfra-struktur.

SelbstverwaltungMehrere Selbstverwaltungsoptionentragen zur Entlastung bei. Dazu ge-hören unter anderem die Möglich-keit, sich selbständig zu registrieren,das Paßwort zu ändern, eigene Profi-le zu organisieren und den eigenenArbeitsablauf zu definieren. Die neu-en Selbstverwaltungsfunktionen las-sen sich zudem nahtlos in vorhande-ne Unternehmens- und Personal-systeme integrieren. War ein Paßwort-wechsel bislang immer mit großem

administrativen Aufwand verbunden,wird jetzt, da Mitarbeiter ihre Paßwör-ter selber verwalten und verändernkönnen, der Zeitaufwand für sämtli-che Beteiligten erheblich reduziert.

Unbefugte ZugriffeeTrust Admin 2.0 ermöglicht eineeinheitliche Anwendung von Zu-griffsrichtlinien innerhalb verschie-dener Systeme. Dadurch werdenSicherheitsverletzungen vermieden.Die rollenbasierte Automatisierungsorgt z.B. dafür, daß ehemalige Mit-arbeiter aus allen Systemen gelöschtwerden, sobald sie das Unternehmenverlassen haben.Neue, versetzte oder beförderte Mit-arbeiter lassen sich automatisch undschnell mit allen erforderlichen Be-rechtigungen einrichten. eTrustAdmin 2.0 trägt durch dieseAbarbeitung auch zur Zufriedenheitder Mitarbeiter und Mitarbeiterinnen,Kunden und Partner bei, denn eineÄnderung ist in wenigen Minutendurchzuführen.

Das Firmware Release 3.00 derBinTec XAir Access Points beinhal-tet entscheidende Weiterentwicklun-gen im Bereich der Sicherheits-eigenschaften innerhalb der WLAN-Produktfamilie XAir.Als wesentliche Neuerung wurde zurVerschlüsselung WEPplus imple-mentiert, wodurch die bekanntlichschwachen Initialisierungsvektorenvermieden werden. Denn bestimmteWerte für die unverschlüsselt überFunk übertragenen Initialisierungs-vektoren des WEP-Keys erlaubeneine besonders einfache Rekonstruk-tion der Verschlüsselung über die so-genannten weak Keys. Trotz der Än-derung bleibt die Kompatibilität mitder IEEE802.11b-Norm erhalten.

IEEE 802.1x und EAPDer Standard 802.1x definiert einvom Funk unabhängiges Authenti-fizierungsverfahren auf Port-Ebene.Dabei wird die Authentifizierung ei-nes Users - nicht einer Client-Hard-ware - für den Zugang zum Netzwerküber die Einbindung eines Authenti-fizierungsservers wie RADIUS, Ker-

99999

09 Ausgabe 09/2002

Z

AVM

RufnummernfilterMit ISDNWatch sicher ins Web

Ein neuer Rufnummernfilter von AVM verhindert unerwünschte Verbindungen. Ab sofort schützt die neue Version derSicherheitssoftware ISDNWatch die PC-Nutzer noch besser vor bösen Überraschungen mit 0190-Dialern. Durchdetaillierte Rufnummernüberwachung und Filterfunktionen wird die Kommunikation sicherer.

beros oder proprietäre Systeme reali-siert. Für die Verwendung von 802.1xin Wireless LANs bedeutet dies, daßder User eines Funk-Clients erst dannmit einem Access Point kommunizie-ren und ins Netzwerk gelangen kann,wenn der Access Point diesen User aneinem Authentifizierungsserver imNetzwerk verifiziert hat.

Voraussetzung für das Verfahren ist,daß sowohl das Betriebssystem desClients als auch der Authentifi-zierungsserver das in 802.1x definier-te Extensive Authentication Protocol(EAP) unterstützen. Von Seiten desClients tut dies derzeit nur das Be-triebssystem Windows XP. Für ande-re Betriebssysteme gibt es sogenann-

te Supplicant-Software, die EAP er-möglichen.Mit den Ergänzungen der Firmware3.00 der XAir Access Points gehenÄnderungen im Bereich des XAir Ma-nagers im Release 2.06 und der XAirPC-Cards mit Release 8.10 einher. Diekostenlosen Update finden Sie unterwww.bintec.de.

Zusammen mit neuen CAPI-Treibernbietet AVM ISDNWatch einen weit-reichenden Schutz vor 0190-Dialern,die über das Windows DFÜ-Netzwerkkostspielige Nummern anwählen undso die Telefonrechnung in die Höhetreiben.

RufnummernsperreDie Version 2.00.03 von ISDNWatcherfüllt damit einen wichtigen Wunschnach mehr Sicherheit und Kontrolleam PC. Mit der neuen Software las-sen sich Anwahl und Rufannahmeeinzelner Rufnummern wie auch gan-zer Gruppen verhindern. Hierbei sindauch Rufnummern insAusland, Ferngesprächeund kostenpflichtige Ser-vice-Rufnummern aus-grenzbar. Über die Stan-dardeinstellungen hinauskönnen Anwender weite-re zu sperrende Rufnum-mern einrichten. Auf Sy-stemen mit einer sicherenBenutzerverwaltung wieWindows XP oder Win-dows 2000 können nurAnwender mit Admi-nistratorrechten die Ein-stellungen ändern, damit

gesperrte Rufnummern nicht von an-deren PC-Nutzern freigeschaltet wer-den.

Pop-up-InfoÜber ISDNWatch erfolgt die Konfi-guration der Rufnummern, deren An-wahl der CAPI-Treiber anschließendverhindert. Schon beim Rechnerstartunterbindet die neue Version desCAPI-Treibers mögliche Anwahl-versuche. Im laufenden Betrieb wirktdieser Filter anwendungsunabhän-gig. ISDNWatch informiert mit einemPop-up-Fenster über abgelehnte An-wahlversuche. PC-Nutzer erhalten soauch einen direkten Hinweis, falls ein

Dialer-Programm den Anwender mitteuren 0190-Nummern schädigenwill. Die Rufnummernsperre ist nurim PC aktiv und wirkt sich nicht aufandere Endgeräte wie Telefon oderFax aus, auch wenn diese über denPC konfiguriert werden. So sind bei-spielsweise weiterhin Telefonanrufeüber Call-by-Call-Anbieter möglich.

CAPI-TreiberFür den Einsatz von ISDNWatch2.00.03 sind die neuen CAPI-TreiberVersion 3.10.02 erforderlich. Diesestehen ab sofort für die FRITZ!Card

PCI, FRITZ! Card USBv2.0 und FRITZ!CardPCMCIA und die Be-triebssysteme Wind-owsXP/2000/ME/98 bereit.CAPI-Treiber für weitereAVM ISDN-Controllersollen folgen. ISDNWatchwird ebenfalls Bestandteilder neuen FRITZ!-Soft-ware Version 3.03 sein, diein Kürze erscheint. DieCAPI-Treiber und ISDNWatch stehen zum kosten-losen Download bereit:www.avm.de.

Ausgabe 09/2002

1 01 01 01 01 0

09

Z

N E

W S

nN E W SCISCO SYSTEMS

Optische NetzwerkeCOMET Lösungen für höchsten Datendurchsatz

Cisco Systems erweitert COMET, das Portfolio an optischen Netzwerklösungen für Konzerne und Service Provider,mit Cisco ONS 15530, der bis zu 40 Datenverbindungen auf einer einzigen Wellenlänge aggregiert. Der ONS 15540unterstützt 10 Gigabit Ethernet als eine weitere neue COMET-Lösung für den flexiblen und skalierbaren Einsatz inMetro-Netzen.

Zusätzlich hat Cisco den ONS 15454mit SDH-Funktionalität (Synchro-nous Digital Hierarchy) für den Ein-satz in europäischen Glasfasernetzenergänzt. Die Multiservice Provisio-ning Plattform (MSPP) des ONS15454 SDH integriert jetzt DenseWavelength Division Multiplexing(DWDM), Ethernet- und SDH-Tech-nologien auf einer einzigen Plattform.Das Gerät ermöglicht das Multiplex-ing über Digital Cross Connect undAdd/Drop, wandelt elektronische undoptische Signale um. Da nur noch einGerät eingesetzt werden muß, ist derAdministrations- und Konfigura-tionsaufwand erheblich niedriger. Dieneuen Geräte erhöhen die Service-Ka-pazitäten von Service Providern undKonzernen und optimieren die Über-tragung über optische Netzwerke.

UmfangreichesMultiplexing

Das Speicherprotokoll ESCON ba-siert auf Fiber Optics und wird häufigin Data-Center-Umgebungen vongroßen Konzernen eingesetzt. Bis-lang konnte nur ein ESCON-Kanal(Enterprise Systems Connection) fürjede Wellenlänge einsetzt werden. Daein ESCON-Kanal 200 Mbps verar-beitet, wird die verfügbare Bandbrei-te in einer Wellenlänge, die 10 Gbit/s verarbeitet, ohne Multiplexing nurzu weniger als 2 Prozent genutzt. DerONS 15530 kann bis zu 40 ESCON-Kanäle über eine 10 Gbit/s-Wellen-länge multiplexen. Das Gerät kannSprach-, Daten-, Speicher- und Video-

Verkehr mit bis zu 32 verschiedenenWellenlängen transportieren, die aufeinem einzigen Glasfaserkabel-Paargebündelt sind. Jede Wellenlängekann 2,5 bis 10 Gigabit an Informa-tionen pro Sekunde weiterleiten. Mit

einer Übertragungsgeschwindigkeitvon bis zu 320 Gbit/s eignet sich derONS 15530 für Applikationen inDatenzentren von Konzernen, diehohe Bandbreiten und Kapazitätenerfordern.

Flexible KonfigurationDas neue Gerät unterstützt zusätzlicheine Reihe von Speicher- undNetzwerkprotokollen wie SONET/SDH (Synchronous Optical Network/Synchronous Digital Hierarchy),ATM (Asynchronous Transfer Mode)und FICON (Fiber ConnectorTechnology). Zu den DWDM-Funk-tionen des ONS 15530 gehören OSC(Optical Supervisory Channel), der fürManagement und Monitoring derPerformance eingesetzt wird, sowieOADM-Module (Optical Add/DropMultiplexer) für vier Kanäle. Mit die-sen kann der ONS 15530 für Punkt-zu-Punkt-, Ring- oder Maschen-Net-ze konfiguriert werden.

TickerTicker...Fünferreihe

Wi-Fi 5 nach Standard 802.11a: Um die unterschiedlichenStandards für Wireless LAN besser voneinander abzugrenzen, hat dieWireless Ethernet Compatibility Alliance (WECA) den 802.11a-Standardin Wi-Fi 5 umbenannt. Die Fünf steht für das 5-Gigahertz-Band, das derStandard für die Datenübertragung nutzt. Die WECA arbeitet bereits an derEntwicklung von Zertifizierungen für die kommende WI-FI 5 konformeGerätereihe. Neben dem 802.11a-Standard gibt es den älteren Standard802.11b, der das 2,4-Gigahertz-Band nutzt, und 802.11g-Netze, in denensich Daten mit 54 Mbit/s übertragen lassen. Die neue WiFi-Bezeichnungsoll deshalb für etwas mehr Klarheit sorgen.

1 11 11 11 11 1

09 Ausgabe 09/2002

D

COMPU-SHACK PRODUCTION

Mobile Wireless für PDAsWAVEline Compact-Flash Adapter

Die Compu-Shack Production erweitert ihre 802.11b kompatible WAVElineProduktlinie um eine handliche Wireless-Lösung für PDAs und HandheldPCs. Mobile Anwender erhalten damit für geschäftliche Applikationen oderdie Lagerbestandserfassung eine höchst praktische Lösung mit erhöhter Fle-xibilität und Leistungsfähigkeit.

Die neuen WAVEline Compact-FlashAdapter der Compu-Shack Produc-tion sind mit einem Typ I CF-Inter-face ausgestattet und unterstützenführende PDA-Modelle und Hand-held-PCs wie Compaq IPAQ, HPJornada und Casios Cassiopeia.Durch den Einsatz der 802.11bWireless-Technologie verbinden siedie Mobilität eines PDAs mit den Vor-teilen eines Funknetzwerkes.Als PCMCIA-Variante kann dieWAVEline Compact Flash Karte auchin jedem Notebook betrieben werden,unter Windows 9x, ME, 2000 und XP.Der WAVEline Compact-Flash Adap-ter verschafft den Zugang zum inter-nen Firmennetzwerk oder zumInternet und erlaubt den mobilenZugriff auf Netzwerkressourcen wieDruckerdienste, Dateiserver oder Da-tenbanken.

Compact-FlashAdapter

Bei einer maximalenÜbertragungsrate von11MBit/s erreicht das lei-stungsstarke Wireless-In-terface aufgrund einerhochintegrierten IntersilPRISM 2.5 Chip-Lösungeine Reichweite bis etwa90 Meter. Der geringeStromverbrauch und dieleichte Bauweise ergebeneine praktische und preis-werte Funklösung fürPDAs und Handhelds. DerWAVEline CF-WLAN-Ad-apter kann mit jeder ande-

ren Wi-Fi-kompatiblen Wireless-Komponente kommunizieren undohne Aufwand in einem Wireless Ad-Hoc-Netzwerk ohne Access Point be-trieben werden.

VerschlüsseltBei bestehenden Infrastruktur-Netz-werken ist die Integration mit AccessPoint problemlos möglich.Um dieDatenübertragung vor dem ZugriffDritter zu schützen, verfügt der neueWAVEline Adapter über eine WEP 40-und WEP128-Datenverschlüsselung.Das in der Lieferung enthaltene Soft-ware-Paket sorgt für eine bequemeKonfiguration und gewährleistetdank umfangreicher Diagnose-funktionen einen optimalen Betriebder WAVEline Compact-Flash-Kartein der Wireless-Umgebung.

COMPU-SHACK PRODUCTION

Wireless Tour2002

Technologie-Chancen im WLAN

In Zusammenarbeit mit derComputer Reseller Newsveranstaltet die Compu-Shack Production vom 17.bis zum 27. September2002 die “Wireless Tour2002”. Die Roadshowführt quer durch die Repu-blik und beleuchtet die all-gemeine Marktsituation

ebenso wie die Möglichkeiten neuer WLAN-Technologien.

Die Wireless Tour 2002 führt durch neun deut-sche Städte. Die Referenten Andreas Raum,Chefredakteur der Computer Reseller News, undRalf Riba, General Manager der Compu-ShackProduction, legen interessierten Resellern dieinnovativen WLAN-Technologien und ihre Ab-satzchancen offen. Dazu bietet die Compu-Shack Production ihre GOLDline Wireless Kitszu einmaligen Roadshow-Konditionen sowieeine 90-Tage-Teststellung an.

WorkshopsIm Anschluß an die Fachvorträge findet ein pra-xisnaher Workshop zur Konfiguration und An-wendung von Wireless-LAN-Produkten statt:- Internet via Wireless DSL-Router- Konfiguation eines WLAN-Routers- Wireless-PCMCIA Karte im Notebook- Sendequalität und Entfernungen- Antennen in und zwischen Gebäuden- WLAN-Applikationen für PDA-AnwenderDie Veranstaltungen dauern vormittags von 9.30bis 13.00 und nachmittags von 13.30 bis 18.00Uhr.17.09.2002 Hannover18.09.2002 Hamburg19.09.2002 Berlin20.09.2002 Leipzig23.09.2002 KölnOnline-Anmeldung im Compu-ShackFachhandelsportal unter http://portal.compu-shack.com.

24.09.2002 Frankfurt25.09.2002 Stuttgart26.09.2002 München27.09.2002 Nürnberg

Ausgabe 09/2002

1 21 21 21 21 2

09

D

M

N E

W S

nN E W SENTERASYS NETWORKS

AbhörsicherRapid Re-Keying im Wireless LAN

Enterasys Networks hat ihren Wireless Access Point RoamAbout R2 um dieSicherheitsfunktion des Rapid Re-Keying erweitert. Durch einen dynami-schen Wechsel der Schlüssel werden Wireless LANs vor dem unerlaubten Mit-schneiden der Funkverbindung und damit vor Hacker-Angriffen geschützt.

IBM

ElferMini-Rack für kleine

Unternehmen

Das neue IBM NetBAY11 Stan-dard Rack bietet ausreichendPlatz für die eServer xSeries Sy-steme in den unterschiedlichstenKonfigurationen. Das 11 HE hoheRack eignet sich ideal für vorge-fertigte und sofort einsatzbereiteLösungen in kleinen Unterneh-men, um Server-Leistung auf we-niger Stellfläche unterzubringen.

Das mit xSeries Server und passen-den Optionen vorkonfigurierbareNetBAY11 bildet einen Grund-stein für Rack-To-Tower-Erweite-rungen, wenn es um den Einsatzin einer Highend-Umgebung mitxSeries Systemen geht. Dank desmodularen Aufbaus werden für dieeinzelnen Server keine Conver-sion-Kits mehr benötigt. Das Mini-Rack bietet trotz seiner kompak-ten Maße alle Leistungsmerkma-le, die auch in großen Racks zufinden sind, eine abschließbareFronttür, robuste Laufrollen undeinen vollständigen Satz Abdeck-platten, mit denen die Luft-zirkulation im Rack optimiert wer-den kann. Der ausziehbareStabilisierungsfuß sorgt für Stand-sicherheit, wenn zu Wartungs-zwecken einzelne Komponentenauf ihren Laufschienen aus demRack gezogen werden. IBMNetBAY11 kann xSeries Systemeund Optionen mit der größtenBautiefe aufnehmen, darunter denx370 oder automatische Band-bibliotheken. Für den Einsatz inskalierbaren Umgebungen opti-miert, bietet es ein besonders gün-stiges Preis-Leistungs-Verhältnisund bereichert die IBM-NetBAY-Familie um eine Lösung für klei-nere Unternehmen.

Mit einem dynamischen Key-Wech-sel strebt Enterasys Networks bei ih-ren WLAN-Produkten ein Höchst-maß an Sicherheit in der Datenüber-tragung an. Denn auch die im Stan-dard 802.11 integrierte Verschlüs-selungstechnologie Wired Equiva-lent Privacy hatte Sicherheitslückenoffenbart. Hacker konnten durch dasMitschneiden der Funkverbindungden Key für die WEP-Verschlüsse-lung analysieren und auf das WLANzugreifen. Eine wirkungsvolle Me-thode, um drahtlose Netzwerke gegendiese Art von Angriffen abzusichern,ist ein dynamischer Wechsel derSchlüssel. Deshalb hat EnterasysNetworks für höchste Sicherheitsan-sprüche im WLAN jetzt die FunktionRapid Re-Keying in ihren AccessPoint RoamAbout R2 integriert, ei-

ner Wireless-Plattform,die sowohl den802.11b-Standard alsauch WI-FI 5 unter-stützt.

SchlüsselfertigDer Einsatz desAuthentifizierungs-Standards 802.1X er-möglicht die automa-tische und regelmäßi-ge Verteilung wech-selnder Keys. DerRoamAbout AccessPoint fertigt dazu zu-fallsgenerierte Zahlen-pärchen, die über802.1X oder EALP-TLS verteilt werden.

Innerhalb von 15 Minuten kommenbis zu fünf grundverschiedeneSchlüssel zum Einsatz. Ein Mit-schneiden und Analysieren der Da-ten wird damit schier unmöglich.RoamAbout R2-Kunden können dieentsprechende Software jetzt kosten-los downloaden. Voraussetzung fürdas Rapid Re-Keying ist die imAccess Point Kit V8.00 integrierteFirmware V2.090.16 mit BootROMV2.00.15. Noch im dritten Quartalsoll Rapid Re-Keying auch für denEnterasys Access Point 2000 verfüg-bar sein.Für den RoamAbout R1 ist keine In-tegration der Sicherheitsfunktion ge-plant, da dieser ausschließlich für denSoHo-Markt gedacht ist und dessenSicherheitsansprüchen durchaus ge-nügt. www.enterasys.com

1 31 31 31 31 3

09 Ausgabe 09/2002

D

IBM

16 WegeIntel 32-bit Server mit modularer

Architektur

Mit dem eServer 440 präsentiert IBM den ersten Server mit bis zu sechzehnIntel 32-Bit Xeon Prozessoren. Der Rechner nutzt die auf Großrechner-Tech-nologie basierende Enterprise X-Architecture, die den modularen Zusammen-schluß von Intel-Xeon-Chipsätzen ermöglicht.

TOBIT

SP 5DvISE-Familie optimiert

Für die Produkte der DvISE-Familiegibt es ein neues Service Pack. DasSP 5 enthält neben kleinen Fehler-bereinigungen einige interessanteneue Funktionen. So erhält das TobitInfoCenter XP, die Client Softwareder DvISE Produktfamilie, eine eige-ne Portal-Seite, quasi als persönlicheStartseite des Anwenders.

Mit dem SP 5 gibt das Tobit Info Cen-ter XP dem Anwender nun gleich beimStart einen Überblick über die wich-tigsten Informationen zu Beginn sei-nes Arbeitstages. Eine neue Startseitebringt Nachrichten, Aufgaben undKalendereinträge des Tages auf denSchirm. Ein Wechsel in die einzelnenArchive und deren Einträge geschiehtganz einfach per Mausklick. Eben-falls neu ist der Menüpunkt Werkzeu-ge in der Menüleiste des InfoCentersXP. Hierüber läßt sich das Importtoolzur Datenübernahme von Outlookstarten. Ein weiterer Menüpunkt über-nimmt automatisch die im InternetBrowser hinterlegten Favoriten.

Der IBM xSeries eServer x440 kannin bis zu 4 physikalische und in biszu 64 virtuelle Partitionen aufgeteiltwerden, auf denen die unterschied-lichsten Kombinationen von Micro-soft- und Linux-Betriebssystemen lau-fen können. Damit stellt IBM ihrenersten Server mit maximal sechzehnIntel 32-bit Xeon Prozessoren vor, derauf EXA-Basis den Zusammenschlußvon Xeon-Chipsätzen erlaubt.

Virtuelle PartitionenDie modulare Enterprise X-Architecture bietet einen flexiblenund bedarfsorientierten Server-Ein-satz und hilft, die benötigte Rechen-leistung zu reduzieren. Auf bis zu 64virtuellen Partitionen können die un-terschiedlichsten Kombinationen vonMicrosoft- und Linux-Betriebssyste-men laufen. Der x440 läßt sich da-durch entweder als ein einziges, gro-ßes System fahren oder in eine Viel-zahl von kleineren Rechnern eintei-len z.B. oder Webserver.

Für den AdminMit dem Service Pack 5 wird auchdie Benutzereinrichtung für den Ad-ministrator wesentlich vereinfacht.Bei einer Neuinstallation von DvISEunter Windows 2000 oder WindowsXP werden nun die einzelnenBenutzerrechte so vergeben, daß einBenutzer nach der erstmaligen Ein-richtung nur sein persönliches Archivsieht. Bislang war es so, daß ein neuangelegter Benutzer volle Rechtehatte, und der Administrator diese aufdie wirklich benötigten einschränkenmußte. Nach der Installation des neu-en Service Packs muß der Administra-tor nach Anlegen des neuen Benut-zers einfach nur noch die Rechte zu-teilen, die vom Benutzer zusätzlichbenötigt werden.

AusbaufähigDie XpandOnDemand Technologieerlaubt es den Nutzern, mit einemVierprozessor-Servermodul zu begin-nen und das System je nach Bedarfbis zu einem 16-Wege-Rechner aus-zubauen. Die Kommunikations-geschwindigkeit zwischen den ein-zelnen Modulen beträgt 3.2 Gigabitpro Sekunde und entspricht damit derGeschwindigkeit der Prozessoren.Ein vollausgebauter 16-Wege-Serverhat eine 8U-Gehäusehöhe. Darüberhinaus verfügt der x440 über Werk-zeuge zur Fehlervermeidung aus demProjekt eLiza. Die Active-Memory-Funktion sorgt mit Hilfe der Spiege-lung des Hauptspeichers dafür, daßdas System im Falle von Fehlern sta-bil bleibt und nicht abstürzt. Auchlassen sich die Hauptspeicherbau-steine im laufenden Betrieb austau-schen. Die Real Time Diagnostics undSoftware-Rejuvenation-Technologiekann potentielle Probleme vorherse-hen und beheben, ohne daß das Sy-stem abgeschaltet werden müßte.

Ausgabe 09/2002

1 41 41 41 41 4

09

N

N E

W S

nN E W SNETGEAR

4 Port Gigabit-Kupfer

Switch für kleinere Netzwerke

Netgear bringt mit dem GS104 einen Gigabit-Kupfer-Switch mit vier 10/100/1000 MBit/s Ports auf denMarkt. Mit Autosensing, Auto-Uplink-fähig undNetzwerkgeschwindigkeiten bis 2000 MBit/s pro Porterlaubt es der GS104, die Ethernet-fähigen Rechnereines Netzwerkes zusammenzuschalten und auch gro-ße Datenmengen in kürzester Zeit zu bewegen.

NOVELL

Kleine LösungNetMail XE 3.1 für Windows

Novell bringt NetMail XE 3.1 für kleine und mittlere Un-ternehmen mit Windows-Netzwerken auf den Markt. Diekompakte Messaging-Lösung basiert auf offenen Stan-dards wie SMTP, POP3, IMAP4 und HTTP. Sie läuft aufWindows-Servern und bietet E-Mail, Kalender undTerminplanungsfunktionen über das Internet.

Novell NetMail XE 3.1, die Small Business Version vonNovell NetMail, unterstützt Microsoft Windows NT, 2000und XP und nutzt die vorhandenen Management-Funk-tionen dieser Plattformen. Damit präsentiert Novell einekostengünstige, sichere und unkomplizierte Lösung alsAlternative zu Microsoft Exchange. Anwender könnenihren gewohnten Mail-Client weiternutzen, beispielswei-se Outlook, Eudora oder Netscape. NetMail XE basiertvollständig auf Internet-Standards und ist nicht so kom-plex wie große Groupware-Systeme. Die Administrationist dadurch einfacher und günstiger.

NetMail XE im DetailNovell NetMail XE 3.1, die Small-Business-Version vonNovell NetMail, ist ein günstiges, einfach einzusetzen-des E-Mail-System, das sich nahtlos in eine Windows-Serverumgebung integriert, ob Windows NT, 2000 oderXP. NetMail XE richtet sich an Kunden, die eine interneE-Mail-Lösung einführen wollen, ohne auf ein kompli-ziertes und teures Backend-System angewiesen zu sein.Anwender können außerdem ihren gewohnten Mail-Clientweiternutzen und E-Mails, den Kalender und das Adreß-buch von jeder Workstation aus mit ihren Handheld-Rech-nern synchronisieren. Denn NetMail unterstützt hierzuPDAs unter Palm OS sowie Pocket PCs. Die Software ver-fügt zudem über Filter-Funktionen gegen unerwünschteSpam-Mails sowie einen integrierten Virenschutz. NovellNetMail XE 3.1 ist ab sofort im autorisierten Novell-Fach-handel erhältlich.

DDer Hochgeschwindigkeits-Switch GS104 ist für klei-nere Netzwerke konzipiert, die höchste Anforderun-gen an Geschwindigkeit und Kapazität stellen. In Kom-bination mit den Gigabit-Netzwerkkarten GA622T fürServer und der GA302T für Clients offeriert Netgearnun auch eine durchgängige Lösung für Highspeed-Netzwerke in kleineren Unternehmen und Workgroups.Mit Durchsatzgeschwindigkeiten von bis zu 2 GBit/sbietet sich der GS104-Switch besonders für Firmen an,in denen ein hohes Datenaufkommen bei Grafik-, Ton-oder Video-Informationen besteht.

BandbreiteDer GS104 ist für eine dedizierte Bandbreite von biszu 2000 MBit/s Datendurchsatz pro Port im Voll-duplexbetrieb ausgelegt. Der Switch bietet an jedemPort automatische Geschwindigkeitserkennung von 10/100/1000 MBits/s sowie von Halb- oder Voll-duplexbetrieb. Zusätzliches Leistungsmerkmal ist dieAuto-Uplink-Funktion, die den Einsatz speziellerCrossover-Kabel überflüssig macht. Der GS104 ist ein-fach zu installieren und zu bedienen. Durch die inte-grierten LED-Anzeigen für jeden Port wird deren aktu-eller Status jederzeit leicht erkennbar angezeigt. DerSwitch ist geräuschfrei, da durch eine eigene Kühl-funktion auf den Einbau eines Ventilators verzichtetwerden konnte. Das platzsparende Design ist für denSchreibtisch oder die Befestigung an der Wand konzi-piert.

1 51 51 51 51 5

09 Ausgabe 09/2002

F

D

M

NOVELL

SaturnIdentitätsmanagement

Novell arbeitet unter dem Codenamen Saturn an einer Identitätsmanagement-Lösung, die es ermöglicht, Identitätsinformationen von Usern auszutauschen.Die neue Lösung ist kompatibel zur Version 1.0 der Spezifikationen des LibertyAlliance Konsortiums und soll Ende dieses Jahres auf den Markt kommen.

Mit einer Identitätsmanagement-Lö-sung von Novell wird es für Anwen-der möglich, mit einem einzigen Pass-wort im Single Sign-on und mittelsoffener Standards auf eine Vielzahlpersonalisierter Internet-Seiten zuzu-greifen. Der Internet-Nutzer kann beidieser Lösung selbst entscheiden, obseine Identitätsinformationen zwi-schen verschiedenen Web-Seiten aus-getauscht werden dürfen. Novellplant, die zugrundeliegenden techni-schen Vorgaben des Liberty AllianceProject auch in ihrer Sicherheits-lösung Novell iChain umzusetzen,für die ebenfalls zu Ende des Jahreseine Liberty Alliance-fähige Versionerhältlich sein soll.

Codename SaturnDie neue Lösung mit dem Codena-men Saturn ermöglicht es Unterneh-men, Identitätsinformationen vonUsern untereinander auszutauschen,um über sogenannte Rings of Trustsichere und dauerhafte Partnerschaf-ten zu Kunden, Handelspartnern undAngestellten im Internet aufzubauen.Der Anwender soll mit Single Sign-on auf personalisierte Websites zu-

greifen können, wenn er zustimmt,daß die Informationen seiner virtuel-len Identität zwischen Internet-Seitenausgetauscht werden dürfen.

Liberty AllianceNovell unterstützt in ihrem Vorhabendie Version 1.0 einer Spezifikationender Liberty Alliance, einer ersten Zu-sammenstellung offener und gemein-sam nutzbarer Regelungen für Netz-werkidentitäten. Das branchenüber-greifende Konsortium wurde vor etwaeinem Jahr gegründet. Novell unter-stützt dabei das Vorhaben, in Ringsof Trust vertrauenswürdige Netzwer-ke zum gegenseitigen Austausch vonstandardbasierten Identitätsinforma-tionen zwischen den Beteiligten aus-zutauschen, um Geschäfte über dasInternet abzuwickeln und dabei dieKontrolle über ihre digitale Identitätzu behalten. In Abgrenzung zu TrustBridge von Microsoft, das hauptsäch-lich für Windows-Umgebungen kon-zipiert wurde, orientiert sich Saturnan den technischen Vorgaben derLiberty Alliance und ist offen für alleArten von Plattformen und Umge-bungen.

AVM

ErweitertFRITZ! v3.03

Die FRITZ!-Software steht in der Ver-sion 3.03 zum kostenlosen Downloadbereit. Alle Module von FRITZ!databis FRITZ!web bieten mit neuen Funk-tionen mehr Komfort. Auch die Ko-stenkontrolle wurde optimiert, um IS-DN und Internet optimal einzusetzen

FRITZ!fax undFRITZ!fon verzah-nen ISDN undInternet in der neu-en Version 3.03 nochals besser vorher, dasie Fax- und Sprach-nachrichten aufWunsch als Mailweiterleiten. FürPoweruser steht eineArchivfunktion zurVerfügung. Die EinwahlsoftwareFRITZ!web reduziert mit einer auto-matischen Providerwahl sowie mitBegrenzungen für Online-Zeiten undDatenvolumen die Gebühren. Undmit ISDNWatch 2.0 ist in die FRITZ!-Software nun auch ein Schutz vor un-erwünschten Verbindungen integriert,der mit den neuesten CAPI-Treibernder Version 3.10.02 die Sicherheit beider PC-Kommunikation durchRufnummernüberwachung undFilterfunktionen erhöht. FRITZ!dataerlaubt ab sofort auch einen Daten-transfer mit FTP-Gegenstellen, dennmit dem File Transfer Protocol wurdeneben IDtrans und Eurofile ein drit-tes Basisprotokoll integriert. DieFRITZ-Software v3.03 kann mit al-len FRITZ!-Produkten für ISDN,BlueFRITZ! sowie mit der FRITZ!Card DSL unter Windows XP, 2000,ME und 98 eingesetzt werden. DieSoftware und CAPI-Treiber für dieFRITZ!Card PCI, USB und PCMCIAstehen für alle registrierten Anwen-der zum kostenlosen Download be-reit: www.avm.de/fritz.

Ausgabe 09/2002

1 61 61 61 61 6

09

M

N E

W S

nN E W STOBIT SOFTWARE

David MXUnified Messaging für Exchange

David MX vervollständigt einen Microsoft Exchange Ser-ver um die Funktionen, die bislang gefehlt haben. Eineinziges Software Paket genügt, und Fax-, Sprach- undSMS-Nachrichten sind für Exchange kein Problem mehr.

TOBIT SOFTWARE

David XLNachrichtenzentrale

David XL bietet vollständigesMessaging in nur einem Paket.Alle gängigen Nachrichten-typen wie eMail, Fax, SMS- undSprachnachrichten werden un-ter einer Benutzeroberflächevereint. Alle Informationen wer-den dabei zentral auf dem Ser-ver abgelegt.

BBisher war es eher mühsamund aufwendig, einenMicrosoft Exchange Serverin ein vollständiges UnifiedMessaging System umzu-wandeln. Oft sind gleichmehrere Lizenzen oder Soft-ware-Pakete notwendig, umExchange mit zusätzlichenFunktionen zu erweitern.Gleichzeitig bedeutet das

einen höheren Installationsaufwand, der die Kosten einerFunktionserweiterung von Exchange in die Höhe schnel-len läßt. Die Stabilität eines Systems, welches auf mehre-ren Lizenzen oder Software-Paketen verschiedener Her-steller beruht, stellt sich in Anbetracht dieser Tatsachenin Frage. Tobit Software zeigt mit David MX, daß es auchganz anders geht.

Aus einem GußMit David MX wird Unified Messaging für alle ExchangeAnwender zum Kinderspiel. Dabei werden alle neuenFunktionen wie aus einem Guß in einer bestehenden Ex-change 5.5 oder 2000 Umgebung zur Verfügung gestellt.Direkt aus Microsoft Outlook kann der Anwender nunFaxnachrichten erstellen, versenden und empfangen. Aberauch beliebige Dokumente wie Preislisten, Rechnungenetc. direkt aus dem Client heraus als Telefax versenden,ohne das Dokument überhaupt öffnen zu müssen. Nebenden leistungsstarken Faxfunktionalitäten, die der bekann-ten Tobit-FaxWare entstammen, kann der Anwender sichauf zahlreiche weitere Funktionen freuen, wie den Emp-fang und Versand von SMS-Nachrichten direkt im Out-look-Client, die Integration von Sprachnachrichten durchden persönlichen Anrufbeantworter oder auch die com-putergestützte Telephony. Diese stellt verschiedeneWählhilfen im Outlook Client zur Verfügung, die das Te-lefonieren wesentlich erleichtern. Tobit Software beweist,wie einfach es sein kann, aus dem Exchange Server einUnified Messaging System zu machen. Alles was dazubenötigt wird, ist lediglich ein einziges Software-Paket:David MX.

Mit dem Tobit InfoCenter XPkönnen David XL-Anwender bequem auf alleNachrichten, Dokumente, Adressen und Termine zugrei-fen. Kern von David XL ist ein vollständiger SMTP-MailServer, der jede nur erdenkliche Funktion für eMail un-terstützt. Die Anbindung an das Internet kann dabei so-wohl über eine Wählverbindung als auch über Standlei-tung erfolgen. Dank DSL und der serienmäßig integrier-ten Server Locator Services kann das System sogar trotzdynamischer IPs wie mit einer echten Standleitung an dasInternet angebunden werden. So kann der Anwender, auchwenn er einmal nicht im Büro ist, jederzeit über Web-oder WAP-Browser auf die eigenen Nachrichten zugrei-fen.

KommunikationNeben dem erstklassigen eMail-Server enthält David XLmit der Marktführer FaxWare eine professionelle Fax-Ser-ver-Lösung. Damit können Anwender Faxe von jedemArbeitsplatz-PC und aus jeder beliebigen Windows Ap-plikation erstellen und versenden. Sogar das Einbindenvon Unterschriften und Logos ist problemlos möglich.Empfangene Faxe werden in erstklassiger Qualität an ihreAdressaten verteilt und können von ihnen bearbeitet, wei-tergeleitet oder archiviert werden. Auch Sprachnach-richten verwaltet David XL spielend. Jeder Mitarbeiterhat einen eigenen Anrufbeantworter. Und dadurch, daßVoiceMails wie eMails, Faxe und SMS-Nachrichten ver-eint sind, erledigen die Anwender die gesamte Kommuni-kation komfortabel in einer einzigen Software. Dank sei-ner umfangreichen Funktionen wird David XL schnellzur unternehmensweiten Zentrale. Ein leistungsstarkerTerminkalender und ein umfangreiches Dokumenten-management System runden sein Leistungsspektrum ab.Zudem kann David XL ergänzt und um weitere Benutzer-und Kommunikationsports erweitert werden. So wird erzur ersten Wahl für wachsende Unternehmen.

1 71 71 71 71 7

09 Ausgabe 09/2002

D

BLUETOOTH SPECIAL INTEREST GROUP

Common ISDN Access ProfileISDN über Bluetooth standardiert

Die Bluetooth Special Interest Group (SIG), ein Zusammenschluß von über 2.000 Technologie-Unternehmen, hat denStandard für den Einsatz von ISDN über Bluetooth beschlossen. Das neue Bluetooth Common ISDN Access Profile,kurz CIP genannt, ermöglicht Bluetooth-Geräten wie PC, PDA oder GSM-Telefon erstmals den uneingeschränktenZugriff auf ISDN Daten- und Sprachkommunikation.

Der neue Standard de-finiert die Kommuni-kation zwischen soge-nannten ISDN-Clientsund ISDN AccessPoints und verwendetdabei die internatio-nalen Normen ETSI300 838 und GSM07.08. Die drahtloseKommunikation überBluetooth ist mit vol-lem ISDN-Daten-durchsatz und einerReichweite von 100Metern und mehrmöglich. Alle ISDN-Leistungsmerk-male im B- und D-Kanal stehen in Ver-bindung mit CIP zur Verfügung.

Bluetooth ISDN-fähigDie von der Bluetooth SIG mit derAusarbeitung des CIP-Profils beauf-tragte Arbeitsgruppe mit verschiede-nen Herstellern hat in rund 14 Mona-ten einen weltweit einsetzbaren, her-stellerunabhängigen Standard für dieKombination von ISDN mit derBluetooth-Technologie geschaffen.CIP basiert auf dem Transport-protokoll L2CAP und ist parallel zuPAN (BNEP), DUN (RFCOM) undCTP (TCS, SCO) einsetzbar. CIP-fä-hige Endgeräte können deswegensämtliche ISDN-Leistungsmerkmaleanbieten und beispielsweise auch alsNetzwerk-Gateway fungieren,Telephonie und entsprechende CTI-Anwendungen unterstützen oder ein-fach nur Rechner miteinander verbin-den. Mit der Einbindung der ISDN-

Software-Schnittstelle CAPI könnenTelefonie- und Multimedia-Anwen-dungen, Anrufbeantworter und Fax-programme, der Internet- oder Netz-werk Zugang im Ein- und Mehr-Kanaleinsatz komplett drahtlos ge-nutzt werden. PCs oder PDAs könnensich mittels CIP direkt in eine ISDN-Gegenstelle einwählen und Datenaustauschen. Auch kann die Sprach-kommunikation mit Hilfe der CAPI-Schnittstelle jetzt auch bei Bluetooth-Telefonen oder Headsets eingesetztwerden.

Über Access PointDie eigentliche ISDN-Verbindungübernimmt bei CIP der Access Point,der mittels Bluetooth mit bis zu sie-ben Clients verbunden ist. Der ISDNS0-Bus wird durch das BluetoothPiconet abgebildet, so daß sich eben-falls mehrere Geräte gleichzeitigkonfliktfrei nutzen lassen. Das Her-stellen einer ISDN-Sprachverbindung

zwischen Client undAccess Point benötigtnur wenig Aufwand, dadas ISDN Know-hownicht im Endgerät vor-handen sein muß, son-dern vom Access Pointzum Einsatz gebrachtwird. Der bewährteCAPI-Protokollstackwird dabei vom AccessPoint zur Verfügunggestellt, der die ISDN-Services - ganz ohneISDN-Technologie imBluetooth-Endgerät -

mittels CAPI bereitstellt.

Quellcode für LinuxAVM ist mit BlueFRITZ! vom Startweg beim neuen Standard dabei. Zumschnellen und umfassenden Einsatzvon ISDN über Bluetooth gab AVMbekannt, den CMTP-Quellcode be-reitzustellen, um das CMTP-Potokollals die Grundlage von CIP umgehendin die vorhandene Bluetooth-Struk-tur bei Linux einbauen zu können.AVM will entsprechende Anstrengun-gen unternehmen, damit auch derLinux-Gemeinde - wie letztens beiCAPI4Linux - kurzfristig alle ISDN-Leistungsmerkmale drahtlos überBluetooth zur Verfügung stehen. DerBluetooth Protocol Stack unter Linuxwird CIP-kompatible Endgeräte nutz-bar machen.

Technische Spezifikationen zur CIPVersion 0.9: www.bluetooth.org/speci fications.htm.

Abb. 1: CIP-Profil - Bluetooth-Stack, Quelle AVM

Ausgabe 09/2002

1 81 81 81 81 8

09

nN

E W

S

TickerTicker

N E W S

...Mit Sicherheit

In neuer Version 2.01:AVM KEN! ist in neuerVersion 2.01 verfügbar. Ausgebauter Virenschutz, zusätz-liche Kostenoptimierung und weitere Komfort-funktionen sind die wichtigsten Neuerungen. Die ISDN-Lösung für kleine Firmen wurde von AVM u.a. in we-sentlichen Sicherheitsfunktionen weiterentwickelt. Dieintegrierte Software AntiVir überprüft alle ein- und aus-gehenden Mails auf Virenbefall. Der Virenschutz läßtsich durch Mausklick aktivieren. Zudem können durchSicherheitseinstellungen für Mail-Anhänge potentielleVirenträger von KEN! blockiert oder in einen Quarantä-ne-Ordner verschoben werden. Mit der erweiterten Zu-gangskontrolle zum Internet haben Anwender im KEN!-Netzwerk nur Zugriff auf bestimmte Internet-Seiten. EinSpam-Filter schützt das Netzwerk vor der zunehmendenZahl unerwünschter Werbe-Mails. Die KEN! Firewallermöglicht eine sichere Weiterleitung ankommenderVerbindungswünsche aus dem Internet an festgelegteDienste und Computer im eigenen Netzwerk. So ist derSchutz vor Zugriffen aus dem Internet gewährleistet.

...Im Schrank

Stapelbare Telefonie:Mit dem S8300/G700,einem modularen Media-Server-/Media-Gateway-Pro-dukt für kleine und mittlere Unternehmen bietet Avayaein zukunftsweisendes Kommunikationssystem, dassowohl in traditionellen als auch in IP-Netzwerken sei-ne Stärken entfaltet. Das neue Avaya-Produkt stammtaus der innovativen MultiVantage-Familie. Im kompak-ten 19-Zoll-Format verbirgt sich eine hochentwickelteTechnologie mit umfangreichen Applikationen für dieVerschmelzung von Daten und Sprache im Netzwerk.Besonders für Unternehmen, die einen Einstieg vomNetzwerkumfeld in die Telekommunikation suchen undein leicht zu implementierendes System für kleine bismittlere Anwendungen benötigen, ist das Kommunika-tionssystem S8300/G700 eine gute Wahl. Ein modula-res Systemkonzept vereint modernste Telefonie sowieRouter- bzw. Switch-Technologien in einer Plattform.Einfache Handhabung sowie umfangreiche Telefonie-und LAN/WAN-Applikationen machen den S8300 /G700 zu einer ausgereiften Systemlösung in IP-Netz-werken. Durch das S8300-Server-Modul wird aus demG700 Media-Gateway ein Media-Server, mit vielfälti-gen Konfigurationsmöglichkeiten zwischen Zweigstel-len und der Zentrale.

...Funkende Westen

Smart-Wear-Projekt: Intelligente Kleidung alsdigitaler Begleiter setzt mehr als nur modische Akzente.

Sie wird vom Fraunhofer Institut für Software- und Sy-stemtechnik Dortmund derzeit in Zusammenarbeit mitdem Klaus Steilmann Institut entwickelt. Neben Ciscogehören Comcept Netzdienste, Palm und Intel zu dentechnischen Lösungspartnern. Content Partner sindWige Data und der Sport-Informations-Dienst. Infolgedessen waren bei den Deutschen Leichtathletik Mei-sterschaften 35 Journalisten mit der sogenannten Smart-Wear ausgestattet worden, intelligenten Westen mit in-tegrierten PDAs. Cisco hatte im Lohrheide Stadion einWireless-LAN eingerichtet, über das Zeitpläne, Ergeb-nisse, Rekorde und Adhoc-Meldungen auf die Endgerä-te in der Smart-Wear übertragen wurden, eine“InWestition” der besonderen Art. Bei solchen Großer-eignissen beweist die funkende Tech-Fashion durchausVorteile, denn alles was, man wissen muß, weiß die We-ste. www.smart-wear.de

...Ohne Netzwerkkarte

USB Fast Ethernet Adapter: Netgear hat dieVerfügbarkeit eines USB Fast Ethernet Adapters bekannt-gegeben, der die üblichen Netzwerkkarten ersetzt. DerAdapter FA101 wird an einen freien USB-Port ange-schlossen und ist dank seines geringen Gewichtes undder ergonomischen Abmessung auch für Notebooknutzerproblemlos zu transportieren. Mit dem USB Adapter prä-sentiert Netgear eine interessante Lösung, mit der Rech-ner über einen freien USB-Port einen 10/100 MBit/sZugang zum Netzwerk erhalten. LEDs geben den aktu-ellen Status der Netzwerkaktivitäten an. Wo Rechnerbis an die Grenze ihrer Steckplätze ausgelastet sind, gibtes für solche Systeme also nun eine sinnvolle Lösung.Das gleiche gilt für Notebooks, denn mit dem FA101bleibt der PCMCIA-Slot ungenutzt und frei für andereexterne Geräte. Der FA101 kann an USB-Ports des Typs1.1 und 2.0 angeschlossen werden, unterstützt aber aus-schließlich die Merkmale des Standards 1.1. Mit demFA120 will Netgear noch im dritten Quartal eine äqui-valente Lösung für USB 2.0 anbieten.

...XML-Contest

IP-Telefonie auf der exponet: Die exponet2002 wird zum Forum für Entwickler von Anwendun-gen für IP-Telefonie. Cisco Systems plant in Köln denzweiten deutschlandweiten XML-Contest. Inhalt desWettbewerbs, der vom 19. bis 21. November 2002 aufdem Cisco Messestand stattfinden wird, sind Software-Entwicklungen auf Basis der eXtensible MarkupLanguage für die IP-Telefone von Cisco. Berücksich-tigt werden Anwendungen, die angepaßte, webbasie-rende Inhalte und neue Telefonie-Funktionen für IP-Te-lefone bereitstellen und in das ERP-System eines Unter-nehmens integriert werden können. Cisco sucht für den

1 91 91 91 91 9

09 Ausgabe 09/2002

Wettbewerb Entwickler in den Kategorien Services,Anwendungen, Specials und branchenspezifische Ap-plikationen. Die Teilnahme am Wettbewerb sowie diePräsenz auf dem Messestand ist kostenlos. Unter http://www.xml-contest.de können sich Entwickler bis zum 1.November 2002 online anmelden. Alle Teilnehmer er-halten ein Test-Kit, das aus einem Cisco IP-Telefon 7960sowie dem Buch “Developing IP Phone Services” be-steht. Mit dem mitgelieferten CallManager-Simulatorkönnen Unternehmen ihre XML-Applikationen wie ineiner realen Umgebung testen. Aus allen Anmeldungenwerden 30 Unternehmen ausgewählt, um ihre Anwen-dung auf der exponet zu präsentieren. Eine Fachjurywählt dann die 10 innovativsten Anwendungen aus.

...Firmware-Updates

Auch für die ehemalige ELSA:LANCOMSystems stellt die neue Firmware-Version 2.70 vor. Ne-ben der Web-Konfiguration über eine gesicherte HTTPS-Verbindung und IP-QoS-Funktionen zählt die Unterstüt-zung für VPN-Clients mit PPTP und IPsec zu den High-lights der neuen Software für alle LANCOM-Router unddie bisherigen ELSA LANCOM-Produkte. ZahlreicheDetails verbessern die Sicherheit und vereinfachen dieKonfiguration der Geräte. Neben dem Support für dieeigenen Produkte bietet LANCOM Systems auch einenkostenpflichtigen Reparatur-Service für die früher ver-kauften ELSA LANCOM-Router an. Das Firmware-Up-date für die LANCOM Geräte wird aber auch den Kun-den der ehemaligen ELSA AG kostenlos bereitgestellt.Es ist im Internet unter www.lancom.de verfügbar.

wird auf dem heimischen PC installiert und übernimmtdort in Zusammenarbeit mit einer TV-Karte die Aufzeich-nung und das Management der Video-Files. Zum An-schauen der Sendungen kann mit einer neuen Client-Software, dem InfoCenter TV, der PC-Monitor oder dasFernsehgerät verwendet werden. David TV soll voraus-sichtlich ab Oktober verfügbar sein. Im Paket enthaltenist neben allen Software-Bestandteilen eine 6-Monats-Subscripton für die TV Services. Eine Verlängerung desAbonnements für weitere 6 Monate soll 39,- Euro kosten.

...Vorstellung

Backup für verteilte Server:ComputerAssociates kündigt an, auf der Systems 2002 im Okto-ber die neue Version 9.0 ihrer Speichermanagement-Lösung BrightStor ARCserve Backup vorzustellen. ZurZeit noch im Beta-Status, soll die Version 9.0 für Windowsund Netware im Herbst auf den Markt kommen. Die CALösung wird verbesserte Datensicherung für verteilteServer mit Intel-Architektur bieten, mit hoher Zuverläs-sigkeit und Performance. Mit neuen Funktionen kön-nen Administratoren Routineaufgaben wie das Bereini-gen von Festplatten oder die Pflege von Datenbankenautomatisieren, nach dem gleichen Prinzip, wie die be-reits übliche Planung von routinemäßigen Backups. Siewerden von einer intuitiven und vom Betriebssystemunabhängigen Benutzeroberfläche aus gesteuert. DennCA gibt BrightStor ARCserve Backup in der Version 9.0ein neues Oberflächendesign. Installations- oderRegistrierungsprozeduren wurden überarbeitet, undauch die Backup-Prozesse optimiert. Dedizierte Verbin-dungen können für die zu sichernden Daten festgelegtwerden, um das Netz beim Backup zu entlasten.

...Codename Destiny

Roadmap für Directories:Novell hat mit Destinyein Projekt für die Roadmap der Verzeichnisdienste dernächsten Generation initiiert. Diese Roadmap sieht eineReihe wegbereitender neuer Directory-Versionen inner-halb der nächsten 18 Monate vor. Den Anfang machtNovell mit dem UDDI-Server. UDDI steht für UniversalDescription, Discovery and Integration, das im Verlaufdes Jahres auf den Markt kommt. Es dehnt das sichereManagement von Identitäten auf die Welt der Web-Dien-ste aus. Schlüsselelemente der Destiny Roadmap sindVerbesserungen in den vier Bereichen Web-Services,dynamische Identitäten, intelligente Infrastrukturen so-wie Federated Trusts. Während Verzeichnisdienste heut-zutage weitgehend statische Datenbanken sind , soll amEnde der Destiny-Entwicklung ein Verzeichnisdienststehen, der auf der Basis von Geschäftsregeln intelli-gente Entscheidungen über Anwender, Daten und Be-ziehungen trifft.

...PC- und TV-Welt

Infotainment Center:Mit David TV entwickeltTobit Software ein neues Software Produkt, das die PC-Welt mit der TV-Welt verknüpft, und das die Fernseh-Gewohnheiten durchaus zu verändern vermag. DavidTV zeichnet anhand von Benutzerprofilen alle TV-Sen-dungen automatisch auf, um sie dann über den PC oderein TV-Gerät wiederzugeben. Über Stream Tags, die alsService im Produkt integriert werden, kann der Anwen-der direkt zu spannenden Szenen oder bestimmten Ka-piteln springen und auch Werbeblöcke beim Abspielenautomatisch ausblenden. Mit David TV als InfotainmentCenter wird der Zuschauer unabhängig von Sendezei-ten, und wenn er möchte, frei von Werbung. Denn nachseinem Profil und seinen persönlichen Interessen wer-den die interessanten TV-Sendungen aus dem übermäch-tigen täglichen Fernsehangebot aufgezeichnet und ohneUnterbrechung angesehen werden können. David TVbasiert auf DvISE, in das das TV-Netz und - mit Video-Files - ein neuer Medientyp integriert wird. David TV

Ausgabe 09/2002

2 02 02 02 02 0

09

t h e m a d e s m o n a t s

TECHNOLOGIE UPDATE

.NET ServerTeil 1: Neue Features des Betriebssystems

Von Jeannette Saebisch

BBei der aktuellenDiskussion derneuen Microsoft.Net-Technologi-en steht meistensXML als zukunfts-weisende Platt-form für univer-selle Web-Diensteim Vordergrund.Wir hingegen wol-len uns mit demServerbetriebs-system der .NET-Server Family be-schäftigen, demeigentlichen Fun-dament, auf dasdie .NET-Archi-tektur aufsetzt.

2 12 12 12 12 1

09 Ausgabe 09/2002

Als Nachfolger von Windows 2000werden die .NET Server eine Fülleneuer Features und Erweiterungenmit sich bringen. Abseits aller DotNET-Strategien wollen wir uns daherin diesem Schwerpunktartikel mitdem eigentlichen Serverbetriebs-system beschäftigen. Wir haben unseinen ersten Überblick verschafft, umzu sehen, welche Fortschritte zu er-warten sind, und welche Vorteile einTechnologie-Update mit sich bringt,denn es gibt Verbesserungen zuhauf.In einer ersten Übersicht möchten wirIhnen daher die Neuerungen vorstel-len. Grundlage unserer Betrachtungwar die aktuelle Beta3-Version des.NET-Servers, die zwar noch vieleüberraschende Tücken mit sichbringt, aber dennoch die wesentlichenÄnderungen anschaulich präsentiert.Die Familie der Windows .NET-Ser-ver soll - letzten Microsoft-Angabenzufolge - zwar erst Anfang 2003 aufdem Markt kommen, doch um so ru-higer lassen sich Kriterien für eineMigrations-Entscheidung diskutie-ren. Zumal sich für viele die Fragestellt, ob eine Aktualisierung auf .NETwirklich notwendig ist, wenn docheben erst ein Upgrade auf Windows2000 stattgefunden hat. Um diese Fra-ge beantworten zu helfen, werden wir

Ihnen zunächst dieneuen Features undVerbesserungen der.NET-Server nen-nen. Denn in annä-hernd allen Berei-chen des Server-betriebssystems hates Änderungen ge-geben. Wir wollendaran anschließendunser besonderesAugenmerk auf dieBereiche ActiveDirectory und DNSlegen, als die zen-tralen Dreh- undAngelpunkte desMicrosoft Networ-king.

Tabelle 1Anforderung Web Server Standard Server Enterprise Server Datacenter ServerCPU max. 133 MHz 133 MHz 133 MHz 400 MHz

min. 550 MHz 550 MHz 733 MHz 733 MHz

Prozessorenzahl 1 bis 2 1 bis 2 bis 8 min. 8max. 32

RAM max. 128 MB 128 MB 128 MB 512 MBmin. 2 GB 4 GB 32 GB 64 GBempfohlen: 256 MB 256 MB 256 MB 1 GB

Plattenspeicherplatz 1,5 GB 1,5 GB 1,5 GB 1,5 GB

Anm.: Die Angaben beziehen sich auf x86-basierende Computer. Bei Itanium-basierenden Computern (Enterprise und Datacenter)beträgt die minimale CPU-Geschwindigkeit 733 MHz, die maximale RAM-Größe für Enterprise Server 64 GB und 128 GB für denDatacenter Server. Die Höchstzahl der Prozessoren liegt für Datacenter bei 64. Der Platzbedarf bei Installation steigt auf 2 GB.

Tabelle 1: Systemanforderungen der .NET Server-Familie Stand Beta 3

Abb. 1: .NET_Enterprise Server

.NET Server-FamilieWie unter Windows 2000 gibt es auchunter .NET nicht nur einen .NET Ser-ver, sondern eine ganze Familie, diedifferenzierte Lösungen für die ver-schiedenen Anforderungen in Netz-werken und für unterschiedlicheFinanzbudgets bietet. Der kleinsteunter ihnen, der .NET Standard Ser-ver, folgt dem Windows 2000 Server

nach. Neben den .NET Enterprise Ser-ver (vgl. Abb. 1) als den Nachfolgerdes W2K Advanced Servers, und den.NET Datacenter Server tritt als einneues, eigenständiges Produkt der.NET Web Server auf die Bühne. Erist ein rein funktionsorientiertes Web-Serverprodukt, das als Entwicklungs-Plattform von Web-Diensten gedachtist. Dabei spielt ASP.NET als ein neu-er Bestandteil des .NET-Frameworksdie tragende Rolle bei der Erstellungder innovativen XML-Anwendungenund ihrer Bereitstellung.

Ausgabe 09/2002

2 22 22 22 22 2

09

t h e m a d e s m o n a t s

Das .NET Standard-Serverbetriebs-system ist aufgrund seiner Flexibili-tät bereits für vielfältigste Unterneh-mungslösungen zutreffend. Die Un-terschiede zum .NET Enterprise Ser-ver liegen - wie schon bei der 2000erServer-Familie - in der Anzahl der un-terstützten Prozessoren und der Grö-ße des unterstützten Arbeitsspeicherssowie in der Cluster-Unterstützung,die beim Enterprise-Server vier Clu-ster-Knoten umfaßt (siehe Tabelle 1).Eine Unterstützung von 64-Bit-Computerplattformen ist erst ab demEnterprise-Server verfügbar.

Standard und EnterpriseSchauen wir zunächst, welche Funk-tionen denn von welchem Familien-mitglied genau angeboten werden,und konzentrieren wir uns auf diebeiden zentralen Systeme, den Stan-dard und Enterprise Server. Von den.NET-Anwendungsdiensten werdenvon beiden Servern als Kern-funktionen das .NET-Framework, IIS6.0, ASP.NET und die Unternehmens-UDDI-Dienste unterstützt. EinzigeEinschränkung ist das Fehlen des.NET-Framework und der ASP.NETKomponente bei der 64-Bit-Editiondes Enterprise-Servers.Wird bei dem Enterprise-Server einevollständige Failover-Cluster-Unter-stützung angeboten, so bietet derStandard-Server lediglich die Funk-tion des Netzwerklastenausgleichs.Dieses ist mit das wichtigste Unter-scheidungskriterium der beiden Ser-ver-Modelle. Alle Kommunikations-und Netzwerkdienste werden vonbeiden Systemen unterstützt. Dazugehören VPN-Unterstützung, SIP-Dienste, IAS-Dienste, Netzwerk-Brük-ke, Internet-Connection-Sharing undIPv6. Beide Server bieten natürlichdie Dienste des Active Directory an,wobei der Enterprise Server zusätz-lich MMS- Unterstützung (Meta-directory Services) beinhaltet.Die Datei- und Druckdienste habenwiederum keine Unterschiede aufzu-

Microsoft. NET mit SicherheitSmartcard PKI-Lösung und Einmalpaßwörter

Trotz vieler Fortschritte unterscheiden sich die Sicherheitsmechanismen in .NETkaum von denen in Windows 2000. Mit dem Einmalpaßwortsystem SecOVIDund der PKI-Lösung Kobil Smart Key bietet KOBIL Systems auch für Microsoft.NET höchsten Sicherheitsschutz auf der Basis von Smart Cards.

Windows-Plattformen und .NET bieten zur Datensicherheit Lösungsansätze,die zwar in praktischer Hinsicht überzeugen. Den hohen Sicherheitsanforderun-gen vieler Kunden genügen sie dennoch nicht. So können statische Paßwörterzur Authentifikation des Benutzers leicht ausgespäht und mißbraucht werden.Eine weitere Schwachstelle ist die Sicherung des Datenverkehrs. Zwar bietetMicrosoft neben kryptografischen Hashfunktionen auch digitale Signaturverfahrenan. In der Regel aber wird der geheim zu haltende private Schlüssel auf derFestplatte nicht sehr sicher gespeichert.

Einmalpaßwort-System SecOVIDMit den Produkten von KOBIL Systems lassen sich diese Sicherheitslückensystematisch und zuverlässig schließen. So generiert das Einmalpaßwort-Sy-stem SecOVID für jeden Zugriff auf LANs, Firewalls, Webserver oder anderewertvolle Netzwerkressourcen ein neues Kennwort. Berechnet werden diesedynamischen Paßwörter mittels Chipkartenterminal und Smart Card oder Hard-ware-Token, nachdem der Nutzer seine PIN eingegeben hat. Damit nutzt dasSystem die sogenannte Zwei-Faktor-Authentifizierung: den Gerätebesitz und dasWissen der PIN. SecOVID arbeitet mit allen gängigen VPN-Lösungen wie etwadenen von Cisco. Neben sicherem Remote Login ermöglicht SecOVID zudemeine starke Authentifizierung für unternehmensweite ASP-Anwendungen mit ThinClients in Citrix Metaframe- und Windows-Terminalserver-Umgebungen.

PKI-Lösung KOBIL Smart KeyDie PKI-Lösung KOBIL Smart Key löst die Sicherheitsproblematik hinsichtlichder Hinterlegung des privaten Schlüssels des Nutzers. Dieser wird dazu hoch-sicher auf einer TCOS-Chipkarte gespeichert. Diese Karten sind nach IT-SEC„E4/hoch-evaluiert“ und mit einer Karten-PIN zusätzlich abgesichert. Über CSP-und PKCS#11-Module kannKobil Smart Key mit allen gängi-gen VPNs zertifikatsbasiert ge-nutzt werden, z.B. auch mitWindows 2000 VPN. Darüberhinaus bietet KOBIL Smart Keysicheres Windows Login wieauch die Möglichkeit, Dateienund E-Mails zu verschlüsselnund zu signieren.

Informationen zu Sicherheitskon-zepten erhalten Sie beim Compu-Shack Projekt-Team unter 02631/983-345 oder per E-Mail anprojekte@compu-shack.com,, zuKOBIL-Produkten vom BusinessTeam Development unter 02631/983-458 oder pm-busdev@compu-shack.com.

2 32 32 32 32 3

09 Ausgabe 09/2002

weisen. Wir finden bei beiden DFS,EFS, das Wiederherstellen vonShadow-Copies und die Share PointTeam Services. Das gleiche gilt fürdie Verwaltungsdienste: IntelliMir-ror, WMI-Filter, RIS, Remote Be-triebssystem Installation undRichtlinienergebnissatz.In Sachen Skalierbarkeit bietet ledig-lich der Enterprise Server zusätzlicheFunktionen an, und zwar mit 64-Bit-Unterstützung, dem Hinzufügen vonArbeitsspeicher im laufenden Betriebund NUMA, dem Non-UniformMemory Access. Für die Sicherheitgibt es bei beiden eine Internet-verbindungs-Firewall, die PKI,Certificate-Services und Smart-CardSupport. Bei den Terminaldienstenliegt die einzige Unterscheidung dar-in, daß der Enterprise-Server zusätz-lich zur Remotedesktop-Verwaltungund Terminal-serverfunktion einTerminalserver-Sitzungsverzeichnisanbietet. Auch dies mag einEntscheidungskriterium sein.

Sicherheits-Features

Microsoft zufolge setzt der .NET-Ser-ver die Verbesserungsvorschläge derKunden konsequent um. Um zu se-hen, was uns das neue Produkt so al-les zu bieten hat, gehen wir also ambesten die zentralen Features einmaldurch. Und da diese so zahlreich sindund von den Installationstools überSecurity bis hin zu RAS und Routingreichen, beschränken wir uns vorabauf die elementaren Verbesserungen,denn allein das birgt Stoff genug. Aufdie Praxis wollen wir erst mit Erschei-nen des .NET-Servers näher eingehen,da selbst die aktuelle Betaversionabenteuerliche Tücken aufweist undzum Teil noch nicht vollständigdurchprogrammiert ist.Beginnen wir mit den neuenSicherheits-Features, wo der neueAdvanced Encryption Standard

(AES) bereits inte-griert wurde, derdie DES-Ver-schlüsselung bei-zeiten ersetzensoll. Allerdings istdessen Standardi-sierung nochbeim National In-stitute of Stan-dards and Tech-nology (NIST) inArbeit, soll aberauch für IPsec undTLS adaptiertwerden. Darin in-tegriert findensich auch die neuen HASH Algorith-men FIPS 180-2 und PKCS#1.

ZertifikateWenn wir uns an die Certificate Ser-vices unter W2K erinnern, fehlte dasAuto-Enrollment für Benutzer. Unter.NET ist dies nun für EFS-, Compu-ter- und Benutzer-Zertifikate mög-lich. Zusätzlich wird auch eine neue

Funktion der automatischen Erneue-rung für Zertifikate angeboten. Ge-steuert wird das Ganze durch denEnterprise-Admin, der mit Hilfe desCertificate Templates Snap-InSicherheitsberechtigungen aufZertifikatsvorlagen mitgibt. Clientsvon XP oder .NET verbinden sich aufdiese Vorlagen, so daß bei erlaubtemZugriff die Zertifikate übernommenwerden können. Verbesserungen stel-

Abb. 2: .NET_DC Installation

Kleines Glossar zu Microsoft .NET

.NET Microsoft Plattform für XML-WebdiensteAES Advanced Encryption StandardASP Active Server PagesC# und CLI Programmiersprache für XML-Webdienste,

ausgesprochen C-SharpCA Certification AuthorityCRL Certification Revocation ListDFS Distributed File SystemEFS Encrypted File SystemESP Encapsulated Security PayloadIAS Internet Authentication ServerKMS Key Management SystemMMC Microsoft Management ConsolePDC Primärer Domänen-Controller (unter NT.4)PKI Public Key InfrastructureRIS Remote Installation ServiceSIP Session Initiation ProtocollSOAP Simple Object Access ProtocolUDDI Internet-VerzeichnisdienstWMI Windows Management InstrumentationXML Extensibel Markup Language

Ausgabe 09/2002

2 42 42 42 42 4

09

t h e m a d e s m o n a t s

len auch die Erweiterungen im Be-reich der Delta CertificationRevocation Lists (CRLs) und dieCRL Duplication Points dar, mit de-ren Hilfe Webserver Zugriff auf dieseZertifikatsliste haben. Auch das Ein-stellen einer erzwungenen rollen-basierenden Administration für Ser-ver in Bezug auf die Verwaltung ei-ner CA ist möglich.Die Qualified Subordination erwei-tert die Standard CA Subordinationund erlaubt den Namensbereich zu-zuweisen, für den eine SubordinateCA verantwortlich ist. Ein Zertifikatkann in verschiedenen Zertifikats-hierarchien genutzt werden. Des wei-teren wird das Cross CertificationFeature aus W2K auf abteilungs-weiter und globaler Ebene ausge-dehnt. War es bei den Vorgängerver-sionen so, daß Many-to-one-Mappings von Client-Zertifikatennur auf Basis einer direkten Ausstel-lung der Endzertifikate möglich war,so ist es jetzt möglich, auf der Grund-lage irgendeiner Subordinate CA dieMappings über SSL/TLS zu erstellen.Das aus Exchange 2000 stammendeneue KMS Database Migration Tool(Key Management System) bietet dieFunktion, eine vorhandene KMS Da-tenbank in eine CA unter .NET zumigrieren. So haben ältere Clientsunter Windows 2000, XP oder ME dieMöglichkeit, unter .NET Server eineCA für die Schlüsselarchivierung und-wiederherstellung zu nutzen. Ausge-führt wird dieses Tool über dieBefehlszeile mit Certutil.exe.Zu diesem Befehl gehört auch derneue Parameter -dspublish, umCA-Zertifikate oder die CRL insActive Directory zu veröffentlichen.

AutorisierungSchauen wir uns das EFS an. Die er-ste Verbesserung ist, daß mehrere Be-nutzer autorisiert werden können,verschlüsselte Dateien gemeinsam zunutzen. Konnte unter W2K nur ge-wählt werden, ob Offline-Dateien

Customer-Preview-Programm.NET Server Release Candidate 1 verfügbar

Microsoft Windows .NET Server, das kommende Serverbetriebssystem vonMicrosoft, hat den Status des Release Candidate 1 erreicht. RC1 ist ein wichtigerSchritt auf dem Weg zur endgültigen Fertigstellung des Produkts. Die Entwick-lung und Beta-Tests sind Microsoft zufolge abgeschlossen, am Programmcodemüßten nur noch letzte Tests und Abschlußarbeiten geleistet werden, bevor dieProduktion beginnen kann. Microsoft Windows .NET Server RC1 ist seit Augustfür alle interessierten Kunden erhältlich.

Mit verbesserter Unterstützung für 64-Bit-Prozessoren, umfassender Einbin-dung von Clustering mit bis zu acht Knoten und Unterstützung von Non-UniformMemory Access empfehlen sich die Windows Server für geschäftskritische undHigh-End-Anwendungen. Die Windows .NET Server-Familie ist Teil der .NET-Strategie von Microsoft und unterstützt das .NET Framework für die Entwicklungund den Einsatz verknüpfter Anwendungen.Das erleichtert Entwicklern die Erstellung von XML-basierten Applikationen undWeb-Services. Windows .NET Server wird in vier Versionen verfügbar sein: alsStandard-, Enterprise und Datacenter-Server sowie in einer speziell auf dieBedürfnisse kleiner und kleinster Unternehmen zugeschnittenen Variante mitintegriertem Web-Server.

EvaluierungMit RC1 steht Entwicklern eine stabile und vollständige Version von Windows.NET Server zur Verfügung, mit der sie neue Anwendungen für die kommendePlattform entwickeln können. Gleichzeitig bietet RC1 Geschäftskunden die Mög-lichkeit, das neue Serverbetriebssystem zu evaluieren und festzustellen, wiesie die verbesserten Möglichkeiten des Systems ihrer IT-Umgebung nutzenkönnen. Die deutsche Microsoft-Niederlassung hat ein lokales Customer-Preview-Programm für ihre Geschäftskunden vorbereitet, das bereits Ende Au-gust mit der ersten Auslieferung der Produkte begann.Alle Teilnehmer des Programms erhalten zunächst den RC1 von Windows.NET Server in englischer Sprache, inklusive Resource CD und Product Key.RC2 (deutsch) sowie eineEvaluierungskopie des fina-len Produkts in Deutsch sol-len den Teilnehmern zuge-schickt werden, sobald sieverfügbar sind.

2 52 52 52 52 5

09 Ausgabe 09/2002

oder Verschlüsselung genutzt wird, sowurde es unter .NET jetzt realisiert,die Offline-Datenbank zu verschlüs-seln. Zudem bietet .NET Unterstüt-zung für Applikationen zur Nutzungvon EFS an, um Verschlüsselungs-Metadata von alten in neue Dateienzu kopieren.Angenehm für die Anwender ist dasSpeichern von Benutzernamen undPaßwörtern, das Credential Manage-ment. Denn dadurch muß ein Benut-zer seine Credentials nach deminitialen Zugriff - beispielsweise aufeine Spartenanwendung - bei einererneuten Abfrage nicht erneut einge-ben. Für den Administrator sinnvollist die erweiterte Unterstützung vonSmart-Cards. Sowohl DCPromo, RunAs als auch Map Network Drive undnet.exe sind über Smart-Card Loginmöglich. Ebenso ist mit Smart-Cardsder Zugriff auf das Active Directoryüber Terminal Server möglich. Ob dieneue Funktion der Paßwortsicherungund -wiederherstellung sinnvoll ist,bleibt dem Leser überlassen, aber sieist auf jeden Fall möglich. Um nochetwas beim Thema Sicherheit zu blei-ben, sehen wir uns beim Übergang zuden Features im Bereich Netzwerkeund Kommunikation noch die Ver-besserungen unter IPsec an.

KommunikationDie neuen RAS-Features bringenUnterstützung von Pre-Shared Keysin der L2TP/IPsec Authentifizierung,die Integration von NAT und stati-scher wie dynamischer Paketfilterungsowie Support für PPPOE-Client RAS-Verbindungen Support für L2TP/Ipsec Verbindungen über NAT, womitwir beim Thema IPsec wären.

L2TP/IPsecL2TP/IPsec kann nun ein NAT-Device passieren. Dies wird durch IKE(Internet Key Exchange Protokoll) er-möglicht, welches ein NAT Device

erkennt unddann UDP-ESPnutzt, um demIPsec Traffic denWeg über NATfrei zu machen.Ebenso erkenntIKE Network-Load-Balancing-Strukturen undnutzt diese auto-matisch für siche-re und zuverlässi-gere VPN-Dien-ste. Auch fürD o w n - L e v e lClients wird die-ses Featureangewandt.IKEselber hat nun einen besseren 128-Bit äquivalenten Schlüssel für die3072bit Generation der Diffie-Hellman Schlüssel. (Zur Zeit IETFDraft: draft-ietf-ipsec-ike-modp-groups-02.txt) Es kannwahlweise darauf eingestellt werden,nur DH3072 zu nutzen oder perDefault auch andere Verschlüsse-lungsgrade zuzulassen. Um dieseOption auch für non-L2TP/IPsecVPN-Clients zu nutzen, steht das Toolipseccmd.exe im Verzeichnis /supports zur Verfügung.

Internet ProtocollTCP/IP im allgemeinen hat nur eini-ge kleinere Verbesserungen erfahren,beispielsweise im Bereich der Client-Verwaltung mit der Auto-Konfigura-tion für Multiple NetworkConnectivity. Damit kann mobilenComputern eine alternative Konfigu-ration für verschiedene Umgebungenmitgegeben werden, was serverseitigjedoch weniger relevant ist als beimXP-Client. Ein nettes Beiwerk ist diezusätzliche NETSTAT Option, umden Prozeß anzuzeigen, welcher denTCP/UDP Port besitzt. Ohne hier aus-führlich darüber zu berichten, sei dieumfassende IPv6 Unterstützungdurch .NET erwähnt. IPv6 wird ein

eigenes Schwerpunktthema in einerder kommenden Ausgaben werden.

RAS und RoutingNeue Funktion des Network Bridgingerlauben es, verschiedene LANs zuüberbrücken, in einem Netzwerk oderIP-Subnet, was überwiegend fürHome-User interessant sein dürfte. AlsProtokolle sind NetBEUI und DLCverschwunden, dafür ist PPPoE hin-zugekommen. Die Unterstützung fürsicherere Breitband-Verbindungenmit PPP over Ethernet ist eine will-kommene Bereicherung, ebenso wieRemote Access Sharing Credentialsfür verschiedene Benutzer auf demgleichen Computer oder die TCP/IP-Namensauflösung über RAS ohneWINS/DNS bei Ausfall der VPN-Dien-ste (vgl. Abb. 3). Das Routing bleibtfür Clients durch Split-Tunnelingleicht konfigurierbar. Über DHCPkönnen mit Option 249 ClasslessStatic Routes mitgegeben werden, zujedem Ziel im Netzwerk.Praktisch ist auch die gleichzeitigeKonfiguration von NAT und Dial-In-Zugriff auf einem Server. Somit kön-nen Dial-In-Benutzer auch auf das In-ternet zugreifen. Hierfür wird das in-terne Interface der NAT-Konfigurati-on als privates Interface zugewiesen.

Abb. 3: .NET_RAS-Console

Ausgabe 09/2002

2 62 62 62 62 6

09

t h e m a d e s m o n a t s

Out of the BoxCommand Line Tools

Die Command Line Tools und die meisten Befehlszeilen-Tools aus den Resource Kits sind bei den .NET Servernnun endlich im Betriebssystem integriert. Infos dazu sind in der .NET Hilfe zu finden.

Bootcfg.exe Betrachten und Einstellen der Eigen-schaften der boot.ini auf lokalem Systemoder Remote Server.

DriverQuery.exe Ansehen der aktuell geladenen Geräte-treiber und deren Speichernutzung

bitscli.exe Verwalten der Background IntelligentTransfer Service Downloads

dsadd Erstellen einer Object Instanz einesbestimmten Typs ins Active Directory

dsmod Ändern ausgewählter Attribute einesexistierenden AD-Objekts

dsrm Verschieben eines Objektes oder voll-ständigen Subtrees unter ein Objekt im

ADdsmove Verschieben eines Objektes von der

aktuellen zu einer neuen parent locationim gleichen Namenskontext oder um einObjekt im AD umzubenennen.

dsquery Objekte im AD anhand bestimmterSuchkriterien auffinden

dsget Anschauen von ausgewählten Eigen-schaften eines bekannten AD-Objekts

Eventtriggers.exe Hervorheben eines Prozesses, basierendauf dem Auftreten eines Events, derim Event Log geschrieben wurde

Eventquery.vbs – Bestimmen des Event Typs, der aus demEvent Log extrahiert werden soll. Die aus-gewählten Events können angezeigt oderin Dateien gespeichert werden

Eventdcreate.exe Schreiben eines benutzerdefiniertenEvents in einen der Event Logs

GPresult.exe Erhalten der Resultant Set of Policies undListe der auf den Computer angewende-ten Policies

IIS scripts Viele neue Script Tools zum Konfigurierenund Verwalten des IIS und der ASP Appli-kationen

Ipseccmd.exe Anzeigen und Ändern von Policies undEigenschaften des IPsec

NetDom.exe Anzeigen und Einstellen des Computer-namens, Maschinennamen und dem er-sten DNS Label der Maschine

NetSh.exe Netzwerk-Konfigurationstool, dasnetDiag.exe Funktionen integriert hat

Openfiles.exe Ansehen der Liste von verbundenenUsern und offenen Dateien per Share

Pagefileconfig.vbs Ansehen und Einstellen der aktuellen Aus-lagerungsdateigröße

Print scripts viele neue Tools zum Verwalten undKonfigurieren der Druckdienste, Treiberund Queues

Reg.exe Ansehen, Editieren und Einstellen vonRegistry keys

SC.exe Start/Stop und verwalten des win32Dienstes

SchTasks.exe Ansehen, Editieren, Einstellen vonScheduled tasks mit dem win32Scheduling-Dienst.

Shutdown.exe Shutdown, Restart und entsprechen-der Eintrag im Event Viewer

Systeminfo.exe Ansehen der grundlegenden Eigen-schaften der Maschine, z.B. CPU undRAM.

TaskKill.exe Löschen und Stoppen eines laufendenProzesses, auch remote möglich

TaskList.exe Anzeigen und Identifizieren aller lau -fenden Prozesse mit PIDs

Tsecimp.exe Importieren von TAPI Eigenschaften derBenutzerkonten und Zugriffsrechten.

Zusätzlich wurden aus dem Resource Kit folgendeTools integriert:

Choice.exe für die Auswahl aus einem Menü zurAusführung von Batch-Dateien

Clip.exe leitet Befehlszeilenausgaben in dieZwischenablage zum Kopieren ausoder Einfügen in GUI- Anwendungenum.

Compress.exe komprimiert Dateien in eine cab-DateiExtract.exe extrahiert Dateien aus einer cab-DateiForfiles.exe wird nur für ausgewählte Dateitypen

ausgeführt (z.B. nur .bat oder .exe-Dateien)

freedisk.exe ermöglicht den Betrieb, wenn ein angegebener Prozentsatz des Speicherplatzes verfügbar ist

Gettype.exe bestimmt den Produkttyp (z.B. Win XPProfessional)

Inuse.exe ersetzt in den Arbeitsspeicher gelade-ne Dateien

PowerCfg.exe ermöglicht die EnergieverwaltungSetx.exe ermöglicht das Festlegen von

Umgebungsvariablen mit Hilfe vonBatch-Dateien

Regfind.exe durchsucht die RegistryScanreg.exe durchsucht die Registry erneut (Kombi

mit regfind.exe)Takeown.exe Administratoren können den Besitz von

verwaisten Dateien übernehmenTimeout.exe hält eine Batch-Datei für eine in sec.

angegebene Dauer anwaitfor.exe hält eine Batch-Datei an, bis ein Signal

empfangen wirdwhoami.exe wer ist der aktuell angemeldete Benut-

zerwhere.exe sucht nach DateienXcacls.exe Zugriffssteuerungslisten-Editor für

Dateien

2 72 72 72 72 7

09 Ausgabe 09/2002

NetzwerkDer Network Load Balancing Mana-ger stellt einen konzentriertenAdministrations-Punkt dar, von demaus Änderungen einmal mitgegebenund an die anderen Server im Cluster-verbund übertragen werden. DiesesBefehlszeilen-Tool rufen wir übernlbmgr.exe auf. Sowohl imConnection Manager, als auch imConnection Manager AdministrationKit wurden hauptsächlich Bedie-nungselemente verbessert. Zu nennensind allenfalls der Support für die Aus-wahl eines VPN-Servers durch Erstel-len eines entsprechenden Connec-tion Manager Profiles, die automati-sche Zuweisung eines Pre-SharedKeys im Profil und das Route Mana-gement.Im Bereich des Wireless Networkingwird Computer-Authentifizierung vordem Benutzerlogin gewährleistet.Ebenso ist eine Integration von IAS/RADIUS für sichere WirelessNetworks und LANs gegeben.

BasisdiensteAuch bei DHCP gibt es einige Ände-rungen, nicht nur, was die grafischeUmsetzung anbetrifft. So gibt es jetztzusätzliche Items für Sicherung undWiederherstellung der DHCP Daten-bank im DHCP-Snap-In. Das Backupder DHCP Datenbank ist auch danndurchführbar, wenn der Dienst läuft,allerdings nur in lokale Verzeichnis-se. Jedoch werden eventuelleKonfigurationsinhalte, die nicht inder Datenbank, sondern in derRegistry gespeichert sind, nicht mitgesichert. Mit der Netshell-Integrati-on läßt sich die Datenbank problem-los auf einen anderen Server verschie-ben. Wie schon erwähnt gibt es dieOption Classless Static Route, aberauch Classless Source Routing. WINSbesteht weiterhin, jetzt aber mit einerVerbesserung, dem Filtern vonRecords, dessen Einstellung inner-halb der Registry vorgenommen wird.

Der PDC istper Default derDomain Ma-ster Browserfür die Domä-ne. In dieserFunktion kon-taktiert er denWINS-Serveralle 12 Minu-ten, um eineListe der be-kannten Do-mänen zu be-ziehen. Da-durch wird derWAN-Trafficunter Umständen reduziert, da nur dieDomänen überprüft werden, die in derNetzwerkumgebung erscheinen.

Remote ServicesEine Vielzahl an Veränderungen fin-den wir auch in den Terminal Dien-sten und dem Remote Management.Die erste Verbesserung finden wir imRemote Desktop (vgl. Abb.4). Zusätz-lich kommt unter .NET der RemoteConsole Access hinzu. Der TerminalServices Client wird durch RemoteDesktop Connection ersetzt. Auch isteine Umleitung von Audio über RDPintegriert. Durch RDP 5.1 können vie-le Client-Ressourcen in die Remote-Verbindung aufgenommen werden.Client Datei Systeme werden wieNetzwerk-Freigaben eingebunden.Port-Applikationen haben Zugriff aufserielle und parallele Ports derClients, um z.B. Barcode Reader ein-zubinden. Der lokale oder Netzwerk-drucker eines Clients wird auch in derremote Sitzung der standardmäßigeDrucker. Und der Remote Desktopgreift mit dem Client Computer aufdas gleiche Clipboard zum Datenaus-tausch zu. Die Farbauflösung übri-gens geht nun bis True Color, dieAuflösung ist lediglich abhängigvon der Fähigkeit des Client PCs.Die administrativen Tools sind bes-ser ausgestattet als unter W2K. Der

License Manager Wizard bietet nuneine neue Internet-Verbindungs-methode zur Aktivierung von Lizen-zen, zusätzlicher Support für neueArten von Lizenzen und Reaktivie-rung aktualisierter W2K TerminalServer. Die Remote Desktop MMCkann mehrere Terminal Services Ver-bindungen in anschaulicher Weisedarstellen. Als Web Verbindung desRemote Desktop fungiert das inte-grierte Terminal Services AdvancedClient Produkt (TSAC). Slow LinkPerformance Optionen geben demClient die Möglichkeit, die DesktopFeatures so zu aktivieren, daß dieentsprechende Netzwerkverbindungoptimal genutzt wird. Es gibt einenStandby Support, die Funktion derZeitzonen-Umleitung von Seiten desClients und die Möglichkeit, Berech-tigungen auf Verbindungsebene zuvergeben. Die Remote Assistenz-Funktion hat jetzt eine MSN-Integra-tion und kann Voice-over-IP inner-halb einer Remote Help Sitzung nut-zen.

IIS 6.0Unter Windows 2000 arbeiten wirnoch mit Internet Information Server5.0. Welche Verbesserungen bringtuns der IIS 6.0 unter .NET mit? AlsAuthentifizierungsmechanismus hatMicrosoft .NET Passport v2 inte-

Abb. 4: .NET_RemoteDesktopConsole

Ausgabe 09/2002

2 82 82 82 82 8

09

t h e m a d e s m o n a t s

griert. Verwendet werden die Schnitt-stellen, die von standardmäßigen.NET Passport-Komponenten bereit-gestellt werden. Wurde die Passport-Authentifizierung überprüft, wird einBenutzer einem Active Directory Be-nutzer über die .NET Passport-Iden-tifikation zugeordnet, wenn eine sol-che vorhanden ist. Durch die lokaleSicherheitsautorität wird für den Be-nutzer ein Token erstellt und von IISfür die http-Anforderung festgelegt.Administratoren können auf IIS 6.0ausführenden Servern diesesSicherheitsmodell für die Benutzer-Autorisierung über Active Directoryund Zugriffssteuerungslisten verwen-den. Weiterhin hat IIS eine ASP-Deadlock-Erkennung. Der WMI-Provider kann verkettete Zeichen-folgen in getrennte typensichere Ei-genschaften unterteilen. Für Entwick-ler interessant ist ein IIS-Feature zurvorübergehenden Registrierung imhttp-SYS-Treiber, der von IIS verwen-det wird.

Server-FeaturesZum Abschluß unserer Übersicht ha-ben wir noch die Highlights der all-gemeinen Server-Features ausge-wählt, wo es auch zahlreiche Neue-rungen zu finden gibt. Bei der Daten-, Platten- und Dateiverwaltung wirdFAT32 auf DVD-RAM unterstützt, esgibt NTFS-read-only Volumes und alswesentliche Neuerung das VolumeShadow Copying.

Shadow CopyMit der Funktion Shadow Copy, diehauptsächlich von Backup-Applika-tionen genutzt wird, werden von Spei-cher-Volumes Point-in-time-Kopiendes Originalinhalts gemacht, um die-se als statisch auszuweisen, selbstwenn deren Inhalt stetig geändert wird.Mit dem integrierten Volume-Shadow-Copy Treiber können auchoffene Dateien gesichert werden. EineZusammenarbeit mit Backup-Syste-men ist aber leider noch nicht gewähr-leistet.Backup Tools sollen die ShadowCopies sichern, ohne daß das tatsäch-liche System davon beeinflußt wird.Sowohl das Backup unter DHCP, als

auch NTFS, FAT und Shared Volumesprofitieren auf einfache Weise vondieser Funktion.

TuningDie .NET-Server haben die Unterstüt-zung für neue Massenspeichergeräteund die Logical Volume Verwaltungerweitert. DFS, Drucker und Fax-bereitstellung haben natürlich auchSchönheitskorrekturen erfahren. Desweiteren wurde die Hard- und Soft-ware-Verwaltung vielfältig verbes-sert, einschließlich dynamischer Up-dates von Treibern, automatischerAktualisierungen oder des WindowsKatalogs im Internet. Die Hilfean-gebote unter .NET übertreffen beiweitem die unter W2K. Hier habenwir technische Datenbanken, auf diezugegriffen werden kann. Gut gelun-gen sind auch die Tools für Fehler-Reports, die hoffentlich wenig benö-tigt werden. Und auch unter den Per-formance und Tuning Options sindviele Verfeinerungen vorgenommenworden.

Windows InstallerSchauen wir kurz noch auf denWindows Installer. Die .msi paketekönnen digital signiert eingesetztwerden und mit der neuen SoftwareRestriction Policy genutzt werden.Dies hilft dem Administrator zu be-stimmen, auf welchen Computernwelche Software maximal laufen darf,und welche unternehmensweit aufkeinen Fall ausgeführt werden darf.Unter dem Windows Installer 1.5 istdie verbesserte Reinstallations- undPatching-Funktion wesentlich stabi-ler. Und noch eine gute Nachricht zumSchluß dieses ersten Teils: Die mei-sten Befehlszeilen-Tools aus denResource Kits sind nun endlich imBetriebssystem integriert. Infos dazusind in der .NET Hilfe zu finden.

Beim nächsten Mal werden wir unsDNS und Active Directory zuwenden.

2 92 92 92 92 9

09 Ausgabe 09/2002

SECURITY SERVICE

Die komplette PaletteCisco PIX-Bundles bei Compu-Shack

Das Cisco Business-Team und das Projekt-Team der Compu-Shack bieten in Zusammenarbeit ein interessantes Security-Bundle für den Fachhandel an. Es beinhaltet eine PIX 501 oder 506 mitsamt einer 4-stündigen Einweisung in dieFunktionen der Cisco PIX Firewall. On Top gibt es ein neues Security-Buch von Cisco dazu.

Mit dem Buch zur PIX lernen Fach-händler mit Compu-Shack die ver-schiedenen Cisco Security Möglich-keiten genauestens kennen, um diePIX Firewall optimal im Netzwerkeinsetzen zu können. Das Buch“Cisco Secure” enthält die Grundla-gen der Internet-Sicherheit und be-leuchtet eingehend alle Bestandteileder Cisco Produktfamilie zum The-ma Sicherheit. Dazu werden Beispie-le und empfohlene Musterkonfi-gurationen mitgeliefert, die zur Absi-cherung von Internet-Verbindungennotwendig sind. Die hier aufgezeig-ten Möglichkeiten können direkt anden leistungsfähigen PIX-Firewalls506E und 515E getestet werden.1. BundlePIX 515E mit Intensiv-Einweisung+ Buch “Cisco Secure”2. BundlePIX 506E mit Intensiv-Einweisung+ Buch “Cisco Secure”

Intensiv-EinweisungIm Rahmen dieses Aktions-Bundleserhält der Fachhandel vom Projekt-Team der Compu-Shack zusätzlicheine 4-stündige Einweisung in dieFunktionen der PIX. Sie findet in denRäumen in Neuwied statt und be-inhaltet neben der Inbetriebnahmeeine grundlegende Erläuterung derPIX-Prozesse. Darüber hinaus erfährtder Fachhändler, wie die Basis-konfigurationen für den Zugriff vomPrivate zum Public Network und vomPublic Network auf bereitgestellteServices durchgeführt wird. Außer-dem werden Kenntnisse über Inter-face Configuration, Fixups und Log-ging vermittelt.

Pix FeaturesDie PIX Firewalls 506E und 515E-Rverfügen über zahlreiche Funktionen,die ein unbefugtes Eindringen in das

Unternehmensnetzwerk verhindern.Dazu gehört die Network AddressTranslation, sichere dynamische undstatische Übersetzungen sowie dasEmbedded-Realtime-Operating-Sy-stem, das eine hohe Performance inpuncto Durchsatz bietet. Die Konfi-guration der PIX Firewalls erfolgt inkürzester Zeit, dank des Graphical-User-Interfaces oder mit wenigen Be-fehlen der Web-based Configuration.

Zusätzliche Informatio-nen erhalten Sie beimCompu-Shack Projekt-Team unter 02631/983-345 oder per E-Mail anprojekte@compu-shack. com. Fragenzur PIX und zum

Security-Buch beantwortet Ihnen dasCisco Business-Team unter 02631/983-453 oder per E-Mail-Anfrage anpm-cisco@compu-shack.com.

Ausgabe 09/2002

3 03 03 03 03 0

09

Stand: 13. August 2002

Technik-News Patch-CD September 2002

H O

T L

I N E

hH O T L I N E

PatchesPatches

rot seit unserer letzten Veröffentlichung neuhinzugekommen

grün Technik News Service-CD

blau aus Platzgründen nicht mehr auf der Monats-CDgelb auf der letzten Service CD

NetWareNW 6.0 NW 4.2 eDirectory 8.x Tools / DOCsCONONE133SP1.exe COMX218.exe NW56UP1.exe DECRENFX.exe AM210PT2.exe ADMN519F.exeDHCP311D.exe DLTTAPE.exe NWFTPD6.exe DS614.exe AM210SNP.exe CFGRD6B.exeES7000.exe DS760A.exe NWPAPT2.exe GROUPFIX.exe AMW2KP2A.exe CONFG9.exeFLSYSFT7.exe DS880D.exe PKISNMAS.exe IPG4201.exe AMW2KSP1.exe COPYNLM3.exeHTTPSTK1.exe DSBROWSE.exe PSRVR112.exe IPGSN10A.exe C1UNX85A.exe CRON5.exeNAT600D.exe FLSYSFT7.exe PREDS8A.exe LONGNAM.exe DSRMENU5.tgz DSDIAG1.exeNICI_U0.exe FP3023A.exe PREEDIRD.exe NAT600D.exe DSX86UPG.tgz DBGLOG1.zipNW56UP1.exe FP3023S.exe RINSTALL.exe NLSLSP6.exe EDIR862.exe ETBOX7.exeNW6SMS1A.exe HDIR501C.exe SBCON1.exe NLSLSP6.exe EDIR862.tgz HIGHUTIL1.exeNW6NSS1A.exe IDEATA5A.exe SCMDFLT.exe NWIPADM.nlm EDIR8527.exe LOADDLL1.exeNWFTPD4.exe INSTP5X.exe SLPINSP3.exe NW4SP9.exe EDIR8527.tgz MIGRTWZD.exeNSSCHECK.exe JVM133SP1.exe SNMPFIX.exe NW4WSOCK.exe EDIR862SP1.exe NCCUTIL5.exeNFAP1SP1.exe NAT600D.exe SCMDFLT.exe ODI33G.exe EDIR862SP1.tgz NLSDLL.exeNW6SP2.exe NDP21P4.exe SLPINSP3.exe SCMAA.exe EDIRW32.exe ONSITB8.exeSNMPFIX.exe NDPSINF.exe SLP107G.exe SNMPFIX.exe EINSTALL.exe SCHCMP2.exeTCP604S.exe NESN51.exe STRMFT1.exe TSANDS.exe MWUNXPFIX.exe STUFKEY5.exeXCONSS9F.exe NFAP1SP2.exe TIMESYNC.exe XCONSS9F.exe NDSAS3S1.exe TABND2.exeNW 5.1 NICi_U0.exe TCP553J.exe NDSUNIX4.tgz TBACK3.exe4PENT.exe NIPT1.exe TCP590S.exe UNIXINF1.tgz TBOX7.exeAFNWCGI1.exe NW51FS1.exe TSA5UP9.exe UNIXINS2.tgz TCOPY2.exeB1CSPJVM.exe NW51INST.exe WBDAV51.exe PWDSNC1.exe TRPMON.exeCONONE133SP1.exe NW51SP5.exe XCONSS9F.exe ZFSDBPB.exe

NW51UPD1.exeWindows Clients ZENworksWin 95/98 dt. Win NT/2000/XP dt. ZENworks for Desktops 3.0 ZENworks 3.0NPTR95B.exe WNT483G.exe 278415.exe ZD322K2.exe ZS3SCH.exeW98332E.exe NC483SP1.exe ZD32NOTF.exe ZD32DVPW.exeNC332SP1.exe ZD32SCN.exe ZD32NW.exeWin 95/98 engl. Win NT/2000XP engl. ZD32ZIDS.exe ZENINTG.exeNPTR95B.exe WNT483E.exe ZD3XZISW.exe ZD3XWSREG.exeW98332E.exe NC483SP1.exe ZD3WSMG.exe ZD3XWVOL.exeNC332SP1.exe ZFD3SP1A.exe

Miscellaneous UpdatesNW SAA 4.0 GroupWise 6.6 Bordermanager 3.5/3.6NW4SAA.exe CCMLN2.exe GWIA6SP1.exe ADMATTRS.exe BM37VPN2.exe RADATR3A.exeSAA40020.exe EXCHNT2.exe GWPDLOCK.exe BM35ADM7.exe BM3CP3.exe SETUPEX.exeSAA4PT1.exe GW6SP1.exe GWPORT32.exf BM35SP3.exe BM3XC02.exe VPN36E.exeiChain 2.0 GW6TOMCAT_NT.exe NOTES51.exe BM36C02.exe BMAS3X01.exe Cluster ServicesIC20SP1.exe GW6WASF.exe WAVIEW71.exf BM36SP1A.exf PXY031.exe CS1SP4.exe

BM37FLT.exe PXYAUTH.exe CVSBIND.exe

Deutsche UpdatesWin 98 Win NT 4.0 Win 2000 Internet Explorer 6.0 Exchange 5.5O98SECU.exe DEUQ300972I.exe ENPACK_WIN2000ADMIN_GER.exe Q313675.exe SP4_550G.exeY2KW982G.exe ID4SETUP.exe Q311967_W2K_SP3_X86_DE.exe Q316059D.exe Exchange 2000SP6I386G.exe Q318593_W2K_SP3_X86_DE.exe Microsoft .NET EX2KSP2_SERVER.exe

Q299956_W2K_SP3_X86_DE.exe NDP10SP357.exe Q320436ENUI386.exeW2KSP3.exeW2KSP2SRP1D.exe

Englische UpdatesWin 98 Win NT 4.0 Win 2000 Win XP Exchange 2000Y2KW98_2.exe IE4USP.exe ENPACK_WIN2000ADMIN_EN.exe Q315000_WXP_SP1_x86_NEU.exe Q278523ENGI.exe

IESETUP.exe Q311967_W2K_SP3_X86_TWE.exe WM320920_8.exe Exchange 5.5MPRI386.exe Q318593_W2K_SP3_X86_EN.exe Internet Explorer 6.0 SP4_550E.exePPTPFIXI.exe Q316094_W2K_SPLl_X86_EN.exe Q316059D.exe Exchange 5.0RRASFIXI.exe Q299956_W2K_SP3_X86_EN.exe Microsoft .NET SP2_500I.exeSP6I386.exf W2KSP3E.exe NDP10SP317396.exe SP2S500I.exe

W2KSP2SRP1D.exe Q320436ENUI386.exe

3 13 13 13 13 1

09 Ausgabe 09/2002

Bintec Router SoftwareBingo! Brick XS/Office Brick XL/XL2 X8500BGO521.bg BRK512.xs BRK521P1.xl B6105P03.x8a

BRK521P2.xs2 X4000Bingo! Plus/Professional Brick XMP Netracer B6202.x4a

BGO494.bgp BRK521P1.XP NR494P1.zip X3200Brick XM B6202P01.x3b

BrickWare u. Configuration Wizard BRK511.xm XCentric X2300BW621.exe BRK521P1.xm2 XC533.xcm B6202.x2c

NLMDISK.zip Brick X.21 MODULE14.xcm X1000 / 1200BRK495.x21 B6202.x1x

Tobit Produkte für NovellTimeLAN Novell DAVID 6.5 David 6.6TIMELAN.exe D65SP1NW.exe D66NWSP2.exe IVC.dcc

Faxware 5.11 für Netware SB 4.2 DVVSCA10.exe DVGRAB.nlm POSTMAN.nlm

DAVID4.nlm PM_NW.zip DVVSCA10.exe WEBACCNW.exf

Faxware 5.11 für Netware SB 5.0 HF1NWG.exe

DAVID5.nlm

Tobit Produkte für MicrosoftTobit ServTime Win 98 Tools DAVID 6.5 für NTl David 6.6 NT / 2000SETUPW98.exe DCNSETUP.exe D65SP1NT.exe 1839NT.zip DVPGP.dll

DVEXTINF.exe DV4EXSP2.exe D66NTSP2.exe HF1NTG.exe

Tobit TimeLAN für NT DVZMSD.exe MAPI32.dll VV0.exe DV_WIN.zip IVC.dcc

SETUPNT.exe KLICKTEL.zip DV4EXSP3.exe MCSCANNT.zip

SENDMAIL.exe DV4EXW2K.exe WEBACCNT.exe

Tobit ServTime für NT DVGRAB.exe

SERVTIME.exe

Up to DateService Packs und Updates auf der TN Monats- und Service-CD

Im August ist eine wahre Fülle von umfangreichen Service Packs und Updates herausgekommen. Wir haben dieTechnik News Monats-CD gründlich aufräumen müssen, um alles Wichtige zusammenzupacken. Gleichzeitighaben wir eine neue Service-CD aufgelegt, damit Sie die wichtigsten Updates zur Hand haben.

Neu auf der Monats CD:B6202P01.x3B 1333 KBBM35ADM7.exe 118 KBBM37VPN2.exe 4997 KBBW621.exe 8761 KBCS1SP4.exe 12634 KBDHCP311D.exe 183 KBNFAP1SP2.exe 1622 KBNW51SP5.exe 374429 KBPXY031.exf 758 KBXC533.xcm 1154 KBXCONSS9F.exf 156 KB

Neu auf der Service CD:CONONE133SP1.exe 35734 KBJVM131SP1.exe 49125 KBNC332SP1.exe 21379 KBNC483SP1.exe 4654 KBNW6SP2.exe 257035 KBW2KSP3.exe 128540 KBW2KSP3E.exe 127909 KB

Ausgabe 09/2002

3 23 23 23 23 2

09

H O

T L

I N E

hH O T L I N E

PatchesPatches

Nur die neusten NW undNT Versionen, nur IntelCPU’s (kein Alpha), nurenglisch und deutsch,wenn vorhanden.

Backup Exec 8.6 Für Windows NT und Windows 2000Datei Datum BeschreibungInstallationBNT86I02_241044.EXE 23.10.01 Backup Exec Ver. 8.6 Build 3878 (dt.)BNT86I03_241035.EXE 23.10.01 Backup Exec Ver. 8.6 Build 3878 (engl.)EXV30I03_237919.EXE 29.06.01 ExecView 3.0 Build 152 (engl.)BNT86I02_237891.EXE 29.06.01 Backup Exec Ver. 8.6 Build 3808 rc5 (dt.)BNT86I03_237889.EXE 28.06.01 Backup Exec Ver. 8.6 Build 3808 rc5 (engl.)RAIDIRECTOR_233163.EXE 14.12.00 RAIDirector Evaluation Version (NLS)

PatchesBNT86IDRFIX_249618.EXE 12.08.02 HF 2 / 24 verschiedene IDR Probleme v8.6 B. 3878 (NLS)BNT86BEMCMD_249735.EXE 12.08.02 HF 33 für BEMCMD Fehler –o506 v8.6 B. 3878 (NLS)BNT86SHRPT_248868.EXE 26.07.02 HF 25 SharePoint “Connection Lost” /Browsing Prob (NLS)BNT86BEMCMD_248869.EXE 26.07.02 HF 28 BEMCMD mount points und Funkt.–o5 SQL (NLS)BNT86INMPART_248864.EXE 26.07.02 HF 9 Multiple Instances von Lotus/ Domino/Notes (NLS)BNT86INFX_248589.EXE 25.07.02 HF 11 Lotus Notes/Domino ext. Charact. B. 3808 rc5 (NLS)BNT86SELECTFIX_246764.EXE 25.07.02 HF 15 keine Auswahl beim Sichern mit RAID Contr. (NLS)BNT86IDRFIX_247100.EXE 06.05.02 Hotfix für IDR Probleme BE 8.6PSMKEY_246315.EXE 16.04.02 Patch für Persistent Storage Manager BE 8.6BNTSQLFIX2_246317EXE 16.04.02 Hotfix für versch. SQL Probleme BE 8.6BNT86OFOFIX2_245401.EXE 11.03.02 Open File Option Hotfix 12 für BE Ver. 8.6 B. 3878 (NLS)BNT86XCHFIX_243897.EXE 01.02.02 Hotfix 8 Exchange 2000 log, nur v8.6 B.3878 (NLS)3808HF9_241122.EXE 24.10.01 Hotfix 9 für Namesvc.log, nur v8.6 Build 3808 rc5 (NLS)BNT86OFOFIX_239867.EXE 30.08.01 OFO Hotfix 7 QLlogic Prob. V. 8.6 Build 3808 RC5 (NLS)BNT86SQLFIX_239493.EXE 14.08.01 SQL 2000 Hotfix 3 Ver. 8.6 Build 3808 (NLS)BNT86SYSFIX_239551.EXE 14.08.01 System State Hotfix 10 Ver. 8.6 Build 3808 RC5 (NLS)BNT86SQLFIX_239007.EXE 30.06.01 SQL 2000 Device not found (dt./engl.), nur 8.6 B.3808BNT86SYSFIX_239027.EXE 30.06.01 System Status Hotfix (dt./engl.), nur v8.6 B.3808 rc5BNT86TSMFIX_239160.EXE 30.06.01 Hotfix 5 TSM 3.7 4.1 4.2 (dt./engl.), nur v8.6 B.3808 rc5BNT86CMDFIX_239162.EXE 30.06.01 BEMCD Fix, Cleaning Slot ü. Script zu setzen (dt./engl.)POST3571_232826.EXE 10.11.00 Hotfix für Remote Intelligent Desaster RecoveryOFOFIX.EXE 21.02.01 Open File Option (Blue Screen und Initialisierungsprobleme)

TreiberBNT86IDRV33_247699.EXE 24.05.02 Gerätetr Set 20020115/Autol. R.33,nur BENTv8.6 (dt./engl.)

AgentenBNT86NW6_246316.EXE 16.04.02 NetWare Remote Agent für NW 6, BE 8.6AGORACLE_242760.EXE 18.12.01 Oracle Agent Version 5.015 (NLS)NWAA191_236656.EXE 18.06.01 NetWare Remote Agent v191 (engl.) behebt Fehler “Acess Denied”NLS_AGNT_241420.TAR 26.10.01 Unix Agent v5.01 Rel.5032 (dt./engl.) BENT und BENW

UtilitesBENTTOOL_240872.EXE 15.10.01 Diagnostik für Windows und NetWare

Backup Exec 8.5 Für Windows NT und Windows 2000Datei Datum BeschreibungInstallationEXV30I03_237919.EXE 29.06.01 ExecView 3.0 Build 152 (engl.)BNT85SBSFIX_236351.EXE 10.05.01 SBS Seriennr. Fix für BE 8.5 Revision 3572 rc9 (HF23)RAIDIRECTOR_233163.EXE 14.12.00 RAIDirector Evaluation Version (NLS)

PatchesBNT85XCHFIX_244073.EXE 11.02.02 Hotfix 33 Exchange Log. BE V.8.5 Build 3572 RC9 (NLS)BNT85SYSFIX_242765.EXE 18.12.02 8.5 3572 rc9, HF32 System State, Exch.restore, Device ErrorBNT85SYSFIX_241433.EXE 30.11.01 Hotfix 30, nur v8.5 B. 3572 rc9 S.-State., Cluster, SharesBNT8XVIRUPD_240051.EXE 05.09.01 Virus Engine Update Ver.8.0 und 8.5 (alle) (NLS)

3 33 33 33 33 3

09 Ausgabe 09/2002

BNT85OFOFIX_239866.EXE 30.08.01 OFO Hotfix 31 QLogic Prob. V. 8.5 Build 3572 RC9 (NLS)BNT85SYSFIX_238549.EXE 30.06.01 System State Sicherungsprobleme v8.5 B.3572 rc9BNT85CATFIX_238991.EXE 30.06.01 Restore Auswahlprobleme, nur v8.5 Build 3572 rc9BNT86CMDFIX_239162.EXE 30.06.01 BEMCD Fix, Cleaning Slot ü. Script zu setzen. (dt./engl.)BNT85SYSFIX_236381.EXE 10.05.01 8.5 3572 rc9, HF22 System State, Exch.restore, Device ErrorBNT85SSOFIX_236423.EXE 08.05.01 8.5 3572 rc9 HF18 SSO Umgebung Drive OfflineMEDIAFIX_234341.EXE 06.02.01 Behebt Fehler “Unrec. Media” für Ver. 8.5 Build 3571(NLS)POST3571_232826.EXE 10.11.00 Hotfix für Remote Intelligent Desaster RecoveryOFOFIX.EXE 21.02.01 Open File Option (Blue Screen und Initialisierungsprobleme)

TreiberBNT85IDRV29A_237727.EXE 22.06.01 Gerätetr. Set 20010615/Autol. R.29A, nur BE 8.5 (dt./engl.)

AgentenAGORACLE_242760.EXE 18.12.01 Oracle Agent Version 5.015 (NLS)NWAA191_236656.EXE 18.06.01 NetWare Remote Agent v191 (engl.) behebt Fehler “Acess Denied”NLS_AGNT_241420.TAR 26.10.01 Unix Agent v5.01 Rel.5032 (dt./engl.) BENT und BENWAG9X021_234221.EXE 30.01.01 Windows 9x Agent Version 5.021 (NLS)AGOS203.EXE 19.05.00 OS/2 Agent Version 3.203 (NLS)AGWIN31.EXE 19.05.00 Win 3.1X Agent (NLS)AGDOS.EXE 19.05.00 DOS Agent Version 3.015 (NLS)AGMAC500.EXE 10.05.00 Mac Agent Version 5.00 (NLS)

UtilitesBENTTOOL_240872.EXE 15.10.01 Diagnostik für Windows und NetWare

Backup Exec 9.0 Für Novell NetWareInstallationB90PNLS_249557.EXE 31.07.02 Backup Exec Version 9.0 Build 4172.2 (NLS)SEC_PATCH_249722.EXE 09.08.02 Security Patch für BE v9.0 Build 9.0.4019 u. Build 9.0.4170B90PNLS_248041.EXE 10.06.02 BE v9.0 Build 636N04170 (NLS)B90JAVA_245512.EXE 14.03.02 BE v9.0 Java Installation (engl.)B90PNLS_245504.EXE 14.03.02 BE v9.0 (NLS)EXECV3176ENG_245515.EXE 05.06.02 ExecView 3.0 Build 176 (engl.)EXECV3176DEU_245538.EXE 14.03.02 ExecView 3.0 Build 176 (dt.)

UpgradeOFO_237_BENW_247849.EXE 30.05.02 Open File Option NW Build 237 (engl.)

PDF247713.PDF 30.05.02 ExecView v3.x Administrator Handbuch (dt.)247538.PDF 30.05.02 BE v9.0 Administrator Handbuch (dt.)

UtilityAllTools_247493.EXE 16.05.02 Aktuelle Tool Sammlung für BE (engl.)BENTTOOL_240872.EXE 15.10.01 Diagnostik für Windows und NetWare

AgentNLS_AGNT_241420.TAR 26.10.01 Unix Agent v5.01 Rel.5032 (dt./engl.) BENT und BENW

Backup Exec 8.5 für Novell NetWareInstallationB85P00_245899.EXE 27.03.02 Backup Exec Version 8.5.194.1 (NLS)EXECV3176DEU_245538.EXE 14.03.02 ExecView 3.0 Build 176 (dt.)EXECV3176ENG_245515.EXE 14.03.02 ExecView 3.0 Build 176 (engl.)B85P00_240250.EXE 17.09.01 Backup Exec Version 8.5.194 (NLS)EXV30I03_237919,EXE 29.06.01 ExecView 3.0 Build 152 (engl.)B85P00_235814.EXE 12.04.01 Backup Exec Version 8.5.191 (NLS).

Ausgabe 09/2002

3 43 43 43 43 4

09

PatchesBESRVR_2_232776.EXE 07.11.00 BESRVR.NLM V.3.21,behebt Tape Rotation Prob. (engl.)

PDFADMIN_241115.PDF 20.10.01 Backup Exec 8.5 Admin Handbuch (engl.)ADMIN_241117.PDF 30.10.01 Backup Exec 8.5 Admin Handbuch (dt.)PERFORMANCE_235036.PDF 09.03.01 Server Performance Tuning Dokument

TreiberB850DV15_248047.EXE 07.06.02 Gerätetreiber-Set BENW 8.5 (engl.)B850DV14_242402.EXE 04.12.01 Gerätetreiber-Set BENW 7.5, 8.0 8.5 (engl.)B850DV13_239791.EXE 12.09.01 Gerätetreiber-Set 13 für 8.0 Build 300, 8.5 Build 191 engl.B850DV12_237018.EXE 30.05.01 Gerätetreiber Version 9901N023 (engl.)NWASPI_232264.EXE 16.10.00 NWASPI.CDM Update Version 3.20 und Version 3.21

Agenten/OptionenOFO_237_BENW_247849.EXE 30.05.02 Open File Option NW Build 237 (engl.)OFO_234_BENW_241905.EXE 29.11.01 Open File Option Build 234 (I2O Unterst.) (engl.)BEORANW_241399.EXE 30.10.01 Oracle Agent für 8.0 und 8.5 (engl.)WIN9X_AGENT_239813.EXE 28.09.01 Windows 9x Agent V5.019 (NLS) Novell und NTNLS_AGNT_241420.TAR 26.10.01 Unix Agent v5.01 Rel.5032 (dt./engl.) BENT und BENWWINNTAGT_230560.EXE 28.07.00 Windows NT Version 5.003 (engl.)WINNTAGT.EXE 19.05.00 Windows NT Agent Version 3.201 (NLS)AG9X019.EXE 1.08.00 Windows 9x Agent Version 5.019 (NLS)OS2AGENT.EXE 19.05.00 OS/2 Agent Version 3.204 (engl.)MACAGENT.EXE 19.05.00 Macintosh Agent Version 4.07 (NLS)DOSAGENT.EXE 10.05.00 DOS Agent Version 3.015 (NLS)BEWINUPD.EXE 19.05.00 Windows Client (engl.)

UtilitiesALLTOOLS_242944.EXE 20.12.01 Diagnostik für Fehlersuche in NetWare UmgebungBENTTOOL_240872.EXE 15.10.01 Diagnostik für Windows und NetWare

Neue Patches in der Übersicht

Backup Exec 8.5 und 9.0für NovellNetWare

B90PNLS_249557.EXE (NLS)Backup Exec 9.0 für NetWare Version in Englisch,Deutsch und Französisch Build 4172.2. Für die aufArbeitsstationen basierende Installation kopieren Siediese Datei in ein Verzeichnis auf Ihrer Workstation undextrahieren sie durch Aufrufen. Starten Sie dann dieSetup.exe für die Installation, Die darin enthalte-nen Komponenten haben folgende Versionen bzw.Buildstände:Backup Exec für NetWare 9.0 Build 636N04172; NCLTBuild = 636N04172.1; NDCA Build = 636N04172;H O

T L

I N E

hH O T L I N E

PatchesPatches

NSVR Build = 636N04172.1; DENCLT Build =636N04172; DRIVER Build = 0011\0011N0055.1;Windows 95/98/ME Agent = 5.027; MAC Agent = 5.00;UNIX Agent = 5.032; RANT/OFO Option = 3923R. DieVersion 9.0 unterstützt die NetWare 4.2, 4.2SB, 5.1,5SB und 6.0.

OFO_237_BENW_247849.EXE (engl)Open File Option NW Build 237 jetzt auch für 8.5erVersion

SEC_PATCH_249722.EXEDieser Security Patch isr nur für Backup Exec Version9.0 mit den Build 9.0.4019 bzw. 9.0.4170 einzusetzen.

3 53 53 53 53 5

09 Ausgabe 09/2002

Fehlermeldung: Unable to open the Item\Lotus\Domino\Data\Test\³|/mön³.nsfskipped. Der Hotfix muß auf dem Media Server unddem Lotus Notes/Domino Servern eingespielt werden.

BNT86SELECTFIX_246764.EXEDer Hotfix 15 für die Version 8.6 Build 3878 behebt denFehler, daß beim Sichern in der Auswahl die Festplattennicht zu sehen sind, wenn ein RAID Controller einge-setzt wird. Zur Installation muß noch ein Eintrag in derRegistry gemacht werden und zwar unterHKLM\Software\Veritas\Backup Exec\NTFSden Wert ForceBootDrive als Name eintragen undREG_SZ als Daten-Type auswählen.

BNT86IDRFIX_249618.EXEIn dieser Datei sind der Hotfix Nummer 2 und 24 enthal-ten. Sie sind für die Version 8.6 Build 3878 zu verwen-den und beheben den Fehler mit der Meldung File\i386\halaacpi.dll could not be loaded,Error Code is 4, Setup Cannot ContinuePress any Key to Exit. Er tritt auf, wenn Sieüber ein Bandlaufwerk, von dem Sie booten können(OBDR), ein System wiederherstellen möchten. Zudemwird der Fehler behoben, daß unter Windows NT 4 mitRobotic Library die Intelligent Disaster Recovery (IDR)hängt, wenn ein lokales Wiederherstellen durchgeführtwird. Außerdem wurden nicht alle Selektionen, die manzum wiederherstellen auswählen möchte, angezeigt,nachdem man eine .DR Datei ausgewählt hatte. Um dieFehler zu beheben, muß der Hotfix eingespielt werden,bevor Sie die Bootmedien erstellen, bzw. nach Einspie-len des Hotfixes müssen Sie diese neu erstellen.

BNT86BEMCMD_249735.EXEDer Hotfix 33 für Backup Exec 8.6 Build 3878 behebtzwei Fehler der BEMCMD Funktion, zum einen die fal-sche Anzeige des “Scheduled On” Datums, zum ande-ren ein Problem, wenn die erweiterten Scheduling Op-tionen verwendet werden (-o506).

ADMIN_241115.PDF (engl.)ADMIN_241117.PDF (dt.)Das Backup Exec 8.5 Admin Handbuch gibt es in Eng-lisch und Deutsch.

PERFORMANCE_235036.PDFIn diesem Dokument wird beschrieben, wie Sie Ihr Sy-stem für das Backup und Wiederherstellen etwas schnel-ler machen können. Es sagt Ihnen zudem, worauf Sie beiden Einstellungen für Hard- und Software achten soll-ten

Backup Exec 8.5 und 8.6für Windows NT /2000

BNT86SHRPT_248868.EXEIn dieser Datei ist der Hotfix 25 für die Backup ExecVersion 8.6 Build 3878. Er behebt das ProblemConnection Lost beim Wiederherstellen desSharePoints, wenn dieser umgeleitet wird. Außerdem istes nun nicht mehr nötig, die Datei Bedsmdoc.dllumzubenennen, damit man wieder Server browsen kann.Um den Communication Timeout zu erhöhen, könnenSie folgenden Eintrag in der Registry des Backup Ser-vers vornehmen:H K L M \ S o f t w a r e \ V e r i t a s \ B a c k u pExec\Engine\ExchangeName: SPS TimeoutWert = (DWORD) in Millisekunden (Standard ist 3Minuten = 180000 Millisekunden)

BNT86BEMCMD_248869.EXEDer in dieser Datei enthaltene Hotfix 28 ist für die BackupExec Version 8.6 Build 3878. Im Command Line Applet(CLA) der BEMCMD.exe wurde die Funktion –o5 über-arbeitet, um Single SQL Datenbanken zu sichern. Au-ßerdem kann BEMCMD jetzt Mount Points folgen.

Tip: Wenn BEMCMD mit einem Backup Job Script Fileverwendet wird, um den Mount Points zu folgen, mußauf Windows 2000 Maschinen die Sektion [W2K] in[W2K_Options] geändert werden.

BNT86INMPART_248864.EXEDer Hotfix 9 für Backup Exec Version 8.6 Build 3978behebt das Problem, daß der Lotus Domino/Notes Ser-ver hängt, wenn Multiple Instances von Lotus Domino/Notes gesichert werden.

BNT86INFX_248589.EXEDer Hotfix 11 für die Version 8.6 Build 3808 rc5 behebtein Problem beim Sichern von Lotus Notes/DominoServern mit erweiterten Charactern. Es kommt zu der

Arbeitsstation für AdministratorkonsoleUm die Administratorkonsole der Backup Exec for NetWare von einemWindows-System auszuführen, müssen Sie die IP-Adresse der NetWare-Server zur lokalen Datei HOSTS im Windows-Verzeichnis Ihrer Arbeits-station hinzufügen. Dadurch kann WINSOCK mit oder ohne ordnungs-gemäß konfiguriertem Domain Name Service auf Ihrem Netzwerk viaTCP/IP verbinden, wenn die NetWare-Server in HOSTS mit einem Editoreingegeben werden. Geben Sie in einer leeren Zeile die IP-Adresse desNetWare-Servers ein, gefolgt von mindestens einer Leerstelle, und denNamen des Servers. Der Dateiname sollte nur HOSTS lauten, ohne Er-weiterung.

Backup Exec Version 9

Ausgabe 09/2002

3 63 63 63 63 6

09

H O

T L

I N E

hH O T L I N E

PatchesPatches

BM35ADM7.exe 118 KBIn diesem Update finden Sie dieaktuelle Version des ADM.nlm fürdie Bordermanager Versionen 3.5und 3.6. Dieser Patch setzt das SP 3des Bordermanager und die DateiBM35ADM6.exe voraus.

BM37VPN2.exe 4997 KBDer VPN Client für die Border-manager Version 3.7 (domestic oderexport) ist für die Windows Be-triebssysteme XP, 2000, NT, ME und98 geeignet. Wichtig: Wenn Sie dasFeature nutzen möchten, um denVPN-Client durch eine NetworkAddress Translation zu betreiben,benötigen Sie mindestens die Bord-ermanager Version 3.6.

CONONE133SP1.exe 35734 KBService Pack 1 für die NovellConsole One in der Version 1.3.3

CS1SP4.exe 12634 KBIm Support Pack 4 für die NetwareCluster Services 1.01 befinden sichUpdates für alle Komponenten, diezum Lieferumfang gehören.

DHCP311D.exe 183 KBDieser Patch für den Novell DHCP-Server der Novell Netware 6 behebt

das Problem eines Abends, wenn derServer einen “Non-Standard”DHCP-Request empfing.

JVM131SP1.exe 49125 KBIn diesem Update finden Sie dasService Pack 1 für die Java VirtualMachine 1.3.1 für die NetwareVersion 5.1.

NC332SP1.exe 21379 KBIm Service Pack 1 für die NovellClient Version 3.32 für Windows 95/98 finden Sie Updates für alle imClient enthaltenen Komponenten.Das SP 1 stellt somit ein Bündel al-ler aktuell vorhandenen Updatesdar. Näheres hierzu finden Sie in derTID 10070085.

NC483SP1.exe 4654 KBDieses Service Pack 1 ist für dieNovell Client Version 4.83 fürWindows NT/2000 und XP gedacht.Darin finden Sie Updates für alle imClient enthaltenen Komponenten,wie zuvor gleichsam als ein Bündelaller aktuellen Updates. Näheresebenfalls in der TID 10070085.

NFAP1SP2.exe 1622 KBService Pack 2 für das Netware FileAccess Protocol der Netware 5.1

NW51SP5.exe 374429 KBMit dem Service Pack 5 für Netware5.1 werden alle Produkte aktuali-siert, die zum Standard-Lieferum-fang der NW 5.1 gehören.

NW6SP2.exe 257035 KBDas Service Pack 2 für die NetwareVersion 6.0 aktualisiert alle Produk-te aus dem Standard-Lieferumfang.Wichtig: Keine einzelnen Teile oderDateien des Support Packs instal-lieren und zuerst das Service Pack 1für Netware 6, bevor Sie anderePatches für Groupwise, Border-manager etc. installieren.

PXY031.exf 758 KBIn diesem Update befinden sich dieModule PROXY.nlm undCLNTRUST.exe für die NovellBordermanager Version 3.7.

XCONSS9F.exf 156 KBDas Modul XCONSSRV.nlm wirdvom XCONSOLE.nlm verwendet,um mittels Telnet einen Remote-Zugriff auf einen Netware Server zuerlangen. Mit dessen Update wirdein Problem mit einer hohen Server-Auslastung behoben. Das Modul istfür die Netware 5.1 und 4.2 geeig-net.

rot neu auf der Technik News Monats-CD grün neu auf der Technik News Service-CD

Wiedervorlage von NachrichtenSehr oft kommt es vor, daß eingegangene Messages nicht direkt bearbeitet werden müssen, und zunächst imEingangsbuch des Tobit Info Center verweilen. Hierbei kann es passieren, daß diese Nachrichten untergehen, daimmer mehr neue Messages das Eingangsbuch füllen. Damit Ihnen das nicht passiert, bietet David die Funktionder automatischen Wiedervorlage an. Mit ihrer Hilfe ist es möglich, eingegangene Nachrichten über den Servererneut in das Eingangsbuch des Benutzer zu verteilen. Realisiert wird diese Funktion über die Kalenderansicht,indem ein fester Termin für die Wiedervorlage eingetragen wird.Wenn Sie möchten, daß eine Nachricht zu einem späteren Zeitpunkt wieder im Eingangsbuch erscheint, soverschieben Sie diese via Drag & Drop in das Archiv mit dem Namen Wiedervorlage. Hieraufhin öffnet sichautomatisch ein Dialogfenster, in dem festgelegt werden kann, an welchem Tag die Message wieder im Ein-gangsbuch erscheint. Den entsprechenden Termin können Sie manuell oder über die Kalenderansicht definie-ren, was wesentlich komfortabler ist.

3 73 73 73 73 7

09 Ausgabe 09/2002

W2KSP3.exe 128540 KBDas Service Pack 3 in der deutschen Version ist für Micro-soft Windows 2000 Server und Professional gedacht. Esumfaßt alle vorherigen Service Packs. Der Patch soll zahl-reiche Sicherheitslücken und Fehler beheben, bietet nunaber auch ein automatisiertes Update. Das SP3 kann aufjedes beliebige System mit Windows 2000 aufgespieltwerden. Mit dem SP 3 wird der automatische Update-Service installiert, der sich immerhin über die Systems-teuerung deaktivieren und konfigurieren läßt. Daherkann man den Dienst so einstellen, daß er zunächst nurnach Updates sucht, diese aber erst nach einer Bestäti-gung lädt und installiert. Oder aber er lädt die Patchesautomatisch und wartet für eine Installation zuerst nochauf eine Bestätigung. Ebenso kann der Dienst komplettautomatisiert ablaufen oder aber eben vollständigdeaktiviert werden.

B6202P01.x3B 1333 KBNeues Software Image Version 6.2.2P1 für die BintecRouter x3200.

BW621.exe 8761 KBBintec Brickware in der Version 6.2.1 bringt neue Funk-tionen. Auf der CD zu BRICKware for Windows Release6.2.1 bzw. in der BRICKware finden Sie Neuerungen inden Bereichen HP-OpenView-Integration und ActivityMonitor. Änderungen wurden vorgenommen beim Set-up, der Wizard-Unterstützung, den Lizenzen im Release6.1.1 und höher sowie bei den DIME Tools. DieCompanion-CD enthält nun Acrobat Reader 5.Mit dem BRICKware for Windows Release 6.2.1 wur-den Probleme gelöst, die in Zusammenhang mit demActivity Monitor und den DIME Tools: ISDN Trace

auftraten. Der Activity Monitor von BRICKware forWindows Release 6.2.1 zeigt bei der Verwendung unterWindows XP folgendes Fehlverhalten: Die Icons in derTask-Leiste werden nicht korrekt dargestellt.Aktiviert man die Ausblendung inaktiver Router, sokönnen auch die Icons aktiver Router aus der Taskleisteentfernt werden.Bei der Verwendung der schnellen Benutzerumstellung(Fast User Switching) unter Windows XP kann derActivity Monitor zwar von allen Benutzern gestartetwerden, doch werden die Informationen nur einem derBenutzer angezeigt.

XC533.xcm 1154 KBNeues Software Version 5.3.3 Image für die BintecXcentric Serie.

Mit dem Service Pack 3 lassen sich nun die fest inte-grierten und als Standard definierten Applikationen wieInternet Explorer, Outlook Express, Windows MediaPlayer sowie die Java VM umkonfigurieren. Allerdingslassen sich diese Applikationen nicht deinstallieren,sondern nur vor dem Desktop, der Start-Bar sowie demStartmenü verbergen. Dabei bemerkte Microsoft bereitseinen kleinen Fehler: Sind solche Applikationen durchdas SP3 versteckt, und man deinstalliert das Service Pack,dann läßt sich der Zugriff auf die versteckten Program-me erst durch erneute Installation des SP3 wiederher-stellen. Weiterhin enthält das aktuelle Service Pack 29bisher nur einzeln erschienene Sicherheits-Updates.

W2KSP3E.exe 127909 KBService Pack 3 in der englichen Version für MicrosoftWindows 2000 Server und Professional

Client-Side PrinterWenn der Default-Namen eines Client-Side-Printer (Client Printer Driver Name) umbenannt wird, somuß in der Datei Wtsuprn.inf ein entsprechendes Remapping auf den neuen Namen durchgeführt werden.Wurde zum Beispiel an einer Workstation ein HP Laserjet 4 als Drucker installiert und das entsprechende Drucker-objekt im Betriebssystem hinzugefügt, so - nehmen wir einmal an - war der Default Druckername HP Laserjet4. Im Unternehmen sollen die Druckernamen aber nun einer bestimmten Konvention entsprechen, aus diesemGrund wurde der Druckername auf Sekretariats-Drucker geändert. Wenn die Arbeitsstation nun eine ICA-Verbindung zum Citrix-Server aufbaut, soll der Laserjet-4-Druckertreiber verwendet werden. Um diese Aufgabe zubewerkstelligen, benutzen wir die Datei Wtsuprn.inf, um ein Remap des Client-Druckers auf den HP-Laser-jet-4-Treiber des Servers durchzuführen. Das Mapping hat in diesem Fall das folgende Aussehen: „Sekreta-riats-Drucker“ = „HP Laserjet 4“.

Ausgabe 09/2002

3 83 83 83 83 8

09

E

H O

T L

I N E

hH O T L I N E

PatchesPatches

BINTEC

X-Router Software v6.22Teil 1: Security Features DynDNS und DynVPN

Von Hardy Schlink

Seit neuestem steht auf dem BinTec Web-Server die aktuelle System-Software für die X-Generation Router in derVersion 6.22 zum Download zur Verfügung. Wir wollen Ihnen die neuen Features der Software vorstellen, inbesonderedie neuen Sicherheits-Features. Doch auch die wichtigsten Bugfixes sollen nicht unerwähnt bleiben.

Es hat sich viel getan bei der System-Software für die X-Generation Router,gerade in Sachen Sicherheit. WennSie die gesamten Änderungen derVersion 6.22 erfahren möchten, soverweisen wir an dieser Stelle gleichauf die entsprechende Release-Notes,denn es gibt jede Menge Neuerun-gen. Wir haben die interessantestenfür Sie ausgewählt und starten mit denfünf wichtigen Hinweisen, die Siebeim Update auf die System-Softwarev6.22 unbedingt beachten sollten,bevor wir uns den Security Featureszuwenden.

Zwei VariantenDie neue System-Software liegt inzwei verschiedenen Varianten vor,einmal mit und einmal ohne IP-SecUnterstützung. Die “normale” Versi-on steht für jedermann zumDownload bereit, während das Ladender IP-Sec Variante eine vorherige Re-gistrierung auf dem Web-Server derFirma BinTec voraussetzt. Der Grundhierfür liegt in den deutschen Export-bestimmungen, die es einem Herstel-ler von Exportwaren untersagt, Soft-ware zum allgemeinen Download an-zubieten, deren Algorithmen- undVerschlüsselungsmechanismen eine

Länge von 64 Bitüberschreiten, weildiese an das außereu-ropäische Ausland ge-langen könnte. Nähe-re Informationen hier-zu finden Sie wie ge-wohnt unter www.bintec.de.

Die unter der System-Software v6.22erstellten Konfigurationen sind nichtabwärtskompatibel zu älteren Soft-ware-Versionen. Aus diesem Grundsollten Sie bestehende Konfiguratio-nen vor dem Update unbedingt si-chern, z.B. auf einem TFTP-Server. Indiesem Fall haben Sie die Möglich-keit, bei einem Rollback auf die Re-lease 6.1 Ihre gesicherten Konfigura-tionen wieder einzuspielen.Unter der System-Software v6.22 im-plementierte IP-Sec Konfigurationensetzen voraus, daß die Gegenstelle,sofern es sich hierbei um BinTecRouter handelt, ebenfalls unter Soft-ware-Version 6.22 laufen, damit derAufbau der Tunnels ohne Problemevollzogen werden kann.Wenn Sie beabsichtigen, einenX4000-Router, der über einen frühe-ren Software-Stand als v6.1.2 - z.B.v5.1.6 oder noch früher - verfügt, sogilt es unbedingt zu beachten, denBootMonitor und die Logik(en) zu-sätzlich upzudaten.Nachdem der Router auf die System-Software v6.22 gebracht wurde, soll-ten Sie auch die ApplikationssuiteBrickWare auf Ihrer Workstation ak-tualisieren, um ein optimales Zusam-menspiel beider Komponenten zu er-reichen.

Da beim Compu-Shack Supportdie Anfragen bezüglich der Konfi-guration von BinTecs IP-Sec Im-plementierung stark angestiegensind, starten wir in den nächstenAusgaben der Technik News eineeigene Praxisserie, die zeigenwird, worauf es bei der Imple-mentierung von BinTecs IP-Sec inIhrem Netzwerk zu achten gilt.

Security FeaturesWie oben erwähnt, gibt es für die IP-Sec Implementierung ein eigenesSoftware-Image. Alle hierin vorge-nommenen Änderungen und Erwei-terungen entnehmen Sie bitte demKapitel IP-Sec der Software-Reference.

Dynamic DNSHeutzutage werden zum Internet-Access sehr häufig sogenannteWählverbindungen genutzt, wobeidie IP-Adressen vom Internet-Serve-Provider in der Regel dynamisch zu-gewiesen werden. Der große Nachteilhierbei ist, daß ein Host, für den sichdie IP-Adresse geändert hat, im Netz-werk nicht mehr ausfindig gemachtwerden kann (z.B. über DNS). Hiersetzt nun Dynamic DNS an, welchedafür sorgt, daß ein Router auch dannnoch angesprochen werden kann,wenn sich die IP-Adresse geänderthaben sollte.

3 93 93 93 93 9

09 Ausgabe 09/2002

Gedacht ist Dynamic DNS für In-terfaces, welche ihre IP-Adressedynamisch zugewiesen bekom-men. Das Propagieren von stati-schen IP-Adressen findet nichtstatt.

dyndns , statdyndns , ods, hn,dyns und orgdnsweder gelöscht nocheditiert werden können.Vom Prinzip her kön-nen Sie unter demMenüpunkt DynDNSProvider List be-liebige Providerkonfigurieren, wobeiSie aber unbedingt be-achten sollten, daß die-se meist proprietäreProtokolle verwenden, um denDynDNS-Service zu realisieren. Ver-sichern Sie sich am besten vorher, obder gewünschte Provider ein kompa-tibles Protokoll anbietet, welchesauch vom BinTec Router unterstütztwird.

Tunnelendpunkte wegen der wech-selnden IP-Adressen nicht funktions-fähig konfiguriert werden konnten.Aus den genannten Gründen mußtebis vor kurzem eine Seite der Verbin-dung über eine feste IP-Adresse ver-fügen, meist die Zentrale. Die andereGegenstelle, meist in Niederlassun-gen, besaß eine dynamische IP-Adres-se. Hieraus resultierte, daß immer dieNiederlassung die Verbindung initi-ieren mußte, der umgekehrte Aufbauvon der Zentrale zur Niederlassungwar nicht möglich. Auch diese Limi-tierung wird mit DynDNS umgangen.Da der DynDNS-Service wohl meistmit dem Aufbau von VPNs benutztwerden wird, kann man hier durch-aus von einem Security-Feature spre-chen.

Dynamic VPN mit PPTPDurch die Implementierung des so-genannten DynVPN ist es nun mög-lich, VPNs mit Hilfe des PPTP-Proto-kolls zu bilden, auch wenn beideKommunikationspartner nur übereine dynamische IP-Adresse verfü-gen. Vorher war es so, daß immer derPartner mit der dynamischen IP-Adresse die Verbindung initiierenmußte. Wenn wir uns nun ein Szena-rio vorstellen, in dem beide Gegen-stellen über eine dynamische IP-Adresse verfügen, so wird klar, daß eseinen Mechanismus geben muß, derdafür sorgt, das sich beide Partnergegenseitig identifizieren können,und zwar ohne die jeweilige IP-Adres-se zu kennen. Diesen Mechanismushaben wir bereits unter dem oben be-schriebenen Punkt Dynamic DNSkennengelernt.

Abb. 1: Einstellung des Dynamic DNS Service im Menüpunkt IP/DynDNS

Die Konfiguration von Dynamic DNSerfordert, erstens bei einem DynamicDNS Provider die Registrierung ei-nes Host-Namen vorzunehmen undzweitens die Router-Konfigurationselbst

Host-NameBei der Registrierung eines Host-Na-men beim Dynamic DNS Providergeht es um das Festlegen eines indi-viduellen Benutzernamen für denDynDNS-Dienst, z.B. dyn_client.Der Provider stellt unterschiedlicheDomain-Namen zur Verfügung. DieKombination von Benutzer- undDomainnamen erzeugt einen eindeu-tigen Host-Namen für den Router, z.B.dyn_client.isp.com. Von nunan beantwortet der DynDNS-Provideralle DNS-Anfragen bezüglich desHosts dyn_client.isp. com, derüber eine dynamische IP-Adresse ver-fügt. Damit der Service-Provider überdie jetzige IP-Adresse des Routers im-mer die aktuellsten Informationenerhält, wird das Gerät bei jedem Auf-bau einer Verbindung den entspre-chenden DynDNS-Provider kontak-tieren und ihm die neue IP-Adressemitteilen.

Router-KonfigurationVorgenommen wird die Einstellungdes Dynamic DNS Service im Menü-punkt IP/DynDNS (vgl. Abb. 1). Hierangelangt erscheint eine Auflistungder bereits angelegten DynDNS-Ser-vices. Der Unterpunkt ADD/EDITerlaubt das Anlegen bzw. Editierenneuer oder bestehender Einträge.Weitere Profile für DynDNS-Providerkönnen Sie mit Hilfe der OptionDynDNS Provider List defi-nieren. Hier gilt es zu beachten, daßdie vorkonfigurierten Provider

Da die Aktualisierung der IP-Adresse beim DynDNS-Providerrelativ lange dauern kann, solltenSie das Interface, über welchesdie DynDNS-Verbindungen aufge-baut werden, mit einem längerenShorthold von ca. 120 Sekundenversehen. Ansonsten kann espassieren, daß die Connectionbeendet wird, bevor eine erfolgrei-che Aktualisierung der IP-Adres-se beim DynDNS-Provider statt-gefunden hat. In diesem Fehler-fall hat der DynDNS-Service aufdem Router keine Auswirkung undfunktioniert daher nicht.

DynDNS-ServicesZusammengefaßt kann man sagen,daß der DynDNS-Services den Hosts,die nur über dynamische IP-Adressenverfügen, erlaubt, eine Verbindungüber das Internet zu initiieren undaufzubauen. Von besonderer Bedeu-tung ist dieses neue Feature in Sze-narien, wo es um eine Implementie-rung von VPNs (PPTP/IP-Sec) zwi-schen zwei oder mehreren Gegen-stellen geht. Wenn die beteiligtenRouter alle über eine dynamische IP-Adresse verfügten, konnte ein VPN-Tunnel bisher nicht realisiert werden,da im Endeffekt die entsprechenden

Ausgabe 09/2002

4 04 04 04 04 0

09

H O

T L

I N E

hH O T L I N EBeim Anlegen des entsprechendenVPN-Partners, welcher über einenDynDNS-Host-Namen kontaktiertwerden soll, ist nichts Grundlegen-des gegenüber einem VPN-Partnermit fester IP-Adresse geändert worden.Um dynamische VPNs zukonfigurieren, sind jedoch einigeneue Optionen hinzugefügt worden,z.B. der Menüpunkt Dynamic VPN.Wenn sie beim Eingeben des Host-namens im Menüpunkt VPNPartner´s IP Address auf eineWarnung des Routers stoßen, die be-sagt, daß der Hostname nicht aufge-löst werden konnte, so kann dies zweiUrsachen haben. Der DynDNS-Host-Name des VPN-Partner wurde nochnicht konfiguriert, oder der Internet-Zugriff Ihres Routers funktioniertnicht. Gehen Sie am besten immer sovor, daß der DynDNS-Service korrekteingestellt wird, bevor das eigentli-che VPN konfiguriert wird.

Dynamic VPN mit IP-SecParallel zu den VPNs mit dem Proto-koll PPTP unterlagen auch die ent-sprechenden IP-Sec-Implementierun-gen denselben Einschränkungen.Sollte einer der Peers nur über eine

Abb. 2: Einstellen der Peer-Parameter

d y n a m i -sche IP-A d r e s s everfügen,so war die-ser für denA u f b a uder Ver-b i n d u n gv e r a n t -wortlich.Wenn bei-de Kom-munikationspartner dynamische IP-Adressen hatten, war der Einsatz vonIP-Sec in einem solchen Szenario erstgar nicht möglich. Aber auch dieseHürde wurde durch das Bereitstellendes Dynamic DNS Service genom-men. Seit der Software Version 6.22ist es nun auch möglich, VPNs mitdem IP-Sec-Protokoll zu realisieren,auch wenn beide Parteien lediglicheine dynamische IP-Adresse besitzen.Nach der Konfiguration des DynDNSService wird nun unter anderem beimEinstellen der Peer-Parameter anstel-le einer IP-Adresse der DynDNSHostname angegeben, der wieder-um beim DynDNS Provider registriertist (vgl. Abb. 2). Nachdem der entfern-te Router seine IP-Adresse beim

DynDNS-Provider bekannt gegebenhat, kann Ihr eigener Router nun auchden eingestellten Host-Namen auflö-sen und eine entsprechendeConnection zum IP-Sec-Partner auf-bauen.

Auch bei der Verwendung desDynDNS-Service ist es nicht mög-lich, preshared_keys im Modusid_protect bei der “Phase 1Authentisierung” zu verwenden.

Beim nächsten Mal geht es um weite-re Neuerungen der System-Softwarev6.2.2.

Direktes Bearbeiten von externen Dateien

Das neue Tobit Info Center XP, das Sie parallel zum mitgelieferten Client einsetzen können, bietet zahlreiche neueFunktionen und Möglichkeiten zum komfortableren Arbeiten. Neben den bekannten Nachrichtenmedien könnenSie sich nun auch die Inhalte von Webseiten direkt ansehen. Eine weitere nützliche Option besteht im Aufrufen vonexternen Dateien wie etwa Word Dokumenten direkt aus dem neuen Client.LinksDamit über das Tobit Info Center XP externe Dateien verwaltet werden können, müssen nur sogenannte Linksangelegt werden. Zuerst wählen Sie das Archiv aus, in dem die Links abgespeichert werden sollen. Rechts nebendem Button Neu befindet sich ein schwarzer Pfeil, über den Sie den Menüpunkt Link selektieren. Hierauf öffnetsich ein Dialogfenster, wo Sie zunächst einen Namen für den Link vergeben können, um anschließend im zweitenEintragsfeld den Pfad zur gewünschten Datei zu definieren. Dies geschieht manuell oder über den Button rechtsneben dem Feld. Zum Abschluß bestätigen Sie mit Ok ihre Arbeit und schon erscheint der Link im vorher angege-benen Archiv.Im ArchivbaumNun müssen Sie noch das Kontextmenü des Archivs, in dem sich die Links befinden, aufrufen, was über die rechteMaustaste geschieht. Hier angelangt wählen Sie die Eigenschaften des Archivs aus, die Registerkarte Optionenbietet uns den Punkt Anzeigen als, den Sie nun auf Link im Archive Baum ändern müssen. Abschließendwerden Sie feststellen, daß nun alle gespeicherten Links unterhalb des entsprechenden Archivs aufgelistet wer-den. Um die gewünschte Datei zu öffnen, klicken Sie einfach den passenden Link an, und schon können Sie dasgewünschte Dokument direkt im Tobit Info Center XP bewundern. Damit die beschriebene Option funktioniert, istes allerdings erforderlich, daß die entsprechenden Applikationen auf der Workstation installiert wurden (z.B.Microsoft Word).

4 14 14 14 14 1

09 Ausgabe 09/2002

BBevor man einen Access Point in Be-trieb nimmt, sollte man wissen, wel-che Grundeinstellungen das Gerätmit sich bringt. Im Auslieferungszu-stand hat der Cisco Aironet 350 APals IP-Adresse die 10.0.0.1 mit derMaske 255.255.255.0 bereits festvoreingestellt. Das Gerät arbeitet imBridge Modus. Das bedeutet, daß so-wohl der Radio-Teil als auch dieEthernet-Seite die gleiche IP-Adres-se haben. Der Ethernet Port steht aufAuto detect und stellt sich somitautomatisch auf die höchste Ge-schwindigkeit ein. Sollte es zu Pro-blemen kommen, kann die Verbin-dung auch manuell eingestellt wer-den.

VorbereitungZu beachten ist, daß der Ethernet Portmit einer Inline Power Stromversor-gung ausgestattet ist. Somit haben Siezwei Möglichkeiten, den AccessPoint anzuschließen. Sie könnendazu einen Switch verwenden, derüber Inline Power verfügt, oder dasmitgelieferte Inline Power Modulbenutzen, jedoch niemals beide zu-sammen. Der Radio Teil hat im Aus-lieferungszustand die SSIDtsunami, die auch mittels Broadcastüber Funk bekannt gegeben wird.Zur Konfiguration haben Sie wieder-um zwei Optionen. Einmal mittelsserieller Verbindung (normales 1:1Kabel gehört zum Lieferumfang) oderüber eine Browser-Oberfläche. Dochleider gibt es diese nur über HTTP,nicht über HTTPS. Sie haben jedoch

die Möglichkeit, den Port (default80) zu ändern oder den Browser ge-nerell abzuschalten.

MenüsVon der Startseite aus gelangen Siein alle Unterpunkte (vgl. Abb.2). Über den Menüpunkt Mapkommen Sie auf eine Seite, inder Sie die Konfiguration übereine Art Baumstruktur ange-zeigt bekommen. Durch dieseForm der Darstellung erken-nen Sie auf Anhieb, unter wel-chem Menüpunkt es was ein-zustellen gibt. Der PunktNetwork liefert Ihnen um-fangreiche Informationen zumEthernet- und Radio-Inter-face, zeigt die Einstellungenund Paketstatistiken der ein-zelnen Interfaces. UnterAssociations sind allediesem Access Point zugeord-neten Geräte zu sehen. Überden Punkt Setup gelangenSie in die eigentliche Konfi-guration des Access Points. DerPunkt Log führt einen EventLog des Access Points, wasdort alles angezeigt wird, be-stimmen Sie über das Setupselbst. Abschließend gibt esnoch den Menüpunkt Help,der jedoch nur funktionsfähigist, wenn das Netzwerk übereinen Internet-Anschluß ver-fügt. Wichtig dabei ist, daß dieNamensauflösung DNS funk-tioniert.

SetupDas Setup ist in vier Punkte aufge-teilt, in Associations, EventLog, Services und NetworkPorts. wir gehen sie der Reihe nachdurch.

Abb. 1: Eingangsseite des Cisco Access Points 350

Abb. 2: Eingangsseite des Setup

CISCO

Wireless UtilitiesTeil 2: Setup des Cisco Aironet 350 Access Points

Von Jörg Marx

Nachdem wir in der letzten Ausgabe die komfortable Handhabung der Cisco-Aironet-Karten besprochen haben,möchten wir Ihnen diesmal die Bridges bzw. Access Points vorstellen. Wir werden die Einstellungen des Setup-Menüdurchgehen und daran anschließend auf individuelle Anpassungsmöglichkeit der Konfiguration eingehen.

Ausgabe 09/2002

4 24 24 24 24 2

09

H O

T L

I N E

hH O T L I N E

Associationsim Submenü Associations wirdfestgelegt, wer wie mit dem AccessPoint kommunizieren darf. ÜberAddress Filters können Sie z.B.bestimmte MAC-Adressen auf demAccess Point sperren oder auch zu-lassen. Ethertype Filter erlaubtes Ihnen, bestimmte Ethernet Paketezu sperren oder durchzulassen. Inter-essant ist der Punkt PortAssigments, wo Sie die MAC-Adressen eintragen können, die überdiesen Access Point arbeiten sollenoder dürfen. Beachten Sie, daß mandie MAC-Adresse eines Clients sehreinfach manipulieren kann. Die Op-tion IP Protocol Filters er-lauben es Ihnen, spezielle Definitio-nen für eine Voice-over-IP-Verbin-dung zwischen zwei APs Points zudefinieren. Über das Feld Advancedkönnen Sie sämtliche AP-spezifischenTimeouts definieren. Weiterhin kön-nen Sie aktivieren (ist default) oderdeaktivieren, ob die Wireless Clientsauch untereinander kommunizierendürfen (PSPF). Der letzte Punkt IPPort Filter erlaubt es Ihnen Fil-ter auf der Basis von IP-Ports aufzu-bauen.

Die meisten Einstellungen wer-den jedoch die wenigsten Anwen-der benötigen. Was Sie sich mer-ken sollten, ist die Definition derMAC-Adressen. Wenn Sie vorha-ben, über Einträge der Client MAC-Adressen das Wireless LAN einwenig sicherer zu gestalten, dannkönnen Sie das über Address Fil-ter und Port Assignments realisie-ren, mehr wird hier nicht benötigt.

Count, Display Console undRecord . Im Punkt EventNotifications können SieSNMP Traps erzeugen lassen, einenentsprechenden SNMP Host angebenund natürlich die zugehörigeCommunity. Weiterhin können Siehier einen externen Syslog Serverdefinieren.

ServicesDer Cisco Aironet Access Point 350hat von hause aus sehr viele Servicesimplementiert. Hierzu zählen unteranderem die Console und Telnet Ser-vices, mit denen Sie zur Konfigurati-on auf den AP gelangen. Die Stan-dard- Einstellungen des Console Portsind 9600, 8, N, 1, Software Xon/Xoff. Telnet wird generell nur frei-oder abgeschaltet. Ein Time Serverüber Simple Network Time Protocol(SNTP) ist ebenfalls integriert, hier-durch kann sich der AP von einemanderen Host die Zeit nehmen. WennSie das auf allen Access Points in Ih-rem WLAN einstellen, haben Sie über-all die gleiche Zeit, was das Auswer-ten von Statistiken oder desEventlogs wesentlich vereinfacht.Der Boot Server Service ermöglichtes, den AP über das Protokoll Bootpoder DHCP zu starten. Auch ein FTPoder TFTP Service ist verfügbar, umDateien oder Konfiguration zu ladenoder wegzuschreiben. Im PunktRouting können Sie dem AccessPoint ein Default Gateway mitgeben.Das wird z.B. dann benötigt, wenn Siedie Help-Funktion der Browser-Ober-fläche benutzen möchten und IhrInternet Router in einem anderenNetzwerk liegt. Der integrierteWebserver läuft standardmäßig überden Port 80 und ist direkt frei-geschaltet.Im Security Setup finden Sieein User Management zur Administra-tion des Access Point und die Mög-lichkeit, alle Wireless User gegeneine Radius Server zu authentifizie-ren und die WEP-Verschlüsselung fürden Radio-Teil des APs zu aktivie-ren. Auch die Definition eines NameServers ist möglich, und z.B. dannnötig, wenn man die Help-Funktionder Browser-Oberfläche nutzen

möchte. Unter dem Punkt SNMP kön-nen Sie Informationen zum AccessPoint ablegen, seinen Namen undStandort, aber auch den Trap Hostund die SNMP Community. DerPunkt Accounting steht wiederumin direktem Zusammenhang mit ei-nem Radius Server, so daß bei dessenVerwendung auch ein Accounting derWireless Clients möglich ist. Der hierwohl wichtigste Punkt ist CiscoServices.

Cisco ServicesUnter Cisco Services finden Sievielfältige Verwaltungsfunktionen(vgl. Abb. 3), etwa Manage In-stallation Keys, womit sichandere oder neuere Installations-schlüssel z.B. für hohe WEP-Ver-schlüsselung installieren lassen. Ma-nage System Configurationläßt Sie einen Kalt- oder Warmstartdurchführen, den kompletten AccessPoint auf seine Default-Werte zurück-setzen oder Konfigurationsdateienhoch- und runterladen. Dis-tribute Configuration toother Cisco Devices dientdazu, eine erstellte Konfiguration anandere APs zu verteilen. Dies bietetsich dann an, wenn z.B. mit MAC-Adreßlisten gearbeitet werden soll.So erspart man sich einige Tiparbeit.Um eventuelle Probleme zu beseiti-gen oder neue Funktionen zuimplementieren, mag es nötig sein,ein Firmware Update auf einen APaufzuspielen. Da das jedoch nur Sinnmacht, wenn alle Geräte ein Updateerhalten, können Sie das unter Dis-tribute Firmware to otherCisco Devices zentral für alleAccess Points ausführen.Der Cisco Access Point 350 verfügtüber einen Hot Standby Mecha-nismus, der sicherstellt, daß bei Aus-fall eines Access Points ein andererseine Funktion übernimmt. Hierzuwird lediglich die MAC-Adresse deszu überwachenden APs eingetragenund über das Feld Start HotStandby Mode aktiviert. DasCisco Discovery Protocol(CDP) dient dazu, Informationen zuNetzwerkkomponenten zu erhaltenund benachbarte Access Points aus-

Event LogMit Display Defaults wird Ih-nen angezeigt, mit welchen Informa-tion des Event Log der Access Pointgefüllt wird. Über den Punkt EventHandling können Sie je nach derArt bzw. Herkunft des Events be-stimmte Aktionen initiieren. Leiderbeschränken sich diese auf Notify,

4 34 34 34 34 3

09 Ausgabe 09/2002

lesen zu können. Viele schalten dasCDP jedoch aus Sicherheitsgründenab.

Network PortsDer Cisco Access Point 350 verfügtüber zwei Network Ports, einmal den10/100 Mbit Ethernet Port und den11 Mbit Radio Port. Über den PunktIdentification läßt sich die IP-Adresse des APs festlegen, sowohl aufdem Ethernet- wie auf dem Radio-Port. Sie können beiden Ports sogarunterschiedliche IP-Adressen verge-ben, dann arbeitet der Access Pointjedoch als Router. Der Punkt Hard-ware ermöglicht auf dem Ethernet-Port die Definition Half- oder Full-Duplex, 10 oder 100 Mbit bzw. AutoMode. Auf dem Radio-Port hingegenwird die SSID (Default: tsunami)eingestellt. Weiterhin könnten Siehier die Geschwindigkeit zwischen 1und 11 Mbit einstellen, die TransmitPower, Time Out Parameter und denRadio Channel eingeben. Unter demPunkt Filters werden Port-bezo-gen diejenigen Filter eingetragen, dieunter Associations definiert wur-den. Über Advanced lassen sichweitere Werte für das Fein-Tuningabändern, die jedoch im Normal-betrieb nicht nötig sind.

tels Cross-Over-Kabel direkt mit demAP zu verbinden und die IP Adresse10.0.0.10 fest eingetragen. Jetztkönnen wir mit einem Browser überhttp://10.0.0.1 auf den AccessPoint zugreifen und die IP-Adresseauf den im Netzwerk vorhandenenBereich ändern.Weiterhin sollten Sie über die Identi-fikation des AP Radio-Ports die SSIDauf die in Ihrem Netzwerk verwende-te anpassen. Unter dem Punkt AP Ra-dio Hardware sollten Sie denPunkt Allow Broad cast SSIDto Asso ciate auf NO stellen,damit sich der Access Point nicht überseinen Radio-Teil bekannt gibt. Dennjeder der mit ihm sprechen möchte,sollte seine Daten kennen müssen.

WEP-SchlüsselÜber Services / Securitysollten Sie die WEP-Verschlüsselungaktivieren (vgl. Abb. 4). Hier-zu sollten Sie folgende Werteeintragen. Use of DataEncryption by Stations is wird FullEncryption zugewiesen,Accept Authentication Type auf Open ge-stellt. Bei WEP Key 1 defi-nieren Sie irgendeinen Key,nutzen Sie generell 128 Bit.Hierzu muß die Key Sizeauf 128 bit stehen und dieKey-Länge 26 Zeichen haben.

User AdminIm nächsten Schritt sollten Sieeinen Admin-User einrichten(vgl. Abb. 5).Hierzu gehen Sie über Ser-vices / Security / UserInformation und erzeugeneinen neuen User z.B. Adminmit allen Rechten. Anschlie-ßend gehen Sie über den UserManager und aktivierenUser Manager mitEnable , setzen AllowRead-Only Browsingwithout Login? auf Nound Protect LegalCredit Page auf Yes. Jetzt kann nur noch der User

Admin mit entsprechendem Paßwortden Access Point administrieren.

Zugang sichernIm Service sollten Sie unterRouting auf jeden Fall ein DefaultGateway und unter Name ServerIhren DNS-Server eintragen. Jetzt ha-ben wir einen fertig konfiguriertenAccess Point mit einer relativen Si-cherheit. Um eine höhere Sicherheitzu erlangen, haben Sie zum einen dieMöglichkeit, die MAC-Adressen desClients auf den Access Points zu hin-terlegen, die in Ihrem Wireless LANarbeiten sollen. Oder Sie gehen nocheine Stufe weiter und bestimmen, daßjeder Wireless User sich über einenRadius Server authentisieren muß.

In der nächsten Ausgabe gehen wirauf die Konfiguration des AccessPoints ein.

Abb. 3: Cisco Services

KonfigurationJeder Cisco Aironet Access Point istim Auslieferungszustand voll be-triebsbereit. Er hat wie gesagt die IP-Adresse 10.0.0.1 und als SSIDtsunami fest eingetragen. Es istkeine Verschlüsselung aktiv. JederWireless Client kann nun mit dem APkommunizieren, wenn er die SSIDtsunami eingestellt hat. Was in Ih-rem Netzwerk sicherlich nicht zu ver-wenden ist, ist die voreingestellte IP-Adresse.

AnpassungenUm diese zu ändern, gehen Sie überTerminal, Telnet oder denWebbrowser. Die ersten beiden Me-thoden zeigten sich jedoch als nichtganz so einfach, somit haben wir esvorgezogen, einen einzelnen PC mit-

Abb. 4: Einstellung zur WEP Verschlüsselung

Ausgabe 09/2002

4 44 44 44 44 4

09

E

NOVELL

TuningPerformance von Microsoft Client

Von Jörg Marx

Wer hat das nicht schon mal erlebt? Sie sitzen vor Ihrem Client-PC, arbeiten im Netz und alles dauert Ewigkeiten. DasSuchen nach Laufwerken, das Anmelden, das Öffnen oder Speichern von Dateien zieht sich scheinbar unendlichlange hin. Doch meist gibt es eine einfache Erklärung und oft sogar eine schnelle Abhilfe. Denn einige Performance-Probleme lassen sich durch wenige Handgriffe lösen, man muß sie halt nur kennen.

Ein paar Handgriffe, um die Performance von MicrosoftClients zu beschleunigen, möchten wir Ihnen heute hiervorstellen, zum Beispiel bei Problemen des MUP. DerBegriff steht für Multiple UNC Provider. Dieses Modulhilft Windows beim Auffinden von Netzwerkressourcen,wenn mehrere Clients - etwa von Novell und Microsoft -auf einem Rechner zum Einsatz kommen. Wenn damitein Server gefunden wurde, kann der Rechner nicht fest-stellen, ob es sich um eine Novell oder Microsoft Resourcehandelt. Die Suche nach einem Service geht nach demfolgenden Schema vor sich. Über Primary Protocol undden Primary Client wird im ersten Schritt gesucht. Wirddort nichts gefunden, so wird über jedes andere vorhandeProtokoll und jeden installierten Client gesucht. Hierhaben bestimmte Rechner mit Windows 95 oder NT (mitService Pack 4) einen Bug in der Datei MUO.sys.

Abb.1: Definition des NovellClients als Primary

Um das unter Windows NT zu tun, müssen Sie folgender-maßen vorgehen. Sie öffnen das Networking controlpanel und wählen Network Access Order unterdem Services-Tab. Setzen Sie most frequently usedredirectors an die Spitze. Unter Windows 2000 ge-hen Sie über MyNetwork Places,wählen unter Advanced die AdvancedSettings, wo Sieein Fenster finden,im dem Ihnen die ak-tuelle Reihenfolgeder installiertenClients angezeigtwird. Durch einfa-ches Anwählen undBetätigen der Pfeilta-sten können Sie dieReihenfolge ändern.Auch hier könnenSie hier dieProtokollbindungenanpassen.

H O

T L

I N E

hH O T L I N E

Näheres hierzu finden Sie unter: http://support.microsoft.com/support/kb/articles/q171/3/86.asp?FR=0

Optimieren des MUPPrüfen Sie auf einem Windows 95 Rechner, wievieleClients installiert sind. Verfügbare Clients sind z.B. NovellClient 32, Microsoft Client oder NFS Client. Sollten Sieeinen Client nicht benötigen, kann das Deinstallierendiese Clients einige Vorteile mit sich bringen.Bei allen Clients, die benötigt werden, achten Sie darauf,daß nur die zum Client benötigten Protokolle gebundensind, alle weiteren gebundenen Protokolle, die der Clientnicht benötigt, bremsen ihn nur unnütz aus. Weiterhinsollten Sie den am meisten verwendeten Client als denPrimary definieren.Arbeiten sie also überwiegend mit einem Novell Server,sollten Sie auch den Novell Client als Primary Clientdefinieren (vgl. Abb.1).

4 54 54 54 54 5

09 Ausgabe 09/2002

Duplex-EinstellungenEin wichtiger Punkt in heutigen Netzwerken, woSwitches, Hubs und Router zu Einsatz kommen, sind dieEinstellungen der Ethernet-Schnittstelle. Hier gibt es jadie unterschiedlichsten Varianten, Full und Half Duplex,100/10 Mbit oder Autone-gotiation. Generell ist zu sa-gen, daß man am sichersten fährt, wenn beide Seiten -Switch und Karte - auf einen Wert fest eingestellt werden,der auf beiden Seiten identisch ist. Eine Autonegotiationmag gutgehen oder eben auch nicht. Doch generell sollteman wissen, daß ein Full-Duplex- Betrieb nur mit Switchesmöglich ist und nicht mit normalen Hubs.

DFS-UnterstützungBeim der DFS-Unterstützung handelt es sich um ein Fea-ture von Windows NT, welches die unterschiedlichstenFile-Systeme logisch zu einem gemeinsamen zusammen-faßt. Das kann Vorteile bringen, wenn Anwender die un-terschiedlichen Betriebssystemplattformen permanentnutzen müssen. Dies hat jedoch zur Folge, daß wenn eineNT-Maschine einen Server via UNC-Pfad sucht, erst ge-prüft wird, ob es sich um eine DFS-Komponente handelt.Wenn man also DFS abschaltet, wird dieser Vorgang be-schleunigt. Dazu legen Sie folgenden Registry Key an:DisableDFS mit dem Wert 1 unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Mup\.

Netbios-EinstellungenEin Windows-Rechner kann Microsoft Ressourcen ent-weder über Broadcast oder einen WINS-Server lokalisie-ren. Eine Kombination aus beiden zu verwenden, ist denk-bar. Weiterhin können Sie auf einem Windows-Rechnermit sogenannten Host-Dateien oder einer DNS-Auflösungarbeiten. Um dies zu aktivieren, sind als \Parameters- in der Registry unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]- folgende Einstellungen nö-tig:„EnableLMHOSTS“=dword:00000000„EnableDNS“=dword:00000000

In der gezeigten Einstellung sind LMHOSTS und DNSdeaktiviert, wenn Sie für den dword-Wert anstelle der letz-ten 0 eine 1 setzten, sind beide Eigenschaften aktiviert.Weiterhin wichtig ist der NODE-Type. Am sinnvollstenzeigte sich hier der Typ P-NODE, welcher nur über WINSarbeitet und keine Broadcasts mehr verwendet. Der fol-gende Key - wie zuvor unter ...\Parameters - stellteine P-NODE für NT-Rechner her:„NodeType“=dword:00000002

Für Rechner unter Windows 95 lautet der Eintarg unterHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP:„NodeType“=dword:00000002

Die folgenden Registry-Einstellungen führen ebenfallszu einer Performance-Steigerung im NetBios-Bereich:BcastNameQueryCount

Key: Netbt\ParametersValue Type: REG_DWORD - CountValid Range: 1 to 0xFFFFDefault: 3

Dieser Wert legt die Zeit des NetBT Broadcasts Query füreinen bestimmten Namen fest, auf den keine Antwort er-folgt.

BcastQueryTimeoutKey: Netbt\ParametersValue Type: REG_DWORD - Time in millisecondsValid Range: 100 to 0xFFFFFFFF

Default: 0x2ee ( 750 decimal)

Dieser Wert definiert das Zeitintervall zwischen einemerfolgreichen Broadcast Name Query für den gleichenNamen.

CacheTimeoutKey: Netbt\ParametersValue Type: REG_DWORD - Time in millisecondsValid Range: 60000 to 0xFFFFFFFFDefault: 0x927c0 ( 600000 millisec. = 10 minutes)

Dieser Wert definiert das Zeitintervall, für den der Nameim Cache gespeichert wird.

NameSrvQueryCountKey: Netbt\ParametersValue Type: REG_DWORD - CountValid Range: 0 - 0xFFFFDefault: 3

Dieser Wert legt die Anzahl fest, wie oft NetBT eine An-frage an einen WINS-Server sendet, ohne darauf eine Ant-wort erhalten zu haben.

NameSrvQueryTimeoutKey: Netbt\ParametersValue Type: REG_DWORD - Time in millisecondsValid Range: 100 - 0xFFFFFFFFDefault: 1500 (1.5 seconds)

Dieser Wert legt die Zeit fest, in der eine WINS-Anfragezu einem Namen beantwortet werden muß.

Size/Small/Medium/LargeKey: Netbt\ParametersValue Type: REG_DWORDValid Range: 1, 2, 3 (Small, Medium, Large)Default: 1 (Small)

Dieser Wert definiert die Größe der Namenstabelle, in derdie gefundenen NetBios Names abgelegt werden. Bei ei-nem normalen Client PC reicht hier der Wert Small aus.Sollte jedoch der Rechner als Proxy Name Server arbei-ten, sollte der Wert auf Large gestellt werden.

Netzwerkkarten-TreiberAuch die Netzwerkkarten-Treiber spielen eine große Rollebei der Netzwerk-Performance eines Rechners. Sollten Siealso den Eindruck haben, daß Ihr Rechner generell zulangsam im Netzwerk arbeitet, kann das ein Problem des

Ausgabe 09/2002

4 64 64 64 64 6

09

H O

T L

I N E

hH O T L I N ENetzwerkkartentreibers sein. Hier sollte man über denHersteller versuchen, eine neue Version für das entspre-chende Betriebssystem zu bekommen und sie installie-ren. Die Offline-Browsing-Funktion des Internet Explo-rers 5.5 hat übrigens generell eine Abschwächung derNetzwerk-Performance zur Folge. Näheres hierzu findenSie in dem Artikel Q226370.ASP

BetriebssystemAuch vom Betriebssystem her lassen sich einige Dingeoptimieren, zum Beispiel beim IoPageLockLimit.Diese Einstellung bestimmt die Anzahl an Bytes, die fürI/O-Funktionen gelockt werden können. Durch eine Er-höhung des Default-Wertes (512) kann eine große Be-schleunigung der Performance bei Rechnern mit hohemDisk I/O erzielt werden. Eine Anhebung des Wertes aufbis zu 4096 Bytes kann im nachfolgenden Beispiel emp-fehlenswert sein.Unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Mana-gement] finden Sie:„IoPageLockLimit“=dword:00001000„LargeSystemCache“=dword:00000001

Mit diesem Parameter nutzt eine Windows NT Worksta-tion den gleichen Large System Cache wie ein WindowsNT Server. Dies bedingt jedoch, daß die Workstation übergenügend RAM verfügt.„DisablePagingExecutive“=dword:00000001

Mit diesem Parameter wird der System-Kernel auf die Fest-platte geswapped, was ein signifikantes Performance-Pro-blem darstellt.Unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem] können Siefolgende Option für das NTFS Filesystem aktivieren:„NtfsDisableLastAccessUpdate“=dword:00000001

Damit protokolliert das NTFS Filesystem die letztenDateizugriffe nicht mit, was der Festplatten-geschwindigkeit zugute kommtUnd zu alledem können wir unter [HKEY_LOCAL_MACHINE\S YSTEM\CurrentControlSet\Services\atapi\Parameters\ Device0 bzw.Device1] den DMA-Transfer aktivieren:„DriverParameter“=“DmaDetectionLevel = 0x1;“

Standardmäßig ist der DMA-Transfer bei IDE-Festplattendeaktiviert, das führt hier zu starken Performance-Einbu-ßen.

Remote Task SchedulersStandardmäßig versucht ein Windows 2000 Rechner, Zu-griff auf den Remote Scheduler von anderen Windows95/98 oder Novell NetWare zu erlangen. Das kann zu Zeit-verzögerungen von bis zu 30 Sekunden führen. Um dieseFunktion abzuschalten, nutzen Sie den Registry Key:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]

IP und IPX am Novell ClientBei der Default Installation eines Novell Clients werdensowohl IP als auch IPX installiert. Sucht nun ein Clienteinen Server, wird hierzu erst einmal das IP-Protokoll ver-wendet. Handelt es sich bei dem Server jedoch um einenNetWare 4.x oder 3.x Server, können diese nur über IPXgefunden werden. Um also ein Novell Netzwerk schnellerzu machen, solltenSie darauf achten,daß alle Server überdas gleiche Protokollanzusprechen sind.Standardmäßig nutztder Novell Clientsehr viele Methodenzur Namensauf-lösung über IP. DasAbschalten von nichtbenötigten Proto-kol lsuchopt ionenlohnt (vgl. Abb. 2).Im Novell Client un-ter Protocol Preferences findenSie alle aktiviertenMethoden. Hier kön-nen Sie erst einmalfolgende Optionenlöschen: Host File,DNS, DHCP undDNS, da Novell normalerweise nur NDS und SLP hierzubenötigt. Im Novell Client unter dem Feld AdvancedSettings sollten Sie den Wert Name ResolutionTimeout von 1 auf 10 ändern. Auch dieser Wert läßtsich mit dem Registry Key ändern:HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NetWareWorkstation\Policies\NetworkTimeout inSeconds=1]Auf Rechnern mit wenig Speicher solltenSie nur die Komponenten des Novell Clients installieren,die Sie auch effektiv benötigen. Installieren Sie den Clientalso über die Custom Option, so Sie lassen z.B. Dinge wieWorkstation Manager, NDPS Printing oder Remote Controlweg.Tip: Bei Verwendung des aktuellen Novell Clients4.83 achten Sie darauf, daß auch das aktuelle ModulNWFS.sys verwendet wird. Es ist in dem PatchNT483PT2.exe auf unserer CD zu finden.

NetWare Provider Registry KeyWindows 2000 Rechner ändern einen Registry Key, derdurch den Novell Client erzeugt wurde, falsch ab. Sie soll-ten aus diesem Grund den Rest des folgenden Keys[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetWareWorkstation\NetwokProvider\DeviceName] manuell ändern, und zwar von \Device\NetWareWorkstation nach \Device\NetWareRedirector.

Abb. 2: Novell Client Protokoll-suchoptionen

4 74 74 74 74 7

09 Ausgabe 09/2002

TANDBERG DATA

Streamern auf der SpurSCSI- Schnittstellen

Die Tandberg Data Streamer werden bekanntlich über eine SCSI-Schnittstel-le angesteuert. Im Laufe der letzten 15 Jahre hat sich natürlich auch dieseSchnittstelle kontinuierlich weiterentwickelt, so daß heute eine Vielzahl vonunterschiedlichen Schnittstellentypen existiert. Dabei sind für den Anwen-der weniger die technischen Unterschiede zwischen SCSI 1, 2 oder 3 vonInteresse, als vielmehr die Übertragungsraten und Signalpegel.

Die älterenS t r e a m e r

SLR1 - SLR5besitzen eine 8 Bit (1 Byte) breiteSCSI-2 Fast-Schnittstelle mit einerDatentransferrate von 10 MB pro Se-kunde und Single Ended (SE)-Signalpegeln. Die Schnittstelle istleicht an der rechteckigen Stecker-leiste mit 2 mal 25 Kontakten zu er-kennen. Die Übertragungsgeschwin-digkeit ist für diese Laufwerke mehrals ausreichend.

Ultra-WideMit der Entwicklung größerer Lauf-werke stieg auch der Bedarf an SCSI-Übertragungskapazität. Nicht zuletztdeshalb werden heutige Laufwerkeausschließlich mit einem 16 Bit (2Byte) breiten Businterface herge-stellt. Neben der Verdopplung derÜbertragungsgeschwindigkeit durchdie parallele Übertragung von 2 Bytekonnte der Datendurchsatz durch dieErhöhung der Bustaktrate weiter er-höht werden. So bietet der Ultra-Wide-Bus eine Übertragungsgeschwindig-keit von 40 MB/sec, der Ultra2-Wide-Bus überträgt 80 und der Ultra160-Wide-Bus sogar 160 MB pro Sekun-de. Ultra2-Wide und Ultra160-Wide-Busse arbeiten im LVD-Modus, d. h.auf dem Bus werden Low-Voltage-Differential-Signale übertragen, imGegensatz zu den SE-Signalen derälteren Bussysteme.

TransferratenAlle heutigen Tandberg Streamer mitWide-Schnittstelle können sowohl imSE-Betrieb als auch im LVD-Modusbetrieben werden. Die Laufwerke stel-len sich automatisch auf die jeweili-ge Betriebsart ein. Die Transferrate istbei Streamern im allgemeinen be-grenzt, nicht jeder Streamer arbeitetmit der maximalen vom Bus bereit-gestellten Geschwindigkeit. Das hatjedoch keinen Einfluß auf die übri-gen Geräte auf dem Bus. Der SCSI-Controller handelt mit jedem ange-schlossenen Gerät individuell diemaximal mögliche Übertragungs-geschwindigkeit aus. So ist z. B. dieTransferrate bei SLR24/32/50 auf 20MB/sec begrenzt. Die ModelleSLR7/ 40/60/100 arbeiten mit 40, dieSDLT220 gar mit 80 MB pro Sekun-de. Alle angegebenen Übertragungs-raten reichen auch unter ungünstigenUmständen aus, um den Streamer aus-reichend schnell mit Daten zu versor-gen.

SteckerDer 68-polige Mini-Sub-D-Schnitt-stellenstecker an den Streamern ist ca.5 cm lang und mit abgeschrägtenSchmalseiten versehen. Daneben eta-bliert sich ein ebenfalls 68-poligerVery-High-Density-Stecker, der nurnoch ca. 3 cm lang ist. Er ist schon anden neuen TANDBERG DATA Pro-dukten SuperLoader und StorageCabzu finden.

Master CNE

CompTIA IT Projekt+

NetWare 6 CNE

= Master CNE

IT Management auf höchstemNiveau

Die Master CNE-Zertifizierung ist die höchste Stu-fe einer technischen Zertifizierung, die derzeit beiNovell erworben werden kann. Um Master CNEwerden zu können, muß man zunächst NetWare 6CNE sein und zusätzlich die CompTIA-Prüfung ITProjekt+ bestanden haben. Compu-Shack Trainingbietet zum IV. Quartal 2002 diese anspruchsvolleZertifizierung mit einer eigens entwickelten Vor-bereitungsschulung an.

Anhand eines durch Compu-Shack Trainer und er-fahrene Projektmitarbeiter professionell konzipier-ten Schulungskonzeptes entstand ein dreitägigerKurs, der gezielt auf die erfolgreiche Abschlußprü-fung zum IT Projekt+ von CompTIA vorbereitet.Dieses Zertifikat attestiert höchste Kompetenz undProfessionalität im IT Projekt Management, ein-schließlich kaufmännischem Wissen, Mitarbeiter-führung und Kenntnissen von Prozeßabläufen, diefür ein erfolgreiches IT Projekt Management erfor-derlich sind. Als zertifiziertes VUE Testing Centerbietet Compu-Shack Training dieses Examen be-reits für 245,- • zzgl. MwSt an.

Master CNEs verfügen über umfassendes Wissenauf dem Gebiet der Planung und Implementierungvon komplexen Infrastrukturen wie auch derNetzwerkverwaltung. Die ursprüngliche CNE-Zertifizierung wird mit der CompTIA-Prüfung ab-gerundet und um spezielle Netzwerkmanagement-Kenntnisse erweitert. Die Ausbildung zum MasterCNE ist dadurch unkompliziert zu erreichen. Siebietet Unternehmen ein hohes Maß an Sicherheitund klare Vorteile, die sich bezahlt machen, geradedann wenn kritische Probleme auftreten.Ausführliche Informationen finden Sie unterwww.training@compu-shack.com. Wenn SieFragen haben, steht Ihnen das Compu-Shack Trai-ning-Team unter 02631-983-317 gerne telefonischzur Verfügung. Es ist via E-Mail untertraining@compu-shack.com zu erreichen.

Ausgabe 09/2002

4 84 84 84 84 8

09

P

H O

T L

I N E

hH O T L I N ENOVELL

FAQs und Facts Interessante Tips der Deutschen Netware FAQ

Von Stefan Braunstein

Einige Probleme unter ARCserve 6 und 7 hängen manchmal an den Defaultwerten der Btrieve Datenbank. StefanBraunstein, der Verwalter der Deutschen Netware FAQ und der Utility-Sammlung NetwareFiles hat diesmal auchaktuelle Tips zu ARCserve. Zudem geht es um den Umgang mit Demo-Versionen, um unumgängliche Manipulationenan Produkteinträgen und um die Hartnäckigkeit von NetWare 6 Servern auf Compaq Hardware.

Probleme unter ARCserve 6.x und 7, die als Ursache dasASDB.NLM anzeigen, hängen meist mit zu niedrigenDefaultwerten der Btrieve Datenbank zusammen, die vonARCserve zum Speichern der Jobs genutzt wird, und tau-chen oft auch nach der Sicherung beim Bereinigen derJobdatenbank auf.

ARCserve TipsARCserve erfordert laut CA-Support erheblich höhereWerte, die Sie in der SYS:SYSTEM/BTI.CFG eintra-gen können. Ein CA-Dokument dazu - unter http://support.ca.com/techbases/as61/10133.html - erklärt dabei auch die einzelnen Parame-ter und ihre Bedeutung. Es beschreibt detailliert, wie maneine korrupte Datenbank wieder repariert, als Restore vomletzten Band oder auch durch neu Anlegen. Sollte IhreBTI.CFG bereits höhere Werte beinhalten, behalten Siediese natürlich bei:[MicroKernel]MaxFiles =100 (default 20 bzw. 50)MaxCursors=120 (default 60)CacheSize=8192 (default 1024)MaxClients=120 (default 30)BackgroundThreads=15 (default 4)

[Btrieve Communications Manager]MaxWorkerThreads=15 (default 3)

MaxClients=120 (default 15)

ARCserve 7 verwendet als Standardprotokoll TCP/IP undläßt sich nur durch Änderungen in der Registry des Clientsdazu bewegen, statt dessen IPX zu benutzen. In einemweiteren CA-Dokument ...techbases/asnw7/SNW0002.html werden die erforderlichen Änderungenfür Windows 9x und NT/2000 Clients beschrieben, umden ARCserve Manager per IPX/SPX mit dem Server kom-munizieren zu lassen.

SicherungenUnter NetWare 6 lassen sich mit ARCserve 7 offensicht-lich mit SMS keine Volumes ohne Long-Namespace si-

chern. Das kommt zwar selten vor, weil NetWare 6 vonsich aus immer NSS Volumes erstellt, und diese automa-tisch alle Name Spaces enthalten. Aber man kann durch-aus ein traditionelles Volume erstellen und den LongNamespace Support nicht einrichten. CA konnte diesenSachverhalt nachvollziehen, eine endgültige Lösung stehtaber noch aus.Ein etwas abenteuerlicher Workaround, der aber immer-hin das gewünschte Volume mitsichert, ist die Erstellungvon zwei asconfig.ini, eine mit und eine ohne SMSUnterstützung, die mittels Cron und COPY-Job vontoolbox.nlm ausgetauscht werden. Zuerst wird allesbis auf dieses Volume mit SMS und nach dem Kopiervor-gang und einem Neustart von ARCserve dieses Volumeohne SMS gesichert.Egal, mit welchem Programm Sie Ihren Server sichern,Sie werden es mit aktuellen Support Packs nicht schaffen,beim Backup der NDS die Lizenzobjekte mitzusichern.Novell hat dies unterbunden, damit diese nicht unbefugtextrahiert und anderweitig benutzt werden können. Neh-men Sie deshalb diese Objekte von der Sicherung aus,damit die Fehlerprotokolle nicht unnötig Verwirrung stif-ten. Bei einer notwendigen Rücksicherung können Siejederzeit die Original Lizenzdiskette(n) verwenden.

NW DemoversionSie können zumindest für NetWare 6 von Novell Demo-versionen auf CD-ROM anfordern, übrigens auch überTechnik News online. Falls Sie aber über eine guteInternetanbindung verfügen, gibt es auch eine direkteMöglichkeit, die einen zusätzlichen Vorteil bietet. Dennfür NetWare 5.1 und 6 gibt es die komplette NetWareInstallations-CD auch als ISO-Image zum Download,wobei das letzte Support Pack automatisch enthalten ist.Nachdem die neuen Support Packs für NetWare 5.1 und 6gerade erst erschienen sind, lassen sich damit auch sehrschnell Testserver hochziehen, um bestimmte Program-me oder Hardware auf Kompatibilität mit dem neuen Sup-port Pack zu überprüfen.

4 94 94 94 94 9

09 Ausgabe 09/2002

Stefan Braunstein, der Verwalterder Deutschen Netware FAQ(www.nwfaq.de) und der Netz-werk-Utility-Sammlung (www.netwarefiles.de), liefert Technik-News-Lesern allmonatlich eineSerie mit Tips, Tricks und Toolsrund um Novell NetWare.Sie erreichen den Autor über:www.braunstein.de. Die ange-sprochenen TIDs und englisch-sprachige Informationen derNovell Knowledge Base sind nununter: http://support.novell.com/search/kb_index.jsp zufinden. Einen direkten Link zurNetWare FAQ haben Sie auch überTechnik News online: www.tech

den, weil der Eintrag für ein bestimmtes älteres SupportPack fehlte, das aber nachweislich installiert war.So erstellte ich einen neuen Eintrag über ein Dummy-Installationsscript, das effektiv keine Dateien installier-te, sondern nur den gewünschten Eintrag generierte. Derfolgende Zweizeiler, den man als Datei mit der Endung.IPS auf dem Server ablegen muss, soll das Prinzip ver-deutlichen.ProductRecord BSB/sb, 0, „08/2002“ProductRecord BSB/sb, 1,„supportedvon Stefan Braunstein, Kehl“

Er wird über die Produktoptionen (Product Options) desNWCONFIG.NLM bzw. bei NetWare 4.x desINSTALL.NLM installiert. Geben Sie dabei nur den Pfadan, in dem sich das erzeugte Script befindet. (vgl. Abb.1). Umgekehrt kann es vorkommen, daß zum Beispielein Beta-Patchüber die Produkt-optionen erst ein-gespielt, danachaber wieder vonHand entferntwird.Dieser zweite Fallläßt sich sehr ein-fach lösen. Star-ten Sie an derK o n s o l e :Uinstall [-c] <Programmname>, wobei<Programmname> exakt dem linken Tabelleneintragder Produktoptionen entsprechen muß. Falls der NameGroß- und Kleinbuchstaben enthält, so rät uns die TID10058039, bei aktuellen UINSTALL Versionen den Pa-rameter -c zu benutzen. Löschen Sie aber niemals ausLust und Laune unbekannte Einträge, weil sich dadurch(siehe oben) zum Teil massive Konsequenzen bei nach-folgenden Updates ergeben können.

Hinweis: Die Erstellung dieser sogenannten Overlay-CDwurde bereits in TN 5/2002 erklärt. Sie wird auch in dennachfolgenden TIDs beschrieben. Die aktuellenDownload Links lauten:NetWare 5.1 ISO-Image inkl. SP5http://support.novell.com/servlet/tidfinder/2963258NetWare 6 ISO-Image inkl. SP2http://support.novell.com/servlet/tidfinder/2963260Beachten Sie hier die Issue Sektion, in der bei NetWare 6eine Lösung für den Umstand beschrieben wird, daß dieProduktoptionen ohne den dort beschriebenen Eingriffnicht die notwendigen Einträge des Support Packs ent-halten. Diese Einträge sind aber erforderlich, wenn ande-re Produkte installiert werden, die SP2 voraussetzen. (sie-he unten). Bei NetWare 5.1 ist es notwendig, daß einebestimmte Datei nicht überschrieben wird.

Demo-LizenzDie aus diesem ISO-Image erstellte CD-ROM enthält eineDemo-Lizenz im Verzeichnis License. Es gibt dabeides öfteren das Problem, daß diese Lizenz während derInstallation nicht akzeptiert wird. Kopieren Sie deshalbauf einem Arbeitsplatz dieses Verzeichnis auf eine Dis-kette und verwenden Sie diese, wenn die Lizenz angefor-dert wird. Sie sollten einen aktuellen NetWare Server üb-rigens möglichst nicht ohne Lizenz installieren, auchwenn diese Option angeboten wird. Mit Hilfe der Lizenz-datei wird nämlich der kryptografische Schlüssel für die-sen Server generiert, ohne den kein Crypto-Support mög-lich ist, zum Beispiel bei SSL-Verbindungen. DerCertificate-Server, der sonst automatisch auf dem erstenServer im Netzwerk installiert wird, wird in diesem Fall

auch nicht eingerichtet.

ManipulationMir ist bei Supportan-fragen oder Server-Checks vor Ort schon desöfteren aufgefallen, daßmanchen NetWare Ser-vern bestimmte Einträgein den Produktoptionenfehlten, obwohl die Pro-dukte installiert waren. Ineinem konkreten Fall gabes das Problem, daß ichkein aktuelles SupportPack mehr installierenkonnte, weil NICI 1.57fehlte. NICI 1.0 war kor-rekt eingetragen. Dochkonnte die neue NICI Ver-sion nicht installiert wer-

Abb. 1: Modifizierte Produktoptionen

HartnäckigNetWare 6 Server auf aktueller Compaq Hardware wei-gern sich bisweilen recht hartnäckig, wenn es darum geht,sie herunterzufahren. Leider hängt sich der Server dabeiauf, so daß dieser Fehler keinesfalls als “Stabilitäts-Fea-ture” durchgehen kann. Er tritt allerdings nur dann auf,wenn ein USB-Treiber geladen ist. Abhilfe verspricht einBIOS-Update des Servers oder als Workaround das Lö-schen bzw. Umbenennen von UHCIDRV.NLM oderOHCIDRV.NLM in C:\NWSERVER, je nachdem welchesvon der NetWare geladen wurde. Das richtige Modul fin-den Sie mit MODULES ?HCIDRV.* an der Server Kon-sole. Umbenennen können Sie das Modul übrigens imlaufenden Betrieb mit einem der in der letzten Ausgabebeschriebenen Tools wie dem RoletoSoft Commanderoder FILER.NLM.

Ausgabe 09/2002

5 05 05 05 05 0

09

A

WIRELESS SECURITY

P R

A X

I SpP R A X I S

Gefiltert und verschlüsseltSchutzmechanismen im Wireless LAN

Ein Sicherheitsloch klafft im Wireless-Netzwerk. Seit rund zwei Jahren haben sich die Bemühungen der Herstellerverstärkt, es zu stopfen. Inzwischen bieten sich verschiedene Verfahren für durchaus unterschiedliche Sicherheits-ansprüche an. Weitere Lösungen sind in der Mache, neue Standards in der Diskussion. Was nützen die diversen Filter,Verschlüsselungs- und Authentifizierungsverfahren? Gehen wir ihnen auf den Grund.

Access Control Lists (ACL) stehen alserste Stufe der Security im WLAN fürdie Begrenzung auf bestimmte IP-oder MAC-Adressen, die allein Zu-griff auf das Netzwerk haben dürfen.Es ist eine Fleißarbeit, die Adressen,vor allem in einem Netzwerk mitmehr als zehn Teilnehmern, zu ermit-teln und einzugeben. Doch ist esgleichzeitig auch eine erste wirkungs-volle Hürde, um Fremdeindringen zuerschweren. Natürlich sind Zugangs-begrenzungen über MAC-Adressensicherer als IP-Adressen. Dochfälschungssicher ist keine der beiden,die MAC-Adresse stellt lediglich eineetwas höhere Barriere dar.

Wired Equivalent PrivacyDie WEP-Verschlüsselung ist bereitsein größerer Schritt in RichtungNetzwerksicherheit. WEP wird imWLAN-Standard 802.11 als optiona-le Möglichkeit definiert und ist einVerfahren zur Verschlüsselung derPakete, die über das WLAN übertra-gen werden. Zwei verschieden großeSchlüssel stehen zur Verfügung: 40/64 Bit und 104/128 Bit. BeideSchlüssel haben gemeinsam, daß 24Bit bereits von der Hardware gestelltwerden und von Datenpaket zuDatenpaket zufällig verändert wer-den. Die restlichen Bits werden vomAdministrator vorgegeben und stel-len einen statischen Schlüssel dar.Eine Kommunikation zwischenClient und Access Point kann nurstattfinden, wenn beide den gleichenSchlüssel verwenden, sonst kommtkeine Verbindung zustande.

System Set IdentifierIm WLAN-Standard IEEE802.11wird der Netzwerkname ebenfalls de-finiert. Ursächlich wollte man damitdie logische Strukturierung derWireless-Netze unterstützen. Nur werden richtigen Netzwerknamen beiseiner Wireless-Karte eingibt, kannsich beim Access Point anmelden.Daher wird dies auch nicht selten alsein Aspekt der zusätzlichen Securitygesehen. Doch gibt es hierbei einewichtige Einschränkung. Denn erstdas - nicht standardkonforme - Ab-schalten der Funktion BroadcastSSID im Accesspoint bewirkt, waseigentlich gewollt war, nämlich daßnur noch der Datenverkehr zwischenden Teilnehmern mit gleicher SSIDzugelassen wird. Kann man dasBroadcast SSID nicht abschalten,kann sich jeder mit dem Netzwerk-namen ANY auf den Accesspoint ein-loggen.Fängt jemand die Datenpakete ab, diezwangsweise durch den Äther freiübertragen werden, kann er die obengenannten Schlüssel und Restriktio-nen vom Prinzip her ermit-teln. MAC-Adresse undSSID werden unverschlüs-selt übertragen. Durch eine- sehr hohe - Anzahl abge-fangener Datenpakete kannauch der WEP-Schlüsseldekodiert werden, so daßschlimmstenfalls dann dochnoch alle notwendigen In-formationen zugänglichwerden, sobald ein physika-lischer Zugang zur Funk-

zelle besteht. Im Grunde kann auchjeder einen WEP-Schlüssel dechiffrie-ren, der einen Internet-Anschluß hat.Denn die Tools dafür sind längst imWeb vorhanden. Jedoch sind tiefereKenntnisse über das effektive Abhö-ren notwendig, denn es funktionierteben nicht gerade auf Mausklick.Folglich ist die Gruppe der potenti-ellen Angreifer eingeschränkt. Meh-rere Möglichkeiten stehen mittlerwei-le zur Verfügung, ein Wireless LANwirkungsvoll vor Angriffen und Ent-schlüsselungen zu schützen. Diewichtigsten davon sind im folgendenam Beispiel Avaya Wireless benannt.

WEPplusEine weitere Verbesserung der WEP-Technik ist das sogenannte WEPplus.Avaya z.B. hat es bereits in der neuenGeneration des AP3 implementiert.Das Feature kann später über einSoftwarerelease eingespielt werden.Bei diesem Sonderverfahren wird dieSchwachstelle, die bei Lauschangrif-fen auf den WEP-Schlüssel genutztwird, wesentlich höher geschützt. Der

Solange die SSID, die WEP-Verschlüsselungund der ACL-Eintrag mit MAC-Adresse vor-genommen werden und nicht ausdrücklichöffentlich bekannt sind, ist jedes korrekt kon-figurierte Wireless LAN relativ sicher, da be-reits das Fehlen eines der drei Parameterden Aufbau einer Verbindung zwischen Clientund Access Point verhindert. Somit ist derZugang zum Netzwerk versperrt.

5 15 15 15 15 1

09 Ausgabe 09/2002

Schlüssel, der im WEP-Algorithmusenthalten ist, besteht aus dem Code,den der User (oder per 802.1x) kreiertund dem sogenannten InitializingVector. Dieser IV setzt auf der senden-den Station auf und verändert sich proübertragenem Frame. Wenn nun be-stimmte IV-Eigenschaften ausgeschal-tet werden, die den sogenanntenWeak Key produzieren, der eine be-sonders einfache Rekonstruktion desKeys möglich macht, so wird vor al-len Dingen die Schwäche ausgeschal-tet, die bislang durch Sniffer-Program-me ausgenutzt wurde. Daher lautetauch der “offizielle” Name vonWEPplus: “Weak Key Avoidance”.Der Initializing Vector befindet sichimmer auf der Station, die sendet. Esgibt hierbei keinen Nachteil in Be-zug auf die Interoperabilität mitAccess Points, die WEPplus nichtunterstützen. Aber natürlich ist nurein wirksamer Schutz möglich, wennalle im Wireless LAN vorhandenenStationen und Clients dieses Featureenthalten.

IEEE 802.1x und 11iDer Standard IEEE 802.1x bietet einAuthentifizierungsverfahren auf Port-Ebene, welches unabhängig vomFunk ist. Über eine Einbindung einesAuthentifizierungsservers wie RADI-US oder Kerberos wird die Identifi-zierung eines Users, der zum WirelessLAN möchte, und eben nicht einerClient-Hardware realisiert. Erst dann,wenn der Access Point den Anwenderan einem solchen Server identifizierthat und diese Identifikation positivverläuft, kann der User auf den APzugreifen und Zugang zum WLANerhalten. Folgende Voraussetzungenmüssen hierfür erfüllt werden. Das Be-triebssystem des Clients und derAuthentifizierungsserver müssen bei-de das von IEEE 802.1x definierteExtensive Authentication Protocol(EAP) unterstützen. Rein von derGrundausstattung her ist bislang aufder Client-Seite nur Windows XPdazu in der Lage. Jedoch gibt es fürdie anderen BetriebssystemeSupplicant-Software, um EAP auchhier zu unterstützen.Der in der Planung befindliche Stan-

dard IEEE 802.11i soll in Zukunft dasProblem der generell schwachenVerschlüsselungsmechanismen imWLAN beseitigen. Ebenso ist dieAufgabe dieses Standards, ein Verfah-ren für den dynamischen Schlüssel-tausch zwischen Client und AP zudefinieren, damit nach einem neuenAlgorithmus die Schlüssel dyna-misch verändert werden und generelldie Schlüssel sicherer werden. Avayahat mit der AP 3 Plattform genau die-sen Migrationspfad bereits vollendseingerichtet. Das Feature kann späterüber ein Softwarerelease eingespieltwerden.

IPsec und VPNEine ebenfalls sichere Verbindungvon Client zu Client wird über diebekannten Verschlüsselungsmecha-nismen IPsec und Virtual PrivateNetwork etabliert. Gemäß der InternetEngineering Task Force definiert dieerarbeitete Norm IPsec ein Verfahrenfür die Authentifizierung, für die Si-cherstellung der Unversehrtheit vonDaten sowie für die Verschlüsselungvon IP-Paketen. Beim Start eines Pa-ketes mittels IPsec erhält dieses Pa-ket einen Authentication Header, dersicherstellt, wer der Sender des Pake-tes ist, und daß die Daten währenddes Transportes nicht manipuliertwurden. Ebenso wird ein ESP-Verfah-ren (Encapsulated Security Payload)mit eingeschachtelten Sicherheits-nutzungsdaten angewendet, damitDaten nicht abgefangen, gelesen oderkopiert werden. Ein VPN hingegen istein privates Datennetz, um zwei Ge-sprächspartner miteinander zu ver-binden. VPN-Hard- und Software - inAvaya VPNet auf WLAN abgestimmt-bilden sogenannte Tunnel, worübernur die befugten Teilnehmer kommu-nizieren können.Die Daten, die über einen solchenTunnel übertragen werden, werdenverschlüsselt und können nur vomSender und vom Empfänger ent-schlüsselt und gelesen werden. DieAvaya VPNet-Komponenten unter-stützen IPsec und sind interoperabelmit anderen Lösungen, die IPsec alsStandardübertragungsprotokoll ein-setzen.

Wireless Security Learning Cycle mit

Um ein Wireless LAN sicher zu machen gibt es vieleMöglichkeiten, ob SSID, WEP, WEPplus oder IEEE802.1x. “Secure Wireless”, ein Compu-ShackLearning Cycle mit technischen Spezialisten des Her-stellers Avaya, richtet sich dazu speziell an vertrieb-lich- technisch orientierte Partner.

Mit prognostizierten Steigerungen von über 24 %gehören Wireless Lösungen zu den stärksten Wacht-umsmärkten. Doch für die Sicherheitsproblematik imWLAN müssen geeignete Lösungen gewählt werden.Daher bieten Compu-Shack und Avaya im Septem-ber weitere praxisnahe Workshops innerhalb derSecurity Learning Cycles an. Darin werden die Mög-lichkeiten zur Absicherung drahtloser Netzwerke unddas Erkennen von Sicherheitslücken aufgezeigt.

“Secure Wireless” Learning Cycle• Sicherheit als Unternehmensziel• Konkrete Bedrohungen im WLAN• Analyse, Überprüfung und Design• Lösungszenarien und Sicherheitskonzepte• Maßnahmen für drahtlose Infrastrukturen• neue Technologien in Funknetzwerken- Produktüberblick und praktische Übungen

Termine zur Auswahl18.09.2002 Neuwied20.09.2002 Potsdam,24.09.2002 MünchenDie Teilnehmerzahl ist begrenzt. Die Workshops dau-ern von 9:00 Uhr bis etwa 17:00 Uhr. Der Preis proTeilnehmer beträgt 149,- Euro. Das Business TeamAvaya bei Compu-Shack steht für Detailinfos zur Ver-fügung, per Tel: 02631/983-457 oder E-Mail an pm-Avaya@compu-shack.com. Security-Informatio-nen erhalten Sie beim Compu-Shack Projekt-Teamunter 02631/983-345 oder per E-Mail anprojekte@compu-shack.com. Sie finden ein On-line-Anmeldeformular unter: www.portal.compu-shack.com in der Rubrik Workshops.

Ausgabe 09/2002

5 25 25 25 25 2

09

D

P R

A X

I SpP R A X I S

MICROSOFT

Do IT Dot NETTeil 6: Die Architektur des Commerce Server 2000

Von Patrick Fell

Commerce Server 2000 ermöglicht es, personalisierte eCommerce-Sites zu realisieren. Dabei können die Unter-nehmensvorgänge im Web analysiert und auf die Bedürfnisse von Kunden und Partnern angepaßt werden. Nachdemwir die Servermaschine und die Systemvoraussetzungen kennengelernt haben, werden wir diesmal die CommerceServer-Architektur und das Verhältnis zum Internet Information Server erläutern.

Die Microsoft Commerce Ser-ver Architektur - wir sagten esbereits in der letzten Ausgabe(vgl. Tab.1 in TN 8/2002) - be-steht aus fünf Hauptsystemen,dem Business Analytics Sy-stem, dem Produktkatalog, derZielgruppenadressierung, demProfilsystem und den Ge-schäftsprozeß-Pipelines (s. Abb.1). Jedes dieser Systeme ist soausgelegt, daß es von Site-Ent-wicklern leicht an ihre Unter-nehmenslösungen angepaßtwerden kann. Businessmanagernutzen das Commerce ServerBusiness Desk zusammen mitden Commerce Server-Syste-men, um Kataloge zu aktuali-sieren und Inhalte zielgerichtetan Benutzer zu liefern, um Be-nutzer- und Organisations-profile zu erstellen, oder um dieSite-Verwendung und -Produk-tivität zu analysieren. Die System-administratoren hingegen nutzen denCommerce Server-Manager, um dieSystemressourcen zu konfigurierenund um Anwendungen, Datenbankenund Webserver zu verwalten.Die Commerce Server-Systeme, dasBusiness Desk, der Commerce Server-Manager und die Datenbanken sindin Lösungssites vorkonfiguriert undgepackt. Die Entwickler können dieLösungssites als Ausgangspunkt beider Erstellung von benutzerdefinier-ten Sites und bei der Integration vonDrittanbieteranwendungen einsetzen.

RessourcenIn der Commerce Server Architekturist eine Ressource eine Einheit, dieden Anwendungen einer CommerceServer-Site bestimmte Funktionenzur Verfügung stellt. Eine Ressourcebesteht aus einem oder mehrerenCOM-Objekten. Diese werden auf denWebseiten einer Anwendung für denZugriff auf diese Ressourcen-funktionen verwendet. Ressourcenschließen Eigenschaften ein, die inder Verwaltungsdatenbank gespei-chert werden. Mit dem Commerce

Server-Manager ist sowohl derZugriff auf diese Eigenschaftenals auch deren Änderung mög-lich. Sie können aber auch pro-grammatisch durch die Config-Objekte geändert werden.Es gibt zwei Typen: globaleRessourcen und Site-Ressour-cen. Drittanbieter können benut-zerdefinierte globale undSiteressourcen für die Arbeit mitCommerce Server entwickeln.

Globale RessourcenGlobale Ressourcen stehen al-len Sites zur Verfügung. DasCommerce Server-Setup erstellteinige von ihnen, andere wer-den beim Auspacken einer Sitemit Hilfe von Commerce ServerSite Packager erstellt (vgl. Tab.1). Im Commerce Server-Mana-ger werden unter dem Knoten

Globale Ressourcen nur solche mitglobalen Eigenschaften angezeigt.Jede Site, die globale Ressourcen ver-wendet, übernimmt damit auch dieEigenschaften, die diesen zugewie-sen sind

Site-RessourcenEine Ressource besitzt ihre Eigen-schaften entweder auf Site-Ebene oderauf globaler Ebene, nicht aber aufbeiden Ebenen zugleich. Die Site-Ressourcen statten eine Web-Site mitspezifischen Funktionen aus (vgl.

5 35 35 35 35 3

09 Ausgabe 09/2002

Tabelle 2

Tabelle 1Globale Ressourcen Beschreibung Installation durchDirect Mailer * Sendet Mailings an große Empfängergruppen. Commerce Server-SetupVorhersagedienst * erstellt komplexe Analysemodelle zum Identifizieren Commerce Server-Setup

von Benutzersegmenten und -trends.Datawarehouse Importiert und verwaltet Web-Site-Daten aus Site Packager

Protokolldateien, Commerce Server-Datenbankenund anderen Datenquellen.

Authentifizierung Konfiguriert die Identifizierungsmethode für die Site PackagerWeb-Site.

Profile Profildatenerstellung und Definition von Profilen Site Packagerund Eigenschaften.

* auch ein Windows 2000-Dienst

Tabelle 1 : Globale Ressourcen

Abb. 1: Commerce Server Architektur

Site-Ressource BeschreibungAnwendungs- Speichert Eigenschaften zur Konfiguration der Site, z.B. Gebietsschemata fürStandardkonfiguration Währung und Symbole, Rechnungs- und Zahlungsoptionen, Datenschutz

optionen, Maßeinheiten für Gewichtsangaben und Optionen zur Integration mitBizTalk Server.

Kampagnen Datenbankverbindung für Anzeigen, Preisnachlässe, Direktsendungen etc.Produktkatalog Datenbankverbindung für Katalogschemata und ProduktdatenTransaktionen Datenbankverbindung für Warenkorb- und AuftragsdatenTransaktionskonfiguration Datenbankverbindung für Lieferoptionen und Kostensätze, Steuersätze,

Bundesländer- und Regionalcodes sowie Bestellstatus

Tabelle 2: Siteressourcen

Tab. 2). Sie konfigurieren die Eigen-schaften auf der Site-Ebene. GlobaleRessourcenzeiger werden dabei sokonfiguriert, daß sie auf die globaleRessource, also auf die globale Ebe-ne zeigen. Im Commerce Server-Ma-nager werden die globalen und Site-spezifischen Ressourcen einer Web-Site angezeigt.

SitesEine Commerce Server Site bestehtaus mehreren ASP-basierten Anwen-dungen, die COM-Objekte (Compo-nent Object Model) einsetzen. Diesewiederum verwenden und modifizie-ren Ressourcen. Eine Site stellt einWerkzeug bereit, mit welchem ihreAnwendungen verwaltet werdenkönnen. In der Regel sind das min-destens zwei, eine Benutzeran-wendung, die den Online-Speicherdurchsucht und anzeigt, und eineAnwendung für den Business-manager, um auf das Business Desk

zuzugreifen. Eine Sitekann aber viele zusätzli-che Anwendungen ent-halten, die unter einemDomain-Namen verzwei-gen und über viele Ser-ver verteilt sind. Sie ver-wendet also dabei sowohldie von mehreren Sitesgenutzten globalen Res-sourcen als auch Site-Ressourcen, die speziellfür eine bestimmte Sitedefiniert wurden. Übereinen Site-Knoten imCommerce Server-Mana-ger können Sie eine Sitepacken sowie Ressourcenhinzufügen bzw. löschen.

AnwendungenEine Commerce Server2000-Anwendung isteine Web-Site. Als logi-sche Darstellung einer

Ausgabe 09/2002

5 45 45 45 45 4

09

P R

A X

I SpP R A X I S

Anwendung der Internet-Informati-onsdienste (IIS) 5.0 wird sie sowohlim Commerce Server-Manager alsauch in der ISS-Konsolenstruktur an-gezeigt. Auf der IIS-Konsole befindetsich eine Anwendung entweder aufder Ebene des Basis- oder des Unter-verzeichnisses der Web-Site. Eine An-wendung repräsentiert die Web-adresse, auf die ein Webclient zu-greift. Wenn Sie also eine Anwen-dung im Commerce Server hinzufü-gen, wird die Verwaltungsdatenbankmit den Konfigurationsdaten für die-se Anwendung aktualisiert. Wenn Sieeinen Webserver zur Anwendung hin-zufügen, werden ASP-Dateien (ActiveServer Pages) auf dem Computer in-stalliert. Beim Auspacken werden inder Regel zwei Anwendungen instal-liert, eine für die Web-Site, auf diedie Benutzer zur Suche und zum Kau-fen von Produkten zugreifen, undeine für das Business Desk zur Ver-waltung dieser Site. Eine Anwendungkann nur die Ressourcen der Site nut-zen, der sie zugeordnet ist. Zusätz-lich hat sie ihre eigenen Webserver.Diese liefern der ASP-Seite die Inhal-te für die Web-Site. Eine Anwendunghat immer mindestens einen Web-server, oft auch mehrere (Web-Server-farm). Sie können eine Site entwederim Stammverzeichnis einer IIS-Web-Site oder in einem virtuellen Ver-zeichnis in beliebiger Ebene unter-halb des Stammverzeichnisses ein-richten.

KonsolenAuf den IIS- und Commerce ServerManager-Konsolen können Sie ver-schiedene Funktionen nutzen. Überden Anwendungsknoten im IIS-Snap-In können Sie alle Eigenschaften ein-stellen, die auf der Ebene des virtuel-len Verzeichnisses verfügbar sind,einschließlich der Eigenschaften desvirtuellen Verzeichnisses, der Stan-darddokumente und der Verzeichnis-sicherheit, der HTTP-Kopfzeilen(Hypertext Transfer Protocol) und derbenutzerdefinierten Fehlerreaktio-nen. Sie können dort auch MicrosoftFrontPage-Server-Erweiterungenkonfigurieren und die Anwendungumbenennen oder löschen.

Über den Anwendungsknoten imCommerce Server-Manager könnenSie in der Anwendung den nicht si-cheren und den sicheren Host-Namensowie den ISS-Anwendungspfad ein-richten, HTTPS, Autocookie und ei-nen Authentifizierungsfilter aktivie-ren sowie die für alle Webserver gel-tende Einstellungen konfigurieren.

WebserverIn Microsoft Commerce Server ist einWebserver ein Computer, auf dem dieInternet-Informationsdienste (IIS) 5.0installiert sind. Um einen Webservereinzusetzen, müssen Commerce Ser-ver 2000 und IIS auf demselben Com-puter installiert sein. Wenn Sie ASP-Dateien zu einem Webserver hinzu-fügen möchten, verwenden SieCommerce Server Site Packager, umden Webserver zu entpacken. DasCommerce-Webserverobjekt wird zurAnwendung hinzugefügt, wenn derEntpackungsvorgang abgeschlossenist. Im Commerce Server-Managerwird ein Webserverobjekt unter derzugeordneten Anwendung angezeigt.Das Webserverobjekt enthält Eigen-schaften, die zum Importieren vonProtokolldateien benötigt werden.Über den Webserverknoten imCommerce Server-Manager könnendie folgenden Eigenschaften ange-zeigt und geändert werden, derServername als der Name des Com-puters, auf welchem IIS installiert ist,die IP-Adresse für die IIS-Web-Site der Anwendung, der Protokoll-dateipfad, auf dem die IIS-Web-Siteder Anwendung Ereignisse schreibensoll, z.B. C:\Winnt\System32\Log1, und die Protokolldatei-periode als diejenige Zeitdauer, dieeine Protokolldatei bestehen bleibt,bis sie von der IIS-Web-Site einer An-wendung überschrieben wird.

Verwaltung der Internet-Informati-onsdienste (IIS) 5.0 kümmern. Ob-wohl IIS im Hintergrund vonCommerce Server ausgeführt wird,besteht an sich kein strenges hierar-chisches Verhältnis zwischen IIS undCommerce Server-Objekten. Die Ge-samtheit der Eigenschaften, die sichauf die Commerce Server-Site aus-wirken, besteht aus jenen Eigenschaf-ten, die entweder nur auf IIS-Ebeneoder aber nur innerhalb CommerceServer – unabhängig von IIS – fest-gelegt werden, aber auch jenen, dievon IIS übernommen werden. Mit-hilfe des IIS-Snap-Ins lassen sich Zu-griffsberechtigungen für die Web-Site, Sicherheit, Performance, Ver-zeichnisse und Pfade, Web-Site-Iden-tifizierung, IP-Adressen und Portsverwalten.

AdministrationDen Commerce Server-Manager - wirsagten es - verwenden Sie für das Ver-walten globaler Ressourcen undCommerce Server-Site-Ressourcen,zum Konfigurieren von Commerce-Server-spezifischen Eigenschaften,zum Konfigurieren von Datenbank-Verbindungszeichenfolgen für Res-sourcen sowie zum Hinzufügen vonWebservern zu einer Anwendung bzw.zum Entfernen. Auf der Anwendungs-ebene von Commerce Server könnenSie den IIS-Anwendungspfad, die IIS-Web-Site, nicht sichere und sichereHost-Namen, den IP- und den siche-ren IP-Anschluß bestimmen. Außer-dem können Sie Eigenschaftenkonfigurieren, um HTTPS undAutocookie zu aktivieren sowie umeinen Authentifizierungsfilter auszu-wählen. Diese Eigenschaften lassensich auf alle Webserver anwenden, dievon der Anwendung eingesetzt wer-den. Wenn Sie Porteigenschaften inCommerce Server ändern, so werdendiese nicht automatisch oder gleich-zeitig auch in IIS geändert. Die fol-genden Porteigenschaften werdenaber tatsächlich von ISS verwendet.Auf Anwendungsebene sind es derTCP- und SSL-Anschluß, auf jedemWebserver die IP-Adresse, derProtokolldateipfad und die Protokoll-dateiperiode. Und wenn Sie umge-

Commerce Serverund IIS

Systemadministratoren, die für dietägliche Verwaltung von CommerceServer 2000 verantwortlich sind,müssen sich in der Regel auch um die

5 55 55 55 55 5

09 Ausgabe 09/2002

kehrt die Porteigenschaften in IIS än-dern, müssen Sie diese auch inCommerce Server ändern.

EigenschaftenWebserver-Eigenschaften werden ausIIS übernommen und in derVerwaltungsdatenbank gespeichert,wodurch der Zugriff erleichtert wird.Wenn die IIS-Eigenschaften geändert

werden, müs-sen Sie dieVerwaltungsda-tenbank syn-chronisieren.Entweder ak-tualisieren Siedie Werte ma-nuell, oder Sieklicken imDialogfeld An-wendungsei-genschaftender Register-karte Web-server aufdie Schalt-fläche Wertesynchroni-

sieren . Daraufhin gleichtCommerce Server die Eigenschaftenauf der Anwendungsebene und die al-ler Webserverobjekte unterhalb derAnwendungsebene ab.Bei der Synchronisierung des TCP-und SSL-Anschlusses auf der Anwen-dungsebene bezieht Commerce Ser-ver sich auf die Werte des erstenWebservers. Er geht davon aus, daßdie Webserver alle identisch konfi-

Abb. 2: Objekte bei IIS und Commerce Server Konsole

guriert sind, was für die korrekte Funk-tion einer Webfarm auch der Fall seinmuß. Auf der darunterliegenden Ebe-ne des Webservers können Eigen-schaften für die IP-Adresse, denProtokolldateipfad und dieProtokolldateiperiode angezeigt undgeändert werden. In Abbildung 2 sinddie Objekte auf den IIS- undCommerce Server-Manager-Kon-solenstrukturen sowie die Beziehun-gen zwischen diesen Objekten zu se-hen.

Beim nächsten Mal geht es um dasBusiness Desk, das zum Konfigu-rieren, Verwalten und Analysierenvon Sites einsetzt wird. Damit lassensich u.a. Preisinformationen in Ka-talogen aktualisieren, neue Aktionenzielgruppengerichtet präsentierenund die Produktivität der Site mes-sen. Denn es geht darum, die Busi-ness Transaktionen zu optimieren.Businessmanager nutzen das Busi-ness Desk, um Inhalte zielgerichtet anKunden und Partner zu liefern, umBenutzer- und Organisationsprofilezu erstellen, oder um die Site-Verwen-dung zu optimieren.

Netzwerkseminare: Highlights im September/Oktober 2002

Das aktuelle Trainings-Programm finden Sieunter www.training.compu-shack.com, persön-liche Beratung unter: 02631-983-317 oder pere-Mail an training@compu-shack.com.

Alle genannten Preise geltenzuzüglich der gesetzlichenMehrwertsteuer.

Kursbezeichnung Kurs-Nr. Termin Veranstaltungsort PreisNetWare 5 to NetWare 6 Upgrade NV 3000 16.09.-20.09.2002 Potsdam 1.850,-€

23.09.-27.09.2002 Neuwied

NetWare 4 to NetWare 6 CNE Upgrade Prerequisite NV 3002 12.09.-13.09.2002 München 790,-€25.09.-26.09.2002 Neuwied30.09.-01.10.2002 Potsdam21.10.-22.10.2002 Neuwied28.10.-29.10.2002 München

ZENworks Update NV 781a 02.09.-06.09.2002 Neuwied 1.190,-€

Implementing Microsoft Share Point Portal Server 2001 MS 2095 04.09.-06.09.2002 Neuwied 1.190,-€30.09.-02.10.2002 München

Managing a Microsoft Win 2000 Network Environment MS 2126 09.09.-13.09.2002 Neuwied 1.850,-€09.09.-13.09.2002 Potsdam

Introduction to XML and the Microsoft .NET Platform MS 2500 30.09.-01.10.2002 Neuwied 790,-€30.10-31.10.2002 München

Cisco Secure PIX Firewall Adanced Cis PFA 03.09.-06.09.2002 Neuwied 2.040,-€Cisco Secure Virtual Private Network Cis VPN 24.09.-27.09.2002 München 2.040,-€

Ausgabe 09/2002

5 65 65 65 65 6

09

A

P R

A X

I SpP R A X I S

Aufbauend auf einer innovativen Ar-chitektur einer verteilten Verarbei-tung arbeitet der Alteon CACHE-director mit zwei leistungsstarkenRISC-Prozessoren an jedem der acht10/100 Mbps-Ports. Mit Höchstge-schwindigkeiten schaltet er dieSessions, wovon bis zu 200.000 beimehreren Caches pro Sekunde last-verteilt werden können.

Redirektion PoliciesMit Policy-gestützter Anwendungs-redirektion und LB-Funktionen kön-nen Netzwerkadministratoren lei-stungsstarke Filterregeln verwenden,um den Datenverkehr an beliebigeGeräte abzufangen und an eine Grup-pe gleichartiger Vorrichtungen wei-terzuleiten. Bis zu 224 Filter könnenje nach Quell- und Ziel-IP-Adresse,Protokoll und L4-Quell- und Ziel-Portnummer konfiguriert werden. Ei-nige oder alle Filter können dyna-misch auf jeden Switch-Port ange-wandt werden, um Pakete weiterzu-leiten, fallenzulassen oder umzulei-ten. Zum ersten Mal können Benut-zer die Vorteile der Skalierung undResiliency den Inline-Paketverarbei-tungsgeräten hinzufügen. Mit derAnwendungsredirektion können zumBeispiel transparente Caches verwen-det werden, so daß die Reaktionszeitfür den Internet-Zugriff verkürzt unddie WAN-Bandbreite ohne Belegungvon Cache-Speicher reduziert wird.

LB-AlgorithmenBei der Verwendung von mehrerenCaches verteilt der CACHEdirector

unter ihnen transparent den gesam-ten Anwendungsdatenverkehr undermöglicht dem Benutzer je nachDatenverkehrsanforderungen dieSkalierung jeder Cache-Kapazität.Dadurch werden die anfänglichenGerätekosten reduziert, die schnellenReaktionszeiten bei steigendem Ge-brauch jedoch aufrecht erhalten.Systemadministratoren können diegeeignete Lastverteilungsmethodeselbst wählen, d.h. Round Robin, dieMethode der wenigsten Verbindun-gen (Least Connections), Hashingoder minimale Fehler. Den Cacheskönnen zur Vorbeugung gegen Über-lastung maximale Verbindungs-schwellen zugewiesen werden. Fälltdie Auswahl auf Round-Robin oderden Least Connections-Algorithmuskönnen ihnen auch Gewichtungs-faktoren zugewiesen werden, damitmehr Verbindungsanforderungen anleistungsstarke Caches geleitet wer-den können. Jeder Cache kann alsBackup- oder Overflow-Cache fürandere Caches festgelegt werden,wodurch die höchste Verfügbarkeitder Anwendung weiter gesichert wird.Außerdem unterstützt der CACHE-director ein API, mit dem der Benut-zer individuelle Skripts erstellenkann, die dann auf Caches laufen unddie Lastverteilung auf demCACHEdirector regeln.

HochverfügbarkeitAls Netzwerk-Switch ist derCACHEdirector resistent gegen dietopologischen Grenzen von Cache-Umleitungssystemen mit zwei Ports.Er unterstützt inhärent voll vernetzte

Topologien und eliminiert allesystemweiten Single Points ofFailure. Mit Hot-Standby-Unterstüt-zung schützt er Anwendungen gegenAusfälle eines Cache-Links, Switch-Ports oder Switches, mit Erfassungund Failover in weniger als einer Se-kunde. Der CACHEdirector über-wacht kontinuierlich die Verfügbar-keit von Cache, Anwendung und In-halt, umgeht funktionsunfähige Ca-ches bei der Verteilung neuer Sessionsund nimmt diese automatisch beiWiederherstellung der uneinge-schränkten Funktionsweise wiederauf. Intelligente Anwendungs-funktionsprüfungen gewährleistendie Integrität des gesamten Daten-pfads, einschließlich Inhaltsabruf, fürDienste wie HTTP, NNTP, FTP undDNS.

Adaptives ManagementAlle Funktionen des CACHEdirectorkönnen über Web-Browser, SNMP-Managementanwendung oder überein Befehlszeilen-Interface verwaltetund konfiguriert werden. Sie sindüber Fernzugriff, serielle oder Telnet-Verbindungen mit umfassendemKennwortschutz erreichbar. DerCACHEdirector unterstützt auch pri-vate MIB. Verbesserte Cache-Leistun-gen entstehen durch die Entlastungder Netzwerkfunktionen. DerCACHEdirector setzt CPU-Zyklen aufdem Cache-Server für Web-Seitenfrei, indem er dem Cache-Server diePaketprüffunktion, die Übersetzungder Netzwerkadresse und dieRouting-Funktionen abnimmt. Mitindividueller Hardware für NAT und

NORTEL NETWORKS

Secure Web SwitchingAlteon CACHEdirector

Der Alteon CACHEdirector bietet ein preisgünstiges Anfangskonzept zum L4+-Switching. Es richtet sich an Benutzermit vorgeschriebener Web-Cache-Redirektion oder anderen Arten der Anwendungsumleitung und beinhaltet einleistungsstarkes Ethernet-Switching.

5 75 75 75 75 7

09 Ausgabe 09/2002

Routing wird die Cache-Leistungverbessert. Die Entfernung dieserFunktionen aus dem Cache bedeutet,daß der Cache nicht für die Überset-zung der Netzwerkadresse oder für dieRouting-Funktionen konfiguriertwerden muß. Dadurch werden dieVerfügbarkeit, Leistung und Skalier-barkeit von Cache-Servern verbessert,aber auch Einsatz- und Verwaltungs-probleme des Web-Caching gelöst.Der CACHEdirector fängt die einge-henden Pakete ab und leitet den Da-tenverkehr je nach Paketinforma-tionen intelligent um. Auf diese Wei-se übernimmt er einige der Paket-verarbeitungsaktivitäten oder elimi-niert sie ganz.

TrefferquoteZur Identifizierung des Web-Daten-verkehrs, der zum Cache umgeleitetwerden soll, nimmt der CACHE-director insbesondere die Prüfung al-ler Pakete vor wie auch die Weiterlei-tung von nicht webspezifischemTraffic. Er übersetzt die Netzwerk-adresse für den zum Cache umzulei-tenden Datenverkehr und leitet denjeweiligen Web-Verkehr zum Cacheweiter. Da der Switch die Routing-Funktionen übernimmt, wird der

Erhöhte Performance

Contivity 1700 und 2700 verfügbarNortel Networks hat die Verfügbarkeit der Contivity Switches 1700 und2700 bekanntgegeben. Beide Plattformen bieten eine erhöhte Performanceund Anzahl an VPN-Tunneln für kleine bis mittlere Unternehmen und grö-ßere Niederlassungen, und das zum selben Preis wie die vormaligenGeräte. Der Contivity 1700 und der 2700 können seit August bestellt wer-den. Die Contivity Modelle 1600 and 2600 sollen während des viertenQuartals auslaufen, sollen darüber hinaus aber weiterhin supported wer-den.

Plattform VergleichContivity -Modell 1600 1700 2600 2700Tunnel 200 500 1000 20003DES Soft/ 22/90 Mbps 40/100 Mbps * 33/112 Mbps 67/116 MbpsHardwareFirewall 197 Mbps ** 197 Mbps ** 308 Mbps 316 MbpsProcessor 400 MHz 850 MHz 733 Mhz 1.33 MHzBus speed 100 MHz 133 MHz 100 MHz 133 MHz

* 3DES Hardware Durchsatz für die 1700 ist zwar noch nicht ausgetestet, abererwartungsgemäß bei 100 Mbps.**Theoretisches Maximum

ProduktinformationUnterstützte Standards- Spanning Tree (IEEE 802.1d)- Logical Link Control (IEEE 802.2)- Flußkontrolle (IEEE 802.3x)- SNMP (MIB-II, Ethernet, Bridge),- IP, RIPv1, TFTP (RFC 783)- BootP (RFC 1542, RFC 951)- TFTP (RFC 783)- Telnet (RFC 854)

10BASE-T/100BASE-TX Ports- 10/100 Voll- oder Halbduplex- Autonegotiation- RJ-45-Anschlüsse für UTP-Ports

COMPU-SHACK

Alteon ServiceAls zertifizierter Nortel Alteon Partner stelltCompu-Shack das komplette Dienstleistungs-angebot für Alteon Lösungen zur Verfügung.Mit dem Know-how ihrer zertifizierten AlteonSpezialisten ist die Compu-Shack Solution inder Lage, die Optimierungsanforderungen mo-derner Netzwerke zielgenau und lösungs-orientiert abzudecken, vom Consulting bis zurImplementation und dem nachfolgendem tech-nischen Support.

Projekt Team02631-983-345projekte@compu-shack.com

OptimierungFür Kunden, die sich nicht sicher sind, welchesOptimierungspotential in ihrer Netzwerk-umgebung steckt, bietet das Projekt-Team einedezidierte Analyse der Systemumgebung. In Work-shops vor Ort können gezielte Lösungen zurSteigerung der Profitabilität erarbeitet werden.Die Alteon Spezialisten der Compu-Shack Solu-tion wappnen das Netzwerk für die E-Business-Anforderungen der Zukunft.

Support Team02631-983-988support@compu-shack.com

Eine Broschüre zuden Alteon Dienst-leistungen könnenSie kostenlos anfor-dern, auf der Bestell-karte in der Heftmit-te oder im Compu-Shack Fachhandels-portal unter

http://portal.compu-shack.com.

Router an dieser Stelle im Netz über-flüssig. Das Hinzufügen von Funk-tionen einer Web-Cache-Redirektionbei einer transparenten Proxy-Cache-Lösung eliminiert die Nachteile trans-parenter Proxies und verbessert dieLeistung. Der CACHEdirector kannAnforderungen von einem Client auf-nehmen und diese intelligent aufmehrere Server verteilen. Dadurchwerden Anforderungen nach Inhaltzum Cache-Server umgeleitet, wo derInhalt gespeichert wird. Die Cache-Trefferquoten werden gesteigert undder WAN-Verkehr und Benutzer-reaktionszeiten reduziert.

Ausgabe 09/2002

5 85 85 85 85 8

09

I

V O

R S

C H

A U

vV O R S C H A U

WORKSHOPS - ROADSHOWS - SEMINARE

I

Aber sicher: VPNAVM Remote Access

Innovativen Sicherheits-Technologien wie Virtual Pri-vate Networks gehört die Zukunft. Um den Fachhan-del bei der Beratung und bei Projekten zu unterstüt-zen, laden Compu-Shack und AVM am 19. Septemberzum Workshop Remote Access über VPN ein. Er ver-mittelt grundlegende Kenntnisse über die Installationund Administration eines VPNs. In einer Live-Demonstration von Remote Access überVPN erfahren die Fachhandelspartner, wie leicht eineVPN-Lösung mit den Produkten von AVM umsetzbarist. Als Fortsetzung der August-Veranstaltung zu ISDNund GSM behandelt dieser zweite Workshop die nöti-gen Grundlagen, die VPN-Anbindung von PCs undden mobilen Zugriff über VPN sowie AVM Access Ser-ver und NetWAYS/ISDN mit IPSec.Auskunft erteilt Frau Sita Jenny Finnendahl beiCompu-Shack unter der Telefonnummer02631/ 983- 295.

ZukunftsmarktWatchguard Security

Die Nachfrage nach Security Dienstleistungen, welche sich über die verschiedenen Segmente wie VPN und Firewallingerstrecken, steigt unablässig. Ein Vertriebsworkshop von Watchguard und Compu-Shack nennt Fakten und Faktorender unternehmensweiten Netzwerk-Sicherheit.

In halbtägigen Workshops vermittelnWatchguard und Compu-Shackeinen Überblick über aktuelleTrends und Entwicklungen imBereich Netzwerk-Sicherheit.Gezeigt werden u.a. erfolgver-sprechende Konzepte am Bei-spiel der Watchguard Security-Lösungen. Thema der Veranstaltungsind die unverzichtbaren Aspekte derUnternehmensicherheit sowie ange-paßte Lösungen für individuelleKundenanforderungen.Einen mehrschichtigen Ansatz bietendie WatchGuard Lösungen FireboxIII und Firebox Vclass mit ihrem Live

Security Service sowie dieWatchGuard Server und DesktopSecurity. Praxisnahe Live Demonstra-tionen legen die Chancen und Her-ausforderungen für Consulting, Ser-vice und Support offen.

Die kostenlosen Work-shops dauern von 14:00bis 18:00 Uhr, und zwaram 23. September inNeuwied und am 25. Sep-tember in München. DieTeilnehmerzahl ist be-

grenzt. Das Compu-ShackWatchguard Team steht bei Fragen

für Detailinformationen unter derNummer 02631/983-457 oder per E-Mail an pm-watchguard@compu-shack.com zur Verfügung.

Anmeldungen können online unter:www.portal.compu-shack.com in derRubrik Workshops erfolgen.

M

Live HackingSecurity Learning Cycle

Mit ihren er-folgreichenLive HackingSessions kom-men die Secu-rity-Expertender Compu-Shack Soluti-on am 8. Ok-tober nachLeipzig und am 10. Oktober nach Dortmund. EineOnline Anmeldung für die Live Hacking Sessions fin-den Sie unter www.compu-shack.com. Interessen-ten, die an projekte@compu-shack.com schrei-ben, können sich vormerken lassen. Fragen zum akti-ven Schutz gegen Hacker-Attacken beantwortet dasProjekt-Team der Compu-Shack Solution unter 02631-983-345.

5 95 95 95 95 9

09 Ausgabe 09/2002

MESSEN, ROADSHOWS, SEMINARE

N 10No 10/2002

Thema des Monats Oktober

NETWORK SECURITY

Virtual Private Networks sind gegenwärtig in allerMunde, wenn es darum geht, für kostengünstigeKommunikationsverbindungen gesicherte Tunnelaufzubauen und Geschäfte darüber abzuwickeln. Inder allgemeinen Diskussion reduziert sich der Be-griff VPN auf IP-basierende VPN. Wir werden unsaus daher mit den Grundlagen eines IP-VPN be-schäftigen, um dem Leser zu helfen, die Technologi-en besser zu beurteilen. Uns geht es dabei jedochnicht allein um IPsec, sondern auch um die herstelle-rübergreifende Interoperabilität. Denn IP-VPN läßtsich nicht auf die scheinbar günstigere Ablösung ei-

Secure Web Switching, Teil 4:Alteon ACEdirector Web Switch

Do it Dot NET, Teil 7:Microsoft Commerce ServerBusiness Desk

. NET Server Family, Teil 2:DNS und Active Directory

ner teueren Standleitung beschränken. VirtuelleGeschäftsvorgänge mit wechselnden, teils internatio-nalen Partnerschaften oder die Anforderungen dermobilen Anwender schaffen laufend veränderte Be-dingungen. Wir werden zunächst zeigen, welche Pa-rameter für eine sichere VPN-Verbindung wichtig undherstellerunabhängig realisierbar sind. Wir werdenmit IPsec und seinen Verschlüsselungstechnologienüber Abwehrmechnismen gegen potentielle Bedro-hungen sprechen. Denn die Daten sind im netzwerk-übergreifenden Austausch vielfälltigen Risiken aus-gesetzt. Um die Flexibilität der VPN-Lösung zu wah-ren, muß aber auch auf die herstellerübergreifendeKompatibiltät gesetzt werden können. Denn obwohlsich die Hersteller an die Standards halten, kann eszu Verbindungsproblemen kommen, und unter Um-ständen können IPsec-Verbindungen nicht aufgebautwerden. Daher wurde im Compu-Shack Labor dieInteroperabiltät zwischen Geräten der HerstellerBintec, Cisco und Watchguard getestet. In einem An-schlußbeitrag werden wir von unseren Ergebnissenberichten und IP-VPN auch praktisch umsetzen.

Tunnelbau mit IPsecInteroperabilität mit IP-VPN

Von Detlev Reimann

12.09.2002 CS Security Learning Cycle: Live Hacking Session Dortmund17.-20.09.02 Compu-Shack Production: Wireless Tour 2002 Nord- und Ostdeutschland18.09.2002 CS Security Learning Cycle: AVAYA Wireless Neuwied19.09.2002 Compu-Shack und AVM: Remote Access über VPN Potsdam20.09.2002 CS Security Learning Cycle: AVAYA Wireless Potsdam23.-27.09.02 Compu-Shack Production: Wireless Tour 2002 West- und Süddeutschland23.09.2002 Compu-Shack und Watchguard: Security Workshop Neuwied24.09.2002 CS Security Learning Cycle: AVAYA Wireless München25.09.2002 Compu-Shack und Watchguard: Security Workshop München04.-06.09.02 Linux Kongress Köln08.10.2002 CS Security Learning Cycle: Live Hacking Session Leipzig12.10.2002 CS Security Learning Cycle: Live Hacking Session München14.-18.10.2002 Systems 2002 München19.-21.11.2002 exponet Cologne 2002 Köln

10.09.2002 CS Security Learning Cycle: Live Hacking Session Dortmund17.-20.09.02 Compu-Shack Production: Wireless Tour 2002 Nord- und Ostdeutschland18.09.2002 CS Security Learning Cycle: AVAYA Wireless Neuwied19.09.2002 Compu-Shack und AVM: Remote Access über VPN Potsdam20.09.2002 CS Security Learning Cycle: AVAYA Wireless Potsdam23.-27.09.02 Compu-Shack Production: Wireless Tour 2002 West- und Süddeutschland23.09.2002 Compu-Shack und Watchguard: Security Workshop Neuwied24.09.2002 CS Security Learning Cycle: AVAYA Wireless München25.09.2002 Compu-Shack und Watchguard: Security Workshop München04.-06.09.02 Linux Kongress Köln08.10.2002 CS Security Learning Cycle: Live Hacking Session Leipzig14.-18.10.2002 Systems 2002 München19.-21.11.2002 exponet Cologne 2002 Köln

Aktuelle Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Im Compu-ShackFachhandelsportal unter http://portal.compu-shack.com finden Sie zudem alle verfügbaren Compu-ShackKataloge, Printmedien und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services, u.a.zu Nortel Alteon oder Networking Security. Interessante Downloads der Compu-Shack Solution befinden sich unter:www.training.compu-shack.com. im Bereich Downloads.

Ausgewählte Termine

Ausgabe 09/2002

6 06 06 06 06 0

09