![[Foto: Compartment-Schränke]](46-2.jpg)
Für Rechneransammlungen, die differenzierte Zugriffskontrolle erfordern, gibt es unterteilte Schränke mit unabhängigen Zugangsberechtigungen.
Vor dem vermehrten Einsatz dezentraler EDV-Systeme waren in größeren Unternehmen Rechenzentren und Schutzräume zur Installation der Server, Patch-Panels, Hubs und Router vorgesehen. Dort konnte man diese aktiven und passiven Komponenten meist ungeschützt freistehend oder in Racks aufbauen. Ein Grundschutz durch Klimatisierung und Zugriffsschutz war ebenfalls gegeben. Mit dem Vordringen moderner IT- und Telekommunikations-Systeme kommen diese aber auch zunehmend in ungeschützten Räumen zum Einsatz. Dann sind Schranksysteme zur Aufnahme der Geräte sowie zu ihrer Überwachung unabdingbar.
Moderne IT-Schranksysteme schützen die Einbauten, deren Wert schnell in die zigtausend Mark gehen kann, nicht nur gegen unbefugte Eingriffe, sie enthalten darüber hinaus etliche Sensoren für die unterschiedlichsten Umgebungsbedingungen. Elektronische Überwachungssysteme wie beispielsweise das CMC (Computer Multi Control) von Rittal protokollieren diese Parameter und lösen Alarme aus, wenn bestimmte Sollwertvorgaben nicht mehr eingehalten werden.
An erster Stelle steht bei den Anforderungen der Anwender dabei die Temperaturüberwachung, da elektronische Systeme sehr empfindlich auf Überhitzung reagieren. Auf Platz Zwei liegt die Zugangssteuerung, die ebenfalls elektronisch via Ethernet möglich ist. Danach und mit größerem Abstand folgen – je nach Aufstellort – Rauch-, Wasser- und Erschütterungssensoren sowie die Möglichkeit zur Verbindung der Überwachungseinrichtung mit den Schnittstellen anderer Geräte, die selbst Alarme auslösen, wie beispielsweise unterbrechungsfreie Stromversorgungen (USV).
Die Kontrollsysteme übertragen alle Ist-Werte (Temperatur, Luftfeuchte, Spannung usw.), Sollwerte und Statusinformationen via serieller Schnittstelle, Telnet oder SNMP (Simple Network Management Protocol) an entsprechend ausgerüstete Management-Konsolen, wo sich diese Informationen über standardisierte Management-Systeme auswerten lassen. Diese lösen im Fehlerfall automatisch Alarm beim Administrationspersonal aus, etwa auf der Konsole oder in Form von SMS oder E-Mail an Administratoren, die sich nicht vor Ort befinden.
Besonders Unternehmen mit verteilten Standorten schätzen diese Möglichkeit. Die Zunahme dezentraler Arbeitsgruppen macht eine zentrale Systemadministration erforderlich, um einheitliche Strukturen und Abläufe sicherzustellen. Dabei spielt die Zugangskontrolle eine wichtige Rolle: Auf Wunsch lassen sich die Schränke in einer Niederlassung nur öffnen, wenn der verantwortliche Systemmanager über das Netzwerk die Genehmigung (und entsprechende Anweisungen) erteilt hat. So werden unbefugte Manipulationen sicher verhindert. Durch diese entfernte Überwachung jedes Schrankes können die Unternehmen massiv Kosten sparen, denn der Überwachungsaufwand steht im Vergleich zum Wert des Schrankinhalts im Verhältnis 1 : 50.
In Umgebungen, die viele verschiedene Berechtigungen erfordern, sollte man Schränke einsetzen, bei denen sich getrennte Innenraumabteile voneinander unabhängig mit Zugangsberechtigungen versehen lassen, sodass sich beispielsweise die Rechnersysteme verschiedener Abteilungen separieren lassen oder bei einem Internet-Service-Provider (ISP) ein Kunde nur das Fach mit seinem eigenen Server öffnen kann; auch die Verkabelung für Strom und Netzwerk ist dabei gegen fremden Zugriff geschützt. Der Zugang zu jedem Schrankteil ist nur dem jeweiligen Berechtigten und der zentralen Administration mit einem Generalschlüssel möglich. Mit der Kontrolleinheit hat man zudem die Möglichkeit über SNMP-Fernsteuerung einzelne Türen freizugeben.
Für Rechneransammlungen, die differenzierte
Zugriffskontrolle erfordern, gibt es unterteilte Schränke mit
unabhängigen Zugangsberechtigungen.
Der Trend bei Rack-Mounted-Servern geht immer mehr zum Gehäuse mit nur einer Höheneinheit (1HE), sodass ein Schrank leicht eine kleine Server-Farm aufnehmen kann. Damit steigt auch der Administrationsaufwand "pro Quadratmeter" Stellfläche enorm. Um aus Platz- und Kostengründen bei Wartungsarbeiten nicht für jeden Server eine eigene Tastatur und einen eigenen Monitor einsetzen zu müssen, bieten Monitor/Server-Switches eine Lösung an, mit der sich Administratoren vor Ort von einer einzigen Konsole in bis zu 200 Metern Entfernung mit jedem System verbinden können. Zwar ist dies prinzipiell auch per Fernzugriff über das Netzwerk möglich, aber im "worst case" beim Ausfall des Netzwerks ist zur Konfiguration der Systeme ein unmittelbarer Zugriff auf die Server nötig. Manche Geräte wie der Rittal Server Switch Control SSC lassen sich direkt per On-Screen-Display (OSD) konfigurieren.
Im Systemverbund ergeben sich weitere Möglichkeiten: Die Verbindung von Monitor-Switch SSC und der CMC-Überwachungseinheit bietet beispielsweise zusätzliche Funktionen, die den Netzwerkbetrieb in größeren Unternehmen weiter vereinfachen und absichern können. Die beiden Geräte können über eine serielle Leitung kommunizieren. So kann der Administrator bei der Erstinbetriebnahme die Netzwerkparameter des CMC wie IP-Adresse und Subnetmask sowie Gerätenamen über das On-Screen-Menü des Monitor-Switch einstellen. Die lästige Konfiguration mittels eines Laptops an der seriellen Schnittstelle entfällt damit.
Die zusätzliche Verbindung hilft aber auch im laufenden Systembetrieb: Neben einer zentralen Information über alle Umgebungsbedingungen der Netzwerkschränke führt das System auch Buch darüber, welcher Mitarbeiter wann über die Server-Switches an den Servern bestimmte Vorgänge angestoßen hat. Das Überwachungssystem verschickt hierzu Alarmmeldungen als SNMP-Trap. Auf diese Weise erhält die zentrale IT-System-Administration Reports über verschiedene Aktionen, die von einem Administrator vor Ort an den Servern vorgenommen worden sind – also eine Art "Administration der Administratoren". Dabei werden aus Datenschutzgründen keine Anwenderdaten, sondern nur Vorgänge hoher Priorität wie Softboot, Aktivierung und Deaktivierung von Rechnern sowie Änderungen an der Konfiguration der Server-Switches protokolliert. Das System ergänzt diese Meldungen mit Uhrzeit, User-Name, Rechner-ID, Konsolennummer und einer kurzen Beschreibung.
![[Foto: bestückter Rittal Schrank]](46-1a.jpg)
Die Kombination von Schranküberwachungssystem und
Server/Monitor-Switch ermöglicht umfassende
Fernüberwachung auch gegenüber Zugriffen durch lokale
Bediener.![[Foto: Rittal SSC]](46-1b.jpg)
Auch Eingriffe an den Servern in entfernten Standorten oder abgelegenen Räumen sind damit für das zentrale Systemmanagement unmittelbar ersichtlich. Die Möglichkeit, dass es im Störfall "wieder einmal keiner gewesen sein will", scheidet aus und der Systembetrieb erfährt eine Sicherheitssteigerung, die häufig in einer erhöhten Systemverfügbarkeit münden dürfte. Wenn die Server-Switches und Überwachungssysteme wie im Falle der Rittal-Systeme vom Netzwerk unabhängig sind und lokal über eine zusätzliche Verkabelung kommunizieren, entsteht ein zusätzliches Sicherheitsplus, weil alle überwachten Parameter am Server-Switch über das lokale OSD auch bei Netzwerkausfall abrufbar bleiben.
Die Zukunft der genannten Systeme geht noch einen Schritt weiter: Mit einem eigenen kleinen Web-Server in der Überwachungseinheit für Netzwerkschränke wird die Administration der systemrelevanten Umgebungsbedingungen und Zugriffskontrollen auch über das Web möglich. Bei bekannter IP-Adresse der Geräte können Systemadministratoren die Daten an jedem beliebigen Ort mit Standard-Browsern abfragen.
Die Synergieeffekte durch die einfache Verknüpfung von zwei Systemen – Schranküberwachung und Server-Switch – eröffnen eine gesteigerte Systemsicherheit auch für verzweigte Unternehmen und große Server-Farmen. Alle relevanten Umgebungsbedingungen der aktiven und passiven Systeme sind stets abrufbar, eine Vielzahl von Servern wird über eine einzige Konsole auch bei Netzwerkausfall konfiguriert und ein Protokoll erfasst alle manuellen Eingriffe.
Dipl. Ing. (FH) Sven M. Laurösch und Dipl. Ing. (FH) Jörg Kreiling sind für den Bereich IT-Controlling bei der Firma Rittal in Herborn verantwortlich.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2/2001, Seite 46
