märz 2002c. allendörfer - zdv universität mainz integration mobiler endgeräte in die...
TRANSCRIPT
März 2002 C. Allendörfer - ZDV Universität Mainz
Integration mobiler Endgeräte in die IT-Infrastruktur an Hochschulen
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 2
Übersicht
Geräteklassen
Anforderungen an mobiles Arbeiten
Notwendige Infrastruktur zur Realisierung der Anforderungen
Überlegungen zu den einzelnen Geräten
Ausblick
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 3
Geräteklassen
Notebooks
Organizer (Pocket PC, Palm)
Mobiltelefon
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 4
Anforderungen an mobiles Arbeiten Mobiler Zugriff auf alle notwendigen Daten und
Anwendungen
– Persönliche und gemeinsam genutzte Dateien
– PIM Daten (Kalender, Adressbuch, E-Mail)
Zugriff auf Enterprise Software von mobilen Endgeräten
– z.B. Zugriff auf Informationen in Datenbanken, Systemmanagementsoftware, Inventory und Helpdesk
Bereitstellung von Spezialsoftware zur Datenerfassung im wissenschaftlichem Umfeld
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 5
Nachfrage nach Exchange
Starke Nachfrage nach weitergehenden Organisationsmöglichkeiten in der Universität
– Kalender / Aufgabenverwaltung neben der normalen E-Mail
– Vergabe von Rechten innerhalb von Mailboxen
– personenunabhängige Mailboxen für Veranstaltungen
– Zugriff von Sekretärin/Assistenten auf Mailbox/Kalender eines Professors
– Teilweise wird in diesen Bereichen schon Outlook mit der eingeschränkten Funktionalität als POP-Klient genutzt
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 6
Exchange 2000 Einführung
Trennung des Mailsystems für Studierende von dem der Mitarbeiterinnen und Mitarbeiter
Einführung von Exchange 2000 zwischen Weihnachten und Neujahr 2002 für alle MitarbeiterInnen (ca. 6000)
– „Günstige“ Vereinbarung mit Microsoft abgeschlossen, Case Study folgt
– Vereinbarung unterliegt NDA
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 7
Exchange 2000 FE-BE Topologie
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 8
Exchange 2000 Setup
Frontend-Backend Setup
– Backend: Cluster aus 2*PIII 1.3GHz mit Storage im SAN
– Frontend: 2*Pentium II 400 MHz
Mailgateways (Solaris) als Eingangsfilter (SPAM und Viren) bleiben im Einsatz
WWW-Zugriff über IMP und Outlook-Web-Access
keine Erfahrungswerte für Hardwareplanung in Universitäten verfügbar
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 9
Exchange 2000 Setup
Frontend Server wickeln WWW-Zugriff und SSL Verschlüsselung ab und relayen POP3 und IMAP4 Kommandos an den passenden Backend-Server
MAPI Klienten (Outlook) kontaktieren direkt den Backend-Server
Alle Dienste werden unter mail.uni-mainz.de angeboten und über L4-Switch auf die Frondend-Server, Mailgateways und WWW-Server verteilt
– POP3, SSL-POP3 -> Exchange1 und Exchange2
– IMAP4, SSL-IMAP4 -> Exchange1 und Exchange2
– HTTP, HTTPS -> WWW1, WWW2, WWW3 (Linux)
– SMTP -> mailgate1, mailgate2, mailgate3
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 10
Exchange 2000 Probleme
Aufgetretene Probleme:
– Stabilitätsprobleme in Zusammenhang mit Virenscanner (McAfee) auf Backend Servern
– Memoryleak auf Frontend-Servern
– 100% CPU bei „falsch“ formatierter Mail
– Backup mit TSM Exchange Modul instabil
Offene Punkte:
– Full-Text-Index noch nicht konfiguriert
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 11
DEMO – Serversetup
Grundlagen
– Windows 2000 Domäne als zentrale Benutzerverwaltung
– Zentraler Mailserver mit PIM-Funktionalität
Account für Benutzer „aksys“ mit Passwort „aksys“ im Active Directory anlegen
– dabei Mailzugriff für Benutzer aktivieren
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 12
Anforderungen
Wireless LAN Infrastruktur
Notebook / PDA
– Betriebssysteminstallation / Softwareverteilung
– Synchronisierung der Dateien und PIM-Daten, um auch offline auf diese zugreifen zu können
– Realisierung eines online Remotezugriffs auf alle notwendigen Dateien und PIM Daten
Mobiltelefon
– Synchronosierung von PIM-Daten
– Remotezugriff
Realisierung einer Remoteeinwahl in das Universitätsnetzwerk
Inventarisierung, Support, Fernwartung
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 13
Wireless LAN Infrastruktur
Großflächig ausgebautes Wireless Lan
DHCP Server zur Zuweisung der IP-Adressen und DNS-Server
Dynamic DNS ???
Absicherung des WLAN
– Gateway mit WWW-Login, stellt keine Anforderungen an Endgerät
– VPN / IPSec Tunnel
– IEEE 802.1x als alternative?
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 14
Notebooks
Betriebssysteminstallation
Softwareverteilung
Offline-Modus
Remotezugriff
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 15
Betriebssysteminstallation
Cloning / Sysprep Windows 2000 oder XP
– oder automatische Installation mittels RIS
Problem:
– Verfügbarkeit der Gerätetreiber
– Welches OS unterstützt der Hardwarehersteller
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 16
Softwareverteilung auf Notebooks
Altes Problem: Ist die verfügbare Netzwerkbandbreite ausreichend?
– Softwareverteilung muss also erkennen in welchem Netz sich das Notebook befindet und welche Netzwerkbandbreite zum Download von Softwarepaketen genutzt werden kann.
Anwendungssoftware per Netz installieren oder alle Anwendungen bei der Grundinstallation installieren?
– Mindestens Installation von Updates/Securityfixes per Netz vorsehen!
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 17
Softwareverteilung über Active Directory ?
Active Directory ist nur eingeschränkt location-aware
Active Directory ist nicht bandwith-aware
– d.h. Softwareinstallations-Policies werden auch über eine Modemverbindung oder über WLAN angewendet
Active Directory ist zur Installation von Software auf Notebooks im allgemeinen nicht geeignet
Notebooks Mitglied in der Windows 2000 Domäne?
– Erfordert größere Anpassung von Loginscripten, etc.
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 18
Softwareverteilung auf Notebooks
Notwendig:
– Softwareverteilung mit location- (gibt es mehrere) und bandwith-awareness (bisher keine gefunden)
– Paketabhängige Konfiguration bzgl. Installation mit welcher Bandbreite und in welchen Netzen
Ausblick: Nächste SMS Server Version soll location und bandwith-aware sein (z.Zt. Beta)
Windows Update Service soll für Firmennetze geöffnet werden – eventuell nutzbar
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 19
Softwareverteilung auf Notebooks
Windows 2000 Domäne Uni-Mainz.DE
– Softwareinstallationspolicies werden nicht im WLAN angewendet
– Zugriff auf Installationsserver nicht im WLAN freigegeben
Problem:
– Notebooks, die nur im WLAN betrieben werden
– Arbeitsaufwand zu hoch – dauernder Wechsel zwischen Netzwerken
Lösung: keine
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 20
Synchronisierung von Dateien und PIM-Daten
Dateien:
– Windows 2000 oder Windows XP Offline-Files Funktion
– Sicherheit beachten: evtl. Offlinemode für bestimmte Datenbereiche verbieten
– Windows XP kann Offlinefiles verschlüsseln
– Aktivierung manuell, oder per Group Policy möglich
PIM-Daten:
– Outlook-Offline-Mode auf Notebooks
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 21
Remotezugriff auf Dateien
SMB/CIFS, falls „im Universitätsnetz“
WWW-Zugriff von außerhalb
– oder evtl. einfacher über SSH/X11, RDP, ICA, Tarantella
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 22
Remotezugriff auf PIM-Daten und E-Mail
– durch Outlook-Web-Access bereits abgedeckt
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 23
Demo – Outlook Web Access
Aufruf über http://192.168.163.100/exchange
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 24
DEMO – Outlook Offline Mode
Outlook für Benutzer konfigurieren (incl Offlineverwendung)
(VMWare Suspenden)
Outlook im Offline-Mode starten
Termin und Kontakt offline anlegen
(VMWare resumen)
Synchronisieren
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 25
PDA
Betriebssysteminstallation
Synchronisierung / Offlinemode
Softwareverteilung
ServerSync
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 26
Betriebssysteminstallation
Keine Erstinstallation notwendig
eventuell Installation von Updates, z.Zt. kein einheitliches Format verfügbar
Offlinemodus und Synchronisierung sind „normal“
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 27
DEMO – Synchronisierung PocketPC
Synchronisierung für Benutzer aksys von PC auf PDA
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 28
Softwareverteilung auf Pocket-PCs
Konfiguration muss vom Benutzer selbst festgelegt werden können
Zwangsweise Installation von Programmen ist bei begrenztem Speicher nicht sinnvoll, d.h. Benutzer muss selbst wählen können, welche Software auf dem PDA installiert werden soll.
Daher: Integration einer Softwarebibliothek in die vorhandene Synchronisierungs-Software (ActiveSync)
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 29
PocketPC Softwarebibliothek
Format
– .cab Files werden zur Installation genutzt
– .ini Files beschreiben die zu installierende Anwendung
Installationsquellen können einfach auf ein Netzwerklaufwerk verschoben werden
Modifikationen
– Absolute Pfade aus INI-Dateien entfernen
– Uninstall Informationen aus INI-Dateien entfernen
diese werden nur zur Deinstallation der Dateien auf dem PC benötigt
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 30
Softwareverteilung auf Pocket-PCs
Integration von eigenen Programmen in Active Sync ist möglich:
– Eigener Menüpunkt
– „On Connect“ Event
Hier: On Connect Aufruf von eigenem Script zum Abgleich der verfügbaren Software
Nur lesbare Verzeichnisse werden aufgenommen, Beschränkung des Zugriffs auf lizenzpflichtige Software ist also möglich
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 31
DEMO - Erweiterung ActiveSync Erweiterung um OnConnect Event
– HKLM\SOFTWARE\Microsoft\Windows CE Services\AutoStartOnConnect
– Zum Aufruf eines eigenen Programmes/Scriptes (V0.1)
Installation von Anwendungssoftware aus Softwarebibliothek
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 32
Mobile Information Server (MIS)
Offensichtlicher Nutzen
– ServerSync für PocketPCs
– Outlook Mobile Access (OMA)
Eigentlich Entwicklungsplattform für mobile Anwendungen (WAP, Notifications, geräteabhängiges Rendering)
Kopplung mit MIS-Server bei Provider (carrier-edition)
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 33
DEMO – ServerSync für PocketPCs
ServerSync für User „aksys“ erlauben
ServerSync von PocketPC aus durchführen
– Erlaubt nur Synchronisierung von Kalender, Kontakten und E-Mail
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 34
Remotezugriff
RDP, ICA Klienten verfügbar
SMB/CIFS Klient eingebaut
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 35
Palm PDAs
Synchronisierung mit Palm Desktop oder mit Outlook möglich
Softwareverteilung auf Palm PDAs
– PC-seitige Softwarebibliothek nicht verfügbar, Installation durch Aufruf der .prc Files aus WWW-Seite
ICA Klient verfügbar, RDP nicht.
VPN Klient von Drittanbietern verfügbar
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 36
Mobiltelefone
Synchronisierung von PIM-Daten mit Outlook wird für fast alle neuen Telefone angeboten
Remotezugriff auf PIM-Daten über WAP möglich
– Voraussetzung dazu: Mobile Information Server (MIS)
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 37
MIS Funktionalität
Mobile Inbox kann vom Benutzer selbst definiert werden
– Kann auch der normalen Inbox entsprechen
Mail lesen und schreiben per WAP möglich
Zugriff auf Adressbuch und Terminkalender (read-only)
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 38
MIS Sicherheitsmodelle
Gleicher Username und gleiches Passwort wir normaler Account
Zusätzlicher Account in gleicher Domäne (-w)
Zusätzlicher Account in anderer Domäne
– Dann auch kurze PINs möglich
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 39
DEMO – WAP Zugriff auf Exchange WAP-Zugriff für Benutzer „aksys“ mit PIN „1234“ erlauben Telefonnummer des mobilen Gerätes im AD hinterlegen
Outlook Regel definieren, um „wichtige Elemente“ nach Mobiler Posteingang zu kopieren
Testen, ob User „aksys-w“ auf Mailbox von User „aksys“ zugreifen darf
Personalisierung durch Benutzter http://192.168.163.101/Airweb
Zugriff mit WAP-Browser auf http://192.168.163.101/OMAZugriff mit PocketPC
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 40
Remoteeinwahl
PPP für direkte Modemeinwahl
VPN für Zugriff auf Universitätsnetz über andere ISPs
Terminalservice Client
– RDP, ICA, Tarantella
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 41
VPN
Typen von VPNs (L2 Connections)
– PPTP = Point To Point Tunneling Protocol
Definiert von Ascend, 3Com, Microsoft und US Robotics
– L2F = Layer 2 Forwarding
Definiert von Cisco
– L2TP = Layer 2 Tunneling Protocol
Vereinheitlichung der IETF
– IPSec Tunnel
Alternative zu L2TP ?
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 42
VPN
PPTP:
– In Hardware und Software verfügbar
– Klienten in allen gängigen Windows Versionen und PocketPC 2002 enthalten
– Problem: Sicherheit der Authentisierung und Verschlüsselung
L2F:
– Spielt keine Rolle mehr, vollständig von L2TP abgelöst
L2TP:
– Verschlüsselung nur über IPSec, d.h. Preshared Keys oder CA Infrastruktur notwendig
IPSec Tunnel:
– Nur zwischen Routern brauchbar (Sessionmanagement, DNS)
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 43
VPN:
Herstellerspezifische Lösungen:
– Alle als IPSec/L2TP implementiert
– z.B. Cisco VPN Konzentratoren
– Z.B. NetScreen VPN
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 44
VPN
L2 Connections eigentlich nicht notwendig, weil nur IP übertragen werden muss.
Alternative: Tunnel über SSH, leider nicht so transparent wie „normales“ VPN
Problem: Zertifikate für IPSec
Problem: NAT (GRE, bzw. IPSec)
Herstellerspezifische Lösungen sind meist IPSec/L2TP mit erweiterung zum Zertifikatmanagement
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 45
Inventarisierung, Support und Fernwartung
Für Notebooks oft mit Softwareverteilungssystem kombiniert (z.B. SMS)
– Informationen müssen in Helpdesk übertragen werden
Keine Software für PDAs bekannt
Remoteunterstützung in Windows XP hat sich bei normalen PCs schon bewährt, funktioniert auch für Notebooks
Fernwartung für PDAs nicht möglich, Support evtl. durch Schulungsvideos
März 2002 C. Allendörfer - ZDV Universität Mainz
Folie 46
Ausblick:
Betreuungsaufwand für mobile Geräte wird die nächsten Jahre stark zunehmen
Notebooks für Mitarbeiter statt PCs ?
Zeitpunkt zur Eingliederung von PDAs ist jetzt noch früh genug gewählt, also möglichst bale fertige Strukturen anbieten
Offene Aufgaben:
– Anpassung von Webseiten (PDA-Version über CMS)
– Alternative Server-Sync-Software
– Programmierung für PDAs
– Zugriff auf Helpdesk, Benutzerverwaltung, etc.
– Schulung im Umgang mit Outlook, Offline Files, PDAs