Online-Artikel 20060506e HOB Server Centric Computing

Mit sicheren Methoden zum Austausch von Informationen zwischen Benutzern und Rechnern arbeiten Unternehmen effektiver. Unterschiedliche Benutzergruppen, Mitarbeiter in verschiedenen Positionen, Lieferanten, Geschäftspartner und Kunden greifen weltweit, rund um die Uhr über Internetverbindungen und über verschiedene Devices auf zentrale Daten und Anwendungen zu. Nicht immer sind die Rechner Unternehmenseigentum, und nicht immer werden sie von der Unternehmens-IT verwaltet. In dieser ressourcenintensiven, jederzeit und überall erreichbaren Umgebung werden Unternehmen mit komplexen technischen, administrativen und sicherheitsrelevanten Anforderungen konfrontiert.

ie Anwender fordern unkomplizierte Bedienung, ohne zeitaufwändige technische Kunstgriffe – jederzeit und überall – und natürlich muss alles sicher sein. Der Desktop wird überall mit hingenommen, es lebe das mobile Büro! Das birgt Gefahren wie auch enorme Chancen. Es kann Unternehmen Kosteneinsparungen bringen und die Produktivität erhöhen. Die Effizienz mobiler Mitarbeiter steigt zusätzlich, wenn sie auch von extern Zugang zu denselben Informationen haben – genauso wie im Büro. Weitere Vorteile sind weniger Schreibarbeit, kürzere Bearbeitungszeiten, höhere Kundenzufriedenheit, bessere Kommunikation und flexible Geschäftszeiten.

Die IT-Spezialisten müssen dadurch komplexere Vorgänge handhaben. Zum einen gibt es da die verschiedensten Endgeräte, zum anderen unterschiedliche Übertragungswege wie UMTS, GPRS, WLAN, ISDN, DSL oder Modem.

Zusätzlich können diese Wünsche nach vollkommener Mobilität und die damit verbundenen Technologien aber auch entspanntere Zeiten für Administratoren einläuten: Server Centric Computing, die Unternehmensanwendungen kommen auf zentrale Server, auf dem einzelnen Endgerät braucht es bei manchen Lösungen noch nicht mal eine Softwareinstallation, geschweige denn Administrationsrechte. Die Anwendungen werden auf dem Server ausgeführt, unterwegs arbeiten die Mitarbeiter mit der vertrauten Benutzeroberfläche und müssen nicht auf spezielle Mobilversionen ausweichen. Der allseits gefürchtete GAU des Datenverlustes bleibt somit aus, falls das mobile Endgerät beschädigt oder schlichtweg entwendet wird.

Neben Heimarbeitern, mobilen Teams, Außendienst und Geschäftsreisenden können auch Kunden und Partner die Technologie nutzen. Auch für Wirtschaftsprüfungs- und Steuerkanzleien, Beratungsunternehmen und Marketing- und Vertriebsagenturen ist die Technik äußerst interessant. Zum Bereich »mobiles Büro« gehört auch die internationale Zusammenarbeit von Entwicklerteams ebenso wie eine standortverteilte Sachbearbeitung an häuslichen Arbeitsplätzen, die Projektabwicklung in dezentralen Satellitenbüros oder die mobile Erbringung von Vertriebs-, Wartungs- oder Instandhaltungsdienstleistungen am Standort des Kunden. Das Feld realisierbarer mobiler Arbeits- und Nutzungsformen ist groß.

So, und wie funktioniert das Ganze nun? Da gibt es verschiedene Ansätze von Citrix, HOB und Microsoft beziehungsweise von SSL-VPN Entwicklern wie Juniper oder F5.

Fast alle Hersteller bieten inzwischen sowohl Security-Features als auch Zugriffsclients verschiedener Ausrichtung an. Manche setzen auf ein einziges Protokoll, andere stellen für verschiedene Zielsysteme spezifische Protokolle zur Verfügung. Deshalb stehen zahlreiche mögliche Gegenstellen in der Unternehmenszentrale zur Verfügung:

Die klassische Lösung ist der sichere Zugriff auf Windows Terminal Server Farmen. Proxys schotten hierfür die Terminal Server vor dem direkten Zugriff aus dem Internet ab. Ebenso werden die Zugriffe auf die einzelnen Server gesteuert. Einige Lösungen verwenden das Original RDP-Protokoll von Microsoft, andere verwenden eigene Protokolle. Entweder lösen die Hersteller die oft auftauchenden Probleme beim Druck, der Lastverteilung und anderen Features selbst oder es gibt Dritthersteller, die auf bestimmte Bereiche spezialisiert sind.

Alternativ zum Windows Terminal Server können manche Lösungen ebenso in Farmen zusammengefasste Blade Server mit Windows XP Professional Betriebssystem ansprechen. Auch hier übernimmt die Software die korrekte Verteilung auf die Blade Server. Um beispielsweise besonders leistungsfähige Blade Server bevorzugt einzusetzen ist eine entsprechende Priorisierung möglich. Rein technisch gesehen, darf an einem Blade beziehungsweise einem Windows XP Professionell auf einer VM im Blade immer nur ein Anwender arbeiten. Die Anmeldung eines zweiten Anwenders zur gleichen Zeit muss ausgeschlossen sein. Die Software darf einen Blade nur dann freigeben, wenn kein anderer Anwender angemeldet ist, sich in Anmeldeprozedur befindet, beziehungsweise kein »Disconnect« vorliegt. Vorteile solcher Lösungen sind etwa Reduzieren der Softwarelizenzkosten, Nutzung »nicht Multi-User-fähiger« Anwendungen oder die ständige Verfügbarkeit von 100 % Leistung des Blades.

Hierbei können Anwender auf firmeninterne Windows XP Professional Arbeitsplätze zugreifen. Dabei ist es egal, ob der betreffende Rechner ausgeschaltet ist. Der Proxy nutzt die in modernen Rechnern implementierte Wake-on-LAN-Funktionalität, so dass der Zielrechner auch über das Internet eingeschaltet werden kann. Gerade auf Geschäftsreisen, für manche auch im Urlaub, eine hilfreiche Zugangsmöglichkeit.

Auch der Zugriff auf firmeninterne Webserver wird von einigen Lösungen unterstützt, denn der Einsatz von Web-Applikationen für die effiziente Zusammenarbeit mit Partnern, Zulieferern, Händlern und Kunden, aber auch eigenen Mitarbeitern wird zunehmend wichtiger. Prozesse werden so ohne Brüche über Unternehmensgrenzen hinweg abgewickelt, wodurch die Koordinationskosten entsprechend minimiert werden können.
Dies nutzen Unternehmen beispielsweise für Intranet, E-Mailserver, Content-Management-Systeme, Redaktionssysteme, Branchen-Portale, Kundenverwaltung und Online-Fragebögen.

Für Nicht-SSL-fähige Clientsoftware bieten die Hersteller lokal installierbare oder via Webbrowser herunterladbare Clients. In der Secure Remote Access Lösung HOB RD VPN der Cadolzburger HOB übernimmt der HOB Universal Client die Funktionalität eines lokalen Client-SSL-Gateway. Clientseitige TCP-Anfragen werden demnach an einem definierten TCP-Port angenommen und an das entsprechende Zielsystem über den HOB WebSecureProxy weitergeleitet. Die Clientapplikationen richten ihre Anfragen dazu an »localhost« als Zielsystem und damit an den HOB WSP Universal Client. Zur Nutzung der HOB-Lösung sind clientseitig keine lokalen Admin-Rechte notwendig. Kommunizieren mehrere Applikationen über den HOB Client, so wird für die Kommunikation nur ein IP-Port benötigt. Bei Nutzung eines lokalen E-Mail Clients in Verbindung mit dem HOB Client komprimiert der im HOB WebSecureProxy integrierte E-Mail Tuner die zu übertragenden Daten. Gerade für mobile Devices ergeben sich hierdurch ein Geschwindigkeitszuwachs sowie eine Kostenreduktion bei Volumentarifen.

Auch auf Mainframes und anderen Großrechnern lagern noch sehr viele Daten und Anwendungen. Die Softwarehersteller gehen hier zwei verschiedene Wege. Die einen schleusen die Kommunikation komplett über Applikationen auf den Windows Terminal Servern. Diese Form des Server Based Computing lässt, wenn auch in indirekter Form, die Kommunikation mit Applikationen auf IBM Mainframes etc. zu. Die zu übertragenden Daten zwischen dem Arbeitsplatz und dem Zielsystem sind hierbei immer grafischer Natur. In der Projektierungsphase darf dementsprechend eine Überprüfung vorhandener Netzwerkressourcen nicht fehlen. Im Extremfall ist die Netzwerkinfrastruktur komplett zu überdenken.

Andere Lösungen liefern Clients mit Originalprotokollen der Zielserver mit. Die textbasierte Kommunikation zwischen Client und Host/Server via Terminalemulation erweist sich als weitaus genügsamer. Es werden in diesem Fall nur die reinen Nutzdaten transferiert, ohne grafischen Overhead.

HOB hat Messungen der zu übertragenden Netzwerkdaten durchgeführt. Demnach hat ein durchschnittlicher 3270-Anwender ein täglich zu übertragendes Datenvolumen von zirka 0,5 MByte. Ein Windows Terminal Server Nutzer dagegen etwa 20 MByte, also das 40-fache! Von der Netzwerkseite her betrachtet ist also ein »Universalclient« für alle benötigten Hosts/Server die beste Lösung.

HOB RD VPN bringt diesen »Universalclient« mit. Die Lösung bietet neben RDP folgende Kommunikationsprotokolle: 3270, 5250, VT, 9750, 97801 und HP700. Im Gegensatz zu Standard-Server-Based-Computing-Lösungen kann hiermit der Arbeitsplatzrechner beziehungsweise der mobile Client selbst mit jedem Unternehmensserver in Verbindung treten. Die vorhandene Netzwerkinfrastruktur wird hierbei nicht mehr als nötig beansprucht.

Auf die SSL-Technologie, die hinter den oben beschriebenen Konzepten steckt, soll hier nicht näher eingegangen werden, zumal sie ohnehin hinreichend bekannt ist. Auch deren Vor- und Nachteile gegenüber IPSec-Lösungen sind in den Medien beschrieben. Manche Anbieter liefern Tools zum Aufbau einer eigenen PKI mit und bieten Unterstützung von Tokens und Smartcards. Entweder gibt es die Lösung als Appliance, dann werden zumeist zusätzliche Zugriff-Clients fällig, oder als reine Softwarelösung. Ausschlaggebend könnte bei Software die Lauffähigkeit auf verschiedenen Betriebssystemen in der DMZ sein. Als Hauptargumente gegen IPSec-Lösungen führen die SSL-VPN-Hersteller an, dass für den Aufbau der Verbindung kein eigener Client mehr benötigt wird und der eigentliche Zugriff auf interne Ressourcen sicherer ist. Doch gerade hierbei muss zusätzlich unterschieden werden, ob der verantwortliche Administrator uneingeschränkt Zugriff über das eingesetzte Device hat oder nicht. Für native Webanwendungen genügt wirklich nur ein Browser, mehr Funktionalität kann erst mit einer Java-Umgebung erreicht werden. Je tiefer das Applet dabei ins Betriebssystem eingreift, desto mehr Rechte benötigt die SSL-VPN-Lösung. Diese Rechte gehen über normale User-Rechte meist hinaus. Diese Punkte sollten bei der Aussage »Clientless« im Detail überprüft werden.

Sobald SSL-VPNs andere Protokolle wie RDP, ICA, POP oder IMAP transportieren, erhöht sich bei vielen SSL-VPNs der Datenverkehr zwischen Client und »SSL-VPN Server« um bis zu 70 % gegenüber anderen Lösungen. Dies rührt daher, dass eine Protokollumsetzung in http durchgeführt wird. Gerade bei WTS-Verbindungen kann das zu erheblichen Engpässen führen.

Egal für welches Zugangskonzept man sich entscheidet, die Lösung sollte flexible und vielfältige Möglichkeiten zur Integration in bestehende Infrastrukturen bieten. Hier gibt es zum Teil große Unterschiede bei den einzelnen Lösungen. Die gewünschte Lösung sollte verschiedene Installationsmodi zulassen und eine flexible Anbindung an bereits bestehende Verzeichnisdienste erlauben, beispielsweise Microsoft Active Directory Services, Novell eDirectory, IBM Directory Services und andere LDAPv3 Server. Auch das Administrationstool muss hier die plattformunabhängige Verwaltung von jedem Arbeitsplatz aus gewährleisten.

Die Möglichkeiten des mobilen Büros sind vielfältig, von der Umgestaltung betrieblicher Wertschöpfungsketten, über die Auflösung organisatorischer Standortbindung sowie die Dezentralisierung von Arbeitsstätten. Der Trend geht weg von starren Modellen hin zu flexiblen Lösungen, die der Kundenorientierung und der Auftragsorientierung sowie der Individualisierung der Anwender folgt. HOB erlaubt mit HOB RD VPN sämtliche erwähnten Zugriffsmöglichkeiten. Besonders die Merkmale »total clientless« und »ohne Administrationsrechte« heben die Lösung gegenüber anderen Produkten hervor.

Beispiel aus der Praxis

In der Steuerberatersozietät Riedl & Schreiber engagieren sich heute die drei Partner Hermann Schreiber, Olivier Riedl und Alexander Schreiber mit 11 Mitarbeitern an den Standorten Erding und Moosburg für Mandanten verschiedenster Branchen, Rechtsformen und Größenordnungen: von Privatpersonen bis zu mittelständischen Betrieben. Know-how, Erfahrung, Kontinuität und eine auf dem allerneuesten Stand befindliche elektronische Datenverarbeitung bilden die Basis der erfolgreichen Arbeit. Sowohl in der Niederlassung in Erding wie auch in Moosburg wird auf einen gemeinsamen elektronischen Datenbestand zurückgegriffen. Alle Informationen zum Mandat sind unabhängig vom Standort stets verfügbar.

Riedl & Schreiber unterstützt seine Mandanten auch dabei, ihre EDV-Organisationsstruktur in den Bereichen Fakturierung sowie Finanz- und Lohnbuchhaltung zu optimieren und damit die Wirtschaftlichkeit in der Zusammenarbeit zu erhöhen.

Um diese Leistungen noch effektiver zu erbringen, sollte die EDV auf Server Based Computing mit Windows Terminal Server umgestellt werden. Sämtliche Datev- und Office-Programme sowie das Dokumenten-Management-System sollten auf den Terminal Servern in Erding laufen. Damit wäre ein einheitlicher Datenbestand gewährleistet. Auch den Zugriff für externe Mitarbeiter oder sogar Mandanten wollten die Verantwortlichen realisieren. Im August 2004 begann die Evaluation zusammen mit dem Systemhaus Weikl EDV Dienstleistungen & Netzwerke in Aham www.edv-weikl.de . Im Kriterienkatalog erhielten die Anforderungen »Sicherheit« und »Dual-Monitor-Unterstützung« höchste Priorität. Nur zwei Hersteller konnten alle technischen Spezifikationen erfüllen. Die Sozietät entschied sich für den deutschen Hersteller HOB GmbH aus Cadolzburg, dazu Inhaber Alexander Schreiber: »Besonders das Sicherheitskonzept und das hervorragende Preis-Leistungs-Verhältnis gaben für HOB den Ausschlag. Die anfänglichen Probleme bei der Datev-Smartcard-Unterstützung und dem Dual-Monitor-Support im Vollbildmodus wurden von HOB schnell gelöst. Dual-Monitor-Support war für uns wichtig, da unsere Mitarbeiter zum komfortablen Arbeiten einen zweiten Monitor benötigen, um die bis zu 15 gleichzeitig geöffneten Datev-Programme effizient bedienen zu können«.

Im Oktober erfolgte zunächst die lokale Installation der Terminal-Server-Zugriffskomponente der HOB-Lösung HOB Remote Desktop VPN in Erding. Die Security-Komponenten für den sicheren Remote-Zugriff von Mandanten und dem Standort in Moosburg konfigurierte Weikl EDV im April 2005. Die beiden Standorte sind mit einer 2 MBit SDSL-Leitung verbunden. Sämtliche Applikations- und Datenserver stehen in Erding. Der HOB WebSecureProxy bildet die zentrale Schaltstelle von HOB RD VPN. Er zeichnet sich für Authentifizierung, Autorisierung und Ver- und Entschlüsselung verantwortlich. Der eigentliche Zugriff erfolgt über das Microsoft RDP Protokoll mit dem integrierten, SSL-fähigen HOB Java-RDP-Client. Dieser ist nicht mehr wie im ersten Step im Oktober lokal installiert, sondern liegt als Applet zum Download bereit. Mitarbeiter und Kunden müssen nur in ihrem Browser auf einen Link klicken und erhalten nach erfolgter Authentifizierung den Zugang zu den Terminal Servern. Neben RDP kann HOB RD VPN Zugriffe über 3270, 5250, VT, 9750, 97801 und HP700 leisten. Ein integrierter Universal Client bedient Datenströme von Fremdapplikationen, beispielsweise POP3-, IMAP- und SMTP-Protokolle.

Das Prinzip der drei Kanzlei-Inhaber, ihren Mitarbeitern optimale und hervorragende EDV-Ausstattung zur Verfügung zu geben, hat sich auch in diesem Fall bezahlt gemacht. Als mögliche Erweiterung ist zukünftig der Einsatz des HOB Moduls für Application Publishing angedacht.

http://www.riedlundschreiber.com/

Gegründet wurde das Unternehmen HOB GmbH & Co. KG im Jahre 1964 von Horst Brandstätter. Seit 1981 entwickelt HOB Software und Terminals für IBM Großrechner. Das Unternehmen beschäftigt heute in seiner Cadolzburger Zentrale und seinen Geschäftsstellen in Deutschland ca.120 Mitarbeiter. Darüber hinaus unterhält HOB Niederlassungen in Frankreich, Österreich, Niederlande, USA und Malta.

Heute ist HOB ein international tätiges Unternehmen und liefert Software in vielen Sprachen. Die Kundenbetreuung erfolgt teils direkt, teils über Händler. In der HOB Zentrale in Cadolzburg (Deutschland) hält HОВ entsprechendes Know-how vor, sowie Sprachkenntnisse, die zur Betreuung der Kunden in aller Welt benötigt werden.

HOB entwickelt Kommunikations-Software, die in allen Unternehmen eingesetzt werden kann. Die Entwicklungsabteilungen und ihre Aufgaben:

Entsprechend der Bedeutung, die der Bereich IT Security heute besitzt, entwickelt und vermarktet HOB auch Security Software. Die HOB Security Software ermöglicht es, »mission-critical applications« preisgünstig und in aller Welt über das Internet zu nutzen. Auch für Katastrophen und Recovery-Fälle können mit HOB Security Software wichtige »mission-critical applications« permanent und überall verfügbar gemacht werden.

Die Kundenstruktur des Unternehmens hat sich entsprechend der erweiterten Produktpalette im Laufe der Jahre stark erweitert und umfasst heute mehr als 3000 Unternehmen aus den Bereichen Banken, Versicherungen, öffentliche Verwaltungen, Behörden, Krankenkassen und Industrie.

Copyright © 2003-2012 ap Verlag GmbH