Unet
Siehe, ich mache alles neu!

von Peter Marksteiner (Ausgabe 03/2, Oktober 2003)

 

Von den Anfängen ...

Der Name Unet wurde 1995 als "Markenzeichen" der Internet-Services für Studierende der Uni Wien geprägt. Damals beschränkten sich diese Services auf Electronic Mail und Internetzugang via Modem; bald darauf kam die Möglichkeit hinzu, eigene Webseiten zu publizieren. Die ersten drei Jahre nach Beginn des Probebetriebs im Oktober 1995 zeichneten sich durch rasantes Wachstum aus, es gab aber keine wesentlichen strukturellen Änderungen: Ein einziger Server - "Unet-Server" oder "Unet-Rechner" genannt - reichte dafür aus.

Im Jahr 1998 wurde alles anders. Schon lange gab es das Projekt, an verschiedenen Standorten der Universität Wien (NIG, Universitätscampus Altes AKH usw.) öffentliche PC-Räume zu errichten. Die Authentifizierung sollte mittels Unet-UserIDs erfolgen, und die von den BenutzerInnen angelegten Daten sollten in jedem PC-Raum in gleicher Weise zur Verfügung stehen. Diese Anforderungen waren sehr hoch - damals standen nicht viele Software-Produkte zur Auswahl, die sie erfüllen konnten. Die Wahl fiel schließlich auf DCE (Distributed Computing Environment) zur Authentifizierung, gekoppelt mit DFS (Distributed File System) als verteiltem Filesystem. Was bisher ein einziger "Unet-Server" war, wurde um fünf - später sieben - DCE/DFS- Server erweitert. Die Umstellung auf DCE/DFS (sie fand am 27. September 1998 statt) wäre allerdings trotz umfangreicher Investitionen in neue Hardware und sorgfältiger Planung fast gescheitert: Die Anfangsschwierigkeiten waren enorm, konnten aber nach und nach beseitigt werden.1) Im Wintersemester 1998 wurden die ersten PC-Räume im NIG mit etwa 100 PCs eröffnet.

Eine wesentliche Änderung der Unet-Administration ergab sich durch die Notwendigkeit, Unet-Accounts besser vor Mißbrauch zu schützen und die Verwendung durch andere als die legitimen Eigentümer zu unterbinden. Zu diesem Zweck wurden im Sommersemester 1999 PIN-Codes eingeführt: Nur wer den PIN-Code kennt, der auf dem Studienblatt vermerkt ist, kann einen Unet-Account anlegen oder verlängern. Gleichzeitig mit der Einführung der PIN-Codes wurde die Verwaltung der Unet-UserIDs, die vorher extrem simpel war, umgestellt - sie beruht seither auf einer Oracle-Datenbank.

In den darauffolgenden Jahren war der Betrieb im großen und ganzen zufriedenstellend und stabil: Die Benutzerzahlen stiegen ständig, laufend wurden neue PC-Räume eröffnet (derzeit stehen insgesamt rund 860 PCs zur Verfügung, die auf ca. 20 über ganz Wien verstreute Standorte - vom USI auf der Schmelz bis zum BWZ in der Brünner Straße - verteilt sind), und die Unet-Services wurden um neue Funktionen erweitert: Breitband-Zugang via Kabel (chello) oder DSL, Authentifizierung für Services der Universitätsverwaltung (z.B. Abfrage des persönlichen Studienbeitrag-Kontos) mittels Unet-Paßwörtern und andere. Dennoch stellte sich bald heraus, daß das Unet-Service in die Jahre gekommen war und in absehbarer Zeit gründlich erneuert werden mußte.

Vor etwa zwei Jahren begannen die ersten Planungsarbeiten für in neues Unet-Gesamtkonzept. Dabei wurden folgende Rahmenbedingungen festgelegt:

  • In den PC-Räumen sollte eine moderne Arbeitsoberfläche mit aktueller Software zur Verfügung stehen.
  • Das neue System sollte mit dem alten weitgehend kompatibel sein.
  • Obwohl eine Weiterverwendung von DCE/DFS nicht prinzipiell ausgeschlossen war, wurde wegen der verschiedenen Nachteile von DCE/DFS (hohe Komplexität, hoher Wartungsaufwand, mangelhafte Unterstützung durch den Hersteller, weltweit geringe Verbreitung) eine Ablöse durch ein anderes System bevorzugt.
  • Das Prinzip des single sign-on (einheitliche Authentifizierung für alle Services) sollte unbedingt beibehalten werden.
  • Die Oracle-Datenbank, die sich als Werkzeug zur Administration hervorragend bewährt hatte, sollte weiterverwendet werden.

Nach einem langen Prozeß der Entscheidungsfindung, intensiven Gesprächen mit verschiedenen Herstellern (IBM, Microsoft, Novell u.a.) wurde eine Lösung gewählt, implementiert und schließlich in Betrieb genommen.

... bis zum 14. August 2003

Mit Betriebsschluß der PC-Räume um 19:30 Uhr begann am Donnerstag, dem 14. August 2003, die zweite große Umstellung in der Geschichte von Unet. An diesem verlängerten Wochenende wurden - neben vielen "Kleinigkeiten", auf die hier nicht näher eingegangen wird - folgende Umbauten und Reorganisationen durchgeführt:

Umstellung von DFS auf Samba

Samba ist eine Open Source-Implementierung des Common Internet Filesystem-Protokolls (CIFS)2) von Microsoft. Die drei DFS-Server wurden durch den Fileserver FS1.UNET.UNIVIE.AC.AT ersetzt. Dieser Fileserver (siehe Foto) ist die einzige größere Hardware-Komponente, die für die Umstellung angeschafft wurde. Es handelt sich um eine pSeries 630 von IBM mit vier Prozessoren, 8 GB Hauptspeicher und einer Bruttokapazität von mehr als 3 TB3) Plattenplatz. Obwohl bis auf weiteres nur ein Fileserver im Einsatz ist, wurde das Konzept von verteilten Fileservern beibehalten - d.h. es sind bereits alle administrativen Voraussetzungen dafür geschaffen, daß bei Bedarf ohne großen Aufwand weitere Fileserver in Betrieb genommen werden können. Die Verteilung auf mehrere Fileserver kann (ebenso wie bisher mit DCE/DFS) vollkommen transparent erfolgen, d.h. man braucht sich nicht darum zu kümmern, auf welchem der Fileserver sich die Daten befinden. Ermöglicht wird dies durch die Verwendung von MS-Dfs, dem Distributed File System von Microsoft, das mit dem oben erwähnten DFS allerdings nur den Namen und den Einsatzbereich gemeinsam hat.

Die Übertragung aller auf den DFS-Servern gespeicherten Daten auf den neuen Fileserver dauerte etwas länger als 15 Stunden und war am Freitag, dem 15. August, kurz vor Mittag beendet. Diese Datenübertragung war der Grund für die relativ lange Dauer der Betriebsunterbrechung des Webservers und des Login-Servers.

Nachdem die Authentifizierung in den PC-Räumen jetzt nach anderen Methoden erfolgt (die entscheidende Rolle spielt dabei die Oracle-Datenbank), werden auch die DCE-Services nicht mehr benötigt. Deshalb wurden neben den drei DFS-Servern auch alle DCE-Server außer Betrieb genommen - DCE/DFS wird an der Universität Wien nicht mehr eingesetzt.

Trennung von Mailserver und Login-Server

Interaktives Arbeiten in einer Unix-Shell bzw. einem Menü war in der Anfangszeit von Unet sehr beliebt, hat aber seither an Bedeutung verloren: Für die meisten Funktionen (eMail oder News lesen, Web-Browsing usw.) gibt es inzwischen komfortable Klienten. Trotzdem steht jetzt für den Shell-Zugang mittels SSH/Telnet sowie für die Datenübertragung mittels SCP, SFTP oder FTP ein eigener Server LOGIN.UNET.UNIVIE.AC.AT zur Verfügung.

Konvertierung der Mail-Spools auf IMAP-Format

Damit neben dem POP-Protokoll auch IMAP verwendet werden kann, mußten alle gespeicherten eMail-Nachrichten in ein anderes Dateiformat umgewandelt werden. Die Konvertierung der Inboxen dauerte bis zum Abend des 15. August (zu diesem Zeitpunkt ging der IMAP-Server in Betrieb, einen provisorischen Mailing-Betrieb über POP3 gab es allerdings schon seit 4:17 Uhr). Die anderen Folder in diversen Formaten - Outlook, Netscape, Pine - wurden in den darauffolgenden Tagen nach und nach konvertiert. Dies war einer der kompliziertesten und langwierigsten Teile der Umstellung: Mehr als fünf Millionen eMail-Nachrichten in verschiedenen inkompatiblen und teilweise undokumentierten Formaten waren zu konvertieren; zahlreiche Spezialfälle mußten händisch nachbehandelt werden.

Upgrade der Oracle-Datenbank

Die Oracle-Datenbank als zentraler Authentifizierungs-Server ist für viele Services des ZID essentiell: Von der Einwahl über Modem bis zur Abfrage des Online-Vorlesungsverzeichnisses geht ohne diese Datenbank gar nichts. Neben der Umstellung zahlreicher Applikationen wie z.B. Unet-Administration, Unet-Anmeldung oder Paßwort-Änderung, die durch die Ablöse von DCE erforderlich war, wurde auch ein Upgrade der Datenbank auf die neueste Version (Oracle 9.2.0.3) durchgeführt. Um die Auswirkungen auf den Betrieb möglichst gering zu halten, geschah dies in der Nacht zwischen 1:00 Uhr und 5:00 Uhr. Als die Oracle-Datenbank am 15. August um 1:00 Uhr abgeschaltet wurde, war sie 421 Tage und 10 Stunden - seit einem Stromausfall am 19. Juni 2002 - ununterbrochen in Betrieb.

Aktualisierung der PC-Räume

Im Bereich der PC-Räume erforderte die Ablöse von DCE/DFS durch Oracle und Samba langwierige Vorbereitungsarbeiten: Bereits im Mai 2002 wurde damit begonnen, das zukünftige Betriebssystem (MS-Windows XP) in umfangreichen Testläufen so weit wie möglich an die Bedingungen der PC-Räume anzupassen; ab Herbst 2002 wurden die aktuellen Versionen der in den PC-Räumen verfügbaren Anwendungsprogramme getestet und vorbereitet.4) Zusätzlich mußte das Modul, das bei jedem Login in den PC-Räumen die Authentifizierung des jeweiligen Benutzers gegenüber der zentralen DCE-Datenbank abwickelte, auf den neuen "Gesprächspartner" Oracle getrimmt werden. Und zu guter Letzt wurde die Umstellung zum Anlaß genommen, auch die zentralen Management-Server5) der PC-Räume auszuwechseln und auf die aktuelle Version der Computer Management Software Unicenter TNG (jetzt Unicenter NSM) umzusteigen.

Im Juli 2003 begann die "eigentliche" Arbeit an den einzelnen PCs. Rund 300 Rechner mit veralteter Hardware wurden im Zuge der Umstellung ausgemustert; die neuen Ersatzgeräte wurden bereits im Juli geliefert, vorinstalliert und bis Mitte August zwischengelagert. In jenen PC-Räumen der Universität, die während der Sommermonate geschlossen bzw. kaum frequentiert sind, konnte die Softwareinstallation ebenfalls vorgezogen werden; dies betraf etwa 400 Geräte. Die ca. 150 restlichen PCs wurden am Umstellungswochenende installiert. Abgesehen von der Softwareinstallation mußten bei den meisten Rechnern Memory-Upgrades durchgeführt werden (alle PCs verfügen jetzt über 256 MB RAM) und die älteren Spezialgeräte - Scanner, CD-Brenner - ausgetauscht werden.

Ende gut ...

Dank der sorgfältigen Planung und dem großen Einsatz aller Beteiligten konnte selbst diese weitreichende und komplexe Umstellung ohne gröbere Probleme bewältigt werden. Bei der Planung war zwar auch in Erwägung gezogen worden, einzelne Teile der Umstellung (Datenbank-Upgrade, Umstellung auf Samba, Einführung von IMAP) zu verschiedenen Zeiten durchzuführen - schlußendlich wurde aber doch beschlossen, alles auf einmal zu erledigen: Einerseits ist es vorteilhaft, voneinander abhängige Umstellungsarbeiten - z.B IMAP-Umstellung und Konfiguration der Mailprogramme in den PC-Räumen, Datenbank-Upgrade und neue Anmelde- und Administrations-Prozeduren - gleichzeitig vorzunehmen. Andererseits konnten dadurch (und durch zahlreiche Nacht- und Feiertagsschichten) die Betriebsunterbrechungen der PC-Räume und der sonstigen Services auf ein Minimum beschränkt werden. Der Zeitplan wurde weitestgehend eingehalten, etliche Umstellungsarbeiten waren sogar früher fertig als vorgesehen.

Natürlich gab es die eine oder andere Komplikation - bei einem Projekt dieser Größenordnung wäre es unrealistisch, etwas anderes zu erwarten. Beispielsweise stürzte der neue Login-Server gleich am ersten Betriebstag zehnmal ab. Die mutmaßlichen Ursachen konnten bald festgestellt und beseitigt werden; seither ist die Stabilität des Servers zufriedenstellend. Bei der Umstellung von Webmail auf IMAP kam es ebenfalls zu unerwarteten Schwierigkeiten, sodaß für Webmail vorerst noch POP eingesetzt wird. Auch der Webserver WWW.UNET.UNIVIE.AC.AT sorgte für Überraschungen: Einige Tage lang funktionierte er tadellos, bis plötzlich ein obskurer Fehler in der Webserver-Software dafür sorgte, daß statt der gewünschten Webseiten ganz andere geliefert wurden. Dieses und etliche andere kleinere Probleme konnten jedoch rasch behoben werden. Die Erfahrungen mit Samba und dem neuen Fileserver in den ersten Wochen nach der Umstellung waren durchwegs positiv: Das neue System ist wesentlich schneller, stabiler und leichter zu administrieren als DCE/DFS.

Für die BenutzerInnen hat die Erneuerung der Unet-Infrastruktur überwiegend angenehme Begleiterscheinungen - z.B. 200 MB Speicherplatz pro Person6), IMAP-Fähigkeit, moderne Software in den PC-Räumen und die Möglichkeit, das eigene Unet-Homedirectory als Netzwerklaufwerk einzurichten. In den Bereichen Webspace und SSH-/Telnet-Zugang sind allerdings durch die Auflassung von DCE/DFS einige Details zu beachten, die nicht mehr wie gewohnt funktionieren. Einzelheiten dazu finden Sie auf hier.

 

1) siehe Die Hintergründe der Unet-Misere (Comment 99/1)

2) Bei Microsoft-Betriebssystemen wird dieses Protokoll standardmäßig für den Zugriff auf Dateien und Ressourcen (z.B. Drucker) im Netzwerk eingesetzt; für andere Betriebssysteme - Linux, Unix - gibt es eigene Klienten.

3) TB = Terabyte = 1012 = 1 000 000 000 000 Byte. In der Datenverarbeitung werden die Vorsilben kilo, mega, giga und tera allerdings oft etwas anders verwendet als im metrischen System: Die Kapazität von Speichermedien ist oft eine Potenz von 2, und nachdem 210 = 1024 sehr nahe bei 1000 ist, verwendet man kilo für 1024, mega für 1024×1024 = 1048576 usw. Ein Terabyte wäre nach dieser Definition 1 099 511 627 776 Byte. Da es hier jedoch nur um Größenordnungen geht, fallen diese Unterschiede nicht ins Gewicht.

4)Wie die Softwaredistribution in den PC-Räumen der Uni Wien abgewickelt wird, ist im Artikel Software, Everywhere ... (Comment 02/1) nachzulesen.

5) Diese Server fungieren als Domänenkontroller sowie als DHCP-, Boot- und Softwareverteilungs-Server und verwalten das Common Object Repository, die zentrale Geräte-Datenbank, anhand derer der aktuelle Zustand der einzelnen PCs überprüft und administriert werden kann.

6) Bis zur Umstellung waren auch alle Mail-Folder außer der Inbox von der Plattenplatzbeschränkung betroffen. Durch die Konvertierung auf IMAP werden jetzt alle Mail-Folder am Mailserver IMAP.UNET.UNIVIE.AC.AT abgespeichert, der dafür mit einem zusätzlichen Platteneinschub ausgerüstet wurde. Die gesamten 200 MB können daher für persönliche Daten und Einstellungen genutzt werden.