Von: Dr. Klaus Plessner
Ein idealer KVM-Switch (Keyboard Video Maus) hat drei Eigenschaften: Erstens lässt er den Anwender seine Server aus der Ferne bedienen. Zweitens überträgt er die Videosignale der verwalteten Rechner in "Echtzeit", sodass der Mauszeiger des kontrollierten Servers nicht nachhinkt. Drittens ersetzt er alle Funktionen von Tastatur, Bildschirm und Maus, wodurch der Systemverwalter zum Beispiel nach einem Neustart das Bios-Setup aufrufen kann.
Bislang hat noch kein Hersteller die ideale Lösung auf den Markt gebracht. So genannte IP-gestützte KVM-Switches wie der "DS 1800" von Avocent erfüllen aber immerhin zwei dieser Anforderungen. Weil sie mit den Video- Keyboard- und Maus-Ports der Server verbunden sind, erlauben sie zum einen die vollständige Kontrolle des Zielrechners. Zum andern transportieren sie mithilfe eines eingebauten KVM-Servers die Bildschirmdaten über das Internet. Weil die Switches alle Videodaten in IP-Pakete verpacken und die Empfänger sie wieder auspacken, reichen die Datenraten nicht aus, um bewegte Bilder "in Echtzeit" zu übertragen. Das ist jedoch kein Mangel des Produkts von Avocent, sondern eine generelle Eigenschaft von IP-gestützten KVM-Switches. Der DS 1800 passt die Zahl der pro Sekunde übertragenen Screens an die Bandbreite der Verbindung an. Laut Hersteller liegt die Bildwiederholfrequenz im Schnitt bei vier Refresh-Zyklen pro Sekunde.
Acht gleichzeitige Verbindungen
Das Gerät ist mit acht Ports für die Keyboard,- Maus- und Vidoeanschlüsse der kontrollierten Rechner ausgestattet. Das Besondere an der Avocent-Lösung: Jeder Port verfügt über eine eigene Digitalisierungseinheit. Die Server lassen sich dadurch gleichzeitig ansprechen, sodass entweder ein Benutzer simultan acht Rechner verwalten kann oder acht Administratoren zur selben Zeit auf jeweils eine Plattform zugreifen. Welche User eine KVM-Sitzung starten dürfen und welche Rechner gerade "besetzt" sind, weil sie von einem Client überwacht werden, kontrolliert die Software "DS Auth", die als Service auf einem Windows-PC installiert ist. Weitere Softwarekomponenten kommen hinzu: "DS Admin" dient zum Verwalten der Switch-Einstellungen. Damit definiert der Administrator auch, wer welchen Server verwalten darf. "DS View" ist die Benutzeroberfläche des Serveradministrators.
Unsichere DES-Verschlüsselung
DS Admin unterstützt den Benutzermanager für Windows-NT-Domänen und Active Directory. Das bedeutet, dass der Administrator einen DS-View-User per Mausklick aus einer im Fenster angezeigten Liste auswählen kann. Laut Hersteller authentifiziert DS Auth Anwender anhand von Passwörtern oder digitalen Zertifikaten. Eine Eigenschaft, die vor allem bei Remote-Zugriffen zum Tragen kommt.
Die vorliegende Testversion erlaubte jedoch weder das eine noch das andere, sondern überließ die Echtheitsbestimmung dem Domänen-Controller von Windows. Nur das Management der Geräteeinstellungen des DS 1800 über ein seriell angeschlossenes Terminal konnte man durch ein Codewort schützen. Und der Zugriff des DS-Admin-Rechners auf den Switch ist durch digitale Zertifikate geschützt.
Die Kommunikation zwischen den Clients und den Servern verläuft teilweise verschlüsselt. Dabei werden nur die Keyboard- und Mauseingaben chiffriert. Das genügt, um Passwortspionage zu verhindern. Ob allerdings die 64 Bit langen Schlüssel des DES-Verfahrens ausreichen, hängt davon ab, wie kritisch die übertragenen Daten sind. Die Videosignale passieren aus Performancegründen das Netz im Klartext. Zwei weitere Beiträge zur Sicherheit: Erstens legt der Administrator fest, nach welcher Zeit eine inaktive Verbindung zwischen einem DS-View-Client und einem Server unterbrochen wird. Zweitens protokolliert DS Auth alle Log-on-Vorgänge.
Installation mit kleinen Hürden
Die Bedienoberfläche von DS View ist sehr übersichtlich. Ein Klick auf das Symbol eines Servers öffnet dessen Bildschirm auf dem Monitor des Verwalters. Wählt man die Option "Tile Windows", ordnet der Client alle geöffneten Administrationsfenster passgerecht neben- und untereinander auf dem Schirm an. Kombinationen von Steuertasten wie zum Beispiel Ctrl Alt Del zum Neustart des kontrollierten Rechners gibt der Anwender mit vordefinierten Buttons in der Menüleiste ein. Eine Record-Funktion lässt ihn eigene Tastenfolgen festlegen. Die Verbindungen Ctrl Alt Backsp und Alt 1 bis Alt 9 zum Umschalten zwischen mehreren Linux-Konsolen funktionierten auch direkt mit dem Keyboard. Ein kleiner Mangel: Zum Wechseln zwischen den Serverfenstern muss man durch einen Klick auf die Menüleiste das Hauptfenster von DS View nach vorn schieben und darin den gewünschten Rechner auswählen. Die Windows-Anwendern in Fleisch und Blut übergegangene Tastenkombination Alt Tab schiebt alle DS-View-Windows in den Hintergrund.
Die Installation der Lösung verlief schnell. Zunächst stellten wir die IP-Grundkonfiguration über ein seriell angeschlossenes Terminal ein. Danach richteten wir im Handumdrehen die Software auf dem Administrationsserver und den Clients ein. Die im letzten Zug nötigen Feinarbeiten könnten allerdings langwierig werden, wenn eine Firma mit dem Switch sehr viele Server verwaltet. Damit die "ferne" Maus auf dem Monitor des Administrators nämlich an der richtigen Stelle erscheint, muss dieser auf dem überwachten Server die Mausbeschleunigung abschalten. Eine kleine Strafarbeit, die der Systemverwalter noch nicht von zentraler Stelle aus erledigen kann. Zum Teil erfordert die Korrektur auch Kunstgriffe. So funktionierte bei einem Linux-Server die Maus auch bei abgeschalteter Mausbeschleunigung nicht korrekt.
Skalierbar und ausfallsicher
Avocent hat den Switch für große Firmen entwickelt, die am Hauptstandort und in mehreren Filialen Server stehen haben und diese von zentraler Stelle aus verwalten wollen. Die Grundlage des gelungenen Konzepts bilden zwei Eigenschaften: Erstens skaliert die Lösung ohne Grenzen. Der Anwender kann beliebig viele Switches nebeneinander betreiben. Mit jedem Gerät stellt er acht Server ins Intranet; und wenn er anstatt der Server analoge KVM-Switches anschließt, werden es noch mehr. Zweitens lässt sich der DS-Auth-Dienst bei Bedarf auf einem Backup-Rechner installieren und auf diese Weise vor Ausfällen schützen.