Ausgabe 185/Server Lösungen - MS gegen Linux

[PoolSnoopy]

Kommt zwar etwas spät, aber ich muss meinen Ärger einfach rauslassen:

Ich finde es eine Frechheit als Artikel getarnte falsche Werbung für Microsoft-Produkte zu schalten.
Ich habe keine Ahnung von wem Herr Martin Leyrer bezahlt wird, aber hoffentlich von keiner Firma, die ihn als Systemadministrator beschäftigt.
Es fängt schon damit an, Windows 2000 als "gesunde Grundlage" zu bezeichnen. Diese Grundlage ist so "gesund" wie die sprichwörtliche Watschn. Ein OS, dass unter unzähligen Sicherheitsmängeln, einer unbeholfen integrierten GUI samt Browser und einem grottenschlechten Design leidet als gesunde Grundlage für einen Server zu empfehlen halte ich für grob verantwortungslos.
Dann "Redmond calling"!. Sollte wohl eher "Calling Redmond" heißen, oder? Dass Exchange den Client Outlook bedingt, der ja ebenfalls traurige Berühmtheit erlangt hat, was seine Sicherheit betrifft, wird hier einfach verschwiegen. Exchange kann in Punkto Sicherheit und Stabilität einem Lotus-Notes und sendmail Gespann (nur als Beispiel) nie das Wasser reichen.
Zum SQL-Server braucht man ja in Zeiten wie diesen auch nicht viel sagen, oder?
Und dann kommen ja die witzigen Server-Produkte:
Host Integration Server: wer nur dämlich in VB herumklickt, wird vielleicht Schwierigkeiten haben mit einer DB/2 Datenbank auf einer AS/400 zu arbeiten. Ein ernstzunehmender Developer aber sicher nicht. Dass das eigentlich nur Einbussen bei Performance und Availability bringen kann, liegt wohl auf der Hand
Internet Security & Acceleration Server: als hätte Microsoft schon irgendwann einmal was schneller oder sicherer gemacht. Ich empfehle iptables und squid.
Aber der Überhammer ist sicher "The Sentinel" Operations Manager: selbst ein Gameboy mit vollen Batterien schlägt die Uptime eines jeden Windows-Systems. Wie soll so ein Boot- und Bluescreen-Meister einen Felsen in der Brandung wie einen Linux, AS/400 geschweige denn einen OS/390 Server überwachen? Steht dann im Eventlog "While the Operations Manager crashed and rebooted the following servers kept on running:...."? Das braucht jeder Admin.

Aber dann erblödet sich Herr Leyrer nach dieser Disqualifikation auch noch Linux-Server zu bewerten. Hier muss ich ihm leider vorhalten, dass er offensichtlich keine Ahnung hat, wovon er schreibt:

"Erst mit viel Handarbeit und Kernel-Modifikationen schaffen es Linux-Koryphäen, eine Linux-Installation an die Anforderungen eines modernen IT-Betriebs anzupassen"
Bitte was, muss man an einem Linux-System ändern um es an die nicht weiter ausgeführten Anforderungen anzupassen? Mir als nicht Linux-Koryphäe kann das natürlich bis jetzt verborgen geblieben sein, aber ich betreue zusammen mit Kollegen Linux-Server ohne Kernel-Modifikationen. Und die laufen wunderbar in unserem modernen IT-Betrieb.

"Da dies aber keinem 'normalen' Benutzer zumutbar ist ..."
Na da haben wir ja die Erklärung: Herr Leyrer ist ein 'normaler' Benutzer! Welche Firma wär so fahrlässig ihre Server-Infrastruktur von "'normalen' Benutzern" oder "technischen Halblaien", wie von Hr. Leyrer gefordert, und nicht von erfahrenen Admistratoren betreuen zu lassen? Nicht mal Microsoft würde so etwas einfallen. Da fängt ja dann der Wahnsinn an, der es Würmern und Viren ermöglicht Windows-Server rund um die Welt außer Gefecht zu setzen.

"Linux wird erwachsen. Vom Freak-Spielzeug hat es sich zu einem professionellen Betriebsystem gewandelt"
Erstens ein Schritt, den Windows noch vor sich hat und zweitens ist Linux schon seit langem ein professionelles OS.

Über Debian: "...steht diese [Distribution] doch den kommerziellen Produkten in Sachen Stabilität um nichts nach"
Ah, ein Kenner! Debian ist vermutlich die sicherste Distribution, weil nur langfristig im Einsatz getestete Komponenten verwendet werden, was Debian auch den Ruf eine konservative Distr. zu sein eingebracht hat. OpenBSD ist noch sicherer und ebenfalls kostenlos.

Wir verwenden keine teuren Server-Distributionen, weil dies einfach nicht notwendig ist. Bei Linux hat man jederzeit die Möglichkeit, sich sein System so zu gestalten, wie man es will. Sicherer oder moderner oder mit mehr Features je nach Gusto und Einsatz.

Fazit: entweder solche Artikel als Werbung für technische Halblaien und normale Benutzer deklarieren oder sie von jemandem schreiben lassen, der weiß um was es geht.

[spunz]

1. windows/linux/*nix wird niemals 100% sicher sein, hier ist ein guter admin gefragt egal ob linux, windows oder wwi
2. ein sauber aufgesetzter w2k server sollte kein problem haben 2-3 jahre uptime zu erreichen, das problem ist eher das machne programminstalltionen und patches einen erfordern.
3. zum sql server => nochmals oben gucken, ein guter admin hat damit sicher kein problem gehabt da er fast ein jahr alte sicherheitslücken wohl schon geschlossen hat
4. iptables und squid ist ne einfache lösung, aber nix für große firmen.
5. zum operation manager: wenn bei euch soviele leute sind um diese systeme einzeln zu überwachen, bitte warum nicht. ich würde auch keine sündteuren großrechner mit einfachen windows servern vergleichen, um das geld würde ich mir auch nichts anderes als absolute stabilität erwarten.
6. ich kenne kaum eine firma die derart viele lösungen in einem einheitlichen konzept liefern kann das auch funktioniert (guter admin vorrausgesetzt) so ungern ich es zugebe.
7. die "teuren" server distris sind eben für firmen die KEINEN "perfekten" admin haben der alles selber konfigurieren kann. mehr oder weniger gehts in die richtung wie windows, einfacher und besserer tco.
8. debian usw sind gute betriebssysteme, der herr leyrer verwendet sie übrigens auch selber

9. nein ich bin kein win user, ich arbeite nur hauptsächlich mit windows systemen und bin mit stärken und schwächen sicher gut vertraut. privat verwende ich fast nur noch debian gnu/linux

[PoolSnoopy]

@1 bin ganz Deiner Meinung, aber es geht ja nicht um 100% Sicherheit, sondern darum, welches System sicherer ist. Und ich muss ja nicht ein System verwenden, das schon vom Design her schlechter ist.

@2 Glaube ich sofort, wenn auf dem Server nur wirklich saubere Software läuft und man den Server nicht ins Internet stellt. Das Problem ist aber, das es hier um Serverbetriebsysteme geht. Von einem solchen erwarte ich mir, dass es erstens auch unter Last stabil läuft und zweitens nicht von einem jeden Scriptkiddie behüpft werden kann. Und das mit den Patches ist ja ebenfalls ein altes Problem von MS. Erst kürzlich kam wieder ein Patch heraus, der bei manchen Systemen das Booten verhinderte. Da hab ich als Admin schon jedesmal Bauchweh, wenn ich vorher nicht abschätzen kann, ob ein Patch das System verbessert oder stört.

@3 und genau deswegen habe ich vollstes Verständnis für jeden Admin, der vielleicht nicht jeden dahergelaufenen Patch von MS einspielt. Wie soll man denn wissen, was der Patch anstellt? Es gibt ja null Transparenz bei Windows.

@4 ich wüsste nicht, was gegen dieses Gespann bei großen Netzen sprechen sollte. iptables ist eine solide stateful firewall und squid kann spätestens mit Load balancing selbst größte Datenmengen verarbeiten (siehe http://wwwcache.ja.net/servers/squids.html).
Mir geht es da eher auch um das Unbehagen, das ich hätte, wenn ich mich auf Sicherheitslösungen oder performancekritische Software von MS verlassen müsste.

@5 es ist unter Linux ein Klax einen zentralen Log-Server zu installieren und dann vielleicht noch mit irgendeinem Script eMails bei wirklich kritischen Log-Einträgen zu verschicken. Aber ich werde doch nicht das schwächste Glied in der Kette die Überwachung machen lassen.

@6 Das einheitliche Konzept und die bessere Usability ist aber auch schon der einzige Vorteil. Dafür bleiben viele notwendigere Features und Eigenschaften auf der Strecke. Auch wenn es mir widerstreben würde, könnte man ja auch zB Gnome und irgendein graphisches Admintool auf einem Linuxserver installieren. Gewonnen habe ich aber außer mehr Traffic bei der Remote-Administration nichts.

@7 Ich sehe keinen größeren Sinn darin. Der einzige Vorteil, ist daß vermutlich alles per Maus konfigurierbar ist. Wenn man ein DNS-Service oder eine Firewall einrichten will, dann muß man was konfigurieren, ob mit der Maus oder mit dem Keyboard. Vorgefertigt wird's das kaum geben. Und wenn man das öfters machen muss, dann schreibt man sich von mir aus Skripte. Diese vorgefertigten Installationen und Einstellungen wie bei Windows haben ja nur dazu geführt, dass keiner mehr weiß was im Netzwerk passiert. Aus Usersicht ist das natürlich ein großer Erfolg, der nicht geschmälert werden sollte (als Client finde ich Windows auch sehr geeignet), aber zumindest der Admin sollte einen Überblick über Server und Netzwerk haben. Der wird einem bei Windows sehr erschwert oder auf eine bunte GUI abstrahiert.

@8 hab über debian nie was anderes behauptet. Bei Hr. Leyrer wundert mich, wie er dann solche Artikel verfassen kann.

@9 Lobenswert. ;-) Ich verwende Windows auch nur mehr für Spiele. Muß mich aber in der Arbeit oft über die Unzulänglichkeiten von Windows ärgern, weil die meisten unserer User noch Windows-Clients verwenden. Es gibt schon einige Linux-User bei uns. Bei denen hat man natürlich einen erhöhten Installationsaufwand, aber die Wartung ist praktisch Null.

[spunz]

1. darüber kann man streiten, beide welten haben vorteile.
2. hier verweise ich nochmal darauf das sowas von nem guten admin erledigt werden sollte. dieser würde den patch auch nicht gleich am produktiv system einspielen sondern zuerst testen. zugegeben macht ms zeitweise wirklich schlechte patches
3. ein jahr alte lücken würde ich nicht offen lassen, besonders dann wenn der server im internet hängt. das problem ist eher das entweder zuwenig zeit dafür aufgewendet wird/werden kann oder es dem "admin" einfach egal ist (hauptsache es läuft). viel mehr transparenz hab ich bei linux auch nicht, ich werd nicht bei jedem patch mal zuerst den sourcecode durchlesen
4. ich verlasse mich da lieber auf eine kommerzielle lösung die entsprechende zusatzlösungen auch recht einfach einbinden kann (vpn, secid,...) und einfache verwaltungen von vielen firewalls erlaubt. nein nicht ms sondern zb checkpoint
5. nicht mit den umfangreichen möglichkeiten für windows systemen die auch im artikel beschrieben wurden. die möglichkeiten für andere systeme und dienste sind halt ne zugabe
6. welche? eine vergleichbare lösung wie zum project central server usw konnte ich (leider) noch nicht finden, wenn dann nur weit teurer und dann hab ich erst wieder ein format das sogut wie keine andere firma verwendet
7. wie ich schon sagte, diese lösungen sind halt dafür ausgelegt das es auch jemand installieren kann der in nem konsolenfenster verzweifelt nach nem mauszeiger und exitbutton sucht

[PoolSnoopy]

Ich hoffe meine Hartnäckigkeit nervt Dich nicht.

@1 wie gesagt, außer dem Userinterface sehe ich keine bei Windows

@2 Tja, das mit dem Patch testen ist aber so eine Sache. Als professioneller Softwaretester würde ich hierzu eine relativ authentische Testumgebung empfehlen. Das kostet bei einem etwas fetteren Server aber ganz schön. Zweitens: wie bitte teste ich zB als Serveradministrator sowas wie ein SP 3 für Windows 2000? Da müsste ich eine Testsuite mit mindestens 20000 Testfällen schreiben, weil ich ja eine Blackbox teste. Bei Linux kann ich ein diff über den Sourcecode machen, weiß welche Module betroffen sind und kann den Test schon enorm einschränken, abgesehen davon, dass mit dem User-Mode-Linux Kernel-Testen weit kostengünstiger funktioniert als bei Windows.

@3 den Sourcecode vor mir zu haben halte ich für einen RIESIGEN Transparenz-Vorteil. Ich muss ihn natürlich nicht nutzen, aber ich (und tausende andere auf der Welt) haben wenigstens die Möglichkeit. (aber ich will jetzt nicht noch eine Lobeshymne auf Opensource beginnen) ;-)

@4 voll O.K.

@5 ist jetzt zwar billig: aber die brauche ich auch nicht, wenn ich Linuxsysteme verwende. ;-) Das so ein Ding in einer Windows-Umgebung das Leben erleichtern kann, bestreite ich ja nicht einmal. Aber dieses Dilemma kann man ja an der Wurzel beheben.

@6 ich halte den Project Server nicht für eine richtige Server-Komponente. Aber das mag Definitionssache sein. Für mich ist das Backoffice-Software. Und da wir per XP (Extreme Programming) oder ähnlichen Developmentprozessen arbeiten hält sich bei uns der Aufwand für Projektmanagement in Grenzen. (Bitte lass mich nicht auch noch über Projektmanagement herziehen. Als langjähriger Entwickler habe ich da genug erlebt - funktioniert hat es nie) Also das schlägt eher in die Sparte Applikationsmangel für Linux.

@7 ich frage mich halt, ob jemand, der sich von einer Konsole abschrecken lässt auch reif für den Job als Administrator ist. Es geht mir hier mehr um die Einstellung. Wenn ich ein System administrieren will, sollte ich es auch verstehen und beherrschen. Es ist mir zu billig, dann das System zu wählen, das den einfachsten Eindruck macht. Bei Windows wird die Komplexität absichtlich verschleiert. Das ist zwar wirklich gut für den User und den Einsteiger, aber ein Horror für den Admin, der versucht einem Problem auf die Schliche zu kommen. Es ist einfach sehr verdächtig, wieviele Probleme sich bei Windows mit einem Reboot lösen lassen. Das ist für mich kein Zeichen eines guten Betriebsystems. Das deutet eher auf eine Komplexität hin, die nicht mehr verwaltbar ist. Wäre Windows hier etwas gesprächiger wäre das vielleicht nicht nötig - oder es wäre ersichtlich, dass man da einen Moloch laufen hat, der nicht mehr deterministisch funktioniert. Man kann ja nicht mal den Bootvorgang vollständig ergründen. Ich hatte zB mal einen hervorragend laufenden Advanced Server 2000. Der lief bis ich ihn zu einem Domaincontroller umfunktionieren wollte. Das wars dann. Blieb jedesmal beim Booten hängen. Und wo kann man nachschauen, wobei er sich aufhängt? Nirgendwo! Selbst die Microsoft Knowledge Base, die ich wirklich für den Umfang und die relativ gute Organisation bewundere, konnte mir nicht weiterhelfen. Also Neuinstallation. Sowas war bei Linux noch nie nötig.

[spunz]

1. wenn du viele clients hast gibts einiges an vorteilen, samba 3.0 bietet da (noch) nicht die gleichen möglichkeiten. ist halt die frage ob mans braucht (systemrichtlinien,...)
2. naja, ein einfacher pc tuts schon (dualboot) man hat ja keine spezielle hw bei windows
3. stimmt, in den code kann keiner gucken. es gibt aber ne menge alpha und beta tester (sp3 würde ich trotzdem nicht installieren ) es schlüpft halt noch einiges durch da die hw und sw möglichkeiten heute ja fast unbegrenzt sind (egal welche plattform)
6. sowas ist LEBENSWICHTIG! stell dir vor die chefabteilung hat keine bunten balken mehr zu bestaunden
7. in einer 30-100 man firma gibts wohl eher selten nen vollausgebildeten mcse oder wwi der alle systeme beherrscht. darum gibts eben produkte wie den small buissnes server und vergleichbare redhat und suse produkte.
beim w2k adv server gibt ne menge möglichkeiten für debugs, man muß sie nur kennen. neuinstallation sollte nur einmal nach der ersten testinstalltion nötig sein.

[Sloter]

Jungs verwechselt nicht den Small Business mit den teuren Serverversionen von Suse oder Red Hat.
Da geht es nicht um fuale oder nicht so gute Admins, da geht es um Performanz und Sicherheit die mit einer "normalen" Distri nur mit viel Handarbeit zu erreichen ist.

@PoolSnoopy: So modern kann dein Betrieb nicht sein, wenn ihr keinen einzigen selbsgepackenen Kernel benötigt.
Wahrscheinlich ein paar Dosen für Druckdienste und etwas Filesharing auf 0815 "Server".
Wenn ihr spezielle Tunnel bauen möchtet oder Kernel die nicht alles aktiviert haben, mehr als 2 GB Ram oder 4 Prozessoren, heißt es sehr wohl Handarbeit ist angesagt.
Und dann kommt der Rechenstift.......laß ich einen Admin 2-3 Tage herumbasteln oder erledige ich die Installation in 10 Minuten.

Generell Win zu verdammen finde ich nicht OK. Ich treffe immer wieder auf Linuxdosen die zwar lange laufen aber noch die bugbeladene Softwareversion am Stand vor 2 Jahren´drauf haben.
Weil es Admins gibt, die meinen es genügt die "normale" Distribution.

Sloter

[Sloter]

Noch was

Ich schätze Hr.Leyrer als kompetenten Kollege mit viel Fachwissen.

Sloter