Nr. 20 / Juni 2009 ISSN 1605-475X - TU Wien · 2016. 8. 16. · NI Multisim 10.0 Elektronikdesign und -test mit virtuellen Instrumenten ... PCIe x4 2 x 1 GB Ethernet 0 & 1 VGA Video

Vienna Scientific Cluster

Automatische Mailboxen

TISS – Student Self Service

Nr. 20 / Juni 2009

ISSN 1605-475X

ZEITSCHRIFT DES ZENTRALEN INFORMATIKDIENSTES DER TU WIEN

Seite 2 – Juni 2009 – ZIDline 20

Inhalt

Vienna Scientific Cluster . . . . . . . . . . . . . . . . . . . . . . . . 3

TISS – Neue Workflows für Studienabschlüsse undden Zeugnisdruck . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Geoblockingdes MS XP Professional Produktschlüssels . . . . . . 11

Automatische Mailboxen und eindeutige generischeE-Mail-Adressen. . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Externer Zugang zu den Lizenzservern . . . . . . . . . . . . 14

Windows Server 2008 –nicht nur Verbesserungen . . . . . . . . . . . . . . . . . . . . 15

Feuerwände für das TUNET . . . . . . . . . . . . . . . . . . . . 18

Mobiles GebäudesicherheitsmanagementEin TISS Projekt . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

NI Multisim 10.0Elektronikdesign und -test mit virtuellen Instrumentenin der studentischen Ausbildung. . . . . . . . . . . . . . . 23

TISS is digging deep –Software Reengineering supportedby Database Reverse Engineering . . . . . . . . . . . . . 25

IT-Handbücher des RRZN . . . . . . . . . . . . . . . . . . . . . . 30

Auskünfte, Störungsmeldungen:Service Center. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Editorial

Die Entscheidung für den Vienna Scientific Cluster,den gemeinsamen Hochleistungsrechner von UniversitätWien, Universität für Bodenkultur und TU Wien, ist ge-fallen. Im Sommer wird er in Betrieb gehen.

Aus dem hausinternen Entwicklungsprojekt für Infor-mations-Systeme und Services – TISS – ist zu berichten,dass unter Einsatz neuer Technolgien ein mobiles Gebäu-desicherheitsmanagement implementiert wurde. Ein Pro-totyp für die Abwicklung bei Studienabschlüssen ist inallen Dekanaten der TU im Einsatz. Im so genannten Stu-dent Self Service können Einzel- und Sammelzeugnissebereits selbst ausgedruckt werden. Zur Dokumentation dertechnischen Aspekte hinter dem TISS-System veröffentli-chen wir eine Zusammenfassung aus einer Diplomarbeit,die in englischer Sprache verfasst ist und Database Reein-geneering zum Thema hat.

Über das TUphone-Projekt – Ersatz der bestehendenTelekommunikationsanlage durch eine moderne VoIP-Anlage – kann im Moment nichts Neues berichtet werden.Das Ausschreibungsverfahren läuft noch.

Für die TU-interne dienstliche Erreichbarkeit erhaltenalle Personen im Personalstand der TU Wien automatischeine Mailbox vom ZID. Außerdem werden eindeutige undintuitive generische E-Mail-Adressen für alle eingerichtet.

Weitere Themen in dieser Ausgabe der ZIDline sind:Geoblocking des Microsoft XP Professional Produkt-schlüssels, Windows Server 2008, Firewalls, Lizenzserversowie Campus Software Multisim in der Anwendung.

Ich bedanke mich sehr herzlich bei allen Autoren –ZID-Mitarbeiter und externe – für ihre Kooperationsbe-reitschaft und ihre interessanten Beiträge.

Am 13. Oktober 2009 werden wir wieder einen so ge-nannten ZID-Day veranstalten. Bitte merken Sie sich denTermin vor, besuchen Sie uns im Freihaus und informie-ren Sie sich über unsere Services und über interessanteneue Projekte.

Irmgard Husinsky

Impressum / Offenlegung gemäß § 25 Mediengesetz:

Herausgeber, Medieninhaber:Zentraler Informatikdienstder Technischen Universität WienISSN 1605-475X

Grundlegende Richtung: Mitteilungen des ZentralenInformatikdienstes der Technischen Universität Wien

Redaktion: Irmgard Husinsky

Adresse: Technische Universität Wien,Wiedner Hauptstraße 8-10, 1040 WienTel.: (01) 58801-42014, 42002Fax: (01) 58801-42099E-Mail: [email protected]: http://www.zid.tuwien.ac.at/zidline/

Erstellt mit Corel VenturaDruck: HTU Wirtschaftsbetriebe GmbH,1040 Wien, Tel.: (01) 5863316

www.zid.tuwien.ac.at/zidline/

Vienna Scientific ClusterDer gemeinsame Hochleistungsrechner von UniversitätWien, Universität für Bodenkultur und TU Wien

Peter BergerHerbert Störi, Institut für Allgemeine Physik

Wie bereits in der letzten ZIDline [1] berichtet, bemühen sich die drei Universitäten, gemeinsameinen Hochleistungsrechner zu beschaffen. Nach einem intensiven Workshop mit potentiellenAnwendern und nach Abschluss des Ausschreibungsverfahrens wird nun ein entsprechendesClustersystem von Sun Microsystems im Sommer an der TU Wien aufgestellt werden. DieFinanzierung erfolgt aus dem Globalbudget der beteiligten Universitäten.

Computational Science and EngineeringWorkshop [2]

Die zukünftigen Anwendungen des Supercomputerswurden über Einladung von Frau Prof. Seidler (Vizerekto-rin für Forschung der TU Wien) bei einem gemeinsamenWorkshop mit Anwendern aller drei beteiligten Universi-täten diskutiert. Der Workshop fand am 8. und 9. Jännerim Seehotel Rust statt. Bei den Vorträgen und Diskussio-nen im Rahmen des Workshops zeigte sich, dass eine un-erwartet große Zahl von relativ gut skalierenden parallelenProgrammen existiert, andererseits aber die Parallelisie-rung mit MPI immer noch der Standard ist und viele Pro-gramme eine entsprechend leistungsfähige Kopplungzwischen den Rechnerknoten brauchen. Ein mehr oder we-niger kompakter Rechner-Cluster, dessen Knoten mit einemHochgeschwindigkeitsnetzwerk (etwa InfiniBand) gekop-pelt sind, kann also nur in einzelnen Fällen durch lose ge-koppelte Rechner (Grid Computing) ersetzt werden.

Neue Konzepte der parallelen Verarbeitung und neueEntwicklungstools sind für die Zukunft sicher ein wesent-licher Punkt. Die Hoffnung ruht hier einerseits auf derTatsache, dass mit der zunehmenden Verbreitung vonmulti-core Prozessoren die Parallelisierung zu einem Ele-ment der main-stream Softwareentwicklung wird, und an-dererseits auf der konkreten Beteiligung der Informatikam gegenständlichen Projekt. Eine projektierte Koopera-tion zwischen Prof. Dustdar (TU, verteilte Systeme) undProf. Kreil (BOKU, Bioinformatik) ist hier ein erster kon-kreter Ansatz.

Es wurde auch klar, dass im Moment Prozessoren mitIntel-artiger Architektur und das Betriebssystem Linuxden gemeinsamen Standard darstellen. Einige verwendeteProgramme sind für andere Architekturen nicht verfügbar.In Zukunft könnte aber auch eine speziell für Hochleis-tungsrechner adaptierte Version von Windows auch hiereine zunehmende Rolle spielen.

Steering Committee

Fragen in Zusammenhang mit dem Vienna ScientificCluster (VSC) werden auf oberster Ebene von einem ge-meinsam besetzten „Steering Committee“, bestehend ausden Vizerektoren für Forschung, den Leitern der zentralenInformatikdienste (ZID) und Vertretern der Nutzer ent-schieden. Bisherige Aufgaben waren die Freigabe derAusschreibung, die Zuschlagsentscheidung und Diskus-sionen über die Regelung des Zugangs zum VSC für Wis-senschaftler.

Ausschreibung

Bei der ersten Sitzung des Steering Committees am 20.Jänner wurde der Ausschreibungstext genehmigt und dasSystem in den folgenden Tagen europaweit ausgeschrieben.Verlangt wurde ein Cluster, dessen Knoten über Prozessorenmit x86-Architektur, 64 bit, und über mindestens 2 GByteHauptspeicher je Prozessor-Kern (core) verfügen und unter-einander mindestens mit InfiniBand 4xDDR (20 GBit/s fullduplex, netto 16 GBit/s) vernetzt sind. Aus Kostengründenwar allerdings eine Reduktion der Bandbreite im Backbone-Bereich erlaubt. Teilt man den Cluster von n Knoten ge-danklich in 2 Teile zu n/2 Knoten, dann müsste die gesamteBandbreite der Netzwerkleitungen, die die Teilungslinieüberqueren, eigentlich n/2*16 GBit/s je Richtung betragen.Diese Forderung wurde auf die Hälfte reduziert, d. h. einBlockungsfaktor von max. 2 wurde zugelassen.

Der maximal zulässige Preis inklusive Cluster-Kühl-systeme und Mehrwertsteuer war 1,6 Millionen €. Zur Be-urteilung der Leistungsfähigkeit wurden den Anbieterneine Anzahl von Benchmark-Programmen übergeben,welche hauptsächlich aus Programmen zukünftiger An-wender bestehen. Die Bewertung erfolgte auf Basis einesPunktesystems, das hauptsächlich auf den Gesamtdurch-satz des Systems abstellte. Ende der Ausschreibungsfristwar der 31. März 2009.

ZIDline 20 – Juni 2009 – Seite 3

Insgesamt wurden von 10 Anbietern 13 Angebote einge-reicht. Alle Angebote enthielten Knoten mit je 2 Quad-Core Prozessoren (insgesamt 8 Prozessor-Kerne) und je 16,18 oder 24 GByte Hauptspeicher. Die angebotenen Prozes-soren waren entweder Intel Nehalems (X55x0) oder AMDOpterons mit 2,26 bis 2,93 GHz. Das Rennen war in derSpitzengruppe eher spannend; es gab 4 weitere Angebote,welche weniger als 10% hinter dem Bestbieter lagen.

Zuschlag

Bei der Steering Committee Sitzung am 21. April wur-de entschieden, dem laut Punktesystem bestbewertetenAngebot den Zuschlag zu erteilen. Dabei handelt es sichum ein System von Sun Microsystems, welches von derWiener Firma IPS angeboten wurde. Das angebotene Sys-tem besteht aus 424 Knoten mit je 2 Intel X5550 NehalemProzessoren mit 2,66 GHz und je 24 GByte 1,333 GHzDDR3 RAM als Hauptspeicher und je einer 500 GByteSATA Platte. Die Kopplung erfolgt über InfiniBand [5]mit gemischter DDR und QDR (40 Gbit/s full duplex, net-to 32 GBit/s) Geschwindigkeit (siehe Abbildung „Infini-Band-Netzwerkstruktur“). Ein zusätzliches GBit-Ethernetsorgt für den Zugriff auf die Fileserver. Zusätzlich hat dasSystem 5 Zugangsknoten. Alle Knoten und Netzwerk-Komponenten werden in 14 konventionelle 19-Zoll Rack-Schränke eingebaut.

Die theoretische Spitzenleistung des Systems beträgtRpeak=36,1 TFlops, die tatsächliche Leistung Rmax dürfte

bei ca. 30 TFlops liegen [4]. Der gesamte Hauptspeicherbeträgt etwa 10 TByte.

Das System wird eine Anschlussleistung von ca.150 kW haben. Die Knoten und Netzwerk-Komponentensind luftgekühlt und blasen die warme Abluft in einen ge-schlossenen Gang, aus dem sie von Kühlgeräten abge-saugt und wieder auf Raumtemperatur gekühlt wird(Warmgangeinhausung).

Die angebotenen Systemkomponenten im Detail

Als Compute Nodes werden 1U Rackmountserver (SunFire X2270) zum Einsatz kommen, die mit den neuestenIntel Nehalem CPUs ausgestattet sind.

CPU: 2x Intel Xeon X55504-Kern Prozessor Nehalem8 MB L3 Cache, 2.66 GHz,6,4 GT/s QPI, 95 Watt

Hauptspeicher: 24GB (6x 4 GB DDR3-1333 RegisteredECC Memory)

Festplatten: 1x 500 GB SATA Festplatte, 3,5 Zoll,7.200rpm

Powersupply: 1x Stromversorgung

Netzwerk: 2x 10/100/1000 Ethernet Anschluss onBoard

Chipset: Intel Tylersburg 24D

Management: ILOM Service Prozessor Module


QPI

DDR3

Nehalem-EP Nehalem-EP

QPI

QPI

DDR3

DDR3

DDR3

DDR3

DDR3

ESI (PCIe x4)

4x SATAHDDs/SSDs

PCIe2 x16 – 8 GB/s

PCIe

2 x1

6 - 0

USB

USB

PCI 32-bit 33 MHz

2x RearUSB 2.0

2x FrontUSB 2.0

1x InternalUSB 2.0

2xSATA

SerialRJ-45

PCIe x4 2 x 1 GBEthernet0 & 1

VGAVideo

Management10/100Ethernet

82575EBIntelZoar

LPC Virtual UART

2x FlashModules

4xSATA

Optional SP Board

ICH10R

Tylersburg24DIOH

Blockdiagramm X2270

Für die Kopplung der Clusterknoten für die Paralle-lisierung wird ein schneller Cluster Interconnect über Infini-Band zur Verfügung gestellt. Die IB Fabric wird in QDRTechnologie aufgebaut (Quad Data Rate, 40 Gbit/s fullduplex, 8B/10B Codierung – 32 Gbit/s netto), wobei je-doch DDR HCAs (Double Data Rate Host Channel Adap-ter) in den Servern verwendet werden. Als Switcheskommen 36 Port Switches zum Einsatz. Dabei werden 4Spine- und 18 Edge-Switches verwendet. Zwischen denSpine und Edge Switches werden 8 Uplinks verwendet.Daher stehen 18*28 = 504 Ports für Compute Nodes, Zu-gangsknoten und externe Systeme zur Verfügung.

Core Switches: 2x Qlogic Truescale 12300 (36ports QDR),managed2x Qlogic Truescale 12200 (36ports QDR),unmanaged

Edge Switches: 18x Qlogic Truescale 12200 (36portsQDR), unmanaged

HCA: QLE7240 Truescale/Infinipath HCAs(Single Port 4x DDR)

IB Kabel: QSFP-CX4 Cables for Host connectionQSFP-QSFP Optical Cables core-edgeconnection

Gbit-Netzwerk

Das Gbit-Netzwerk dient vor allem für das Fileservice(NFS) und zum Booten der Compute-Nodes. Die Fileser-ver sind mit je 10 Gbit/s Ethernet angeschlossen, die Zu-

gangsknoten haben je 2 Anschlüsse in das jeweilige Netz-werk der Universitäten.

Es ist in naher Zukunft geplant, das Fileservice eben-falls über InfiniBand zu realisieren.

Sun verwendet für die Verwaltung und Steuerung derX86-Server ein ILOM (Integrated Lights out Manager)System. Dieses System ist eine Kombination der ILOMService Prozessor (SP) Hardware und der ILOM SoftwareSuite.

Mit ILOM ist das Monitoring und die Verwaltung derSysteme remote möglich. Der Service-Prozessor arbeitetunabhängig vom restlichen System und besitzt ein eigenesManagement LAN Interface. ILOM beinhaltet ein eigenesWeb-Interface (https), ein CLI (ssh oder seriell), einSNMP Interface (v1,v2c,v3) und ein IPMI v2.0 Interface.

Als Master- und Zugangsknoten kommen 5 Stück Sun-Fire X4245 (2 Sockel Intel Nehalem E5540) mit je 4x300 GB SAS-Platten zum Einsatz.

Die Clusterkühlung wird mit Schrankkühlsystemen derFirma Knürr durchgeführt, 6 CoolLoops werden zwischenden Schränken installiert. Eine Cluster-Einhausung (ge-schlossene Decke, Schiebetüren) verhindern eine zu inten-sive Durchmischung der heißen Abluft mit der Raumluft.


36 Port QDR

36 Port QDR 36 Port QDR 36 Port QDR 36 Port QDR

28 x Nodes

1 DDR

2 QDR

36 Port QDR

28 x Nodes

36 Port QDR

28 x Nodes

8 Ports QDR

18 * 28 = 504 Hostports

4 * 36 = 144 Core-Ports

18 Switches

InfiniBand Netzwerkstruktur

Batch-System und Software

Als Betriebssystem wird Linux CentOS zum Einsatzkommen.

Angeboten wurde die Sun HPC Software, Linux Edi-tion 1.2. Dies ist ein umfassender Software Stack unter Li-nux, der es erlaubt, hochskalierbare Applikationen zu ent-wickeln, ablaufen zu lassen und den Cluster effizient zumanagen. Abgedeckt werden hier unter anderem: LinuxDistribution (CentOS, basierend auf Red Hat EnterpriseLinux), Netzwerktreiber, Filesysteme und Werkzeuge fürProvisionierung und Management.

• C, C++ und Fortran 90/95 Compiler• Debugger und Performance-Analyser für parallele

Applikationen• Shared Memory OpenMP• Performance Library• Open MPI Stack• Intel C++ und Fortran Compiler 11 Professional Edition

für Linux

Als Batch-System steht die „Sun Open Source GridEngine“ zur Verfügung, es wird zurzeit der Einsatz eineskommerziellen Batch-Systems evaluiert.

Installation

Das System wird im Rechenraum im 2. Stock des Frei-haus-Gebäudes der TU Wien installiert. Die Vorbereitungdes Aufstellungsortes ist abgeschlossen. Dort musste vorallem der 20 Jahre alte Doppelboden saniert und verstärktwerden, da das System 7-8 Tonnen wiegen wird. AlteGlykol-Kühlleitungen des früher dort installierten CDCCYBER Mainframes wurden entfernt.

An einer neuen Kaltwasserzuleitung mit 150 mmNennweite von der Kältezentrale im 11. Stock bis in denRechenraum wird derzeit gearbeitet. Diese Arbeit gestaltetsich schwierig, da die Rohre neben einer Vielzahl von Ka-beln in den Installationsschächten geschweißt werdenmüssen. Zusätzliche Stromzuleitungen sind bereits fertiggestellt.

Für die Installationsarbeiten am System selbst sindetwa 14 Tage anberaumt. Diese werden nach jetziger Pla-nung in der ersten Hälfte des Monats Juli erfolgen. An-schließend erfolgt der Abnahmetest, bei dem dieBenchmark-Leistung verifiziert wird, sowie ein 2-wöchi-ger Dauertest. Nicht unwichtig ist die Durchführung desso genannten LINPACK-Benchmarks, welcher für die Po-sition in der Top500 Liste [3] der weltweit leistungsfähig-sten Computer entscheidend ist. Wenn alles nach Planläuft, startet der Benutzerbetrieb Anfang September.

Zugang und Betrieb

Die genauen Modalitäten der Account-Vergabe sind der-zeit in Ausarbeitung. Jedenfalls soll der Zugang abgesehenvon Test-Accounts auf wissenschaftlich begutachtete Projek-te beschränkt werden. Bereits begutachtete, etwa von FWFoder EU finanzierte Projekte, werden dabei nicht nochmalsbegutachtet. In Ausnahmefällen ist auch eine Benutzung ge-gen Kostenerstatz möglich. Grundsätzlich werden Ressour-cen für Projekte an einen Projektleiter vergeben, der danndie Möglichkeit haben wird, persönliche Accounts für Mitar-beiter auf einfache Weise anzulegen.

Ein professionelles Queueing-System wird eine ent-sprechend saubere Zuteilung von Ressourcen bei guterGesamtauslastung ermöglichen. Für zeitkritische Arbeitenkönnen je nach Bedarf und Genehmigung auch Reservie-rungen im Voraus verwaltet werden.

Die Fileserver dienen grundsätzlich dem Handling derbearbeiteten Jobs. Die Anwender werden für die Siche-rung und Archivierung der Datenbestände selbst verant-wortlich sein. Ein entsprechendes Massenspeicher- undSicherungssystem hätte den finanziellen Rahmen deutlichgesprengt.

Links

[1] Das HPC-Cluster Projekt. ZIDline 19, Dezember2008: http://www.zid.tuwien.ac.at/zidline/zl19/das_hpc_cluster_projekt/

[2] Computational Science and Engineering Workshop(CSE 2009): 8. - 9. 1. 2009, Seehotel Rust:http://www.infosys.tuwien.ac.at/autocompwiki/index.php/CSE09

[3] TOP 5000 Liste: http://www.top500.org/lists

[4] LINPACK Benchmarks: http://www.netlib.org/benchmark/hpl/

[5] InfiniBand: http://www.infinibandta.org/home

[6] Vienna Scientific Cluster:http://www.zid.tuwien.ac.at/vsc/


Hier wird das gekapselte Zuhause des Clusters entstehen

TISS – Neue Workflows fürStudienabschlüsse undden ZeugnisdruckAndreas Böhacker, Ronald SteiningerAndreas Knarek, Monika Suppersberger, Wolfgang Kleinert

Nicht nur die Integration der bestehenden Services und Systeme der TU Wien zu einereinheitlichen Daten- und Servicebasis sondern auch die Konzeption und Entwicklung neuerFunktionen ist Teil des Projekts TISS. Auf dem Weg zur Gesamtlösung begegnet TISS immerwieder veralteten Abläufen, die nun mit Hilfe moderner Software effizienter gestaltet werden.

Neben der Entwicklung des neuen TU Adressbuchs,über das in der letzten Ausgabe der ZIDline bereits aus-führlich berichtet wurde, der Implementierung zusätzli-cher Features sowie der laufenden Erarbeitung neuerKonzepte zur Erweiterung der Funktionalität bis zur voll-ständigen Ablöse der White Pages hat sich TISS in denvergangenen Monaten auch mit der Entwicklung neuerSysteme befasst. Mit veralteten Abläufen und langjährigenProblemen wird aufgeräumt und so eine deutliche Arbeits-erleichterung für Mitarbeiter erreicht. Eines der TISS-Pro-jekte, durch das die TU Wien mit dem Einsatz neuerTechnologien wieder einmal eine Vorreiterrolle einnimmt,beschäftigt sich mit mobilem Gebäudesicherheitsmanage-ment und wird ausführlich in einem gesonderten Artikelauf Seite 20 dieser Ausgabe dargestellt. Zwei weitere Teil-systeme, die vor allem für Mitarbeiter eine erhebliche Ar-beitserleichterung mit sich bringen, aber auch fürStudierende mehr Komfort und Flexibilität bieten, sollenin diesem Artikel vorgestellt werden.

Studienabschlüsse – TISS STAB

Mit dem Ziel, die Abwicklung von Studienabschlüssenzu verbessern und zu automatisieren, wurde im Sommer2006 vom damaligen Vize-Studiendekan Dr. HeinrichPangratz ein Projekt zur Entwicklung einer entsprechen-den Softwarelösung für das Dekanat der Fakultät für Elek-trotechnik und Informationstechnik ins Leben gerufen.Nach der Analyse aller Studienpläne und der zugehörigenAbläufe zur Abwicklung der Abschlüsse, konnte in engerZusammenarbeit mit DI Edmund Dvorak, dem Leiter derADV-Abteilung des ZID, ein passendes Datenmodell ent-wickelt werden. Beginnend mit einem ersten Prototypen

für das Dekanat wurden in mehreren iterativen Schrittenneue Funktionen hinzugefügt, die Benutzbarkeit der Soft-ware optimiert und die Abschlussdokumente aktualisiert.Die in einem weiteren großen Schritt geschaffene Web-Applikation für die Studierenden erlaubt eine Voranmel-dung zu Studienabschlüssen inklusive einer initialen Zu-ordnung der absolvierten Lehrveranstaltungen zum Stu-dienplan und ersetzt somit die Anmeldebögen aus Papier.

Im Sommer 2008 fiel dann die Entscheidung, die fürdie Fakultät für Elektrotechnik und Informationstechnikentwickelte Software im Rahmen des TISS auch den an-deren Fakultäten der TU zugänglich zu machen und fürderen spezifische Bedürfnisse bei der Abwicklung derStudienabschlüsse zu erweitern bzw. anzupassen. In Be-sprechungen mit den Dekanen, Studiendekanen und Mit-arbeitern der Dekanate hat sich gezeigt, dass trotz deroftmals gravierenden Unterschiede bei den verwaltetenStudienplänen die Abläufe in den einzelnen Dekanatendoch sehr ähnlich sind: Die Anmeldung beginnt mit demAusfüllen eines Papierformulars durch die Studierenden,welches zumindest die persönlichen Daten, die absolvier-ten Lehrveranstaltungen entsprechend dem Studienplanund, falls notwendig, auch die Daten der Abschlussarbeitenthält. Die Studierenden bringen das Papierformular unddie notwendigen Zeugnisse ins Dekanat, wo alle Datenund Zuordnungen durch die Mitarbeiter manuell überprüftwerden müssen. Abhängig vom Studienplan werden dieStudierenden zu Abschlussterminen zusammengefasst undfür kommissionelle Prüfungen eingeteilt. Listen mit dengebildeten Kommissionen sind für die Studierenden, Prü-ferinnen und Prüfer sowie die Vorsitzenden zu erstellenund zu veröffentlichen bzw. zu versenden. Nachdem allePrüfungen absolviert wurden, müssen die entsprechenden


Notenmittelwerte der einzelnen Prüfungsfächer oder Mo-dule berechnet, die Gesamtbeurteilung ermittelt und zu-sammen mit den persönlichen Daten der Studierenden indie Abschlussdokumente eingefügt werden. Letztendlichwerden die Studienabschlüsse mittels Prüfungsbeleg andie Studien- und Prüfungsabteilung übermittelt und Ko-pien aller Abschlussdokumente im Dekanat abgelegt.

Basierend auf diesen einheitlichen Abläufen und den inden Gesprächen identifizierten Bedürfnissen der einzelnenDekanate und Studienpläne, wurde mit der Erstellung ei-nes ersten Prototypen von TISS STAB (STudienAB-schlüsse), der in allen Dekanaten der TU eingesetztwerden kann, begonnen. Wie wir in der letzten ZIDline(Dezember 2008) berichtet haben, konnte bereits im Win-tersemester 2008/09 mit dem Testbetrieb in ausgewähltenDekanaten begonnen werden.

Mittlerweile ist die erste Version der Software zur Ab-wicklung der Studienabschlüsse in allen Dekanaten derTU im Einsatz, teilweise noch im Testbetrieb, in einigenDekanaten aber auch schon im Produktivbetrieb. Natür-lich sind die Anpassung der Abläufe und der Einsatz einerneuen Software mit Zeit- und Lernaufwand für die Mitar-beiter der Dekanate verbunden. Der produktive Einsatz inden einzelnen Dekanaten erfolgt daher erst dann, wenn dieMitarbeiterinnen und Mitarbeiter mit den veränderten Ab-läufen und Mechanismen ausreichend vertraut sind. Dochder Einarbeitungsaufwand wird durch einige praktischeneue Funktionen schnell relativiert:

• Die Überprüfung aller an der TU ausgestellten Zeugnissekann entfallen. Die Berechnung der Notenmittelwerteder einzelnen Prüfungsfächer und die Ermittlung der Ge-samtbeurteilung erfolgen automatisch.

• TISS STAB unterstützt die Mitarbeiter der Dekanate beider Bildung von Prüfungssenaten und der Abwicklungder kommissionellen Abschlussprüfungen. Die Benach-richtigung der Studierenden, der Prüferinnen und Prüferund der Vorsitzenden sowie die Verteilung der Unterla-gen können auf Wunsch per E-Mail erfolgen.

• Der Abschluss eines Studiums muss nicht mehr mit ei-nem Prüfungsbeleg erfasst werden, sondern wird perKnopfdruck an die Studien- und Prüfungsabteilung über-mittelt.

• Alle für die internen Abläufe benötigten Dokumente(z. B. Absolventenlisten, Diplomarbeitslisten, Prüfungs-einteilungen etc.) und die an die Studierenden auszuhän-digenden Dokumente (z. B. Abschlusszeugnisse, Be-scheide, Diplome etc.) werden automatisch erstellt, aus-gedruckt und gleichzeitig zentral archiviert. Letzteressoll u. a. zu einer deutlichen Reduzierung der Papierar-chive in den Dekanaten führen.

• Für die Abwicklung von Abschlussfeiern (Sponsionen)können die notwendigen Diplome und Urkunden der teil-nehmenden Studierenden und verschiedene Listen zurDurchführung der Feiern erstellt werden.

• Zahlreiche Statistikfunktionen erlauben u. a. die Erstel-lung von Tabellen mit den Daten der Absolventen oderdas Ranking der Studierenden basierend auf deren Ab-schlussnoten.

Das Continuing Education Center der TU zählt mittler-weile auch zu den Benutzern von TISS STAB. Durch denengagierten Einsatz von Prof. Bob Martens und seinemTeam ist es in kürzester Zeit gelungen, die Software fürdie Studien und Lehrgänge des CEC zu erweitern. Dankder einfachen und klar strukturierten Studienpläne kanndas Weiterbildungszentrum besonders gut von den Auto-matismen der neuen TISS-Software profitieren.

In Zusammenarbeit mit dem Vizerektor für Lehre, denStudiendekanen, der Rechtsabteilung und den Mitarbei-tern der Dekanate ist es gelungen, einheitliche Bescheideund Abschlusszeugnisse für alle Fakultäten zu erstellen.Zusätzlich wird gegenwärtig an neuen Entwürfen für dieDiplome gearbeitet, um diesen repräsentativen Dokumen-ten ein moderneres und an das Corporate Design der TUangepasstes Layout zu geben. Außerdem werden in Kürzeallen Studierenden beim Abschluss auch DiplomaSupplements direkt in den Dekanaten ausgestellt.

Das TISS-Team erhält durch die intensive Beschäfti-gung mit den derzeit gültigen Studienplänen und den zu-gehörigen Abläufen in den verschiedenen Dekanatensowie durch die Gespräche mit den verantwortlichen Mit-arbeiterinnen und Mitarbeitern wertvolle Informationenund Vorschläge für die Entwicklung eines neuen Studien-planmodells. Dieses neue Modell soll alle bisherigen Stu-dienpläne abbilden können, aber auch gleichzeitig einFramework für die Erstellung neuer Studienpläne bieten.In den letzten Jahren hat sich gezeigt, dass Anpassungenan bestehenden Studienplänen und die Einführung neuerStudienpläne in immer kürzeren Abständen erfolgen. Da-her sind eine Optimierung der Abläufe und die Entwick-lung von Software zur Unterstützung dieser Abläufe drin-gend notwendig, um die schnelle und effiziente Einbin-dung neuer Studienpläne in den Studienbetrieb zu er-möglichen. Eine verbesserte Darstellung der Studienpläneund eine Verknüpfung mit den Prüfungsdaten sollen si-cherstellen, dass die Studienpläne leichter verständlichsind und die Studienfortschritte sowohl für die einzelnenStudierenden als auch für die Mitarbeiter in denDekanaten jederzeit leicht ersichtlich sind.

Student Self Service

Neben der vereinfachten Abwicklung von Abschluss-prüfung sorgen noch weitere, neue Services für die Entlas-tung der Mitarbeiter und für mehr Komfort und Flexibili-tät für Studierende. Dem Ziel, die Abläufe in der Studien-abteilung für Mitarbeiter und Studierende zu verbessern,ist TISS mit der Entwicklung der ersten Student Self Ser-vices einen großen Schritt näher gekommen. Diese Servi-ces bieten derzeit den Selbstausdruck von Einzel- undSammelzeugnissen sowie auch z. B. der Bestätigung lautFamilienlastenausgleichsgesetz (FLAG) an. Studierendekönnen auf diese Dokumente nun bequem von zu Hauseoder von jedem beliebigen Zugang aus zugreifen, als PDFherunterladen und bei Bedarf ausdrucken. Für die Mitar-beiter der Studienabteilung bedeutet dies, mehrere Zehn-tausend Bestätigungen und bis zu 150.000 Zeugnisse proJahr weniger ausdrucken und kuvertieren zu müssen. FürStudierende entfällt der Weg in die Studienabteilung, das


Warten auf die Post, aber auch die Gebühren für das Aus-stellen eines Duplikats in dem Fall, dass ein Zeugnis ver-loren geht oder versehentlich im Altpapier landet. Sämt-liche Dokumente, egal ob Bestätigungen oder Zeugnisse,werden zentral gespeichert und sind jederzeit abrufbar.Der Zugriff erfolgt über einen Link in TUWIS++, der aufdie entsprechende Seite des Services in TISS führt. Um denAnwendern einen zusätzlichen Anmeldevorgang zu erspa-ren, wurde nun auch TUWIS++ an das TU Portal angebun-den, das mittels SingleSignOn den Zugang zu mehrerenAnwendungen nach einmaligem Login ermöglicht.

Da mit diesem Service nun alle Zeugnisse und Bestäti-gungen über das Web verfügbar sind, wird natürlich auchsichergestellt, dass kein unbefugter Zugriff auf diese Do-kumente erfolgen kann. Da die bisherigen Echtheitsmerk-male, Stempel, Unterschrift und im Falle von Einzel-zeugnissen auch ein spezielles Papier, durch den Selbst-ausdruck entfallen, muss es aber vor allem für Behördenwie beispielsweise das Finanzamt die Möglichkeit geben,die Echtheit des Dokuments zu prüfen. Um beiden Anfor-derungen gerecht zu werden, wird für jedes Dokument ein25-stelliger Hashcode, zusammengesetzt aus Ziffern,Groß- und Kleinbuchstaben, generiert, der zur eindeutigenIdentifizierung verwendet und als Teil einer URL auf dasDokument gedruckt wird. Über diese URL ist der Zugriffauf das Originalfile ohne vorherige Authentifizierungmöglich. Ein Beispiel für ein Einzelzeugnis (die URL desMusterzeugnisses ist ungültig) ist in Abbildung 1 zusehen, ein Musterexemplar eines Sammelzeugnisses inAbbildung 2.

Ein kleines Rechenbeispiel soll veranschaulichen, wes-halb es beinahe unmöglich ist, durch Zufall (gewollt oderungewollt) einen vergebenen Code zu erraten und damitunbefugten Zugriff auf ein Zeugnis oder eine Bestätigungzu bekommen (alle Zahlen sind Annahmen, die teilweisesehr großzügig aufgerundet wurden): Auf Grund der Zu-sammensetzung des Codes ergeben sich ca. 6,453·1044

mögliche Kombinationen ((10+26+26)25) der Ziffern,Groß- und Kleinbuchstaben. Geht man davon aus, dasspro Jahr etwa 5.000 neue Studierende an der Universitätzugelassen werden, für die im Laufe ihres Studiums ca.2000 solcher Dokumente ausgestellt werden, ergibt daseine Anzahl von 10.000.000 Dokumenten pro Jahr. Wirdnun ein fiktiver Beobachtungszeitraum von 1.000 Jahrenangenommen, so kommt man auf eine Zahl von10.000.000.000 Dokumenten – also 1,0·1010. Selbst überdiesen langen Zeitraum betrachtet, würde nur jeder6,453·1034-te Code ein gültiges Dokument adressieren.Nimmt man nun an, dass ein Angreifer auf das System1.000.000 Codes pro Sekunde ausprobieren könnte, würdeer statistisch gesehen über 2,046·1021 Jahre benötigen, umeinen einzigen gültigen Code zu erhalten. Selbst wenn derAngreifer aus irgendeinem Grund rund die Hälfte der 25Stellen eines gültigen Codes wüsste, würde es statistischbetrachtet mit der obigen Abfragegeschwindigkeit1,023·108 Jahre andauern, bis durch das Ausprobieren vonallen möglichen Kombinationen das entsprechende Doku-ment gefunden werden würde.


Abbildung 2:Musterexemplar eines Sammelzeugnisses für den Selbstausdruck

Abbildung 1:Musterexemplar eines Einzelzeugnisses für den Selbstausdruck

Man kann daher sagen, dass schon alleine die enormhohe Anzahl von möglichen Codes das System bereitssehr sicher macht. Zusätzlich wird aber natürlich auchverhindert, dass jemand überhaupt in die Lage kommt,viele verschiedene Codes auszuprobieren. Dazu wird einMechanismus implementiert, der ab einer gewissen An-zahl von abgefragten ungültigen Codes den Zugang fürdie IP-Adresse des Angreifers für eine gewisse Zeit sperrt.

Da man aber auch die Möglichkeit in Betracht ziehenmuss, dass ein Zeugnis auf Grund unglücklicher Umstän-de in falsche Hände gerät und das Originaldokumentdurch Veröffentlichung des Codes von jeder beliebigenPerson abgerufen werden könnte, wurden zusätzliche Si-cherheitsvorkehrungen getroffen, um unbefugte Zugriffezu verhindern. Die Anzahl der tatsächlich erfolgen Aufru-fe – und damit ein Indikator für einen möglichen Miss-brauch – ist für den Studierenden jederzeit ersichtlich. DerStudent hat unabhängig von der Anzahl der Zugriffe dieMöglichkeit, die Online-Validierung eines Dokumentsüber die URL gänzlich zu deaktivieren und auch wiederzu aktivieren. Weiters kann bei Bedarf ein neuer Hash-code generiert werden, wodurch das ursprüngliche Doku-ment zwar weiterhin gespeichert, aber von außen nichtmehr zugänglich ist. Zu bedenken ist dabei aber, dass je-der Studierende insbesondere bei einer Bestätigung desStudienerfolgs für eine öffentliche Behörde wie das Fi-nanzamt sicherstellen sollte, dass eine Online-Validierungfür den in Frage kommenden Zeitraum möglich ist.

Der 25-stellige Code ist für die Eingabe in die Adress-leiste eines Browsers allerdings ziemlich umständlich.Aus diesem Grund wird auf jedem Dokument zusätzlichzu der URL auch ein zweidimensionaler Barcode ange-zeigt, der die URL codiert. Der Barcode richtet sich nachdem QR-Code Standard (QR steht für quick response,schnelle Antwort) aus dem Jahre 1994. Für die Auswer-tung des Codes gibt es mittlerweile sehr viel Software, so-wohl für Mobilfunkgeräte mit integrierter Kamera alsauch für PCs und Notebooks mit Web-Cams. Ein einfa-cher Klick am Handy oder PDA kann damit ausreichen,um für eine Überprüfung der Daten das Originaldokumentvom TISS-Server abzurufen.

Noch im Sommersemester 2009 sollen neben den Ein-zel- und Sammelzeugnissen sämtliche Bestätigungen,wie das Studienblatt, die FLAG-, die Studienerfolgs-, dieStudienzeit-, die Studien- und die Fremdenstudien-Bestä-tigung online über TISS zum Selbstausdruck für Studie-rende zur Verfügung stehen.

Ausblick

In den kommenden Monaten werden schrittweise wei-tere Teile von TISS sichtbar werden, wobei vor allemFachabteilungen der TU Wien von neuen Systemen, Ser-vices und integrierten Lösungen profitieren werden. Iter-ative Entwicklung von Prototypen unter regelmäßigerAbstimmung und Prüfung durch die betreffenden Mitar-beiter werden zur Ergänzung und Erweiterung des Fach-konzepts und vor allem auch zu maßgeschneidertenLösungen führen. Der Schwerpunkt wird dabei auf derAblöse von Altsystemen liegen, aber gleichzeitig werdenauch weiterhin kleinere, neue Teilsysteme entwickelt, dieals moderne Hilfsmittel zur Entlastung der Mitarbeiterbeitragen werden.

Aber auch für Studierende werden schon bald weitereServices in TISS aufgehen. Mit der Integration der Di-plomarbeitsbörse, die bisher vom TU Career Center ge-hostet wurde, erhalten Studierende weiterhin einenschnellen Überblick über angebotene Diplomarbeiten.Von der Überarbeitung, Neugestaltung und schrittweisenErweiterung der bisherigen Funktionen werden nichtzuletzt auch Mitarbeiter profitieren.

In der kommenden Ausgabe der ZIDline wird TISS wie-der über aktuelle Entwicklungen und Ergebnisse berichten.Bis dahin werden auch Zwischenberichte über den Projekt-fortschritt für Informationen aus erster Hand sorgen.

Für Feedback, Anregungen oder Verbesse-rungsvorschläge steht das TISS-Team natürlich weiterhinper E-Mail an [email protected] oder über dasKontaktformular (http://www.zid.tuwien.ac.at/ueber_tiss/kontakt/) zur Verfügung.


Geoblockingdes MS XP ProfessionalProduktschlüsselsMartin Holzinger

Mit Anfang Juni 2009 wird die WGA-Gültigkeitsprüfung für Rechner mit IP-Adressen, die seitensMicrosoft als nicht aus Österreich stammend klassifiziert werden, fehlschlagen. Für den Betriebvon Rechnern mit der Campus- bzw. der Studentenversion von Windows XP innerhalb Österreichs(bzw. speziell innerhalb des TUNET) ergeben sich daraus keine Konsequenzen.

Vorgeschichte

Seit der erstmaligen Bereitstellung von MS WindowsXP Professional im Oktober 2001 an der TU Wien sindnun fast 8 Jahre vergangen und mittlerweile wurde bereitsdas dritte Service Pack ausgerollt. Das Betriebssystem er-freut sich noch immer großer Beliebtheit, ca. 80% aller amCampus laufenden Microsoft-Systeme werden mit XP be-trieben.

Im Unterschied zu den im Handel erhältlichen Retail-Versionen erhalten Unternehmen mit entsprechenden Li-zenzverträgen so genannte Volumen-Lizenzschlüssel (Vo-lume Licensing Keys, VLKs). Solche Schlüssel eignensich unbegrenzt zur Aktivierung mittels zugehöriger In-stallationsmedien aufgesetzter Betriebssysteme und solltendaher entsprechend vertraulich behandelt werden. Nacheingehenden Untersuchungen hinsichtlich technischerMachbarkeit wurde der VLK seinerzeit so versteckt wiemöglich in eine so genannte unbeaufsichtigte Installation(unattended installation) eingearbeitet, sodass dieser beimInstallationsprozess nicht abgefragt wird.

Ein Key geht um die Welt …

Mittlerweile existieren jedoch etliche Tools, die be-quem per grafischer Oberfläche ein Auslesen solcherSchlüssel aus einer Distribution ermöglichen. Im Übrigenist die Anwendbarkeit dieser Programme weder auf Keysvon Windows XP noch auf Microsoft-Produkte allein be-schränkt, sodass eine (illegale) Weiterverbreitung vonProduktschlüsseln im Normalfall nur eine Frage der Zeitdarstellt.

Speziell liefert eine gezielte Internet-Suche nach demder TU Wien zuordenbaren XP-VLK an die 150 Webseitenmehr oder weniger konstruktiven Charakters, die von einfa-chem Anführen / Posten des Strings bis hin zur Download-

Möglichkeit ganzer Distributionen über Filesharing-Toolsreichen. Da der VLK – aus welchen Gründen auch immer –nicht an eine spezielle Sprachversion gebunden ist, scheinter sich laut Microsoft auch im Reich der Mitte einer zuneh-mend größeren Beliebtheit zu erfreuen.

… und wie wir und Microsoft darauf reagieren

Wir haben daher mit Microsoft die Implementierungeines so genannten „Geoblockings“ vereinbart. DieserMechanismus soll mit Anfang Juni 2009 aktiv werden.

Betroffen von der Maßnahme werden alle jene Rechnersein, die mit einer IP-Adresse „außerhalb Österreichs“durch die manuelle Update-Funktion (Windows Updateoder Microsoft Update) oder WGA-Prüfung (manuelloder nach Erstinstallation) auf die Validierungsserver vonMicrosoft zugreifen. In diesem Fall ist mit einer Meldungzu rechnen, es handle sich möglicherweise um eine nichtlegale Windows-Version, vgl.http://de.wikipedia.org/wiki/Windows_Genuine_Advantage

Die „Funktionalität“ des Betriebssystems selbst bleibtdavon unbeeinträchtigt. Auch ist eine solche Meldung indem Sinne nicht persistent, als dass ein Rechner durch Ver-wendung einer „gültigen“ IP-Adresse (etwa durch VPN-Zugang) eine dann durchzuführende Gültigkeitsprüfungwieder besteht. Solche Fälle sind etwa für zu Tagungs-zwecken ins Ausland verbrachte Notebooks denkbar.

Für im Sinne des Punktes 8) der Allgemeinen Lizenz-bedingungen – vgl. http://www.zid.tuwien.ac.at/fileadmin/files_sts/pdf/Lizenzbedingungen.pdf – begründbare Aus-nahmefälle besteht zudem nach Rücksprache die Möglich-keit eines Austauschens des geblockten Keys.

Für weitere Informationen oder Fragen steht Ihnen dasService Center des ZID unter der Nummer 42002 bzw.unter [email protected] gerne zur Verfügung.


Automatische Mailboxenund eindeutige generischeE-Mail-AdressenGeorg Gollmann, Johann Klasek, Fritz Mayer

Für alle Personen im Personalstand der TU Wien stellt der ZID eine Mailbox für die TU-internedienstliche Erreichbarkeit zur Verfügung.

Vorgeschichte

Bisher nahmen nicht alle Mitarbeiterinnen und Mitar-beiter der TU Wien die E-Mail-Dienste des ZID oder in-stitutseigener Mailserver in Anspruch. Auch die Zuord-nung der generischen Adresse zu einer Zustelladresse warnicht immer gegeben. Etwa ein Viertel des Personals derTU Wien hatte keine Zustelladresse und war daher nichtüber eine generische E-Mail-Adresse erreichbar.

Durch die Einführung des SAP Moduls ESS – Em-ployee Self Service – für das Reisemanagement (weitereApplikationen wie Urlaubs- und Krankenstandsmeldungsollen folgen) wurde es notwendig, dass alle Mitarbeite-rinnen und Mitarbeiter hausintern per E-Mail verständigtwerden können.

Im April 2009 wurde für alle Mitarbeiterinnen und Mit-arbeiter im Personalstand der TU Wien, die keine E-MailZustelladresse hatten, vom ZID eine Mailbox vorbereitet.

Seither erhalten auch alle neu im Personalstand aufge-nommenen Personen automatisch eine Mailbox vom ZID,sofern sie im Adressbuch [1] nicht schon eine Zustell-adresse eingetragen haben. Insbesondere haben Tutorenmeist schon eine Mailbox über ihren Studenten-Account.

Diese Mailbox muss durch Setzen eines Passwortes ak-tiviert werden [2]. Da dafür das TU-Passwort [3] benötigtwird, werden die Adressmanager des jeweiligen Institutesbei Bedarf per E-Mail gebeten, dem neuen Mitarbeiter einTU-Passwort anzulegen.

Die Mailbox ist – zur Vermeidung von SPAM – vorerstnur innerhalb der TU Wien erreichbar. Über „E-Mail Ein-stellungen“ [4] im Adressbucheintrag kann diese jederzeitin eine weltweit erreichbare Mailbox umgewandelt wer-den. Dies geschieht, indem man die Spalte „SPAM-Levelignorieren“ für die entsprechende Zustelladresse leer lässtoder einen entsprechenden Wert > 0 (mindestens 6 emp-fohlen) einträgt.

Der Account für die Mailbox wird im Account Mana-gement System geführt [5] und ist bis 2 Monate nach demAusscheiden aus dem Personalstand gültig.

Für alle Mitarbeiterinnen und Mitarbeiter der TU Wiensind eindeutige generische E-Mail-Adressen der Form

Vorname.[Mittelteil.][email protected]

eingerichtet. Derartige E-Mail-Adressen [6] gibt es schonseit einiger Zeit für Studierende und Alumni (@student.tuwien.ac.at bzw. @alumni.tuwien.ac.at). Während dieAdresse für Mitarbeiter automatisch vergeben wird, ist siefür Studenten und Alumni wie bisher optional.

Bei Namensgleichheit wird als Mittelteil standardmä-ßig der zweite Vorname oder das Kurzzeichen der Organi-sationseinheit eingetragen. Über „Mail Alias“ [7] imAuthentifizierungsportal [8] kann der Mittelteil geändertbzw. hinzugefügt werden. Der Mittelteil ist für alle Rolleneiner Person – Mitarbeiter, Student, Alumni – einheitlich.

Die bisherigen generischen E-Mail-Adressen der FormVorname.[Vorname2.][email protected]ür Personen im Personalstand vor der Einführung derautomatischen Mailboxen bleiben weiterhin bestehen.


Anders als bei diesen Adressen ändert sich die neue gene-rische E-Mail-Adresse bei einem Namenswechsel, etwadurch Verehelichung, nicht automatisch, damit publizierteMail-Adressen weiterhin gültig bleiben. Jedoch kann imFall eines Namenswechsels über „Mail Alias“ [7] im Authen-tifizierungsportal die Änderung in die generische E-Mail-Adresse übernommen werden.

Generische Adressen bleiben bis ein Jahr nach demAusscheiden aus dem Personalstand gültig und werdendanach 6 Monate gesperrt, bevor sie an eine andere Per-son vergeben werden. Alumni Aliase werden gelöscht,wenn keine Zustelladresse mehr vorhanden ist, Studenten-und Mitarbeiter-Aliase nach dem Ausscheiden.

Als Zustelladresse für die generische Adresse von Mit-arbeitern wird vorzugsweise die bei der Zustellorganisa-tion im Adressbuch eingetragene Adresse genommen. Fehltdiese, wird auf allfällige bei anderen Instituten eingetrage-ne Zustelladressen zurückgegriffen. Gibt es auch dienicht, wird nach einem gültigen Mail-Account am ZID ge-sucht, etwa die oben beschriebene automatisch eingerich-tete Mailbox. Sollte auch die fehlen, wäre, so vorhanden,die Studenten-Mailadresse die letzte Option.

Für Studenten- und Alumni-Aliase wird wie bisher dieim Adressbuch bei der Studentenrolle eingetragene Zu-stelladresse herangezogen.

Allen automatisch eingerichteten Mailboxen wird eineZustelladresse der Form [email protected] zu-geordnet. username wird nach einem bestimmten Algo-rithmus aus Vor- und Nachname generiert und ist zugleichBenutzername für den E-Mail-Abruf. Der Abruf kannwahlweise über das POP3- oder IMAP-Protokoll erfolgen,muss aber verschlüsselt (SSL/TLS) sein. Als Postein-gangs-Server als auch als Postausgangs-Server (SMTP) ist„mail.zserv.tuwien.ac.at“ anzugeben. Die SMTP-Funktion

steht auch von außerhalb des TUNET zur Verfügung,muss dann aber ebenfalls über Authentifizierung mit Be-nutzernamen, Verschlüsselung (TLS) und Port 587 erfol-gen. Für den Fall, dass kein eigener E-Mail-Clientverwendet werden kann, wird auch ein Webmail-Interface[9] angeboten. Jedem Mail-Account stehen 2 GB anSpeicherplatz zur Verfügung [10].

Die Einrichtung von Weiter- und Umleitungen, Filternund Abwesenheitsnotizen kann ebenfalls über ein Web-Interface vorgenommen werden [11].

[1] TU Adressbuch:http://tiss.tuwien.ac.at/adressbuch/adressbuch/

[2] Passwort-Änderung:https://www.zid.tuwien.ac.at/passwort/

[3] TU-Passwort: http://www.zid.tuwien.ac.at/tu_passwort/

[4] E-Mail Optionen für Mailboxen:https://iu.zid.tuwien.ac.at/ZID-DB.mailOptions

[5] Online Account Management:http://www.zid.tuwien.ac.at/zidaccounts/

[6] Mail-Adressierung: http://www.zid.tuwien.ac.at/kom/services/mail/konzept/mail_adressierung/

[7] Mail Alias, generische E-Mail-Adresse ändern:https://iu.zid.tuwien.ac.at/ZID-DB.mailAlias

[8] Authentifizierungsportal:https://iu.zid.tuwien.ac.at/AuthServ.portal

[9] Webmail: https://webmail.tuwien.ac.at/

[10] Mailbox-Service des ZID:http://www.zid.tuwien.ac.at/zserv/mail/

[11] Mail-Filter und Auto Reply:https://mail.tuwien.ac.at/filter/


Neu als Campussoftware:

Bricscad

Bricscad – auf IntelliCAD basierend – ist eine 2D und 3D CAD Software, die das DWG Format liest undschreibt und somit die Kompatibilität zu AutoCAD bietet.

SolidWorks

3D-CAD Software für den Maschinenbau

Zwei Konstruktionsanalysewerkzeuge werden mit dieser Software angeboten:COSMOSWorks – FEA: Finite-Elemente-AnalyseCOSMOSFloWorks – CFD: numerische Strömungsmechanik (CFD) und thermische Analyse

www.zid.tuwien.ac.at/sts/arbeitsplatz_software/

Externer Zugangzu den LizenzservernAndreas Klauda

Durch die immer größer werdende Verbreitung mobiler Geräte und die Möglichkeit, das Internetauch unterwegs zu nutzen, ist auch der Wunsch nach einer Lösung entstanden, Software, welcheeinen Lizenzserver benötigt, auch außerhalb des TUNET zu verwenden.

Die angestrebte Lösung sollte ohne VPN oder zusätz-liche Software auskommen, daher wurde eine web-basier-te Möglichkeit geschaffen, um den Zugang zum Lizenz-server auch außerhalb des TUNET zu ermöglichen. Diesesieht wie folgt aus:

Die beiden Lizenzserver acadls.tuwien.ac.at undacadls2.tuwien.ac.at können für beliebige IP-Adressen für einen gewissen Zeitraum (im Augenblicksind es 480 Minuten) frei geschaltet werden.

Dazu – sobald man mit der gewünschten IP-Adresse on-line ist – folgende Webseite aufrufenhttps://iu.zid.tuwien.ac.at/Products.licenceActivation

und mit TU-Usernamen und Passwort authentifizieren.

Nach der Authentifizierung wird die IP-Adresse freigeschaltet, man erhält dann folgende Meldung:

Voraussetzung ist, dass die entsprechende Software(welche einen Lizenzserver verwendet) auch auf den eige-nen Namen registriert ist.

Danach sind die beiden Lizenzserver temporär frei ge-schaltet und die Software kann verwendet werden.

Alternativ dazu kann man auch weiterhin eine VPN-Verbindung verwenden, hier ist dann keine manuelle Frei-schaltung notwendig, aber auch dazu sind gewisse Vor-aussetzungen notwendig:

• Die Software, die verwendet wird, muss auf den eigenenNamen lizenziert sein.

• Der TU VPN-Zugang muss auf denselben Namen regis-triert sein (fixe IP-Adresse).

• Im TU-WLAN muss WLANIPSEC verwendet werden,welches ebenfalls auf denselben Namen registriert seinmuss (fixe IP-Adresse).

Dieser Lizenzserver-Zugang ist für folgende Campussoft-ware-Produkte realisiert:

Acronis True Image Workstation 9.1

AMOS

Archdesktop, Mechdesktop

Autocad

Autocad Inventor

Autocad Map

LabView

Mathcad

Origin Pro

QuarkXpress

Scientific WorkPlace

Solidworks

SPSS


Windows Server 2008 –nicht nur VerbesserungenRudolf Sedlaczek

Dieser Artikel soll und kann keinen vollständigen Überblick über alle Neuigkeiten und Änderungenin Windows Server 2008 geben (dazu gibt es zu viele), sondern einige grundlegende Themenbeleuchten und TU-spezifische Informationen vermitteln.

Windows Server 2008 kommt mit weniger verschiede-nen Distributionen als frühere Server-Versionen. An derTU sind die Bits als DVD-Images für 32 Bit x86, 64 Bitx64 und IA64 Itanium verfügbar, alle auf Englisch undDeutsch.

Die Auswahl der gewünschten Server-Variante, obStandard, Enterprise oder Datacenter, erfolgt erst beider Installation. Dabei wird auch gefragt, ob man einevolle Installation (mit GUI) oder nur den Server Core(ohne GUI) installieren will. Der Server Core ist eineneue Installationsvariante und braucht weniger Plat-tenplatz, kann aber lokal nur mit Shell-Kommandosadministriert werden und erinnert damit sehr an frü-here UNIX-Systeme ohne grafische Oberfläche.

Nur am Anfang der Installation sind diese und we-nige andere Einstellungen festzulegen, dann läuft dieProzedur ohne weitere Intervention ab. Das ist einVorteil gegenüber früheren Server-Versionen, woauch während der Installation Fragen beantwortetwerden mussten.

Aktivierung

Nach Installation muss der Server innerhalb von60 Tagen über den Aktivierungs-Server der TU Wienaktiviert werden, sonst läuft das System nur mehr miteingeschränkter Funktionalität weiter. Jede Aktivie-rung ist zeitlich beschränkt und gilt maximal 180Tage. Die Aktivierung erfolgt über ein Script, das denInstallationsmedien hinzugefügt wurde. Nach der In-stallation steht der Befehl „TU-Aktivierung“ amDesktop zur Verfügung. Im Gegensatz zur Aktivie-rung von Windows Vista muss der Systemadministra-tor nur eine einmalige Aktion zur permanentenAktivierung des Servers durchführen. Durch das Aus-führen des Aktivierungs-Scripts wird der Server in re-gelmäßigen Abständen automatisch reaktiviert.

Voraussetzungen für erstmalige Aktivierung und Ver-längerung:

• Internetzugang des Rechners, ggf. Instituts-Firewall fürPort TCP 1688 ausgehend öffnen.

• Rechner muss als Server angemeldet sein und über einenDNS-Eintrag verfügen.


Der Erste Schritte Assistent führt durch die Grundkonfiguration

Assistenten

Eine wesentliche Vereinfachung und bessere Übersichtbringen neue Assistenten und das VerwaltungsprogrammServer Manager. Der Server Manager ist eine erweiterteMicrosoft Management Console (MMC), die es ermög-licht, praktisch alle Informationen über den Server zu er-halten und alle Werkzeuge zum Verwalten unter einerAnwendung anbietet. Mit den Rollen- und Features-Assi-stenten können alle zur Verfügung stehenden Funktioneninstalliert werden.

Backup

Die neue Server-Version hat aber nicht nur Erweiterun-gen erfahren, sondern auch Funktionseinschränkungen. Soist kein Backup mit ntbackup mehr möglich, die neue Ser-ver-Sicherung unterstützt keine Sicherung auf Bänder, nurauf Festplatten und optische Laufwerke (CD, DVD). Esarbeitet nicht mehr dateibasierend, sondern erzeugt mittelsSnapshot-Verfahren Sicherungen in Form von VHD-Da-teien. Während das für die Sicherung von Servern gravie-rende Vorteile bietet (eine ähnliche Sicherung ist ja zum

Beispiel in Windows Vista schon integriert), istfür Exchange-Server die Sicherung kompliziertergeworden. Windows Server Backup unterstütztkeine Online-Sicherung von Exchange-Datenban-ken mehr. Es kann alte Sicherungsdateien lesenund von diesen auch Daten wieder herstellen – eskann jedoch nicht neue Sicherungen nach dem al-ten Verfahren erzeugen.

Man kann allerdings eine verkrüppelte Versionvon ntbackup herunterladen, mit der man aber dieDaten von alten Bändern nur lesen kann. DassMicrosoft ein lange funktionierendes einfachesProgramm aktiv unbrauchbar macht und damitvorhandene Bandlaufwerke und Backup-Prozedu-ren unbenutzbar macht, hat viele Anwender ver-ärgert. Es mag stimmen, dass ntbackup für großeDatenmengen kein wirklich professionellesWerkzeug war, da die notwendigen Verwaltungs-funktionen gefehlt haben. Für kleinere Server undzum Sichern des Exchange-Datenspeichers war esallerdings ausreichend.

Welche Alternativen gibt es nun, um weiter sei-ne Exchange-Daten sichern zu können oder vorhan-dene Bandlaufwerke weiter verwenden zu können?Zunächst einmal Third Party Software: SymantecBackup Exec funktioniert einwandfrei, schnell, istkomfortabel einzurichten und ist als Campus Soft-ware erhältlich (das angebotene Bundle ist aller-dings nicht gerade billig).

Ein nicht unterstützter, aber funktionierenderWork-around ist die Verwendung von ntbackupvon Windows 2003: Dazu müssen die Dateienntbackup.exe, ntmsapi.dll und vssapi.dll von ei-nem Windows 2003 System in einen Ordner amWindows 2008 kopiert werden, dann funktioniertzumindest das Exchange Backup wieder so wieunter Windows 2003.

Was bietet Microsoft selber an, um Exchange-,Sharepoint- und SQL-Datenbanken online zu si-chern?

Den Microsoft System Center Data Protecti-

on Manager 2007 (DPM), der die erforderlichenVSS-Writer (Volume Shadow Copy Service, Vo-lumeschattenkopie-Dienst) für Exchange 2007unterstützt. Damit können Sicherungen auf Disksund Bandlaufwerke durchgeführt werden. DerDPM wird als eigenes Campus-Software Produktan der TU zur Verfügung stehen.


Server Manager

Rollen-Assistent

Allerdings kann man den DPM nicht so einfach als An-wendung auf einem Applikations- oder Exchange-Serverinstallieren wie Symantec Backup Exec. DPM muss eineigener dedizierter single-purpose Server sein, der keiner-lei andere Rollen oder Funktionen ausführen darf!

Dabei drängt sich gleich die Frage auf: Noch eine wei-tere Server-Kiste? Es ist ja schon so, dass ein Domain-Controller nicht auch ein Exchange-Server sein darf,wenn die Konfiguration von Microsoft unterstützt werdensoll.

Virtualisierung

Um die erforderliche Flut an einzelnen Boxen einzu-dämmen, bleibt nur die Virtualisierung der Server. Schonseit Jahren war dies unter VMware möglich, allerdingsweigerte sich Microsoft dann oft, Probleme auf virtuali-

sierten Servern näher zu untersuchen, mit demHinweis, dass der Server oder die Applikation un-ter VMware nicht voll unterstützt wären. Manmöge doch die ganze Konfiguration auf einzelnenphysischen Geräten installieren und sehen, ob derFehler da auch auftritt! Welch weltfremdes An-sinnen von Microsoft! Zur Ehrenrettung von Mi-crosoft muss allerdings eingestanden werden,dass einige aufgetretene Probleme wirklich erstdurch die Virtualisierung entstanden sind, entwe-der durch Bugs in der VMware oder durch fehler-hafte Verwendung der virtuellen Instanzen (z. B.dieselbe Instanz gleichzeitig auf zwei Hostslaufen zu lassen, führt zu seltsamen Effekten...)

Mitte 2008 wurde schließlich Microsofts Vir-tualisierungslösung freigegeben: Hyper-V

Damit können wie unter VMware Windowsund Linux Server mit 32 und 64 Bit parallel be-trieben werden, wobei auch virtuelle Multiprozes-sorsysteme möglich sind. Hyper-V ist nur unterder x64 Version von Windows Server 2008 ver-fügbar und benötigt Hardware, die die Virtuali-sierung unterstützt (Intel VT bzw. AMD-V) undHardware Data Execution Protection (DEP) er-möglicht. Das Snapshot-Feature erlaubt, denStatus einer laufenden virtuellen Maschine zusichern.

Da die Fähigkeiten von Hyper-V noch nicht andie von VMware heranreichen, bringt Microsofteinige Lizenzierungszuckerln, die VMware natür-lich nicht bieten kann: Bei jedem Standard Serverist eine zusätzliche virtuelle Windows-Server-Ins-tanz kostenlos inkludiert, beim Enterprise Serversind es vier Instanzen. Sind diese Instanzen eben-falls Windows 2008 Server, müssen sie natürlichebenfalls aktiviert werden und erfordern deshalbauch einen DNS-Eintrag und eine spezielle Ser-ver-Lizenz bei der Server-Software Anmeldung:„Windows 2008 Server virtuelle Hyper-V Ins-tanz“.

Ein Argument für die Verwendung von Hyper-Vist auch der jetzt gewährleistete Support durchMicrosoft für virtualisierte Anwendungen wieExchange oder SQL.

Zusammenfassung

Wer wirklich alles wissen will, was sich mit WindowsServer 2008 geändert hat, sei auf das 340 Seiten starkeDokument: „Changes in Functionality from Windows Ser-ver 2003 with SP1 to Windows Server 2008“, verwiesen,downloadbar unter:www.microsoft.com/downloads/details.aspx?FamilyID=173e6e9b-4d3e-4fd4-a2cf-73684fa46b60&DisplayLang=en

Zusammenfassend kann man aber doch sagen, dassWindows Server 2008 ein stabiles und leistungsfähigesBetriebssystem geworden ist, das man schon uneinge-schränkt für den Produktionsbetrieb empfehlen kann,wenn man sich mit der Backup-Problematik auseinander-setzt.


Hyper-V

Features-Assistent

Feuerwände für das TUNETEin Servicefür die ComputersicherheitFritz Schrogl

Mit zunehmender Bedeutung des Internets für unser alltägliches Leben steigt auch dieProfessionalität der Cyberkriminellen. Dieser Professionalisierung sollte man als verantwortungs-voller Benutzer nicht tatenlos zusehen, sondern entsprechende Schutzmaßnahmen ergreifen.Der ZID steht einem hierfür tatkräftig zur Seite.

Einleitung

Wer die Security-Meldungen der einschlägigen IT-Webseiten verfolgt wird schnell feststellen: Die Zeit derso genannten Skriptkiddies ist vorbei. Die Cyberkriminel-len von heute werden immer professioneller und organi-sieren sich immer besser. Einer der Gründe für diesenWandel liegt vor allem in der zunehmenden kommerziel-len Nutzung des Internets, wodurch immer größere Sum-men durch Cyberkriminalität lukriert werden können.

Ein Thema in diesem Kontext sind so genannte Bot-Netzwerke und die durch sie möglichen Denial-of-Service-Angriffe. Bei Bot-Netzwerken handelt es sich um einen lo-sen Verbund von Rechnern, die mit entsprechender Schad-software infiziert wurden und anschließend unter derKontrolle eines Command-and-Control-Servers stehen.Durch den C&C-Server können nun alle Rechner einesBot-Netzwerkes angewiesen werden, zeitgleich wiederholteMale auf eine Webseite zuzugreifen. Durch diese schiereMasse an Anfragen kann die angegriffene Webseite zusam-menbrechen und im Internet nicht mehr erreichbar sein. Dadies einen großen Geschäftsentgang für die Betreiber ange-griffener Webseiten bedeuten kann, sind diese oftmals be-reit, „Lösegeld“ an Cyberkriminelle zu zahlen, um vonderartigen Angriffen verschont zu bleiben.

Was hat das alles mit mir zu tun?

Durch die Verbreitung von Breitband-Internet-Zugängensind viele Computer 24 Stunden täglich mit dem Internetverbunden und verfügen zusätzlich über eine sehr leis-tungsfähige Anbindung an das weltweite Datennetz – dies

gilt insbesondere auch für die Rechner innerhalb einesUniversitätsnetzwerks. Beides sind Merkmale, die einenRechner sehr interessant für die Verwendung innerhalb ei-nes Bot-Netzwerkes machen, und deshalb sollten die Besit-zer derartiger Rechner auch entsprechende Sicherheits-maßnahmen treffen, um nicht unwissend „Mittäter“ bei dengenannten Erpressungsversuchen zu werden.

Habe ich nicht schon eine Firewall aufmeinem Rechner?

Oftmals sind Computernutzer der Meinung, dass ihreRechner schon mit einer Firewall geschützt sind, da vieleaktuelle Antiviren-Programme bereits eine derartige Funk-tionalität anbieten bzw. Windows ab XP Service Pack 2bereits eine Firewall integriert hat. Dies ist prinzipiellrichtig, nur kann eine Software-Firewall nicht den glei-chen qualitativen Schutz bieten wie eine dedizierte Hard-ware-Lösung, da deren Konfiguration von Schad-programmen nicht verändert werden kann. Somit bietendie vom ZID angebotenen Firewall-Lösungen einen Mehr-wert gegenüber den reinen Software-Firewall-Lösungenam lokalen Computer.

Die Ausgangssituation an der TU

Ohne Zutun des Benutzers ist jeder Rechner innerhalbdes TUNET durch den Grundschutz rudimentär gesichert.Beim TU-Grundschutz werden bestimmte „well known“-Ports gesperrt. Eine Liste der betroffenen Ports kann nach-folgender Tabelle entnommen werden:


Port Protokoll Port Protokoll

- Ping 177 xdmcp

7 echo 445 Microsoft-DS

9 discard 512 rexec

25 SMTP 513 rlogin

53 DNS 514 R-Kommandos /Syslog

67 bootps 515 lpd

68 bootpc 540 UUCP

69 TFTP 1080 Socks

111 Portmapper 1434 SSRS

123 ntpd 1900 SSDP

135 msrpc 2049 NFS

136 Profile NameService

3128 Squid

137-139 Netbios 4045 lockd

161-162 snmp 5000 UPnP

6000-6063 X11

Der Grundschutz ist nur als absolute Mindestmaßnah-me anzusehen und sollte dringend durch eines der beidenfolgenden Services ergänzt werden.

Die einfache Variante für mehr Schutz

Einen wirklichen Zugewinn an Sicherheit erhält mandurch den Zugriffsschutz, welcher explizit vom EDV-Be-auftragten des Instituts angefordert werden muss. Hierwird die zentrale TU-Firewall so konfiguriert, dass stan-dardmäßig alle eingehenden, aufbauenden Verbindungenaus dem Internet zum Rechner blockiert werden. Obwohldies sehr drastisch klingt, hat diese Maßnahme keinerleinegative Auswirkungen auf die normalen Surf-Aktivitätendes Benutzers, bringt jedoch ein deutliches Mehr anSicherheit.

Für Server, die Dienste für das Internet anbieten, müs-sen die dafür benötigten Ports freigeschaltet werden. Ausadministrativen Gründen können nur bestimmte Ports frei-geschaltet werden, welche in so genannten Dienstgruppenzusammengefasst werden. Folgende Dienstgruppen wer-den derzeit angeboten:

Dienstgruppe Ports

WWW HTTP(80) +HTTPS(443)

FTP FTP(21)

SSH SSH(22)

POPIMAP POP3(110), SPOP3(995), IMAP(143),SIMAP(993), MSA(587)

REMOTE VNC (TCP/5900-5910), pcAnywhere(TCP/5631, UDP/5632)

Die Aktivierung des Zugriffsschutzes kann durch eineformlose Mail an [email protected] und unter Angabedes zu sperrenden Subnetzes angefordert werden.

Die Variante für anspruchsvolle Nutzer

Sind dem Benutzer die Möglichkeiten des Zugriffs-schutzes zu unflexibel, so bietet sich eine individuelleHardware-Firewall-Lösung an, welche von der AbteilungStandardsoftware zur Verfügung gestellt wird. Diese Fire-wall bietet auch Schutz vor Angriffen innerhalb des TU-NET.

Es handelt sich hierbei um ein Embedded-System derFirma Soekris, welches von Walter Selos adaptiert wurdeund zwischen dem TUNET und dem Institutsnetzwerk in-stalliert wird. Diese Firewall-Lösung kann vom Adminis-trator ganz individuell konfiguriert werden und bietetsomit die größte Flexibilität und Unabhängigkeit für denBenutzer.

Zur Installation dieser Firewall-Lösung muss entspre-chende Hardware erworben werden, weshalb zukünftigdafür Kostenersatz geleistet werden muss. Zur Bestellungder Soekris-Firewall reicht ebenfalls eine formlose Mailan [email protected].

Referenzen

Skriptkiddie: http://de.wikipedia.org/wiki/SkriptkiddieBotnetzwerke: http://de.wikipedia.org/wiki/BotnetzeZID IT-Security: http://www.zid.tuwien.ac.at/sts/security/ZID Firewalls:http://www.zid.tuwien.ac.at/sts/security/firewall/ZID Portsperren:http://www.zid.tuwien.ac.at/de/sts/security/firewall/gesperrte_ports/ZID Zugriffsschutz: http://www.zid.tuwien.ac.at/de/sts/security/firewall/zugriffsschutz/Walter Selos: Firewall-Lösung für Institute. ZIDline 13,Dezember 2005: http://www.zid.tuwien.ac.at/zidline/zl13/soekris.html


MobilesGebäudesicherheitsmanagement

Ein TISS-Projekt

Philipp KolmannHelmut Ecker, Gebäude und TechnikAlfred Kaltenecker, Institut für Rechnergestützte Automation / INSO

An der TU Wien gibt es wie in vielen öffentlichen Gebäuden einen Sicherheitsdienst, der diepersonelle Basis der so genannten Sicherheitsinfrastruktur bildet. Während ihres Dienstesbegeben sich die Mitarbeiter auf Sicherheitsrundgänge durch die Gebäude und leiten sämtlichebesonderen Vorkommnisse weiter. Um diese Arbeit zu unterstützen, wurde an der TU Wien einneues online System, unterstützt durch mobile Geräte und NFC-Technologie, eingeführt (TISS-MGSM), das die erforderlichen Abläufe erleichtert und beschleunigt.

Seit vielen Jahren gibt es an der TU Wien einen Sicher-heitsdienst, der der Organisationseinheit Gebäude undTechnik (GUT) zugeordnet ist und dessen Aufgabe es un-ter anderem ist, die Gebäude und deren Einrichtungen inregelmäßigen Rundgängen zu überprüfen und eventuelleSchäden und sämtliche Vorkommnisse weiterzuleiten. DieRundgänge wurden hier schon länger mit Hilfe speziellerGeräte aufgezeichnet. Für den Sicherheitsmitarbeiter be-wirkt dies zum Beispiel, dass der Mitarbeiter in der Por-tierloge jederzeit weiß, wo sich der Kollege, der seinenRundgang allein durchführt, befindet. Die TU Wien erhältanhand der Aufzeichnungen die Bestätigung, dass derRundgang durchgeführt wurde, man kann im Schadensfallbelegen, wo sich die Mitarbeiter zu einem bestimmtenZeitpunkt aufgehalten haben oder wie sich ein Schadens-fall zugetragen hat.

GeschichteRundgangs-Aufzeichnung

Das erste System zur Aufzeichnung der Rundgänge be-stand aus tragbaren Uhren mit inkludierten Papierstreifensowie aus Schlüsseln, die im Gebäude verteilt waren.Wenn der Mitarbeiter des Sicherheitsdienstes auf seinemRundgang zu einem Schlüssel kam, musste er ihn in dieUhr einführen und drehen. Damit wurde das Schlüssel-symbol und die aktuelle Uhrzeit auf den Papierstreifen ge-prägt. Dieses System war bis 1994 im Einsatz.

Abgelöst wurde es vom Guard Control System (GCS).Mit Hilfe von Magnetstreifen, die im Gebäude verteilt ange-bracht wurden, und mit einem mobilen „Sammler“ wurden

Daten aufgezeichnet, über eine Ladestation an einen PC ge-sendet und dort ausgewertet.

Im Jahr 2001 wurde das Guard Control System durchdas Blue Pointer System der Firma cdt ersetzt, welchesbereits auf der Basis von so genannten RFID Tags arbei-tet. Das sind Chipkarten, standardisiert für kontaktloseKommunikation nach ISO14443A. Dieses System, dassich bis heute in Verwendung befindet, zeichnet sich vorallem durch geringe Anschaffungskosten und hohe Stabi-lität der Hardware, insbesondere des Datensammlers, aus.

Rundgangs-Auswertung

Während die Papierstreifen des initial verwendetenAufzeichnungssystems noch händisch ausgewertet werdenmussten, ging es beim zuletzt verwendeten System bereitsautomationsunterstützt ans Werk. Hier war eine Softwareeiner externen Firma auf Basis von MS Access und VisualBasic im Einsatz. Durch diese Kombination war zwar eineautomatische Auswertung der Daten möglich, von einemMehrplatzzugriff konnte jedoch noch keine Rede sein.Auch die Auswertungen waren nicht zur vollen Zufrieden-heit möglich, da man nur die Anzahl der insgesamt ge-scannten Tags in der Auswertung fand. Welche Tagsgescannt wurden, war jedoch nicht ersichtlich.

Gewünscht wurde hier ein System, das es ermöglicht,festzulegen, dass bestimmte Tags bei jedem Rundgang zuscannen sind (obligatorisch) und andere frei vom Mitar-beiter gewählt werden können. So können flexibel andereRouten frei festgelegt und auch gesetzte Schwerpunkte imSystem erfasst werden.


Dienstbuch

Ein weiterer Aspekt der Tätigkeiten des Sicherheits-dienstes war das Führen eines Dienstbuches, in dem be-sondere Meldungen festgehalten wurden. In früherenJahren war dies ein gebundenes Buch, das vom Bereichs-koordinator in regelmäßigen Abständen durchgelesen undbearbeitet wurde. Mit Fortschritten in der EDV wurdeauch dieses papierene Buch durch eine Software abgelöst.

Im Jahr 2001 wurde eine elektronische Variante desDienstbuches gestaltet, welche ebenfalls auf MS Accessund Visual Basic basierte. Diese Software wurde schließ-lich auf einem Windows 2003 Server gehostet, für jedesGebäude gab es eine Instanz. Wollte man sich einen Über-blick über die Gebäude machen, musste man sich so vieleverschiedene Dienstbücher ansehen. Eine Korrelation vonbesonderen Vorkommnissen war auf diese Weise schwie-rig. Eine gewisse Mehrplatzfähigkeit wurde schließlichdurch die Verwendung von Remote Desktop erreicht, einewirklich optimale Lösung war aber auch das nicht.

Ein zusätzliches Problem war, dass Bug-Behebungenoder Änderungen meist recht lange dauerten.

GUT-Tracking

Im Sommer 2008 wurde Philipp Kolmann mit einerAnalyse des Ist-Zustandes der EDV-Situation beauftragt.Im Laufe der Analyse zeigte sich, dass das Aufzeich-nungssystem des Sicherheitsdienstes einer dringendenÜberarbeitung bedarf, um ein modernes System zu schaf-fen, das einerseits sämtliche technischen Anforderungenerfüllt und andererseits benutzerfreundlich und flexibel inder Anwendung ist.

Inspiriert durch ein ähnliches Projekt an der FH Hagen-berg entstand die Idee, eine neue, nicht-proprietäre, web-basierte Lösung auf Basis von NFC-Handys als Prototypzu entwickeln. Die Forschungsgruppe INSO der TU Wiensteuert hier ihr Know-how im Bereich mobiler Systeme,Over-the-air-Lösungen und NFC-Technologien bei. Alsmobiler Client für die Rundgänge kam das zum damaligenZeitpunkt am Markt verfügbare Handy Nokia 6131 NFCzum Einsatz. (Das Nachfolgeprodukt wurde zwar schonim April 2008 vorgestellt, offiziell erwerben konnte manes jedoch erst im April 2009.)

Die primären Ziele des neuen Systems waren eine zeit-nahe Übertragung der Vor-Ort-Daten während des Rund-gangs und eine einfache Mehrplatzfähigkeit, sowohl fürden Sicherheitsdienst als auch für Mitarbeiter der Organi-sationseinheit Gebäude und Technik. Durch ein Webpor-tal konnten die Anforderungen sehr einfach und raschrealisiert werden.

Mobiler Client

Der mobile Client wurde von Alfred Kaltenecker reali-siert. Der Datenaustausch zwischen Server und Client er-folgt über eine Web-Schnittstelle und die Kommunikation

läuft über einen sicheren Kanal, um so die Integrität unddie Vertraulichkeit der Daten zu gewährleisten.

Der Client wurde mittels der Java 2 Micro Edition(J2ME) implementiert, eine für mobile Endgeräte opti-mierte Version der Java Platform 2 Standard Edition(J2SE). Zusätzlich zu den zur Verfügung gestellten Basis-klassen (MIDP 2.0, CLDC 1.1) wird für die gewünschteAnforderung ein Mobiltelefon mit Near Field Communi-cation (NFC) benötigt.

NFC ist eine Technologie, die es ermöglicht, Daten aufsehr kurze Distanz (max. 10 cm) mit bis zu 424 kbps zuübertragen. Mobiltelefone mit NFC können in 3 verschie-denen Modi verwendet werden. Das Gerät kann passiv,aktiv oder im peer-to-peer (P2P) Modus betrieben werden.Im passiven Modus agiert das Mobiltelefon wie eine kon-taktlose Chipkarte, im aktiven Modus können beispiels-weise RFID-Tags ausgelesen werden und im P2P Modustauschen Geräte Daten aus.

Im Fall des mobilen Clients agiert das Mobiltelefon imaktiven Modus und liest die auf den Tags gespeichertenInformationen aus. NFC wird beispielsweise auch von derMobilkom in Kooperation mit der ÖBB, den Wiener Li-nien und Selecta Automaten eingesetzt. Ob sich dieseTechnologie durchsetzen wird, bleibt abzuwarten, die TUWien zeigt jedoch wieder einmal ihre Vorreiterrolle beineuen Technologien.

Neben der benötigten Hardware für das Mobiltelefonwird für den Einsatz mit J2ME softwareseitig eine Erwei-terung der Basisklassen benötigt. Diese Erweiterung (JSR-257 Contactless Communication API) ermöglicht es demNutzer, empfangene Daten mittels J2ME auszulesen undzu verarbeiten. Diese Daten werden auf Tags gespeichertund vom entsprechenden Mobiltelefon ausgelesen.

Ein typischer Anwen-dungsfall sieht so aus, dassder Sicherheitsdienstmitar-beiter das Mobiltelefon aneinen Tag hält, das mobileEndgerät die Daten (imNormalfall die Raumnum-mer) ausliest und an denServer weiterleitet. Darüberhinaus können Texte (Scha-densmeldung, Hinweise,…) zusätzlich zu den amTag gespeicherten Datenübermittelt werden.

Webportal

Im Webportal werden die Daten von den Mobile-Clientsin die Datenbank gespeichert und alle administrativen Tä-tigkeiten durchgeführt. Weiters können alle Daten in eineraufbereiteten Form für die involvierten Mitarbeiter derGUT und für den Sicherheitsdienst eingesehen werden.


Folgende Bereiche sind derzeit implementiert:

• Sichtbar für alle Benutzer des Systems:• Dienstbuch (Eintragen und Übersicht der Meldun-

gen zum eigenen Gebäude der letzten 24 Stunden)• Dienstan- und -abmeldung• Dienst- und Rundgangsübersicht der letzten 24

Stunden• Dienstbucharchiv (alle Häuser ohne Zeitbeschränkung)

• Sichtbar nur für GUT-Mitarbeiter:• Dienstarchiv• Dienstabrechnung (für externes Personal zum Ver-

gleich mit den Rechnungen der Firmen)

• Sichtbar nur für Administratoren:• Benutzerverwaltung• Tagverwaltung• Rundgangsverwaltung

Derzeitiger Status

Derzeit hat die Software die alte Dienstbuchapplikationbereits flächendeckend an der TU Wien abgelöst. Bei denRundgängen wurden zwei kleinere Häuser für zwei ver-schiedene Sicherheitsdienstgruppen auf die neue NFC-ba-sierte Lösung umgestellt und es konnten bereits durch-wegs positive Erfahrungen gesammelt werden.

Zusätzlich zur Umsetzung dertechnischen Anforderungen wurdebei der Entwicklung des neuen Sys-tem auch darauf geachtet, den Um-schulungsbedarf des Sicherheits-personals so gering wie möglich zuhalten. Aus diesem Grund hat mansich hinsichtlich der Bedienung starkam bisherigen System orientiert underreichte dadurch eine sofortige Ak-zeptanz von Seiten der Benutzer.

Besonderer Wert wird auch auf eine intuitive Benut-zung der mobilen Applikation gelegt. Im Falle eines Scha-dens oder Mangels im kontrollierten Raum kann schnellund ohne Umstände die zuständige Stelle benachrichtigtwerden. Ein mühsames Notieren und Benachrichtigennach Ende des Rundganges ist somit nicht mehr nötig.

Ausblick und weitere Schritte

In der ersten Phase des Probebetriebs wurden die Tagsmittels NDEF – ein für NFC entwickeltes Protokoll – be-schrieben und ausgelesen. Da die Erkennung von NDEF-Tags mit Standardschlüsseln arbeitet und somit jeder miteinem NFC-fähigen Gerät die Tags neu beschreiben kann,musste eine Absicherung der Daten erfolgen. Bei NDEFkönnen die Tags zwar auf Read-Only gesetzt werden, je-doch ist diese Absicherung nicht mehr umkehrbar. Umeine Wiederverwendbarkeit der Tags zu gewährleisten, dadiese Daten für verschiedene Applikationen beinhaltenkönnen, wurde auf das Protokoll für RFID-Tags umge-stellt. Die Daten können somit jederzeit mit einem ent-sprechenden privaten Schlüssel auf die entsprechendeChipkarte übertragen werden.

Kurzfristig ist geplant, alle Gebäude mit dem Tag-Sys-tem auszustatten. Die ersten Evaluationen des neuen No-kia-Handys haben jedoch aufgezeigt, dass die derzeiteingesetzten Tags nicht mehr ausgelesen werden können,wenn sie auf Metall befestigt wurden. Für die alte Handy-Generation war dies kein Problem, doch durch das Anten-nen-Redesign hat sich diese Situation leider ver-schlechtert. Aus diesem Grund werden nun neue Versuchemit größeren Tags gestartet.

Mittelfristig ist geplant, das System auf alle Räume derTU Wien zu erweitern und das Reinigungspersonal ebensomit NFC-/RFID-fähigen Handys auszustatten, um auchüber die Reinigungszyklen besseres Management zu haben.

Nicht zuletzt auf Grund der guten Zusammenarbeitzwischen dem ZID, TU GUT und INSO lief das Projektbisher äußerst positiv an und wir sind zuversichtlich fürden Vollbetrieb des neuen Systems. Mittlerweilen bekun-deten mehrere Firmen Interesse an diesem System.


NI Multisim 10.01

Elektronikdesign und -test mitvirtuellen Instrumenten in derstudentischen AusbildungAlois Lugstein, Jürgen SmolinerInstitut für Festkörperelektronik, TU Wien

Multisim ist neben PSPICE eines der bekanntesten Programme zum Erstellen vonSchaltungssimulationen. Dabei handelt es sich um die neueste Version der interaktiven Softwarefür die SPICE-Simulation und die Schaltungsanalyse, die verbreitet für die Schaltungserfassung,die interaktive Simulation, den Leiterplattenentwurf und interaktive Tests eingesetzt wird.

Das Institut für Festkörperelektronik verwendet die Na-tional Instruments Simulationssoftware Multisim fürSchaltungssimulationen, vorwiegend im Rahmen der stu-dentischen Ausbildung (Labor Technische Elektronik362.080).

Mit der Umstellung des Bauelementelabors im Jahr2007 wurde das Labor dadurch aufgewertet, dass einer-seits die Hardwarekomponenten (Oszilloskope, Signalge-neratoren, Netzteile...) erneuert wurden und andererseitsder Schwerpunkt vom Aufbau der Schaltungen auf demSteckbrett hin auf die Schaltungssimulation und der auto-matischen Geräteansteuerung und Datenerfassung mitLabVIEW umgestellt wurde. Gleichzeitig mit dieser Ein-führung ergab sich die Notwendigkeit, dass für die Aus-bildung ein entsprechendes Software-Paket für die Simu-lation zur Verfügung steht. Nachdem einige Jahre PSPICEzum Einsatz kam, hat das Institut für Festkörperelektronikdaher im vergangenen Studienjahr beim Zentralen Infor-matikdienst angeregt, das Softwarepaket Multisim, dasvon der Firma National Instruments (http://www.ni.com/)vertrieben und weiter entwickelt wird, im Rahmen einerCampus-Lizenz zu erwerben. Für TU-Studenten gibt eseine Studentenlizenz. Mit LabVIEW werden leistungsstar-ke Technologien für den Vergleich von echten Prototyp-messungen mit simulierten Daten hinzugefügt.

Charakteristika von Multisim

NI Multisim bildet den Grundstock der NI-Plattformfür die Elektronikausbildung, zu der auch die Workstationfür die Prototyperstellung NI ELVIS (Educational Labo-ratory Virtual Instrumentation Suite) sowie NI LabVIEWgehören.

Die Software Multisim von National Instruments kom-biniert die intuitive Schaltungserfassung mit leistungsstar-ker Simulation zur schnellen, einfachen und effizientenEntwicklung und Validierung von Schaltungen.

Es wurde im Hinblick auf die Bedürfnisse von Lehr-kräften entwickelt und unterstützt den Schaltungsentwurfdurch Hilfsmittel wie eingebaute Tests, virtuelle Bauteileund Bauteile mit definierter Maximalbelastbarkeit. Mit NIMultisim können Schaltungen mit einer umfassendenBauteilebibliothek zügig erstellt und das Schaltungsver-halten mit dem zum Industriestandard avancierten SPICE-Simulator analysiert werden.

Multisim 10.0 verfügt erstmals über zahlreiche neue,professionelle Designfunktionen. Im Mittelpunkt stehendabei Werkzeuge für anspruchsvolle Analysen und eineverbesserte Bauteiledatenbank. Die Bauteiledatenbank um-fasst über 1200 neue Komponenten und mehr als 500 neueSPICE Modelle von führenden Herstellern wie Analog


1 Ein Simulationspaket für die Simulation elektrischer Schaltungen [1]

Devices, Linear Technology und Texas Instruments. Darü-ber hinaus sind über 100 neue Modelle aus dem BereichSpannungsregler und -referenzen enthalten. Weitere Ver-besserungen sind ein neues Stromsondeninstrument sowieaktualisierte statische Sonden für differenzielle Messungen.

Typisches Anwendungsbeispielim Rahmen der Laborübung „TechnischeElektronik“

Mit der Kombination der Schaltungssimulationssoftwa-re Multisim 10.0 und der Messsoftware LabVIEW, beidevon National Instruments, werden in der Laborübung si-mulierte und reale Daten einfacher elektronischer Schal-tungen verglichen. Multisim unterstützt die Studierendenbei der Dimensionierung und Optimierung von elektroni-schen Schaltungen wie z. B. Verstärkerschaltungen oderFilter. Des Weiteren vermittelt es elektronische Konzepteunter Verwendung anspruchsvoller SPICE-Analysen undermöglicht damit „Designexperimente“ vor der prakti-schen Umsetzung im Labor.

Eine anschauliche grafische Darstellung der Frequenz-abhängigkeit eines Filters kann in Form eines Bode-Dia-gramms erfolgen. Dabei werden in zwei Teildarstellungendie Abhängigkeiten der Amplitude (Betrages des Übertra-gungsverhaltens) und der Phasenverschiebung zwischendem Eingangs- und Ausgangssignal jeweils in Abhängig-keit von der Frequenz dargestellt In Abbildung 1 ist eineinfaches Schaltungsbeispiel eines kaskadierten Bandpas-ses 2ter Ordnung [2] abgebildet, anhand dessen die An-wendungsmöglichkeiten von Multisim erlernt werden.Man sieht aber schon an dieser Stelle wie einfach es mitMULTISIM ist, ein virtuelles Messinstrument in dieSchaltung zu integrieren.

Die in Multisim generierte Schaltungssimulation wirdin weiterer Folge in einem praktischen Versuchsaufbauüber ein LabVIEW-Programm automatisch aufgezeichnet.

Erfahrungen mit NI Multisim

Die Erfahrungen mit NI Multisim, besonders für denEinsatz im Rahmen der studentischen Lehrveranstaltungen,sind durchwegs positiv. Die Studenten können sich rascheinarbeiten, da die Befehls- und Menüebenen sehr flachund gut strukturiert sind und damit sehr intuitives Arbeitenermöglichen. Ein großer Vorteil ist die grafische, anschauli-che Methode, aber vielleicht noch wichtiger, die dabeiphantastisch einfache und direkte Art, mit verschiedenstenMessgeräten und vorgefertigten Simulationsroutinen zu-rechtzukommen. Die Komplexität der SPICE-Simulationwird von Multisim abstrahiert, so dass der Anwender keinSPICE-Experte sein muss, um neue Designs schnell zu er-fassen, zu simulieren und zu analysieren. Schon nach sehrkurzen Einarbeitungszeiten lassen sich in den Übungenschnelle Fortschritte erzielen. Der Vergleich mit anderenSoftwareprodukten hat ergeben, dass NI Multisim für dieSimulation der gängigen Schaltungen einen sehr gutenKompromiss aus Bedienungsfreundlichkeit und inhaltlicherAnwendbarkeit darstellt. Die einfache Bedienung und diegute inhaltliche Eignung für die Schaltungssimulation so-wie der hervorragende Support waren im Endeffekt die Be-weggründe, im Rahmen von studentischen Labors dasSoftwareprodukt NI Multisim einzusetzen.

Literatur

[1] Jürgen Liepe, „Schaltungen der Elektrotechnik undElektronik – verstehen und lösen mit Multisim“Hanser Verlag, ISBN 978-3-446-41134-0.

[2] Ulrich Tietze, Christoph Schenk: Halbleiter-Schal-tungstechnik. 12.Auflage. Springer, 2002, ISBN 3-540-42849-6.


Abbildung 1: Kaskadierter Bandpass 2ter Ordnung mit virtuellen Messgeräten und zugehörigem Bodediagramm.

TISS is digging deep –Software Reengineering supportedby Database Reverse EngineeringStefan Strobl, Mario BernhartInstitut für Rechnergestützte Automation / INSO

Ohne das tiefe Verständnis der Daten im Legacy System ist es schwer möglich, ein neues Systemzu schaffen. Die Migration von Funktionen eines Altsystems kann nicht bloß durch dieÜbersetzung des Source Codes einer Programmiersprache in eine andere erfolgen. Im Rahmeneiner in englischer Sprache verfassten Diplomarbeit wurde ein Database Reverse EngineeringProzess adaptiert, um die Geschichte von vierzig Jahren Softwareentwicklung zu durchleuchten.

Introduction

One of the main goals of the project TISS (a detaileddescription of TISS can be found in [1]) is to reengineerand unify a large part of the information systems of theVienna University of Technology (TUWIS). The legacydatabases that have to be reverse engineered have a widerange of deficits making analysis and migration of the datastructures and their contents difficult. In addition docu-mentation for the database is scarce and consists mainly ofcomments for some tables and columns. Therefore a data-base reverse engineering process has been defined thataims at providing the necessary information about the le-gacy databases to successfully perform the data migration.

Problem Definition

TUWIS is a highly heterogeneous system. As almostevery legacy system that has grown and evolved for fortyyears it has been modified and extended by numerous dif-ferent developers with different technical skill levels andstyles. To summarize briefly the legacy system to be re-verse engineered actually consists of two subsystemswhich are tightly connected and highly interdependent.TUWIS, the older part, is written in COBOL and PL/SQLwith a backend based on an Oracle DBMS. The newerpart, TUWIS++, is a web built on the Zope applicationserver, with a separate Oracle database. The two subsys-tems are mostly synchronized via their databases, whichrun on the same database server and duplicate large partsof the business data. Both systems interface in a wide va-riety of ways with neighboring systems. These neighbo-ring systems range from information systems ofgovernment agencies, two SAP systems to multiple smal-ler specialized systems and tools.

Understanding the environment in which the databaseto be reverse engineered operates is essential. Often it isthe only way to truly understand the structure of the data-base, if you analyze the data contained in it as well as thedataflow.

The identified deficits of the legacy databases the pro-ject team has to deal with are described in the followingsections.

Missing Documentation

Missing documentation is one of the key issues, a pro-blem encountered in virtually all reengineering projects[2]. The original TUWIS user documentation consists ofapproximately 100 Microsoft Word files. Although prima-rily aimed at the users of TUWIS it contains valuable in-formation about the database tables. This includes thetable name as well as a table listing all columns, their datatype and a short per column description. It does not, how-ever, include more specific information like whether a cer-tain column can be left empty or not. Basically this docu-mentation is very similar to Oracle’s table documentationthat can be retrieved as HTML provided that the columncomments have been entered into the database. Unfortuna-tely the column comments have not been fully entered intothe database, leaving the two documentation locations lar-gely out of sync.

Another problem with the old TUWIS documentationis that the development of TUWIS++ has not been reflec-ted. It does not reflect any changes made to the old sche-ma during and after the development.


Technical documentation for the newer, web based partof TUWIS is even scarcer. Unfortunately attempts to do-cument the system in detail have not been successful. The-re is a collection of information specific to projectmanagement issues. This includes mostly out of date in-formation about the general direction and goals of the pro-ject (developing and maintaining TUWIS++). Anincomplete Wiki proved to be useful for the architectureoverview, its relevance for the project TISS is limited atbest. Besides, the data also seems to be fairly out of date.

But there is a part of the TUWIS++ documentation thatis most relevant for TISS. It provides additional informa-tion about the data of seven database tables. Compared tothe total number of tables, this seems to be rather limited,but the tables documented are absolutely vital to the sys-tem. It provides a per column description of the data con-tents, which is an almost exact duplicate of the columncomments provided directly in the database. Additionallyit contains quite detailed information about the purpose ofthe table and its use. For the tables that can be found bothin the TUWIS and TUWIS++ schema, it also provides in-formation on how the data is synchronized and it is alsothe most recent, with the last modifications not datingback more than a year.

The Oracle DBMS, like many other RDBMS products,provides the possibility to store a comment on each tableand column directly in the database. This information isstored along with some information automatically gathe-red by the RDBMS system directly in the system. It isusually referred to as a data dictionary. This mechanismhas been used by the developers on both schemas, but todifferent extents. In the TUWIS database schema not evena fifth of the tables have a comment associated with them(see Table 1).

In the second schema (TUWIS++) the commenting fea-ture has been used a bit more extensively. A little morethan a quarter of all tables in this schema have comments.Looking at the overall picture of the combined schemas, alittle less than a quarter of all tables have comments asso-ciated with them.

When it comes to comments on table columns the si-tuation does not look that different (see Table 2). In factthe commenting feature has been hardly used at all for theold TUWIS schema. The new schema has been documen-ted significantly better. About a third of all columns havebeen commented. Nonetheless, looking at the completepicture of the combined schemas gives a rather soberingview, as the high degree of documentation of the TU-WIS++ schema is outweighed by the fact that the old TU-WIS schema has significantly more (uncommented)columns.

Oracle provides procedures to generate up to date do-cumentation out of the information stored in the database.This way it is easy to provide a comprehensive document,like a collection of HTML files that correctly describe thecontent of a schema. As the comment information is trans-parently stored directly in the database in regular databasetables it is also easy to generate or export the documenta-tion information in a custom format.

In 1970 Codd [3] devised a set of normal forms that da-tabase designers should adhere to. The main goal of nor-malizing a database schema is to avoid inconsistent data inthe database. The Boyce Codd Normal Form (BCNF) [4],although not the strictest variant of normal forms, is a defacto industry standard today. The normal forms define aset of rules that are intended to guide the designer of adata model towards a model that will prohibit databaseconstructs that allow the storing of inconsistent data. Fol-lowing this model will ensure that the data collected overthe years will be consistent and complete enough to beuseable later on. Generally not conforming to the normalforms can also be seen as a feature, mainly to achievegreater performance as described in [5]. Denormalization,as the process of intentionally introducing some violationsto the normal forms for performance reasons is called, al-ways starts with a completely normalized data modelthough. This is a risky approach that requires careful plan-ning, documentation and evaluation whether the benefitsoutweighs the risks. In addition it imposes a certain re-sponsibility on the developers of the application to enforcethe constraints that have not been explicitly declared in thedatabase schema in the higher layers of the application.

In the TUWIS and TUWIS++ data models virtually allof these rules have been violated. Yet this cannot be seen asthe fault of the database designer. The design is a result ofthe migration of the legacy COBOL data storage to a rela-tional database. A good example of a violation of normalforms is the way personal data is stored in the two systems.There are two tables representing personal data (e.g. name,date of birth, address, etc.), one for employees and one forstudents. Now the problem is that the two groups of per-sons are not disjoint. A student can be employed by theuniversity and all the same a university employee might re-gister as a student. As soon as a person is student and em-ployee, two records partly containing the same data have tobe maintained and kept consistent. The integrity of the datatherefore cannot be enforced by the DBMS as it lacks thenecessary information. Another violation of the First Nor-mal Form (1NF) can be found in the employee table. Astandardized email address is stored for each employee. Inaddition an employee can enter an additional email addressvia a university-wide address book application. All emailaddresses are stored in two fields, EMAIL1 and EMAIL2of the same table. As the 1NF prohibits the use of “repea-ting groups” [6], this is a clear violation.


Table 1: Amount of comments on tables in the legacy database

Table 2: Amount of comments on columns in the legacy database

Data Model Deprecation

This section discusses the problem of obsolete databa-se objects cluttering an overall view of the database. Atfirst this seems like a rather easy problem to come by –identify unnecessary tables and document the findings sodevelopers later know that these tables can be ignored (orremoved from the production database, depending on theexact goal of the analysis).

Exactly therein the most difficult part can be found.Missing documentation makes solving this problem muchharder than it needs to be. Actually, the two problemspretty much go hand in hand. While it would be fairlyeasy to remove old unused tables in a well documentedenvironment it is a rather tough task if no reliableinformation is provided.

The basic problem is, as with missing documentation,the fact that a common policy or process for changes isnot implemented or, if implemented, not followed by thedevelopers. Many of the deprecated tables look like tem-porary tables, either created as a backup before running acertain script or simply used for some complex one timeevaluations of the business data that needed a temporarystorage. Some simple measures would have avoided theproblem.

First of all, it is a best practice policy that temporarytables do not go into the same schema as the businessdata.

It would be rather easy for the developer to add a shortnote as a comment on the table indicating that this tabledoes not contain business data.

Third, another way to mark tables as temporary wouldhave been some common naming convention. Prefixingall temporary table names with something like “TMP_” orthe like would have probably been enough too.

None of these measures have been implemented by theteam developing and maintaining TUWIS(++). This lea-ves the new development team with the problem that itwill have to tediously reverse engineer this informationwith the help of a set of fairly unreliable heuristics.

Data – Application Responsibility

This section will cover the problem of data responsibi-lity. Data responsibility is a clear definition of which sys-tem is responsible for a certain (subset) of the businessdata in an environment where many systems share somecommon data. A good example of such data is the infor-mation that is stored about each person or employee. Thisdata will be needed by several systems and it is likely thatmore than one system will be able to modify the data. Thisexposes this data to the risk of concurrent modifications.

Usually this problem is solved on the database level.This will only work though, if all data related to a specificbusiness domain is stored in a single database schema. Assoon as the data is distributed across several databaseschemas, conflicting changes can easily be stored by bothsystems and have to be merged later on. This task of mer-ging conflicting changes (e.g. one person has different

home addresses in two different systems) often has to bedone manually which is both expensive and inherently er-ror prone. (How should somebody in the human resourcesdepartment know which home address is correct?)

In TUWIS(++) data responsibility is often not clearlydefined. Data gets imported from several differentneighboring systems requiring manual intervention forconflicts in multiple cases. The logic behind the data syn-chronization is frequently hard coded in multiple placesincluding import scripts and database triggers. Usually,this would not affect the reverse engineering of the data-base itself, but rather the overall task of migrating thewhole application. Unfortunately, as the logic defining thedata responsibility is partly implemented as database ob-jects, it is necessary to also pay attention to this matter,especially during the migration phase.

Close Coupling

TUWIS is only part of a whole environment of systemsthat provide and process information. While these systemsmainly operate independently from each other and areoperated by different parts of the organization they alsohave to share information.

Since no common method of data exchange is employ-ed, usually each interface between two systems is a sepa-rate solution often built on different methods of dataexchange using a wide variety of different technologies.As TUWIS is an integral part of the overall system, it hasa large amount of these interfaces – a total of approxima-tely 25. Many of these interfaces operate on a similar data-set. So when migrating a set of tables that are used bysome of these interfaces from TUWIS to TISS, all of themhave to be modified in order to work with the new system.In many cases the migration will result in a completerewriting of the interface. In some cases modifying orrewriting the interface will not be enough either, as the oldinterfaces are often highly specific. So in these casesmodifications to the neighboring systems on the other endof these interfaces might be necessary.

All of the issues described above, especially the analy-sis of the old interfaces, necessary for modifying them ac-cordingly, will require detailed information about theunderlying database.

Solution

Migrating the data from the legacy database to thenewly designed schema can be tedious without any docu-mentation. In order to document the database properly, itis necessary to thoroughly analyze its structure, the use ofthe specific construct and its contents. The goal thereforeis to detect most inconsistencies in the database during thedocumentation effort. This will greatly facilitate the mi-gration process as the developer can use the documenta-tion as a reliable resource pointing out the inconsistenciesthat he will later have to take into consideration during themigration phase.


The following process depicted in Figure 1 has beenelaborate to reveal the required information on the legacydatabase. The process is structured into four parts, three ofwhich are designed to be executed sequentially. None theless care has been taken to allow an iterative revisiting ofeach process step at later times. The fourth part is actuallya cross section that is executed in parallel. It is also possi-ble to define this part as a task that is common to all of thethree primary parts.

Data Structure Extraction

Initially neither the extent nor the complexity of the le-gacy databases was known. Therefore it was necessary tocreate a comprehensive overview of the current structure.This step of the process was supported by off the shelfCASE (Computer Aided Software Engineering) tools.These tools, Fabforce DBDesigner41 and a documentationtool provided by the database vendor, were of great helpfor extracting the meta data (or source physical schema in[7]) describing the database structure. Nevertheless the(meta)data that has been automatically retrieved must bemanually checked and, if necessary, completed. Further-more a lot of more specific database object types will notbe captured by any generic tool. Good examples are trig-gers, which are database objects that execute a procedureif a certain operation is executed on a data row, and syn-onyms, which are aliases to access a database object undera different name.

In the end the structural information about 346 tableswith a total of around 5600 columns was extracted. Fur-thermore the comments stored directly in the database sys-tem were also transferred to a human readable anddistributable format.

Database Object Categorization

The next step was to fully categorize the database as-sets discovered by the previous analysis. Therefore threemain categories were defined:

• Relevant business data: all data that has to be migrated tothe new system as otherwise a loss of business valuewould be unavoidable.

• System and implementation specific data: all data that isonly needed for the legacy system to operate properly,but will not be migrated.

• Deprecated database assets: all aspects of the legacy da-tabases that do not represent any semantical or operatio-nal value to either the legacy or the reengineered system.

The distinction between operational data and deprecatedassets is relevant, as the operational aspects of the databasestill have to be regarded during the reengineering phase. Itmight not be possible to fully understand existing functio-nality, which has to be reengineered to the new system, wit-hout understanding the respective database areas.

The results of the categorization effort can be seen inTable 3.

Usage and Traffic Analysis

In this step of the analysis process the goal is to get abetter impression of how intensively the legacy system isused and therefore get a first idea of how much of a strainwill be on the reengineered system. The analysis of the le-gacy system will give some idea as to which parts shouldbe most carefully designed with respect to performance.

Generally speaking the goal is to gather as much infor-mation about the usage of the database as possible. Thisstarts with collecting read and write statistics. Ideally thedatabase system provides means to count the number ofreads, writes, updates and deletes on each table. It is ess-ential that this data is gathered over the longest period oftime possible. Depending on the legacy system and thebusiness processes it implements, a lot of patterns willonly become apparent over an extended period of time. Toobserve as many usage patterns as possible gathering thestatistics for two or three months is essentially theabsolute minimum.

The production database was configured to collect theappropriate data and produce a daily report. The data ga-thered in this way was then collected over more than sixmonths and evaluated on a regular basis.

(Re-)Documentation

As mentioned earlier, unlike the other steps of the pro-cess, this task can be executed during or after each step.The presentation of results was deliberately separatedfrom the remaining tasks, as it is frequently elaborated bya different group of developers on the reverse engineeringteam. In addition, this separation allows for a flexible“just-in-time” delivery of artifacts for concrete purposes.


Figure 1: The reverse engineering process

Table 3: Categorization of the database in both schemas

During the application of this process the following ar-tifacts were produced: One of the most valuable output ofthe process resulted from the results of the current stateanalysis and the categorization effort. The first step yiel-ded a graphical representation of all tables of the legacydatabases.

Due to the fact that all foreign keys were implicit thetables were more or less randomly distributed though. Ho-wever, after performing the categorization step, some con-clusions could be drawn as to which tables were related toeach other. By including the categorization in the diagramfrom the previous step, the expressiveness of the presenta-tion was significantly increased. By simply arranging thetables by category and at the same time color coding eachof the categories, a universal diagram was created that vi-sualized some of the key aspects of the migration effort. Itdemonstrated to nontechnical stakeholders the fact, thatmore than 40 percent of the legacy database assets wouldnot be included in the migration.

A second and equally useful output was the web basedredocumentation of the legacy database. On the basis ofthe results of the first two steps in the process a skeletonstructure was generated in a wiki system. This skeletonconsisted of one page for each table in the database aswell as a series of indexes for easy access. The indexeswere built representing the categorization. Additional in-dexes (e.g. sorted alphabetically) were also included. Eachpage describing a single table was already generated to in-clude all the information available from the previoussteps. During the execution of the data reverse enginee-ring step the analysts then entered the newly retrieved in-formation into these pages. After completing the third stepof the process, the documentation was a fairly completeand up to date source of information for a wide array ofdevelopers, requirements analysts and of course the datamigration experts.

Finally the usage and traffic analysis conducted in thelast step also yielded results suitable for graphical presen-tation. A combined graph was developed that showed thenumber of read, write and delete in a bar chart in the bot-tom half and displayed the development of the total rowcount as a continuous line in the upper half. This chartwas automatically generated for each database table.

Evaluation

Especially the categorization of the database tables in-cluding the elicitation of deprecated ones and the web ba-sed documentation has proven to be a vital part of theoverall effort. On the other hand the usefulness of the effortput into producing a full usage analysis of the database hasyet to fully surface. At this point it seems to make the mostsense to again focus on the documentation effort to furtherimprove this comprehensive source of information.

References

[1] W. Kleinert, T. Grechenig, T. Költringer, M. Bern-hart, A. Knarek, and F. Schönbauer. The making ofTISS: Juni 2008. ZIDline, 18:3–8, June 2008.

[2] Michael R. Blaha. Dimensions of database reverseengineering. In WCRE ‘97: Proceedings of theFourth Working Conference on Reverse Enginee-ring (WCRE ‘97), page 176, Washington, DC,USA, 1997. IEEE Computer Society.

[3] E. F. Codd. A relational model of data for largeshared data banks. Commun. ACM, 13(6):377–387,1970.

[4] E. F. Codd. Recent investigations in relational database systems. In ACM Pacific, pages 15–20, 1975.

[5] G. Sanders and S. Shin. Denormalization effects onperformance of rdbms. In HICSS ‘01: Proceedingsof the 34th Annual Hawaii International Conferen-ce on System Sciences (HICSS-34)-Volume 3, page3013, Washington, DC, USA, 2001. IEEE Compu-ter Society.

[6] William Kent. A simple guide to five normal formsin relational database theory. pages 66–71, 1989.

[7] J. Henrard, J.-M. Hick, P. Thiran, and J.-L. Hai-naut, “Strategies for data reengineering,” in Pro-ceedings of the Ninth Working Conference on Re-verse Engineering 2002, (WCRE ’02), 2002, pp.211 – 220.


Figure 2: Example of the statistics visualization ofa legacy database table


IT-Handbücher des RRZNDie folgenden Handbücher des Regionalen Rechenzentrums Niedersachsen (RRZN) sind im Service Center des ZIDfür Studierende und TU-Mitarbeiter gegen Barzahlung erhältlich:

Titel PreisAutoCAD 2008 - Grundlagen EUR 7,00AutoCAD 2009 - Fortgeschrittene Techniken EUR 7,00C EUR 4,00C# EUR 6,50C++ EUR 4,00CorelDRAW X3 EUR 6,00CSS EUR 6,00Eclipse 3 EUR 6,50Excel 2007 EUR 6,00Excel 2007, Formeln und Funktionen EUR 4,50Excel 2007, Fortgeschrittene Techniken EUR 6,00Excel 2007, Automation und Programmierung EUR 6,50Flash CS3, Grundlagen EUR 6,00HTML 4 EUR 6,00Java 2 EUR 7,00Java und XML 2003 EUR 6,00JavaScript EUR 6,50LaTeX EUR 6,50Mathematica - Eine Einführung EUR 5,00MySQL, Administration EUR 6,50Netzwerke, Grundlagen EUR 6,00Netzwerke, Sicherheit EUR 6,50Outlook 2007 EUR 6,50Perl EUR 4,50PhotoShop CS3 EUR 6,50PHP Grundlagen EUR 5,50PHP5 EUR 6,00PowerPoint 2007 EUR 6,00Programmierung, Grundlagen EUR 6,00Project 2007 EUR 6,50SQL Grundlagen+Datenbankdesign EUR 6,00StarOffice 8 / OpenOffice 2 mit CD EUR 5,00Windows Vista - Grundlagen EUR 6,00Windows Vista, Systembetreuer EUR 6,00Word 2007 EUR 6,00Word 2007, Fortgeschrittene Techniken EUR 6,00

Aus organisatorischen Gründen kann der ZID nicht alle vom RRZN angebotenen Handbücher vertreiben. Wenn SieWünsche zur Beschaffung weiterer Handbücher haben (Angebot siehe http://www.rrzn.uni-hannover.de/buecher.html),senden Sie bitte eine E-Mail an [email protected].

Monatlicher Newsletter: http://www.rrzn.uni-hannover.de/newsletter.html


Zentraler Informatikdienst (ZID)der Technischen Universität Wien

Wiedner Hauptstraße 8-10 / E0201040 WienTel.: (01) 58801-42002Fax: (01) 58801-42099Web: www.zid.tuwien.ac.at

Leiter des Zentralen Informatikdienstes:Dipl.-Ing. Dr. Wolfgang Kleinert

Auskünfte, Störungsmeldungen:

Service CenterBitte wenden Sie sich bei allen Fragen und Problemen,die das Service-Angebot des ZID betreffen, zunächst an das Service Center.

58801-1040 Wien, Wiedner Hauptstraße 8-10, Freihaus, 2.OG, gelber BereichMontag bis Freitag, 8 bis 17 Uhr

Ticket SystemOnline-Anfragen: https://service.zid.tuwien.ac.at/support/

E-Mail-Adressen: [email protected] allgemeine Anfragenfür Auskünfte und [email protected] TUNET StörungenStörungsmeldungen [email protected] TUNET Rechneranmeldung

[email protected] [email protected] Netz- und [email protected] Systemunterstü[email protected] [email protected] IT [email protected] Operating zentrale [email protected] [email protected] Internet-Rä[email protected] TUWIS++

13. Oktober 200910:00 - 17:00

Freihaus, 1. und 2. OGWiedner Hauptstraße 8-10

Geplante Themen:

Vienna Scientific Cluster

TUphone Projekt

u:book Informationsstand

TISS – Informationssysteme & Services

TUNET Infrastruktur

Services TU Bibliothek

Goodie Domain Service

SWD-Serverinfrastruktur

Dateninfrastruktur

Studentenservices

Service Center

Museum: „EDV an der TU Wien von 1965 bis heute“

Wie schon im Jahr 2008 veranstaltetder ZID auch heuer einen „ZID-Day“.

Besuchen Sie uns am 13. Oktoberim Gangbereich des Freihauses undinformieren Sie sich über interessanteneue Projekte.

www.zid.tuwien.ac.at/zid_day_09/

Documents

Nr. 20 / Juni 2009 ISSN 1605-475X - TU Wien · 2016. 8. 16. · NI Multisim 10.0 Elektronikdesign und -test mit virtuellen Instrumenten ... PCIe x4 2 x 1 GB Ethernet 0 & 1 VGA Video