Sonntag, 11. Dezember 2016
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Netzwerkgeheimnisse und Bandbreitenrätsel: Die Wahrheit ist irgendwo da draußen

Leon Adato, Head Geek bei SolarWinds (Quelle: Solarwinds)

Das Leben im IT-Bereich kann sehr unterhaltsam sein. Und anscheinend sind Administratoren nicht die Einzigen, denen das aufgefallen ist – auch Hollywood hat es bemerkt. Das Problem ist, dass sämtliche Fernsehsendungen und Spielfilme über den IT-Bereich Komödien sind.

Das soll nicht heißen, dass im Admin-Alltag nicht einige lustige Dinge passieren würden. Dennoch wäre etwas mit Inhalt und Tiefgang schön. Quasi „Akte X: Die Wahrheit ist irgendwo da draußen.“ Genaugenommen steht die erste Episode schon komplett. Sie basiert auf einem Erlebnis, das ich vor nicht allzu langer Zeit mit NetFlow hatte:

Die Firma, bei der ich zu jener Zeit arbeitete, betreute eine Vielzahl an Kunden für Monitoring-as-a-Service. Eines Tages hielt ich den Telefonhörer möglichst weit von meinem Ohr entfernt, als ein Schulleiter schrie: „Das Internet funktioniert ständig nicht, Sie müssen etwas unternehmen!“

Nun, es gibt wenige Sätze, die mich so sehr auf die Palme bringen wie „das Internet funktioniert nicht“ oder die häufigere Variante „das Netzwerk funktioniert nicht“. Daher war mein erster Gedanke: „Freundchen, wir haben redundante Schaltkreise, für Failover konfigurierte Switches und eine umfassende Überwachung. Das Netzwerk funktioniert, also gehen Sie mir bitte nicht auf die Nerven.“

Natürlich habe ich das nicht so gesagt. Stattdessen stellte ich einige Fragen, um zur zugrunde liegenden Ursache des Problems vordringen zu können.
Als Erstes fragte ich: „Wie häufig tritt dieses Problem auf?
„Ziemlich oft“, sagte man mir.
„Ooookay... und zu irgendwelchen bestimmten Zeiten?“, fragte ich.
Er antwortete: „Naja, es scheint ziemlich zufällig zu sein.“
Mit solch aufschlussreichen Details kann ich das Problem sicherlich schnell ermitteln.

Netzwerkdiagnose durchführen

Es war klar, dass ich nun richtige Analysen durchführen musste. Als Erstes untersuchte ich den Primärkreis zu unserem Anbieter. Nichts zu sehen. Es tut mir also leid, aber „das Internet“ funktioniert – nicht dass ich irgendwelche Zweifel gehabt hätte.

Als Nächstes überprüfte ich die WAN-Schnittstelle der Schule und stellte fest, dass die WAN-Verbindung zu der Schule tatsächlich mehrmals am Tag ausgelastet war. Über 20–30 Minuten trat eine Spitzenlast in der Nutzung auf, die anschließend bis zum nächsten Vorfall wieder absank.
Ich überprüfte die Firewall-Protokolle – nicht gerade meine Lieblingsaufgabe – die eine große Anzahl an gleichzeitigen HTTP-Verbindungen aufwiesen. Über viele Jahr hinweg war das der Höhepunkt der Fehlerbehebung: Geräte überprüfen, Protokolle überprüfen, darauf warten, dass das Ereignis erneut auftritt und dann weiteranalysieren.

Und in meinem Fall hätte das alles sein können, was mir möglich war. Unserem Vertrag gemäß überwachten wir das gesamte Hauptrechenzentrum des Schulsystems, doch dies erstreckte sich nur bis zum Edge-Router der Schule. Es war uns völlig unmöglich, über die WAN-Verbindung der einzelnen Schulgebäude hinaus etwas zu erkennen.

Doch zum Glück hatte ich noch ein weiteres Ass im Ärmel: NetFlow.
NetFlow existiert schon recht lange, doch erst in den letzten Jahren erlangte es einen höheren Bekanntheitsgrad unter Netzwerkadministratoren, was insbesondere auf die fortgeschrittene Entwicklung von Tools zum zuverlässigen und aussagekräftigen Erfassen und Anzeigen von NetFlow-Daten zurückzuführen ist. NetFlow erfasst und korreliert „Konversationen“ zwischen zwei Geräten, während die Daten einen Router durchlaufen. Es ist nicht nötig, die spezifischen Endpunkte der Konversation zu überwachen, sondern es reicht aus, die Daten eines Routers zwischen den beiden Punkten zu erfassen.

So stellten wir beim Abgleichen der Spitzenzeiten unserer Bandbreitenstatistiken fest, dass zum jeweiligen Zeitraum der Störungen immer jeweils 10 MAC-Adressen Konversationen mit YouTube starteten. Bei jeder Auslastungsspitze war es derselbe Satz MAC-Adressen.
Durch eine Überwachung innerhalb der Schule hätten wir deutlich mehr Informationen sammeln können: IP-Adressen, Standorte, vielleicht sogar Benutzernamen, wenn wir komplexere Tools zur Überwachung von Benutzergeräten verwendet hätten – doch das war nicht der Fall. Ein Blick auf das OUI Lookup Tool von WireShark zeigte jedoch, dass sämtliche 10 MAC-Adressen von Apple, Inc. stammten.

„Mysteriöse“ Geräte legen das Netzwerk lahm

An diesem Punkt hatte ich alle Werkzeuge, die mir zur Verfügung standen, ausgeschöpft. Also rief ich den Schulleiter zurück und nannte ihm die Anfangs- und Endzeiten der Lastspitzen sowie die Information, dass 10 Apple-Produkte schuld waren.

„Moment, was waren die Zeiten?“, fragte er.
Ich wiederholte die Zeiten.

„Oh, verdammt... Ich weiß, wo das Problem liegt.“ Aufgelegt.

Schlussendlich stellte sich heraus, dass der Kunstlehrer einen Zuschuss für zehn funkelnagelneue iPads erhalten hatte. Während der Kunststunden ging er von Klassenzimmer zu Klassenzimmer, verteilte die iPads und brachte den Kindern bei, Video-Mashups zu erstellen.

Dies war einer der seltenen Fälle, in denen eine Erhöhung der Bandbreite tatsächlich berechtigt war, und nachdem die WAN-Leitung der Schule erneut bereitgestellt wurde, hörte das Internet damit auf, plötzlich auf mysteriöse Weise „nicht mehr zu funktionieren“.

Leon Adato, Head Geek bei SolarWinds

Anmelden
Anmelden