18.18 Kosten für WAN-Verbindungen – Ausbau der dezentralen IT-Struktur oder rigorose Zentralisierung? 

Die für Server und Bandlaufwerke getroffenen Aussagen gelten übrigens auch für die Bandbreiten bei der Anbindung von Standorten oder Telearbeitsplätzen. Die Leitungskapazitäten und Kosten von WAN-Leitungen speziell über das Internet verändern sich drastisch. Beispiele dafür sind Flatrates und DSL-Verbindungen zum Internet Provider, die inzwischen jeder Privatperson zu erschwinglichen Kosten zur Verfügung stehen. Empfehlungen in Whitepapers, bei denen oft immer noch 64-KB/s Leitungen zugrunde gelegt werden, sind oft bereits Makulatur, wenn das Buch endlich gedruckt ist oder der Artikel im Internet erscheint. Mittels VPN können Standorte oder Telearbeitsplätze heute sicher, kostengünstig und mit hoher Bandbreite an zentrale Serverfarmen angeschlossen werden.

Das zukünftige Datenaufkommen auf den WAN-Leitungen setzt sich aus E-Mails, der Replikation der Inhalte öffentlicher Exchange-Ordner und dem Replikationsverkehr zwischen den globalen Katalogservern zusammen. Der angesprochene Active-Directory-Replikationsverkehr tritt natürlich nur in Domänen mit mehreren Standorten auf.

Zumindest in kleineren Organisationen ist der Replikationsverkehr zwischen den globalen Katalogservern der Standorte nur während der Einführungsphase beträchtlich. Denn bei Unternehmen, deren Organisationsstruktur recht stabil ist und die eine geringe Personalfluktuation haben, ändern sich sowohl die Mitgliedschaften in den Gruppen als auch die zu replizierenden Attribute nach der Einführung des Systems nicht mehr häufig.

Hinzu kommt eine weitere Auslastung der WAN-Leitungen, wenn Sie Terminalservertechnologie einsetzen. Diese Technologie ist unter Windows Server 2003 inzwischen so weit ausgereift, dass das Einsparpotenzial, das sich ergibt, wenn alle Anwendungen nur noch auf Servern in der Zentrale statt auf dezentralen Servern laufen, die Daten zentral gehalten und auch nur in der Zentrale gesichert werden müssen, immens ist.

18.18.1 Replikationsverkehr zwischen den Standorten abschätzen 

Um den durch das Einrichten neuer Postfächer, die Neuzuweisung zu Gruppen und die Änderung einzelner Attribute (z.B. die Telefonnummer oder die Raumnummer eines Mitarbeiters) hervorgerufenen Replikationsverkehr nach der Implementierungsphase abzuschätzen, saldieren Sie die Anzahl der Personalzugänge und -abgänge pro Jahr. Außerdem stellen Sie fest, wie viele Mitarbeiter pro Jahr die Abteilung wechseln oder wie oft im Jahr ein Mitarbeiter in eine Projektgruppe ein- oder austritt. Diese Anzahl dividieren Sie durch die Anzahl der Jahresarbeitstage und durch die Anzahl der Active-Directory-Standorte. So erhalten Sie die Anzahl der Änderungen, die pro Arbeitstag über die WAN-Leitungen an die globalen Katalogserver repliziert werden müssen. Der dadurch verursachte Replikationsverkehr wird zumindest in Einrichtungen des öffentlichen Dienstes sehr gering ausfallen, da dort die Personalfluktuationsrate in der Regel sehr gering ist. Er fällt z.B. dadurch erheblich niedriger aus, wenn Sie neutrale Kennungen (z.B. Benutzer001 bis Benutzer999) statt personalisierter Kennungen (Name des Benutzers als Benutzerkennung) einführen, da an diesen Kennungen so gut wie keine Änderungen mehr vorgenommen werden.

Ein Beispielszenario kann diesen theoretischen Sachverhalt aufhellen: Stellen Sie sich ein Unternehmen vor mit je 100 Mitarbeitern an 5 Standorten, also insgesamt 500 Mitarbeitern. Wenn jedes Jahr 10 Mitarbeiter pro Standort das Unternehmen verlassen und 10 neue Mitarbeiter eingestellt werden, so sind das 50 Objekte, die pro Jahr gelöscht, und 50 Objekte, die pro Jahr neu angelegt werden müssen, in der Summe 100 Objektänderungen.

Wenn außerdem an jedem Standort pro Jahr 10 Mitarbeiter die Abteilung wechseln, so müssen 50 Objekte aus Sicherheitsgruppen gelöscht werden und in eine andere Sicherheitsgruppe eingefügt werden. Das ergibt erneut 100 Objektänderungen.

Wenn durchschnittlich pro Standort und pro Jahr 5 Projektgruppen neu erstellt werden und 5 aufgelöst werden und diese Projektgruppen durchschnittlich aus 6 Projektmitarbeitern bestehen, so sind das pro Standort 60 Objektveränderungen, bei 5 Standorten also in der Summe weitere 300 Objektänderungen.

Insgesamt ergeben sich 100 + 100 + 300 = 500 Änderungen, die über ein Jahr mit ca. 220 Arbeitstagen zwischen den globalen Katalogservern der Standorte ausgetauscht werden müssen, das heißt pro Arbeitstag im Durchschnitt 2,3 Objektänderungen, die jedem globalen Katalogserver an jedem der 5 Standorte mitgeteilt werden müssen. Auch wenn in diesem Beispiel nicht sauber zwischen Objekten und Objektattributen unterschieden wird, so wird doch schnell deutlich, dass selbst eine langsame WAN-Verbindung zwischen den 5 Standorten mit dem erzeugten Replikationsverkehr nicht überfordert sein wird.

Besteht jedoch die Gesamtstruktur des Beispielunternehmens aus 50 Standorten mit durchschnittlich 500 Mitarbeitern, von denen pro Jahr 10  % das Unternehmen verlassen und durch Neueinstellungen ersetzt werden, so sind das 5  000 Objektänderungen pro Jahr (2  500 Abgänge und 2  500 Zugänge).

Wechseln außerdem 10  % der Mitarbeiter im Durchschnitt pro Jahr die Abteilung und damit ihre Zugehörigkeit zu Sicherheitsgruppen, so sind das 2  500 Abgänge aus einer Sicherheitsgruppe und 2  500 Zugänge zu einer anderen Sicherheitsgruppe, also zusammen weitere 5  000 Objektänderungen, die repliziert werden müssen.

Werden an jedem Standort pro Jahr 10 Projektgruppen mit durchschnittlich 5 Projektmitarbeitern ins Leben gerufen und genau so viele Projektgruppen aufgelöst, so sind das insgesamt 100 Mitgliedschaften in Projektgruppen, die pro Standort eingetragen oder aufgelöst werden müssen, in der Summe 5  000 Objektänderungen aufgrund von Änderungen bei der Projektgruppenzugehörigkeit.

Pro Jahr müssen also 15  000 Objektänderungen an jeden globalen Katalogserver repliziert werden, bei 220 Arbeitstagen sind das 68 Objektänderungen pro Arbeitstag. Bei einem kleinen Standort mit nur 20 Mitarbeitern, der durch eine langsame WAN-Verbindung angebunden ist und einen Domänencontroller mit globalem Katalogserver hat, können diese 68 Objektänderungen die Leitung stärker belasten. Ob die Leitung aber wegen des Replikationsverkehrs überlastet wird, ist zu bezweifeln. Der Engpass wird wahrscheinlich eher durch den E-Mail-Verkehr zwischen diesem Standort und den anderen Standorten verursacht als durch den Replikationsverkehr zum und vom globalen Katalogserver dieses Standortes.

18.18.2 In den Ausbau der WAN-Leitungen und nicht in dezentrale Strukturen investieren 

Projektiert man die Entwicklung der von Providern angebotenen WAN-Bandbreiten und deren Kosten aus der Vergangenheit in die Zukunft und versucht man aufgrund dieser Kostenprojektion, die beiden Alternativen »Modernisierung und weiterer Ausbau der dezentralen IT-Infrastruktur« und »rigorose Zentralisierung der IT-Infrastruktur« in einer mittelfristigen Gegenüberstellung von Kosten und Nutzen zu vergleichen, so wird man wahrscheinlich zu dem Ergebnis kommen, dass jeder eingesparte dezentrale Server, dezentrale Streamer, dezentral abzusichernde Serverraum (Zugangskontrolle, Doppelböden, Feuerschutz, Klimaanlage) und besonders die eingesparten dezentralen IT-Personalkosten den Ausbau der WAN-Leitungen rechtfertigen, mit dem langfristigen Ziel, Serverhardware und teures Know-how nur noch in einem zentralen Rechenzentrum zu vereinen.

Microsoft ist übrigens diesen Weg selbst gegangen. Schon im Buch »Das Multi-Server-Netzwerk« (Martin Kuppinger und Hans-Roland Becker, Microsoft Press, 1995) wurde beschrieben, wie Microsoft Zentraleuropa die Server in einem zentralen Rechenzentrum in Unterschleißheim zusammenführte. In den Niederlassungen von Microsoft finden Sie kaum noch Produktivserver und erst recht keine dezentralen Administratoren. Microsoft bietet übrigens regelmäßig Führungen durch das Microsoft-Rechenzentrum in Unterschleißheim an und demonstriert, wie das Münchner Rechenzentrum in das weltweite Microsoft-Netz eingebunden ist und wie der Umzug in das neue Gebäude im Oktober 2000 gemeistert wurde.