Bundesamt für Sicherheit in der Informationstechnik

M 5.162 Planung der Leitungskapazitäten beim Einsatz von Terminalservern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In einem klassischen Client-Server Netz unterliegt die Netzlast zwischen dem Client und dem Server starken punktuellen Schwankungen, beispielsweise während der Übertragung einer Datei. Benötigt die Client-Anwendung jedoch gerade keine neue Information, wird auch keine Bandbreite benötigt.

In einer Terminalserver-Umgebung hingegen, müssen oft auch dann Daten über das Netz übertragen werden, wenn sich nur geringfügige Änderungen an der Benutzersicht ergeben. Dafür ist der Datenstrom insgesamt leichter zu kontrollieren. Einerseits können Ein- und Ausgabedaten effektiv komprimiert und durch Bandbreitenmanagement begrenzt werden, andererseits entsteht zwischen dem Terminal und dem Terminalserver für jeden Benutzer nur ein einzelner Datenstrom pro Sitzung. Vom Terminalserver gehen dann gegebenenfalls Verbindungen etwa zu Datei-, Datenbank- oder E-Mail-Diensten aus. Die Dateien selbst verlassen hierbei zu keiner Zeit den Terminalserver, sondern werden lediglich auf dem Client angezeigt.

Die erforderlichen Bandbreiten für die verschiedenen Umsetzungen des Terminalserver-Konzepts variieren sehr stark. Sitzungen mittels RDP sind im Schnitt mit 250 kbit/s zu veranschlagen, Citrix empfiehlt 160 kbit/s für das dort verwendete ICA Protokoll, X11 nimmt ohne zusätzliche Maßnahmen sogar um 4 bis 5 Mbit/s in Anspruch. Ein typisches 100 Mbit Netz ist so bereits mit 15 aktiven X-Window Terminals ausgelastet, da 30% zusätzlicher Bedarf für das darunter liegende TCP/IP Protokoll mit einkalkuliert werden muss. Durch Kompression und Puffer-Mechanismen mit Proxysystemen, wie NX oder FreeNX, kann die Datenmenge jedoch effektiv auf durchschnittlich 40 kbit/s reduziert werden.

Die hier genannten Werte sind für die Planung lediglich als grobe Richtwerte zu verstehen. In der Praxis ist es daher unbedingt notwendig, die konkrete Anwendungssituation zu analysieren. Applikationen, die eine rasche Aktualisierung großer Bereiche des Bildschirminhaltes erfordern, belasten das Netz naturgemäß wesentlich stärker als solche, bei denen sich nur gelegentlich einzelne Zeichen in Benutzerdialogen ändern. Grafisch aufwändige Benutzeroberflächen reduzieren ebenso die Anzahl der über eine gegebene Leitungskapazität bedienbaren Benutzer, wie das Verhalten der Anwender selbst maßgeblich das Belastungsprofil des Netzes beeinflusst.

Falls für das geplante Szenario im Vorfeld keine genauen Erfahrungswerte vorliegen, sollten daher bei größeren Installationen realistische Tests der konkreten Konfiguration durchgeführt werden, so dass fundierte Aussagen über die zu erwartenden Datenmengen und die dafür notwendigen Netz-Ressourcen getroffen werden können. Dies kann, entweder in Feldtests mit realen Benutzergruppen, oder durch synthetische Tests mit Hilfe von skriptgesteuerten Zugriffssimulationen geschehen. In beiden Fällen sind vor der Auswertung Reaktionszeiten festzulegen, die nicht überschritten werden dürfen.

Darüber hinaus sollten Reserven geschaffen werden, so dass höhere Anforderungen in der Zukunft, etwa durch eine Expansion der Benutzerzahl oder Anwendungsaktualisierungen im gewissen Rahmen abgefedert werden können.

Wird bei der Bedarfsermittlung festgestellt, dass die vorhandenen Leitungskapazitäten zu den einzelnen Terminals nicht ausreichend dimensioniert sind, da sie mit anderen im Netz bereitgestellten Diensten konkurrieren, bietet der Einsatz von Bandbreitenmanagement die Möglichkeit, durch Priorisierung des Datenverkehrs Engpässe zu beseitigen. Daneben sind Terminalserver besonders geeignet, dem Benutzer am Arbeitsplatz schnelle Speichernetze mit verhältnismäßig geringem Aufwand zur Verfügung zu stellen. Die Anbindung nachgelagerter Dienste kann so über ein zweites Netz, z. B. mit besonders leistungsfähigen Techniken wie iSCSI oder Fibre Channel, direkt am Terminalserver erfolgen und damit das Netz zwischen dem Terminal und dem Terminalserver nachhaltig entlasten.

Insbesondere bei der Bereitstellung von Terminalserver-Diensten über WAN Strecken (Wide Area Network), ist neben der Bandbreite die Latenz einer Verbindung von erheblicher Bedeutung. Da die Bildschirmausgabe der Applikationen nahezu synchron mit der Verarbeitung auf dem Terminalserver verläuft, sind kurze Paketlaufzeiten auf das entfernte System entscheidend für ein verzögerungsfreies Arbeiten. Ein höheres Datenaufkommen aufgrund von zusätzlichen Protokollschichten, z. B. von verschlüsselten Fernzugängen in VPN -Systemen, ist dabei genauso zu berücksichtigen, wie Fehlerkorrekturmechanismen der Leitungsanbieter, die die Signallaufzeiten zusätzlich negativ beeinflussen können.

Prüffragen:

  • Wurde die erforderliche Bandbreite, die zu erwartende Zahl der Nutzer und die maximale Anzahl paralleler Sitzungen für den Zugriff auf den Terminalserver ermittelt?

  • Werden über das gleiche Netz noch andere Dienste bereitgestellt, die die verfügbare Bandbreite oder Latenz reduzieren? Wurde in diesem Fall überprüft, ob diese die Terminalserver-Nutzung beinträchtigen?

  • Für den Fall, dass anderer Netzverkehr die Terminalserver-Nutzung über das tolerierbare Maß hinaus beeinträchtigen kann, wurden Maßnahmen ergriffen, um die Auswirkungen angemessen zu kompensieren?

Stand: 12. EL Stand 2011