computerwoche.de

Archiv

PC und seine Alternativen/Wie lassen sich große PC-Bestände verwalten?

Desktop-Management beginnt mit dem richtigen Rollout

09.07.1999
Von Hadi Stiel* Die Verwaltung unterschiedlicher Client-Rechner zählt zu den schwierigsten Aufgaben von DV-Verantwortlichen. Mit wachsenden, verteilten Netzen hat die Bedeutung einschlägiger Management-Konzepte noch weiter zugenommen. Doch die Frage nach den jeweils geeigneten Methoden und Werkzeugen ist nicht leicht zu beantworten.

Im Zentrum der verschiedenen Ansätze für ein Desktop-Management stehen vor allem Microsoft-Clients in Form von Windows- 3.x-, Windows-95-, Windows-98- und NT-Rechnern. Trotz der enormen Gerätevielfalt stellen sie im Markt das Gros aller installierten Client-Plattformen dar.

In dieser Ausgangssituation den Einsatz von Framework-Lösungen wie "Tivoli Enterprise Software" und "CA Unicenter TNG" anzuvisieren lohnt sich im Rahmen einer umfassenden Management-Strategie nur für große Unternehmen. Doch selbst diese sind in puncto Desktop-Management von Microsoft-Clients unter dem Framework mit erheblichen funktionalen Lücken konfrontiert. Eben diese Lücken weisen deshalb auch die abgespeckten Management-Lösungen dieser Hersteller auf, beispielsweise Tivolis "IT Director" und CAs "Workgroup Edition". Sie sind auf den Einsatz in mittelständischen Unternehmen zugeschnitten. Inventarisierung, Softwareverteilung und Remote Control ist eben nicht alles, um im Unternehmen ein wirtschaftliches Desktop-Management zu betreiben.

Das immanente Manko dieser Lösungen: Ihnen fehlen Rollout-Mechanismen, mit denen sich die Windows-PCs des Netzes von der Zentrale aus wirtschaftlich installieren und konfigurieren lassen. Dieses Aufgabenfeld ist eine Domäne anderer Hersteller, so von Altiris, Symantec, Microhouse und Powerquest. Trotzdem ist ein wirtschaftlicher Rollout für das Unternehmen um so wichtiger, je mehr Windows-Clients mit gleicher Grundkonfiguration im Einsatz sind. Martin Kolmorgen, technischer Projektleiter bei der Sornet GmbH in Bad Camberg, ist überzeugt: Ein richtig aufgesetzter Rollout-Mechanismus bringe Unternehmen letztlich höhere Einsparungen als die von den großen Herstellern gepriesene Softwareverteilung. Diese sei erst die zweite Etappe nach dem Rollout, um Konfigurationen auf den Clients individuell auf den Anwendungsbedarf einzelner Benutzer hin zu erweitern oder anzupassen.

Doch Rollout ist nicht gleich Rollout. Für die Installation und Grundkonfiguration der Win- dows-PCs - beispielsweise mit Office, E-Mail-System, Web-Browser, wichtigen Werkzeugen sowie Netz-, ISDN- und Grafikkartensoftware - ist der Anwender mit unterschiedlichen Verfahrensweisen konfrontiert, die er kennen sollte. Das Verfahrensspektrum reicht von der rudimentären Variante und der bedienerlosen Installation (Unattendend Installation) bis zum Imaging mit einer vorangestellten Vorbereitungsphase (Preparation).

Die beschwerlichste und gleichzeitig ineffektivste Art des Rollout ist Unattendend Installation. In diesem Fall erstellt der Netzadministrator - beispielsweise mit dem Windows-internen Werkzeug "Wizzard" - eine Textdatei, über die später mit dem Setup die Software bedienerlos auf den PC geladen werden kann. "Ineffektiv ist dieser Ansatz bereits deshalb, weil mit Werkzeugen wie Wizzard nur rund ein Fünftel der Befehlszeilen per Mausklick eingesetzt werden können. Die übrigen vier Fünftel sind mühsame Editier- arbeit", begründet Kolmorgen die Kritik. Langwierig ist dann auch die Installationsetappe selbst, sofern die zu installierenden Anwendungen die Funktionalität der Unattendend Installation überhaupt unterstützen - bei Anwendungen, die nicht von Microsoft stammen, ist dies eher die Ausnahme. Jede einzelne Ladeaktion wird anhand der in der Textdatei abgelegten Befehlsfolge im entfernten PC angestoßen - und das nacheinander, Anwendung für Anwendung. Die Verarbeitungsleistung dazu erbringt die zentrale Konsole, auf der die Textdatei hinterlegt ist. 500 bis 800 MB an Daten wechseln so insgesamt pro PC und Durchlauf die Seite, was einem Ladevorgang von zwei bis drei Stunden pro Client gleichkommt. Weitere Schwachstelle: Sollen auf diese Weise mehr als 50 Clients installiert und konfiguriert werden, wächst mit jedem zusätzlichen Client die Datenlast auf den Verbindungen dramatisch, und das verlängert die Installations- und Konfigurationsphase weiter. "Innerhalb ausgedehnter Installationen", bemängelt Kolmorgen, "können so zwei Wochen bis zur Einsatzreife aller Windows-PCs ins Land gehen."

Wesentlich effektiver und damit wirtschaftlicher geht die Installations- und Konfigurationsphase über die Bühne, wenn statt dessen Imaging zum Einsatz kommt. Der Ablauf funktioniert so: Über externe Werkzeuge wie "Ghost" von Symantec, "Imagecast" von Microhouse oder "Lab Expert" beziehungsweise "Rapideploy" von Altiris wird per Mausklick ein sogenanntes Image mit allen erforderlichen Installations- und Konfigurationsparametern erstellt. Dieses Image - ein Eins-zu-eins-Abbild der Festplatte - wird dann vervielfältigt ("Cloning") und auf die entfernten Clients kopiert. Der große Vorteil dieses Ansatzes: Die Installation und Konfiguration eines PCs dauern nur etwa 15 bis 20 Minuten. Zudem können per Imaging bis zu fünf PCs gleichzeitig einsatzbereit gemacht werden.

Für den Anwender bringt diese Rollout-Methode dennoch einige Nachteile mit sich: Ein einmal erstelltes Image kann nicht mehr geändert werden. Sind Umkonfigurationen auf den Clients erforderlich, muß an der zentralen Konsole ein komplett neues Abbild der geforderten Festplatte entwickelt werden. Zudem zieht auch diese Verfahrensweise hohe Datenlasten im Netz nach sich. Dennoch ist Imaging in der Summe das geeignetste Rollout-Verfahren.

Imaging allein hilft jedoch speziell bei Windows-NT 4.x- und künftig bei Windows-2000-Clients nicht weiter. Kolmorgen nennt den Grund dafür: "In beiden Welten wird über alle Rechner hinweg mit einer Secure-ID gearbeitet." Zudem seien in einem ersten Schritt die MAC-Adresse des PCs und die Registereinträge zu ermitteln. Deshalb müsse dem Imaging-Prozeß eine Vorbereitungsphase vorangehen, in der die für das weitere Prozedere kritischen Parameter extrahiert werden. Beim Hochfahren des PCs werden dann sowohl die Secure-ID als auch die MAC-Adresse dynamisch zugewiesen und die erforderlichen Registereinträge durchgeführt. Diese kombinierte Roll-out-Technik beherrschen unter anderem die Werkzeuge von Altiris und Symantec; mit ihnen lassen sich von der zentralen Konsole aus auch Windows-NT-4.x-Stationen mit den Konfigurationsdaten bestücken.

Als eindeutiger Favorit für ein professionelles Rollout erweist sich derzeit das Produkt Rapideploy von Altiris. Schon deshalb, weil es die beiden generellen Nachteile des Imaging-Verfahrens - ein nicht mehr veränderbares Image und hohe Datenlasten auf den Verbindungen - ausschließt. Nur bei der Altiris-Lösung lassen sich einmal erstellte Images nachträglich verändern, so daß bei Konfigurationsmodifikationen nicht jedesmal ein neues Abbild der Festplatte entwickelt werden muß.

Imaging paßt Clients automatisch an

Das System erlaubt, nur die Konfigurationsveränderungen an den Client zu übermitteln. Daneben weist die Altiris-Lösung für einen wirtschaftlichen Rollout die Funktionalität des Multicastings auf. Mittels Cloning vervielfältigte Images können bei diesem Verfahren via Broadcast und damit bandbreitensparend an die Clients übermittelt werden. Darüber hinaus kann das Altiris-System auf weitere Vorteile gegenüber den Konkurrenzprodukten verweisen:

-Die Clients werden via Imaging automatisch angepaßt. Das heißt, der PC-Name und die nächste freie IP-Adresse (bei Einsatz fester IP-Adressen) werden automatisch zugewiesen.

-Schlägt der Installationsprozeß fehl oder wird der PC vor Ort vom Benutzer beabsichtigt oder unbeabsichtigt manipuliert, kann das Image automatisch über die Altiris-interne Datenbank rekonstruiert und erneut auf den Client aufgespielt werden.

-In das Rollout können nicht nur Windows-Clients, sondern auch NT-Server einbezogen werden.

Zusätzlich wartet die Altiris-Lösung mit einer integrierten Inventar-Datenbank auf, mit der sich die komplette Wegstrecke, von der Hinterlegung der Installations- und Konfigurationsdaten bis hin zur Einsatzreife der PCs abdecken läßt.

Für die Softwareverteilung, das heißt, die Anpassung der Konfigurationen der einzelnen Clients an die einzelnen Benutzer, haben Administratoren die Wahl zwischen Werkzeugen wie "Netinstall" von Netsupport und "Zen Works" in NDS-Netzen von Novell. Pro Client sind für diese Funktionalität rund 160 Mark an Lizenzkosten zu veranschlagen. Der Lizenzpreis pro Client für Softwareverteilung unter dem Tivoli-Framework liegt demgegenüber bei atemberaubenden 600 Mark.

Unternehmen können alternativ auch die Microsoft-Lösung "Systems Management Server" (SMS) einsetzen. Freilich gilt dies nur für die neue Version SMS "2.0", die gerade auf den Markt gekommen ist. Sie deckt die Bandbreite Inventarisierung, Softwareverteilung, Remote Control sowie Metering (Softwarelizenzverwaltung) ab und schlägt zudem eine Brücke zu Helpdesk-Funktionen. Selbst die Erstellung von Images ist mit dem neuen SMS-Release möglich, jedoch ohne Cloning und Verteilung der Images an die Clients. Insgesamt jedoch müssen IT-Verantwortliche für den Einsatz von SMS 2.0 aufgeblähte SMS-Clients in Kauf nehmen. Sie liegen in der Größenordnung zwischen 8,8 und 13 MB.

Weniger überzeugend ist dagegen die Vorgängerversion SMS 1.2: Sie ist mehr oder weniger nur für eine umfassende Inventarisierung geeignet. Speziell die Softwareverteilung dieser Version erweist sich als unausgereift und langsam. "Das liegt an der umständlichen Verfahrensweise", kritisiert Kolmorgen: "Das Paket zur Softwareverteilung wird komprimiert, an die Einsatzstelle geschickt und dort dekomprimiert." Dieses umständliche Prozedere belaste nicht nur die Verbindungen, sondern auch den Prozessor der Clients.

Remote Control als letzte Etappe

Mit einer umfassenden Inventarisierung im Hintergrund ist Remote Control, neben Rollout und Softwareverteilung, die letzte wesentliche Etappe für ein leistungsfähiges und wirtschaftliches Desktop-Management. Auch hier hat der Anwender die Wahl zwischen SMS 2.0 und externen Werkzeugen wie "PC Anywhere" von Symantec oder "Remote- ware" von Sterling Software. Das Remote-Control-System sollte die Konfigurationen auf den Windows-Clients in definierten Zeitintervallen automatisch abfragen und Veränderungen selbsttätig an die zentrale Konsole melden können. Nur so kann einem Software- und Konfigurationswildwuchs auf den PCs wirkungsvoll von der Zentrale aus vorgebeugt werden. Für die richtige Entscheidung in puncto Remote Control muß eine ganze Reihe weiterer Auswahlkriterien beachtet werden. Der Sornet-Projektleiter hat sie in einer ausführlichen Checkliste zusammengetragen (siehe Kasten).

Zusätzlich sensibilisiert Kolmorgen IT-Entscheider, beim Thema Remote Control den Betriebsrat möglichst frühzeitig einzubeziehen. "Denn immer wenn der Betriebsrat Möglichkeiten für versteckte Aufzeichnungen zu den Aktivitäten der Mitarbeiter wittert, wird er in der Regel intervenieren." Ohne vertrauensbildende Maßnahmen und den Abbau von Ressentiments könne ansonsten der Einsatz des Remote-Control-Systems bereits im Vorfeld scheitern.

Auswahlkriterien für Remote-Control-Software

-Unterstützung aller installierten Windows-Clients: Alle Microsoft-Varianten müssen von einer Konsole aus administrierbar sein;

-Verbindungsaufbau über das Weitverkehrsnetz (WAN) ausschließlich bei akutem Überwachungs- oder Verwaltungsbedarf;

-Übertragung über das Weitverkehrsnetz nur in verschlüsselter Form;

-effiziente Komprimierung der zu vermittelnden Daten, damit sich die Übertragungsgebühren im WAN in Grenzen halten;

-Übertragung nur der Unterschiede zum vorherigen Konfigurationszustand, damit die WAN-Bandbreite zusätzlich geschont wird;

-Ausschaltung von Hintergrundbildern und Herunterregeln der Farbtiefe, um die Netzlast zu verringern;

-Unterstützung unterschiedlicher Übertragungsdienste wie ISDN, Modem und GSM, damit bei Ausfall eines WAN-Dienstes immer alternative Wege für die Fernkontrolle offenstehen;

-bei Verbindungsabbruch Wiederaufsetzen des Datentransfers genau an der Abbruchstelle und Versand nur der Restdaten;

-mindestens Authentifizierung über User-ID/Paßwort;

-Möglichkeit für den Netzadministrator, den entfernten Rechner zu übernehmen, kombiniert mit der Zustimmung des Benutzers, dies auch tun zu dürfen: Nur so ist der Benutzer letztlich gegen eine verdeckte Konfiguration und versteckte Aktivitäten auf seinem PC gefeit;

-detaillierte Protokollierung aller Aktivitäten in einem Logbuch, damit auch die Aktionen der Administratoren jederzeit nachvollzogen werden können.

Angeklickt

Inventarisierung, Softwareverteilung und Remote Control reichen für ein wirksames Desktop-Management nicht aus. Voraussetzung für eine wirtschaftliche Installation, Konfiguration und Fernkontrolle sind vorgeschaltete Rollout-Mechanismen. Die dafür angebotenen Verfahren bringen Unternehmen nicht nur Vorteile.

*Hadi Stiel ist freier Journalist in Bad Camberg.