Unter dem Begriff System-Management werden unterschiedliche Werkzeuge zur Administration der IT-Infrastruktur zusammengefasst. Dazu gehören in erster Linie die Toolsets zur Verwaltung der Server, der Clients und der Netzwerkbausteine. Eingeschlossen sind meist auch Funktionen zur Benutzerunterstützung und Verwaltung von IT-Assets wie Lizenzen oder dem Inventar. Die Angebotsvielfalt reicht dabei von kostenlos verfügbaren Einzellösungen über Verwaltungspakete mit Fokus auf Clients, Servern oder Sicherheitsbelangen bis hin zu umfassenden Enterprise-Suites à la "Unicenter", "Openview" oder "Tivoli", deren Einführung nicht selten von einer umfangreichen Reorganisation und teuren Consulting-Leistungen begleitet wird.

Die Tools sollen die Verwaltung der IT-Assets durch bessere Informationen vereinfachen sowie automatisierte und zentralisierte Abläufe ermöglichen. Wenngleich unterschiedlich gewichtet, ist der Nutzen der Produkte allgemein anerkannt. Er ist in der Regel umso höher, je größer die Anzahl der zu verwaltenden Systeme ausfällt. Mögen sich wenige Clients noch vor Ort und manuell verwalten lassen, sollten Unternehmen spätestens dann über Automatismen nachdenken, wenn die Zahl der Clients dreistellig ist.

Unumgänglich werden entsprechende Werkzeuge, falls die Geräte auf mehrere Standorte verteilt sind oder wie etwa Geldautomaten oder Auskunftsterminals ohne Bedienpersonal ihren Dienst tun. Management-Werkzeuge informieren die Administratoren über den Zustand der verwalteten und verteilten IT-Bausteine, helfen bei der erstmaligen oder Neuinstallation, erlauben den Fernzugriff, verteilen Software und Patches und überwachen die korrekte Funktionsweise.

Die Werkzeugsets der Hersteller Altiris, Enteo, Landesk und Microsoft sind ähnlich aufgebaut. Um einen zentralen Management-Server gruppieren sich weitere Satellitensysteme. Deren Einsatzspektrum reicht von 500 empfohlenen Knoten (Enteo) bis zu 10000 (Landesk) pro Management-Server. Bei Altiris nennt sich dieser zentrale Knoten "Notification Server".

Module gruppieren sich um zentralen Management-Server

Er fungiert als Framework, in das die jeweiligen Verwaltungsmodule eingeklinkt werden. Landesk hat an dieser Stelle einen "Core Server", Enteo mit dem "Netinstall" und Microsoft mit dem "Systems Management Server" (SMS) sprechen von einer Site-Struktur mit "Standort-Server" beziehungsweise "Management Point".

Allen gemeinsam ist, dass sich die Verwaltungszentren entsprechend den Anforderungen kaskadieren lassen. So können bei entsprechendem Leistungsbedarf weitere Management-Server zugeschaltet werden. Ihre Funktionen liegen in der Softwareverteilung und Inventarisierung, außerdem dienen sie als Kommunikations- und Steuerrechner für die verwalteten Geräte. Dafür zuständig sind spezielle Client-Agenten. Diese werden auf den zu überwachenden Systemen installiert und stellen eine Art Befehlsempfänger und -ausführer dar. Sie sammeln das Inventar und Statusinformationen ein, ermöglichen die Fernwartung oder installieren neue Software automatisch.

Letztendlich lässt sich jedes Gerät aus der Ferne ansprechen, sofern es eine gewisse Grundintelligenz aufweist. Dazu zählen die IP-Kommunikation, SNMP-Traps (SNMP = Simple Network Management Protocol) oder Windows Management Instrumentation (WMI) - was beispielsweise reine Anzeigegeräte wie Bildschirme jedoch nicht bieten. Aktive oder programmatische Interaktionen sind mangels Schnittstellen und Intelligenz bei Geräten dieser Art nicht machbar. Sie können aber über Schema-Erweiterungen des Inventars manuell verwaltet werden.

Das von den Agenten erfasste Inventar und die Statusinformationen werden, gesteuert vom zentralen Management-Server, auf Datenbanken registriert. In der Regel handelt es sich dabei um Microsofts SQL Server, ein Oracle-Produkt oder auch die Microsoft Data Engine (MSDE). Diese können ebenso wie die Management-Struktur der Systeme verteilt im Unternehmen angeordnet werden, die Daten lassen sich aber auch zentral zusammenführen.

MMC-Konsolen sind komfortabler als Browser-gestützte

Korrespondierend mit den Management-Servern liefern die Hersteller ihre Verwaltungskonsolen. Auch diese können mehrfach und verteilt auf speziellen Administrationsarbeitsplätzen eingerichtet werden. Die Umsetzung ist jedoch unterschiedlich: Altiris verwendet eine Browser/HTML-basierende Management-Konsole, Landesk und SMS liefern Snap-ins für die Microsoft Management Console (MMC), und Enteo hat eine Mischung aus einer hierarchischen Struktur und Tabellen.

Angenehmer zu bedienen sind die MMC-Erweiterungen. Da sie als vollwertige Windows-Anwendungen programmiert sind, bieten sie den Komfort dieses Interface in Form von umfangreicher Symbolik, kontextsensitiven Menüs sowie guten Farben und Auflösungen.

Hier kann HTML aufgrund seiner Beschränkung in den gra- fischen Möglichkeiten sowie der systemimmanenten Ver- zögerungen (jede Änderung wird an den Verwaltungs-Ser- ver gesandt, der daraufhin eine neue HTML-Seite generiert und zur Verwaltungskonsole geschickt) nicht mithalten. Dafür benötigt Altiris jedoch nur ei- nen Browser als Grundlage der Verwaltungskonsole. Die Trennung der Verwaltungsfunktionen in Rollen wird von allen Werkzeugen unterstützt und spiegelt sich in dynamischen Konsolen wider.

Einschränkungen bei den Betriebssystemen

Alle Aktionen geschehen wie erwähnt im Zusammenspiel der zentralen Verwaltungskonsolen und ihre Agenten vor Ort auf den überwachten Systemen. Die Microsoft- beziehungsweise Windows-Systeme unterstützen alle getesteten Hersteller, das Verwalten von Macintosh- und Linux-Rechnern ist hingegen nur mit den Lösungen von Altiris und Landesk möglich. Verfügbar sind die Agenten ferner für die gängigsten mobilen Geräte, Server-Systeme und Netzkomponenten.

Damit die Agenten aktiv werden können, müssen sie jedoch zunächst auf die Zielsysteme kommen. Am einfachsten ist dies für die Client-Systeme, die sich ohnehin zum Zweck der Authentifizierung und Autorisierung bei einem zentralen Management-Server anmelden müssen. Diese Rolle übernimmt bei Windows der Domain-Controller in Verbindung mit dem "Active Directory", bei Novell analog das "eDirectory". Unix-Derivate benötigen ohnehin immer ihren zentralen Server.

Generell sind zwei Varianten der Agentenausbringung anzutreffen. Bei der Push-Installation erfolgt die Verteilung ausschließlich durch den Verwaltungs-Server. Die Pull-Installation hingegen benötigt die Mithilfe des Clients. Realisiert wird sie durch den Aufruf eines Scripts auf dem Server durch den Client. Dies kann entweder im Logon-Script des Clients oder durch die Übersendung einer URL geschehen. Der Aufruf via Logon-Script wird von jeder der Suites unterstützt. Altiris bietet darüber hinaus auch Vorkehrungen, um dem Benutzer eine URL mit dem Script zukommen zu lassen. Bei dem Altiris-Produkt ist die Push-Installation auf gefundene Windows-NT/2000/XP/2003-Computer beschränkt. Die Pull-Installation kann auf allen Win-32-Computern mit Internet-Zugriff ausgeführt werden.

Um die Agenten mittels Push auf die Clients ausbringen zu können, müssen sie erst einmal bekannt sein. Auch dazu liefern die Suites Unterstützung, die vom Auslesen der Directories über die manuelle Eingabe bis zum Scan des Netzes reicht. Altiris und Landesk scannen das Netzwerk im Rahmen des "Device Discovery" (Suche der nicht verwalteten Geräte), SMS benötigt hierzu das Active Directory.

Granularität und Anzahl der Agenten fallen unterschiedlich aus. SMS kennt fünf, Landesk verwendet bis zu 13 solche Komponenten für die einzelnen Funktionen. In der Praxis ist dies prinzipiell ohne Bedeutung. Wichtig jedoch ist, dass der Anwender darüber informiert wird. Das tun Altiris, Landesk und SMS, allein Enteos Netinstall hat hier einige Defizite. Ausgeführt werden die Agenten meist als Dienste des Betriebssystems. Dem einzelnen Benutzer wird die Existenz eines Agenten auf seinem Rechner meist rechts unten in der Taskbar angezeigt. Bei SMS findet sich ferner ein Eintrag in der Systemsteuerung. Welcher Agent letztendlich auf dem Zielsystem ausgeführt werden soll und wie er dabei arbeitet, lässt sich über zentrale Konfigurationsbildschirme steuern. Auch das Entfernen der Agenten gestaltet sich, außer bei Netinstall, meist relativ einfach, benötigt aber noch die Verbindung zum Management-Server.

Einer der ersten Schritte wird immer die Inventarisierung der Geräte sein. Sie schafft die Informationsbasis für alle nachfolgenden Aktionen wie etwa das Monitoring, die Lizenzierung, die Fernwartung oder das Verteilen von Anwendungspaketen oder Patches. Sind Agenten auf den Zielsystemen vorhanden, so liefern sie zuverlässig die Daten. Aber auch Geräte ohne spezielle Agenten können durch Fernzugriffe zumindest rudimentäre Informationen bereitstellen.

Gespeichert werden die Inventardaten in speziellen Datenbanken. Da diese auch die Konfigurationsdaten der Suites enthalten, sind sie bei Altiris, Landesk und Microsoft zusammen mit dem Management-Server beziehungsweise der Inventarisierungskomponente bei Enteo einzurichten. Bei kleineren Umgebungen kann die Datenbank zusammen mit der zentralen Verwaltungssoftware auf einem Server installiert werden. Bei umfangreicheren Strukturen ist wegen des Datenvolumens und der Prozessbelastung allerdings ein eigener Rechner für die Datenbank sinnvoll.

Gut gelöst: Der Zugriff auf die Verwaltungskonsole

Der Zugriff auf die Inventardaten muss natürlich von der Verwaltungskonsole aus möglich sein, denn nur dann können die Informationen für tägliche Supportanfragen genutzt werden. Schön gelöst ist dies bei SMS und Landesk. Beide Tools erlauben schnelle und komfortable Zugriffswege über Kontextmenüs. Netinventory von Enteo benötigt dazu ein Add-on, Altiris zeigt die Inventardaten in etwas längeren Listen und verwendet einen Ressourcen-Manager. Die zweite Variante der Auswertungen stellen HTML-Listen dar. Sie sind vor allem für Reporting-Zwecke, etwa zur generellen Kontrolle, zur Lizenzverwaltung oder für periodische Auswertungen sinnvoll. SMS erstellt diese über die SQL Server Reporting Services, alle anderen Produkte nutzen dazu eigene Implementierungen.

Gruppen bilden und gesammelt ansprechen

Als Auswahlmenge für vielerlei Verwaltungsfunktionen wie etwa die Agenten-, Patch- oder Softwareverteilung verwenden alle vier Produkte Sammlungen von Computern. So lassen sich alle Rechner mit gleicher Soft- oder Hardwareausstattung, innerhalb des gleichen IP-Segments oder entsprechend der Zugehörigkeit zu einer Organisationseinheit gesammelt ansprechen. Alle Werkzeuge ermöglichen das Einrichten entsprechender Gruppen, sie können meist auch aus vorausgehenden Abfragen gebildet werden.

Auch die Fernwartung gehört zur Pflicht aller vier Produkte. Große Unterschiede sind hier nicht erkennbar, wenngleich Landesks Management Suite und SMS über eine etwas angenehmere Bedienoberfläche verfügen. Enteos Netreflect berücksichtigt hier auch hiesige gesetzliche Einschränkungen der Benutzerüberwachung und bietet das Tool als Service (Prozess) zum Beispiel für bedienerlose Geräte, aber auch als explizit durch einen Benutzer zu startende EXE-Anwendung an. Aufgerufen wird der Fernzugriff meist über Rechnernamen, IP-Adresse oder das Kontextmenü des jeweiligen Rechners (SMS und Landesk).

In puncto Softwareverteilung verwenden alle Tools das gleiche Grundmuster. Auf dem Verteil-Server sind zunächst Anwendungspakete zu schnüren, die auch Installationsvorgaben enthalten. Dabei kommen meist .MSI- oder .EXE-Pakete, Batch-Dateien oder sonstige installierbare Module zum Zuge. Diese werden beim Push-Verfahren dann den Computersammlungen oder ad hoc einzelnen Rechnern zugewiesen. Beim Pull-Verfahren hinterlegen die Produkte die Pakete auf einem Web- oder File-Server zum Abruf durch den Benutzer. Für Massen-Rollouts sinnvoll ist die Möglichkeit, das Speichern der Softwarepakete auf den Zielsystemen von der eigentlichen Installation zu trennen.

Trennung von Massen-Rollout und Softwareinstallationen

Hilfreich ist dies vor allem dann, wenn entweder das Netz nicht punktuell belastet oder das Zielsystem, etwa ein mobiles Gerät, nicht mit Downloads überlastet werden soll. Durch das Verfahren ist es möglich, das Installationspaket im Vorfeld des Rollouts auf das Zielsystem zu übertragen, die eigentliche Einrichtung und Aktivierung kann dann zeitgleich für eine große Anzahl an Geräten erfolgen.

Um die Netzbelastung gering zu halten, werden darüber hinaus weitere Mechanismem angeboten. Altiris verwendet eine ausgeklügelte Konstruktion aus Deployment-Servern, Landesk setzt auf eine Technik namens "Multicast", und SMS baut auf eine hierarchische Struktur der Verteil-Server. Bei Multicast sendet der Verteil-Server das Installationspaket jeweils nur einmal in ein Subsegment. Dort kann es von einem beliebigen Client angenommen und weiterverteilt werden.

Zur Verteilung auf mobile Geräte sind außerdem Unterbrechungen erlaubt: Durch Prüfpunkte mit automatischem Restart erfolgt nach einem Abbruch der Verbindung die automatische Fortsetzung des Downloads. Auch Bandbreitenoptimierung ist in allen Produkten enthalten beziehungsweise wird bei Netinstall als Erweiterung angeboten. Dies ermöglicht die Bestimmung der maximalen Bandbreite, die mobile Nutzer beim Download erhalten sollen. Ziel ist jeweils, dass der Download der Software den Benutzer bei seiner eigentlichen Arbeit, beispielsweise dem Empfangen oder Versenden von E-Mails, nicht behindert. (ave)