Client Management

Wer ein Netzwerk betreibt, dann müssen Sie nicht nur die Server, sondern auch die Clients in ihre Verwaltung mit einbeziehen. So ist es für einen Administrator durchaus von Vorteil, wenn er mehr über die Anwender und die eingesetzten Systeme kennt, als nur die Anzahl. Damit streifen wir den Bereich des Client- und Servermanagements.

Diese Seite soll dabei als erste Abhandlung der Thematik dienen und einen Einstieg erlauben, kann aber keine vollständige Beschreibung oder gar Produktübersicht bieten.

Die Bestandteile

unter dem Begriff Clientmanagement werden oft folgende Funktionen zusammengefasst. Allerdings erfüllen nicht alle Produkte immer alle Komponenten, da einige Produkte einfach die Hilfsmittel des Betriebssystems integrieren.

• Inventarisierung
  um Software zu verteilen, muss erst mal bekannt sein, was vorhanden ist.
• Paketierung
  Ehe Sie dann die Software verteilen, muss diese in einem zur Verteilung tauglichen Format vorliegen.
• Verteilung
  Wenn das Paket geschnürt ist, kann dieses an alle oder ausgewählte Systeme verteilt werden.
• Fernsteuerung und Support
  Die Fernsteuerung bzw. besser die Unterstützung eines Mitarbeiters bei Problemen aus der Ferne ist eine letzte Komponenten, die einige Produkte mitliefert.

Vom Zeitaufwand beim Client Management dürfte die Paketierung alle anderen Punkte um Längen schlagen. Leider ist dieser Aufwand auch durch verschiedene Produkte nicht wirklich zu reduzieren. Schauen wir uns die einzelnen Themen im Detail an:

Inventarisieren

Die Inventarisierung von Produkte auf allen PCs hat sich durch die Verbreitung von MSI-Installer und Windows 200x deutlich vereinfacht. Oftmals reicht es die Liste der installierten Produkte aus der Registrierung zu erfragen, was den Inventarisierungsprozess deutlich beschleunigt.

Allerdings ist es für eine Firma nicht hinreichend nur diese Produkte zu erkennen, die sie selbst installiert, sondern auch Programme zu finden, die eigentlich nicht auf dem System installiert sein dürften. In Zeiten des Internets ist sehr schnell die ein oder andere Software herunter geladen und installiert bzw. gleich ohne Installation gestartet. Daher ist auch die komplette Aufnahme aller ausführbaren Programme eines Clients und der Abgleich mit einer Produktdatenbank weiterhin ein wichtiger Teil einer Inventarisierung.

Zudem sollte jede Inventarisierungssoftware auch die Hardwareausstattung samt Treiber mit aufnehmen, um z.B. BIOS-Updates und neuere Treiber zielgerichtet verteilen zu können.

Gerade im Bereich der Inventarisierung tummeln sich sehr viele sehr günstige Programme, die im wesentlichen auf den PCs die installierte Software an eine zentrale Datenbank melden und damit eine Auswertung erlauben. Oftmals gibt es aber keine Schnittstelle, um anhand dieser aufgenommenen Daten dann auch Software zu verteilen. Darauf sollten Sie achten, wenn sie kein Komplettpaket einsetzen.

• Open audit
  http://www.open-audit.org/
  Früher WinInventory http://winventory.sourceforge.net/
  Eine Sammlung von PHP und VBS-Script Tools:

Windows Inventory could be just what you need. All data is retrieved using Windows built in VBScript and stored in a MySQL database. Data is displayed in a web browser, generated using PHP.

• SYDI
• opsi (open pc server integration) the open source Client Management System '
  http://www.opsi.org/
• ACMP
  http://www.aagon.com/Deutsch/default.asp?id=35&mnu=35
  Kostenfreie Inventarisierung über LAN oder mit ClientSkript in eine MSDE
  Zusatzfunktionen kostenpflichtig verfügbar.
• http://www.ocsinventory-ng.org
  Open Source Client Management auf Basis mySQL, Apache, Perl mit Windows Agent
• http://www.lansweeper.com/
• http://www.i-doit.de/
• Jose - Dokumentation
  http://www.faq-o-matic.net/2008/11/10/jose-21-schon-wieder-ein-kleines-update/
• Einfache Inventory Funktionen <8 Euro/Client
  http://www.sysextensions.net/de/inventory_manager/produktinformationen.htm
• LogInventory
  http://www.loginter.net/de/loginventory.php 6 Euro, Test/25User Free
• Weitere Produkte
  http://www.serverfiles.com/Network-administrator-software/Network-inventory-software/windows/rating/
• Microsoft Software Asset Manager (Nur MS Software, 0 Euro)
  http://www.Microsoft.com/resources/sam/msia.mspx
  http://www.Microsoft.com/msia
  Verbindet sich mit allen PCs und inventarisiert Microsoft Software
• Microsoft SMS
  http://www.Microsoft.com/sms
  Systems Management Server 2003 Device Management Feature Pack
  http://www.Microsoft.com/downloads/details.aspx?familyid=767A918C-361C-4BBE-A1C5-E8D7EFF5EBA6&displaylang=en

Sehr viele dieser einfachen Programme führen auf, dass Sie ausreichend sind, da mit den Active Directory Gruppenrichtlinien und dem Remote Desktop Support alle anderen Belange eines Client Managements abgedeckt sind. Ich denke damit machen es sich die Hersteller doch etwas einfach.

Diese Funktion der Inventarisierung ist aber nicht alleine auf Workstations beschränkt. Auch Server können über eine Inventarisierungsfunktion sehr elegant mit überwacht werden.

Dreh und Angelpunkt: das Schüren von Paketen

In Zeiten von Windows NT5 und Windows 95/98 war die die Erstellung und Verteilung von Software Paketen eine echte Herausforderung für Administratoren. Zum Glück gibt es heute immer mehr Produkte, die eine "unbeaufsichtigte" (unattended) Installation unterstützen, so dass nur wenige Handgriffe erforderlich sind. für etwas mehr Hygiene bei der Installation von Software hat sicher auch das MSI-Format von Microsoft gesorgt, welche ähnlich wie RPM (Redhat Package Manager) oder AppGet (Debian)unter Unix für eine Vereinheitlichung gesorgt hat. Suchen Sie in den Anleitungen der Hersteller nach "unattend", und sie sollten entsprechende Hinweise und Kommandozeilenparameter finden.

Es kann aber immer wieder passieren, dass Sie das Produkt auf einem Mustersystem installieren und von einer Paketiersoftware die Änderungen mitschneiden lassen. Microsoft hat Windows 2000 das Programm WinInstallLE als Lightversion beigelegt, welches einen Einstieg hierzu darstellen kann.

Allerdings stellt die Paketierung von Produkten die meisten Administratoren vor das größte Problem. Je heterogener die ZielUmgebung ist, desto ausführlicher muss getestet und geprüft werden. Dieser Prozess ist auch der zeitintensivste Abschnitt, da hier je nach Produkt das Paket in wenigen Stunden aber auch erst nach einigen Tagen bereit steht. Diese Arbeit nimmt ihnen aber auch die beste Software nicht gänzlich ab. Einzig die Paketiermodule sind je nach Hersteller unterschiedlich leistungsfähig ausgelegt

• Kurzer Überblick über die Möglichkeiten mit Links
  http://de.wikipedia.org/wiki/Softwareverteilung
• www.appdeploy.com
  Hier finden Sie für sehr viele Produkte schon fertige Anleitungen zur automatischen Installation
• Windows Installer Technologies
  http://www.Microsoft.com/windows2000/en/advanced/help/default.asp?URL=/windows2000/en/advanced/help/sag_WinInstall_Technology.htm?id=3991
• Frequently Asked Questions About Windows Installer
  http://www.Microsoft.com/windows2000/community/centers/management/msi_faq.mspx
• White Paper on Windows Installer: Benefits and Implementation für System Administrators
  http://www.Microsoft.com/windows2000/techinfo/administration/management/wininstaller.asp
• InstallRite
  http://www.epsilonsquared.com/installrite.htm
  Kostenfreies "Vorher/Nachher-Schnappschusstool"
• SMS Edition von InstallShield Admin Studio
  http://www.Microsoft.com/smserver/downloads/2003/featurepacks/Administratorentudio/default.mspx
  http://www.macrovision.com/products/flexnet_Administratorentudio/Administratorentudio/editions/sms.shtml

Verteilen

Ist das Paket erstellt, dann gilt es dieses auf die Clients zu bringen. Seit Windows 2000 ist es mit dem Active Directory möglich, über Gruppenrichtlinien automatisch Programme zu installieren und auszuführen.

• MSI oder ZAP Paket per Gruppenrichtlinie
  Über die Computerrichtlinien können Programme automatisch installiert oder bereit gestellt werden
• Startup-Script
  Weiterhin gibt es durch die Gruppenrichtlinien die Möglichkeit, beliebige Scripte beim Start des PCs zu starten. Allerdings werden diese nach spätestens 5 Minuten vom Betriebssystem abgebrochen und sind daher nur bedingt geeignet

Allerdings haben diese beiden Wege Nachteile, die sie nicht zur Verteilung umfangreicher Pakete in größeren Umgebungen geeignet erscheinen lassen.

• Bandbreite
  Es ist nicht möglich, die Installation zeitlich einfach zu steuern. Natürlich könnte der Administrator eine Gruppenrichtlinie anlegen und zeit gestaffelt an bestimmt Ou's zuweisen, aber das ist nur ein Notbehelf.
• Reinstallation
  Funktioniert die Installation des MSI-Pakets nicht (z.B. nicht ausreichend Festplattenplatz) dann wird beim nächsten Start die Installation erneut versucht. Der Begriff "Richtlinie" ist hier so auszulegen, dass der Client es immer wieder versucht, die Vorgaben des Administrators umzusetzen.
• Kein Push
  Gruppenrichtlinien werden regelmäßig aktualisiert, aber die Installation von Programmen über die Computereinstellungen findet nur statt, wenn der Computer gestartet wird. Bei heutigen Systemen mit Ruhezustand und Standby muss das nicht immer passieren. Es gibt keinen einfachen Weg, die Installation zu forcieren oder sogar direkt den Client anzuschubsen

Daher gibt es sehr viele kommerzielle Programme, die genau das erlauben. Dazu installieren diese meist einen eigenen Dienst mit auf dem PC, welcher dann die Installation, Statusmeldung und gleich die Inventarisierung danach durchführt. Einige Produkte erweitern die Gruppenrichtlinien um eigene Module, um so einen Teil der fehlenden Funktionen nachzurüsten. Es bleibt ein Abwägen von Preis und Leistung.

• Kurzer überblick über die Möglichkeiten mit Links
  http://de.wikipedia.org/wiki/Softwareverteilung
• Microsoft SMS
  http://www.Microsoft.com/sms
• Übersicht über einige Softwareverteilungsprogramme
  http://www.appdeploy.com/downloads/browse.asp?cat=deployment
• SpecDeploy
  http://www.specopssoft.com/products/specopsdeploy/purchase/default.asp
  Erweitert die Gruppenrichtlinien zur Softwareverteilung
• http://www.desktopstandard.com
  Erweitert die Gruppenrichtlinien um Software und Patchverteilung und weiteren umfangreichen Add-ons wie MAPI-Profile und Druckereinrichtung.
• Informationen zur Erstinstallation von Workstations finden Sie auch auf Remote Installation Services

Fernsteuern

Die letzte Komponente einer Client Management Lösung besteht in der Möglichkeit, die Anwender auch aus der Ferne zu unterstützen. Dazu ist es erforderlich, nach Rücksprache mit dem Anwender mit auf den Bildschirm zu schauen oder sogar die Kontrolle zu übernehmen. Eine zweite Funktion kann die Installation oder individuelle Anpassungen aus der Ferne sein, die nicht über die Wege der Softwareverteilung durchgeführt werden können.

Allerdings ist diese Funktion in den neueren Versionen von Windows schon vorhanden. So gibt es den Remote Desktop Support, aber auch Programme wie NetMeeeting können problemlos genutzt werden, um einen Anwender zu unterstützen. Zuletzt gibt es auch einige kostenfreie Fernwartungssoftware wie VNC, die sogar plattformunabhängig sind.

Überlegen Sie daher, ob Sie eine eigene Fernsteuerungssoftware benötigen oder überhaupt einsetzen dürfen (Betriebsrat !) und wenn ja, welche Funktion diese erbringen muss. Eine Einfache Betrachtung des Anwendersystems nach Rückfrage ist oft in Verbindung mit einer Telefonverbindung ausreichend. Dateitransfer und andere Funktionen sind oft nicht wirklich erforderlich, so dass die Windows Hilfsmittel ausreichen könnten.

Kommerzielle Pakete

• System Center Configuration Manager (früher SMS)
  http://www.microsoft.com/smserver/default.mspx
• Altiris Client Management Suite
  www.altiris.de
• Empirum/ Matrix42
  www.matrix42.de
• Enteo (ehemals Netinstall)
  www.enteo.de
• Und jede Menge weitere Tools. In den gängigen Fachzeitschriften gibt es immer wieder mehr oder weniger Aussagekräftige Vergleichtests.