Management für die Massen

R E A L- W O R L D L A B S
2
www.networkcomputing.de
LANDesk Management Suite 8
Management für die Massen
Mit einer verbesserten Integration, erweiterten Funktionen und einem neuen technischen
Verfahren für die Softwareverteilung vereinfacht die neue Suite die Desktop-Verwaltung
ein weiteres Mal.
ver bildet das Zentrum
D
ie »LANDesk«-Management-Suite (LDMS) ist
eine der bekanntesten und
mit am häufigsten eingesetzten Sammlungen von Programmen für das Management von Desktops in heterogenen Netzwerkumgebungen. Gehörte die vorangegangene Version der Suite
schon zur Spitzenklasse (siehe Vergleichstest in Network
Computing 18/2003), so hat
der Hersteller die LandeskManagement-Suite 8 mit erweiterten Funktionen, einer
neuen Benutzungsoberfläche, verbesserter
Integration und einem neuen technischen
Verfahren für die Softwareverteilung nochmals deutlich aufgewertet. Die Suite offeriert Funktionen zum Arbeitsstations- und
(eingeschränkt) Servermanagement einschließlich Softwareverteilung, Hard- und
Softwareinventarisierung, Software-Metering, Remote-Administration und Imaging
für Windows-, Netware-, Linux-, Unix- und
Macintosh-Systeme. LDMS erfordert einen
Steckbrief
LANDesk
Management Suite 8
Hersteller: Landesk Software
Charakteristik: Desktop-Management-Software
Kurzbeschreibung: Die Landesk-Management-Suite ist eine vollständige Lösung für das Management
von Windows- und MacintoshDesktops im Netzwerk. Die Suite
kümmert sich überwiegend um
das Software-Management, aber
Inventarisierungsfunktionen und
ein Alert-System sind ebenfalls
enthalten. Neben Desktops verwaltet die Suite auch Server und
Windows-Netzwerkbetriebssysteme und Netware. Die ServerKomponente der Suite läuft unter
Windows-2000-Server und
Windows-Server-2003.
Web: www.landesk.com
Preis: Bei 100 Lizenzen
85 Dollar pro Lizenz
Server mit Windows-2000-Server,
Windows-2000-Advanced-Server
(beide mit Service-Pack 4) oder
Windows-Server-2003 in der Standard- oder Enterprise-Edition, der als
Core-Server das Zentrum der zu verwaltenden Domäne bildet. Im Gegensatz zur
Version 7 unterstützt LDMS nun also auch
aktuelle Betriebssysteme auf dem Core-Server. Unverändert gilt aber weiterhin, dass
der als Core-Server vorgesehene Server kein
Domänencontroller sein darf. Der CoreServer muss über Internet-Explorer ab Version 5 verfügen und – falls Administratoren
die optionale Web-Konsole verwenden wollen – auch über Microsofts Internet-Information-Services. LDMS arbeitet mit einem
Datenbanksystem zur Speicherung von Managementinformationen. Standardmäßig
verwendet LDMS eine Microsoft-MSDEDatenbank auf dem Core-Server – dies ist
die bevorzugte Lösung für ein Rapid-Deployment der Suite. Wer diese Default-Datenbank auf dem Core-Server nicht verwenden möchte, muss vor der Installation der
Suite eine Datenbank einrichten und während des Suite-Setups darauf verweisen.
Unterstützt werden Microsoft-SQL-Server
2000, Oracle8i und Oracle9i. Alle Datenbankserver benötigen Microsoft-Data-Access-Components (MDAC) 2.8. Zu beachten ist, dass eine MSDE-Datenbank maximal zwei GByte groß sein darf.
LDMS ist für komplexe Umgebungen
geeignet, erfordert dann aber eine besonders gründliche Planung. Eine von
LDMS verwaltete Managementdomäne enthält die Managementdatenbank, einen Core-Server, Konsolen und/oder Web-Konsolen und natürlich die Clients. Der Core-Ser-
der Managementdomäne.
Auf diesem System befinden sich alle wesentlichen
Dateien und Dienste der
Suite und gegebenenfalls
die Managementkonsolen. Pro Managementdomäne darf es genau einen
Core-Server geben, aber
im Netzwerk können
durchaus mehrere Core-Server installiert
sein, womit dann
zwang släufig
mehrere Managementdomänen vorhanden sind.
Administratoren
greifen
über die Landesk-Web-Konsole auf die Daten
mehrfacher Core-Server
zu, indem sie einen so genannten RollupCore-Server abfragen, der die Daten der individuellen Core-Server sammelt.
Sämtliche Managementaufgaben, beispielsweise die Fernsteuerung einer Arbeitsstation, das Monitoring der Managementdatenbank oder die Planung einer Softwareverteilung, erledigt der Administrator mit
der neuen Managementkonsole, die unter
Windows-2000 oder Windows-XP läuft. Die
Konsole ist übersichtlich aufgebaut und
leicht zu navigieren. Die Managementdomäne wird in der Konsole hierarchisch dargestellt, was dem Administrator erlaubt,
spezifische Server oder Arbeitsstationen
schnell zu finden. Computer beziehungsweise Geräte lassen sich innerhalb der Konsole in Gruppen zusammenfassen, womit
Managementaufgaben schnell für mehrere
Geräte gleichzeitig durchführbar sind. Standardmäßig wird die Konsole beim LDMSSetup auf dem Core-Server installiert, Installationen auf weiteren Computern der
Managementdomäne sind optional.
Nach der Softwareinstallation auf dem
Core-Server sind die zu verwaltenden
Clients und Server mit Agentenprogrammen auszustatten, damit sie mit dem CoreServer ihrer Managementdomäne kommunizieren können. LDMS enthält eine ganze
Reihe verschiedener Agenten, die wichtigsten davon, die sich für die erstmalige Installation anbieten, sind der Common-Base-
www.networkcomputing.de
Agent (CBA), der Inventory-Scanner und
die Agenten für die erweiterte Softwareverteilung sowie die Remote-Control. Die Installation erfolgt entweder manuell, indem
das auf dem Core-Server gespeicherte
Client-Konfigurationsprogramm von den
jeweiligen Clients aus über eine Netzwerkfreigabe gestartet wird, oder automatisch
über einen Aufruf im Anmeldeskript. Eine
dritte Variante, die Push-Installation, funktioniert für die meisten Clients leider erst
dann, wenn mindestens der CBA bereits auf
dem jeweiligen Client installiert ist. In diesem Fall wird die Agenteninstallation in der
Konsole einfach als Task geplant und
schließlich auf den selektierten Clients ausgeführt. Eine Ausnahme bilden Systeme unter Windows-NT/2000/2003/XP, bei denen
eine Push-Installation auch dann möglich
ist, wenn der CBA noch nicht installiert ist.
Installiert der Administrator Remote-Control und Inventory auf Servern, dann lassen
sich diese Server mit LDMS genau so verwalten wie Client-Arbeitsstationen. LDMS
unterstützt Server unter Windows-NT, Windows-2000, Windows-Server-2003 und Netware. In der neuen Konsole von LDMS sind
Funktionen integriert, die das Netzwerk
nach nicht verwalteten Geräten, also nach
Geräten ohne Agenten, durchsuchen. Das
Programm durchsucht dabei die NT-Domäne, LDAP oder einfach das Netzwerk
innerhalb eines vorgegebenen IP-Adressbereichs.
Client-Agenten authentifizieren sich
gegen autorisierte Core-Server, und der Zugriff nicht autorisierter Core-Server auf
Clients wird effektiv verhindert. LDMS 8
benötigt im Gegensatz zu älteren Versionen
für die Verwaltung der Zertifikate für CoreServer, Konsolen und Clients keine separate
Zertifikatsautorität mehr, sondern jeder einzelne Core-Server besitzt ein eindeutiges
Zertifikat und einen eindeutigen Schlüssel.
Die Konsole als Schaltzentrale
Über die LDMS-Konsole erlangt ein Administrator vollständige Kontrolle über einen
Remote-Computer. LDMS unterstützt Remote-Control für Netware-Server, Computer mit Windows-NT/2000/XP/2003, Windows-9x-Clients und Mac-OS-9.2.2- sowie
OS-X-Systeme. Die Rechnerfernsteuerung
arbeitet wie gewohnt schnell und zuverlässig. Selbstverständlich ist einstellbar, dass
vor einem Zugriff auf einen Remote-Computer der Benutzer dieses Computers erst
seine Zustimmung geben muss. Die Konsole selbst enthält außerdem eine LDMS-Benutzerverwaltung, in der genau eingestellt
werden kann, welcher Benutzer beziehungsweise Administrator welche LDMS-Funktionen für welche Geräte überhaupt ausführen darf. Die sicherste Option zum Schutz
vor unberechtigten Remote-Control-Zugriffen ist die neue On-Demand-Secure-Remote-Control, bei der sich Remote-Konsolen erst gegen den Core-Server authentifi-
R E A L- W O R L D L A B S
zieren. Der Remote-Control-Agent auf dem
Client lädt sich auf Anforderung, sobald die
Remote-Control-Sitzung durch den CoreServer authentisiert ist. Die Remote-Authentifizierung selbst und sämtlicher Verkehr sind über eine SSL-Verbindung verschlüsselt.
Der Administrator kann Programme
auf den Remote-Computern einfach starten
und bei Bedarf entfernte Rechner auch booten. Die Dateitransferfunktion von LDMS
nutzt einfach den Original-Windows-Explorer mit allen seinen Möglichkeiten. Datei- und Verzeichnisoperationen lassen sich
also sofort ausführen, ohne dass sich der Benutzer erst an eine neue Oberfläche oder an
neue Tastenkombinationen gewöhnen
muss. Zur Kommunikation mit den Benutzern der Remote-Computer ist eine einfache
Chatfunktion integriert. Unterstützen die
Remote-Computer Wake-on-Lan, dann
lässt sich die Konsole auch dazu verwenden,
diese Systeme herunterzufahren, hochzufahren oder warmzustarten.
LDMS sammelt enorm viele Inventarinformationen von den Arbeitsstationen
und Servern. Die zusammengetragenen Informationen, beispielsweise zu Prozessortypen, Hauptspeichergrößen, installierter
Software und Umgebungseinstellungen,
sind sehr akkurat. Nach der Konfiguration
von Inventaränderungseinstellungen zeichnet LDMS Änderungen der Hard- und Softwareausstattung überwachter Systeme auf.
Die dazu notwendige Konfiguration ist einfach, kann aber sehr umfangreich werden,
falls viele verschiedene Komponenten überwacht werden sollen.
Alle Inventarinformationen sind per
Abfragen abrufbar. Über eine Inventarabfrage kann der Administrator beispielsweise
schnell ermitteln, welche Arbeitsstationen
die für ein Software-Upgrade nötigen Hardwarevoraussetzungen erfüllen. Inventarinformationen erhält der Administrator auch
über LDMS- und Anlageberichte, darunter
Softwarezusammenfassungen pro Computer und Plattenspeicherberichte. Den rund
30 vorgefertigten Berichten, über die bereits
die Vorgängerversion verfügte, hat der Hersteller nochmals mehr als 50 Berichte für
Planungen und strategische Analysen hinzugefügt.
Clevere Softwareverteilung mit
Peer-Download
Das Softwaremanagement und dabei besonders die Softwareverteilung sind eine besondere Stärke von LDMS. Die Softwareverteilung arbeitet mit Distributionspaketen,
die an Arbeitsstationen gesendet werden,
die unter Windows-9x, Windows-NT-4.0,
Windows-2000/2003/XP oder Mac-OS 10.2
laufen. Um ein Distributionspaket zu erzeugen, richtet der Administrator zunächst einen Package-Builder-Computer ein, der im
günstigsten Fall nur ein frisches Betriebssystem enthält. Für jede Betriebssystem-Platt-
3
form, auf die Software verteilt werden soll,
ist ein separater Package-Builder-Computer
oder eine separate Partition mit dem jeweiligen Betriebssystem erforderlich. Distributionspakete erzeugt der Administrator auf
dem Package-Builder-Computer am einfachsten mit dem Package-Builder-Assistenten. Der Assistent fertigt zunächst einen
Vor-Installations-Schnappschuss
dieses
Computers an und fordert den Administrator anschließend zur Installation der Software auf. Ist die Software als Musterinstallation auf dem Package-Builder-Computer
installiert, erzeugt der Assistent einen NachInstallations-Schnappschuss und aus den
Unterschieden zwischen beiden Schnappschüssen das Distributionspaket. Mit dem
Enhanced-Package-Builder lassen sich Distributionspakete aber auch manuell erstellen und modifizieren. Der Package-Builder
speichert die Distributionspakete als ausführbare Dateien standardmäßig auf der lokalen Festplatte, von wo aus sie der Administrator auf einen Delivery-Server kopiert,
auf den die Arbeitsstationen zugreifen können. Als Delivery-Server kommen neben
Windows-NT-4.0oder
Windows2000/2003-Servern auch Web-Server mit IIS
5.0 oder höher in Frage. In der LDMS-Konsole erzeugt der Administrator schließlich
ein Skript für Distributionspakete. Nun sind
per Drag-and-Drop nur noch die Zielstationen zu selektieren und der Verteilzeitpunkt
festzulegen. Muss eine Anwendung erneut
installiert werden, weil beispielsweise einige
Dateien beschädigt sind oder fehlen, dann
ist das System intelligent genug, nur die beschädigten oder fehlenden Dateien erneut
zu kopieren und nicht das komplette Programm. Pakete, die an die Arbeitsstationen
verteilt wurden, lassen sich auch ebenso einfach wieder deinstallieren. Dafür stehen im
Package-Builder ein Uninstall-Befehl und in
der Konsole eine Uninstall-Option zur Verfügung. Außerdem kann der Package-Builder-Assistent auch Uninstall-Pakete erzeugen, die wie beschrieben verteilt werden
können. Neben Paketen, die mit dem Package-Builder erzeugt wurden, unterstützt der
erweiterte Softwareverteilungsagent auch
die Verteilung einzelner Dateien, die Verteilung von MSI-Paketen mit mehreren Dateien, die Verteilung von Paketen, die mit älteren LDMS-Versionen erzeugt wurden, sowie die Verteilung sich selbst entpackender
Dateien.
Die von LDMS verwendete TargetedMulticast-Technologie erlaubt die Verteilung großer Pakete an viele Benutzer mit
nur minimalem Netzwerkverkehr. TargetedMulticast nutzt HTTP zum Senden von Paketen von einer Web-Site zu einem Subnetz.
Der Inventory-Scanner der Suite liefert alle
vom Targeted-Multicast-Dienst benötigten
Subnetzinformationen. Diese Methode reduziert die für die Verteilung benötigte Zeit
und Bandbreite, indem sie Pakete nicht
mehr individuell zu jedem einzelnen Client
R E A L- W O R L D L A B S
4
sendet, sondern ein Paket nur jeweils ein
Mal in jedes Subnetz. Mit dem Peer-Download wurde dem Targeted-Multicast nun ein
neues Feature hinzugefügt, das Clients dazu
zwingt, ein Paket aus dem lokalen Cache des
Clients oder aus dem Cache eines Peers im
selben Subnetz zu installieren. Damit die
Sache funktioniert, muss sich das zu installierende Paket natürlich im lokalen Cache
oder im Cache des Peers befinden. Am einfachsten kopiert der Administrator das Paket mit einer entsprechenden LDMS-Option auf einen Client in jedem Subnetz.
Das Application-Healing-Feature, das
Anwendungen automatisch repariert, die
nicht mehr funktionieren, weil Dateien beschädigt sind oder fehlen, verwendet ebenfalls Distributionspakete. Application-Healing erkennt das Problem und nutzt dann
das geeignete Distributionspaket, um die
beschädigten oder fehlenden Dateien
wiederherzustellen. Das funktioniert auch
für Anwendungen, die nicht mit der Softwareverteilungsfunktion von LDMS installiert wurden, sofern der Administrator für
diese Anwendungen nachträglich Distributionspakete erzeugt hat. Das ApplicationHealing lässt sich auch so konfigurieren,
dass es beschädigte Anwendungen nicht
automatisch repariert, sondern lediglich eine Nachricht zum Core-Server sendet, wenn
es eine nicht mehr ausführbare Anwendung
entdeckt.
Das LDMS-Feature »OS-Deployment
and Profile-Migration« erzeugt Images für
ein Betriebssystem-Deployment. Für die Verteilung von Images stehen zwei Methoden
zur Verfügung: Die auf Agenten basierende
Methode nutzt ein auf dem Computer bereits existierendes Windows-Betriebssystem
und LDMS-Agenten für das Deployment,
während die auf PXE basierende Methode
das Imaging auch für Computer mit leeren
Platten oder beschädigten Betriebssystemen
erlaubt. Das OS-Deployment unterstützt Microsofts Sysprep. Verwendet der Administrator Sysprep zur Erzeugung eines Images,
dann erzeugt die Imaging-Komponente benutzerdefinierte Sysprep.Inf-Dateien, mit deren Hilfe für die Arbeitsstationen die korrek-
ten Computernamen, Domäneninformationen etc. eingefügt werden können. Ein OSDeployment/Migration-Task-Wizard
erleichtert dem Administrator die Arbeit und
erzeugt die benötigten Deployment- und
Profile-Migration-Skripte. Einem Deployment-Skript können leicht Distributionspakete hinzugefügt werden, womit sich in einem Rutsch komplette Desktops herstellen
lassen. Die Profile-Migration ergänzt das Betriebssystem-Deployment; sie sorgt dafür,
dass bei einem Upgrade- oder Migrationsprozess alle benutzerdefinierten Desktopund Anwendungseinstellungen sowie persönliche Dateien beibehalten werden. Im
Prinzip ist das ganz einfach: Vor Beginn des
Deployments wird das Profil eines Quellcomputers eingefangen und nach dem Deployment auf dem Zielcomputer wiederhergestellt. Die dazu notwendigen Capture- und
Restore-Scripts erzeugt der Administrator
mit dem OS-Deployment-/Migrations-Assistenten. Das Skript kann dann für die Remote-Ausführung auf einem oder mehreren
Zielcomputern geplant werden.
Mehr als Metering
Unter der Überschrift »Softwarelizenzüberwachung« fasst LDMS Software-Meteringund Compliance-Monitoring-Funktionen
zusammen. Administratoren finden hier alle Funktionen, die sie für ein effizientes
Software-Asset-Management
benötigen
zentral innerhalb der LDMS-Konsole.
LDMS sucht nach bekannten und unbekannten Applikationen, verhindert Starts
nicht gewünschter Anwendungen selbst auf
Clients, die vom Netzwerk getrennt sind,
und bietet eine Fülle von Informationen
über die Lizenznutzung. Während herkömmliches Software-Metering lediglich
den Zugriff auf Anwendungen regelt, offeriert LDMS mit der Softwarelizenzüberwachung eine Lösung, die umfangreiche Informationen über die Anwendungsnutzung im
Unternehmen liefert und keine zusätzliche
Infrastruktur benötigt. Ein Software-Monitoring-Agent überwacht passiv die Produktverwendung auf den Clients. Ein interessantes Detail dieser Lösung ist das Produktli-
www.networkcomputing.de
zenz-Downgrading. Das bedeutet, dass ältere Versionen eines Programms Lizenzen einer neueren Version desselben Programms
ausleihen können. Ist im Netz beispielsweise
eine Zehn-Benutzer-Lizenz von Office-2000
installiert und der elfte Benutzer möchte auf
Office-2000 zugreifen, dann kann sich Office-2000 eine Lizenz vom ebenfalls im Netzwerk installierten Office-XP ausleihen, falls
noch Office-XP-Lizenzen verfügbar sind.
Abgerundet wird die Suite mit dem
Alert-Management-System (AMS), das bestimmte Aktionen als Antworten auf Netzwerk-Alerts automatisiert. Viele vorgefertigte
Alerts sind in Kategorien zusammengefasst,
darunter Client-Setup, Device-Monitor, Application-Healing, Landesk-Inventory-Server
und Remote-Control-Agent. Entdeckt AMS
beispielsweise, dass ein wichtiges Gerät ausgeschaltet ist, kann automatisch der Alert
»Device offline« der Kategorie »Device-Monitor« ausgelöst und eine vordefinierte Aktion ausgeführt werden. Eine solche Aktion
könnte das Senden einer Broadcast-Nachricht, das Anzeigen einer Nachrichtenbox, ein
Eintrag in die Ereignisanzeige oder ein automatischer Programmstart sein.
Fazit
Mit Version 8 hat der Hersteller die LandeskManagement-Suite nochmals deutlich verbessert. Das Produkt bietet so ziemlich alle
Funktionen und Features, die sich Administratoren für das Management von Desktops
(und Servern) selbst in großen, heterogenen
Netzwerken wünschen. Das Setup und die
Konfiguration der Suite sind einfach, und
schon nach einer kurzen Eingewöhnungszeit
»steckt man drin im Produkt«, obwohl uns
die alte Benutzungsoberfläche der Konsole
etwas intuitiver anwendbar erschien. Der
Funktionsschwerpunkt von LDMS liegt
beim Software-Management – über Betriebssystem-Deployment, Softwareverteilung, Lizenzüberwachung bis hin zu SelfHealing-Applications ist alles vorhanden.
Aber auch andere Programmfunktionen,
beispielsweise die Hard- und Softwareinventarisierung sowie das Alert-System, brauchen sich nicht zu verstecken.
[ dj ]
Kontakt:
Michael Struss
Schönbichlstr. 88a
82211 Herrsching / Deutschland
Tel.:
Fax:
Mobil :
Email:
Internet:
+49/8152/969340
+49/8152/969341
+49/170/9627007
[email protected]
www.landesk.com