Software und Patches zentral verteilt

Schon wenige PC-Arbeitsplätze bringen einen erheblichen Verwaltungsaufwand mit sich: Gelegentlich muss ein neues Betriebssystem installiert werden, öfter kommt ein neuer Release eines Anwenderprogramms, und fast im Tagesrhythmus sollten Programmfehler und Sicherheits­lücken durch Patches und Hotfixes korrigiert werden. Je mehr
Systeme auf diese Art gepflegt werden müssen, desto eher drängt sich eine Softwarelösung zur Automatisierung der Installations- und Update-Prozesse auf.

Von der Softwareverteilung zum Client Management

Reine Softwaredistributions­lösungen sind praktisch nicht mehr erhältlich. In den letzten Jahren haben sich die meisten Produkte zu umfassenden Client-Management-Suiten gemausert, die in einer mehr oder weniger modularen Architektur die Softwareverteilung mit vielen weiteren
Systemverwaltungsfunktionen kombinieren. Einige Hersteller sprechen von «System Lifecycle Management» statt Client Management, bieten aber die gleichen Funktionen an. Viele Lösungen haben immer noch die Softwaredistribution als Kern, und bei den meisten Produkten lassen sich die verschiedenen Funktionsbereiche in Form von Plug-ins oder Modulen frei kombinieren:

- Software- und Hardware-Inventarisierung: Erfassen der bereits vorhandenen Infrastruktur, unter anderem als Basis zur Definition von Regeln, welche weiteren Aktionen auf welchen Systemen zwingend, sinnvoll oder möglich sind. Ein konsequent nachgeführtes Inventar ist auch die Basis für die automatische Wiederherstellung eines Systems nach einem hardwarebedingten, durch Benutzerfehler oder Malware ausgelösten Ausfall oder für die Migration eines Anwenders auf ein neues System unter Beibehaltung aller im Inventar gespeicherten Einstellungen.




- Lizenzmanagement: Bei der Inventarisierung stellt man oft fest, dass von einem bestimmten Produkt zu viele oder zu wenige Lizenzen erworben wurden. Fortlaufendes automatisiertes Lizenzmanagement unterstützt die effiziente Vergabe der Softwareinvestitionen und verhindert Lizenzverstösse.




- Softwaredistribution: Automatische Installation neuer Softwarepakete auf den Clients, im Idealfall ohne zusätzliche Eingriffe auf der Client-Seite wie Eingeben von Seriennummern oder Bestätigen von Installationsdialogen.




- Distribution von Patches, Hotfixes, Service Packs und Treiber-Updates: Besonders diese laufend wiederkehrenden Wartungsarbeiten belasten den Administrator stark. Jede Automatisierung ist hier willkommen – sofern sie genügend Flexibilität für Spezialfälle bietet, in einem sicheren, jederzeit nachvollziehbaren Prozess abläuft und sich die Änderungen bei Bedarf wieder rückgängig machen lassen.




- Installation des Betriebs­systems: Die Suiten enthalten meist auch ein Modul zur Installation von Betriebssystemen auf neuen Clients oder zur Migration bestehender Systeme auf eine neue Version. Diese Funktion nennt sich oft «Deployment», im Unterschied zur «Distribution» von Anwendungssoftware. Zum Aufsetzen neuer Windows-Clients nutzt das Deployment-Modul Microsofts Preboot-Umgebung (PXE), bei den meisten Suiten lässt sich die Betriebssysteminstallation – wie auch alle anderen Distributions- und Update-Prozesse – per Wake on LAN auch bei ausgeschalteten Clients übers Netz einleiten.




- Paketerstellung: Die meisten Lösungen kommen mit vordefinierten Installationsroutinen für gängige Applikationen und bieten darüber hinaus die Möglichkeit, die Definitionen zu ändern oder eigene Installationspakete zu erstellen. Einige Hersteller setzen dabei auf Utilities von Dritten, andere bieten in die Suite integrierte Werkzeuge mit eigener Scriptsprache. Sämtliche Suiten unterstützen unter Windows den Einsatz von bestehenden MSI-Installern; nicht alle Produkte bieten aber zusätzlich die Möglichkeit, MSI-Pakete zu ändern oder neu zu erstellen. Die flexibelsten Produkte ermöglichen bei der Paketerstellung nicht nur, einzelne Installationsdateien unter bestimmten Bedingungen einzubeziehen oder wegzulassen, sondern lassen für jeden Client individuelle Parameter wie Seriennummern oder User-Präferenzen zu. Besonders wichtig: Das Packaging-Tool sollte auch eine geschützte Umgebung zur Verfügung stellen, in der sich die erstellten Pakete vor der Distribution ausgiebig testen lassen.




- System-Monitoring: Durch permanente Überwachung und allenfalls proaktiven Eingriff bei Problemen lassen sich übervolle Harddisks vermeiden. Das gleiche gilt für andere hardwarebedingte oder durch die Art und Intensität der Nutzung verursachte Faktoren, die zur Leistungseinbusse führen. Das Monitoring der Clients hilft aber auch dabei, Überkapazitäten zu erkennen und die vorhandenen Ressourcen besser zu nutzen – zum Beispiel, indem der High-end-PC eines Mitarbeiters, der nur wenig Leistung benötigt, aufgrund der Erkenntnisse aus dem Monitoring einem anderen User mit höheren Ansprüchen zugeteilt wird.




- Fernwartung: Viele Suiten enthalten eine Remote-Control-Funktion, mit der sich die Clients von zentraler Stelle aus steuern lassen, sei es übers Firmen-LAN oder sogar via Internet. Funktionen wie Screen Blanking (Monitor des ferngesteuerten PC ausschalten, damit sensitive Eingaben nicht beobachtet werden können) und Input Locking (Abschalten der lokalen Tastatur und Maus, damit der Fernwartungsvorgang nicht durch den Anwender gestört wird) verbessern die Sicherheit und Zuverlässigkeit der Wartungsarbeiten.




- Reporting: Damit die Verwaltungsvorgänge klar dokumentiert sind und die damit erzielten Kosten- und Produktivitätsvorteile nicht nur dem Administrator, sondern auch der Geschäftsführung bekannt werden, sollte eine gute Client-Management-Suite auch einen Berichtsgenerator enthalten. Damit lassen sich das Inventar und die aufgezeichneten Ereignisse statistisch auswerten und mit Tabellen und Diagrammen anschaulich darstellen.

Kein Client-Management ohne Patch-Management

Unsere Marktübersicht fasst die wichtigsten in der Schweiz erhältlichen Client-Management-Lösungen zusammen, die entweder als integrierte Funktion oder in Form eines Zusatzprodukts vom gleichen Hersteller auch das Patch- Management bewältigen. Zumindest in einer Windows-Umgebung ist die zeitgerechte, systematische und einheitliche Installation der von den Softwareherstellern gelieferten Fehlerkorrekturen ein absolutes Muss.
Bei der Installation von Sicherheits-Updates spielt der Zeitfaktor eine essentielle Rolle – ein Patch oder Hotfix sollte so schnell wie möglich eingespielt werden. In grösseren Umgebungen kommt die einfachste Möglichkeit, dies zu gewährleisten, nicht in Frage: Wenn jeder Client laufend selbst alle Updates herunterlädt und diese dann nach Gutdünken des betroffenen Mitarbeiters irgendwann installiert werden, wird das Netzwerk unnötig x-fach belastet und die Kontrolle über den Status der Clients geht verloren.

Das automatisierte Patch-Management funktioniert dreistufig: Die vom Hersteller gelieferten Updates werden heruntergeladen und zunächst auf einem zentralen Server als «Patch-Pool» gelagert. Von dort kann der Administrator die einzelnen Patches auf ausgewählten Systemen testen, bevor im dritten Schritt alle so abgesegneten Updates auf die betroffenen
Systeme verteilt und installiert werden. Dieser Prozess macht deutlich, dass die Patch-Management-Funktion mit Vorteil ins allgemeine Client-Management integriert sein sollte: Dort liegen in Form des Inventars bereits alle nötigen Informationen vor, um die richtigen Patches in der richtigen Sprache und Version auf die richtigen Clients zu bringen.

Lösungen von klein bis riesig

Ein Blick in die Tabelle zeigt zwei Grundkategorien von Client-Management-Lösungen: Die Produkte von Anbietern wie CA, Symantec, Landesk und Novell verwalten nicht nur Windows-Clients, sondern auch gemischte Umgebungen mit Linux, Unix, Windows, Mac OS sowie verschiedenen Mobilgeräte-Betriebssystemen. Diese Produkte eignen sich denn auch besonders für grössere Installationen mit Hunderten von Clients und werden von den Herstellern auch so positioniert. Oft lassen sie sich zudem in ein noch umfassenderes Management-Framework einbinden, das auch Server- und Netzwerk-Management ermöglicht.

Manche der Suiten, die ausschliesslich mit Windows-Clients umgehen können, sind auch auf kleinere Umgebungen ausgerichtet. Im Büro-üblichen Normalbetrieb lohnt sich ein Client-Management-Produkt ab etwa zwei Dutzend PCs. Wo die Systeme öfter neu aufgesetzt werden müssen, zum Beispiel in Schulen und Kursräumen, kann eine gut eingesetzte Management-Suite schon bei wenigen PCs ihren Nutzen ausspielen. Wenn von Windows die Rede ist, ist damit übrigens noch nicht überall auch Windows Vista gemeint: Viele Management-Suiten können noch nicht mit Vista-Clients umgehen, bei einigen steht der Vista-Support derzeit im Betastadium. Es gibt aber auch Ausnahmen: Der deutsche Hersteller ASDIS rühmt sein gleichnamiges Produkt seit der Freigabe von Version 5 Anfang Februar als erstes Vista-zertifiziertes Software-Management-Produkt. Auch andere Hersteller wie Altiris, Landesk und New Boundary unterstützen Vista bereits.
Interessant: Neben den üblichen Verdächtigen wie CA und Symantec bieten sehr viele lokale Hersteller eine eigene Client-Management-Suite an. Wir haben einige auch in der Schweiz gängige Produkte aus deutschen Landen in die Tabelle aufgenommen, dies allerdings ohne jeden Anspruch auf Vollständigkeit – es gibt eine Unmenge weiterer Lösungen von deutschen Anbietern, die aus Platzgründen oder wegen fehlender Relevanz für die Schweiz in der Übersicht nicht verzeichnet sind.

Client Management ist eine komplexe Aufgabe

Client-Management - Made in Switzerland

Auch mehrere Schweizer Softwarehersteller haben Client-Management-Suiten von Weltruf im Programm. Dazu gehört die Firma Brainware Solutions aus Steinhausen, deren Produkte bei vielen renommierten Firmen im In- und Ausland im Einsatz stehen. Das Brainware-Produkt zeigt exemplarisch, wie die meisten Systemmanagement-Suiten aufgebaut sind: Die Funktionalität ist in Module wie «OSDeploy», «InventoryScanner» und «PatchDeploy» aufgegliedert. Zu den grundlegenden Client-Management-Features kommen ebenfalls modular erweiterte Funktionen hinzu, zum Beispiel Lizenz- und Vertragsmanagement samt SAP-Integration sowie der OperationsManager, eine Workflow-Lösung auf Java-Basis mit Web-Front-end, mit der sich Systemmanagement-Prozesse wie Helpdesk, Softwarebestellung und Change-Management automatisieren lassen. Die wichtigsten Standardmodule samt der Prozess-Engine bietet Brainware als Suite unter dem Namen «Columbus Enterprise» an.

Ein weiteres Schweizer Produkt, Highsystem.net, ist ebenfalls auf mittlere und grosse Windows-Netzwerke ausgerichtet. Das Gesamtpaket bietet alle wichtigen Management-Funktionen von der Inventarisierung über den Software-Rollout bis zu Fernwartung und Reporting. Wie viele andere der hier vorgestellten Lösungen stellt Highsystem.net zudem einen Software-Pool bereit, hier Kiosk genannt: Aus einer vom Administrator zusammengestellten Liste kann der Mitarbeiter individuell Pakete auswählen und selbst auf seinem PC installieren.

Ein Spezialfall ist Set-IT von Genevalogic. Die Firma wurde in Langenthal gegründet und zählt mittlerweile zu den weltweit führenden Herstellern von Software fürs Unterrichtsmanagement. Dementsprechend zielt auch die Client-Management-Lösung auf den Schulbereich ab – und eignet sich damit gleichzeitig auch für Installationen in kleinen Unternehmen mit relativ wenigen PCs.





Client-Management-Lösungen mit Patch-Management-Funktionalität

(ubi)