Naarmate een bedrijf groeit, komen er ook steeds meer computers bij. Zowel desktopsystemen als notebooks als servers. En ook pda’s duiken steeds meer op. Als u geen totale wildgroei wenst maar voldoende controle, dan hebt u een goed clientbeheersysteem nodig. Deze week bespreken we de oplossingen voor (middel)grote bedrijven. Volgende week komen die voor kleine bedrijven aan de beurt.
In een bedrijf werken werknemers vooral met applicaties. Dat kan op pc’s, op notebooks, op pda’s, noem maar op. Afhankelijk van wie een gebruiker is en waar hij werkt, kan hij toestemming hebben om aan bepaalde bestanden en documenten te raken, of niet. Hij kan op het internet, of juist niet. Of hij kan gebruik maken van bepaalde randapparaten en opslagsystemen of juist niet. Als uw onderneming de gebruikers laat werken met thin clients die alle applicaties op afstand draaien, dan hebt u eigenlijk geen clientbeheer nodig. Maar als het om een zogenaamde ‘fat client’ (meestal Windows 2000, XP of Vista) gaat, dan moet er een goed gestructureerd centraal beheer zijn voor al die omgevingen. Het spreekt vanzelf dat toegangsregels en autorisaties kunnen veranderen afhankelijk van de gebruiker zelf, de plaats waar hij werkt en van welk soort netwerk hij gebruik maakt. Applicaties kunnen geheel of slechts gedeeltelijk lokaal draaien. In het laatste geval zijn er dus applicaties op afstand: gehost of via applicatieservers. Bij Windows-systemen is een van de taken van een beheerder om al die systemen bijgewerkt, goed beveiligd en voorzien van de benodigde software te houden. Tot overmaat van ramp gebruiken niet alle werknemers dezelfde software. Daardoor verschilt de configuratie van de Windows-werkstations onderling soms hevig. Dat brengt bijkomende moeilijkheden met zich mee voor het beheer. Een goede clientbeheeromgeving houdt met al deze aspecten rekening. De meeste clientbeheersystemen nemen ook uw servers bij het beheer mee: ook op servers kunnen immers bepaalde applicaties draaien en moet er rekening gehouden worden met toegang en autorisatie. Een clientbeheersysteem omvat activabeheer met automatische netwerkdiscovery, softwaredistributie met gefaseerde uitrolmogelijkheden, platforminstallatie en -herstel, licentie- en reglementnalevingscontroles, ondersteuning voor antimalware en kwetsbaarhedenonderzoek, beheer op afstand en ondersteuning voor mobiele toestellen en mobiele opslagmedia (zodat een beheerder gewaarschuwd kan worden als iemand een usb-stick in een pc steekt terwijl dat niet mag). De meeste clientbeheersystemen in deze test bieden zowat al deze functionaliteiten.
Producten
Deze week onderzoeken we clientbeheersuites van CA, HP en LANDesk. Microsoft, RES en Scense komen volgende week aan de beurt. Symantec was ondanks herhaaldelijk aandringen voor de zoveelste keer niet tijdig tot een besluit gekomen om mee te doen aan de test. We nodigden ook BMC, IBM en Kaseya uit om aan deze test deel te nemen, maar van sommige bedrijven of hun vertegenwoordigers kregen we geen antwoord en andere zaten tussen versies van hun software in.
CA IT Client Manager
Het Amerikaanse CA (voorheen voluit Computer Associates) heeft al jaren een eengemaakte beheeromgeving op de markt onder de naam Unicenter. Nu heeft CA, in navolging van concurrenten zoals HP, besloten om af te stappen van de ‘branding’ van zijn producten. Dus geen Unicenter mee, geen BrightStor, geen eTrust enzovoorts. Een simplificatie moet CA meer elan geven. Wat vroeger voluit ‘CA Unicenter Desktop and Server Management’ heette, wordt nu gewoon CA IT Client Manager. Mooi, maar de software weet dat kennelijk nog niet. Alles wat wij aan software van CA binnenkregen, had nog de oude namen. Voor clientbeheer vertrekt Client Manager van een domeinstructuur, die gewoon overgenomen wordt van Active Directory of een andere directoryserver. Daar worden dan beheerelementen aan geassocieerd: regels, taken, software, noem maar op. CA verdeelt het hele it-beheer in drie grote rubrieken: govern (beheersen), manage (beheren) en secure (beveiligen). Dit wordt allemaal waargemaakt binnen een geünificeerd dienstenmodel met zakelijk en it-dienstenbeheer en -beheersing, identiteitsbeheer, en het beheer van it-activa en -bronnen. Het it-specifieke beheer voor het behandelen van aanvragen tot en met afleveren van zakelijke diensten door de it-infrastructuur omvat de hier behandelde IT Client Manager, IT Asset Manager (activabeheer), IT Governance (IT-beheersing), Security (beveiliging), End User Computing (eindgebruikercomputergebruik) en Help Desk and Field Service (hulpdiensten).
Beheer
CA gebruikt voor het clientbeheer een mengeling van beheersoftware en webinterfaces. De belangrijkste interface heet DSM Explorer (Client Manager Explorer). Deze Explorer toont u een boomstructuur van beheerdomeinen. Elk domein klapt open in computers en gebruikers (computer- en gebruikersaccounts, gebruikersprofielen en patchbeheergroepen), software (definities, softwarepakkettenbibliotheken, boot- en OS-beeldkopieën), jobs (activa- en softwaretaken), queries (alle mogelijke ondervragingen van het systeem inclusief wizards), policies (query-, event- en softwaregebaseerde regels), beheer op afstand (computers en sessies inclusief herafspelen), controlepaneel (uitrollen, directory-integratie, schaalbaarheidsservers, engines, manager en configuratie). Reglementen moeten verzegeld worden voordat u ze kunt toepassen, maar “ontzegelen” voor bijwerken is wel mogelijk. CA kan inventarisdatabases van derden inlezen en gaat prat op hun ‘Asset Intelligence’ (activa-intelligentie) voor het inventariseringswerk. Het patchen van software stuurt u via het patchbeheer. Dat kan weliswaar vanuit de Explorer, maar er is ook een aparte webinterface die systeembeheerders een prima overzicht geeft van wat er moet gebeuren en gebeurd is met een dashboard en vier tabbladen: patches, doelen, reglementen en beheer. Vanuit deze webinterface krijgt u meer uitleg over allerlei patches en links naar die van Microsoft, vermits Microsoft niet toestaat dat CA die zelf verzamelt en distributeert. Naast de patches voor Windows en andere Microsoft software, kan CA ook de eigen beveiligingsproducten bijwerken en een hele hoop software van derden. Voor het uitrollen van software is er een speciale webinterface met een softwareleveringscatalogus. U kunt software in een catalogus toevoegen, aanpassen en de status van softwarebestellingen bekijken. De eigenlijke bestellingen en het uitrollen doet u uiteraard vanuit Explorer.
Clientaanpak
CA pusht een agent naar iedere Windows- of Linux-computer die beheerd moet worden. Ook zonder zo’n agent ziet de beheeromgeving een netwerkstation, maar dan kan er alleen maar beperkt informatie opgevraagd worden en niets bediend. Als beheerder kunt u beslissen wat er zichtbaar is van de beheeragent op de desktop van een gebruiker en wat de gebruiker zelf kan doen. Als alle mogelijkheden geactiveerd zijn, kan de gebruiker een uitrolmenu oproepen voor de algemene beheeragent, de activabeheeragent en de softwareafleveragent. De menu’s dienen om bepaalde controles te starten of om de agent (opnieuw) te registreren met de beheerserver, mocht de verbinding om wat voor reden dan ook verloren geraakt zijn. De agent registreert zich normaal standaard bij elke systeemstart. Installatie van een besturingssysteem op een kale pc is mogelijk met behulp van een netwerkkaart met boot rom, maar dat vereist wel na het aanzetten van de pc een tweede keer de pc manueel herstarten. De eerste keer meldt de boot rom van de netwerkkaart zich op het netwerk en ziet de beheerder het MAC-adres opduiken in de Explorer. Dan moet hij eerst een bepaald profiel toewijzen aan dat MAC-adres, zodat het systeem weet welk besturingssysteem en welke applicaties voorzien moeten worden. Daarna moet de kale pc herstart worden opdat de bootrom de noodzakelijke bestanden van het netwerk zou laden en de installatie start.
Deelconclusie
De clientbeheeroplossing van CA biedt wel alle functionaliteit, maar sommige taken die een beheerder moet uitvoeren liggen ondanks de aanwezigheid van allerlei wizards niet bepaald voor de hand en vereisen ervaring met de manier van werken van CA. Wij hadden er in onze virtuele test-omgeving (onder de VMWare ESXi hypervisor) bovendien last van dat allerlei onderdelen van de software er op zowel client als server geregeld uitvlogen met uitzonderingsfouten. Dat soort fouten zou vroeger een blauw scherm en een gecrashte Windows opgeleverd hebben en hoewel het weinig negatief effect bleek te hebben, wekt het toch niet echt vertrouwen. CA zal eens moeten nadenken over een nieuwe en beter ingedeelde beheerinterface en een hogere betrouwbaarheid van de software als ze nog willen concurreren voor de grote projecten. Naar wij vernemen ontbreekt CA in onze contreien nogal eens op dit strijdtoneel.
HP Client Automation Enterprise
HP’s Client Automation Enter-prise is een beheersuite voor zeer grote omgevingen vanaf ettelijke duizenden client-pc’s. Er bestaat zelfs een succesvolle implementatie van het beheersysteem voor ruim een half miljoen desktops, aldus HP (maar helaas kon men niet vrijgeven voor wie dat was). De nadruk ligt op standaardisatie, al kunnen natuurlijk afwijkingen daarvan gedefinieerd worden. Client Automation werkt taakgestuurd en elke taak werkt volgens een stel regels (een policy of reglement). Dat laat de beheerder toe hele omgevingen, applicaties, updates en patches en eigenlijk eender welke software te prepareren voor uitgestelde of onmiddellijke uitrol zonder verdere tussenkomst en ongeacht de fysieke locatie van de beheerde clientpc’s. HP vertrekt vanuit het idee dat de pc’s in het bedrijf gestructureerd zijn volgens hun gebruikers. En die structuur is meestal vervat in een directorystructuur: bij Windows Active Directory, maar andere directorysystemen worden door HP ook ondersteund. De pc’s met bijbehorende inventaris (hardware en software) worden geassocieerd met directoryobjecten en ook de reglementen en distributietaken horen bij zulke directoryobjecten. Vermits directory’s een onderverdeling in logische groepen ondersteunen, kan diezelfde onderverdeling volautomatisch toegepast worden voor de pc’s. Op deze manier kunt u dus een reglement opstellen dat de juiste configuraties en software omschrijft voor pc’s van bijvoorbeeld de boekhoudafdeling. Distributietaken voor de boekhoudafdeling of andere groepen houden dan automatisch rekening met dat voorschrift en controleren het ook. De agent die op een client draait, zorgt voor afdwinging van het reglement en zal niet-passende software de-installeren en alles wat ontbreekt eraan toevoegen. Dat gebeurt automatisch en vrij compleet. Als een gebruiker per ongeluk een hulpbestand of zo wist, kan hij (indien toegestaan) zelf een verversing aan zijn client aanvragen en even later staat het hulpbestand er weer. De hoofdbedoeling van de reglementen is controle en naleving van een ‘desired client state’ (gewenste clientstatus) uit te voeren en af te dwingen. HP beschouwt kwetsbaarhedenonderzoek als een noodzakelijk onderdeel van deze gewenste clientstatus en heeft dat dan ook standaard beschikbaar in de beheerinterface. Dat is overigens niet alleen een losse opsomming van ontbrekende Microsoft security-patches zoals bij een aantal van hun concurrenten, dixit HP, maar bijkomende echte kwetsbaarheden zoals open poorten worden ook aangegeven. De HP Client Automation is overigens afkomstig van een overgenomen bedrijf en product: Novadime Radia.
Beheer
Hoewel HP beheersoftware voor Windows beschikbaar heeft, is dat niet bedoeld voor het dagelijkse werk met Client Automation. Daarvoor biedt het systeem een webinterface onder TomCat. Die kunt u benaderen met eender welke moderne browser en biedt een bijzonder rijke beheerinterface voor Client Automation. Uw inlog bepaalt welke beheerrol u heeft en wat u wel en niet kunt doen.
Het beheer is onderverdeeld in vier hoofdrubrieken: Dashboards, Management (beheer), Reporting (rapportage) en Configuration (configuratie). De dashboards krijgt u te zien op de startpagina en u kunt verschillende soorten kiezen en bekijken. Ze zijn voornamelijk bedoeld om u een snel overzicht te gunnen op wat er niet goed loopt op uw clients. Overigens ondersteunt HP wel serverbesturingssystemen als client, maar als u echte serverapplicaties – zeker die met verstrekkende gevolgen voor uw zakelijke processen – wil kunnen beheren, dan heeft HP daar een andere oplossing voor: Server Automation. Voor de dashboards kunt u telkens kiezen uit een ‘executive view’ (beheerderszicht) en een ‘operational view’ (werkingszicht, meer technisch). Standaard zijn er drie dashboardrubrieken gedefinieerd: Operations (werking), Vulnerability Management (kwetsbaarhedenbeheer) en Patch Management (oplapbeheer). Onder de hoofdrubriek ‘Beheer’ vindt u een boomstructuur van directoryobjecten, en kunt u voor elk object reglementen, rechten, taken en ‘children’ (deelobjecten) definiëren, schematiseren en uitvoeren. De rapportage is ook netjes in rubrieken verdeeld: inventarisinformatie, patchinformatie, gebruiksinformatie (dit omvat meer bepaald licentiecontrole) en kwetsbaarhedenbeheerinformatie. Voor elke soort kunt u meerdere specifieke rapporten laten genereren.
Clientaanpak
HP biedt clientagenten voor alle populaire desktopplatformen. Het software-, update- en patchuitrolsysteem houdt volautomatisch rekening met het platform waarvoor deze bedoeld zijn. Als beheerder kunt u dus een reglement aanmaken met zowel Windows- als Linux-elementen en bij de uitrol worden dan de elementen alleen gestuurd naar de platformen waarvoor ze bedoeld zijn. Bij pc’s met een netwerkkaart met boot-ROM kan een compleet systeem uitgerold worden vanaf ‘bare metal’ (computer met lege harde schijf). Dat kan zowel op basis van Windows PE of op basis van Linux zijn: in beide gevallen kan eender welk ondersteund besturingssysteem met bepaalde gewenste applicaties uitgerold worden. De HP agent scant bij elke opdracht die hij krijgt het volledige clientsysteem om elke afwijking van de gewenste staat op te sporen en te verhelpen. Vermits zoiets het systeem belast, zal een HP-beheerder de gebruikers mees-tal toestaan bepaalde acties uit te stellen. Het is ook mogelijk de clients met een ‘Self-Service Manager’ te voorzien, dat is een zelfhulpsysteem waarbij gebruikers een overzicht van goedgekeurde applicaties kunnen krijgen en dan (volgens wat hen toegestaan is) zelf kunnen beslissen wat ze wanneer willen installeren of weer verwijderen. Dit systeem vereist geen beheerrechten voor gebruikers en op de installatie van dergelijke software zijn uiteraard alle gedefinieerde reglementen volledig van toepassing. Clients kunnen een aanklikbaar pictogram ‘Fix Mij!’ (of eender welke andere naam) krijgen dat in feite een controle en verversing van de agent start. Dit is vooral handig om te voorkomen dat gebruikers de helpdesk onnodig lastigvallen. Als ze eerst op dat pictogram klikken wordt het systeem immers weer met de standaard in regel gebracht en vaak betekent dat, dat falende software dan weer prima werkt. Pas als dat ook niet helpt, zal de helpdesk moeten tussenkomen. Standaard ondersteunt HP Red Hat en Novell SuSE Linux als clients, maar aan een officiële ondersteuning voor Ubuntu en andere populaire distributies wordt nog gewerkt. De kans is trouwens groot dat niet-officieel ondersteunde distributies probleemloos toegepast kunnen worden.
Deelconclusie
HP biedt een via een webinterface beheerd systeem met reglementenforcering en afdwinging van een ‘gewenste clientstaat’ dat gecentreerd is rond takenschematisering. Het is een erg volledige beheeromgeving waarin zowat aan alles gedacht lijkt te zijn. Voor grote omgevingen is dit een aanrader.
LANDesk Management Suite
Bij het Amerikaanse LANDesk (ooit van Intel, ooit zelfstandig geweest, hoort nu bij Avocent) bestaat het it-beheer van een onderneming uit twee delen: systeembeheer en beveiligingsbeheer. Daartoe creëerde het bedrijf twee suites: Management Suite en Security Suite, en samen vormen die de LANDesk Enterprise Suite. Het zal duidelijk zijn dat deze twee suites elkaar perfect aanvullen, maar omdat deze test specifiek over clientbeheer gaat, zullen we ons beperken tot de Management Suite.
Samenstelling
De beheersuite van LANDesk gebruikt, zoals zowat alle beheerproducten, eigen agenten op de systemen die u wenst te beheren. Er zijn agenten voor heel wat platformen, behalve Windows ook Linux en Mac OS. Ze praten met LANDesk Server en die bestaat uit meerdere onderdelen: activabeheer, procesbeheer en serverbeheer. Alles begint met een netwerkontdekking (discovery): die functionaliteit wordt gedeeld met de Security Suite, zodat er dus niet meermaals gescand moet worden. Niettemin slaat LANDesk de ontdekte netwerkstations en hun eigenschappen op in een eigen databaseontwerp, zodat deze gescande inventaris helaas niet beschikbaar is voor producten van derden. Er bestaan standaard databaselayouts voor dergelijke netwerkinventarisresultaten en het gebruik daarvan zou uitwisseling van inventarisgegevens met bijvoorbeeld kwetsbaarheidsonderzoeksystemen ideaal maken. Zoiets zou LANDesk als kleine speler een streepje voor geven op de concurrentie. De resultaten van deze netwerkscan verwerkt LANDesk in het inventaris- en it-activabeheer. Er is softwaredistributie, OS-imaging en -migratie, applicatievirtualisatie, bediening op afstand en probleemoplossing, softwarelicentiebewaking, rapportage en dashboard. U bereikt dit allemaal via een beheergateway. LANDesk koos voor Windows voor de hele beheeromgeving. Als database gebruikt LANDesk standaard Microsoft SQL Server, maar als u liever Oracle gebruikt, kan dat ook. Voor alle LANDesk-oplos-singen wordt een proces- en wijzigingsbeheer toegepast: van procesontwerp over acties, beste-praktijkworkflows, integratie, procestoolboxen, procesintegratiemodules, auditeergeschiedenis en -rapportage, en een webportaal. Ook voor het eigenlijke beheer van de Management Suite is er wel een webportaal, maar voor het clientbeheer is die eerder karig. De softwarematige beheerclient biedt u dan heel wat meer functionaliteit. Het serverbeheer gebeurt wel via een webinterface.
Beheer
De beheersoftwareclient van LANDesk biedt een paneelinterface in drie luiken. Helemaal links is er een categorie- of rubriekenmenu met Configuratie, Distributie, ‘Handheld’, Partnergereedschappen, Stroombeheer, Beveiliging, ThinkVantage, Administratie, Rapportage en Bewaking, Systeembeheer en Serverbeheer. Onder Configuratie definieert u waarschuwingen, agentconfiguratie, eigen gegevensformulieren en ontdekking van onbeheerde toestellen. Distributie is wel duidelijk en ‘Handheld’ omvat de configuratie en softwaredistributie naar Windows CE Thin Clients of pda’s. Er is geen ondersteuning voor pda’s met Symbian. De rubriek Beveiliging is alleen aanwezig als u de Beveiligingsuite aanschafte.
Alles begint met een scan van uw netwerk om alle mogelijke werkstations, servers en andere netwerktoestellen te ontdekken. Als ze nog geen LANDesk-agent aan boord hebben, gaat het om ‘onbeheerde toestellen’. Zodra een LANDesk-agent aan boord is – en die kunt u pushen – worden ze ‘beheerd’. Als installatie van een LANDesk-agent onmogelijk is (bij een netwerkapparaat of een niet-ondersteund platform) wil dat niet zeggen dat beheer dan onmogelijk is: als zo’n netwerkcomponent SNMP ondersteunt, kan daarvan gebruik gemaakt worden. Een leuk detail vonden wij, dat LANDesk bij de netwerkscan al heel wat informatie kan verzamelen via ip-fingerprinting: hierbij worden de ip-pakketten geanalyseerd op zoek naar patronen van bekende fabrikanten of producenten. De globale beheerconsole is erg gebruiksvriendelijk en u kunt zelf kiezen wat u wil zien en wat niet. U kunt reglementen (policy’s) opleggen, systemen op afstand benaderen, inventarissen opmaken van de hardware en software in gebruik en u laten waarschuwen als daaraan wat verandert. Softwaredistributie en -bewaking zijn ook voorzien. Daarnaast vinden we ook nog OS-imaging en -migratie, apparatuurbeheer, bewaking op afstand, controle van de softwarelicenties, patch- en servermanagement. LANDesk Management Suite ondersteunt Mac OS X en biedt voor dit platform softwarelicentiebewaking, applicatiereglementbeheer en – speciaal voor Mac OS X machines uitgerust met Jaguar – de ‘targeted multicast’-technologie. Op werkstation- en serverniveau ondersteunt Intel alle versies van Windows inclusief Vista, daarnaast ook nog servers en clients onder verschillende Linux-distributies en het al eerder genoemde Mac OS. In feite kunt u elk apparaat binnen uw it-infrastructuur dat over een ip-adres beschikt, opsporen en in de gaten houden – inclusief printers, routers en andere randapparatuur. LANDesk Management Suite kan ook apparatuur zoals beeldschermen en andere randapparatuur in kaart brengen. De eigenlijke beheerinstrumenten, in het bijzonder de beheerserver en -console, moeten wel allemaal op Windows draaien. LANDesk heeft functionaliteit aan boord om ervoor te zorgen dat softwaredistributie mogelijk is over langzame en niet al te betrouwbare verbindingen: dynamische bandbreedtesturing en checkpoints op byteniveau. Verder is er rollengebaseerd beheer: dat is beheer over specifieke onderdelen in het netwerk afhankelijk van de rol van de gebruiker in het netwerk of in de onderneming. De ThinkVantage onderdelen zijn regels en praktijken die nog van IBM komen en kaderen in de ‘Think’-strategie waarbij het veel eenvoudiger en gemakkelijker gemaakt wordt om gedurende de hele levenscyclus van een pc of notebook aan systeembeheer te doen.
Clientaanpak
Aan de clientkant kunt u zelf bepalen hoeveel interactie u wenst met de gebruiker. Dat slaat op wat de gebruiker te zien krijgt van wat de agent eventueel bezig is, maar ook of hij de mogelijkheid krijgt om bepaalde acties uit te stellen of zelfs te weigeren. Er is een LANDesk LaunchPad beschikbaar waar veelgebruikte applicaties op staan die van een server komen (dus niet lokaal). De LANDesk agent draait vanaf het prille begin op een system en als eerste zoekt die contact met de server om werkreglementen, benodigde applicaties en instellingen af te halen. Daar kan de gebruiker geen uitzondering op maken. Dit zorgt ook volautomatisch voor het updaten en patchen van niet alleen Windows, maar ook software van derden (zoals Adobe Acrobat of Flash, of Firefox). En uiteraard kunnen gebruikers de agent niet zomaar afsluiten of stoppen. Mocht een gebruiker daar toch in slagen, dan heeft LANDesk nog een addertje onder het gras: een ‘agent watcher’ die verborgen in de achtergrond draait en de agent gewoon herstart als die zou stoppen of verdwijnen.
Deelconclusie
LANDesk biedt een indrukwekkende beheerfunctionaliteit met volledige ondersteuning voor software- en zelfs besturingssysteem-uitrollen, configuratie- en wijzigingsbeheer en met een centraal beheer en overlappende rapportage voor zowel beheer als beveiliging (als u beide suites neemt). Dit is een zeer fraai stuk software. Niettemin zal LANDesk als een van de kleinste spelers op de markt erg veel moeite hebben om op te tornen tegen de grote jongens.
Algemene Conclusie
Niet alle onderzochte producten zijn gelijkwaardig of streven net hetzelfde doel naar. Voor het beheer van een groot bedrijfsnetwerk (meerdere duizenden werkstations) zijn we het meest onder de indruk van HP IT Client Manager en LANDesk Management Suite. Volgende week bespreken we producten van Microsoft, RES en Scense die bedoeld zijn voor minder omvangrijke netwerken.
Johan Zwiekhorst
Fout opgemerkt of meer nieuws? Meld het hier