Als u binnen uw bedrijf geen totale wildgroei van systemen wenst dan hebt u een goed clientbeheersysteem nodig. Vorige week bespraken we oplossingen voor clientbeheer van CA, HP en LANDesk voor (middel)grote bedrijven. Deze week komen oplossingen voor kleinere bedrijven van Microsoft, RES en Scense aan bod

Een clientbeheersysteem omvat activabeheer met automatische netwerkdiscovery, softwaredistributie met gefaseerde uitrolmogelijkheden, platforminstallatie en -herstel, licentie- en reglementnalevingscontroles, ondersteuning voor antimalware en kwetsbaarhedenonderzoek, beheer op afstand en ondersteuning voor mobiele toestellen en mobiele opslagmedia (zodat een beheerder gewaarschuwd kan worden als iemand een usb-stick in een pc steekt terwijl dat niet mag). De meeste clientbeheersystemen in deze test bieden zowat al deze functionaliteiten. Toch zijn er verschillen op het gebied van schaalbaarheid en specifieke functionaliteiten. De producten die we deze week bespreken, zijn vooral bedoeld voor middelgrote en kleine netwerken.

Producten

Vorige week onderzochten we de clientbeheersuites van CA, HP en LANDesk. Deze week zijn Microsoft, RES en Scense aan de beurt. Symantec was ondanks herhaaldelijk aandringen voor de zoveelste keer niet tijdig (en dus voor onze deadline) tot een besluit gekomen om mee te doen aan de test. We nodigden ook BMC, IBM en Kaseya uit om aan deze test deel te nemen, maar van sommige bedrijven of hun vertegenwoordigers kregen we geen antwoord en andere zaten tussen versies van hun software in.

Microsoft System Center Configuration Manager

Microsoft heeft als ontwikkelaar van Windows zijn Windows servers van oudsher geconcipieerd om zowat alles te doen wat bedrijven maar nodig hebben aan it-diensten, maar dat is natuurlijk al vele jaren geen goed idee meer. Vandaar dat Microsoft al geruime tijd aanraadt om op een Windows server slechts één functie te draaien. Zo is het de bedoeling dat u een Windows server niet meer gebruikt als mailserver, DNS-server, webserver, fileserver én printserver – al kan dat wel – maar deze activiteiten dus spreidt over meerdere servers. Voor Microsoft is het voordeel natuurlijk, dat u zo meer Windows serverlicenties moet aanschaffen. Voor u als klant heeft dat als voordeel dat de prestaties flink verbeteren en dat u de systemen gemakkelijker kunt beveiligen. U kunt immers alle internetfunctionaliteit die u niet nodig heeft stilleggen of blokkeren door alles behalve die ene gewenste functie te verhinderen. Het probleem was, dat Microsoft geen oplossingen beschikbaar had voor het beheren van al die systemen, of voor het plannen en op poten zetten van zo’n topologie van Windows-gebaseerde minimumfunctieservers. Laat staan ook nog eens voor de desktopsystemen. Microsoft geeft onder meer daarop een antwoord met het DSI, ‘Dynamic Systems Initiative’ of dynamische-systemeninitiatief. Dat is ontstaan uit de behoefte van de klanten van Microsoft om hun gegevensverwerking te spreiden over meerdere systemen, zowel om prestatieverhogende als om beveiligingsredenen. Daarnaast moet DSI ook de kloof tussen applicatieontwikkeling en de ict-werking in de praktijk overbruggen door de nodige mechanismen en functiebibliotheken te voorzien (denk hierbij aan Visual Studio.NET).

Microsoft zelf kan natuurlijk onmogelijk op korte termijn software produceren die al die uitdagingen beantwoordt. Daarom heeft het bedrijf partners uitgenodigd om mee te doen aan het DSI. Microsoft coördineert het geheel uiteraard en brengt ook eigen software in, samen met die partners. En zo is Microsoft nu in staat om u een vrij volledig softwarepakket aan te bieden voor het plannen, ontwerpen, opzetten, beheren én gebruiken van een netwerk van gedistribueerde systemen. Rapportage is daarin ook vervat.

Hoeksteen

De in dit artikel (gedeeltelijk) besproken Microsoft System Center beheersuite is de hoeksteen van het DSI: een basisapplicatie van waaruit u het centraal beheer kunt doen. Verschillende onderdelen van System Center bestonden al langer, soms onder andere benamingen. Microsoft heeft alles wat maar met beheer te maken gehad samengebracht onder System Center en zo ook alles beter doen samenwerken. De basis voor alle beheer zijn MMC-consoles. System Center-agenten draaien op alle pc’s en servers die u wil kunnen beheren. De agenten ver-strekken informatie aan System Center componenten en voeren opdrachten vanwege de beheeromgeving uit. Daartoe maakt de beheersuite gebruik van een database via SQL Server om de vergaarde informatie in op te slaan. Via SQL Server Reporting Services (dit vereist overigens geen aparte licentie) kan System Center een breed gamma aan rapporten produceren. De beheeromgeving werkt met behulp van System Center Management Packs die de applicatie vertellen wat en hoe een en ander benaderd en beheerd moet worden. Dit maakt de zaak erg modulair en stelt Microsoft in staat om System Center Management Packs aan te bieden voor niet-Microsoft-systemen zoals Unix, IBM AS/400, Citrix en Cisco. System Center kan ook geïntegreerd worden met centraal-beheersystemen van derden zoals Tivoli, CA Unicenter, HP OpenView en andere. De grootste vernieuwing in System Center is, dat u naast fysieke omgevingen nu ook virtuele omgevingen kunt beheren in dezelfde beheerinterface.

Familie

System Center bestaat uit een familie van zo’n zestal leden met een kleiner neefje. Naast ‘Operations Manager’ voor systeembewaking en -beheer dient ‘Configuration Manager’ voor het automatiseren van software-installaties waaronder ook updates en het beheer van systeemconfiguraties en de wijzigingen daarin. Dit is trouwens de opvolger van Systems Management Server (SMS). Daarnaast vinden we Data Protection Manager terug, een back-up- en herstelsysteem; Virtual Machine Manager voor het beheren van virtuele omgevingen inclusief verschuiven van applicaties over virtuele systemen heen zonder verlies van functionaliteit; een module die Service Manager heet en de operationele processen voor it-dienstenbeheer implementeert, zoals wijzigingen-, incident- en probleembeheer. Met behulp van System Center Capacity Planner kunt u vaststellen welke systeembronnen er nodig zijn om een welbepaalde applicatie of it-dienst uit te voeren en daarmee een bepaalde minimumdienst te voorzien.

Het hoger genoemde kleiner neefje is overigens System Center Essentials, wat een aparte applicatie is voor het centraal beheer van de it-omgeving van kleinere organisaties en de twee belangrijkste beheerfuncties omvat: bewaking van gedistribueerde systemen en uiteraard de automatisering van softwaredistributies, maar die we hier niet verder zullen behandelen.

Configuration Manager

Inzake clientbeheer is System Center Configuration Manager 2007 of kortweg SCCM de belangrijkste module. Qua code is die dubbel zo groot als de vorige SMS 2003-versie. Behalve het herwerken van het geheel komt dat ook, omdat heel wat dingen die in de 2003-versie nog optionele uitbreidingen waren, nu standaard in SCCM 2007 zitten. Niettemin is Microsoft toch verrassend goed trouw gebleven aan de interface van SMS 2003. Alleen al voor de installatie vereist Configuration Manager (en trouwens de hele System Center suite) de nodige voorbereiding en planning. Microsoft voorziet daarvoor een speciale opleiding. U kunt ook al proberen vertrouwd te raken met het product via demonstratielabo’s die u kunt bezoeken op de website van Microsoft. Configuration Manager vereist een actieve en werkende Active Directory omgeving en uitbreidingen op het AD-schema, plus SQL Server 2005 of hoger om alle configuratie-informatie in te bewaren. U zult moeten plannen welke diensten van SCCM hun eigen server krijgen. Zo spreekt het bijna vanzelf dat u de meest belastende rollen (zoals softwaredistributie en inventarisinformatievergaring) hun eigen servers zult geven. De installatie is niet het enige dat planning vereist: u moet ook voor het gebruik een heel grondig doorzicht hebben van de systemen en hun onderlinge samenwerking in uw netwerk en een grondige voorbereiding verrichten en planning uitwerken voor elke taak die u wil uitvoeren met SCCM. Microsoft verdeelt uw onderneming in meerdere sites. Voor het gemak zullen die bij Belgische bedrijven meestal samenvallen met filialen.

Elke te beheren site heeft zijn eigen sitedatabase die in de MMC-beheerinterface in een boomstructuur uiteen valt: sitebeheer, computerbeheer, systeemstatus, beveiligingsrechten en gereedschappen. Bij sitebeheer parametriseert u natuurlijk de gehele site: adressen, grenzen, clientagenten en -installatiemethodes, componentconfiguratie, certificaten, accounts, ontdekkingsmethodes, afzenders, site-onderhoud, statusfilterregels en statusoverzicht, en sitesystemen. De tak computerbeheer geeft u controle over individuele computers of computergroepen voor softwaredistributie en -updates, uitrollen van besturingssystemen, softwarebewaking en rapportage, bepaling van gewenst configuratiebeheer, queries (ondervragingen), mobiele-systemenbeheer, en netwerktoegangsbescherming. Onder systeemstatus krijgt u snelle statusoverzichten voor mededelingen, pakketten (voor distributie en uitrol), sites en statusberichtondervragingen. De rubriek beveiligingsrechten is heel rechttoe-rechtaan: welke gebruikers krijgen welke rechten? En onder gereedschappen vinden we de configuratiebeheer service manager, waarmee u alle diensten van het configuratiebeheer kunt nakijken, starten of stoppen.

Veel taken die u vroeger minutieus zelf moest samenpuzzelen, zijn nu heel wat makkelijker geworden via een serie wizards die Microsoft toevoegde. Zo is het uitvoeren van een uitrol naar een kaal systeem (‘bare metal deployment’) heel wat makkelijker geworden. Dat maakt nog lang niet alles vanzelfsprekend, en veel beheerders zullen toch wel een beroep moeten doen op de helpdesk van Microsoft, vrezen we.

Configuration Manager kent twee beveiligingsmodussen: ‘native’ en ‘mixed’. De laatste is minder veilig, maar staat u wel toe SMS 2003 sites te beheren. Ook al vereist ‘mixed’ geen publieke-sleutelinfrastructuur (PKI) met beveiligingscertificaatuitreiking, dan nog zult u die met grote waarschijnlijkheid toch moeten voorzien vermits de NPA-netwerktoegangsbeveiliging van Microsoft dit vereist.

Deelconclusie

Microsoft biedt een erg volledig clientbeheer via hun System Center Configuration Manager, maar het is uiteraard specifiek Windows-centrisch – ook voor mobiele apparaten. Via plugins van derde partijen kunnen andere systemen wel ondersteund worden, maar garanties daaromtrent krijgt u uiteraard niet. Dit is bijgevolg een beheersysteem dat voornamelijk van pas kan komen in een zeer Windows- en Microsoft-centrische en -specifieke bedrijfsomgeving. Goedkoop is het echter niet, al horen we geruchten dat Microsoft het soms bijna gratis weggeeft om een deal binnen te halen.

RES PowerFuse 2008

RES PowerFuse 2008 is een beheeroplossing die bij uitstek ontwikkeld werd voor gemengde systemen, waarbij applicaties deels lokaal en deels op afstand draaien. In plaats van client- of desktopbeheer spreekt men bij RES, dat overigens een Nederlands bedrijf is, van werkruimtebeheer. Een werkruimte is de omgeving waarmee de gebruiker werkt op zijn pc, notebook of thin client. In die omgeving kan een desktop te zien zijn die specifiek op de bevoegdheden van die gebruiker afgestemd is, of helemaal geen Windows-desktop maar enkel een achtergrond met daarop enkele applicaties. Ook de applicaties, de opslagvolumes en randapparatuur waartoe deze gebruiker toegang heeft zijn in die specifieke omgeving te zien. De applicaties kunnen bij een pc of notebook lokaal draaien, maar ze kunnen ook op afstand gebruikt worden met een Citrix of Microsoft Terminal Services server. We hebben eerder dit jaar Res PowerFuse 9 voor u getest en deze 2008-versie is daaraan gelijk: ze kreeg alleen een naamsverandering uit marketingoverwegingen. U vindt de uitgebreide test van RES PowerFuse terug in Data News nr. 11 van 21 maart 2008.

Deelconclusie

Wij zijn in de wolken over RES PowerFuse 2008. Er is aan vrijwel alles gedacht en de kleine details waar we niet zo gelukkig over waren hebben we meteen aan RES gecommuniceerd, die daar erg open tegenover stonden.

Scense 6

Ook Scense erkent dat Windows pc’s met uiteenlopende configuraties een groot probleem vormen. Een mogelijke manier om dit aan te pakken, aldus Scense, is de Windows-pc’s alleen uit te rusten met het hoognodige. Voor zover dat hoognodige stabiel is, hoeven de pc’s niet regelmatig bijgewerkt te worden. Daarna bepaalt een centraal beheersysteem welke applicaties voor welke gebruikers beschikbaar zijn. Die worden dan afgehaald en lokaal voorzien op het moment dat ze nodig zijn (of na inlog). De beheerder kan dan vrijelijk bepalen welke software centraal ter beschikking is, hoe die geïnstalleerd wordt en met welke parameters of instellingen. Daarmee krijgt een beheerder vrijwel dezelfde controle als bij een op Microsoft Terminal Server- of Citrix-gebaseerde applicatieserver, alleen draaien de applicaties hier niet op de centrale server (die dan uitermate krachtig moet zijn), maar op de (goedkope) client-pc’s van de gebruikers zelf. Dit is kort samengevat de filosofie achter Scence. We hebben Scense 5 eind vorig jaar getest, in Data News nr. 30 van 26 september 2008.

Verschillen tussen Scense 5 en 6

Scense 5 ondersteunde applicatie-installaties met Windows Installer, Wise, Altiris Virtual Layers en Thinstall. Scense 6 voegt daar nog App-V, dat is Microsoft applicatievirtualisatie, aan toe. U beheert App-V applicaties op dezelfde manier en met dezelfde gebruikersinterface als de rest. In App-V kunnen applicaties met elkaar communiceren, maar dat is een nogal ingewikkeld kluwen van OSD-bestanden die u als beheerder moet aanmaken. Scense 6 neemt u dat werk uit handen en maakt die OSD-bestanden zelf aan en beheert ze ook. Het beheer van applicaties is binnen Scense 6 een real-time procedure. U hoeft dus de wijzingen niet meer in te plannen en dan geserialiseerd te implementeren, het kan meteen en gebruikers hoeven niet te wachten op hun applicaties. Dit biedt als bonus de mogelijkheid om App-V applicaties zich anders te laten gedragen voor een bepaalde gebruikersgroep zonder dat u daarvoor een aparte virtuele applicatie moet aanmaken. Scense 6 heeft tenslotte nog een nieuwe, vereenvoudigde uitrolprocedure die de naam ‘Easy Delivery’ kreeg. Ze werkt voor alle types applicaties die Scense ondersteunt en stelt de beheerder in staat in twee eenvoudige stappen de applicaties beschikbaar te stellen en uit te rollen naar de gebruikers toe. De eerste stap is aangeven waar de applicatie-installeerder staat. De tweede stap is aangeven welke gebruikers van deze applicatie gebruik mogen maken. Klaar! Uiteraard kan de beheerder desgewenst achteraf het aangemaakt applicatieobject nog verder verfijnen.

Deelconclusie

Scense brengt allerlei applicaties tot bij de gebruikers en verzorgt het beheer van gebruikerssessies. Gebruikers houden hun eigen Windows desktop met alle daarbij horende rechten. Alleen waar het gaat om centraal gedistribueerde applicaties bemoeit Scense zich ermee. Er is erg veel mogelijk inzake scripting en parametrisering.

Algemene Conclusie

Vorige week concludeerden we dat voor het beheer van een groot bedrijfsnetwerk vooral HP IT Client Manager en LANDesk Management Suite indruk maken. Is uw netwerk wat minder omvangrijk of bent u op zoek naar een meer specifiek beheer van de desktops op applicatieniveau, dan kunt u dat ook perfect met de hier besproken producten van RES en Scense.

Johan Zwiekhorst