Automatisierte Softwareverteilung und Patch-Management für Windows-Clients

Die Verteilung von Software und Software-Updates ist eine der wichtigsten Hauptaufgaben einer IT-Abteilung, beinahe täglich erscheinen neue Updates, Patches und Aktualisierungen, die die Programme verbessern oder kritische Sicherheitslücken schließen. Um die Administratoren hierbei zu unterstützen, gibt es zahlreiche Client Management Tools, die diese Aufgaben übernehmen und vor allem automatisieren können.

Im Rahmen meines Praxissemesters bei der Thinking Objects GmbH war es meine Aufgabe, die verschiedenen Tools am Markt in einem Proof of Concept in einer Testumgebung auf Tauglichkeit zu prüfen und die beiden am besten passenden Lösungen zu präsentieren. Das Projekt sollte als Entscheidungshilfe dienen, welches System in Frage kommt und ob die Einführung überhaupt sinnvoll ist.

Projekt Teil 1: Evaluierung

Vorbereitung: Testumgebung

Mit Hilfe der Virtualisierungssoftware VMWare erstellte ich eine Testumgebung mit folgenden Komponenten:

  • 1x Windows Server 12 R2
  • 1x Windows Server 16
  • 3x Windows 10 Enterprise Edition

Um mit diesen virtuellen Maschinen eine möglichst realitätsnahe Testumgebung zu schaffen, habe ich eine Active Directory mit der Domäne „To.test.com“ angelegt. Zu diesem Zweck habe ich den Server 12 R2 als Domain-Controller konfiguriert und anschließend die anderen virtuellen Maschinen in die Domäne eingebunden (Abb.1).

Softwareverteilung: Testumgebung
Abbildung 1: Testumgebung

Microsofts Group Policy Objects

Nach dem Einrichten der Domäne habe ich mir zunächst die Group Policy Objects (GPO, Deutsch: Gruppenrichtlinien) genauer angeschaut, ein Feature von Microsoft, mit dem sich Software in einem Domänennetzwerk installieren, updaten und patchen lässt. Dies geschieht über die Verteilung von Installationspaketen (.msi), Transformationsdateien (.mst) und Patch-Dateien (.msp) entweder an User oder an Computer im Netzwerk. Der Administrator kann die Software entweder zuweisen (Push-Verfahren), hier greift die Gruppenrichtlinie beim Einloggen des Users und installiert die Software automatisch,    oder nur veröffentlichen (Pull-Verfahren), hier kann der User die Software selbstständig über die Systemsteuerung hinzufügen.

Der Verteilerkreis der Software lässt sich einschränken. Dies geschieht über sogenannte WMI-Filter (Windows Management Instrumentation), diese enthalten SQL-ähnliche Abfragen, die die Wirkung der Gruppenrichtlinien einschränken. Eine typische Abfrage ist z.B. ob es sich beim Zielrechner um ein 32-Bit oder 64-Bit System handelt.

Es besteht auch die Möglichkeit, Software zu deinstallieren, diese muss allerdings vorher auch über die Gruppenrichtlinien verteilt worden sein.

Softwareverteilung per GPO
Abbildung 2: Softwareverteilung per GPO

 

Die Softwareverteilung über Gruppenrichtlinien hat leider einige entscheidende Nachteile:

  • Es findet keine Inventarisierung statt, der Administrator hat keinen Überblick über bereits installierte Software auf den Zielrechnern.
  • Es gibt keinerlei Feedback über erfolgreiche oder fehlgeschlagene Installationen.
  • Es gibt kein Monitoring oder Reporting, es bleibt verborgen, welche Rechner gerade mit der Installation beschäftigt sind, oder ob dabei Fehler auftreten.
  • Der Installationszeitpunkt ist nicht festlegbar, die Installation erfolgt nur, wenn die User ihre Rechner neu starten, darauf hat der Administrator keinen Einfluss.
  • Die WMI-Filter sind fehleranfällig, es wird nicht geprüft, ob die Abfrage überhaupt sinnvolle Ergebnisse liefert, bei komplexen Abfragen wird die Fehlersuche schwierig.

Fazit: Um eine transparent organisierte Softwareverteilung zu etablieren, sind Microsofts Group Policy Objects nicht ausreichend.

Übersicht der Softwarelösungen am Markt

Ich habe mir einen Überblick über den Markt der Client-Managementlösungen verschafft und von den jeweiligen Herstellern nach und nach Testversionen angefragt und Angebote eingeholt. Es sind dies im Einzelnen:

  • SCCM von Microsoft
  • ca
  • Ivanti
  • Kace
  • BMC Client Management
  • Accelerite Radia
  • ZENWorks Configuration Manager
  • Kaseya Virtual System Administrator
  • ManageEngine Desktop Central
  • Baramundi
  • Aagon ACMP
  • DeskCenter Management Suite
  • Asset.Desk FCS Desk Suite

Das Testen

Ich ging bei den verschiedenen Angeboten nach Möglichkeit immer nach dem gleichen Muster vor:
Nach dem Einrichten der Serversoftware versuchte ich, die Maschinen im Netzwerk mit dem Server zu verbinden. Dies geschah in der Regel über sogenannte „Agenten“, die per IP-Scan oder über die AD-Konfiguration auf die Rechner verteilt werden konnten. Anschließend startete ich die Inventarisierung und testete die Verteilung der Software Notepad++ mit Hilfe eines msi-Pakets, um es bei Erfolg direkt wieder zu deinstallieren. Einige Anbieter hatten einen Softwarekatalog, über den man die gewünschten Programme auch direkt installieren konnte.

Danach testete ich das Patch-Management, indem ich mir die installierten Microsoft-Patches anzeigen ließ und versuchte, einen Patch zu installieren und einen Patch zu deinstallieren.

Als nächstes versuchte ich, mir verschiedene Reports anzeigen zu lassen und am Schluss versuchte ich mich am OS-Deployment.

Meine Erfahrungen waren sehr unterschiedlich, das Einrichten ging zum Teil ohne Probleme, es gab aber auch Software, die ich nicht ohne Hilfe des jeweiligen Supports ans Laufen bekam (Ivanti, Kace, ZENWorks und Accelerite).

Die Bedienung der Programme ging teilweise intuitiv und selbsterklärend, es gab aber auch Programme, bei denen ich auf die mehrere hundert Seiten starken Handbücher der Hersteller angewiesen war (Ivanti, Kace, Accelerite, DeskCenter, SCCM). Von den Firmen Kaseya und Aagon gab es sehr gelungene Lehrvideos, die Firma Aagon hat diesbezüglich sogar einen eigenen YouTube-Kanal. Rund die Hälfte der Anbieter bot entweder Webcasts oder Online-Demos an, um mir die Benutzung der Software näher zu bringen (ca, Kace, BMC, Kaseya, Aagon und DeskCenter), die Firma Baramundi kam sogar ins Haus und präsentierte ihr Programm vor Ort.

Testsoftware bekam ich fast von jeder Firma, lediglich die Firma Maxxys, die die Software „ca“ vertreibt, wollte drei Manntage in Rechnung stellen, um eine Testumgebung aufzubauen.

Das Testen des OS-Deployments erwies sich in der VM-Ware-Umgebung als schwierig, da das Ausrollen auf Virtuelle Maschinen teilweise nicht unterstützt wurde oder schlicht nicht funktionierte.

Ich bekam jedoch die Möglichkeit, bei den von mir ausgesuchten Testsiegern die Betriebssystemverteilung in einer Testumgebung mit physischen Maschinen zu testen.

Wer kann was?

Um aus der Vielzahl an Angeboten zwei geeignete herauszufiltern, habe ich während des Testens tabellarisch erfasst, welche der notwendigen Anforderungen die jeweilige Software abdeckt. Am Ende stellte sich heraus, dass fast alle die benötigten Anforderungen erfüllen, lediglich bei Kaseya fehlt das Feature der Betriebssystemverteilung (s. Abb. 3).

Softwareverteilung: Anforderungsübersicht
Abbildung 3: Anforderungsübersicht

Kosten

Ein weiterer Aspekt bei der Auswahl von geeigneter Software ist natürlich die betriebswirtschaftliche Seite, aus diesem Grund habe ich mir von allen Anbietern Angebote erstellen lassen und die Kosten für einen Zeitraum von 5 Jahren verglichen (Abb. 4).

Softwareverteilung: Kostenübersicht alle Firmen
Abbildung 4: Kostenübersicht alle Firmen

 

Es springen dem Betrachter sofort die beiden teuersten Anbieter ins Auge: Microsoft und Accelerite Radia. Die hohen Preise lassen sich leicht erklären: Beide Software-Lösungen zielen auf Unternehmen ab, die Strukturen mit mehreren Tausend Clients haben, die jährliche Pauschale für Support und Wartung fallen dementsprechend hoch aus.

Wenn man die nicht in Frage kommenden teuren Lösungen weglässt, ergibt sich ein freundlicheres Bild (Abb. 5):

Softwareverteilung: Kostenübersicht günstige Firmen
Abbildung 5: Kostenübersicht günstige Firmen

 

Hier ist die Kurve von Kaseya auffällig, die Firma bietet ein Lizenzmodell an, bei dem die Software nicht gekauft, sondern gemietet wird. Das ermöglicht einen günstigen Einstieg, ist aber auf lange Sicht teurer als die Kaufmodelle der Konkurrenz. Das beste Angebot kommt von der Firma ManageEngine, die mit einem Anschaffungspreis von rund 3000 Euro die Konkurrenten deutlich unterbietet.

Die Präsentation der Testsieger

„Meine“ beiden Testsieger sind ACMP von Aagon und Desktop Central von ManageEngine.

ACMP hat mir von allen Software-Lösungen am besten gefallen, es ließ sich leicht einrichten, ist benutzerfreundlich, durch das übersichtliche Dashboard intuitiv zu bedienen und bietet eine Vielzahl an Automatisierungsmöglichkeiten. Es ist mit seiner Abfrageverwaltung sehr SQL-nah und läuft zudem sehr stabil. Preislich liegt die Lösung im Mittelfeld.

Desktop Central von ManageEngine ist mit großem Abstand Preis-Leistungssieger und überzeugt mit einer übersichtlichen Weboberfläche, umfangreichen Report- und Monitoringmöglichkeiten und ist bezüglich Usability, Einrichtung und Funktionsumfang mindestens gleichwertig mit den teuren Konkurrenzprodukten.

Beide Lösungen habe ich in einer Live-Präsentation den Entscheidungsträgern von TOsupport vorgestellt.

Projekt Teil 2:  Einführung des Client-Management-Systems Desktop Central bei der Thinking Objects GmbH

Nach der Präsentation der beiden besten Testkandidaten wurde die Entscheidung getroffen, die Client-Management Software Desktop Central der Firma ManageEngine einzuführen, allerdings ohne das Modul der Betriebssystemverteilung, da sich dies bei durchschnittlich 10 neuen Mitarbeitern pro Jahr nicht rechnet.

Da ich das ursprünglich auf 6 Monate angelegte Evaluierungsprojekt bereits nach 3 Monaten erfolgreich abschließen konnte, und aufgrund meiner bereits erworbenen Kenntnisse der Software, wurde mir nun die Umsetzung des Projekts, also die Einführung von Desktop Central anvertraut.

Zeitplan

Zuerst erstellte ich einen Zeitplan mit den für die Umsetzung des Projekts wichtigen Punkten.

Der Plan sah vor, im Dezember 2017 alle Vorbereitungen zu treffen, um im Januar 2018 ein Pilotprojekt mit 20 Clients starten zu können. Nach erfolgreicher Pilotphase sollte das Projekt am 1. Februar 2018 für alle Clients live gehen.

Softwareverteilung: Zeitplan 1
Abbildung 6: Zeitplan 1

 

Softwareverteilung: Zeitplan 2
Abbildung 7: Zeitplan 2

Datenschutz

Da mit der Client-Management Software viele Daten gesammelt werden, die auch Aufschluss über das Nutzerverhalten geben, erstellte ich einen Bericht mit allen datenschutzrelevanten Informationen zur Prüfung für unseren Datenschutzbeauftragten.

Netzwerkplan mit Firewall-Freischaltungen

Um die benötigten Firewall-Freischaltungen zu beantragen, erstellte ich einen Netzwerkplan:

Softwareverteilung: Netzwerkplan
Abbildung 8: Netzwerkplan

VM erstellen, Windows Server 16 installieren

Nachdem mein Betreuer und Service Desk Supervisor Raffaele Lupo eine Virtuelle Maschine für das Projekt erstellt hatte, installierte ich als erstes Windows Server 16. Zu diesem Zeitpunkt begann ich auch, jeden meiner Schritte zu dokumentieren (Abb. 9).

Softwareverteilung: Dokumentation der Windows Server 2016 Installation
Abbildung 9: Dokumentation der Windows Server 2016 Installation

Desktop Central installieren und konfigurieren

Nach der Installation von Windows Server 16 inklusive aller Updates, begann ich mit der Installation von Desktop Central. Nach dem Hinzufügen der Domäne und den am Pilotprojekt beteiligten Computern, installierte ich darauf die Agenten, die mit dem Server kommunizieren.

Daraufhin erstellte ich die benötigten Software-Pakete, teilweise über die Templates von Desktop Central, teilweise über eigene -.msi und -.exe Installationsdateien.

Besondere Aufmerksamkeit erforderte hier das Erstellen eines deploymentfähigen Paketes von Microsoft Office mit Hilfe des Office-Anpassungstools. Mit diesem Tool kann man einen Multiple Activation Key (MAK) eingeben und es lassen sich Setup-Eigenschaften wie z.B. AUTO_ACTIVATE anpassen (Abb. 10)

Softwareverteilung: Erstellen der Softwarepakete
Abbildung 10: Doku – Erstellen der Softwarepakete

Pilotprojekt mit 20 Clients

Nach Abschluss aller Vorbereitungen starteten wir am 2. Januar 2018 wie geplant mit dem Pilotprojekt. Nach und nach wurden auf den Clients der Pilotgruppe die Agenten ausgerollt.

Nach zwei Wochen waren insgesamt 20 Clients in das System eingebunden, Desktop Central funktionierte weitgehend wie geplant.

Schulung der Mitarbeiter und Abschluss des Projekts

Mitte Januar gab es noch eine Präsentation für das Management über das geplante Vorhaben mit Zeitplan.

Für die zukünftigen Administratoren von Desktop Central hielt ich eine interne Schulung ab und erstellte ein Wiki mit der Dokumentation.

Softwareverteilung: Admin-Wiki
Abbildung 11: Admin-Wiki

 

Ab Februar 2018 wurden die restlichen Clients in das System eingebunden und ich verbrachte die verbleibende Zeit meines Praktikums mit dem Feintuning des Systems, wie z.B. der Patch-Automatisierung oder dem Scheduling von Berichten.

Mit dem Ende meines Praktikums konnte ich ein zuverlässiges, effizientes Client-Managementsystem übergeben, das durch den Grad der Automatisierung zudem sehr wartungsfreundlich ist.

Über mich und mein Praxissemester bei der Thinking Objects GmbH

Als „Spätzünder“ beschloss ich 2015 –  nach über 20 Jahren in der Hotellerie und Gastronomie –  einen Neuanfang zu wagen und an der Hochschule Heilbronn Angewandte Informatik zu studieren. Ein Entschluss, den ich bis jetzt nicht bereut habe. Auf einer Firmenmesse unserer Hochschule lernte ich die Thinking Objects GmbH kennen; aufgrund meiner ausgeprägten Service-Orientierung wurde mir eine Praxisstelle im Support angeboten, die ich gerne annahm.

Die Stelle entpuppte sich als Glücksgriff: sowohl fachlich als auch persönlich hat mich dieses halbe Jahr nach vorne gebracht und mir innerlich bestätigt, dass meine Entscheidung, Informatik zu studieren, richtig war.

Das Arbeitsumfeld empfand ich als sehr angenehm, es wird hier eine Kultur der offenen Türen gepflegt und die Mitarbeiter sind untereinander alle per Du. Es gibt regelmäßige Feedbackgespräche und die Ausstattung des Arbeitsplatzes ist vorbildlich.

Das Team von TOsupport präsentierte sich als fachlich hochkompetent und jederzeit offen für alle erdenklichen – auch vermeintlich „dummen“ – Fragen, auch im größten Stress fand ich bei meinen Kollegen immer ein offenes Ohr.

Die Arbeit an meinem Projekt hat mir gut gefallen, ich hatte genügend Freiräume, mich in die verschiedenen Gebiete einzuarbeiten und hatte zudem auch Gelegenheit, Einblick in projektfremde Themen zu nehmen.

Die Tatsache, dass mir nach der Evaluierungsphase auch die Umsetzung des Projekts anvertraut und zugetraut wurde, empfand ich als sehr motivierend.

Die Erfahrungen, die ich hier sammeln durfte, werden mir für mein Studium und meinem späteren Berufsleben von großem Nutzen sein. Dafür bedanke ich mich herzlich bei der Thinking Objects GmbH, dem Team von TOsupport und meinem Betreuer Raffaele Lupo.

 

4 Kommentare

  1. ich frage mich gerade bei den beiden Preisübersichten warum Opsi nicht aufgeführt wurde und auch insgesamt nur in der ersten Abbiegung erscheint ?.

    gibt es dafür einen grund ?

    Gruß Thomas

  2. Sehr tolle Ausführung. Mich würde interessieren auf welcher Basis Anzahl der Clients du die Angebote bzw die Preisübersicht erzeugt hast.

  3. Ich bin begeistert. Das ist mal eine super Aufbereitung der Thematik. Sauber! Ich hoffe, dass sich das Produkt im Alltag der TO bewährt.

    Grüße,
    Patrick

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *