Test: NetMan Desktop Manager 5.1 macht Terminal-Server praxistauglich

NetMan Desktop Manager der Göttinger H+H Software GmbH ergänzt die notorisch defizitären Terminal-Services um Management-Funktionen, eine bessere Benutzererfahrung, höhere Performance und Sicherheit. Die soeben veröffentlichte Version 5.1 soll die zentrale Bereitstellung und Nutzung von Anwendungen noch effektiver gestalten.

Microsofts Terminal-Dienste, die seit einiger Zeit zusammen mit einer Basisausstattung für virtuelle Desktops unter dem Namen Remote Desktop Services (RDS) firmieren, erfreuen sich großer Beliebtheit. Sie erlauben einen zentralen und kostengünstigen Betrieb von bestimmten Applikationen, vornehmlich von solchen für die Sachbearbeitung (Call Center, Eingabemasken für Datenbanken, etc.). Zugleich sind sie bekannt für ihre Schwächen, so dass der Einsatz in größeren Umgebungen fast zwangsläufig auf Zusatzprodukte angewiesen ist.

Terminaldienste sind noch kein Auslaufmodell

Während seit einigen Jahren von der Industrie virtuelle Desktops als Alternative propagiert werden, sind die Terminal-Services nach wie vor die dominierende Form des Server Based Computing. Dies liegt nicht zuletzt an ihren wirtschaftlichen Vorteilen, die sich mit einer relativ einfachen Infrastruktur und einer höheren Benutzerdichte als bei VDI erzielen lassen.

Trotz stetiger Weiterentwicklung in den verschiedenen Windows-Releases hat Microsoft reichlich Verbesserungsspielraum für Drittanbieter gelassen. In den Bereichen Management, Performance, Funktionsumfang und Benutzererlebnis existieren bekannte Lücken, die vor allem Citrix seit Jahren ein einträgliches Geschäftsfeld bieten. Die H+H Software GmbH positioniert ihren NetMan Desktop Manager als preiswerte Alternative zu XenApp.

NDM bindet Citrix-Server ein

Der NetMan Desktop Manager versteht sich indes nicht nur als Ersatz für XenApp, sondern als umfassende Lösung für das zentrale Anwendungs-Management, zu dem auch die transparente Anbindung an Citrix Metaframe / Presentation Server / XenApp gehören. Deshalb lassen sich damit Anwendungen auch in Mischumgebungen aus Microsoft RDS und XenApp zentral bereitstellen. Aktuell unterstützt NetMan Desktop Manager Windows Server 2003 bis 2008 R2, Windows Server 2012 soll Anfang 2013 folgen.

Architektur und Installation

Der NDM besteht aus mehreren Komponenten: dem NDM-Server mit NetMan Client Service, NDM Web-Services, NDM Web-Server, NDM SSL Gateway sowie der zentralen Konfigurations-Konsole.

Der Aufwand für die Installation gestaltet sich überschaubar: auf dem Terminal-Server muss lediglich die NDM Server-Komponente eingerichtet werden. Diese bringt alle benötigten Dienste mit. Optional ist das SSL-Gateway auf einem dedizierten Rechner zu installieren. Sollen mehrere Terminal-Server ihre Applikationen im Netz bereitstellen, genügt es, auf diesen den NDM-Client zu installieren. Die NDM-Server-Komponente samt Manager wird dann auf einem separaten Host installiert, der anschließend als Verwaltungszentrale für die gesamte Umgebung fungiert.

Auf den Windows-PCs ist anschließend der NDM-Client als Paket zu installieren. Dieser bringt das RDP-Protokoll inklusive optionaler Beschleunigungskomponente mit. Die in NDM integrierte Client-Verteilung sorgt dafür, dass der NetMan-Client automatisiert an alle beteiligten Windows-PCs ausgerollt wird. Im Desktop Manager ist auch ein Prozessrekorder enthalten, der Installationsvorgänge auf Windows-PCs mitschneiden kann, um daraus Installationspakete für vollautomatische Setups zu generieren.

Mit Version 5 verwaltet NetMan neben einzelnen Remote Desktop Session Hosts (der aktuelle Name für den Terminal-Server) nun auch ganze Farmen. Diese fassen beispielsweise Sitzungs-Hosts in verschiedenen Niederlassungen innerhalb von NetMan Desktop Manager zu logischen Einheiten zusammen. Dabei ist Load Balancing auch zwischen Server-Farmen möglich. Umfassende Performance-Berichte informieren detailliert über die Auslastung der Rechner und womit sie beschäftigt sind.

Lastenausgleich und Ausfallsicherheit

Im NDM kann der Administrator mit wenigen Klicks die Terminal-Server zu einem Verbund für Failover und Lastausgleich zusammenschalten. Das Load Balancing lässt sich auf Basis der Systemparameter CPU- und Speicher-Auslastung sowie der Anzahl der Sitzungen steuern. Dies ist ein intelligenteres Verfahren als jenes des Windows-eigenen NLB, der sich bei der Verteilung von Lasten im Wesentlichen auf den Netzwerk-Traffic beschränkt. Speziell für Thin Clients kann zudem der NDM Session Broker aktiviert werden, der für Load Balancing auch bei diesem Endgeräte-Typ sorgen kann.

Der NDM-Server selbst kann seit Version 5 hochverfügbar gemacht werden, indem zusätzliche Sekundärinstallationen aufgesetzt werden. NDM hält die Datenbanken über Primär- und Sekundär-Server anschließend synchron. Fällt der Haupt-Server aus, übernimmt der nächste Server dieses Sets unterbrechungsfrei alle Aufgaben.

SSL-Gateway für Zugriff über das Internet

Um die Sicherheit zu erhöhen, kann der Administrator zusätzlich das NDM SSL Gateway auf einem dedizierten Rechner installieren. Dieses klinkt sich als Reverse Proxy in den Netzwerkverkehr zwischen Clients und Server(n) ein und verschlüsselt diesen transparent, so dass für User aus dem Internet keine zusätzlichen Sicherungsmaßnahmen wie ein VPN erforderlich sind.

NDM schließt außerdem eine bekannte RDP-Sicherheitslücke, bei der Zugriffe über die Manipulation von RDP-Konfigurationsdateien erschlichen werden. NDM schiebt dem einen Riegel vor, indem die Anmeldedaten für die Sitzungen nicht in den Sitzungsdateien für die Benutzer gespeichert werden, sondern ein Ticket-Mechanismus für die Anmeldung verwendet wird. Jede RDP-Datei wird dazu automatisch mit einem verschlüsselten Zeitstempel versehen. Ist die vom Administrator vorgegebene Zeitspanne zwischen Erstellung der RDP-Datei und der Übermittlung zum Sitzungshost überschritten, wird der Start der Anwendung abgelehnt.

Besseres Benutzererlebnis durch RDP-Beschleunigung

NDM bemüht sich in mehrfacher Weise ganz gezielt um die Anwender: Besonders wichtig ist dabei für die Anwendungsnutzung über das Internet die Beschleunigung des Protokolls. RDP steht gerade auf WAN-Strecken seit jeher in der Kritik. NDM integriert hierfür die optionale Komponente Remote Desktop Acceleration (RDA), welche durch Paket Shaping und Kompression der übertragenen Inhalte Herstellerangaben zufolge eine 10- bis 25-fache Geschwindigkeitserhöhung gegenüber Standard-RDP erzielen soll.

In der Tat sind die gefühlten Ergebnisse eindrucksvoll, gerade bei Grafik-intensiven Anwendungen wie Powerpoint erfolgt der Bildschirmaufbau im Gegensatz zu reinem RDP sehr flüssig. Der Administrator kann pro Benutzer bis hinunter zur einzelnen Anwendung vorgeben, ob RDA genutzt werden soll und ob die Optimierung in Richtung Geschwindigkeit oder Richtung Qualität erfolgt.

Support für mehrere Client-Plattformen

NDM erweitert die zentrale Anwen­dungs­bereit­stellung über den Kreis der Windows-Nutzer hinaus. Hierzu dient insbesondere der Web-Client. Dieser stellt diverse RDP-Clients bereit, die für unterschiedliche Plattformen wie Thin Clients oder Linux-PCs geeignet sind und jeweils auch die optionale RDP-Beschleunigung mitbringen. Zusätzlich bietet der Göttinger Hersteller kostenlose Apps für Android und iOS an, welche ebenfalls in den Genuss der RDP-Beschleunigung kommen, sofern gewünscht bzw. lizenziert. Insgesamt besteht folgende Auswahl an Client-Modulen:

• Nativer RDP-Web-Client für Windows
• Nativer Windows-Client
• RDP-Web-Client in Java, besonders für Mac OS und Linux geeignet
• Applet für rdesktop, besonders für Thin Clients gedacht

Grundsätzlich sorgt NDM für mehr Komfort, indem sich Applikationen wie lokal installierte Programme in das Windows-Startmenü einklinken können oder wie gewohnt auf dem Desktop erscheinen. Neben Desktop-Sitzungen sind auch Applikations-Fenster nach dem Muster von RemoteApp möglich, wobei Microsoft Letztere erst mit Windows Server 2008 eingeführt hat. NDM unterstützt diesen Modus für alle zulässigen Windows-Versionen.

Unterstützung für App-V

Eine Neuerung der Version 5 besteht in der Unterstützung für App-V, Microsofts Lösung zur Applikations-Virtualisierung. Auf dem Terminal-Server sind derartige Tools vor allem deshalb interessant, weil sie Konflikte zwischen Programmen oder verschiedenen Versionen einer Software vermeiden helfen. NDM 5 erlaubt es, virtualisierte Anwendungspakete direkt aus seiner Management-Konsole bereitzustellen.

Ein besonderes Schmankerl sind Datei- und Protokollumleitung: Diese Mechanismen sorgen dafür, dass bestimmten Datei- sowie Protokolltypen wie mailto: immer die richtigen Anwendungen zugewiesen werden, so dass sich bei einem Mail-Link der Mail-Client öffnet oder beim Doppelklick auf eine Word-Datei automatisch die dazu passende Anwendung gestartet wird. Protokoll-Handler lassen sich auch auf lokale Anwendungen umleiten, so dass beispielsweise der Klick auf einen Mail-Link im remote ausgeführten Browser einen Mail-Client auf dem PC öffnet.

Flexible Zuweisung von Anwendungen

Das Herzstück der Verwaltungs-Tools ist das NetMan Center. Hier verwaltet der Administrator über Skripte, Kollektionen, Ressourcen, Zugriffsrechte, Filter und Installationspakete die Bereitstellung der Anwendungen an die Nutzer. Im Unterschied zum nackten Terminal-Server erlaubt NetMan Desktop Manager dabei eine bis auf den einzelnen Nutzer und das jeweilige Endgerät zugeschnittene Zuteilung der Applikationen.

NDM fasst Anwendungen zu Kollektionen zusammen. Kollektionen lassen sich abhängig vom Client-Gerät, vom User, seiner Gruppe, seinem Anwendungsprofil und diversen weiteren Parametern zuweisen. Dabei können unterschiedliche Arten von Anwendungen über mehrere verschiedene Kollektionen bereit gestellt werden. Beispielsweise ließen sich den Webclient-Anwendern andere Anwendungen zuordnen als solchen mit Windows-PCs und dem nativen NetMan-Client.

Der Systemverwalter konfiguriert Anwendungen mittels eines Assistenten. Dieser ermöglicht auch das Auslesen der Windows-Startleiste, um auf Basis eines passend vorkonfigurierten Windows-PCs mit wenigen Klicks eine schnelle Definition einer kompletten Anwendungskollektion zu generieren.

Bei NDM beruhen alle Anwendungskonfigurationen auf sogenannten Scripts, in deren Logik der Administrator tief eingreifen kann. Neben der Definition von vor- und nachgeschalteten Start- und Stopp-Scripten kann er eigene Ablaufelemente wie z.B. das Öffnen von Dialogen einbauen.

Rechte-Management und Benutzerverwaltung

Die Zugriffsrechte können vielfältig gesteuert und beim Web-Client auch um eine 2-Faktor-Authentisierung über diverse RADIUS-Server-Produkte ergänzt werden. NetMan kennt zudem auch anonyme Anwender. Diese erfordern kein Management auf User-Ebene, sondern sie lassen sich über Gruppenrechte verwalten und zum Beispiel auf Basis von IP-Adressen freigeschalten. Sie sind sinnvoll, wenn Anwendungen temporär für eine externe Anwendergruppe freigegeben werden sollen.

NetMan umfasst eine eigene Rechte- und Benutzerverwaltung. Diese übernimmt einerseits die Netzwerknamen der aktiven Benutzer und Stationen automatisch in die eigene Datenbank, andererseits eröffnet sie die Möglichkeit, das Recht auf eine Konfiguration nicht nur an den Netzwerknamen zu binden. Wahlweise kann sie auch an den Namen der Arbeitsstation, verschiedene Objekttypen im Active Directory, eine LDAP-Definition sowie die diversen Gruppen und Profile innerhalb der NetMan-Datenbank gekoppelt werden.

Monitoring und Usage-Tracking

Über den integrierten NDM Monitor hat der Administrator den Überblick über alle beteiligten Server, angemeldete Stationen und gestarteten Anwendungen. Er kann über die Monitor-Liste Anwendungen stoppen, Clients neu starten oder Anwendern mittels Remote-Unterstützung helfen.

Bisher konnte NetMan Desktop Manager nur Lizenzen von Software überwachen, die auf dem Server installiert wurde. Die Version 5 deckt nun auch lokal installierte Programme ab. Das Feature umfasst dazu ein Usage Tracking, mit dem sich der tatsächliche Bedarf an Lizenzen für bereitgestellte Applikationen anhand empirischer Daten ermitteln lässt.

Das erweiterte Lizenz-Management wird um eine Programmkontrolle ergänzt, die nun ebenfalls auf die lokalen Anwendungen ausgedehnt wurde. Diese verhindert, dass Benutzer unerwünschte Programme starten, indem sie diese auf Prozessebene blockiert. Die Definition kann alternativ auch so gewählt werden, dass ausschließlich erwünschte Programme gestartet werden können. Somit besteht die Wahl zwischen einem Black- und einem White-Listing.

Lizenzierung und Preise

Das Lizenzmodell gleicht jenem für Windows 2003 Terminal Server: Jede Arbeitsstation (Fat Client oder Thin Client), die auf Anwendungen zugreift, die durch NetMan Desktop Manager bereitgestellt wurde, benötigt eine Lizenz (Per-Device-Lizenzierung). Diese ist an die jeweilige Arbeitsstation gebunden, jedoch unabhängig von deren Benutzer(n).

Lizenzen können im 5er-Paket für 699 Euro oder im 20er-Paket für 1399 Euro erworben werden. Erweiterungs-Pakete fallen günstiger aus: 5 weitere User kosten 249 Euro, für das 50er Erweiterungspaket sind es 1.990 Euro. Damit bleibt NDM unter den Preisen von Citrix XenApp. Die RDP-Beschleunigungstechnik NDM Remote Desktop Acceleration muss jedoch mit nicht gerade günstigen 59 Euro pro User separat berappt werden.

Fazit

Die lange Feature-Liste von NetMan Desktop Manager und ihr Vergleich mit Windows Server 2008 R2 (PDF) belegt eindrucksvoll, wie groß der Bedarf an ergänzenden Produkten für den Microsoft Terminal-Server nach wie vor ist. NetMan schließt dabei nicht nur Lücken bei Funktionen und Sicherheitsaspekten, sondern verbessert das Anwendungs-Management durch nützliche Tools und verhilft Anwendern zu einem deutlich verbesserten Benutzererlebnis auf einer größeren Anzahl von Endgeräten.

Dem Hersteller gelingt es dabei, nicht bloß einzelne Aspekte zu optimieren, sondern ein Gesamtpaket abzuliefern, welches das gesamte Thema der zentralen Applikationsbereitstellung abdeckt.

Aufgrund der einfachen Installation und Bedienung einerseits, und durch mächtige Konzepte wie HA und Load Balancing andererseits eignet sich das Programmpaket für kleine wie auch große Installationen und Umgebungen.

Plus und Minus

Pro

• Einfache Installation und Bedienung
• Betriebssystem-übergreifende Client-Unterstützung: Windows, Linux, Java, Thin Client, Android- und iOS-Devices
• Bis ins Detail ausgearbeitete Programmfunktionen, inklusive umfangreichen Debugging- und Monitoring-Tools
• Berücksichtigt gleichermaßen zentrale wie lokale Anwendungen und ermöglicht zentralisierte Softwareverteilung inklusive benutzerbezogener Einstellungen
• Effektive Arbeitsbeschleunigung für Clients
• Sehr ausführliche Dokumentation on- und offline inklusive technischen und konzeptionellen Hintergrundinformationen
• Außer einem virtuellen PDF-Drucker ist keine Optimierung für das Drucken am Client vorgesehen

Contra

• Außer einem virtuellen PDF-Drucker ist keine Optimierung für das Drucken am Client vorgesehen