Empirum 14 im Test: Verwalten von physischen und virtuellen Clients

Viele Desktops zu verwalten funktioniert nicht ohne Automatisierung und ausgefeilte Werkzeuge. Dies gilt ganz besonders, wenn zu den physikalischen noch virtuelle Desktops hinzukommen. Matrix42 hat mit der Version 14 seines Workplace Automation Produkts Empirum als einer der ersten Hersteller eine einheitliche Verwaltung umgesetzt.

Unternehmens-Desktops – egal ob physisch oder virtuell, fat, thin oder mobil – bedürfen ausgiebiger Pflege über ihren gesamten Lebenszyklus hinweg. Sind mehr als einige Dutzend solcher Systeme im Netz, bedarf es einer automatisierten Verwaltung. Dabei geht es um weit mehr als Softwareverteilung. Produkte für PCCLM (PC Configuration Lifecycle Management) zentralisieren das weitgehend automatisierte Management von Inventarisierung, Betriebssystem-Installation, Patch-Management, Fernwartung und –steuerung sowie Backup, User-Profil-Management und Client-Migrationen.

Neue Client-Vielfalt

Dabei wachsen durch neue Infrastruktur-Technologien die Anforderungen an deren Verwaltung enorm, unter anderem durch die große Vielfalt an verschiedenen Endgeräten. Das Management und die Automatisierung aller Bereitstellungsmethoden für mobile Geräte, virtuelle Desktops, Server Based Computing und klassischer Fat Client PC spielt dabei eine immer wichtigere Rolle.

Das Lifecycle Management muss daher ebenso in virtuellen Umgebungen funktionieren, z.B. bei der Migration aus physischen in virtuelle Umgebungen oder durch die Ergänzung virtueller Komponenten. Gerade hier hapert es bislang am Markt.

Mit Empirum v14 stellt Matrix42 nun eine neue Version seines Tools vor, das all diese Ansprüche mit Hilfe eines Pakets bedienen möchte. Wichtigste Neuerung: Mit der Unterstützung für VDI können virtuelle und physische Clients über eine einheitliche Konsole gesteuert und automatisiert werden.

Großer Produktumfang

Empirum ist wie viele Vertreter seiner Zunft eine Sammlung zahlreicher Funktionspakete für alle Aufgaben des Client-Managements, bei dem sämtliche Funktionen in einer zentralen Konsole zusammengeführt werden.

Empirum kann die Endgeräte wie PCs, aber auch bestimmte Mobilgeräte, sowie Server und virtuelle Infrastrukturen (Hypervisor) kontrollieren, inventarisieren, sowie mit neuer Software und Patches versorgen. Dabei werden die gängigen Windows-Plattformen sowie einige Linux-Versionen unterstützt.

Empirum besteht aus den Modulen:

• Inventarisierung von Hardware und Software (Matrix42 Inventory)
• Software- und Patchverteilung sowie Paketierung (Matrix42 Softwaremanagement)
• Installation von Betriebssystemen und Hypervisoren (Matrix 42 OS Installer)
• Sichern und wiederherstellen von persönlichen Daten und Einstellungen der Benutzer (Matrix42 Personal Backup)
• Integration von XenApp
• Schnelle System-Wiederherstellung und Disaster Recovery mit Matrix42 Easy Recovery
• Treiber-Erkennung auf Basis einer integrierten Treiberdatenbank, die von Matrix42 bereitgestellt und gepflegt wird und vom Administrator selbständig ergänzt werden kann.
• Fernwartung (Matrix42 Remote Control)

Empirum kann optional zu einer umfassenden IT-Service-Lösung für das gesamte Unternehmen erweitert werden: Mit dem ITIL-konformen Service-Katalog können Anwender Applikationen und komplette Arbeitsumgebungen (physisch oder virtuell) in einem einfach zu bedienenden Online-Portal selbst bestellen, bei gleichzeitiger Abwicklung der Genehmigungsprozesse und automatischer Lizenzkontrolle. Ein Service-Desk System rundet das Angebot ab, das Service Office kümmert sich um Compliance.

Einheitliche zentrale Management-Konsole

Die zentrale Konsole ermöglicht ein richtlinienorientiertes Management und rollenbasierte Administration. Die Konsole ist als Windows-Programm sowie als Web-GUI verfügbar, die sich dank AJAX-Techniken fast wie die Desktop-Anwendung verhält.

Die Zusammenstellung der Komponenten erfolgt über Drag-und-Drop der Geräte und Softwarekomponenten. Die Zuweisung der Konfiguration zu Unternehmenseinheiten und Usern kann über flexible frei definierbare Gruppen vorgenommen werden.

Administration von physischen und virtuellen Desktops

Empirum automatisiert nicht nur das Aufsetzen von Client-Geräten. Mit dem neuen Addon-Paket „Matrix42 für Citrix XenApp und Citrix XenDesktop“ lassen sich aus seiner Konsole heraus komplette Virtualisierungs-Infrastrukturen für das Hosting virtueller Maschinen und Desktops automatisiert einrichten, konfigurieren und updaten.

So installiert Empirum mit wenigen Klicks neben der kompletten grundlegenden Hypervisor Hosting Infrastruktur auch alle XenDesktop-Komponenten wie den Desktop Delivery Controller (DDC), den Provisioning Server und generiert die benötigten Desktop-Pools. Selbiges gilt auch für das Aufsetzen kompletter XenApp-Farmen. Für die Standard-Verwaltung dieser Umgebung muss der Administrator im Prinzip nie die Empirum Konsole verlassen.

XenApp-Server können auch in ihren Grundfunktionen (Starten, Stoppen usw.) von Empirum gesteuert und mit Updates betankt werden. Empirum kann außerdem Wartungsfenster innerhalb der Farm etablieren. Dabei werden Updates und Patches automatisch nacheinander auf XenApp-Server verteilt, welche in den Maintenance-Modus versetzt werden, während der Rest der Farm den normalen Produktivbetrieb aufrecht erhält.

Die Empirum VDI Management-Lösung umfasst:

• XenApp Farm-Management
• XenDesktop Management
• Generierung und Patching von VHD-Images inklusive Integrierter Test- und Freigabeprozesse für VHD Images
• Installation, Update und Provisionierung von Citrix XenServer 5.x, VMware vSphere/ESX, Citrix XenApp 5 und Citrix XenApp 6 Servern
• Integriertes Packaging Center für Citrix XenApp Application Publishing
• Integriertes Management von Citrix XenDesktop Pools
• Self-Service durch Endnutzer für virtuelle Citrix Desktops und Citrix XenApp
• Lizenz- und Asset-Management für Citrix XenDesktop und Citrix XenApp

Management von XenApp und XenDesktop

Das integrierte Empirum Packaging Center dient dem Management der Applikations-Virtualisierung. Dabei werden alle Kanäle bedient: Publishing via XenApp-Streaming, als Managed Application oder als Virtual Desktop. Das Ganze erfolgt in einem integrierten Prozess: Die Anwendungssoftware wird in das Empirum Management importiert, paketiert und kann dann per Drag and Drop in der Konsole an die Clients verteilt werden.

Seine Stärken spielt Empirum als Management-Erweiterung für Citrix XenDesktop aus. Empirum macht von seiner zentralen Konsole aus die sonst aufwändige und sperrige Installation und Verwaltung von XenDesktop bis hin zur Steuerung der virtuellen Desktops zu einer überschaubaren Aufgabe.

Der übliche Ablauf eines VDI-Rollouts erfolgt in diesen Schritten:

1. Hypervisor Hosting Infrastruktur aufsetzen.
   Hierfür stehen XenServer oder VMware ESX zur Wahl. Diese hosten später die virtuellen Desktops auf Basis von XenDesktop.
2. Golden Master erstellen für virtuellen Desktop
   • Neuen PC (als virtuelle Maschine) via Empirum generieren mit den gewünschten Eckdaten, z.B. Windows 7 mit vordefinierten Applikationen und Patches.
   • Mittels VHD-Image-Tool von diesem ein Golden Master Image erstellen.
   • VHD-Class zuweisen oder neu erstellen.
   • Dieser Generierungsprozess installiert automatisch auch den im Client benötigten Desktop-Agent, Citrix Target Device Driver, VMware- bzw. XenServer-Tools.
3. Desktop Pool generieren
   • Der Administrator generiert einen neuen Desktop-Pool und wählt dafür den Desktop Delivery Controller, Provisioning Server und den gewünschten Hypervisor in der Empirum Konsole aus.
   • Jedem Desktop Pool ist ein bestimmtes Master Image / Betriebssystem Image zugeordnet. Dafür weist der Administrator die vorab für den Golden Master definierte Image Class zu.
   • Berechtigungen für die Benutzer vergeben.
   • Virtual Desktops definieren: Wie viele Desktops sollen erstellt werden. Master-Image und Storage-Ort zuweisen.
   • Empirum legt nun alles automatisch an, bis hin zu den benötigten Konten im AD und den Gruppen im Delivery Controller.
4. Benutzen
   • Die virtuellen Maschinen werden nun automatisch hochgefahren und können von den dafür zugelassenen Anwendern genutzt werden. Wirklich sinnvoll ist das meistens aber nur im Zuge einer Migration der Anwenderdaten und der Applikationen.
   • Ist der Matrix42 Service Katalog im Einsatz, kann der Anwender über diesen einen virtuellen Desktop bestellen. Nach der Budgetfreigabe wird der virtuelle Desktop bzw. die virtuelle Anwendung nach den Vorgaben der IT-Administratoren vollautomatisch konfiguriert und ist blitzschnell im Rahmen eines standardisierten und mechanisierten Prozesses einsatzbereit.

Migration Physical-to-Virtual

Für die Migration von physischen Geräten auf virtuelle Desktops sieht Empirum eine P2V-Migration auf Basis des Personal Backup Programms vor, und zwar in Verbindung mit zentralem Application Publishing. Im Rahmen einer Migrations-Strategie von physischen Geräten auf virtuelle Desktops wird zunächst Personal Backup auf den Alt-Systemen konfiguriert und das Backup anschließend durchgeführt.

Personal Backup erlaubt dabei eine sehr komfortable Konfiguration der zu sichernden Einstellungen für Windows-Konfigurationen, Benutzer-Daten und Anwendungen. Für viele Anwendungen wie z.B. Internet Explorer oder Microsoft Office sind bereits Konfigurationstemplates der wichtigsten Einstellungen vorhanden.

Aus der Empirum Konsole kann der Administrator anschließend Personal Backup anweisen, beim ersten Starten des virtuellen Desktops für den jeweiligen Benutzer zunächst alle Einstellungen zurückzusichern.

Empirum verfügt nicht über ein zentralisiertes bzw. virtualisiertes User-Profile-Management. Die Migration muss daher entweder ebenfalls über Personal Backup oder über spezialisierte Dritt-Produkte erfolgen. Bei virtuellen Desktops müssen die Profile dabei in Server-basierten Profilstrukturen abgespeichert werden, damit sie netzwerkweit zur Verfügung stehen.

Application Publishing und Applikations-Virtualisierung

Um eine wirklich flexible und effektive VDI-Umgebung zu definieren, bietet Empirum mit dem Packaging Center die Möglichkeit, Anwendungen zentral zu definieren, zu paketieren und zu verteilen.

Dies kann beispielsweise über das XenApp Application Streaming erfolgen. Der Empirum Administrator generiert hierfür einen XenApp-Server oder gleich eine XenApp-Farm, um die Infrastruktur für App-Streaming aufzusetzen. Die gewünschten Softwarepakete stehen dann in Empirum als prepackaged Apps ohne Paketierung sofort für das Streaming bereit. Anschließend muss der Administrator lediglich die Zuweisung der Anwendungen zu den virtuellen Desktops bzw. den Anwendern vornehmen.

Integriertes VHD-Management

Um den Lebenszyklus der virtuellen Desktops effizient zu verwalten, besteht eine der Hauptaufgaben der Administratoren darin, sich um die Pflege der Golden Master Images zu kümmern, welche als VHD-Dateien im XenDesktop-System abgelegt sind.

Empirum unterstützt ihn dabei direkt aus der zentralen Konsole heraus:

• Der Administrator kann aus beliebigen Clients bzw. PCs auf Knopfdruck VHD-Dateien abziehen, um deren Stand in ein virtuelles Image zu verwandeln.
• Mittels der Gruppierung über die sog. VHD-Classes kann er dabei mehrere Versionen eines Images managen und gruppieren, z.B. nach Betriebssystemen, Abteilungen oder Zielgruppen im Unternehmen.
• Zudem integriert das Empirum-VHD-Tool einen automatisierten mehrstufigen Test- und Freigabeprozess mit unterschiedlichen Stati der jeweiligen VHDs, von „Testing“ bis „Produktiv“. Verwendet wird dann automatisch immer nur diejenige VHD-Version, welche zum jeweiligen Status des Desktop-Pools passt. Dies minimiert Risiken bei Änderungen an den Golden Mastern und deren Ausrollen.

Der entscheidende „Patch-Prozess“, bei dem der Administrator kontinuierlich für einen aktuellen Zustand des Images sorgt, ist dabei transparent gelöst: Der Client, der dem Golden Master zugrunde liegt, bleibt für den gesamten Lifecycle bestehen. Dieser wird wie jeder andere Client seitens Empirum mit Patches, Updates und Software versehen. Sollen die darauf basierenden virtuellen Maschinen auf den jeweils neuesten Stand gebracht werden, generiert der Administrator einfach von dem Golden Master Client eine neue VHD. Beim nächsten Booten des virtuellen Desktops gilt dann je nach gewähltem Auslieferungszustand (Prod/Test/Dev) die jeweilige neue VHD-Version.

Automatisierte Windows-7-Migration

Empirum eignet sich aufgrund seiner Eigenschaften auch für Migrationen auf Windows 7. Die derzeit massenhaft bei Unternehmen anstehenden Umstellungsprojekte haben laut Gartner den Markt der PCCLM-Produkte in Bewegung gebracht. Anwender mit veralteten Tools migrieren auf neue Versionen; solche, die bislang noch kein Client-Management eingesetzt haben, erwägen nun, ein entsprechendes Produkt zu erwerben. Gleichzeitig stellt ein solches Migrations-Vorhaben eine ausgezeichnete Chance dar, die gesamte PC- und Desktop-Strategie zu überdenken und neu aufzustellen, ggf. unter Berücksichtigung aktueller VDI-Ansätze.

Empirum berücksichtigt bei der Migration auf Windows 7 folgende Prozess-Schritte:

• Discovery existierender Hardware und Software: auf Basis einer automatischen Inventory-Auswertung sowie gemessener Applikations-Nutzung kann eine fundierte Entscheidung darüber getroffen werden, welche Hardware weiterverwendet werden kann und ob bestimmte Geräte abgeschafft und die betreffenden Desktops auf VDI umstellt werden. Bei der Migration werden dann eventuell andere Anwendungen bereitgestellt als vorher.
• Analyse: Im Rahmen eines Windows 7 Applikations-Checks wird automatisiert geprüft, welche Anwendungen migriert werden können und welche evtl. nicht. Hierfür liefert Matrix42 mit der Prüfsoftware Changebase AOK ein Werkzeug, welches die Applikations-Bibliothek des Unternehmens auf Win7-Verträglichkeit testet und bei erkannten Problemen konkrete Hilfestellung leistet.
• Applikations-Virtualisierung: Inkompatible Applikationen können paketiert werden, um sie virtualisiert auszuliefern.
• Test: im Rahmen virtueller Desktops können die Migrations-Szenarien einfach und gefahrlos getestet werden.
• Deployment: automatisiertes Rollout. Durch das integrierte Alerting und Compliance Reporting profitiert die gesamte Migration von hoher Transparenz und Kontrolle.

Konkret führt der Administrator mittels Empirum diese Schritte für eine Windows 7 Migration durch:

1. Im mittleren Panel der Empirum Konsole stellt er seine Zieldefinition für die Windows 7 Landschaft zusammen: Gruppen, Geräte, Anwendungen, Patches.
2. Personal Backup installiert und konfiguriert er per Softwareverteilung auf den alten Rechnern, um darüber die Konfiguration und Daten des Anwenders zentral zu sichern.
3. Den Ziel-Rechnern - dies können neue oder alte Geräte aber auch virtuelle Desktops sein – weist er in Empirum die zuvor erstellte Windows 7 Konfiguration zu und startet das Rollout.
4. Empirum passt dann die User-Konfiguration aus Personal Backup für das Zielsystem an und spielt sie zurück.

Werden bei der Rollout-Konfiguration Desktop-Pools als Zielsysteme definiert, erfolgt zugleich mit der Windows 7 Migration eine automatische Umstellung auf eine VDI-Infrastruktur.

Der Administrator kann den Zeitpunkt der Migration selbst bestimmen – dabei werden die Rechner neu gestartet und über den Software-Agenten mit dem Windows 7 Image "betankt". Alternativ kann im Rahmen eines Self Provisioning der jeweilige User selbst über den Zeitpunkt der Neuinstallation entscheiden, z.B. nachdem er abends das Büro verlässt.

Technik von Empirum

Wie bei praktisch allen Client-Management-Tools werden die von Empirum verwalteten Geräte, seien es Clients oder Server - per PXE-Boot aus dem LAN gestartet, damit beim Neustart anstehende Empirum-Kommandos – z.B. Neuinstallation des Betriebssystems – ausgeführt werden.

Auf dem Client-Gerät wird außerdem eine Agent-Software eingerichtet. Diese ist für die Kommunikation mit dem Management-System zuständig, liefert Geräte-Informationen über Hardware und Software und führt zentral ausgelöste Kommandos aus, etwa Software- oder Patch-Installationen. Die Ferninstallation von Windows erfolgt mittels WinPE in Kombination mit dem Linux-basierenden Empirum PE, welches für Betriebssysteminstallationen auf den Clients zuständig ist.

Bei der Neu-Installation eines Windows-Clients wird auf Basis der automatischen Hardware-Erkennung auf die passenden Treiber aus der integrierten Treiber-Datenbank zurückgegriffen. Diese Datenbank pflegt Matrix42 fortlaufend für seine Kunden. Sie kann vom Administrator selbständig um eigene Treiber ergänzt werden. Zudem kann er Treiber mit anderen Matrix42-Anwendern online im Rahmen einer „Driver-Cloud“ austauschen.

Die Einrichtung der Matrix42 Software ist grundsätzlich unproblematisch. Matrix 42 schreibt vor, dass das neue WAIK von Windows Server 2008 und Windows 7 nicht installiert werden darf.

Ein Windows Server 2003 oder 2008 mit 2 GHz CPU, 4 GB RAM und 40 GB Platz auf der Platte reicht für den Betrieb aus. Als Datenbank wird MS SQL Server 2005 oder 2008 vorausgesetzt oder als Express-Version mitgeliefert.

Client-Betriebssysteme

Empirum unterstützt alle Microsoft Windows Betriebssysteme ab Windows XP Service Pack 3 (32-bit / 64-bit). Außerdem ist Linux-Support an Bord für Novell SUSE Linux Enterprise Desktop 10/ 11 (32-bit / 64-bit), SUSE Linux Enterprise Server 10/11 (32-bit / 64-bit) und Red Hat Enterprise Linux Server/ Desktop 4 / Desktop 5.5 (32-Bit / 64-Bit).

Beim Mobile Device Management und bei Apple-Systemen fällt die Unterstützung dünner aus, an Smartphone-Systemen werden bislang lediglich Windows CE 5.0,Windows Mobile 5 und 6.x verwaltet, Android, iPhone und Co. leider (noch) nicht. Mac OS X 10.4 bis 10.6 (Snow Leopard) sowie Sun Solaris 9 können immerhin inventarisiert werden.

Preise und Lizenzierung

Der Preis für die Empirum Workplace Automation Suite liegt bei 55 Euro je verwaltetem Computer/Gerät und liegt damit im Wettbewerbs-Mittel. Das Paket enthält die Komponenten Inventory, Software Management, OS Installation, Personal Backup und Remote Control. Das Managementsystem für XenApp und XenDesktop (inkl. XenApp) lässt sich als Add-on integrieren, was den Basis-Preis um 30 bzw. 40 Euro erhöht. Staffelpreise (Volumenrabatte) sind verfügbar. Für die Wartung berechnet Matrix42 je nach Laufzeit zwischen 16 und 20 Prozent jährlich vom Lizenzpreis.

Bewertung

Pro

Contra

Hochgradig integrierte Systemkomponenten mit übersichtlicher Verwaltung in zentraler Konsole, auch webbasiert Einheitliche durchgehende Administration physischer wie virtueller Ressourcen Stark vereinfachtes Management der gesamten Virtualisierungs-Infrastruktur Komplette Lifecycle-Unterstützung, welche sich optional mit einem Service-Katalog verbinden und in einen Service-Desk einbinden lässt. Die Konsole macht alle angestoßenen Jobs sehr transparent, unter anderem auch durch intensive Protokollierung, Empirums "Rollout Coordination" beispielsweise hilft bei der Überwachung aller OS- und Software-Verteilungs-Jobs.

Mageres Management von mobilen Geräten (MDM), so fehlen z.B. Android, Blackberry und iPhone Für MAC OSX Clients ist nur Inventarisierung verfügbar Kleine Schwächen in der Konsolen-GUI: Im Desktop Pool Wizard sind teilweise Angaben von Hand erforderlich (Template, Storage)