20080708y Frontrange Betriebssystem-Migration auf Vista

»manage it« als

E-Paper 5-6 2011
E-Paper 3-4 2011
E-Paper 1-2 2011
E-Paper 11-12 2010
E-Paper 9-10 2010
E-Paper 7-8 2010
E-Paper 5-6 2010

Betriebssystem- und Applikations-Rollout unter Windows Vista

Betriebssystem-Migration

Die Zeichen stehen auf »Vista«: Mit dem Release des Service Packs 1 hat das aktuelle Microsoft Betriebssystem einen Reifegrad erreicht, der Branchenexperten und zusehends auch eingefleischte Skeptiker in Unternehmen überzeugt. Für viele IT-Abteilungen steht jetzt mit etwas Zeitverzögerung das Thema Betriebssystem-Migration vor der Tür, zumal sich ein Ende des XP-Supports außerhalb von Mini-Laptops immer deutlicher abzeichnet.

on seinen Vorgängern unterscheidet sich Windows Vista durch eine Reihe neuer Features, seine architektonische Modularität und das Imaging-Format. Diese Neuerungen bieten Möglichkeiten zur Effizienzsteigerung beim Rollout von Betriebssystem und Applikationen, stellen aber auch erweiterte Anforderungen an die Unterstützung durch Client Lifecycle Management beziehungsweise Operating System Deployment (OSD).

WIM-Images vereinfachen OS-Rollout

Zu den wichtigsten Neuerungen beim OSD von Windows Vista gehört mit Sicherheit das verwendete Windows Imaging Format (WIM). WIM enthält – ähnlich wie andere Disk-Image-Formate – ein Set von Dateien sowie dazugehörige Metadaten des Dateisystems. Im Gegensatz zu Sektor-basierten Formaten (z.B. ISO) ist WIM aber Datei-basiert, d.h. die kleinste Informationseinheit ist eine Datei. Die Verwendung des WIM-Formats bringt für die Betriebssystemverteilung einige Vorteile mit sich: Die Images sind Hardware-neutral, sodass selbst für verschiedene Hardware-Konfigurationen ein einziges Image ausreicht. Andererseits wird durch Kompression und ein Single-Instancing-Verfahren die Größe der Images erheblich reduziert. Beim Single Instancing wird jede Datei nur einmal gespeichert und danach im Dateisystem referenziert. Umfassen also beispielsweise die Images A, B und C alle Datei 1, so wird Datei 1 lediglich einmal gespeichert. Je mehr Gemeinsamkeiten Images miteinander haben, desto weniger neue Daten müssen tatsächlich hinzugefügt werden. Ohne ein neues Image erstellen zu müssen, können darüber hinaus Betriebssystemkomponenten, Patches und Treiber per Offline-Bearbeitung hinzugefügt oder entfernt werden. Unter Windows XP beanspruchte die Aktualisierung eines Images leicht mehrere Stunden, ein WIM-Image ist hingegen innerhalb von Minuten angepasst.

Abwägungen zwischen Zeit und Sicherheit beziehungsweise Image und Unattended-Installation werden durch das WIM-Format überflüssig. Beim OSD von Windows Vista kommt auf jeden Fall ein Image zum Einsatz, das aber über eine XML-Datei angepasst werden kann. Dazu muss das Lifecycle Management die Verwendung von WIM-Images als Installationsquelle vollständig unterstützen. Werden die WIM-Images für das Deployment erst umständlich in andere Formate repaketiert, erschwert das den Rollout-Prozess. Für Unternehmen könnte es sich auszahlen, bis jetzt mit Vista-Migration gewartet zu haben, denn mittlerweile haben die Hersteller von Lifecycle Management Lösungen ihre Hausaufgaben gemacht. So gab zum Beispiel Front Range Solutions im Februar dieses Jahres die native WIM-Unterstützung durch seine Enteo v6 Produkte bekannt. Größere Flexibilität beim Vista-Rollout erzielen Unternehmen zudem, wenn das Lifecycle Management den Einsatz von Windows PE 2.0 als Boot-Umgebung ermöglicht. Windows PE ist der leistungsstarke DOS-Nachfolger für das Betriebssystem-Rollout, der unter anderem die Installation über das Netzwerk sowie das Ausführen von Diagnose-Programmen wesentlich erleichtert.

UAC muss unterstützt werden

Mit Windows Vista hat Microsoft eine Sammlung neuer Infrastrukturtechnologien eingeführt, die eine bessere Verwaltung von Desktops und größeren Schutz vor Malware bieten sollen. Die unter dem Namen UAC (User Account Control) bekannt gewordenen Technologien haben sich durch wiederholte und von Anwendern als lästig empfundene Consent-Abfragen schnell zu einem der größten Kritikpunkte an Windows Vista entwickelt. Unabhängig davon ist unzweifelhaft ein Sicherheitsgewinn zu verbuchen: Windows Vista kennt zwei Benutzerarten, Standard und Administrator. Startet ein Anwender eine Applikation, werden seine administrativen Rechte und sein Zugriffs-Token angewandt. Soll nun eine Aufgabe ausgeführt werden, für die administrative Rechte zwingend notwendig sind – zum Beispiel die Installation einer Anwendung – benachrichtigt Windows Vista den Benutzer und fragt entweder entsprechende Anmeldeinformationen oder eine Zustimmung per Consent-Abfrage ab. Das hierfür verantwortliche UAC Group Policy Object (GPO) heißt Admin Approval Mode. Die Abfrage wird immer angezeigt, selbst wenn der Benutzer ein Mitglied der lokalen Gruppe Administratoren ist. Dies liegt daran, dass Administratoren ebenso als Standardbenutzer arbeiten, bis eine Anwendung oder Systemkomponente administrative Rechte benötigt.

Dieser Prozess kann unerwünschte Änderungen an den Systemeinstellungen wirkungsvoll verhindern, gleichzeitig stellt er eine Hürde für die Applikationsverteilung per Lifecycle Management dar. Als problematisch erweist sich vor allem die Installation des Management Agents auf dem Client, wenn das Lifecycle Management unzureichende Unterstützung für UAC bietet. Verfügt der Anwender nicht über ausreichende Rechte, kommt eventuell zu Problemen während der Installation mit Benutzer-Abfragen, die manuell bestätigt werden müssen. Das läuft natürlich dem Sinn und Zweck einer zentralisierten und automatisierten Verteilung entgegen. Daher müssen Unternehmen besonderes Augenmerk auf die vollständige UAC-Unterstützung durch das Lifecycle Management legen.

Neben dem Admin Approval Mode hat vor allem die sogenannte File & Registry Virtualization nach der Einführung von Windows Vista Fragen aufgeworfen, da scheinbar ein Paradox geschaffen wird: Mit diesem UAC GPO erhalten Anwender auch bei eingeschränkten Benutzerrechten mehr Handlungsspielraum, zum Beispiel bei der Änderung von WLAN- oder VPN-Verbindungen, Zeitzonen usw. Zudem ist es möglich, mehr Anwendungen auszuführen, die auf den HKey_Local_Machine-Ordner in der Registry zugreifen. Dazu werden Kopien der Systemdateien und -ordner angelegt, auf die Schreibzugriffe erfolgen.

Obwohl tiefgreifende Veränderungen am System somit nicht möglich sind, kann die File & Registry Virtualization für Unternehmen unerwünschte Auswirkungen haben: Anwender können fast beliebig Software auf dem Client installieren, wenn auch nur virtualisiert. Um die File & Registry Virtualization zu vermeiden, muss die unter Windows Vista verwendete Software entweder von Haus aus UAC-compliant sein oder im Falle von Legacy-Applikationen nachträglich UAC-compliant konfiguriert werden. Dieses Problem muss auf Seiten des Lifecycle Managements gelöst werden, um Anwendungs-Inkompatibilitäten mit den Erweiterungen von Windows Vista zu vermeiden. Die Hersteller von Lifecycle Management Systemen hatten bereits ausreichend Zeit, um mit verschiedenen Lösungsansätzen zu reagieren. Ein Beispiel ist die native Unterstützung der File & Registry Virtualisierung von Front Range Solutions. Grundsätzlich ist durchaus fraglich, ob die GPO File & Registry Virtualization wegen ihrer unerwünschten Effekte im Unternehmenseinsatz nicht permanent deaktiviert bleiben sollte.

Vista erfordert detaillierte Inventarisierung

Windows Vista stellt höhere Hardware-Anforderungen. Daher benötigen Unternehmen im Vorfeld einer Migration detaillierte Informationen über die bestehenden Systeme, um die Kosten realistisch kalkulieren zu können. Nicht alle in Unternehmen verbreiteten Applikationen sind Vista-kompatibel – diese Kostenfallen müssen ebenfalls vor einer Migration identifiziert werden. Selbst nach einer erfolgreichen Betriebssysteminstallation stellt die Applikationsverteilung unter Windows Vista ganz eigene Anforderungen an das Lifecycle Management: Windows Vista wird in 32- und 64-Bit Versionen sowie unterschiedlichen Kombinationen ausgeliefert. Für die Applikationsverteilung ist es natürlich von entscheidender Bedeutung, dass die Lifecycle-Management-Lösung das OS korrekt erkennt – was noch nicht allen Produkten gleichermaßen gelingt.

Das Problem wiederholt sich beim automatisierten Patch-Management, das ebenfalls auf zuverlässige Unterscheidungen zwischen 32- und 64-Bit angewiesen ist. Hier versteckt sich ein weiteres potenzielles Problem: Manche Lifecycle-Management-Lösungen verwenden einen proprietären Agent für die Installation. Microsoft hat mehrfach die Möglichkeiten des Patch-Managements und den Installationsmechanismus geändert und behält es sich vor, dies auch zukünftig zu tun. Vor diesem Hintergrund erscheint es ratsam, beim Patch-Management auf proprietäre Agents zu verzichten und stattdessen Standardtechnologien (Microsoft Update Agent) für die Installation zu nutzen.

Resümee

Windows Vista bietet mit seiner Modularität und Datei-basierten Images interessante Optionen für das Operating System Deployment – wenn die Neuerungen durch das eingesetzt Lifecycle Management-System vollständig unterstützt werden. Die Hersteller hatten seit der Einführung des Betriebssystems genügend Zeit, um die Weiterentwicklungen zu integrieren, deshalb sind Workarounds in diesen Bereichen nicht mehr zu akzeptieren. Auch Aspekte wie UAC, die zunächst noch Probleme darstellten, können und sollten heute durch das Lifecycle Management gelöst werden. Der Migration auf Windows Vista steht aus Perspektive der Betriebssystem- und Anwendungsverteilung daher nichts mehr entgegen.

Stephan Glathe

_____________________________________________________________________

Stephan Glathe, Vice President of Infrastructure Management Engineering

Front Range Enteo Client Lifecycle Management bietet vollständige Vista Unterstützung oder Vista wird als Plattform vollständig durch Front Range unterstützt.

Folgen Sie »manage it«

auf Google+

Vista erfordert detaillierte Inventarisierung

Copyright © 2003-2012 ap Verlag GmbH