Parallels Management Suite 1.5 im Praxistest
Macs im Windows-Netz
Nicht nur bei der Verwaltung mobiler Geräte sehen sich Administratoren gefordert. Auch die stetig zunehmende Zahl von Mac-OS-X-Rechnern im Unternehmensnetzwerk erweist sich oft als Problem. Mit der Parallels Management Suite 1.5 stellen wir ein Werkzeug vor, das die Client-Verwaltung mittels Microsoft SCCM auf Mac-Systeme erweitert.Apples Mac-Systeme sind nach vielen Jahren der Abstinenz wieder ins Unternehmensnetz zurückgekehrt: Stärker als je zuvor sehen sich nun die Administratoren mit Rechnern unter dem Unix-Abkömmling OS X konfrontiert. Die Gründe dafür liegen wohl in der technische Raffinesse der Systeme und deren smarter Benutzerführung wie auch einfach in der Vorliebe mancher Benutzer für diese Rechner. Für Systemverwalter ist jedoch eine Tatsache entscheidend: Diese Computer bringen das vorhandene Client-Lifecycle-Management (CLM) der IT-Abteilung reichlich durcheinander. Während Betriebssysteminstallation, Softwareausstattung und Konfiguration der Windows-Rechner heute gewissermaßen vollautomatisch ablaufen können, haben Administratoren mit den OS-X-Systemen des öfteren ihre liebe Not: Deren Benutzer machen auf den Systemen weitgehend, was sie wollen, und installieren Software nach eigenen Vorstellungen, doch die Systeme liefern keinerlei Inventardaten an das CLM zurück. Natürlich lassen sich Apple-Systeme in ihrer eigenen OS-X-Umgebung adäquat verwalten, doch können und wollen viele IT-Abteilungen eine solche nicht zusätzlich vorhalten müssen. Wer Macs in seiner Windows-Umgebung beispielsweise mit Microsofts SCCM (System Center Configuration Manager) 2012 verwalten willl, kann auf die grundsätzliche Unterstützung durch Microsoft setzen. Leider sind aber die Bordmittel, die Redmond für die Mac-Verwaltung mit dem ersten Service Pack für SCCM 2012 bereitgestellt hat, eher minimalistisch ausgefallen. Sie stellen keinesfalls eine qualitativ gleichwertige Unterstützung für Apple-Systeme dar, wie der Administrator sie für seine Windows-Systeme kennt. Der Anbieter Parallels, bekannt durch die Entwicklung einer Virtualisierungsplattform für Mac und Windows, hat sich dieses Problems angenommen und stellte vor Kurzem die erste Version seiner Parallels Management Suite vor. Im Frühsommer 2013 kam deren erste Aktualisierung in Form der Version 1.5 auf den Markt, die wir als Grundlage unseres Tests verwendet haben. Diese Management-Software erweitert Microsoft SCCM 2007/2012 durch einige Extensions, integriert sich in die Oberfläche der Verwaltungslösung und nutzt den SCCM-Proxy für die Verbindung zu den Mac-Agenten. Die Software arbeitet auf Server-Systemen mit Windows Server 2008 mit SCCM 2007 und höher, auf der Seite der Clients mit Mac OS X 10.6 und höher zusammen. An Funktionen bietet diese Erweiterung den SCCM-Administratoren die Suche nach Mac-Systemen im Netzwerk, Erstellung einer Inventarisierungsübersicht für Macs, Abbildung eines Software-Distribution-Points für OS X, Fernverwaltung und Unterstützung von Apple-Rechnern sowie die Bereitstellung einer grundlegenden Konfiguration im Sinne eines Profils. Der Hersteller hat zudem für die kommende Version 2.0 der Software, die Ende 2013 zur Verfügung stehen soll, die OS-X-Ferninstallation mit einer Image-Verwaltung angekündigt. Grundsätzlich besteht die Installation der Software aus der Vorbereitung des SCCM-Servers zur Verwendung von WebDAV, der Aktivierung der HTTP-Kommunikation für den Distribution Point und der Anpassung der Einstellungen des DCOM-Remote-Activation-Dienstes. Die vom Hersteller gelieferte PDF-Dokumentation in englischer Sprache erklärt die notwendigen Tätigkeiten Schritt für Schritt. Die Installation der Software selbst besteht danach nur noch aus einem Doppelklick auf ein Installationsprogramm. Lediglich die Konfiguration des Proxys erfordert vom Administrator, dass er einige Informationen zur Lokalisierung des System-Management-Servers eingibt und ein paar Änderungen in der Konfiguration der Windows-Firewall vornimmt. Wir haben für unsere Testinstallation ein Update von der ersten Version der Software auf die aktuelle Version 1.5 durchgeführt: Dieses Update bestand aus der Deinstallation der Ursprungsversion und dem anschließenden Einspielen der neuen Version. Weitere Anpassungen brauchten wir nicht mehr vorzunehmen. Client-Agent erforderlich Damit die Parallels Management Suite die Mac-Systeme verwalten kann, muss der Administrator zunächst sicherstellen, dass auf dem Mac lokal eine entsprechende Client-Komponente installiert ist. Diese steuert die Anpassung der Konfiguration und die Durchführung von Paketinstallationen. Die OS-X-Bordmittel allein wären im Zusammenspiel mit SCCM dazu nur bedingt in der Lage. Die Software unterstützt die klassischen Varianten, um diesen Client auf die Mac-Systeme zu verteilen: Neben der manuellen Installation unter Verwendung einer DMG-Datei können die Administratoren auch die Verteilung nach Identifizierung des Systems im Netzwerk auswählen. Welche IP-Bereiche der Administrator auf das Vorhandensein von OS-X-Rechnern absuchen lassen will, stellt er im Menüpunkt "Administration" im Zweig "Parallels Management Suite" ein: Hier wählt er im Objekt "Discovery Methods" aus. In diesem Fenster kann er zudem Benutzernamen und Passwörter für eine Push-basierte Client-Untersuchung hinterlegen. Das Fenster unterstützt glücklicherweise die mehrfache Eingabe von Benutzernamen für den Fall, dass sich Mac-Benutzer nur mit dem Vornamen anmelden. Was uns in diesem Zusammenhang weniger gefallen hat: Wir konnten zwar die Reihenfolge der Benutzeranmeldungen verändern, wenn dann aber mehrfach verwendete Vornamen aufgelistet wurden, ging sehr schnell der Überblick verloren. Hier wäre es sinnvoller, wenn die Software neben dem Benutzernamen noch einen Info-Text oder zumindest das Eingabedatum zur Unterscheidung der verschiedenen Benutzer auflisten würde. Im Register "Schedule" steuert der Administrator den Zeitpunkt, zu dem sich die Parallels-Software auf die Suche nach bisher nicht verwalteten Macs in den definierten Netzwerkbereichen macht. Hier stehen dem Anwender die typischen Einstellungsmöglichkeiten für eine sich wiederholende Aufgabe zur Verfügung. Durch die Voreinstellung des Fensters kann der Administrator ohne weitere Eingaben eine Suche starten. Die vom Hersteller laut Produktdokumentation bevorzugte Bereitstellungsstrategie ist jedoch die manuelle Installation unter Mac OS 10.6 und höher. In unserer Testumgebung stellte die manuelle Installation der Software unter 10.7 kein Problem dar: Einige Minuten nachdem wir den Client installiert hatten, erschienen im Programm die ersten Inventarisierungsinformationen. Auch die auf dem Client installierten Programme und Apps listet die Software korrekt auf. Das Inventarisierungsintervall legt der Administrator unter "Properties" fest. Keine Gruppenrichtlinien Wir haben unsere Testphase mit der Bereitstellung einer Grundkonfiguration gestartet. In Windows-Umgebungen nutzen Administratoren hier ganze Sätze von Gruppenrichtlinien und die Zuordnung zu Organisationseinheiten. Wer durch das Zusammenspiel von SCCM und Parallels eine ebenso fein granulierte Zuordnungsmöglichkeit für die Apple-Systeme im Netz erwartet, wird leider enttäuscht: Die OS-X-Konfigurationsprofile sind in ihren Möglichkeiten weitaus einfacher und eingeschränkter, als es Administratoren von den Gruppenrichtlinien unter Windows her gewohnt sind. Jedoch sind alle wichtigen Funktionen wie beispielsweise die Konfiguration von Apple Mail für Exchange-Umgebungen integriert, sodass die Einschränkungen für den primär in Windows beheimateten Administrator ein eher geringes Problem darstellen sollten. In der ersten Version der Management-Suite mussten Administratoren noch den Apple Profile Manager zur Erzeugung der Profileinstellungen auf einem Mac-Rechner nutzen. Diese Einstellungen konnten sie dann auf den SCCM kopieren und von dort aus verteilen. Das setzte jedoch immer voraus, dass der IT-Abteilung zu diesem Zweck ein entsprechendes Mac-System zur Verfügung stand. In der von uns getesteten Version 1.5 hat der Anbieter diese Fähigkeit zur Erstellung von Mac-Profilen nun direkt in die SCCM-Oberfläche integriert: Im Fenster "Assets and Compliance" wählt der Anwender die "Configuration Items", um so vorhandene oder neue Konfigurationseinstellungen zu bearbeiten. Dabei ist es an dieser Stelle wichtig, dass Systembetreuer nicht den herkömmlichen Dialog "Create Configuration Item" der SCCM-Software verwenden, sondern den "Create Parallels Configuration Item"-Befehl aus dem Kontextmenü. An dieser Stelle unterscheidet die Software zwischen "Mac OS X Configuration Profile", einzulesenden Konfigurationsdateien, "Filevault 2 Configuration Item" und den Einstellungen für Parallels-Desktop-VMs. Unter "Configuration Profile" legt der Administrator nun die Einstellungen für Zertifikate, Exchange, die Dock-Darstellung, Kalender- und Kontaktenutzung sowie die Netzwerkmerkmale an. Der Einsatz dieses Fensters wird sich den meisten Administratoren weitgehend von allein erklären. Uns erschienen allerdings einige Voreinstellungen wenig sinnvoll: So wird es in der Praxis kaum einen Nutzen für das direkte Einblenden des aktuellen Benutzernamens für die Exchange-Anbindung geben. Weitaus sinnvoller ist es an dieser Stelle, den Namen vom Benutzer abzufragen, während die Software den Domänennamen, den internen Exchange-Host und die SSL-Nutzung als voreingestellte Werte interpretiert. Eine Variablennutzung, mit der Administratoren die Einstellungen dynamisch durchführen könnten, sieht dieses Fenster leider nicht vor. Interessanterweise stellt SCCM die mit Parallels erzeugten "Configuration Items" für die Mac-Systeme unter "Device Type" mit dem Eintrag "Windows" dar. Glücklicherweise bietet die Software hier die Erstellung von Ordnern an. So können Systembetreuer sicherstellen, dass kein heilloses Chaos entsteht. Die Art und Weise, Konfigurationen zu verwalten, bleibt dem Administrator selbst überlassen: Er kann ein großes Profil erstellen und versuchen, dieses auf möglichst alle Macs anzuwenden oder aber viele kleinere Konfigurationselemente in den "Configuration Baselines" zusammenfassen. Hier kommen die Bordmittel von SCCM zum Einsatz: Die Software verteilt eine Konfigurationsänderung über eine Baseline an eine bestimmte Gruppe. Diese gilt dann innerhalb eines frei definierbaren Zeitraums von Minuten, Stunden oder Tagen. Um eine Änderung möglichst schnell auf dem Zielsystem zu sehen, kann der Systembetreuer einen Rechtsklick auf den jeweiligen Rechnernamen ausführen und den Befehl "Machine Policy Retrieval and Evaluation Cycle" auswählen. Wir haben dies im Testszenario ausprobiert, indem wir das "Dock" von OS X auf die linke Seite verschoben hatten. Nachdem wir dann den Rechtsklick ausgeführt hatten, wanderte das Dock auf dem Testsystem zur Seite, und in den Systemeinstellungen des Macs konnten wir den neuen Eintrag "Profiles" finden. In diesem Eintrag befindet sich die Historie der abgearbeiteten Kommandos für den jeweiligen Benutzer. Die Werte, die der Administrator über ein Profil eingestellt hat, kann der Benutzer an seinem Mac selbst nicht mehr ändern. Kann der Anwender allerdings diesen Profileintrag löschen, so verschwindet die Änderung bis zur nächsten Anmeldung oder bis zu dem Zeitpunkt, an dem der SCCM die Konfigurationseinstellung erneut aussendet. Einfache Softwareverteilung Die Bereitstellung von Softwarepaketen erfolgt komplett Wizard-gestützt, was die Erstellung eigener Pakete deutlich vereinfacht. Der Administrator muss dazu zunächst ein Paket erstellen und dieses mit einem Namen versehen. Es folgt die Auswahl der notwendigen Dateien, bei denen es sich in unserem Test um ein Parallels-Desktop-8-Paket handelte. Die unter der Command Line benötigte Syntax für die Bereitstellung dieses Pakets, die sehr schön die Unix-Herkunft von Mac OS X demonstriert, erhielten wir vom Hersteller: chmod 700 ‚Parallels Desktop Autodeploy.pkg/Contents/Resources/postflight‘ && installer -pkg ‚Parallels Desktop Autodeploy.pkg‘ -target /" Anschließend muss der Systembetreuer das Paket an einen Distribution Point versenden, in unserem Test war dies die lokale Maschine. Danach mussten wir über den Befehl "Deploy" die Ausbringung an die gewünschten Maschinen in unserem Testnetzwerk beauftragen. Unser Fazit bei diesen Tätigkeiten: Bis ein Administrator mit der Softwareverteilung fehlerfrei arbeiten kann, sind sicherlich einige Stunden Übungszeit erforderlich. Glücklicherweise gibt SCCM den Status eines Installationsvorgangs und somit auch den einer eventuell abgebrochenen Installation aus. Administratoren, die SCCM einsetzen, sind es gewohnt, durch einen Rechtsklick auf ein Client-System das Ressourcenmenü öffnen zu können. Hier finden sich auch die Einträge Remote Assistance, Remote Control oder Remote Desktop Client. Der Rechtsklick auf ein virtualisiertes OS-10.7-System in unserer Testumgebung und die anschließende Auswahl des Ressourcen-Explorers lieferte uns erwartungsgemäß die Software- und Hardwareinventardaten dieses Systems. Unser Versuch, die RDP-nahen Fernwartungsverbindungen aufzurufen, endete allerdings mit einer Fehlermeldung. Leider stellt die Software an dieser Stelle keine direkte Verknüpfung mit den eher für Macs gebräuchlichen Techniken wie einem SSH-Terminal oder einer VNC-Fernwartung zur Verfügung. Zu diesem Zweck muss der Anwender in das Menü für die von Parallels eingebrachten Funktionen wechseln, das in SCCM im untersten Bereich des Kontextmenüs angebracht ist. Diese Integration hat der Hersteller jedoch nicht konsequent in allen Menüs umgesetzt. Während der Testrechner im Dialog "Active clients that passed client check?" erschien, konnten wir keinen entsprechenden Eintrag im Kontextmenü für die Parallels-Kommandos finden. Gefunden haben wir ihn dann aber unter "All Systems" als "Parallels Management Tools". Hier wäre ein einheitliche Menüführung sehr wünschenswert. Fazit Parallels ist mit seiner Lösung für SCCM dem Ziel, eine integrierte Verwaltung für Macs in einer Windows-Umgebung zu schaffen, schon sehr nahe gekommen. Es ist gelungen, die Komplexität der Software auf ein solches Maß zu verringern, dass auch der primär in der Windows-Welt beheimatete Administrator diese Aufgaben adäquat meistern kann. Mithilfe dieser Lösung lassen sich Mac-Rechner auch in einer reinen Windows-Umgebung gut verwalten und betreuen. Allerdings steht die Parallels Management Suite 1.5 bislang nur in einer englischen Version zur Verfügung, weshalb wir sie auch mit einer englischen Version von SCCM 2012 getestet haben - laut Hersteller das bei seinen deutschen Kunden übliche Vorgehen. Der Preis von zirka 30 Euro pro Jahr und zu verwaltendem Gerät ist in jedem Fall gerechtfertigt. Insgesamt stellte sich uns im Test die SCCM-Integration an einigen Stellen noch als etwas eigenwillig dar - wir sind gespannt auf die Version 2.0.
Der Autor auf LANline.de: BÄR?????????????
Der Autor auf LANline.de: Frank-Michael Schlede?????????????
Info: ParallelsTel.: 089/4508086-0Web: www.parallels.com/de
Lesen Sie mehr zum Thema
