Test: Microsoft SCCM 2012
Schaltzentrale für das System-Management
System Center Configuration Manager (SCCM) 2012 stellt alle Werkzeuge für eine zentrale Verwaltung von Servern und Clients bereit. Die Management-Suite installiert Betriebssysteme und Anwendungen, aktualisiert die Systeme nach vorgegebenen Regeln und überwacht die Lizenznutzung. Die neue Version integriert nun auch Mobile-Device-Management und Malware Protection.Mit System Center 2012 bietet Microsoft eine umfassende Plattform für die Systemüberwachung und das System-Management an. In dieser Ausgabe widmet sich das Testteam dem System Center 2012 Configuration Manager (SCCM). Das Flaggschiff für das System-Management, das den Configuration Manager 2007 ablöst, setzt sich aus mehreren Komponenten zusammen, mit denen sich Server und Clients über den gesamten Lebenszyklus hinweg zentral verwalten lassen. Zu den wichtigsten Funktionen zählen Betriebssystem- und Softwareverteilung, Patch-Management, Hardware- und Softwareinventarisierung, Lizenzverwaltung und Konfigurations-Management. Zahlreiche neue Funktionen Im Vergleich zur Vorgängerversion bringt SCCM 2012 zahlreiche neue Funktionen mit. So hat Microsoft die Site-Hierarchie grundlegend geändert. Wenn ein Unternehmen mehrere Primary Sites zentral verwalten will, ist die neue Server-Rolle Central Administration Site (CAS) erforderlich. Primary Sites stellen nun keine Sicherheitsgrenzen mehr dar, sodass sich Clients auch Site-übergreifend flexibel verwalten lassen. Microsoft hat den Mobile Device Manager in SCCM 2012 integriert, sodass sich nun auch mobile Endgeräte zentral administrieren lassen. Für die Client-Kommunikation kann der Administrator einstellen, ob die Systeme über HTTP oder über HTTPS kommunizieren. Geräte, die sich nicht im Unternehmensnetz befinden, können sich vom Internet aus über einen sicheren HTTPS-Tunnel mit dem SCCM-System verbinden und sind auf diesem Weg aktualisierbar. Ein VPN-Tunnel ist dazu nicht mehr erforderlich. Neu ist auch das rollenbasierende Sicherheitsmodell, mit dem sich Berechtigungen granular zuweisen lassen. Seit dem im Frühjahr 2013 veröffentlichten Service-Pack 1 kann SCCM 2012 auch Server mit Windows 2012 verwalten. Vor dem Start des SCCM-2012-Setups müssen zahlreiche Installationsvoraussetzungen erfüllt sein. So benötigt jeder SCCM-Server eine MS-SQL-Datenbank. Für den LANline-Test verwendeten wir SQL 2008 R2 SP2. Beim SQL-Setup ist wichtig, dass die Datenbank-Collation im Wizard auf SQL_Latin1_General_CP1_CI_AS geändert wird, weil SCCM 2012 diese Einstellung benötigt. Damit die SCCM-Server das Active Directory für die Systemverwaltung nutzen können, muss der Administrator auf dem Domänen-Controller mithilfe des Tools ADSI Edit unter "System" einen neuen Container "System Management" hinzufügen und die SCCM-Server mit Berechtigungen für diesen Container ausstatten. Anschließend wird das Active-Directory-Schema mit dem Tool extadsch.exe für SCCM erweitert. Durch die Schemaerweiterung lassen sich die Informationen der SCCM-Sites automatisch in das Active Directory übernehmen. Jeder SCCM-Server benötigt zudem eine ganze Reihe Microsoft-Softwarekomponenten. Diese Komponenten kann der Administrator mit dem Tool setupdl.exe herunterladen. Alternativ ist es auch möglich, den so genannten Unified Installer von SCCM 2012 zu verwenden. Dieses Tool nutzt die Runbooks von System Center Orchestrator, um die SCCM-Komponenten zu installieren. Für den LANline-Test haben wir die Komponenten auf den ersten SCCM-Server heruntergeladen. Auf Primary- und Secondary-Site-Servern muss zudem der WSUS-Server (Windows Software Update Services) installiert sein, damit SCCM die Software-Updates auf den Client-Rechnern installieren kann. Für Betriebssysteminstallationen benötigt SCCM 2012 des Weiteren die Windows Deployment Tools sowie das Assessment and Deployment Kit mit Windows Preinstallation Environment und User State Migration Tool. Installation der SCCM-2012-Server Prinzipiell lassen sich alle SCCM-2012-Komponenten inklusive SQL-Datenbank auf einem einzigen Primary-Site-Server installieren. Wenn absehbar ist, dass über kurz oder lang mehrere Primary-Site-Server zentral zu verwalten sind, sollte der erste Server mit der neuen Rolle Central Administration Site (CAS) eingerichtet sein. Ein CAS-Server ist ausschließlich für die Verwaltung der SCCM-Hierarchie zuständig und führt keinerlei Client-Managementfunktionen aus. Mit dem SP1 für SCCM 2012 ist es jetzt möglich, einen CAS-Server einer Standalone-Primary-Site nachträglich hinzuzufügen. Im LANline-Test installierten wir das erste SCCM-2012-System als CAS-Server. Anschließend fügten wir einen Primary Site Server und einen Secondary Site Server hinzu. Ein Primary Site Server kann bis zu 100.000 Clients unterstützen. Mit SCCM 2012 lässt sich die Bandbreite für WAN-Verbindungen auch innerhalb einer Site beschränken. Deshalb ist es nicht mehr zwingend erforderlich, an jedem Standort einen eigenen Site-Server zu installieren. Nachdem das Setup abgeschlossen war, öffneten wir die Configuration Manager Console. Die Oberfläche enthält vier zentrale Workspaces für Administration, Assets and Compliance, Software Library und Monitoring. Für die Berechtigung von administrativen Benutzern verwendet SCCM 2012 ein rollenbasierendes Modell, das Sicherheitsrollen und Sicherheits-Scopes miteinander kombiniert. Ein Scope definiert, welche Objekte ein Benutzer in der SCCM-Konsole zu sehen bekommt und welche Berechtigungen er für das jeweilige Objekt erhält. SCCM-Site-System-Rollen Ein SCCM-Site-Server lässt sich mit verschiedenen Rollen ausstatten. Primary und Secondary Sites konfiguriert das System automatisch als Management Point und als Distribution Point. Diese beiden Rollen sind erforderlich, um Client-Rechner von zentraler Stelle aus zu verwalten, mit Anwendungen und Software-Updates zu versorgen oder neu zu installieren. Der Management Point ist die zentrale Kommunikationsschnittelle für die Verwaltung der Client-Systeme. Die Distribution Points beinhalten nun die PXE-Funktionalität, um Installationen zu vereinfachen. Sie unterstützen zudem eine Bandbreitenbegrenzung und die zeitgesteuerte Übertragung von Datenpaketen. Bei schmalen WAN-Verbindungen ist auch ein Prestaging mittels externer Datenträger möglich. Multicast-Übertragungen unterstützt das System ebenfalls. Distribution Points lassen sich auf Workstations installieren, wodurch die Rolle Branch Distribution Point nicht mehr nötig ist. Neu hinzugekommen ist in SCCM 2012 der Application Catalog Website Point mit dem Web Services Point. Er stellt den Benutzern eine Liste der verfügbaren Anwendungen bereit. Die Rolle Endpoint Protection Point integriert nun die Anti-Malware-Funktionen von Microsoft Forefront in SCCM. Um alle Funktionen von SCCM 2012 testen zu können, fügten wir auf den drei SCCM-Servern die verfügbaren Rollen hinzu. Anschließend ging es daran, die Client-Systeme in der SCCM-Konsole hinzuzufügen. Geräteerkennung und Agenten-Rollout SCCM 2012 kann die zu verwaltenden Systeme auf mehreren Wegen erkennen. Als Standard aktiviert ist die so genannte Heartbeat-Erkennung. Sie erstellt für jedes Gerät einen Discovery Data Record (DDR). Die Netzwerkerkennung muss der Administrator manuell konfigurieren. Sie kann Windows-Domänen, DHCP-Server oder SNMP-Geräte abfragen. Für den LANline-Test wählten wir die Active-Directory-Suche, die alle Computer-, Benutzer, und Gruppenkonten in einer Domäne erfasst. Mit der Funktion Forest-Suche lassen sich zudem Umgebungen mit Root- und Child-Domänen erfassen, wobei SCCM automatisch die IP-Netze der jeweiligen Site erkennt und als Boundary definiert. Um den SCCM-Agenten automatisch auf alle Systeme zu verteilen, kann der Administrator die Option "Client Push Installation" aktivieren. Da der SCCM-Agenten nur auf ausgewählten Systemen unserer Testumgebung installiert sein sollte, spielten wir den Agenten von der SCCM-Konsole aus auf. Als Testrechner kamen physische Systeme mit Windows 2003, Windows 2008 und Windows 7 sowie ein virtueller Windows 2102 Server zum Einsatz. Die Konfiguration des SCCM-Agenten lässt sich in der Configuration Manager Console individuell anpassen. Sobald der Agent auf einem Rechner installiert ist, lassen sich die Fernsteuerungsfunktionen von SCCM nutzen. Damit ein SCCM-Client einen Site-Server erkennen kann, muss der Administrator die so genannte Boundary konfigurieren, die zum Beispiel aus dem Active-Directory-Site-Namen bestehen kann. Boundaries lassen sich auch auf der Basis von IP-Subnetzen oder IP-Adressbereichen definieren. Durch die Boundaries wissen die SCCM-Clients, welcher SCCM-Server sich für ihren Standort am besten eignet. SCCM 2012 kann mobile Endgeräte verwalten, die unter Windows Mobile, Iphone oder Android laufen. Für Windows Mobile, Windows CE und Nokia Symbian ist zudem ein Softwareagent für die SCCM-Integration erhältlich. Über den Exchange-Server-Connector kann SCCM alle Endgeräte finden, die über Active Sync mit dem Exchange-Server kommunizieren. Hardware- und Software-Inventarisierung SCCM 2012 erfasst von allen verwalteten Clients per WMI (Windows Management Instrumentation) umfangreiche Informationen zur Hardware und den darauf laufenden Anwendungen. Die Inventardaten sind in der SQL-Datenbank des SCCM-Servers gespeichert. Der Administrator kann festlegen, welche Client-Informationen SCCM erfasst. Mithilfe von Standard-Reports oder individuell erstellten Abfragen lassen sich die Inventardaten gezielt auswerten. Unter dem Menüpunkt Asset Intelligence bietet SCCM zudem Funktionen für die Lizenzverwaltung, die zusammen mit dem Software-Metering ein umfassendes Lizenz-Management ermöglichen. Das Metering Tool überwacht die Softwarenutzung durch die SCCM-Clients und liefert damit die Basisinformationen für eine korrekte Lizenzierung. Patch-Management SCCM verwendet für das Patch-Management als Basis den WSUS-Server, der um zusätzliche Funktionen wie ein aktives Update-System erweitert wurde, das die Installation von Patches erzwingen kann. Die Software-Updates lädt das System im ersten Schritt auf den CAS-Server herunter. Anschließend überträgt das CAS-System die Patches zu den Site-Servern, von wo aus sie sich auf den Clients installieren lassen. Im LANline-Test haben wir die SCCM-Clients auf diesem Weg erfolgreich mit den aktuellen Microsoft-Hotfixes versorgt. Die Update-Funktion lässt sich auch so konfigurieren, dass sie die SCCM-Clients regelmäßig darauf überprüft, ob alle Hotfixes installiert sind. Wurde ein Hotfix entfernt, installiert ihn das System automatisch nach. Betriebssystemverteilung Eine der wichtigsten Funktionen von SCCM ist die Neuinstallation von Server- und Client-Betriebssystemen über das Netzwerk. Mit dem Service-Pack 1 tritt das Windows Assessment and Deployment Kit (WADK) an die Stelle des bisher eingesetzten Windows Automated Installation Kit (WAIK). Mit dem WADK bereitet der Administrator das jeweilige Betriebssystem inklusive Treiber für den Rollout vor. Einen neu zu installierender Rechner bootet der PXE Service Point (Preboot Execution Environment) des SCCM 2012 über das Netzwerk. Anschließend installiert SCCM das Betriebssystem. SCCM 2012 unterstützt Image-basierende Installationen, bei denen ein zuvor anhand eines Referenzgeräts erstelltes Image auf die Zielsysteme aufgespielt wird. Alternativ ist auch eine skriptbasierte Installation möglich, die das Betriebssystem aus einer Netzwerkfreigabe heraus installiert, in der die OS-Dateien abgelegt sind. Setzt der Administrator einen bereits genutzten Rechner neu auf, speichert SCCM benutzerspezifische Daten wie Profile und lokal abgelegte Dateien in einem so genannten State Migration Point. Nach Abschluss der Betriebssysteminstallation spielt SCCM diese Daten dann wieder in das System ein. Im LANline-Test erstellten wir mithilfe der SCCM-Tools die Image- und Installationsdateien für ein physisches Windows-7-System und für einen virtuellen Windows-2012-Server. Beide Rechner konnten wir anschließend über SCCM neu aufsetzen. Bereitstellung von Anwendungen SCCM 2012 bietet zwei Wege, Anwendungen bereitzustellen. Zum einen lassen sich Programme wie gewohnt paketieren. Neu ist die Möglichkeit, im App-Controller einen Benutzer mit Geräten zu verknüpfen und die Anwendungen auf dieser Basis zuzuweisen. Dadurch erhält der Benutzer immer die ihm zugeordneten Programme, und zwar unabhängig davon, mit welchem Endgerät er gerade arbeitet. Im Test haben wir mithilfe des Application Wizards eine Firefox-MSI-Datei erfolgreich als zu verteilende Anwendung erstellt und anschließend auf den Test-Clients installiert. Mit dem so genannten Compliance Management kann SCCM 2012 zudem gewährleisten, dass alle Systeme mit den für ihre Gerätegruppe definierten Anwendungen, Patch-Ständen, Treibern und Konfigurationseinstellungen ausgestattet sind. Des Weiteren kann SCCM 2012 über einen so genannten Health Validator Point sicherstellen, dass nur die Geräte Zugang zum Netzwerk erhalten, die den Compliance-Vorschriften entsprechen. Die SCCM-Rolle Health Validator Point ist auf einem Windows Server installiert, der Network Access Protection (NAP) unterstützt. Fazit Der neue System Center 2012 Configuration Manager lässt kaum Wünsche offen. Die System-Management-Suite umfasst alle Werkzeuge, die für eine zentrale Verwaltung von Server- und Client-Systemen über den gesamten Lebenszyklus hinweg erforderlich sind. Durch die Integration des Mobile-Device-Managements sind nun auch mobile Endgeräte über die SCCM-Konsole verwaltbar. Das Aufsetzen einer SCCM-Umgebung erfordert allerdings einige Vorarbeiten und gute Windows-Administrationskenntnisse. Für kleinere Unternehmen dürfte SCCM 2012 in den meisten Fällen überdimensioniert sein. In größeren Unternehmen dagegen kann SCCM 2012 seine Stärken als zentrale Plattform für das Management von Server- und Client-Systemen voll ausspielen. Die Lizenzierung von System Center 2012 erfolgt auf Basis von Server- und Client-Management-Lizenzen und richtet sich danach, wie viele physische Prozessoren und wie viele virtuelle Systeme das Unternehmen einsetzt. Der Autor auf LANline.de: chjlange?????? Info: MicrosoftTel.: 01805/672255Web: www.microsoft.com/de-de/server/system-center/2012.aspx
Lesen Sie mehr zum Thema
