Im Test: Microsoft SCCM 2007
Systemmanagement für große Windows-Netze
Der System Center Configuration Manager 2007 ist ein weiteres Release zur Rechnerverwaltung von Microsoft und löst damit den System Management Server 2003 ab. Der LANline-Test beleuchtet vor allem die Neuerungen und Besonderheiten des Tools.
Seit dem Herbst letzten Jahres ist der System Center Configuration Manager (SCCM) 2007
verfügbar. Der Configuration Manager gehört wie alle Microsoft-Produkte der Systemverwaltung nun
zur Familie des System Centers. In der aktuellen Version hat Microsoft, zusammen mit der
Umbenennung, eine Reihe von Neuerungen implementiert. Dazu zählen die Unterstützung von Windows
Vista, die Erweiterung zur Betriebssysteminstallation, der Task Sequencer und die Ausrichtung des
SCCM an ITIL-Techniken wie etwa den Baselines und Configuration Items. Die Wichtigkeit dieser
Neuausrichtung des SCCM an den Konzepten von ITIL zeigt sich nicht zuletzt auch an der Umbenennung
des System Management Server zum Configuration Manager. Microsoft spricht in dem Zusammenhang auch
vom Desired Configuration Management.
Unterstützte Systeme
Als Werkzeug zur Rechnerverwaltung sollte der SCCM eine möglichst breite Palette von Computern
unterstützen. Laut Handbuch sind die Mindestanforderungen eine 233-MHz-CPU sowie 128 MByte RAM und
350 MByte Festplattenplatz. Zudem unterstützt das Werkzeug folgende Betriebssystemvarianten:
Windows 2000 Professional mit SP4, Windows XP Professional mit SP2, Windows XP Professional 64 Bit
sowie alle Vista-Varianten außer der Home Edition. Windows 95 und Windows 98 bleiben somit außen
vor. An Serverbetriebssystemen verwaltet das Werkzeug Windows Server 2000 und den Advanced Server
2000 sowie die Datacenter-Edition, jeweils mit SP4 und schließlich Windows Server 2003 mit SP1.
Auch das Management von Dual Boot-Systemen ist damit möglich. SCCM verwaltet aber immer nur eine
Konfiguration. Dazu zählen auch die Gäste des Virtual Server, nicht aber jene des Virtual PC oder
die virtuellen Rechner, die im Macintosh ausgeführt werden.
Darüber hinaus unterstützt das Tool Win- dows Embedded für Point of Service, Windows XP Embedded
SP2 und Windows XP Tablet PC SP2 sowie Windows Mobile für Pocket PC 2003. Die
Betriebssysteminstallation (OS Deployment) ist für mobile Clients aber nicht möglich. Für den
zentralen Verwaltungsserver, den Site Server, verlangt Microsoft mindestens einen Rechner mit 733
MHz Pentium III mit mindestens 256 MByte RAM und einem Festplattenplatz von 5 GByte. Die
verwalteten Site Server müssen ferner einer Domäne angehören. Diese Domänenzugehörigkeit darf der
Administrator nach dem Einrichten der Site nicht mehr verändern.
Installation und Setup
Das Tool führt vor dem Setup die Prüfroutinen des integrierten Prerequisites durch. Doch dieser
prüft nicht alle notwendigen Anforderungen. Daher sollte sich der Administrator vor der
Installation der Software in jedem Fall die Zeit nehmen, die Release Notes durchzulesen und auch
das Online-Handbuch von der DVD zu laden. Das Setup selbst ist ein mehrstufiger Prozess, bei dem
das Setup-Tool all die Fragen zur Einrichtung des SCCM stellt. Dabei muss der Administrator sich
zuerst entscheiden, ob er den Configuration Site Server oder nur die Managementkonsole einrichten
will. In den weiteren Fragen will der Setup-Assistent wissen, ob es sich um eine Primary oder
Secondary Site handelt und ob SCCM im gemischten Modus mit dem SMS eingesetzt werden soll. Ferner
ist nun der Site Code und das Installationsverzeichnis festzulegen. Am Ende dieses Dialogs lädt der
SCCM seine Updates aus dem Internet. Beim LANline-Test lud das Tool 88 Komponenten und benötigte
dafür eine entsprechende Download-Zeit. Der gesamte Setup-Prozess mit dem Einrichten der
Betriebssysteme, Servicepacks, Updates, weiterer benötigter Software-Module und schließlich des
SCCM dauert einen Tag, selbst wenn keine Problemen auftreten. Da der SCCM für große Infrastrukturen
ausgelegt ist und entsprechend vielfältig konfiguriert werden kann, sollte der Administrator den
Einsatz und Konfiguration des Werkzeugs vorab gut planen.
Konfiguration und Verteilung der Agenten
Nach dem Setup des SCCM machten wir uns daran, die Clients bereitzustellen. Zunächst setzten wir
ein Windows-XP-Gerät mit SP2 in die Domäne des SCCM. Microsoft verteilte beim SCCM die Funktionen
der Software auf mehrere Agenten zu verteilen. Diese sind im nächsten Schritt auf die verwalteten
Geräte auszurollen. Bevor die Agenten auf die Zielsysteme verteilt werden können, müssen die Geräte
über einen Discovery-Prozess in das System integriert werden. Dazu stellt der SCCM mehrere
Varianten zur Verfügung. Im Test verwendeten wir das Active Directory und ein IP-Segment. Im
laufenden Betrieb findet der Discovery-Prozess in periodischen Abläufen statt. Um Zeit zu sparen,
reduzierten wir das Intervall auf nur wenige Minuten. Zur Verteilung der Agenten stellt der SCCM
eine Reihe unterschiedlicher Varianten bereit und lässt kaum Wünsche offen. Dazu gehört der
Push-Modus vom SCCM-Server auf den Client, eine manuelle Installation, die Installation per
Logon-Skript oder Group Policies, die Installation durch den Software-Update-Point und das Client
Imaging.
Dann richtet der Administrator die Site mit dem IP-Segment in der Domäne ein und legt die
Site-Grenzen (Boundaries) sowie die Management Points im SCCM fest. Die auf die Zielsysteme
übertragenen Agenten benötigen ausreichende Rechte, um ihre Arbeit ausführen zu können. Dazu ist im
SCCM ein entsprechender Account zu hinterlegen. Für alle Prozesse sind im SCCM Zeiten und
Intervalle zu definieren. Deren optimaler Wert hängt von der spezifischen Unternehmenssituation ab.
Für Testzwecke oder die Pilotphase, bei der man in der Regel mit weniger Geräten operiert, wird man
diese Intervalle relativ niedrig ansetzen, um alsbald Ergebnisse zu erzielen. Im produktiven
Betrieb allerdings verbietet sich dieses meist schon allein aufgrund der Menge an Geräten und des
Netzwerk-Traffics. Ferner treten dabei nicht mehr viele Änderungen auf, die zudem meistens nicht
zeitkritisch sind.
Nach dem Roll-out der Agenten sollten sich diese nach Ablauf der Intervalle beim SCCM melden.
Damit das System die Ergebnisse anzeigen kann, muss der Administrator vorab Collections für die
gefundenen Rechner definieren. Diese stellen die Ordnungseinheiten für eine Gruppe von Geräten dar.
Neu gefundene Geräte erscheinen in jedem Fall unter "All Systems".
Configuration Items und Baselines
Eine der zentralen Neuerungen des SCCM ist das Arbeiten mit Configuration Items und Baselines.
Diese Begriffe kommen ursprünglich aus dem ITIL-Kontext. Configuration Items (CI) sind
Konfigurationsmerkmale eines Rechners wie beispielsweise das Betriebssystem, das installierte
Service-Pack, Patch- oder Registry-Einträge. Der SCCM unterscheidet prinzipiell nach drei Arten von
Configuration Items, den betriebssystembezogenen, den applikationsbezogenen oder allgemeinen
Einträgen. Eine Baseline setzt sich aus einer Vielzahl an Configuration Items zusammen. Ihre Summe
bestimmt dabei den gewünschten Sollzustand eines Rechners. Um die Verwaltung zu vereinfachen, kann
der Administrator unterschiedlich zusammengestellte Sätze von Baselines und Configuration Items
bilden. Die Baselines lassen sich zudem schachteln. Hinterlegt werden sie in der
Konfigurationsdatenbank, der Configuration Management Database (CMDB).
Im LANline-Test definierten wir eine Baseline mit eingebetteten Configuration Items. Dafür muss
unter "Site Settings | Clients Agents" zuerst der "Desired Configuration Management Agent?
aktiviert werden. Anschließend sind unter dem Eintrag "Desired Configuration Management? per
Mausklick, die Configuration Items zu erstellen. Im Test prüften wir mit einem ersten Configuration
Item die Existenz einer Applikation. Hierzu spezifiziert der Administrator, was genau der SCCM
prüfen soll. Wir wählten im Test: "Always assume application is installed?. Was nun noch fehlt, ist
das Prüfelement, das zweifelsfrei sicherstellt, dass die Applikation auch vorhanden ist. Das System
kann dazu den Eintrag in der Registry heranziehen oder – wie es im Test geschah – die Existenz der
EXE-Datei einer Applikation. Dabei übernimmt der SCCM-Agent auf dem Client, wenn gewünscht,
selbstständig die Suche nach der Datei ab einer bestimmten Position im Dateibaum abwärts. Das
letzte Kriterium schließlich bestimmt, was passieren soll, wenn die Applikation oder der
Registry-Eintrag nicht gefunden werden konnte. Falls es sich dabei um einen Verstoß gegen die
eingestellten Compliance-Vorgaben handelt, stößt der Verwalter die weiteren Aktionen an. Hier
lassen sich dann in Folge Warnungen an den SCCM-Server übermitteln oder Meldungen in der
Ereignisliste des jeweiligen Geräts hinterlegen. Über die Severity-Stufe stellt der Administrator
die gewünschte Reaktion im Fehlerfall und die passenden Meldungen ein, etwa Ausgeben eines
Hinweises, einer Warnung oder eines Alarms. Nach dem gleichen Verfahren werden dann weitere
Configuration Items erstellt. Das Konzept sieht vor, dass sich die Unternehmen für all ihre
Applikationen oder Konfigurationseinstellungen, einen Satz an Configuration Items selbst
definieren. Die erstellten Configuration Items werden dann in Baselines gruppiert und diese
schließlich auf die Zielgeräte ausgerollt. Nach dem Ablauf des konfigurierten
Synchronisationsintervalls, in denen der Client die Konfigurationsänderungen vom Server abholt,
erscheint die Baseline auf dem Clientsystem. Nach dem Umbenennen der Applikation in unserem
Testszenario konnte der Client-Agent unsere gewählte Applikation, nach deren EXE-Datei er im Test
suchen sollte, nicht mehr finden und platziert wie erwartet einen Eintrag in der Ereignisliste. Im
Test experimentierten wir anschließend noch mit weiteren Configuration Items und Baselines. Diese
prüften die Einstellungen der Registry oder Existenz von Dateien und Verzeichnissen. Einbezogen
wurde dabei auch ein Rechner mit Windows Vista. Das System führte alle Baselines korrekt auf den
Zielsystemen aus.
Eine weitere Neuerung des SCCM 2007 stellt der Task Sequencer dar. Durch ihn werden die
anstehenden Aufträge, wie etwa das Verteilen einer Software oder die Installation eines Patches, in
die Einzelschritte aufgebrochen, die der Administrator einsehen und wenn gewünscht auch ändern
kann. Ferner hat Microsoft nun die Funktionen zur Patch-Verteilung in den SCCM integriert. Neu ist
auch die Rechnerinstallation durch Imaging-Verfahren, und natürlich unterstützt der SCCM auch die
Migration von früheren Microsoft-Betriebssystemen zu Windows Vista.
Preise
Die Server-Lizenz für den Configuration Server 2007 kostet laut Liste 573 Dollar. Der
Stand-alone-Client ML kostet laut Liste 41 Euro und wird entweder pro OSE (Operating System
Environment) oder Anwender lizenziert. Der Client unterstützt die Software-Verteilung, ein
Software-Update-Management, die Installation von Betriebssystemen, ein Advanced Task Sequencing,
übernimmt den NAC-Schutz, eine Schwachstellenabschätzung (Vulnerability Assessment), das
Gerätemanagement, die Soft- und Hardwareinventarisierung, Fernwartung sowie ein Upgrade-Assessment
für Microsoft Windows Vista und Office in Umgebungen ohne Serverbetriebssystem.
Fazit
Microsoft hat den SCCM an die aktuellen Notwendigkeiten zur Systemverwaltung angepasst aber
durchaus auch Neues und innovative Konzepte implementiert. Hierzu zählen die Ausrichtung an
Baselines, der Task Sequenzer oder das Imaging von Rechnersystemen. Für Microsoft-Infrastrukturen
wird damit die Verwaltung einer verteilten IT zwar einerseits einfacher, aber aufgrund der neuen
Funktionen zunächst in der Konfiguration aufwändiger.
Lesen Sie mehr zum Thema
