Empirum PRO 2005

Technisches Datenblatt

Stand: 15. November 2005

 Copyright

Copyright © 2005 matrix42 AG

Nachdruck, auch auszugsweise, nur mit schriftlicher Genehmigung gestattet.

Empirum ist eine Marke der matrix42 AG. Windows, Windows NT, Windows 2000, Windows XP und
Windows 2003 Server sind eingetragene Marken der Microsoft Corporation.
Andere, an dieser Stelle nicht ausdrücklich aufgeführte, Firmen-, Marken- und Produktnamen sind Marken
oder eingetragene Marken ihrer jeweiligen Inhaber und unterliegen dem Markenschutz.

Stand 15. November 2005

Seite 2 von 36
Inhaltsverzeichnis

1. Das Unternehmen __________________________________________________ 4

2. Einleitung – Über Empirum PRO 2005 __________________________________ 5

3. Die Produkte der Empirum Suite ______________________________________ 6

4. Empirum Inventory _________________________________________________ 8

5. Empirum Softwaremanagement ______________________________________ 11

5.1. Der Empirum Agent______________________________________________________12
5.2. Die Empirum Package Suite _______________________________________________13
5.2.1. Empirum Package Wizard ____________________________________________________ 13
5.2.2. Empirum Scripts ____________________________________________________________ 14
5.2.3. Empirum Package Editor _____________________________________________________ 14
5.2.4. Empirum MSI Suite __________________________________________________________ 14
5.3. Empirum Patchmanagement_______________________________________________15

6. Empirum OS Installer ______________________________________________ 17

6.1. Treiberverwaltung – genial einfach und einzigartig______________________________17
6.2. Arbeiten mit dem OS Installer ______________________________________________18

7. Empirum Personal Backup __________________________________________ 21

8. Empirum Remote Control ___________________________________________ 23

8.1. Einsatzbereiche_________________________________________________________23
8.2. Funktionen ____________________________________________________________24

9. Systemanforderungen und unterstützte Infrastruktur ____________________ 25

9.1. Flexibilität und Skalierbarkeit ______________________________________________26
9.2. Administrationsmodelle ___________________________________________________26
9.3. Empirum Sync__________________________________________________________28
9.4. Empirum Command Line Interface (CLI) _____________________________________29

10. Clientmanagement mit Empirum PRO _________________________________ 31

10.1. Zuordnungsmöglichkeiten _________________________________________________31
10.2. Das Rollenmodell _______________________________________________________31
10.3. Aktivierung des Rollout-Prozess ____________________________________________32
10.4. Monitoring Rollout Prozess ________________________________________________33
10.5. Das Mobile Client Konzept ________________________________________________35
10.6. Empirum und Terminal Server _____________________________________________36

Seite 3 von 36
 Das Unternehmen
1. Das Unternehmen
Das Unternehmen matrix42 AG konzentriert sich seit über 10 Jahren auf den Bereich Automatisierung
und Management von Desktop- und Server-Systemen. Durch den im Markt einzigartigen Ansatz eines
integrierten Daten- und Prozess-Managements ist matrix42 AG in der Lage, im Betrieb unterschiedlichs-
ter IT-Infrastrukturen hohe Einsparungspotentiale durch größtmögliche Prozessautomatisierung zu er-
schließen. Durch volle Integration in bereits getätigte Investitionen erzielen diese, auf der Management-
software Empirum basierende Lösungen in kürzester Zeit messbare Mehrwerte in den betrieblichen
Abläufen des Kunden.

Empirum ist heute das Kerngeschäft der matrix42 AG. Grundlage Empirums war vor mehr als 10 Jahren
eine für ein Großprojekt entwickelte Lösung zur dynamischen Softwareinstallation in gesicherten Umge-
bungen. Zu dieser Zeit existierte am Markt keine adäquate Lösung, um die an uns gestellten Anforderun-
gen zu erfüllen. Ziel war es, in dem aufkommenden WindowsNT-Umfeld mit den eingeschränkten Benut-
zerrechten Software automatisiert zu verteilen und individualisiert zu installieren. Die entstandene Lösung
wurde konsequent weiterentwickelt und 1996 so mächtig, dass daraus ein eigenständiges Produkt wurde.
Im Laufe der Jahre entstand aus dem Softwareverteilungs-Tool eine mächtige und umfassende Device-
Lifecycle Lösung – Empirum PRO.

Neben Empirum PRO wurde im Jahre 2005 auf Wunsch unserer Kunden die Fernsteuerungssoftware
Empirum Remote Control neu in das Produktportfolio aufgenommen. Empirum Remote Control ist voll-
ständig in die Empirum Suite und die Prozesse des Software- und Clientmanagements integriert und
ermöglicht durch seine Funktionalitäten erhebliche Einsparungspotentiale.

Um eine marktgerechte Ausrichtung und einen Ausbau des Technologievorsprungs zu gewährleisten,

wird die Weiterentwicklung Empirums größtenteils von unseren Kunden, Partnern und den Praxis-
Erfahrungen unserer Consultants bestimmt. Auf diese Weise sichern wir langfristig den Erfolg von Empi-
rum PRO und bieten unseren Kunden ein auf ihre Bedürfnisse zugeschnittenes Produkt, welches durch
neue Funktionen weitere Prozessoptimierungs- und Einsparungspotentiale bietet.

Seite 4 von 36
Einleitung – Über Empirum PRO 2005
2. Einleitung – Über Empirum PRO 2005
Mit Empirum PRO können sämtliche vernetzte Endgeräte und Softwarebestände eines Unternehmens
effizient verwaltet und von zentraler Stelle aus verfügbar gemacht werden. Die modular aufgebaute
Software Suite ist vollständig datenbankbasierend und ermöglicht über die zentrale Managementkonsole
die intuitive Bedienung aller Funktionalitäten: auf diese Weise können alle Bestandteile eines Systems –
Betriebssystem, Applikationen sowie persönliche Einstellungen und Dateien – mit Empirum komfortabel
verteilt, installiert oder modifiziert werden. Auch das sichere Löschen aller Daten zum Ende der Nut-
zungszeit gehört zum Leistungsspektrum. Diesen so genannten Lifecycle-Ansatz vereint Empirum PRO
konsequent mit einem ausgereiften, rollenbasierenden Konfigurationsmanagement. Per Drag & Drop
kann man die unternehmens-weiten Systeme und User beliebig gruppieren und ihnen anschließend die
jeweils vorgesehene Software zuweisen. Die so definierten Konfigurationsstandards lassen sich innerhalb
einer Verwaltungsgruppe weitervererben und gestatten es, auch in dezentralen IT-Umgebungen einheitli-
che, leicht zu pflegende Strukturen zu schaffen. Das vollständig integrierte Patchmanagement sichert die
Endgeräte und Server gegen Angriffe auf bekannte Schwachstellen, ohne den Administrationsaufwand
zu erhöhen. Installations- und Rollout-Prozesse können dank umfangreicher Skalierungs- und Monitoring-
funktionalitäten variabel gesteuert und überwacht werden.

Empirum PRO lässt sich sowohl vollständig als auch als modulare Ergänzung in bestehende IT-
Infrastrukturen und andere IT-Managementlösungen integrieren. Die zentralisierte Inventarisierung aller
Systeme in Verbindung mit einem konsolidierten Berichtswesen und Alarm-Management schafft die
Grundlage, um mit Empirum die eigene IT-Infrastruktur so transparent wie möglich zu machen. Über
Veränderungen am Arbeitsspeicher eines PCs wird der Administrator mittels Inventarisierungshistorie
und Alarm-Mechanismen genau so zeitnah informiert, wie über fehlgeschlagene Installationen oder die
neuesten Patches von Microsoft.

Empirum PRO - Manage. Save. Relax.

Seite 5 von 36
 Die Produkte der Empirum Suite
3. Die Produkte der Empirum Suite
Empirum PRO ist eine homogene Device-Management-Suite, die aus vier Produkten besteht. Alle Pro-
dukte sind Eigenentwicklungen der Firma matrix42 AG und lassen sich beliebig kombinieren bzw. separat
oder in Kombination mit anderen Managementlösungen verwenden. Die konsequente Eigenentwicklung
der verwendeten Technologien ermöglicht eine weitaus tiefere Integration der Empirum Module, als es
durch marktübliche Einbindung von OEM-Produkten möglich ist. Der maximale Nutzen eröffnet sich dem
Anwender daher vor allem bei der Verwendung der Produkte im Verbund.

Unternehmensweite Inventarisierung von Hard- und Software, Reporting,

Lizenzmanagement, Analyse der Applikationsnutzung

Automatisierte Softwareverteilung, vollständiges Patchmanagement,

Paketierung und Installation

Automatisierte Betriebssysteminstallation und –Migration nach beliebigen

Szenarien und Verfahren, dynamische Hardwareerkennung

Vollständiges Disaster Recovery persönlicher Arbeitsumgebungen auf

Knopfdruck, Profilmigration

Abbildung 1: Die in Empirum PRO enthaltenen Produkte

Neben den in Empirum PRO enthaltenen Produkten ist als eigenständiges

Produkt Empirum Remote Control erhältlich. Es ist vollständig in die
Empirum Suite integriert und sowohl für die effiziente Fernwartung im
Support wie auch für die Administration von Servern konzipiert.

Seite 6 von 36
Die Produkte der Empirum Suite
Die gesamte Suite wird zentral über die Empirum Management Console (EMC) bedient. Alle Module
kommunizieren miteinander über die zugrunde liegende MS-SQL/Oracle-Datenbank. Um das Gesamt-
system performant und skalierbar zu gestalten, wurde die Kommunikation mit den durch Empirum verwal-
teten Knoten (Computer, Benutzer, Handhelds) von der Datenbank entkoppelt und auf Steuerdateien
verlagert. Somit können sehr viele Systeme gleichzeitig in einer Datenbank verwaltet werden, ohne einen
zentralen Engpass in der Kommunikation zu riskieren.

Abbildung 2: Die Empirum Management Konsole

Modulübergreifend ist Empirum so ausgelegt, dass möglichst jede vorhandene Infrastruktur (Netzwerk,
Standorte, Domänen, NDS/ADS…) direkt abzubilden und zu verwalten ist. Die Kommunikation mit beste-
henden Managementsystemen wird dadurch maßgeblich vereinfacht.

Seite 7 von 36
 Empirum Inventory
4. Empirum Inventory
Als eigenständiges Produkt ist Empirum Inventory ein wichtiges Fundament für korrekte Planungen und
Entscheidungen in der IT. Mit Empirum Inventory können alle im Unternehmen vorhandenen Geräte
(Assets) wie Computer, Handhelds oder auch Router und Drucker einfach und effizient inventarisiert
werden. Gerade Handhelds finden in Unternehmen eine immer größere Verbreitung und der Anspruch
diese Geräte wie Computer verwalten zu können wächst. Mit Empirum Inventory ist es daher möglich,
Handhelds wie Computer zu inventarisieren und detaillierte Informationen über diese Geräte automatisch
zu erfassen und später abzurufen.

Mit Empirum Inventory gewonnene Informationen können für verschiedene Einsatzbereiche im Unter-
nehmen genutzt werden:

Optimierung des Softwaremanagements - Im Verbund mit den anderen Produkten der Empirum PRO
Suite dienen die aktuellen und detaillierten Informationen des Empirum Inventory der Optimierung des
Softwaremanagements. Schon vor einem Rollout kann die wichtige Frage beantwortet werden, ob die
PCs leistungsfähig genug sind oder die nötigen Systemvoraussetzungen zur Installation tatsächlich
gegeben sind.

Effizientes Management der Unternehmens-IT - Empirum Inventory stellt eine komplette und detaillier-
te Übersicht aktuell genutzter Hard- und Softwarevorhandener Computer, Handhelds und sonstiger
Geräte wie Drucker oder Router zur Verfügung. Genaue Informationen über die IT-Infrastruktur und die
eingesetzte Soft- und Hardware sowie deren Standort im Unternehmen, reduzieren die IT- und Support-
kosten und sind die Grundlage für eine erfolgreiche IT-Strategie.

Senkung von Lizenzkosten - Empirum Inventory bringt über das integrierte Application Usage Tracking
(AUT) Transparenz und Kontrolle in das Software-Lizenzmanagement. Es kann genau nachvollzogen
werden, welche Software wirklich eingesetzt wird und wie häufig und sogar wie bestimmte Be-nutzer
installierte Software verwenden. Die gesammelten Daten ermöglichen ungenutzte Softwarelizenzen
aufzuspüren und schaffen so drastische Kosteneinsparungspotentiale. Ein funktionierendes Lizenzmana-
gement schützt vor den Folgen illegalen Softwareeinsatzes und ermöglicht laut einer Studie von KPMG
eine Kostenreduktion von bis zu 15%.1

In der übersichtlichen Empirum Management Konsole werden die wichtigsten Inventory-Informationen in

einer konfigurierbaren Liste angezeigt. Frei definierbare Filter gestatten die einfache Vorselektion erfass-
ter Systeme anhand beliebiger Kriterien und ermöglichen eine zielgenaue Auswertung und Weiterverwer-
tung der Daten. Neben vielen vorgefertigten Reports (Crystal Reports), weit reichenden Exportmöglich-
keiten und Standard-Adaptern stellen wir jedem Kunden das vollständige Datenbankschema auf Anfrage
zur Verfügung. Dies gewährleistet eine einfache Integration in beliebige Asset- oder Workflowsysteme,
einschließlich der eigenentwickelten Lösungen. Um auch ohne eine installierte Empirum Konsole auf alle
Daten zugreifen zu können, existiert eine mit jedem aktuellen Web-Browser nutzbare Web-Konsole und
eine grafische Client-Anwendung zur lokalen Inventory Anzeige.

1
Studie Lizenzmanagement in deutschen Unternehmen

Seite 8 von 36
Empirum Inventory

Abbildung 3: Das Empirum Inventory

Empirum Inventory bietet neben vorbereiteten Lizenzreports (zur Ermittlung der installierten Lizenzen)
auch die Information, inwieweit diese Anwendungen auch wirklich genutzt werden (AUT – Application
Usage Tracking). Diese beiden Funktionen helfen die Lizenzkosten im Unternehmen maßgeblich zu
reduzieren. Eine integrierte Inventory-History erlaubt zudem die Nachverfolgung aller Änderungen auf
den Clients und gestattet darüber hinaus das Versenden von Alarmen (Mail, SNMP…) bei konfigurierba-
ren Ereignissen. So kann der Administrator bspw. eine automatische Information per eMail konfigurieren,
wenn sich der Arbeitsspeicher von 512 MB auf 256 MB reduziert.

Die Ermittlung der Hard- und Softwareinformationen (Scan) auf Computern erfolgt anhand einer auf den
Zielsystemen ausführbaren Datei. Es wird keine Installation auf dem Client vorausgesetzt (Ausnahme
AUT), wobei der Aufruf auf mehrere Arten durchgeführt werden kann:

per Loginscript (ohne Installation auf dem Client)

per Mail oder Datenträger (offline Scan)
per Empirum Softwaremanagement oder einer anderen Softwareverteilung

Die Rücklieferung der ermittelten Informationen an den Server erfolgt durch die einfache Übertragung
einer nur wenige KB großen Scandatei im komprimierten XML-Format auf den Server.

Bei Handhelds wird der Inventory-Scanner über die Verbindung mit einem Client auf dem Gerät installiert.
Die Übertragung der Scandatei kann entweder über eine direkte Verbindung zum Client (z. B. Cradle)
oder mobil über http erfolgen.

Aktuell werden alle Windows Client- und Server-Betriebssysteme sowie Novell/Suse, RedHat Linux, Sun
Solaris und die Handheld Betriebssysteme Symbian OS Version 7.0s Serie 80, Palm OS ab Version 3.2
und Windows Mobile 2002 und 2003 für Pocket PC unterstützt.

Zur Ermittlung der Informationen nutzt Empirum mehrere Verfahren:

Seite 9 von 36
 Empirum Inventory
Hardware und Systemkonfiguration

DMI – Hardwareschnittstelle Sehr detaillierte Informationen zum PC / Server (Verteilung

(SMBIOS) RAM in Speicherbänken, Ports, Seriennummer, etc.)

WMI – Windows Management Liefert ausführliche Informationen zur eingesetzten Hardware

Instrumentation und den dazu verwendeten Treibern (Speicherkarten,
Festplattentyp, Seriennummer, Lokale User etc.). Es können
alle verfügbaren Werte ermittelt werden. Diese Funktion ist
nur unter Windows verfügbar.

Empirum Native Eigene Routinen zur Ermittlung der wichtigsten Systemeigen-

schaften wie Festplattenpartitionierung, freier Platz, Netz-
werkkonfiguration, etc.

Verfahren zur Ermittlung der installierten Software

Erkennen der mit Empirum instal- Empirum schreibt für jede installierte Software die wichtigsten
lierten Software Informationen in die Registry

Software, die mit anderen Installati- Erkennung anhand der Einträge in der Registry
onsroutinen installiert wurden (Uninstall und weitere konfigurierbare Registry-Schlüssel)
(InstallShield)

MSI installierte Anwendungen (inkl. Liefert alle relevanten Informationen zu MSI-Installationen

Details wie Source, GUID, Datum,
Version etc.)

Software Referenzliste Erkennen von Anwendungen anhand einer Referenzliste

(inkl. Auslesen des Headers oder einer Versionsvorgabe)

Dateierkennung Erkennen beliebiger Dateien inkl. Auslesen des Dateiheaders

Zusätzlich werden weitere, für ein effizientes Systemmanagement notwendige, Parameter

ermittelt.

Frei wählbare Informationen Informationen aus Ini-Dateien

aus der Registry

Environment Variablen Systemdienste und deren Status

Wie groß ist das Temp- Userdomäne oder NDS-Tree

Verzeichnis?

Ist der User Administrator? Benutzerabfragen

Seite 10 von 36
Empirum Softwaremanagement
5. Empirum Softwaremanagement
Unternehmensweite Softwareverteilung und Standardisierung sind ein probates Mittel zur Reduktion der
Kosten für die Verwaltung von Clients und Servern.

Empirum Software Management leistet hier mehr, als nur die heute gängigen Softwareverteilungsaufga-
ben optimal durchzuführen. Neben dieser Kernfunktion, die auch die Paketierung von Anwendungen
einschließt, erfüllt Empirum Software Management weitere unverzichtbare Anforderungen. So sind der
einfache Umgang mit verteilten Standorten und die differenzierte Vergabe von Administrationsberechti-
gungen wichtige Grund-voraussetzungen, um auch komplexe Strukturen effizient verwalten zu können.
Empirum Softwaremanagement enthält alle Funktionen, die zur Paketierung (Vorbereitung zur automati-
sierten Installation), Verteilung und Installation von Anwendungen, Patches, Servicepacks, Druckertrei-
bern und allen weiteren Systemanpassungen benötigt werden.

Eine konsequent umgesetzte Rollenphilosophie (siehe auch 10.2) ermöglicht auch größte Umgebungen
mit geringem manuellem Aufwand zu verwalten und Standards umzusetzen. Festgelegte Rollen definie-
ren den Zielzustand der verwalteten Geräte und Benutzer in Bezug auf Software- und Konfigurationsvor-
gaben. Durch die Vererbung dieser Informationen lassen sich auch komplexe Konstellationen einfach
abbilden. Die getroffenen Zieldefinitionen werden von Empirum automatisiert umgesetzt und sind jeder-
zeit reproduzierbar. Neue PCs oder Benutzer müssen somit nur noch einer Rolle zugewiesen werden und
Empirum managt alle weiteren Prozesse. Durch die automatisierte LDAP-Schnittstelle können Empirum-
Rollen auch in einer ADS oder einem eDirectory gepflegt werden. Dies ist auch bei Linux-Clients möglich.

Abhängigkeiten und Verteilungsoptionen

Die Verteilung von Software kann computer- und/oder benutzerbezogen über das oben beschriebene
Rollenmodell erfolgen. Somit lassen sich auch ‚Roaming Application’- bzw. ‚Roaming User’-Konzepte
abbilden. Zu jedem Verteilungspaket lassen sich vielfältige Verteilungskriterien und Abhängigkeiten
definieren. Zum Beispiel könnten folgende Einschränkungen für Office2003 festgelegt werden: Of-
fice2003 wird nur auf PCs installiert, die als Betriebssystem Win2000 oder WinXP nutzen, über mindes-
tens 256 MB RAM verfügen sowie den IE 6.0, jedoch nicht ‚Staroffice’ installiert haben. Um die Verwal-
tung der Paketabhängigkeiten möglichst einfach zu gestalten, existieren UND- und ODER-Klassen zur
logischen Gruppierung von Paketen. Integrierte Reports decken proaktiv ggf. vorhandene Abhängigkeits-
Zirkelbezüge oder nicht erfüllte Abhängigkeiten in Konfigurationsgruppen rechtzeitig auf. Unterstützt
werden Pull- und Push-Verteilungen, die beliebig zeitlich gesteuert und mit WOL (Wake-on-Lan) kombi-
niert werden können. Ein besonderer „Reinstall“-Modus erlaubt das einfache Überinstallieren, optional mit
vorheriger Deinstallation, beliebiger Softwarepakete. Empirum generiert automatisch eine Reinstalla-
tongruppe, die nach Beendigung der Aktion(en) wieder aufgelöst wird. Somit ist schnelle Hilfe für Endan-
wender und jederzeit volle Transparenz gewährleistet. Sollte ein nachts per Wake-On-Lan angestoßenes
Rollout fehlerhaft sein, verhindert der in Empirum integrierte automatisierte Rollout-Abbruch größeren
Schaden und informiert den Administrator per eMail oder SMS.

Seite 11 von 36
 Empirum Softwaremanagement
Das Empirum Softwaremanagement enthält neben der zentralen Management Konsole und Datenbank
folgende Module:

Empirum Agent – Clientkomponente zur Steuerung- und Durchführung aller Softwareinstallationen.

Empirum Package Suite – Enthält alle zum effizienten Erstellen von dynamischen Softwareverteilungs-
paketen benötigte Programme.

Empirum Patchmanagement – Vollständig integrierte Lösung zur automatisierten Patch-Verteilung und

Installation.

Empirum Sync – Ein Programm zur vollständig automatisierten Standortserver–Verwaltung (Depotver-

waltung) und Synchronisation (siehe 9.3).

Empirum Automation Interface – Externe Steuerung der Softwareverteilungsprozesse per Command

Line Aufruf oder Datenbankschnittstelle (siehe 9.4).

5.1. Der Empirum Agent

Auf der Client-Seite wird die Basis von einem modular aufgebauten Agenten gebildet, der die
Installations- bzw. Konfigurationsaufträge entgegen nimmt und mit den benötigten Rechten ausführt.
Über einen Wizard kann der Agent auf einfache Weise exakt an die Bedürfnisse des Unternehmens
angepasst werden. So kann beispielsweise dem Endanwender vor der Installation eine Liste mit al-
len zu installierenden Anwendungen und deren zu erwartende Installationsdauer angezeigt werden
oder eine für den Anwender nicht sichtbare Hintergrundinstallation durchgeführt werden.

Abbildung 4: Optionale Anzeige der Installationen für den Endanwender

Seite 12 von 36
Empirum Softwaremanagement
Eine Besonderheit stellt der Mobile Agent (siehe 10.6) dar. Dieser ist speziell auf die Bedürfnisse
von Notebook-Benutzern abgestimmt und erlaubt ein an die Bandbreite gekoppeltes ‚Package-
Caching’. Somit wird je nach aktuell ermittelter Bandbreite auf Paketebene entschieden, ob Software
an ein mobiles Endgerät (Notebook) übertragen wird oder nicht. Beispielsweise kann festgelegt wer-
den, dass ein SecurityPatch immer sofort übertragen und installiert wird, während das Update einer
Office-Installation nur bei hoher Bandbreite im LAN erfolgt. Um die Datenübertragung so effizient wie
möglich zu gestalten, werden Daten mittels "Checkpoint Restart" und "Byte Level Differencing" über-
tragen. Die Installation des Agenten auf bestehende Systeme erfolgt mittels einer integrierten An-
wendung zur Agenten-Verteilung und kann im laufenden Betrieb von zentraler Stelle aus initiiert
werden.

5.2. Die Empirum Package Suite

Empirum verteilt und installiert sowohl die von Softwareherstellern gelieferten Installationsroutinen
(beispielsweise MSI oder InstallShield®) als auch Eigenentwicklungen ohne Installationsprogramm.
Grundlage jeder Verteilung ist die Paketierung. Dieser Prozess beschreibt die Vorbereitung einer
Software zur automatisierten Verteilung und Installation auf mehreren Endgeräten. Die Empirum
Package Suite unterstützt gleich mehrere Verfahren:

5.2.1. Empirum Package Wizard

Diese Anwendung bietet einen einheitlichen Ausgangspunkt für alle Paketierungsaufgaben. Mit
dem Wizard werden Empirum Scripts, MSI, Druckerpakete oder sonstige Unattended-
Installationen auf einfache Art und Weise erstellt. Bei Empirum Scripts ermittelt der Package Wi-
zard anhand einer Statusanalyse alle während einer Installation und anschließender Konfigurati-
on entstandenen Änderungen auf einem Referenz-PC und unterscheidet selbständig maschinen-
bezogene und benutzerbezogene Teile der Installation. Nach Analyse der Systemzustände (vor
und nach der Installation) erzeugt Empirum ein modifizierbares Script. Dieses Script bedient sich
bei Installation auf dem Endgerät durch den Empirum-Agenten, wo immer möglich, der von
Microsoft zur Verfügung gestellten APIs (Programmierschnittstellen zum Betriebssystem). Auf
diese Weise kann Empirum Installationen mit maximaler Flexibilität und Fehlertoleranz durchfüh-
ren, da beispielsweise Drucker, Dienste oder ODBC-Installationen direkt an das Betriebsystem
weitergeleitet und DLLs sowie andere Systemkomponenten korrekt registriert bzw. deregistriert
werden. Natürlich sind die Scripts im Empirum Package Editor individuell anpassbar.

MSI basierende Installationen werden mit dem Package Wizard sehr einfach individualisierbar.
MSI-Properties können als variabler Wert automatisch übernommen werden und stehen somit als
Variable während der Verteilung zur Verfügung. Der integrierte MSI-Transformer passt die Instal-
lation genau an die Anforderungen des Unternehmens an.

Seite 13 von 36
 Empirum Softwaremanagement
5.2.2. Empirum Scripts

Neben den durch den Wizard automatisch erzeugten Installationsscripts können auch eigene
Scripts erzeugt werden. Diese Scripts unterstützen zahlreiche Befehle zur Systemmodifikation,
Registrybehandlung, dem Dateihandling und der Rechteverwaltung und können somit jede denk-
bare Änderung auf den PCs automatisiert vornehmen. Enthalten sind weiterhin Tools zur Anpas-
sung spezieller Konfigurationsfiles wie z.B. SAP.ini und TNSNAMES.ora. Durch die Nutzung von
‚Computer’- und ’Benutzer’-Variablen sind diese Änderungen individualisierbar und werden zur
Laufzeit während der Installation angepasst durchgeführt.

5.2.3. Empirum Package Editor

Der Empirum Package Editor ermöglicht die einfache Anpassung beziehungsweise Erstellung
von Empirum Scripts. Anhand einer grafischen Oberfläche lassen sich sehr schnell Befehle aus
dem Befehlsvorrat integrieren und die verfügbaren Parameter setzen. Zusätzlich bietet der Empi-
rum Package Editor einen Debug-Modus zum Test der Scripts an. Breakpoints, Variablenauflö-
sung und Einzelschritt helfen schnell eventuell vorhandene Fehler zu beheben.

5.2.4. Empirum MSI Suite

Mit der Empirum Package Suite werden Tools zur vereinfachten Anwendung der MSI-
Technologie bei Softwareverteilungen mitgeliefert. Nur so lassen sich die Stärken der traditionel-
len Installationsmethode (Flexibilität, Individualisierung) mit denen der MSI-Technologie (Stan-
dardisierung, Self-Healing) kombinieren.

In der MSI Suite sind die folgenden Funktionen enthalten:

MSI-Converter – Konvertierung von Empirum Scripts nach MSI Datenbanken (MSI-Jobs). Der
MSI-Converter ermöglicht das Erstellen von neuen MSI-Installations-Jobs. Durch Nutzung einer
so genannten Custom.dll (Herstellererweiterung) wird der Funktionsumfang von MSI deutlich er-
höht.

MSI-Transformer – Erzeugt Installationsvorgaben für unbeaufsichtigte Installationen (MST-

Files). Dies wird durch die Protokollierung und Umwandlung einer simulierten MSI-Installation er-
reicht. Der MSI-Transformer ist auch über den Empirum Package Wizard steuerbar.

MSI-Patcher – Nachdem MSI-Installationen auf den PCs ausgeführt wurden, können Änderun-
gen der Installation (z.B. File-Updates) nicht mehr durch einen einfachen Dateiaustausch durch-
geführt werden. Das in MSI integrierte „Self-Healing“ würde stets versuchen, den Ursprungszu-
stand wiederherzustellen. Der MSI-Patcher erlaubt es, die gewünschten Änderungen sowohl auf
bereits installierten PCs als auch auf den Administrationsquellen durchzuführen

MSI-Tuner – Bevor ein bestehendes MSI-Paket auf mehreren PCs installiert wird, können mit
dem MSI-Tuner Änderungen am Paket vorgenommen werden. Diese Änderungen können ent-
weder direkt in das MSI-Paket integriert oder als MST-File beim Aufruf übergeben werden.

Seite 14 von 36
Empirum Softwaremanagement

5.3. Empirum Patchmanagement

Das Empirum Softwaremanagement enthält ein vollständig integriertes Patchmanagement. Dieses

erlaubt es, Patches automatisiert von der Microsoft-Website (Windows Update) oder von einem im
LAN verfügbaren SUS- bzw. WSUS-Server herunter zu laden und in die Empirum Softwareverteilung
zu integrieren. Es wird keine zusätzliche Paketierung benötigt. Der Administrator kann unter mehre-
ren Automatisierungsstufen für den Download- und die Freigabeprozess der Patches wählen. Von
vollautomatisch (set and forget) bis komplett manuell gesteuert – alles ist bei diesem Vorgang mög-
lich. Bevor ein Patch für frei definierbare PCs und Server freigegeben wird, kann der Administrator
den Patch auf ausgewählten Systemen oder in definierten Bereichen testen. Erst wenn die Tests er-
folgreich verlaufen sind, wird der Patch generell freigegeben. Die Freigabe kann bei Bedarf auch au-
tomatisch nach einem vorgegebenen Testzeitraum erfolgen. In Verbindung mit dem Empirum Inven-
tory ist der Patch-Status für alle Systeme sehr schnell verfügbar (vulnerability check).

Lokaler Microsoft SUS/WSUS

oder

Abbildung 5: Empirum Patchmanagement

Seite 15 von 36
 Empirum Softwaremanagement
Die Features des Empirum Patchmanagements im Einzelnen:

Unterstützung aller aktuellen Microsoft Betriebssysteme und Komponenten (analog zu Microsoft

Software Update Service)
Unterstützung von Microsoft Office, Exchange und SQL
Automatisierte Benachrichtigung über neue Sicherheits-Patches per Mail oder SNMP
Unterstützung von Proxy- oder vorhandenen SUS- bzw. WSUS-Servern zum Download der Pat-
ches
Selektiver Download (nur die benötigten Sprachen und Patches werden herunter geladen)
Frei definierbare Patch-Klassen zur gezielten Freigabe der Patches
Test-Flag zum gezielten Testen neuer Patches auf beliebigen Zielsystemen
Ausklammern von bestimmten Patches für spezielle Systeme (Citrix, Oracle Server..)
Automatisierbarer Workflow – Auto-Download, Auto-Test, Auto-Approve
Keine manuelle Paketierung notwendig
Vollständig in das Bedienungskonzept und die Infrastruktur Empirums integriert
Berücksichtigung der Installationsparameter (Exklusiv installieren, Reboot erforderlich usw.)
Eigenes Check-Programm zur Analyse der auf dem jeweiligen Zielsystem benötigten Patches
Rückmeldung der Installationen per Inventory
Spezielle Reports zur Auswertung des Patch-Status der Clients

Seite 16 von 36
Empirum OS Installer
6. Empirum OS Installer
Mit dem Empirum OS Installer lassen sich auf komfortable und einfache Weise vollständig automatisierte
Betriebssysteminstallationen vorbereiten und durchführen. Unterstützt werden alle Microsoft® Windows-
Workstation- und Server-Betriebssysteme sowie Suse und RedHat Linux. Neben dem standardmäßig
genutzten‚ unattended’ (bedienerlosen) Installationsverfahren ist die ‚Imaging’-Lösung „Ghost“ von Sy-
mantecTM vollständig integriert (Lizenzen sind separat zu erwerben). Grundlage der Installationen von
Windows-Betriebssystemen sind graphisch erstellte EIS-Scripts, die der Empirum OS Installer Script
(EIS) Interpreter abarbeitet. EIS erkennt die zugrunde liegende Hardware des zu installierenden Systems
und erzeugt dynamisch die nötigen ‚Unattended’-Dateien. EIS steuert auch die vollautomatisierte Installa-
tion inklusive der Partitionierung, Formatierung und kopiert die für das Zielsystem benötigten Hardware-
treiber und Betriebssystemdateien inklusive der benötigten Erweiterungen (Tablet-PC, MUI-Sprachen.
etc.). Bei Linux werden dynamisch Antwortdateien für die von den Distributoren gelieferten Installations-
routinen (zum Beispiel AutoYast bei SUSE) erzeugt.

Neben dem Installieren von Betriebssystemen ist auch das sichere Löschen aller Daten auf der Festplatte
eine wichtige Funktion des Empirum OS Installers. Diese „End of Life“ genannte Funktion verhindert
wirkungsvoll das Wiederherstellen von sensiblen Daten nachdem der Computer am Ende des Lebens-
zyklus an den Lieferanten oder Händler abgegeben wurde.

6.1. Treiberverwaltung – genial einfach und einzigartig

Die integrierte Treiberverwaltung des Empirum OS Installers ermöglicht eine Hardwareerkennung,

mit Hilfe derer Windows basierende PCs auch ohne Kenntnis der Zielhardware durch ungeschultes
Personal einfach installiert werden können. Empirum erkennt welche Treiber benötigt werden und
kopiert/installiert diese während der Betriebssysteminstallation. Es werden also nicht alle bekannten
Treiber prophylaktisch ohne echten Bedarf auf die PCs kopiert. Die Treiberdatenbank wird initial
durch eine im Lieferumfang von Empirum enthaltene DVD gefüllt und kann jederzeit per Online-
Update bei matrix42 auf den neuesten Stand gebracht werden. Dadurch sinkt der Verwaltungs- und
Anpassungsaufwand für die Administratoren erheblich. Das Einbinden eigener oder neuer Treiber
gestaltet sich durch die Nutzung eines Wizards sehr einfach. Neben den Basistreibern für Netz-,
Grafik- und Soundkarten werden auch SCSI und P&P Treiber (beispielsweise Chipsatz, Modem,
USB etc.) unterstützt.

Seite 17 von 36
 Empirum OS Installer

Abbildung 6: Treiberverwaltung Empirum OS Installer

Gestartet werden Betriebssysteminstallationen durch Boot-Disketten, CDs, PXE-Images (Preboot E-

xecution Environment) oder eine auf dem PC eingerichtete Empirum Partition. In Verbindung mit
PXE und WOL (Wake On Lan) lässt sich so eine vollständig automatisierte Betriebssysteminstallati-
on oder Migration zeitgesteuert aus der Ferne starten und überwachen.

Es können drei Installationsarten verwendet werden:

Auto – Die Installation erfolgt ohne weitere Eingaben unter Beachtung aller vorgegebenen Definitio-
nen (z.B. Betriebssystem, IP-Adresse, Computername etc.).

Manuell – Während der Installation können aus einer Liste Installationsvorlagen ausgewählt werden.
Optional lassen sich in diesem Modus während der Installation auch Eingaben (z.B. PC-Name) täti-
gen.

Template – Vollständig automatisierte Installation. Die Installationsvorgaben werden dynamisch aus

den PC-Eigenschaften in der Empirum-Datenbank und den Betriebssystemvorgaben erzeugt.

6.2. Arbeiten mit dem OS Installer

Bei der Arbeit mit dem OS Installer sind zwei wesentliche Aufgabenbereiche zu unterscheiden. Zu-
nächst soll nachfolgend auf die vorbereitenden Tätigkeiten und anschließend auf die Steuerung und
Überwachung von Installationen eingegangen werden.

Die Vorbereitung der Betriebssysteminstallationen erfolgt in der Empirum Management Konsole an-
hand von 5 Reitern:

1. Disketten bzw. PXE-Image Erstellung – Auf Basis von vordefinierten Disk-Templates können
Disketten und PXE-Images zur Betriebssystem-Installation erstellt werden. Enthalten sind Templates
für Microsoft und Novell Netzwerke, Linux, Ghost-Installationen und Spy-Disks/Images. Diese Spy-
Disks erlauben das automatisierte Auslesen der Hardwareinformationen zur einfachen Treiberinteg-
ration.

Seite 18 von 36
Empirum OS Installer
2. Betriebssystemkonfiguration – Einfaches Erstellen von Installationsvorgaben für die verschie-
denen Betriebssysteme anhand nachempfundener Originaldialoge. Diese Einstellungen betreffen
z.B. Länder- und Spracheinstellungen, Video-Einstellungen, Netz- und Systemdienste-
Konfigurationen, zu installierende Dienste sowie Spiele und erweiterte Anwendungen (beispielswei-
se IE, Novell Client, MSN-Messenger). Neben den Betriebssystemkonfigurationen werden in diesem
Bereich die „End of Life“ Templates konfiguriert.

3. PXE-Verwaltung – Erlaubt das Überwachen von PXE-gestützten Installationen sowie das nach-
trägliche Anpassen von PXE-Images.

4. Softwareverwaltung – Einfaches Importieren der zur Installation benötigten Dateien (Betriebs-

system, IE, Novell Client, Option Pack). Unterstützt werden unterschiedliche Sprachen und MUI
(„Multilingual User Interface“). Je Betriebssystem können mehrere Servicepack-Level parallel vor-
gehalten werden (ab Win2000).

5. Hardware – Verwaltung der integrierten Treiber-Datenbank. Ermöglicht das Online-Update der lo-
kalen Datenbank mit dem matrix42 FTP-Server oder einer anderen Quelle (bereitgestellte Treiber-
DVD) sowie das Einpflegen eigener Hardwaretreiber.

Abbildung 7: Betriebssystemkonfigurationen festlegen

Die Vorbereitungen sind in der Regel nur einmal zu treffen. Sind die gewünschten Betriebssysteme
und Treiber importiert, werden nur noch die Installationsvorgaben und ein PXE-Image angelegt.
Einmal integrierte Hardwaretreiber oder Betriebssysteme lassen sich immer wieder für beliebig viele
Installationen verwenden.

Seite 19 von 36
 Empirum OS Installer
Das eigentliche Tagesgeschäft, die Steuerung und Überwachung von Betriebssysteminstallatio-
nen, wird anhand des schon beim Empirum Softwaremanagement beschriebenen Rollenmodells
durchgeführt. Dies gewährleistet eine einfache Bedienung und vollständige Reproduzierbarkeit.

Abbildung 8: Die Konsole des OS Installer zum Zuweisen von PCs und
Servern zu Betriebssystemkonfigurationen über das Empirum Rollen Modell

Die Aufgabe, eine beliebige Anzahl von PCs oder Servern zu installieren, reduziert sich auf die Bil-
dung von Rollen/Gruppen mit entsprechenden Betriebssystem-Templates und PXE-Images. Sollen
nun PCs oder Server aufgesetzt werden, genügt das Zuweisen zur passenden Rolle und ein an-
schließendes Aktivieren. Die Aktivierung bestimmt den Zeitpunkt (zeitgesteuertes WOL) und veran-
lasst Empirum für jedes aktivierte Gerät eine individuelle Installationsvorgabe (unattended-Datei) zu
erzeugen. Dazu werden die in der Datenbank gespeicherten Informationen zu dem einzelnen Sys-
tem mit den generellen Informationen des Betriebssystem-Templates kombiniert. Alle weiteren
Schritte werden von der Hardwareerkennung und dem EIS Interpreter automatisiert durchgeführt. Es
müssen keine individuellen Treiberzuweisungen oder Partitionierungseinstellungen vorgenommen
werden.

Am Ende des Lebensyzyklus eines PC werden die auf der Festplatte gespeicherten Daten durch
Empirum sicher gelöscht. Dazu muss der Administrator den PC nur über den „End of Life“ Wizard
zum Löschen frei geben. Es werden die gängigen Standards zum Überschreiben der Festplatte (BSI
und DoD) unterstützt und ein gesondertes Recht in Empirum schützt vor Missbrauch.

Durch das im Empirum OS Installer enthaltene Programm Empirum Sync (siehe 9.3) können
Clients auch standortübergreifend von vor Ort installierten Depots automatisiert installiert werden,
ohne dass die Dateien immer wieder erneut über das WAN (Wide Area Network) übertragen werden
müssen.

Seite 20 von 36
Empirum Personal Backup
7. Empirum Personal Backup
Empirum Personal Backup wurde entwickelt um einen PC nach einem Hardware- oder Softwaredefekt
beziehungsweise einer geplanten Neuinstallation oder Migration jederzeit komplett wiederherstellen zu
können.

Personal Backup sichert Anwendungskonfigurationen und Daten auf ein Netzwerklaufwerk oder anderes
Speichermedium. Sicherungen erfolgen komprimiert, inkrementell und können in mehreren Generationen
vorgehalten werden. Personal Backup kann außerdem versionsübergreifend migrieren, also beispiels-
weise von NT4 nach XP oder Office97 nach Office2003.

Abbildung 9: Die zentrale Management Komponente

Folglich entfallen nach dem Neuaufsetzen eines PC der langwierige Konfigurationsaufwand und die
Suche nach den ggf. nicht mehr vorhandenen Daten. Beides spart viel Zeit beim Administrator und dem
Benutzer.

Die Steuerung, welche Daten/Einstellungen zu welchem Zeitpunkt gesichert werden, erfolgt zentral über
die Empirum Managementkonsole. Die Rücksicherung kann durch den Anwender gestartet werden oder
im Falle einer PC-Neuinstallation automatisch erfolgen (’Exact Disaster Recovery’).

Seite 21 von 36
 Empirum Personal Backup
Personal Backup kennt zwei Betriebsarten:

Administrationsmodus Benutzermodus

In diesem Modus kann ein Benutzer oder Personal Backup wird durch den Benutzer beim
Programm mit administrativen Rechten Personal Anmelden automatisch gestartet und sichert
Backup starten und alle auf dem PC gespeicher- dessen Daten und Konfigurationen regelmäßig
ten Profile in einem Durchgang sichern. Dies ist zum eingestellten Zeitpunkt (feste Zeit, statis-
beispielsweise für Migrationsprojekte sehr tisch verteilt, Event). Somit können im Falle
wertvoll, da in einem Sicherungslauf alle eines Hardwaredefekts oder einer Migration die
relevanten Daten und Konfigurationen zuverläs- Daten jederzeit automatisiert wieder hergestellt
sig erfasst werden, ohne dass ein Anwender werden. Der Anwender wird durch eine laufende
angemeldet sein muss. Die Rücksicherung Sicherung nicht in seiner Arbeit gestört.
erfolgt wieder vollautomatisch auf dem neuen
PC.

Im Lieferumfang enthalten sind Definitionen vieler gängiger Softwareanwendungen und Betriebssystem-

einstellungen. Diese Definitionen sind durch die Verwendung dynamischer Variablen so gehalten, dass
sowohl die Sicherung als auch die Rücksicherung (Wiederherstellung) unabhängig von den Installations-
verzeichnissen beziehungsweise Laufwerken ist. Eigene Definitionen lassen sich leicht erstellen und
anpassen. Zur Unterstützung von Migrationen lässt sich das Sicherungs- und Rücksicherungsverhalten
für unterschiedliche Betriebssysteme gezielt steuern, um Konfigurationen an neue Versionen anzupassen
oder Dokumentenablagen zu konsolidieren.

Seite 22 von 36
Infrastruktur
8. Empirum Remote Control
Empirum Remote Control zeichnet sich durch ein breites Anwendungsspektrum und zahlreiche Funktio-
nen aus. Es ist sowohl für die effiziente Fernwartung im Support wie auch für die Administration von
Servern konzipiert und ermöglicht durch seine Funktionalitäten erhebliche Supportkosteneinsparungen.
Als eigenständiges Produkt, das sich vollständig in die Empirum Suite integriert, ist eine Installation
sowohl mit als auch ohne Empirum PRO möglich.

8.1. Einsatzbereiche

Die besonderen Funktionen von Empirum Remote Control ermöglichen den Einsatz für verschiedene
Aufgaben:

Hilfe bei Computerproblemen - Empirum Remote Control ermöglicht es den Mitarbeitern im Unter-
nehmen schnelle und unkomplizierte Hilfe bei Computerproblemen zu erhalten. Der Support kann
sich nach Freigabe durch den Mitarbeiter dessen Bildschirminhalt anzeigen. Der Mitarbeiter kann
bestimmen, ob sein Computer ferngesteuert werden darf, oder ob der Mitarbeiter im Support ohne
Maus und Tastatur Steuerung mit einem Zeigepfeil helfen soll. Zeit- und kostenintensive Besuche
vor Ort werden so überflüssig.

Administration von Servern - Empirum Remote Control ist auch für die Administration und Fern-
wartung von Servern konzipiert. Ist Empirum Remote Control Host als Dienst installiert, so kann sich
auf dem Server angemeldet und dieser gesteuert werden, auch wenn kein Benutzer angemeldet ist.
Je nach Konfiguration kann auch direkt ohne Bestätigung eines angemeldeten Benutzers fernge-
steuert werden. Maximale Sicherheit wird unter anderem über individuelle Passwörter jederzeit ge-
währleistet.

Schulung von Mitarbeitern - Mit Empirum Remote Control kann die Blickrichtung einfach gewech-
selt werden, so dass der eigene Bildschirm auf dem Computer des Sitzungspartners angezeigt wird.
Die Blickrichtung ist jederzeit wieder umkehrbar. Mitarbeiter können so in Anwendungen geschult
werden und dem Support ist es möglich, noch einfacher Hilfestellung zu geben.

Seite 23 von 36
 Empirum Remote Control

8.2. Funktionen

Empirum Remote Control bietet eine Vielzahl von Funktionen, die den Einsatz für verschiedene Auf-
gaben ermöglichen und erhebliche Supportkosteneinsparungen ermöglichen.

Das Empirum Remote Control Fenster ist frei skalierbar. Ein Supportmitarbeiter kann so unabhängig
von der Auflösung des gesteuerten Computers den Bildschirminhalt des Sitzungspartners ohne
Scrollbalken sehen. Die Skalierung lässt sich allerdings auch ausschalten, so dass der Bildschirm in
Originalauflösung und gegebenenfalls mit Scrollbalken angezeigt wird.

Es können gleichzeitig mehrere Computer ferngesteuert werden. Vergleichen von Einstellungen und
Monitoring von Anwendungen und Servern ist so sehr einfach möglich. Da die Fenster frei skalierbar
sind, verliert man zudem nicht den Überblick.

Empirum Remote Control Host kann als Windows-Systemdienst automatisch ausgeführt oder als
normale Anwendung durch den Endanwender gestartet und beendet werden. Somit ist maximale Si-
cherheit gewährleistet. Wird Empirum Remote Control Host als Windows-Systemdienst installiert, so
ist es auch möglich sich auf einem Computer anzumelden und diesen fernzusteuern, selbst wenn
kein Be-nutzer angemeldet ist.

Eine besondere Funktion ist die Umkehr der Blickrichtung. Ein Supportmitarbeiter kann so einem
Endanwender seinen eigenen Bildschirm und bestimmte Anwendungen zeigen und so noch effizien-
ter Hilfestellung geben. Zudem können Mitarbeiter so sehr einfach in Anwendungen geschult wer-
den.

Empirum Remote Control unterstützt True Color und bietet durch eine dynamische Datenkompressi-
on hohe Geschwindigkeit auch bei geringer Bandbreite.

Dateien und Ordner können mit Empirum Remote Control einfach per "Drag & Drop" übertragen
werden. Dies funktioniert in beide Richtungen und ist sehr einfach.

Eine besondere Sicherheitsfunktion ist die Möglichkeit, für jede Sitzung Log-Dateien und Aufzeich-
nungen zu erstellen. Aktionen am Bildschirm können so als Film mitgeschnitten werden. Somit sind
alle Aktionen jederzeit nachvollziehbar dokumentiert.

Alle Datenübertragungen erfolgen mit einer 128 Bit Blowfish Verschlüsselung. Für die zu steuernden
Clients gibt es mehrere Sicherheitsstufen. So kann ein Supportmitarbeiter nur die Clients fernsteu-
ern, für die er den jeweiligen Schlüsselsatz (Passwort) besitzt. Zudem ist es möglich, für jede Sit-
zung einen individuellen Schlüsselsatz zu vereinbaren. Empirum Remote Control kann so installiert
werden, das ein Endanwender die Anwendung nur startet, wenn er Unterstützung möchte. Somit ist
maximale Sicherheit gewährleistet.

Seite 24 von 36
Infrastruktur
9. Systemanforderungen und unterstützte Infrastruktur
Empirum nutzt eine oder mehrere SQL-Datenbanken zur Verwaltung aller Informationen. Neben den
Datenbankservern kennt Empirum außerdem noch Dienste- und Depotserver. Auf den Diensteservern
laufen die für Empirum nötigen Systemdienste, die mit der Datenbank kommunizieren. Depotserver
dienen der Lastverteilung und beherbergen die zur Installation von Betriebsystemen und Anwendun-
gen/Patches benötigten Dateien (Pakete). Mit Empirum kann für jedes Depot unabhängig die Anzahl der
maximal zulässigen Parallelinstallationen eingeschränkt werden. Somit ist je nach Netzwerkstruktur die
optimale Auslastung einstellbar. Im einfachsten Fall werden alle Empirum Services (Datenbank, Dienste
und Depot) auf einem System vereint. Diese Installationsart ist für Unternehmen mit einem Standort und
einigen hundert PCs völlig ausreichend. In komplexeren Strukturen mit tausenden PCs und mehreren
Standorten können diese Server auf mehrere Systeme verteilt werden.

Abbildung 10: Beispiel Infrastruktur

Serverseitig unterstützt Empirum folgende Systeme:

Datenbanken – MSDE Runtime, Microsoft-SQL, Oracle

Datenbankserver – Windows Server, Linux, Unix, Netware
Diensteserver – Windows Server, Linux
Depotserver (mit PXE) – Windows Server, Linux
Depotserver ohne eigenen PXE-Dienst - Windows Server, Linux, Unix, Netware und alle Geräte die
Freigaben bereitstellen können (z.B. NAS).

Seite 25 von 36
 Infrastruktur
Die genauen Versionen der einzelnen Produkte können Sie über unsere Web-Site http://www.matrix42.de
oder Ihren Empirum-Ansprechpartner erfragen.

Die Kommunikation der Server untereinander erfolgt über Datenbankverbindungen bzw. Freigaben. Um
die ggf. an unterschiedlichen Standorten befindlichen Depots aktuell zu halten, wird Empirum Sync ein-
gesetzt (siehe 9.3). Dieses als Systemdienst implementierte Programm synchronisiert zu vorgegebenen
Zeitpunkten die Depots mit dem zentralen Server und verschiebt die von den Endgeräten erzeugten
Inventory- und Log-Informationen zu den zentralen Diensteservern.

9.1. Flexibilität und Skalierbarkeit

Mit dem Ziel Empirum flexibel und skalierbar zu gestalten, wird bei der Entwicklung konsequent auf eine
Trennung zwischen der Client/Server-Kommunikation und der Datenbankkommunikation geachtet. Alle in
der Datenbank konfigurierten Installationsinformationen (welches Betriebssystem beziehungsweise
welche Software soll wann, wie und wo de-/ installiert werden) schreibt der Empirum Activation-Service
automatisiert in so genannte Client-Informationsdateien. Diese, als Textfile realisierten Dateien, werden
auf den Depots vorgehalten und von auf den PCs installierten Agenten gelesen und interpretiert. Alle vom
PC erzeugten Informationen wie beispielsweise Inventory- und Log-Dateien werden von den Depots
zurück zu den Diensteservern verschoben und von den entsprechenden Empirum-Diensten in die Daten-
bank geschrieben. Es ist keine direkte Kommunikation zwischen den Endgeräten und den zentralen
Empirum Servern bzw. der Datenbank notwendig. Damit wird die Verwaltung und parallele Bedienung
von beliebig vielen Endgeräten/Usern mit einer zentralen Datenbank ermöglicht. Sollen sehr große Um-
gebungen bzw. verschiedene, voneinander getrennte Mandanten („MSP“, Managed Service Provider)
verwaltet werden, können mehrere Datenbanken von einer Empirum Konsole aus genutzt und Informati-
onen der verschiedenen Datenbanken automatisiert in eine zentrale Reportingdatenbank überführt wer-
den.

9.2. Administrationsmodelle

Empirum bietet mehrere Möglichkeiten, die Administration regions- oder gruppenbezogen durchzuführen.
Neben dem integrierten Rechtemodell zur Delegation von Administrationsaufgaben in einer Empirum
Datenbank sind Implementierungsmodelle vorhanden, die beispielsweise eine zentralisierte Verwaltung
mit dezentraler Administration ermöglichen.

Seite 26 von 36
Infrastruktur

Abbildung 11: Das Empirum drei Ebenen Modell

Das Empirum 3-Ebenen-Modell wird beispielsweise verwendet, um zentrale Definitionen mit dezentraler
Administration zu verbinden. Eine zentrale Empirum Rollen- und Reporting-Datenbank wird zur Definition
von unternehmensweit gültigen Standards (Rollen / Konfigurationsgruppen, Templates, Patchfreigaben
u.v.m.) verwendet. Diese Definitionen werden in Echtzeit an die untergeordneten Standorte übertragen,
um dort den Administratoren abhängig von deren Berechtigungen zu gestatten, diese Definitionen um
eigene Unter-Rollen und Software zu ergänzen. Um alle relevanten Inventory- und Softwareverteilungs-
daten auch regionsübergreifend verfügbar zu haben, werden diese Informationen regelmäßig konsoli-
diert.

Seite 27 von 36
 Infrastruktur

9.3. Empirum Sync

Ein zuverlässiger und schneller Abgleich der Empirum Server untereinander wird durch den Einsatz
von Empirum Sync gewährleistet. Empirum Sync ist als Windows Systemdienst implementiert und
verwaltet alle im Zusammenhang mit dem Abgleich von Depotservern anfallenden Synchronisations-
und Kopieraufgaben. Diese Aufgaben umfassen den Abgleich der Softwarepakete, der Betriebssys-
temquellen und Treiber sowie das Kopieren der Log- und Inventory-Dateien von einem Depotserver
zum zentralen Diensteserver. Jede dieser Aufgaben kann individuell an die eigenen Anforderungen
in Bezug auf Zeitsteuerung und Übertragungsprotokoll angepasst werden.

Konfiguriert werden die einzelnen Aufgaben in der Empirum Management Konsole. Sind die benötig-
ten Werte für die jeweiligen Depotserver in deren Variablen hinterlegt, wird diesen nur noch das Em-
pirum Paket „Empirum SubDepot“ zugewiesen. Sobald dieses installiert ist, baut sich das Depot
selbständig auf und sorgt für die ständige Aktualisierung nach den eingegebenen Vorgaben. Zur Ü-
berwachung können der Empirum Sync Monitor und das in Empirum enthaltene Alarming einge-
setzt werden.

Zusammengefasst eine Funktionsübersicht zu Empirum Sync:

Synchronisation von beliebigen Datenbeständen
Kopieren und Verschieben von Dateien
Übertragung per SMB (Windows Shares) oder rsync (Übertragungsprotokoll)
Abgleich und Übertragung nur von neuen oder geänderten Empirum Paketen
Byte Level Differencing (nur die Änderungen innerhalb der Dateien werden übertragen, nur
rsync).
Empirum Sync kann bei Verwendung von rsync auch auf Linux-, UNIX oder NovellServern be-
trieben werden. Als Ziel-Server können beliebige Server oder Netzwerkspeicher, die das SMB-
Protokoll unterstützen, verwendet werden.

Seite 28 von 36
Infrastruktur

9.4. Empirum Automation Interface

Empirum bietet zwei einfach zu nutzende Schnittstellen um Aufgaben des Softwaremanagement

vollständig zu Automatisieren. Somit ist eine sehr einfache Integrierbarkeit in übergreifende
Workflow- oder Systemsmanagement-Lösungen möglich - Empirum als die perfekte Softwarevertei-
lungs-Engine.

Abbildung 12: Empirum als Softwareverteilungs-Engine

Empirum Command Line Interface (CLI)

Das Empirum CLI ist in den Produkten Empirum Softwaremanagement und Empirum OS Installer
enthalten. Durch einfache Kommandozeilen-Aufrufe lassen sich vielfältige Konfigurations-, Vertei-
lungs- und Installationsaufgaben automatisieren.

Folgende Möglichkeiten bietet das Empirum CLI (Auszug aus dem Funktionsumfang):
Zuordnen einer Software zu einer Konfigurationsgruppe oder einem Computer
Zuordnen eines Computers zu einer Software-Gruppe
Zuordnen von PXE-Images und OS Installer Templates zu Computern
Aktivieren von Software- und Betriebssysteminstallationen
Rückgabe von Errorlevels und Ausgabe von Logs

Seite 29 von 36
 Infrastruktur
Empirum Automation Interface

Zusätzlich zum CLI stellt matrix42 seinen Kunden eine weitere Automationsschnittstelle zur Verfü-
gung. Diese Schnittstelle basiert auf definierten Tabellen in der Empirum Datenbank und kann von
jedem beliebigen System bedient werden das auf Tabellen in Microsoft-SQL oder Oracle Datenban-
ken zugreifen kann. Die Nutzung von Tabellen hat gegenüber dem CLI einige Vorteile:

• Übermittlung sehr vieler Aufträge auf einmal und Abarbeitung als Queue
• Verfolgung des Staus auch bei lange laufenden Prozessen
• Übergabe von Meldungen aus Empirum an das externe System
• Laststeuerung der Aufträge durch Empirum möglich
• Mehrere Instanzen können die Schnittstelle parallel bedienen und abfragen
• Leichte Erweiterbarkeit durch einen Modularen Aufbau
• Plattformunabhängig nutzbar

Gesteuert wird die Schnittstelle durch vordefinierte Aufgaben und Parameter die in zwei Tabellen
eingetragen werden. Neben dem Auftrag werden auch Informationen zum Auftraggeber, dem Status,
der Priorität und Fehlermeldungen gespeichert. Der Automationsdienst Empirums nimmt die Aufträ-
ge nach einer Prüfung auf Plausibilität entgegen und setzt den Status entsprechend der Ausfüh-
rungsstandes von „New“ und „Qualified“ auf „Running“, „Success“ oder „Failure“. Zusätzlich werden
eventuell in Empirum erzeugte Fehlermeldungen eingetragen.

Das externe System kann so jederzeit den Status der eigenen Aufträge abrufen und abgearbeitete
Aufträge aus Empirum löschen.

Seite 30 von 36
Clientmanagement mit Empirum PRO
10. Clientmanagement mit Empirum PRO

10.1. Zuordnungsmöglichkeiten

Empirum bietet vielfältige Möglichkeiten, um Software Endgeräten zuzuordnen, zu verteilen und zu

installieren. Unter anderem werden folgende Zuordnungsmöglichkeiten unterstützt:

Rollen bzw. Konfigurationsgruppen für Computer und/oder Benutzer

Rechteinformationen des bzw. der eingesetzten Verzeichnisdienste (ADS, NDS, Domäne etc.).
Auf Inventarisierungsdaten basierende Filter (z.B. PCs, deren Servicepack-Level kleiner als 6 ist
oder deren Arbeitsspeicher mindestens 256 MB ist).
‚Software-On-Demand’ stellt den Anwendern einen Warenkorb mit ausgewählten Softwarepake-
ten zur Selbstinstallation zur Verfügung.
Feste Softwaregruppen, denen PCs zugeordnet werden.

10.2. Das Rollenmodell

Die umfassendste und effizienteste Möglichkeit, um auch in großen Umgebungen Softwaremana-

gement zu betreiben, besteht in der Nutzung des Empirum Rollenmodells. Dieses basiert auf der De-
finition von funktions- oder organisationsbezogenen Konfigurationsgruppen. Die Gruppen sind hie-
rarchisch aufgebaut und erben die Eigenschaften der übergeordneten Gruppen. Zusätzlich zu diesen
ererbten Eigenschaften kann jede Gruppe spezielle zusätzliche Attribute erhalten. Das bedeutet, aus
wenigen Grundkonfigurationen lassen sich schnell und komfortabel sämtliche organisatorisch benö-
tigten Konfigurationen generieren. Das hat den Vorteil, dass einmal definierte Standards nicht immer
wieder neu erstellt werden müssen oder übergangen werden können. Ausnahmen lassen sich
selbst-verständlich festlegen.

Abbildung 13: Das Empirum Rollenmodell

Seite 31 von 36
 Clientmanagement mit Empirum PRO
In der betrieblichen Praxis werden solche Konfigurationsgruppen (Rollen) häufig für die verschiede-
nen Abteilungen definiert. Jede einzelne Gruppe beschreibt, welche Software und welches Betriebs-
system die zugehörigen Benutzer beziehungsweise PCs erhalten sollen. Einer Gruppe können be-
liebig viele Elemente zugewiesen werden. Somit reduziert sich der Austausch eines PCs oder die
Konfiguration vieler neuer PCs auf wenige Mausklicks. Auch das Update von Anwendungen oder die
Verteilung von Servicepacks reduziert sich auf die Zuordnung bzw. den Austausch des jeweiligen
Distributionspaketes innerhalb der betreffenden Konfigurationsgruppe. Empirum sorgt im Hinter-
grund dafür, dass die notwendigen Client-Informationsdateien automatisch erzeugt und verteilt wer-
den. Die Individualisierung beruht auf der intelligenten Verbindung der allgemeingültigen Konfigurati-
on (Templates) mit der individuellen Konfiguration des PCs bzw. des Benutzers (Invento-
ry/Variablen).

10.3. Aktivierung des Rollout-Prozess

Nachdem die Konfigurationsgruppen definiert sind und alle Benutzer und/oder PCs zugeordnet
wurden, erfolgt die Aktivierung. Über einen Wizard gesteuert legt die Aktivierung fest, was wann in-
stalliert werden soll. Zur Auswahl stehen Betriebssysteminstallationen, PXE, WOL und Softwarein-
stallationen. Bei Softwareinstallationen können mit einem ‚Scheduler’ die zeitlichen Bedingungen für
den Installations- oder Deinstallationsprozess festgelegt werden. Stichtage, Intervalle und TTL
(‚Time-To-Live’) mit einer Deinstallation nach Ablauf der festgelegten Zeit sind möglich.

Auf den Endgeräten kann sich eine anstehende Installation auf verschiedenste Weise darstellen.
Dabei sind die Konfiguration des Agenten und die Einstellung des „Aktivieren“-Prozesses - für beides
ist der Administrator verantwortlich - entscheidend. Ist gerade kein Benutzer an dem betreffenden
System angemeldet, werden Installationen komplett im Hintergrund durchgeführt (z.B. nachts).
Wenn ein Anwender angemeldet ist, kann der Administrator entscheiden, ob dem Anwender eine In-
stallation

a) angekündigt und ihm mit der Information über die zu erwartende Installationszeit auch die Mög-
lichkeit zum Aufschieben der Installation gewährt wird; oder

b) die Installation unmittelbar durchgeführt wird.

In keinem Fall wird der Anwender wegen einer Installation abgemeldet, so dass er seine Arbeit un-
terbrechen müsste. Sind mehrere Pakete zu installieren, minimiert Empirum nötige ‚Reboots’ und be-
fragt den Anwender, ob ein eventuell notwendiger Neustart jetzt durchgeführt werden soll.

Seite 32 von 36
Clientmanagement mit Empirum PRO

10.4. Monitoring Rollout Prozess

Zu jedem Zeitpunkt stehen dem Administrator jegliche Status- und Vorgangsinformationen zu einem
Installationsauftrag über die ‚Monitoring’-Funktion zur Verfügung. Alle Informationen sind kontextbe-
zogen verfügbar:

Status – zeigt den Gesamtstatus eines Computers bzw. einer Gruppe anhand von „Ampelfarben“
und Detailinformationen an. Dieser wird ermittelt aus Inventarisierungsdaten und dem Installations-
log. Somit ist ein schneller Überblick über den Installationsstatus computer- und paketbezogen mög-
lich.

Abbildung 14: Statusanzeige – Computerstatus

Log – Listet alle Verteilungsaktivitäten für den ausgewählten Computer bzw. die Gruppe detailliert
auf. Angezeigt werden Erfolg, Fehler, nicht erfüllte ‚Requirements’ (Paket oder Hardwareabhängig-
keiten) und ‚Running’ (Installation aktiv). Ein direkter Wechsel zum entsprechenden Errorlog ist ein-
fach möglich.

SetupErrorLog – Enthält Details zu eventuell aufgetretenen Ereignissen bzw. Fehlern und Meldun-
gen der Installationsroutinen auf dem Bildschirm des jeweiligen Endgerätes.

Rollout-Koordination – Aktiver Überblick über alle aktuell laufenden bzw. kürzlich gelaufenen In-
stallationen. Die Aktualisierung der Anzeige erfolgt automatisch in Echtzeit.

Alle Anzeigen lassen sich mit Filtern belegen sortieren und die Inhalte exportieren. Zusätzlich kön-
nen mit der integrierten ‚Alarming’-Funktion E-Mails oder SNMP-Traps bei vorgegebenen Ereignis-
sen verschickt werden.

Seite 33 von 36
 Clientmanagement mit Empirum PRO
Diese Bündelung verschiedenster Funktionen gewährt der IT-Administration zu jedem Zeitpunkt volle
Transparenz über sämtliche Softwareverteilprozesse. Als eine einzigartige Funktionalität ist der au-
tomatisierte ‚Rollout-Abbruch’ hervorzuheben. Dieser ermöglicht es dem Administrator, einen
Schwellwert von Fehlinstallationen vorzugeben, ab dem der ‚Rollout’ bzw. Installationsprozess au-
tomatisiert flächendeckend abgebrochen und der Administrator per Alarm (z.B. eMail) benachrichtigt
wird. Selbst bei ausführlichen Tests gibt es keine volle Garantie dafür, dass Installationen einwand-
frei funktionieren - insbesondere bei Nutzung der Original-Herstellerroutinen. Ein automatisierter Ab-
bruch durch diese Funktion begrenzt den potentiellen Schaden sofort.

Abbildung 15: Automatisierter Rollout-Abbruch

Seite 34 von 36
Clientmanagement mit Empirum PRO

10.5. Empirum Administrationsrechte und -monitoring

Empirum bietet ein umfassendes Berechtigungskonzept um in großen oder verteilten Organisationen

den Administratoren die benötigten Rechte zu gewähren, ohne allen alles erlauben zu müssen. So
können einzelne Funktionen mit einem speziellen Recht belegt werden (z.B. End of Life oder PXE
Aktivierung) oder spezielle Rechte auf die Konfigurationsgruppen vergeben werden.

Zusätzlich bietet Empirum die Möglichkeit alle durchgeführten Aktionen in der Datenbank zu proto-
kollieren. Dies ist bei der Ursachenermittlung hilfreich bzw. dient dem Nachweis wer für durchgeführ-
te Aktivitäten verantwortlich ist. Beispielsweise kann nachvollzogen werden, wer wann eine Konfigu-
rationsgruppe verändert hat oder einen PC zur Betriebssysteminstallation aktiviert hat. Es ist konfi-
gurierbar ob alles, nur kritische Aktionen oder nichts protokolliert werden soll.

10.6. Das Mobile Client Konzept

Unter Empirum kommt dem Umgang mit Notebooks eine besondere Bedeutung zu. Wie bei stationä-
ren PCs im LAN-Umfeld ist es auch hier das Ziel, Betriebssystem und Software schnell und automa-
tisiert zu verteilen. Im Notebook-Umfeld mit seinen wechselnden Standorten und Verbindungstypen
müssen jedoch einige Besonderheiten beachtet werden. Der „Empirum Mobile Client“ wurde entwi-
ckelt, um Notebooks bandbreitenabhängig mit Software zu versorgen und Stichtagsinstallationen
auch ohne Netzwerkverbindung zuzulassen.

Das Mobile Client-Konzept besteht aus drei Elementen:

1. Die Empirum Partition – diese wird während der Erstinstallation automatisch angelegt und er-
möglicht die komplette Neuinstallation des Betriebssystems ohne Netzwerkverbindung.

2. Der Mobile Agent – dieser erweiterte Empirum-Agent baut abhängig von der zugewiesenen
Software ein lokales Cache-Depot auf. Installationen werden lokal ausgeführt und alle nötigen Infor-
mationen automatisiert, vom beziehungsweise zum Client hin transportiert (Log, Inventory, Variab-
len, Steuerdateien etc.). Die minimal zulässige Bandbreite kann generell und für jedes einzelne
Softwarepaket festgelegt werden. Die aktuell verfügbare Bandbreite wird vor jedem Serverkontakt
durch einen Dienst ermittelt. Um die Übertragung so effizient wie möglich zu gestalten, unterstützt
der Empirum Mobile Agent Technologien wie Checkpoint Restart und Byte Level Differencing.

3. Offline CD/DVD – ermöglicht die Zusammenstellung von CD/DVD-Datenträgern mit allen benötig-
ten Informationen zur Offline-Installation direkt aus der Managementkonsole heraus. Die Inhalte
werden optional in das Cache-Depot übertragen und anschließend lokal installiert.

Seite 35 von 36
 Clientmanagement mit Empirum PRO

Abbildung 16: Das Mobile Client Konzept mit Empirum

10.7. Empirum und Terminal Server

In vielen Unternehmen existieren neben den bekannten Client/Server-Umgebungen mit klassischen

PCs oder Notebooks häufig auch Terminal- bzw. Citrix-Server als Endgeräte. Diese decken meist
spezielle Anforderungen ab und bedienen sowohl „Fat Clients“ als auch „Thin Clients“. Empirum bie-
tet die Möglichkeit, die Vorteile einer individualisierten Softwareverteilung und Konfiguration in das
Terminal-Server-Umfeld zu übertragen. Neben der automatisierten Serverinstallation ist die Möglich-
keit, die gleichen Softwarepakete auf PCs und Terminalserver zu verteilen, eine wichtige Funktion.
Der Aufwand für eine Paketierung wird reduziert und eine echte Individualisierung (Applikationskon-
figuration) für alle angemeldeten Benutzer ist gewährleistet. Zusätzlich besteht mit Empirum Perso-
nal Backup die Möglichkeit, Konfigurationen und persönliche Daten (beispielsweise Bookmarks) vom
Terminalserver auf die PCs und umgekehrt zu übertragen.

Ein weiterer wichtiger Aspekt ist die Installation der Terminal- bzw. Citrix-Server selbst. Sind mehrere
Server zu einer Serverfarm zusammengeschlossen, ist eine identische Konfiguration der Server er-
forderlich. Empirum OS Installer kann auch diese Server über Rollen gesteuert vollständig automati-
siert installieren. Existieren mehrere Serverfarmen, können so sehr einfach bedarfsgerecht Server
von einer Farm in eine andere übernommen werden.

Seite 36 von 36