Empirum PRO 2005

Technisches Datenblatt

Stand: 15. November 2005

Copyright

Copyright © 2005 matrix42 AG Nachdruck, auch auszugsweise, nur mit schriftlicher Genehmigung gestattet. Empirum ist eine Marke der matrix42 AG. Windows, Windows NT, Windows 2000, Windows XP und Windows 2003 Server sind eingetragene Marken der Microsoft Corporation. Andere, an dieser Stelle nicht ausdrücklich aufgeführte, Firmen-, Marken- und Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Inhaber und unterliegen dem Markenschutz. Stand 15. November 2005

Seite 2 von 36

Inhaltsverzeichnis
1. 2. 3. 4. 5.
5.1. 5.2.

Das Unternehmen __________________________________________________ 4 Einleitung – Über Empirum PRO 2005 __________________________________ 5 Die Produkte der Empirum Suite ______________________________________ 6 Empirum Inventory _________________________________________________ 8 Empirum Softwaremanagement ______________________________________ 11
Der Empirum Agent______________________________________________________12 Die Empirum Package Suite _______________________________________________13
Empirum Package Wizard ____________________________________________________ 13 Empirum Scripts ____________________________________________________________ 14 Empirum Package Editor _____________________________________________________ 14 Empirum MSI Suite __________________________________________________________ 14

5.2.1. 5.2.2. 5.2.3. 5.2.4.

5.3.

Empirum Patchmanagement_______________________________________________15

6.
6.1. 6.2.

Empirum OS Installer ______________________________________________ 17
Treiberverwaltung – genial einfach und einzigartig______________________________17 Arbeiten mit dem OS Installer ______________________________________________18

7. 8.
8.1. 8.2.

Empirum Personal Backup __________________________________________ 21 Empirum Remote Control ___________________________________________ 23
Einsatzbereiche_________________________________________________________23 Funktionen ____________________________________________________________24

9.
9.1. 9.2. 9.3. 9.4.

Systemanforderungen und unterstützte Infrastruktur ____________________ 25
Flexibilität und Skalierbarkeit ______________________________________________26 Administrationsmodelle ___________________________________________________26 Empirum Sync__________________________________________________________28 Empirum Command Line Interface (CLI) _____________________________________29

10. Clientmanagement mit Empirum PRO _________________________________ 31
10.1. Zuordnungsmöglichkeiten _________________________________________________31 10.2. Das Rollenmodell _______________________________________________________31 10.3. Aktivierung des Rollout-Prozess ____________________________________________32 10.4. Monitoring Rollout Prozess ________________________________________________33 10.5. Das Mobile Client Konzept ________________________________________________35 10.6. Empirum und Terminal Server _____________________________________________36
Seite 3 von 36

Das Unternehmen 1. Das Unternehmen
Das Unternehmen matrix42 AG konzentriert sich seit über 10 Jahren auf den Bereich Automatisierung und Management von Desktop- und Server-Systemen. Durch den im Markt einzigartigen Ansatz eines integrierten Daten- und Prozess-Managements ist matrix42 AG in der Lage, im Betrieb unterschiedlichster IT-Infrastrukturen hohe Einsparungspotentiale durch größtmögliche Prozessautomatisierung zu erschließen. Durch volle Integration in bereits getätigte Investitionen erzielen diese, auf der Managementsoftware Empirum basierende Lösungen in kürzester Zeit messbare Mehrwerte in den betrieblichen Abläufen des Kunden. Empirum ist heute das Kerngeschäft der matrix42 AG. Grundlage Empirums war vor mehr als 10 Jahren eine für ein Großprojekt entwickelte Lösung zur dynamischen Softwareinstallation in gesicherten Umgebungen. Zu dieser Zeit existierte am Markt keine adäquate Lösung, um die an uns gestellten Anforderungen zu erfüllen. Ziel war es, in dem aufkommenden WindowsNT-Umfeld mit den eingeschränkten Benutzerrechten Software automatisiert zu verteilen und individualisiert zu installieren. Die entstandene Lösung wurde konsequent weiterentwickelt und 1996 so mächtig, dass daraus ein eigenständiges Produkt wurde. Im Laufe der Jahre entstand aus dem Softwareverteilungs-Tool eine mächtige und umfassende DeviceLifecycle Lösung – Empirum PRO. Neben Empirum PRO wurde im Jahre 2005 auf Wunsch unserer Kunden die Fernsteuerungssoftware Empirum Remote Control neu in das Produktportfolio aufgenommen. Empirum Remote Control ist vollständig in die Empirum Suite und die Prozesse des Software- und Clientmanagements integriert und ermöglicht durch seine Funktionalitäten erhebliche Einsparungspotentiale. Um eine marktgerechte Ausrichtung und einen Ausbau des Technologievorsprungs zu gewährleisten, wird die Weiterentwicklung Empirums größtenteils von unseren Kunden, Partnern und den PraxisErfahrungen unserer Consultants bestimmt. Auf diese Weise sichern wir langfristig den Erfolg von Empirum PRO und bieten unseren Kunden ein auf ihre Bedürfnisse zugeschnittenes Produkt, welches durch neue Funktionen weitere Prozessoptimierungs- und Einsparungspotentiale bietet.

Seite 4 von 36

Einleitung – Über Empirum PRO 2005 2. Einleitung – Über Empirum PRO 2005
Mit Empirum PRO können sämtliche vernetzte Endgeräte und Softwarebestände eines Unternehmens effizient verwaltet und von zentraler Stelle aus verfügbar gemacht werden. Die modular aufgebaute Software Suite ist vollständig datenbankbasierend und ermöglicht über die zentrale Managementkonsole die intuitive Bedienung aller Funktionalitäten: auf diese Weise können alle Bestandteile eines Systems – Betriebssystem, Applikationen sowie persönliche Einstellungen und Dateien – mit Empirum komfortabel verteilt, installiert oder modifiziert werden. Auch das sichere Löschen aller Daten zum Ende der Nutzungszeit gehört zum Leistungsspektrum. Diesen so genannten Lifecycle-Ansatz vereint Empirum PRO konsequent mit einem ausgereiften, rollenbasierenden Konfigurationsmanagement. Per Drag & Drop kann man die unternehmens-weiten Systeme und User beliebig gruppieren und ihnen anschließend die jeweils vorgesehene Software zuweisen. Die so definierten Konfigurationsstandards lassen sich innerhalb einer Verwaltungsgruppe weitervererben und gestatten es, auch in dezentralen IT-Umgebungen einheitliche, leicht zu pflegende Strukturen zu schaffen. Das vollständig integrierte Patchmanagement sichert die Endgeräte und Server gegen Angriffe auf bekannte Schwachstellen, ohne den Administrationsaufwand zu erhöhen. Installations- und Rollout-Prozesse können dank umfangreicher Skalierungs- und Monitoringfunktionalitäten variabel gesteuert und überwacht werden. Empirum PRO lässt sich sowohl vollständig als auch als modulare Ergänzung in bestehende ITInfrastrukturen und andere IT-Managementlösungen integrieren. Die zentralisierte Inventarisierung aller Systeme in Verbindung mit einem konsolidierten Berichtswesen und Alarm-Management schafft die Grundlage, um mit Empirum die eigene IT-Infrastruktur so transparent wie möglich zu machen. Über Veränderungen am Arbeitsspeicher eines PCs wird der Administrator mittels Inventarisierungshistorie und Alarm-Mechanismen genau so zeitnah informiert, wie über fehlgeschlagene Installationen oder die neuesten Patches von Microsoft. Empirum PRO - Manage. Save. Relax.

Seite 5 von 36

Die Produkte der Empirum Suite 3. Die Produkte der Empirum Suite
Empirum PRO ist eine homogene Device-Management-Suite, die aus vier Produkten besteht. Alle Produkte sind Eigenentwicklungen der Firma matrix42 AG und lassen sich beliebig kombinieren bzw. separat oder in Kombination mit anderen Managementlösungen verwenden. Die konsequente Eigenentwicklung der verwendeten Technologien ermöglicht eine weitaus tiefere Integration der Empirum Module, als es durch marktübliche Einbindung von OEM-Produkten möglich ist. Der maximale Nutzen eröffnet sich dem Anwender daher vor allem bei der Verwendung der Produkte im Verbund.

Unternehmensweite Inventarisierung von Hard- und Software, Reporting, Lizenzmanagement, Analyse der Applikationsnutzung

Automatisierte Softwareverteilung, vollständiges Patchmanagement, Paketierung und Installation

Automatisierte Betriebssysteminstallation und –Migration nach beliebigen Szenarien und Verfahren, dynamische Hardwareerkennung

Vollständiges Disaster Recovery persönlicher Arbeitsumgebungen auf Knopfdruck, Profilmigration

Abbildung 1: Die in Empirum PRO enthaltenen Produkte

Neben den in Empirum PRO enthaltenen Produkten ist als eigenständiges Produkt Empirum Remote Control erhältlich. Es ist vollständig in die Empirum Suite integriert und sowohl für die effiziente Fernwartung im Support wie auch für die Administration von Servern konzipiert.

Seite 6 von 36

Die Produkte der Empirum Suite
Die gesamte Suite wird zentral über die Empirum Management Console (EMC) bedient. Alle Module kommunizieren miteinander über die zugrunde liegende MS-SQL/Oracle-Datenbank. Um das Gesamtsystem performant und skalierbar zu gestalten, wurde die Kommunikation mit den durch Empirum verwalteten Knoten (Computer, Benutzer, Handhelds) von der Datenbank entkoppelt und auf Steuerdateien verlagert. Somit können sehr viele Systeme gleichzeitig in einer Datenbank verwaltet werden, ohne einen zentralen Engpass in der Kommunikation zu riskieren.

Abbildung 2: Die Empirum Management Konsole

Modulübergreifend ist Empirum so ausgelegt, dass möglichst jede vorhandene Infrastruktur (Netzwerk, Standorte, Domänen, NDS/ADS…) direkt abzubilden und zu verwalten ist. Die Kommunikation mit bestehenden Managementsystemen wird dadurch maßgeblich vereinfacht.

Seite 7 von 36

Empirum Inventory 4. Empirum Inventory
Als eigenständiges Produkt ist Empirum Inventory ein wichtiges Fundament für korrekte Planungen und Entscheidungen in der IT. Mit Empirum Inventory können alle im Unternehmen vorhandenen Geräte (Assets) wie Computer, Handhelds oder auch Router und Drucker einfach und effizient inventarisiert werden. Gerade Handhelds finden in Unternehmen eine immer größere Verbreitung und der Anspruch diese Geräte wie Computer verwalten zu können wächst. Mit Empirum Inventory ist es daher möglich, Handhelds wie Computer zu inventarisieren und detaillierte Informationen über diese Geräte automatisch zu erfassen und später abzurufen. Mit Empirum Inventory gewonnene Informationen können für verschiedene Einsatzbereiche im Unternehmen genutzt werden: Optimierung des Softwaremanagements - Im Verbund mit den anderen Produkten der Empirum PRO Suite dienen die aktuellen und detaillierten Informationen des Empirum Inventory der Optimierung des Softwaremanagements. Schon vor einem Rollout kann die wichtige Frage beantwortet werden, ob die PCs leistungsfähig genug sind oder die nötigen Systemvoraussetzungen zur Installation tatsächlich gegeben sind. Effizientes Management der Unternehmens-IT - Empirum Inventory stellt eine komplette und detaillierte Übersicht aktuell genutzter Hard- und Softwarevorhandener Computer, Handhelds und sonstiger Geräte wie Drucker oder Router zur Verfügung. Genaue Informationen über die IT-Infrastruktur und die eingesetzte Soft- und Hardware sowie deren Standort im Unternehmen, reduzieren die IT- und Supportkosten und sind die Grundlage für eine erfolgreiche IT-Strategie. Senkung von Lizenzkosten - Empirum Inventory bringt über das integrierte Application Usage Tracking (AUT) Transparenz und Kontrolle in das Software-Lizenzmanagement. Es kann genau nachvollzogen werden, welche Software wirklich eingesetzt wird und wie häufig und sogar wie bestimmte Be-nutzer installierte Software verwenden. Die gesammelten Daten ermöglichen ungenutzte Softwarelizenzen aufzuspüren und schaffen so drastische Kosteneinsparungspotentiale. Ein funktionierendes Lizenzmanagement schützt vor den Folgen illegalen Softwareeinsatzes und ermöglicht laut einer Studie von KPMG eine Kostenreduktion von bis zu 15%.1 In der übersichtlichen Empirum Management Konsole werden die wichtigsten Inventory-Informationen in einer konfigurierbaren Liste angezeigt. Frei definierbare Filter gestatten die einfache Vorselektion erfasster Systeme anhand beliebiger Kriterien und ermöglichen eine zielgenaue Auswertung und Weiterverwertung der Daten. Neben vielen vorgefertigten Reports (Crystal Reports), weit reichenden Exportmöglichkeiten und Standard-Adaptern stellen wir jedem Kunden das vollständige Datenbankschema auf Anfrage zur Verfügung. Dies gewährleistet eine einfache Integration in beliebige Asset- oder Workflowsysteme, einschließlich der eigenentwickelten Lösungen. Um auch ohne eine installierte Empirum Konsole auf alle Daten zugreifen zu können, existiert eine mit jedem aktuellen Web-Browser nutzbare Web-Konsole und eine grafische Client-Anwendung zur lokalen Inventory Anzeige.
1

Studie Lizenzmanagement in deutschen Unternehmen

Seite 8 von 36

Empirum Inventory

Abbildung 3: Das Empirum Inventory

Empirum Inventory bietet neben vorbereiteten Lizenzreports (zur Ermittlung der installierten Lizenzen) auch die Information, inwieweit diese Anwendungen auch wirklich genutzt werden (AUT – Application Usage Tracking). Diese beiden Funktionen helfen die Lizenzkosten im Unternehmen maßgeblich zu reduzieren. Eine integrierte Inventory-History erlaubt zudem die Nachverfolgung aller Änderungen auf den Clients und gestattet darüber hinaus das Versenden von Alarmen (Mail, SNMP…) bei konfigurierbaren Ereignissen. So kann der Administrator bspw. eine automatische Information per eMail konfigurieren, wenn sich der Arbeitsspeicher von 512 MB auf 256 MB reduziert. Die Ermittlung der Hard- und Softwareinformationen (Scan) auf Computern erfolgt anhand einer auf den Zielsystemen ausführbaren Datei. Es wird keine Installation auf dem Client vorausgesetzt (Ausnahme AUT), wobei der Aufruf auf mehrere Arten durchgeführt werden kann: per Loginscript (ohne Installation auf dem Client) per Mail oder Datenträger (offline Scan) per Empirum Softwaremanagement oder einer anderen Softwareverteilung Die Rücklieferung der ermittelten Informationen an den Server erfolgt durch die einfache Übertragung einer nur wenige KB großen Scandatei im komprimierten XML-Format auf den Server. Bei Handhelds wird der Inventory-Scanner über die Verbindung mit einem Client auf dem Gerät installiert. Die Übertragung der Scandatei kann entweder über eine direkte Verbindung zum Client (z. B. Cradle) oder mobil über http erfolgen. Aktuell werden alle Windows Client- und Server-Betriebssysteme sowie Novell/Suse, RedHat Linux, Sun Solaris und die Handheld Betriebssysteme Symbian OS Version 7.0s Serie 80, Palm OS ab Version 3.2 und Windows Mobile 2002 und 2003 für Pocket PC unterstützt. Zur Ermittlung der Informationen nutzt Empirum mehrere Verfahren:

Seite 9 von 36

Empirum Inventory
Hardware und Systemkonfiguration DMI – Hardwareschnittstelle (SMBIOS) WMI – Windows Management Instrumentation Sehr detaillierte Informationen zum PC / Server (Verteilung RAM in Speicherbänken, Ports, Seriennummer, etc.) Liefert ausführliche Informationen zur eingesetzten Hardware und den dazu verwendeten Treibern (Speicherkarten, Festplattentyp, Seriennummer, Lokale User etc.). Es können alle verfügbaren Werte ermittelt werden. Diese Funktion ist nur unter Windows verfügbar. Empirum Native Eigene Routinen zur Ermittlung der wichtigsten Systemeigenschaften wie Festplattenpartitionierung, freier Platz, Netzwerkkonfiguration, etc. Verfahren zur Ermittlung der installierten Software Erkennen der mit Empirum installierten Software Software, die mit anderen Installationsroutinen installiert wurden (InstallShield) MSI installierte Anwendungen (inkl. Details wie Source, GUID, Datum, Version etc.) Software Referenzliste Erkennen von Anwendungen anhand einer Referenzliste (inkl. Auslesen des Headers oder einer Versionsvorgabe) Dateierkennung Erkennen beliebiger Dateien inkl. Auslesen des Dateiheaders Liefert alle relevanten Informationen zu MSI-Installationen Empirum schreibt für jede installierte Software die wichtigsten Informationen in die Registry Erkennung anhand der Einträge in der Registry (Uninstall und weitere konfigurierbare Registry-Schlüssel)

Zusätzlich werden weitere, für ein effizientes Systemmanagement notwendige, Parameter ermittelt. Frei wählbare Informationen aus der Registry Environment Variablen Wie groß ist das TempVerzeichnis? Ist der User Administrator? Benutzerabfragen Systemdienste und deren Status Userdomäne oder NDS-Tree Informationen aus Ini-Dateien

Seite 10 von 36

Empirum Softwaremanagement 5. Empirum Softwaremanagement
Unternehmensweite Softwareverteilung und Standardisierung sind ein probates Mittel zur Reduktion der Kosten für die Verwaltung von Clients und Servern. Empirum Software Management leistet hier mehr, als nur die heute gängigen Softwareverteilungsaufgaben optimal durchzuführen. Neben dieser Kernfunktion, die auch die Paketierung von Anwendungen einschließt, erfüllt Empirum Software Management weitere unverzichtbare Anforderungen. So sind der einfache Umgang mit verteilten Standorten und die differenzierte Vergabe von Administrationsberechtigungen wichtige Grund-voraussetzungen, um auch komplexe Strukturen effizient verwalten zu können. Empirum Softwaremanagement enthält alle Funktionen, die zur Paketierung (Vorbereitung zur automatisierten Installation), Verteilung und Installation von Anwendungen, Patches, Servicepacks, Druckertreibern und allen weiteren Systemanpassungen benötigt werden. Eine konsequent umgesetzte Rollenphilosophie (siehe auch 10.2) ermöglicht auch größte Umgebungen mit geringem manuellem Aufwand zu verwalten und Standards umzusetzen. Festgelegte Rollen definieren den Zielzustand der verwalteten Geräte und Benutzer in Bezug auf Software- und Konfigurationsvorgaben. Durch die Vererbung dieser Informationen lassen sich auch komplexe Konstellationen einfach abbilden. Die getroffenen Zieldefinitionen werden von Empirum automatisiert umgesetzt und sind jederzeit reproduzierbar. Neue PCs oder Benutzer müssen somit nur noch einer Rolle zugewiesen werden und Empirum managt alle weiteren Prozesse. Durch die automatisierte LDAP-Schnittstelle können EmpirumRollen auch in einer ADS oder einem eDirectory gepflegt werden. Dies ist auch bei Linux-Clients möglich.

Abhängigkeiten und Verteilungsoptionen
Die Verteilung von Software kann computer- und/oder benutzerbezogen über das oben beschriebene Rollenmodell erfolgen. Somit lassen sich auch ‚Roaming Application’- bzw. ‚Roaming User’-Konzepte abbilden. Zu jedem Verteilungspaket lassen sich vielfältige Verteilungskriterien und Abhängigkeiten definieren. Zum Beispiel könnten folgende Einschränkungen für Office2003 festgelegt werden: Office2003 wird nur auf PCs installiert, die als Betriebssystem Win2000 oder WinXP nutzen, über mindestens 256 MB RAM verfügen sowie den IE 6.0, jedoch nicht ‚Staroffice’ installiert haben. Um die Verwaltung der Paketabhängigkeiten möglichst einfach zu gestalten, existieren UND- und ODER-Klassen zur logischen Gruppierung von Paketen. Integrierte Reports decken proaktiv ggf. vorhandene AbhängigkeitsZirkelbezüge oder nicht erfüllte Abhängigkeiten in Konfigurationsgruppen rechtzeitig auf. Unterstützt werden Pull- und Push-Verteilungen, die beliebig zeitlich gesteuert und mit WOL (Wake-on-Lan) kombiniert werden können. Ein besonderer „Reinstall“-Modus erlaubt das einfache Überinstallieren, optional mit vorheriger Deinstallation, beliebiger Softwarepakete. Empirum generiert automatisch eine Reinstallatongruppe, die nach Beendigung der Aktion(en) wieder aufgelöst wird. Somit ist schnelle Hilfe für Endanwender und jederzeit volle Transparenz gewährleistet. Sollte ein nachts per Wake-On-Lan angestoßenes Rollout fehlerhaft sein, verhindert der in Empirum integrierte automatisierte Rollout-Abbruch größeren Schaden und informiert den Administrator per eMail oder SMS.

Seite 11 von 36

Empirum Softwaremanagement
Das Empirum Softwaremanagement enthält neben der zentralen Management Konsole und Datenbank folgende Module: Empirum Agent – Clientkomponente zur Steuerung- und Durchführung aller Softwareinstallationen. Empirum Package Suite – Enthält alle zum effizienten Erstellen von dynamischen Softwareverteilungspaketen benötigte Programme. Empirum Patchmanagement – Vollständig integrierte Lösung zur automatisierten Patch-Verteilung und Installation. Empirum Sync – Ein Programm zur vollständig automatisierten Standortserver–Verwaltung (Depotverwaltung) und Synchronisation (siehe 9.3). Empirum Automation Interface – Externe Steuerung der Softwareverteilungsprozesse per Command Line Aufruf oder Datenbankschnittstelle (siehe 9.4).

5.1. Der Empirum Agent
Auf der Client-Seite wird die Basis von einem modular aufgebauten Agenten gebildet, der die Installations- bzw. Konfigurationsaufträge entgegen nimmt und mit den benötigten Rechten ausführt. Über einen Wizard kann der Agent auf einfache Weise exakt an die Bedürfnisse des Unternehmens angepasst werden. So kann beispielsweise dem Endanwender vor der Installation eine Liste mit allen zu installierenden Anwendungen und deren zu erwartende Installationsdauer angezeigt werden oder eine für den Anwender nicht sichtbare Hintergrundinstallation durchgeführt werden.

Abbildung 4: Optionale Anzeige der Installationen für den Endanwender

Seite 12 von 36

Empirum Softwaremanagement
Eine Besonderheit stellt der Mobile Agent (siehe 10.6) dar. Dieser ist speziell auf die Bedürfnisse von Notebook-Benutzern abgestimmt und erlaubt ein an die Bandbreite gekoppeltes ‚PackageCaching’. Somit wird je nach aktuell ermittelter Bandbreite auf Paketebene entschieden, ob Software an ein mobiles Endgerät (Notebook) übertragen wird oder nicht. Beispielsweise kann festgelegt werden, dass ein SecurityPatch immer sofort übertragen und installiert wird, während das Update einer Office-Installation nur bei hoher Bandbreite im LAN erfolgt. Um die Datenübertragung so effizient wie möglich zu gestalten, werden Daten mittels "Checkpoint Restart" und "Byte Level Differencing" übertragen. Die Installation des Agenten auf bestehende Systeme erfolgt mittels einer integrierten Anwendung zur Agenten-Verteilung und kann im laufenden Betrieb von zentraler Stelle aus initiiert werden.

5.2. Die Empirum Package Suite
Empirum verteilt und installiert sowohl die von Softwareherstellern gelieferten Installationsroutinen (beispielsweise MSI oder InstallShield®) als auch Eigenentwicklungen ohne Installationsprogramm. Grundlage jeder Verteilung ist die Paketierung. Dieser Prozess beschreibt die Vorbereitung einer Software zur automatisierten Verteilung und Installation auf mehreren Endgeräten. Die Empirum Package Suite unterstützt gleich mehrere Verfahren:

5.2.1.

Empirum Package Wizard
Diese Anwendung bietet einen einheitlichen Ausgangspunkt für alle Paketierungsaufgaben. Mit dem Wizard werden Empirum Scripts, MSI, Druckerpakete oder sonstige UnattendedInstallationen auf einfache Art und Weise erstellt. Bei Empirum Scripts ermittelt der Package Wizard anhand einer Statusanalyse alle während einer Installation und anschließender Konfiguration entstandenen Änderungen auf einem Referenz-PC und unterscheidet selbständig maschinenbezogene und benutzerbezogene Teile der Installation. Nach Analyse der Systemzustände (vor und nach der Installation) erzeugt Empirum ein modifizierbares Script. Dieses Script bedient sich bei Installation auf dem Endgerät durch den Empirum-Agenten, wo immer möglich, der von Microsoft zur Verfügung gestellten APIs (Programmierschnittstellen zum Betriebssystem). Auf diese Weise kann Empirum Installationen mit maximaler Flexibilität und Fehlertoleranz durchführen, da beispielsweise Drucker, Dienste oder ODBC-Installationen direkt an das Betriebsystem weitergeleitet und DLLs sowie andere Systemkomponenten korrekt registriert bzw. deregistriert werden. Natürlich sind die Scripts im Empirum Package Editor individuell anpassbar. MSI basierende Installationen werden mit dem Package Wizard sehr einfach individualisierbar. MSI-Properties können als variabler Wert automatisch übernommen werden und stehen somit als Variable während der Verteilung zur Verfügung. Der integrierte MSI-Transformer passt die Installation genau an die Anforderungen des Unternehmens an.

Seite 13 von 36

Empirum Softwaremanagement
5.2.2. Empirum Scripts
Neben den durch den Wizard automatisch erzeugten Installationsscripts können auch eigene Scripts erzeugt werden. Diese Scripts unterstützen zahlreiche Befehle zur Systemmodifikation, Registrybehandlung, dem Dateihandling und der Rechteverwaltung und können somit jede denkbare Änderung auf den PCs automatisiert vornehmen. Enthalten sind weiterhin Tools zur Anpassung spezieller Konfigurationsfiles wie z.B. SAP.ini und TNSNAMES.ora. Durch die Nutzung von ‚Computer’- und ’Benutzer’-Variablen sind diese Änderungen individualisierbar und werden zur Laufzeit während der Installation angepasst durchgeführt.

5.2.3.

Empirum Package Editor
Der Empirum Package Editor ermöglicht die einfache Anpassung beziehungsweise Erstellung von Empirum Scripts. Anhand einer grafischen Oberfläche lassen sich sehr schnell Befehle aus dem Befehlsvorrat integrieren und die verfügbaren Parameter setzen. Zusätzlich bietet der Empirum Package Editor einen Debug-Modus zum Test der Scripts an. Breakpoints, Variablenauflösung und Einzelschritt helfen schnell eventuell vorhandene Fehler zu beheben.

5.2.4.

Empirum MSI Suite
Mit der Empirum Package Suite werden Tools zur vereinfachten Anwendung der MSITechnologie bei Softwareverteilungen mitgeliefert. Nur so lassen sich die Stärken der traditionellen Installationsmethode (Flexibilität, Individualisierung) mit denen der MSI-Technologie (Standardisierung, Self-Healing) kombinieren. In der MSI Suite sind die folgenden Funktionen enthalten: MSI-Converter – Konvertierung von Empirum Scripts nach MSI Datenbanken (MSI-Jobs). Der MSI-Converter ermöglicht das Erstellen von neuen MSI-Installations-Jobs. Durch Nutzung einer so genannten Custom.dll (Herstellererweiterung) wird der Funktionsumfang von MSI deutlich erhöht. MSI-Transformer – Erzeugt Installationsvorgaben für unbeaufsichtigte Installationen (MSTFiles). Dies wird durch die Protokollierung und Umwandlung einer simulierten MSI-Installation erreicht. Der MSI-Transformer ist auch über den Empirum Package Wizard steuerbar. MSI-Patcher – Nachdem MSI-Installationen auf den PCs ausgeführt wurden, können Änderungen der Installation (z.B. File-Updates) nicht mehr durch einen einfachen Dateiaustausch durchgeführt werden. Das in MSI integrierte „Self-Healing“ würde stets versuchen, den Ursprungszustand wiederherzustellen. Der MSI-Patcher erlaubt es, die gewünschten Änderungen sowohl auf bereits installierten PCs als auch auf den Administrationsquellen durchzuführen MSI-Tuner – Bevor ein bestehendes MSI-Paket auf mehreren PCs installiert wird, können mit dem MSI-Tuner Änderungen am Paket vorgenommen werden. Diese Änderungen können entweder direkt in das MSI-Paket integriert oder als MST-File beim Aufruf übergeben werden.

Seite 14 von 36

Empirum Softwaremanagement
5.3. Empirum Patchmanagement
Das Empirum Softwaremanagement enthält ein vollständig integriertes Patchmanagement. Dieses erlaubt es, Patches automatisiert von der Microsoft-Website (Windows Update) oder von einem im LAN verfügbaren SUS- bzw. WSUS-Server herunter zu laden und in die Empirum Softwareverteilung zu integrieren. Es wird keine zusätzliche Paketierung benötigt. Der Administrator kann unter mehreren Automatisierungsstufen für den Download- und die Freigabeprozess der Patches wählen. Von vollautomatisch (set and forget) bis komplett manuell gesteuert – alles ist bei diesem Vorgang möglich. Bevor ein Patch für frei definierbare PCs und Server freigegeben wird, kann der Administrator den Patch auf ausgewählten Systemen oder in definierten Bereichen testen. Erst wenn die Tests erfolgreich verlaufen sind, wird der Patch generell freigegeben. Die Freigabe kann bei Bedarf auch automatisch nach einem vorgegebenen Testzeitraum erfolgen. In Verbindung mit dem Empirum Inventory ist der Patch-Status für alle Systeme sehr schnell verfügbar (vulnerability check).

Lokaler Microsoft SUS/WSUS oder

Abbildung 5: Empirum Patchmanagement

Seite 15 von 36

Empirum Softwaremanagement
Die Features des Empirum Patchmanagements im Einzelnen: Unterstützung aller aktuellen Microsoft Betriebssysteme und Komponenten (analog zu Microsoft Software Update Service) Unterstützung von Microsoft Office, Exchange und SQL Automatisierte Benachrichtigung über neue Sicherheits-Patches per Mail oder SNMP Unterstützung von Proxy- oder vorhandenen SUS- bzw. WSUS-Servern zum Download der Patches Selektiver Download (nur die benötigten Sprachen und Patches werden herunter geladen) Frei definierbare Patch-Klassen zur gezielten Freigabe der Patches Test-Flag zum gezielten Testen neuer Patches auf beliebigen Zielsystemen Ausklammern von bestimmten Patches für spezielle Systeme (Citrix, Oracle Server..) Automatisierbarer Workflow – Auto-Download, Auto-Test, Auto-Approve Keine manuelle Paketierung notwendig Vollständig in das Bedienungskonzept und die Infrastruktur Empirums integriert Berücksichtigung der Installationsparameter (Exklusiv installieren, Reboot erforderlich usw.) Eigenes Check-Programm zur Analyse der auf dem jeweiligen Zielsystem benötigten Patches Rückmeldung der Installationen per Inventory Spezielle Reports zur Auswertung des Patch-Status der Clients

Seite 16 von 36

Empirum OS Installer 6. Empirum OS Installer
Mit dem Empirum OS Installer lassen sich auf komfortable und einfache Weise vollständig automatisierte Betriebssysteminstallationen vorbereiten und durchführen. Unterstützt werden alle Microsoft® WindowsWorkstation- und Server-Betriebssysteme sowie Suse und RedHat Linux. Neben dem standardmäßig genutzten‚ unattended’ (bedienerlosen) Installationsverfahren ist die ‚Imaging’-Lösung „Ghost“ von SymantecTM vollständig integriert (Lizenzen sind separat zu erwerben). Grundlage der Installationen von Windows-Betriebssystemen sind graphisch erstellte EIS-Scripts, die der Empirum OS Installer Script (EIS) Interpreter abarbeitet. EIS erkennt die zugrunde liegende Hardware des zu installierenden Systems und erzeugt dynamisch die nötigen ‚Unattended’-Dateien. EIS steuert auch die vollautomatisierte Installation inklusive der Partitionierung, Formatierung und kopiert die für das Zielsystem benötigten Hardwaretreiber und Betriebssystemdateien inklusive der benötigten Erweiterungen (Tablet-PC, MUI-Sprachen. etc.). Bei Linux werden dynamisch Antwortdateien für die von den Distributoren gelieferten Installationsroutinen (zum Beispiel AutoYast bei SUSE) erzeugt. Neben dem Installieren von Betriebssystemen ist auch das sichere Löschen aller Daten auf der Festplatte eine wichtige Funktion des Empirum OS Installers. Diese „End of Life“ genannte Funktion verhindert wirkungsvoll das Wiederherstellen von sensiblen Daten nachdem der Computer am Ende des Lebenszyklus an den Lieferanten oder Händler abgegeben wurde.

6.1. Treiberverwaltung – genial einfach und einzigartig
Die integrierte Treiberverwaltung des Empirum OS Installers ermöglicht eine Hardwareerkennung, mit Hilfe derer Windows basierende PCs auch ohne Kenntnis der Zielhardware durch ungeschultes Personal einfach installiert werden können. Empirum erkennt welche Treiber benötigt werden und kopiert/installiert diese während der Betriebssysteminstallation. Es werden also nicht alle bekannten Treiber prophylaktisch ohne echten Bedarf auf die PCs kopiert. Die Treiberdatenbank wird initial durch eine im Lieferumfang von Empirum enthaltene DVD gefüllt und kann jederzeit per OnlineUpdate bei matrix42 auf den neuesten Stand gebracht werden. Dadurch sinkt der Verwaltungs- und Anpassungsaufwand für die Administratoren erheblich. Das Einbinden eigener oder neuer Treiber gestaltet sich durch die Nutzung eines Wizards sehr einfach. Neben den Basistreibern für Netz-, Grafik- und Soundkarten werden auch SCSI und P&P Treiber (beispielsweise Chipsatz, Modem, USB etc.) unterstützt.

Seite 17 von 36

Empirum OS Installer

Abbildung 6: Treiberverwaltung Empirum OS Installer

Gestartet werden Betriebssysteminstallationen durch Boot-Disketten, CDs, PXE-Images (Preboot Execution Environment) oder eine auf dem PC eingerichtete Empirum Partition. In Verbindung mit PXE und WOL (Wake On Lan) lässt sich so eine vollständig automatisierte Betriebssysteminstallation oder Migration zeitgesteuert aus der Ferne starten und überwachen. Es können drei Installationsarten verwendet werden: Auto – Die Installation erfolgt ohne weitere Eingaben unter Beachtung aller vorgegebenen Definitionen (z.B. Betriebssystem, IP-Adresse, Computername etc.). Manuell – Während der Installation können aus einer Liste Installationsvorlagen ausgewählt werden. Optional lassen sich in diesem Modus während der Installation auch Eingaben (z.B. PC-Name) tätigen. Template – Vollständig automatisierte Installation. Die Installationsvorgaben werden dynamisch aus den PC-Eigenschaften in der Empirum-Datenbank und den Betriebssystemvorgaben erzeugt.

6.2. Arbeiten mit dem OS Installer
Bei der Arbeit mit dem OS Installer sind zwei wesentliche Aufgabenbereiche zu unterscheiden. Zunächst soll nachfolgend auf die vorbereitenden Tätigkeiten und anschließend auf die Steuerung und Überwachung von Installationen eingegangen werden. Die Vorbereitung der Betriebssysteminstallationen erfolgt in der Empirum Management Konsole anhand von 5 Reitern: 1. Disketten bzw. PXE-Image Erstellung – Auf Basis von vordefinierten Disk-Templates können Disketten und PXE-Images zur Betriebssystem-Installation erstellt werden. Enthalten sind Templates für Microsoft und Novell Netzwerke, Linux, Ghost-Installationen und Spy-Disks/Images. Diese SpyDisks erlauben das automatisierte Auslesen der Hardwareinformationen zur einfachen Treiberintegration.

Seite 18 von 36

Empirum OS Installer
2. Betriebssystemkonfiguration – Einfaches Erstellen von Installationsvorgaben für die verschiedenen Betriebssysteme anhand nachempfundener Originaldialoge. Diese Einstellungen betreffen z.B. Länderund Spracheinstellungen, Video-Einstellungen, Netzund Systemdienste-

Konfigurationen, zu installierende Dienste sowie Spiele und erweiterte Anwendungen (beispielsweise IE, Novell Client, MSN-Messenger). Neben den Betriebssystemkonfigurationen werden in diesem Bereich die „End of Life“ Templates konfiguriert. 3. PXE-Verwaltung – Erlaubt das Überwachen von PXE-gestützten Installationen sowie das nachträgliche Anpassen von PXE-Images. 4. Softwareverwaltung – Einfaches Importieren der zur Installation benötigten Dateien (Betriebssystem, IE, Novell Client, Option Pack). Unterstützt werden unterschiedliche Sprachen und MUI („Multilingual User Interface“). Je Betriebssystem können mehrere Servicepack-Level parallel vorgehalten werden (ab Win2000). 5. Hardware – Verwaltung der integrierten Treiber-Datenbank. Ermöglicht das Online-Update der lokalen Datenbank mit dem matrix42 FTP-Server oder einer anderen Quelle (bereitgestellte TreiberDVD) sowie das Einpflegen eigener Hardwaretreiber.

Abbildung 7: Betriebssystemkonfigurationen festlegen

Die Vorbereitungen sind in der Regel nur einmal zu treffen. Sind die gewünschten Betriebssysteme und Treiber importiert, werden nur noch die Installationsvorgaben und ein PXE-Image angelegt. Einmal integrierte Hardwaretreiber oder Betriebssysteme lassen sich immer wieder für beliebig viele Installationen verwenden.

Seite 19 von 36

Empirum OS Installer
Das eigentliche Tagesgeschäft, die Steuerung und Überwachung von Betriebssysteminstallationen, wird anhand des schon beim Empirum Softwaremanagement beschriebenen Rollenmodells durchgeführt. Dies gewährleistet eine einfache Bedienung und vollständige Reproduzierbarkeit.

Abbildung 8: Die Konsole des OS Installer zum Zuweisen von PCs und Servern zu Betriebssystemkonfigurationen über das Empirum Rollen Modell

Die Aufgabe, eine beliebige Anzahl von PCs oder Servern zu installieren, reduziert sich auf die Bildung von Rollen/Gruppen mit entsprechenden Betriebssystem-Templates und PXE-Images. Sollen nun PCs oder Server aufgesetzt werden, genügt das Zuweisen zur passenden Rolle und ein anschließendes Aktivieren. Die Aktivierung bestimmt den Zeitpunkt (zeitgesteuertes WOL) und veranlasst Empirum für jedes aktivierte Gerät eine individuelle Installationsvorgabe (unattended-Datei) zu erzeugen. Dazu werden die in der Datenbank gespeicherten Informationen zu dem einzelnen System mit den generellen Informationen des Betriebssystem-Templates kombiniert. Alle weiteren Schritte werden von der Hardwareerkennung und dem EIS Interpreter automatisiert durchgeführt. Es müssen keine individuellen Treiberzuweisungen oder Partitionierungseinstellungen vorgenommen werden. Am Ende des Lebensyzyklus eines PC werden die auf der Festplatte gespeicherten Daten durch Empirum sicher gelöscht. Dazu muss der Administrator den PC nur über den „End of Life“ Wizard zum Löschen frei geben. Es werden die gängigen Standards zum Überschreiben der Festplatte (BSI und DoD) unterstützt und ein gesondertes Recht in Empirum schützt vor Missbrauch. Durch das im Empirum OS Installer enthaltene Programm Empirum Sync (siehe 9.3) können Clients auch standortübergreifend von vor Ort installierten Depots automatisiert installiert werden, ohne dass die Dateien immer wieder erneut über das WAN (Wide Area Network) übertragen werden müssen. Seite 20 von 36

Empirum Personal Backup 7. Empirum Personal Backup
Empirum Personal Backup wurde entwickelt um einen PC nach einem Hardware- oder Softwaredefekt beziehungsweise einer geplanten Neuinstallation oder Migration jederzeit komplett wiederherstellen zu können. Personal Backup sichert Anwendungskonfigurationen und Daten auf ein Netzwerklaufwerk oder anderes Speichermedium. Sicherungen erfolgen komprimiert, inkrementell und können in mehreren Generationen vorgehalten werden. Personal Backup kann außerdem versionsübergreifend migrieren, also beispielsweise von NT4 nach XP oder Office97 nach Office2003.

Abbildung 9: Die zentrale Management Komponente

Folglich entfallen nach dem Neuaufsetzen eines PC der langwierige Konfigurationsaufwand und die Suche nach den ggf. nicht mehr vorhandenen Daten. Beides spart viel Zeit beim Administrator und dem Benutzer. Die Steuerung, welche Daten/Einstellungen zu welchem Zeitpunkt gesichert werden, erfolgt zentral über die Empirum Managementkonsole. Die Rücksicherung kann durch den Anwender gestartet werden oder im Falle einer PC-Neuinstallation automatisch erfolgen (’Exact Disaster Recovery’).

Seite 21 von 36

Empirum Personal Backup
Personal Backup kennt zwei Betriebsarten: Administrationsmodus In diesem Modus kann ein Benutzer oder Programm mit administrativen Rechten Personal Backup starten und alle auf dem PC gespeicherten Profile in einem Durchgang sichern. Dies ist beispielsweise wertvoll, da in für Migrationsprojekte Sicherungslauf sehr alle Benutzermodus Personal Backup wird durch den Benutzer beim Anmelden automatisch gestartet und sichert dessen Daten und Konfigurationen regelmäßig zum eingestellten Zeitpunkt (feste Zeit, statistisch verteilt, Event). Somit können im Falle eines Hardwaredefekts oder einer Migration die Daten jederzeit automatisiert wieder hergestellt werden. Der Anwender wird durch eine laufende Sicherung nicht in seiner Arbeit gestört.

einem

relevanten Daten und Konfigurationen zuverlässig erfasst werden, ohne dass ein Anwender angemeldet sein muss. Die Rücksicherung erfolgt wieder vollautomatisch auf dem neuen PC.

Im Lieferumfang enthalten sind Definitionen vieler gängiger Softwareanwendungen und Betriebssystemeinstellungen. Diese Definitionen sind durch die Verwendung dynamischer Variablen so gehalten, dass sowohl die Sicherung als auch die Rücksicherung (Wiederherstellung) unabhängig von den Installationsverzeichnissen beziehungsweise Laufwerken ist. Eigene Definitionen lassen sich leicht erstellen und anpassen. Zur Unterstützung von Migrationen lässt sich das Sicherungs- und Rücksicherungsverhalten für unterschiedliche Betriebssysteme gezielt steuern, um Konfigurationen an neue Versionen anzupassen oder Dokumentenablagen zu konsolidieren.

Seite 22 von 36

Infrastruktur 8. Empirum Remote Control
Empirum Remote Control zeichnet sich durch ein breites Anwendungsspektrum und zahlreiche Funktionen aus. Es ist sowohl für die effiziente Fernwartung im Support wie auch für die Administration von Servern konzipiert und ermöglicht durch seine Funktionalitäten erhebliche Supportkosteneinsparungen. Als eigenständiges Produkt, das sich vollständig in die Empirum Suite integriert, ist eine Installation sowohl mit als auch ohne Empirum PRO möglich.

8.1. Einsatzbereiche
Die besonderen Funktionen von Empirum Remote Control ermöglichen den Einsatz für verschiedene Aufgaben: Hilfe bei Computerproblemen - Empirum Remote Control ermöglicht es den Mitarbeitern im Unternehmen schnelle und unkomplizierte Hilfe bei Computerproblemen zu erhalten. Der Support kann sich nach Freigabe durch den Mitarbeiter dessen Bildschirminhalt anzeigen. Der Mitarbeiter kann bestimmen, ob sein Computer ferngesteuert werden darf, oder ob der Mitarbeiter im Support ohne Maus und Tastatur Steuerung mit einem Zeigepfeil helfen soll. Zeit- und kostenintensive Besuche vor Ort werden so überflüssig. Administration von Servern - Empirum Remote Control ist auch für die Administration und Fernwartung von Servern konzipiert. Ist Empirum Remote Control Host als Dienst installiert, so kann sich auf dem Server angemeldet und dieser gesteuert werden, auch wenn kein Benutzer angemeldet ist. Je nach Konfiguration kann auch direkt ohne Bestätigung eines angemeldeten Benutzers ferngesteuert werden. Maximale Sicherheit wird unter anderem über individuelle Passwörter jederzeit gewährleistet. Schulung von Mitarbeitern - Mit Empirum Remote Control kann die Blickrichtung einfach gewechselt werden, so dass der eigene Bildschirm auf dem Computer des Sitzungspartners angezeigt wird. Die Blickrichtung ist jederzeit wieder umkehrbar. Mitarbeiter können so in Anwendungen geschult werden und dem Support ist es möglich, noch einfacher Hilfestellung zu geben.

Seite 23 von 36

Empirum Remote Control
8.2. Funktionen
Empirum Remote Control bietet eine Vielzahl von Funktionen, die den Einsatz für verschiedene Aufgaben ermöglichen und erhebliche Supportkosteneinsparungen ermöglichen. Das Empirum Remote Control Fenster ist frei skalierbar. Ein Supportmitarbeiter kann so unabhängig von der Auflösung des gesteuerten Computers den Bildschirminhalt des Sitzungspartners ohne Scrollbalken sehen. Die Skalierung lässt sich allerdings auch ausschalten, so dass der Bildschirm in Originalauflösung und gegebenenfalls mit Scrollbalken angezeigt wird. Es können gleichzeitig mehrere Computer ferngesteuert werden. Vergleichen von Einstellungen und Monitoring von Anwendungen und Servern ist so sehr einfach möglich. Da die Fenster frei skalierbar sind, verliert man zudem nicht den Überblick. Empirum Remote Control Host kann als Windows-Systemdienst automatisch ausgeführt oder als normale Anwendung durch den Endanwender gestartet und beendet werden. Somit ist maximale Sicherheit gewährleistet. Wird Empirum Remote Control Host als Windows-Systemdienst installiert, so ist es auch möglich sich auf einem Computer anzumelden und diesen fernzusteuern, selbst wenn kein Be-nutzer angemeldet ist. Eine besondere Funktion ist die Umkehr der Blickrichtung. Ein Supportmitarbeiter kann so einem Endanwender seinen eigenen Bildschirm und bestimmte Anwendungen zeigen und so noch effizienter Hilfestellung geben. Zudem können Mitarbeiter so sehr einfach in Anwendungen geschult werden. Empirum Remote Control unterstützt True Color und bietet durch eine dynamische Datenkompression hohe Geschwindigkeit auch bei geringer Bandbreite. Dateien und Ordner können mit Empirum Remote Control einfach per "Drag & Drop" übertragen werden. Dies funktioniert in beide Richtungen und ist sehr einfach. Eine besondere Sicherheitsfunktion ist die Möglichkeit, für jede Sitzung Log-Dateien und Aufzeichnungen zu erstellen. Aktionen am Bildschirm können so als Film mitgeschnitten werden. Somit sind alle Aktionen jederzeit nachvollziehbar dokumentiert. Alle Datenübertragungen erfolgen mit einer 128 Bit Blowfish Verschlüsselung. Für die zu steuernden Clients gibt es mehrere Sicherheitsstufen. So kann ein Supportmitarbeiter nur die Clients fernsteuern, für die er den jeweiligen Schlüsselsatz (Passwort) besitzt. Zudem ist es möglich, für jede Sitzung einen individuellen Schlüsselsatz zu vereinbaren. Empirum Remote Control kann so installiert werden, das ein Endanwender die Anwendung nur startet, wenn er Unterstützung möchte. Somit ist maximale Sicherheit gewährleistet.

Seite 24 von 36

Infrastruktur 9. Systemanforderungen und unterstützte Infrastruktur
Empirum nutzt eine oder mehrere SQL-Datenbanken zur Verwaltung aller Informationen. Neben den Datenbankservern kennt Empirum außerdem noch Dienste- und Depotserver. Auf den Diensteservern laufen die für Empirum nötigen Systemdienste, die mit der Datenbank kommunizieren. Depotserver dienen der Lastverteilung und beherbergen die zur Installation von Betriebsystemen und Anwendungen/Patches benötigten Dateien (Pakete). Mit Empirum kann für jedes Depot unabhängig die Anzahl der maximal zulässigen Parallelinstallationen eingeschränkt werden. Somit ist je nach Netzwerkstruktur die optimale Auslastung einstellbar. Im einfachsten Fall werden alle Empirum Services (Datenbank, Dienste und Depot) auf einem System vereint. Diese Installationsart ist für Unternehmen mit einem Standort und einigen hundert PCs völlig ausreichend. In komplexeren Strukturen mit tausenden PCs und mehreren Standorten können diese Server auf mehrere Systeme verteilt werden.

Abbildung 10: Beispiel Infrastruktur

Serverseitig unterstützt Empirum folgende Systeme: Datenbanken – MSDE Runtime, Microsoft-SQL, Oracle Datenbankserver – Windows Server, Linux, Unix, Netware Diensteserver – Windows Server, Linux Depotserver (mit PXE) – Windows Server, Linux Depotserver ohne eigenen PXE-Dienst - Windows Server, Linux, Unix, Netware und alle Geräte die Freigaben bereitstellen können (z.B. NAS).

Seite 25 von 36

Infrastruktur
Die genauen Versionen der einzelnen Produkte können Sie über unsere Web-Site http://www.matrix42.de oder Ihren Empirum-Ansprechpartner erfragen. Die Kommunikation der Server untereinander erfolgt über Datenbankverbindungen bzw. Freigaben. Um die ggf. an unterschiedlichen Standorten befindlichen Depots aktuell zu halten, wird Empirum Sync eingesetzt (siehe 9.3). Dieses als Systemdienst implementierte Programm synchronisiert zu vorgegebenen Zeitpunkten die Depots mit dem zentralen Server und verschiebt die von den Endgeräten erzeugten Inventory- und Log-Informationen zu den zentralen Diensteservern.

9.1. Flexibilität und Skalierbarkeit
Mit dem Ziel Empirum flexibel und skalierbar zu gestalten, wird bei der Entwicklung konsequent auf eine Trennung zwischen der Client/Server-Kommunikation und der Datenbankkommunikation geachtet. Alle in der Datenbank konfigurierten Installationsinformationen (welches Betriebssystem beziehungsweise welche Software soll wann, wie und wo de-/ installiert werden) schreibt der Empirum Activation-Service automatisiert in so genannte Client-Informationsdateien. Diese, als Textfile realisierten Dateien, werden auf den Depots vorgehalten und von auf den PCs installierten Agenten gelesen und interpretiert. Alle vom PC erzeugten Informationen wie beispielsweise Inventory- und Log-Dateien werden von den Depots zurück zu den Diensteservern verschoben und von den entsprechenden Empirum-Diensten in die Datenbank geschrieben. Es ist keine direkte Kommunikation zwischen den Endgeräten und den zentralen Empirum Servern bzw. der Datenbank notwendig. Damit wird die Verwaltung und parallele Bedienung von beliebig vielen Endgeräten/Usern mit einer zentralen Datenbank ermöglicht. Sollen sehr große Umgebungen bzw. verschiedene, voneinander getrennte Mandanten („MSP“, Managed Service Provider) verwaltet werden, können mehrere Datenbanken von einer Empirum Konsole aus genutzt und Informationen der verschiedenen Datenbanken automatisiert in eine zentrale Reportingdatenbank überführt werden.

9.2. Administrationsmodelle
Empirum bietet mehrere Möglichkeiten, die Administration regions- oder gruppenbezogen durchzuführen. Neben dem integrierten Rechtemodell zur Delegation von Administrationsaufgaben in einer Empirum Datenbank sind Implementierungsmodelle vorhanden, die beispielsweise eine zentralisierte Verwaltung mit dezentraler Administration ermöglichen.

Seite 26 von 36

Infrastruktur

Abbildung 11: Das Empirum drei Ebenen Modell

Das Empirum 3-Ebenen-Modell wird beispielsweise verwendet, um zentrale Definitionen mit dezentraler Administration zu verbinden. Eine zentrale Empirum Rollen- und Reporting-Datenbank wird zur Definition von unternehmensweit gültigen Standards (Rollen / Konfigurationsgruppen, Templates, Patchfreigaben u.v.m.) verwendet. Diese Definitionen werden in Echtzeit an die untergeordneten Standorte übertragen, um dort den Administratoren abhängig von deren Berechtigungen zu gestatten, diese Definitionen um eigene Unter-Rollen und Software zu ergänzen. Um alle relevanten Inventory- und Softwareverteilungsdaten auch regionsübergreifend verfügbar zu haben, werden diese Informationen regelmäßig konsolidiert.

Seite 27 von 36

Infrastruktur
9.3. Empirum Sync
Ein zuverlässiger und schneller Abgleich der Empirum Server untereinander wird durch den Einsatz von Empirum Sync gewährleistet. Empirum Sync ist als Windows Systemdienst implementiert und verwaltet alle im Zusammenhang mit dem Abgleich von Depotservern anfallenden Synchronisationsund Kopieraufgaben. Diese Aufgaben umfassen den Abgleich der Softwarepakete, der Betriebssystemquellen und Treiber sowie das Kopieren der Log- und Inventory-Dateien von einem Depotserver zum zentralen Diensteserver. Jede dieser Aufgaben kann individuell an die eigenen Anforderungen in Bezug auf Zeitsteuerung und Übertragungsprotokoll angepasst werden. Konfiguriert werden die einzelnen Aufgaben in der Empirum Management Konsole. Sind die benötigten Werte für die jeweiligen Depotserver in deren Variablen hinterlegt, wird diesen nur noch das Empirum Paket „Empirum SubDepot“ zugewiesen. Sobald dieses installiert ist, baut sich das Depot selbständig auf und sorgt für die ständige Aktualisierung nach den eingegebenen Vorgaben. Zur Überwachung können der Empirum Sync Monitor und das in Empirum enthaltene Alarming eingesetzt werden. Zusammengefasst eine Funktionsübersicht zu Empirum Sync: Synchronisation von beliebigen Datenbeständen Kopieren und Verschieben von Dateien Übertragung per SMB (Windows Shares) oder rsync (Übertragungsprotokoll) Abgleich und Übertragung nur von neuen oder geänderten Empirum Paketen Byte Level Differencing (nur die Änderungen innerhalb der Dateien werden übertragen, nur rsync). Empirum Sync kann bei Verwendung von rsync auch auf Linux-, UNIX oder NovellServern betrieben werden. Als Ziel-Server können beliebige Server oder Netzwerkspeicher, die das SMBProtokoll unterstützen, verwendet werden.

Seite 28 von 36

Infrastruktur
9.4. Empirum Automation Interface
Empirum bietet zwei einfach zu nutzende Schnittstellen um Aufgaben des Softwaremanagement vollständig zu Automatisieren. Somit ist eine sehr einfache Integrierbarkeit in übergreifende Workflow- oder Systemsmanagement-Lösungen möglich - Empirum als die perfekte Softwareverteilungs-Engine.

Abbildung 12: Empirum als Softwareverteilungs-Engine

Empirum Command Line Interface (CLI) Das Empirum CLI ist in den Produkten Empirum Softwaremanagement und Empirum OS Installer enthalten. Durch einfache Kommandozeilen-Aufrufe lassen sich vielfältige Konfigurations-, Verteilungs- und Installationsaufgaben automatisieren. Folgende Möglichkeiten bietet das Empirum CLI (Auszug aus dem Funktionsumfang): Zuordnen einer Software zu einer Konfigurationsgruppe oder einem Computer Zuordnen eines Computers zu einer Software-Gruppe Zuordnen von PXE-Images und OS Installer Templates zu Computern Aktivieren von Software- und Betriebssysteminstallationen Rückgabe von Errorlevels und Ausgabe von Logs

Seite 29 von 36

Infrastruktur
Empirum Automation Interface Zusätzlich zum CLI stellt matrix42 seinen Kunden eine weitere Automationsschnittstelle zur Verfügung. Diese Schnittstelle basiert auf definierten Tabellen in der Empirum Datenbank und kann von jedem beliebigen System bedient werden das auf Tabellen in Microsoft-SQL oder Oracle Datenbanken zugreifen kann. Die Nutzung von Tabellen hat gegenüber dem CLI einige Vorteile: • • • • • • • Übermittlung sehr vieler Aufträge auf einmal und Abarbeitung als Queue Verfolgung des Staus auch bei lange laufenden Prozessen Übergabe von Meldungen aus Empirum an das externe System Laststeuerung der Aufträge durch Empirum möglich Mehrere Instanzen können die Schnittstelle parallel bedienen und abfragen Leichte Erweiterbarkeit durch einen Modularen Aufbau Plattformunabhängig nutzbar

Gesteuert wird die Schnittstelle durch vordefinierte Aufgaben und Parameter die in zwei Tabellen eingetragen werden. Neben dem Auftrag werden auch Informationen zum Auftraggeber, dem Status, der Priorität und Fehlermeldungen gespeichert. Der Automationsdienst Empirums nimmt die Aufträge nach einer Prüfung auf Plausibilität entgegen und setzt den Status entsprechend der Ausführungsstandes von „New“ und „Qualified“ auf „Running“, „Success“ oder „Failure“. Zusätzlich werden eventuell in Empirum erzeugte Fehlermeldungen eingetragen. Das externe System kann so jederzeit den Status der eigenen Aufträge abrufen und abgearbeitete Aufträge aus Empirum löschen.

Seite 30 von 36

Clientmanagement mit Empirum PRO 10. Clientmanagement mit Empirum PRO
10.1. Zuordnungsmöglichkeiten
Empirum bietet vielfältige Möglichkeiten, um Software Endgeräten zuzuordnen, zu verteilen und zu installieren. Unter anderem werden folgende Zuordnungsmöglichkeiten unterstützt: Rollen bzw. Konfigurationsgruppen für Computer und/oder Benutzer Rechteinformationen des bzw. der eingesetzten Verzeichnisdienste (ADS, NDS, Domäne etc.). Auf Inventarisierungsdaten basierende Filter (z.B. PCs, deren Servicepack-Level kleiner als 6 ist oder deren Arbeitsspeicher mindestens 256 MB ist). ‚Software-On-Demand’ stellt den Anwendern einen Warenkorb mit ausgewählten Softwarepaketen zur Selbstinstallation zur Verfügung. Feste Softwaregruppen, denen PCs zugeordnet werden.

10.2. Das Rollenmodell
Die umfassendste und effizienteste Möglichkeit, um auch in großen Umgebungen Softwaremanagement zu betreiben, besteht in der Nutzung des Empirum Rollenmodells. Dieses basiert auf der Definition von funktions- oder organisationsbezogenen Konfigurationsgruppen. Die Gruppen sind hierarchisch aufgebaut und erben die Eigenschaften der übergeordneten Gruppen. Zusätzlich zu diesen ererbten Eigenschaften kann jede Gruppe spezielle zusätzliche Attribute erhalten. Das bedeutet, aus wenigen Grundkonfigurationen lassen sich schnell und komfortabel sämtliche organisatorisch benötigten Konfigurationen generieren. Das hat den Vorteil, dass einmal definierte Standards nicht immer wieder neu erstellt werden müssen oder übergangen werden können. Ausnahmen lassen sich selbst-verständlich festlegen.

Abbildung 13: Das Empirum Rollenmodell

Seite 31 von 36

Clientmanagement mit Empirum PRO
In der betrieblichen Praxis werden solche Konfigurationsgruppen (Rollen) häufig für die verschiedenen Abteilungen definiert. Jede einzelne Gruppe beschreibt, welche Software und welches Betriebssystem die zugehörigen Benutzer beziehungsweise PCs erhalten sollen. Einer Gruppe können beliebig viele Elemente zugewiesen werden. Somit reduziert sich der Austausch eines PCs oder die Konfiguration vieler neuer PCs auf wenige Mausklicks. Auch das Update von Anwendungen oder die Verteilung von Servicepacks reduziert sich auf die Zuordnung bzw. den Austausch des jeweiligen Distributionspaketes innerhalb der betreffenden Konfigurationsgruppe. Empirum sorgt im Hintergrund dafür, dass die notwendigen Client-Informationsdateien automatisch erzeugt und verteilt werden. Die Individualisierung beruht auf der intelligenten Verbindung der allgemeingültigen Konfiguration (Templates) mit der individuellen Konfiguration des PCs bzw. des Benutzers (Inventory/Variablen).

10.3. Aktivierung des Rollout-Prozess
Nachdem die Konfigurationsgruppen definiert sind und alle Benutzer und/oder PCs zugeordnet wurden, erfolgt die Aktivierung. Über einen Wizard gesteuert legt die Aktivierung fest, was wann installiert werden soll. Zur Auswahl stehen Betriebssysteminstallationen, PXE, WOL und Softwareinstallationen. Bei Softwareinstallationen können mit einem ‚Scheduler’ die zeitlichen Bedingungen für den Installations- oder Deinstallationsprozess festgelegt werden. Stichtage, Intervalle und TTL (‚Time-To-Live’) mit einer Deinstallation nach Ablauf der festgelegten Zeit sind möglich. Auf den Endgeräten kann sich eine anstehende Installation auf verschiedenste Weise darstellen. Dabei sind die Konfiguration des Agenten und die Einstellung des „Aktivieren“-Prozesses - für beides ist der Administrator verantwortlich - entscheidend. Ist gerade kein Benutzer an dem betreffenden System angemeldet, werden Installationen komplett im Hintergrund durchgeführt (z.B. nachts). Wenn ein Anwender angemeldet ist, kann der Administrator entscheiden, ob dem Anwender eine Installation a) angekündigt und ihm mit der Information über die zu erwartende Installationszeit auch die Möglichkeit zum Aufschieben der Installation gewährt wird; oder b) die Installation unmittelbar durchgeführt wird. In keinem Fall wird der Anwender wegen einer Installation abgemeldet, so dass er seine Arbeit unterbrechen müsste. Sind mehrere Pakete zu installieren, minimiert Empirum nötige ‚Reboots’ und befragt den Anwender, ob ein eventuell notwendiger Neustart jetzt durchgeführt werden soll.

Seite 32 von 36

Clientmanagement mit Empirum PRO
10.4. Monitoring Rollout Prozess
Zu jedem Zeitpunkt stehen dem Administrator jegliche Status- und Vorgangsinformationen zu einem Installationsauftrag über die ‚Monitoring’-Funktion zur Verfügung. Alle Informationen sind kontextbezogen verfügbar: Status – zeigt den Gesamtstatus eines Computers bzw. einer Gruppe anhand von „Ampelfarben“ und Detailinformationen an. Dieser wird ermittelt aus Inventarisierungsdaten und dem Installationslog. Somit ist ein schneller Überblick über den Installationsstatus computer- und paketbezogen möglich.

Abbildung 14: Statusanzeige – Computerstatus

Log – Listet alle Verteilungsaktivitäten für den ausgewählten Computer bzw. die Gruppe detailliert auf. Angezeigt werden Erfolg, Fehler, nicht erfüllte ‚Requirements’ (Paket oder Hardwareabhängigkeiten) und ‚Running’ (Installation aktiv). Ein direkter Wechsel zum entsprechenden Errorlog ist einfach möglich. SetupErrorLog – Enthält Details zu eventuell aufgetretenen Ereignissen bzw. Fehlern und Meldungen der Installationsroutinen auf dem Bildschirm des jeweiligen Endgerätes. Rollout-Koordination – Aktiver Überblick über alle aktuell laufenden bzw. kürzlich gelaufenen Installationen. Die Aktualisierung der Anzeige erfolgt automatisch in Echtzeit. Alle Anzeigen lassen sich mit Filtern belegen sortieren und die Inhalte exportieren. Zusätzlich können mit der integrierten ‚Alarming’-Funktion E-Mails oder SNMP-Traps bei vorgegebenen Ereignissen verschickt werden.

Seite 33 von 36

Clientmanagement mit Empirum PRO
Diese Bündelung verschiedenster Funktionen gewährt der IT-Administration zu jedem Zeitpunkt volle Transparenz über sämtliche Softwareverteilprozesse. Als eine einzigartige Funktionalität ist der automatisierte ‚Rollout-Abbruch’ hervorzuheben. Dieser ermöglicht es dem Administrator, einen Schwellwert von Fehlinstallationen vorzugeben, ab dem der ‚Rollout’ bzw. Installationsprozess automatisiert flächendeckend abgebrochen und der Administrator per Alarm (z.B. eMail) benachrichtigt wird. Selbst bei ausführlichen Tests gibt es keine volle Garantie dafür, dass Installationen einwandfrei funktionieren - insbesondere bei Nutzung der Original-Herstellerroutinen. Ein automatisierter Abbruch durch diese Funktion begrenzt den potentiellen Schaden sofort.

Abbildung 15: Automatisierter Rollout-Abbruch

Seite 34 von 36

Clientmanagement mit Empirum PRO
10.5. Empirum Administrationsrechte und -monitoring
Empirum bietet ein umfassendes Berechtigungskonzept um in großen oder verteilten Organisationen den Administratoren die benötigten Rechte zu gewähren, ohne allen alles erlauben zu müssen. So können einzelne Funktionen mit einem speziellen Recht belegt werden (z.B. End of Life oder PXE Aktivierung) oder spezielle Rechte auf die Konfigurationsgruppen vergeben werden. Zusätzlich bietet Empirum die Möglichkeit alle durchgeführten Aktionen in der Datenbank zu protokollieren. Dies ist bei der Ursachenermittlung hilfreich bzw. dient dem Nachweis wer für durchgeführte Aktivitäten verantwortlich ist. Beispielsweise kann nachvollzogen werden, wer wann eine Konfigurationsgruppe verändert hat oder einen PC zur Betriebssysteminstallation aktiviert hat. Es ist konfigurierbar ob alles, nur kritische Aktionen oder nichts protokolliert werden soll.

10.6. Das Mobile Client Konzept
Unter Empirum kommt dem Umgang mit Notebooks eine besondere Bedeutung zu. Wie bei stationären PCs im LAN-Umfeld ist es auch hier das Ziel, Betriebssystem und Software schnell und automatisiert zu verteilen. Im Notebook-Umfeld mit seinen wechselnden Standorten und Verbindungstypen müssen jedoch einige Besonderheiten beachtet werden. Der „Empirum Mobile Client“ wurde entwickelt, um Notebooks bandbreitenabhängig mit Software zu versorgen und Stichtagsinstallationen auch ohne Netzwerkverbindung zuzulassen. Das Mobile Client-Konzept besteht aus drei Elementen: 1. Die Empirum Partition – diese wird während der Erstinstallation automatisch angelegt und ermöglicht die komplette Neuinstallation des Betriebssystems ohne Netzwerkverbindung. 2. Der Mobile Agent – dieser erweiterte Empirum-Agent baut abhängig von der zugewiesenen Software ein lokales Cache-Depot auf. Installationen werden lokal ausgeführt und alle nötigen Informationen automatisiert, vom beziehungsweise zum Client hin transportiert (Log, Inventory, Variablen, Steuerdateien etc.). Die minimal zulässige Bandbreite kann generell und für jedes einzelne Softwarepaket festgelegt werden. Die aktuell verfügbare Bandbreite wird vor jedem Serverkontakt durch einen Dienst ermittelt. Um die Übertragung so effizient wie möglich zu gestalten, unterstützt der Empirum Mobile Agent Technologien wie Checkpoint Restart und Byte Level Differencing. 3. Offline CD/DVD – ermöglicht die Zusammenstellung von CD/DVD-Datenträgern mit allen benötigten Informationen zur Offline-Installation direkt aus der Managementkonsole heraus. Die Inhalte werden optional in das Cache-Depot übertragen und anschließend lokal installiert.

Seite 35 von 36

Clientmanagement mit Empirum PRO

Abbildung 16: Das Mobile Client Konzept mit Empirum

10.7. Empirum und Terminal Server
In vielen Unternehmen existieren neben den bekannten Client/Server-Umgebungen mit klassischen PCs oder Notebooks häufig auch Terminal- bzw. Citrix-Server als Endgeräte. Diese decken meist spezielle Anforderungen ab und bedienen sowohl „Fat Clients“ als auch „Thin Clients“. Empirum bietet die Möglichkeit, die Vorteile einer individualisierten Softwareverteilung und Konfiguration in das Terminal-Server-Umfeld zu übertragen. Neben der automatisierten Serverinstallation ist die Möglichkeit, die gleichen Softwarepakete auf PCs und Terminalserver zu verteilen, eine wichtige Funktion. Der Aufwand für eine Paketierung wird reduziert und eine echte Individualisierung (Applikationskonfiguration) für alle angemeldeten Benutzer ist gewährleistet. Zusätzlich besteht mit Empirum Personal Backup die Möglichkeit, Konfigurationen und persönliche Daten (beispielsweise Bookmarks) vom Terminalserver auf die PCs und umgekehrt zu übertragen. Ein weiterer wichtiger Aspekt ist die Installation der Terminal- bzw. Citrix-Server selbst. Sind mehrere Server zu einer Serverfarm zusammengeschlossen, ist eine identische Konfiguration der Server erforderlich. Empirum OS Installer kann auch diese Server über Rollen gesteuert vollständig automatisiert installieren. Existieren mehrere Serverfarmen, können so sehr einfach bedarfsgerecht Server von einer Farm in eine andere übernommen werden.

Seite 36 von 36

Sign up to vote on this title
UsefulNot useful