3 ZENworks for Servers

Management Services

5/3 ZENworks for Servers 5/3.1

Inleiding

Na het succes van ZENworks for Desktops heeft Novell al enkele jaren geleden een vergelijkbaar managementprogramma gemaakt voor servers. Dit programma moest de opvolger worden van ManageWise en enkele features van ManageWise zien we dan ook terugkomen in ZENworks for Servers. Op een of andere manier is ZENworks for Servers echter nooit zo’n groot succes geworden als de desktopvariant. Op zich is dit vreemd, aangezien de laatste jaren de aandacht van organisaties heel erg heeft gelegen bij het beschikbaar houden van services. Termen als ‘beschikbaarheid’, ‘24x7’ en ‘99,999%’ zijn verworden tot modewoorden

Novell Netwerkoplossingen, aanvulling 9

5/3.1-1

ZENworks for Servers

binnen de ICT. In ieder geval is mede om deze reden besloten om één suite te maken waarin alle ZENworks-onderdelen worden opgenomen. Vooralsnog blijven het overigens verder losstaande producten. Tijdens de installatie is te zien dat de termen ZENworks for Servers 3 en ZENworks 6 door elkaar worden gebruikt. Natuurlijk zijn oplossingen als gemirrorde SAN’s en clusters heel goede oplossingen om beschikbaarheid te verhogen, maar vaak kan met minder ingrijpende oplossingen ook veel worden gedaan aan beschikbaarheid. In praktijk komen we het vaak tegen dat beheerders bij een storing zeggen: ‘eigenlijk hadden we het kunnen zien aankomen, hij deed al een tijd een beetje vreemd’. Een dergelijke uitspraak geeft eigenlijk precies aan waarom we een managementpakket als ZENworks for Servers willen hebben: storingen ontstaan vaak niet ‘zo maar’, maar installaties (zowel hardware als software) slijten en hebben dus onderhoud nodig. Twee niveaus

5/3.1-2

Het onderkennen hiervan loopt echter op twee niveaus stuk: • Management Aangezien er niet langer ongelimiteerd geld mag worden uitgegeven aan ICT-oplossingen, zal het management niet staan te trappelen om (bijv.) eens in de maand een avond onderhoud in te plannen. De gedachte ‘if it ain’t broken, don’t fix it’ is ook hier doorgedrongen: waarom dure engineers inhuren of medewerkers ’s avonds inzetten als de systemen werken? • Systeembeheer Beheerders hebben het vaak veel te druk om hun eigen systemen goed te leren kennen. Als een server er normaal anderhalve minuut over doet om op te


Management Services

starten en nu opeens vier minuten, dan is er iets mis. Als je echter nog dertig andere klussen hebt, ben je al snel geneigd om het maar te laten (‘hij is tenslotte opgestart’). Een van de zaken die ZENworks for Servers voor u kan overnemen, is het in de gaten houden van de netwerkomgeving en dan met name de NetWare-, Windows- en Linux-servers daarin. ZENworks houdt trendgegevens bij van alle geconfigureerde servers en kan bij een te grote afwijking al aan de bel trekken voordat zelfs de meest veeleisende gebruikers hebben gemerkt dat het netwerk niet optimaal functioneert. Door deze functie wordt de beheerder dus gewaarschuwd voordat er een probleem optreedt en kan dus tijdig bijsturen. Het voordeel van trendgegevens is verder dat de beheerder het management relatief gemakkelijk kan overtuigen en dus ook van die kant minder snel tegenwerking hoeft te verwachten.


5/3.1-3


Een andere feature die, met name binnen grotere netwerken, zeer veel tijd kan besparen, is de mogelijkheid om distributie-packages te maken. Dit is te vergelijken met de snapshot-functionaliteit van de desktopvariant. Naast het regulier up-to-date houden van de servers kan deze feature bij (bijv.) dreigende aanvallen (zoals de W32.Blasterworm) worden gebruikt om de servers snel van de nodige patches te voorzien. Dat dit uiteindelijk de beschikbaarheid ten goede komt, moge duidelijk zijn.

5/3.1-4


Management Services

5/3.2

Installatie

In deze paragraaf zal de basisinstallatie van ZENworks for Servers worden behandeld. Deze installatie wordt uitgevoerd op een NetWare-server, maar dit zou net zo goed een Windows-machine kunnen zijn. Naast voldoende geheugen- en processorcapaciteit heeft ZENworks for Servers eigenlijk alleen een goed functionerende eDirectory nodig om te kunnen werken. De installatie dient te worden uitgevoerd door een user met supervisorrechten op de root van de eDirectory. De installatie van ZENworks for Servers begint namelijk met het uitbreiden van het eDirectory-schema. Deze uitbreiding voegt de vier classes van ZENworks for Servers toe: MW:Account, MW:Domain, MW:Scope en MW:Service.


5/3.2-1


De set-up wordt gestart door het uitvoeren van WINSETUP.EXE in de root van de ZENworks for Servers-cd-rom. In het eerste scherm kan worden gekozen uit vier opties. Bij een initiële installatie zullen in elk geval de eerste drie opties moeten worden uitgevoerd. De installatie van de schema-extensies verloopt zoals vrijwel alle schema-extensies van Novell. Er dient een keuze te worden gemaakt welke tree moet worden gebruikt en de extensie wordt in ongeveer dertig seconden uitgevoerd.

Controleer echter aan het einde van de installatie wel goed of alle onderdelen daadwerkelijk goed zijn uitgevoerd. De ervaring is dat soms de laatste extensie misloopt omdat de eDirectory al druk aan het synchroniseren is. In de logfile is het mislukken van een extensie gelukkig eenvoudig te zien. Mocht dit voorkomen, dan dient te worden gecontroleerd of er een reden is waarom de extensie niet kon lopen (server down?, router down?). Als er geen problemen zijn of de problemen zijn opgelost, kan de extensie nogmaals worden uitgevoerd en zal dan waarschijnlijk wel helemaal goed worden doorlopen.

5/3.2-2


Management Services

Vanuit het tweede scherm worden de database en agents geïnstalleerd. Binnen een ZENworks for Servers-installatie moet minimaal eenmaal de Management Site Services zijn geïnstalleerd. De agents die daaronder staan, kunnen zo vaak worden geïnstalleerd als noodzakelijk. Waarschijnlijk zal op elke server (Windows, NetWare en Linux) deze set van agents worden geïnstalleerd, om zo alle servers in de gaten te kunnen houden. De installatie biedt op dit punt de mogelijkheid om een oudere ZENworks for Desktops installatie te upgraden.

Ongeacht welke keuze wordt gemaakt, zal het volgende scherm worden getoond. Het verschil tussen beide installaties is dat bij een upgrade straks wordt gevraagd welke ZENworks-site moet worden geüpgrade.

In het feitelijke installatiescherm kunnen de naast de Sitemanagementservices en -agents ook de ConsoleOne-snap-


5/3.2-3


Agents

ins worden geïnstalleerd en licenties worden toegevoegd. Deze licenties worden gecontroleerd en zijn noodzakelijk om na een trial-periode door te kunnen gaan met werken. Na de gebruikelijke welkom- en licentieschermen wordt het keuzemenu getoond voor installatie van de agents.

•

•

5/3.2-4

Management Site Services Hiermee wordt de Sybase-database geïnstalleerd op een van de servers in het netwerk. De Sybase-database wordt gebruikt om de trendgegevens mee op te slaan. Dit wordt niet in eDirectory gedaan omdat hiermee de eDirectory-database explosief zou groeien. Dit zou problemen kunnen geven met de synchronisatie en de gegevens van ZENworks for Servers kunnen toch via deze ene Sybase-database worden opgevraagd. Server Management Op alle servers (Windows, NetWare en Linux) die moeten worden beheerd, dient deze agent te worden geïnstalleerd. De agent verzamelt gegevens over onder andere de processorbelasting, snelheid, diskNovell Netwerkoplossingen, aanvulling 9

Management Services

•

ruimte enzovoort. Deze informatie wordt doorgegeven aan de Sybase-database. Traffic Analysis Elke server waarop deze agent wordt geïnstalleerd, kan worden gebruikt om de netwerkbelasting in de gaten te houden. Let erop dat in een geswitcht netwerk alleen de unicast packets bij de server komen die ook daadwerkelijk voor de server zijn bedoeld. Hierdoor lijkt het nut van de traffic analyse minder groot, maar toch is het zeer wenselijk om te weten hoe de netwerkverbinding van de server naar het netwerk wordt belast. Op deze manier kan bijvoorbeeld worden bepaald of er een gigabit-aansluiting moet worden gemaakt of niet. Naast de server zelf kan de traffic analyser ook informatie opvragen van andere hosts (werkstations, routers) die SNMP hebben enabled. Hierdoor kan een behoorlijk volledig beeld worden verkregen van de belasting van segmenten.

Bij een initiële installatie is het verstandig om alle onderdelen te kiezen. De ZENworks for Servers-agents kunnen weliswaar op een server die andere taken heeft mee worden geïnstalleerd, maar het is aan te bevelen dit niet op een server te doen waar gebruikers contact mee hebben (voor filesysteem, GroupWise of printen), aangezien de agents een zware belasting kunnen veroorzaken op de processor. Combineren met (bijv.) de image-server van ZENworks for Desktops zou weer wel mogelijk zijn.


5/3.2-5


De tweede stap is het installeren van een licentie als het systeem direct vanaf het begin gebruik gaat maken van een officiële licentie. Als de installatie gaat worden gebruikt om de toepasbaarheid van ZENworks for Servers te testen, kan hier ook worden aangegeven dat nu nog een evaluatielicentie moet worden gebruikt. Zoals we al hebben gezien, kan deze later worden vervangen door een echte licentie.

5/3.2-6


Management Services

Het invullen van de site-server en het volume dat moet worden gebruikt, kan het meest eenvoudig worden gedaan met de browser die wordt gestart als op de button met de drie puntjes wordt aangeklikt. Om als pad ‘ZENworks’ te gebruiken, is zeer gebruikelijk en geef ook duidelijk aan waarvoor de directory wordt gebruikt, maar er mag worden afgeweken van de keuze. Een belangrijke keuze (die later alleen met een herinstallatie kan worden gewijzigd!) is de keuze van het site number. Elke locatie (die gescheiden is door een router of WAN-verbinding) is voor ZENworks een site. Intern gebruikt ZENworks de site numbers om te weten welke servers met elkaar moeten communiceren of juist niet.

In het browserscherm dat wordt gebruikt om de server te kiezen, dient ook direct het volume voor de database te worden aangegeven. Hoewel het mogelijk is om hier SYS te kiezen, is dit zeker niet aan te bevelen. De database van ZENworks for Servers kan een behoorlijke proportie aannemen en op SYS lopen we hierdoor het risico problemen te


5/3.2-7


krijgen met de eDirectory-database. Als een volume is gekozen, wordt deze informatie direct ingevuld in het installatiescherm.

ZENworks biedt de mogelijkheid om al direct een lege database apart te zetten die dienst kan doen als de originele database corrupt zou raken. Dit gebeurt slechts heel zelden, maar in dat geval is het wel handig om een lege database gereed te hebben. De trendgegevens zijn hiermee natuurlijk wel verloren, maar als het snel weer up-and-running hebben van ZENworks belangrijker is (i.v.m. alarm monitoring), is dit dé manier om dit te doen.

In het volgende scherm kunt u aangeven direct de onderdelen van ZENworks te starten. Deze optie doet vermoeden dat het opnieuw starten van de server niet noodzakelijk is. Dit is niet terecht. Uit ervaring is gebleken dat enkele van

5/3.2-8


Management Services

de processen niet goed opstarten als er al Java-onderdelen zijn gestart. Het is dus beter om de server een koude reboot te geven. Toch dienen de vinkjes te blijven aanstaan. Zoals ook al in het informatiescherm wordt gemeld, zorgt het automatisch opstarten er ook voor dat de scope direct vanuit de intallatie wordt aangemaakt. De scope is een container waarin informatie over ZENworks for Servers wordt opgeslagen.

De scope moet voldoen aan de regels die voor alle eDirectory-objecten gelden. Standaard wordt de naam van de server waarop de installatie is uitgevoerd, genomen. Het lijkt logischer om als objectnaam de locatie te gebruiken (vestigingsnaam of vestigingsplaats) – dit is vaak duidelijker dan de servernaam. Hiermee is de installatie van de database voltooid. Omdat bij de installatie is gekozen om ook de agents te installeren, worden hiervoor nog twee schermen getoond. De eerste voor NetWare-servers, de tweede voor Windows-servers. De informatie op beide schermen is vergelijkbaar.


5/3.2-9


Er dient te worden aangegeven op welke server(s) de installatie moet worden gedaan en op welke volumes. Tevens dient voor elke server te worden aangegeven of alleen de servermanagement-agent actief moet zijn of ook de traffic analysis-agent. De traffic analysis-agent hoeft maar op één server per segment actief te zijn, maar mag wel op meerdere servers actief zijn. Dit laatste zorgt ervoor dat er metingen over de netwerkbelasting worden gedaan,

5/3.2-10


Management Services

ook als een server down is, maar resulteert ook in (iets) additioneel netwerkverkeer.

Server opnieuw starten

Hiermee is de installatie van ZENworks for Servers voltooid. Alvorens verder te gaan, is het verstandig om de server opnieuw op te starten (ongeacht of de services goed actief geworden zijn). Het is namelijk altijd mogelijk dat in de specifieke situatie een combinatie van NLM-bestanden bij het opstarten problemen geeft. Het is beter dit nu te ontdekken dan over (bijv.) vier maanden als de server wordt gereboot. Nu is namelijk nog helemaal duidelijk wat er voor handelingen zijn uitgevoerd en kan er dus snel worden getroubleshoot als dat nodig mocht zijn. Over enkele maanden is die kennis waarschijnlijk veel minder paraat. Na het restarten van de server hoeven alleen de snap-ins voor ConsoleOne nog te worden geïnstalleerd. Vanuit het hoofdmenu van WINSETUP kiezen we nu voor de optie om de ConsoleOne snap-ins te installeren.

De snap-ins van ZENworks for Servers kunnen worden gebruikt met ConsoleOne vanaf versie 1.3.3. Het is natuurlijk aan te bevelen om altijd gebruik te maken van de laatste versie van ConsoleOne. De laatste versie van ConsoleOne is te downloaden van http://download.novell .com. Op deze site staan overigens ook de laatste versies van snap-ins voor vrijwel alle producten (ook voor ZENworks for Servers). Controleer deze site regelmatig om goed bij te blijven.


5/3.2-11


Als ConsoleOne minimaal éénmaal gestart is geweest op het werkstation, zijn er registry keys aangemaakt. De installatieprocedure leest deze uit en weet zodoende waar ConsoleOne is geïnstalleerd. De melding dat het niet verstandig is om te browsen, heeft hiermee te maken. Als er meerdere versies van ConsoleOne zijn geïnstalleerd, kan natuurlijk wel gewoon naar de andere versie worden gebrowsed. Na het installeren van de snap-ins kan ConsoleOne direct worden gestart (een reboot is niet nodig) en zou de ZENworks for Servers informatie zichtbaar moeten zijn.

5/3.2-12


Management Services

Na deze installatie kunnen de alarmen en settings worden getuned voor een optimale werking binnen het netwerk waarin ZENworks for Servers is geïnstalleerd.


5/3.2-13


5/3.2-14


Management Services

5/3.3

ZENworks Patch Management

Qua management van Windows-machines is de belangrijkste toevoeging in ZENworks 6.5 ongetwijfeld Patch Management. Novell levert de software van Patchlink mee om een efficiënter beheer van patches voor het Windowsplatform mogelijk te maken; niet alleen voor het beheer van patches van Microsoft, maar ook van veel andere leveranciers (o.a. Adobe, Apple, Corel, Novell en Sun). Patch Management is een belangrijk onderdeel geworden van het dagelijkse beheer. Elke week verschijnen er gemiddeld 80 nieuwe security issues: 30 virussen of nieuwe varianten en 50 vulnerabilities van software waardoor kwaadwillenden de pc instabiel kunnen maken of zelfs misbruiken. Cijfers over de mate en snelheid waarin organisaties de patches die voor deze issues worden uitgebracht implementeren, zijn echter op zijn minst verbazingwekkend. 23% van de ondervraagde beheerders gaf aan niet regelmatig (minimaal eens per week) de operating systeem patches te downloaden en updates van de virusscanner uit te voeren. Een week na het bekend worden van het bestaan van het Blaster-virus en het uitkomen van een patch had 43% van de ondervraagde beheerders deze patch nog niet uitgevoerd op alle pc’s die gevaar liepen. Zeker door alle aandacht die er rond wormen en virussen in de media is, is het niet waarschijnlijk dat iemand (zeker beheerders) niet van het bestaan wisten. De vraag is dus waarom deze beheerders bewust zo’n groot risico hebben


5/3.3-1


gelopen. Het antwoord is eenvoudig: de tijd ontbreekt vaak om patches te beoordelen, te testen en uit te rollen.

Patch Management geeft u de mogelijkheid om veel van de taken die te maken hebben met het aanbrengen van patches te automatiseren, zonder de controle hierover kwijt te raken en met de mogelijkheid om duidelijke en uitgebreide rapportages te kunnen maken. Abonnement

Patch Management is overigens een dienst waar een abonnement voor nodig is. Per device dat wordt voorzien van patches dient een licentie te worden afgesloten. Dit abonnement staat dus los van de aanschaf van ZENworks zelf. Een alternatief voor gebruik van Patchlink lijkt het inrichten van een Microsoft SUS-server. Voordeel van SUS is natuurlijk dat het gratis is en gezien de kosten van Patchlink (catalogusprijs is $ 8 per pc), is dit een zeer legitiem argument. Het verschil tussen een SUS-server en Patchlink is de vendor-onafhankelijkheid en het aantal verschillende clients dat wordt ondersteund. Of dat altijd de investering waard is, is natuurlijk moeilijk aan te geven. Voor bedrijven in het MKB die weinig pc’s en geen

5/3.3-2


Management Services

fulltime-beheerder hebben, is het waarschijnlijk al snel de moeite waard om Patchlink te gebruiken. 5/3.3.1 De installatie Omdat Patch Management software is die door Patchlink is gemaakt en alleen in licentie door Novell wordt meegeleverd, is de keuze van platform waarop het komt te draaien zeer beperkt: Patch Management heeft een Windows OS nodig om te kunnen draaien. De machine hoeft gelukkig niet per se een server te zijn, maar een normale (goedkopere) XP of 2000 Professional mag ook. Noodzakelijk voor de werking van Patch Management is een geïnstalleerde IIS-server. Aangeraden wordt om verder zo min mogelijk op de machine te doen of te installeren en deze machine dus dedicated voor Patch Management te gebruiken. Installatie van Microsoft Office op de machine levert bijvoorbeeld al problemen op: Patch Management kan niet op een machine worden geïnstalleerd waarop ook Access draait. Qua processor en memory kunnen we de guidelines aanhouden die normaal gelden voor een Windows-installatie; een grote harddisk is natuurlijk wel aan te raden. Juist omdat de eisen die aan de machine worden gesteld zo duidelijk zijn, is de installatie van de Patch Management-server zeer eenvoudig. Feitelijk zijn het licentienummer en de Patchlink-gebruikersnaam en het Patchlink-wachtwoord het enige wat moet worden ingevoerd.


5/3.3-3


Deze eenvoudige installatie heeft echter ook een nadeel: Patch Management gebruikt standaard de C:-schijf om de patches die worden gedownload van de servers bij Patchlink op te slaan. Een andere schijf opgeven is niet mogelijk. Twee functies

De server die we lokaal inrichten heeft feitelijk twee functies: enerzijds fungeert hij als een soort cache-server waarop de patches die zijn gedownload worden opgeslagen, anderzijds draait op deze machine ook het management-console waarop de beheerder precies kan aangeven welke patches naar welke machines moeten worden gepusht. 5/3.3.2 Instellingen Alle beheer van Patchlink gebeurt via een webinterface. Dit is ook de reden dat op de Patchlink-server IIS geïnstalleerd moet staan. Aanpassen van de instellingen is bij vrijwel alle installaties het eerste wat wordt gedaan, maar op de Patchlink-server hoeven feitelijk maar heel weinig instellingen te worden gedaan.

5/3.3-4


Management Services

Als eenmaal contact met de Patchlink-server is gelegd, kan voor het aanpassen van instellingen worden gekozen door de keuze Options, waarna het volgende scherm wordt getoond:

Synchronisatie

In dit scherm wordt getoond hoe het communicatieproces met de Patchlink-server in het verleden is verlopen. De twee instellingen die hier kunnen worden gedaan zijn direct wel belangrijk voor een goed werkende Patchlinkserver. De tijd 13:00 is het moment op de dag waarop de synchronisatie plaatsvindt (ondanks de wat cryptische omschrijving). Om deze tijd zal de Patchlink-server contact zoeken met de centrale Patchlink-server en de nieuwe distributies overhalen. In situaties waarin een vaste internetverbinding wordt gebruikt, lijkt het logischer om deze updates ’s nachts te laten uitvoeren. ’s Nachts wordt de internetverbinding vaak toch niet of nauwelijks gebruikt en als de update op deze rustige uren plaatsheeft, hebben gebruikers er ’s middags geen last van. Als communicatie met de centrale Patchlink-server via een proxy wordt uitgevoerd, moet die ook hier worden opgegeven.


5/3.3-5


Let ook even op de buttons onder aan het scherm. De ‘Update now’-button kan worden gebruikt om direct een synchronisatie te forceren tussen de centrale server en het eigen Patchlink-systeem. De tab Licenses toont een overzicht van de licenties van Patchlink: hier is te zien hoeveel licenties er zijn aangeschaft en van wanneer tot wanneer ze geldig zijn. De volgende tab (Defaults) geeft de instellingen van de PLUS-server weer (PLUS staat voor Patchlink Update Server). In dit scherm kunnen we opgeven hoeveel gelijktijdige distributies mogen worden uitgevoerd en op welke tijden de server actief mag zijn. Door Patchlink geen distributies te laten uitvoeren tijdens de drukke periode op het netwerk (meestal ’s ochtends tussen 8.00 en 9.00) kan de ‘last’ die mensen hebben van Patchlink verder worden verminderd. In de Agent policy sets-tab worden ongeveer dezelfde settings gedaan (communicatie interval, logging level en hours of operation), maar nu beredeneerd vanuit de agent.

5/3.3-6


Management Services

E-mail notificatie

In het tabblad E-mail notifications kan worden aangegeven wie notifications krijgen van aan de Patchlink gerelateerde zaken. Naast alle mogelijke problemen die de Patchlink-server zou kunnen hebben, meldt deze service het ook als er nieuwe reports binnen zijn. Deze mailtjes geven aan welke updates er nieuw zijn binnengekomen bij de Patchlink-server. De reden dat deze informatie per mail aan de administrator wordt gezonden, heeft ook weer te maken met de gedachte dat een beheerder niet actief bezig zou moeten zijn met patchen: in plaats van elke dag te moeten kijken of er nieuwe updates zijn, meldt het systeem dit automatisch. Met de huidige ontwikkelingen betekent dit overigens dat we elke dag minimaal één mailtje kunnen verwachten van het systeem, dus effectief kijken we toch elke dag wel even.

Het laatste tabblad (Support) geeft een overzicht van de informatie die voor support handig kan zijn: welke versie


5/3.3-7


van Patchlink draait er, welke Windows-versie, welke .NETversie enzovoort. Netjes is dat ook het supportnummer van Patchlink op deze pagina is weergegeven. Bij problemen is het dus in elk geval duidelijk waar we terechtkunnen. 5/3.3.3 De client installatie Nadat de set-up en de configuratie van de server zijn uitgevoerd, dienen alleen nog de clients te worden geïnstalleerd. Via de keuze ‘Computers’ komen we in een scherm waarin alle reeds geïnstalleerde computers staan. Onder aan deze pagina bevindt zich een knop waarmee de bestanden die nodig zijn om de client-installatie te kunnen starten, kunnen worden benaderd:

In het scherm dat door de knop ‘Install’ wordt geopend, staat de Patchlink-agent in een aantal varianten; • de single agent installation executable voor Windows; • de single agent MSI installer for Windows; • silent agent installer for Windows; • domain wide agent deployment wizard for Windows; • single agent installer for UNIX; • network wide deployment wizard for NetWare.

5/3.3-8


Management Services

Voor de Windows-implementatie zijn dus meerdere mogelijkheden ingesteld. De keuze voor een ervan hangt voornamelijk af van de omgeving, hoewel in combinatie met ZENworks for Desktops alle Windows-distributies eenvoudig kunnen worden gebruikt. Tijdens de installatie van de client dienen het adres van de Patchlink-server en de licenties te worden opgegeven. Na de installatie zal de client zich aanmelden via de opgegeven informatie en een inventory-scan doorzenden naar de Patchlink-server. De Patchlink-server gebruikt deze informatie om uit te zoeken welke patches naar deze machine moeten worden gepusht. Door, op een geregistreerde pc, in het scherm ‘Computer’ te klikken, is deze inventory informatie op te vragen.

Via het tabblad Deployments kan worden gecontroleerd welke packages door Patchlink op deze machines zijn geïnstalleerd en welke nog moeten worden uitgevoerd. Het schedulen van packages gebeurt via het tabblad Reports. Aan de hand van het operating system en de


5/3.3-9


inventory-gegevens van de machine bepaalt Patchlink welke packages moeten worden gedistribueerd. Via ditzelfde tabblad is het ook mogelijk om rapportages op te vragen die per patch kunnen tonen naar welke machines de deployment al is uitgevoerd en naar welke machines nog niet. Alle patches worden onderverdeeld in een ‘Impact’-categorie, zoals ‘Virus removal’, ‘Task’, ‘Critical’ en ‘Recommended’. Door de checkbox aan de linkerkant van het scherm te selecteren en daarna op ‘Deploy’ te klikken, wordt een package aan een machine toegekend en zal deze worden geïnstalleerd. Door op de naam van een report te klikken, kan ook worden getoond welke computers deze package ook nodig hebben en kan de package direct aan al deze machines worden toegekend.

5/3.3.4 Groepen Voor het distribueren van packages aan meerdere machines is het echter veel efficiënter om te werken met groepen. Standaard heeft de Patchlink-server voor alle operatingsystemen al groepen. Iedere computer die wordt geïnventariseerd, wordt automatisch in een van deze groepen geplaatst. Via de groepen kunnen deployments worden uit-

5/3.3-10


Management Services

gevoerd naar alle pc’s die in deze groep zitten. Hierdoor kan dus met slechts enkele klikken een security update naar bijvoorbeeld 1500 Windows XP-machines worden gezonden. Uiteraard is het operating system niet de enige manier om machines te groeperen. Beheerders van het systeem kunnen zelf groepen aanmaken, gebaseerd op bijvoorbeeld locatie of afdeling binnen het bedrijf. Hierdoor kunnen zo nodig andere patches worden uitgevoerd op machines binnen een financiële afdeling dan bij de afdeling development.

5/3.3.5 Conclusie De toevoeging van Patchlink aan de ZENworks 6.5-suite biedt zeker mogelijkheden voor organisaties, hoewel de kosten van de licentie afschrikkend kunnen werken. Zoals al opgemerkt is Patchlink een ideaal middel voor kleine organisaties met een beperkt aantal pc’s. De kosten voor een abonnement zijn niet te hoog en omdat juist dit soort organisaties geen fulltime-beheerder hebben, wordt hier op dit moment vaak te weinig gedaan aan Patch


5/3.3-11


Eenvoudig en snel

Management. Met Patchlink is het selecteren van patches en het toekennen aan groepen pc’s een eenvoudige een snelle actie die niet eens door hooggekwalificeerde mensen hoeft te worden gedaan. In de praktijk hebben we al ervaring bij een advocatenkantoor waar een secretaresse de patches ’s ochtends klaarzet. Voor grote organisaties ligt het – denken wij – iets lastiger: met een volwaardige IT-staf en ZENworks for Desktops zou men best zonder Patchlink kunnen. Door van elke patch een snapshot te maken (of de MSI te gebruiken), kan hetzelfde worden bereikt, zij het met meer inspanning en benodigde kennis. Het wordt dan moeilijker om een investering van duizenden euro’s gefiatteerd te krijgen, terwijl Patchlink ook voor die organisaties toch een goede verzekering zou kunnen zijn. Afgezien van het gezichtsverlies kost het deze organisaties natuurlijk ook veel als er op pakweg duizend pc’s niet kan worden gewerkt door een virus dat (bijv.) gebruikmaakt van een lek in Acrobat Reader. De kans dat dit kan gebeuren is groot: wie houdt naast de patches van Microsoft en Novell ook dit soort patches goed bij? Wellicht bijna niemand… Bereken eens wat het kost als dit een keer gebeurt en het zal duidelijk zijn dat Patchlink ook bij dit soort organisaties zeker een plaats verdient. Is er dan geen risico dat patches elkaar tegenwerken? Eerlijk is eerlijk, dat risico is er natuurlijk nog steeds, maar is klein. Patchlink test namelijk alle patches voordat ze worden doorgezonden naar de Patchlink-servers. De kans dat patches het systeem instabiel maken, is dus niet zo groot. De effectiviteit van Patchlink wordt in Nederland alleen bedreigd doordat de ondersteuning van echt Nederlandse

5/3.3-12


Management Services

of Nederlandstalige software nog onder de maat is. De ondersteuning voor multilingual pakketten (zoals bijv. GroupWise en Office) is geen probleem, maar software die alleen voor de Nederlandse markt is geschreven, is in de database niet te vinden. Nu is de kans dat deze software door een hacker wordt gebruikt natuurlijk kleiner (de hacker moet de software wel tot zijn beschikking hebben), maar het blijft een tekortkoming. Patchlink heeft overigens aangegeven hieraan te gaan werken voor de Nederlandstalige software van grote leveranciers.


5/3.3-13


5/3.3-14


Management Services

5/3.4

Policies en distributies

5/3.4.1 Inleiding Een van de eerste redenen die mensen aanvoeren om ZENworks for Servers te gaan gebruiken is de mogelijkheid om pro-active-management te kunnen gaan doen. Dit houdt in dat de monitoring agent (een specifieke ZENworks .nlm of .dll) of een standaard SNMP-module de servers in de gaten houdt en bij afwijkingen een melding geeft aan de beheerder. De beheerder kan dan (hopelijk) al reageren voordat gebruikers merken dat er iets mis is. Deze functionaliteit wordt binnen ZENworks for Servers MMS genoemd (Management & Monitoring Services).


5/3.4-1


Dat is natuurlijk een leuke en belangrijke functionaliteit, maar daarmee gebruikt u maar de helft van de functionaliteit van ZENworks for Servers. De andere helft aan functies die door ZENworks for Servers wordt aangeboden, heet Policy & Distribution Services (PDS). Zonder de MMS-functionaliteit tekort te willen doen, is PDS waarschijnlijk veel boeiender om te implementeren, zeker als u een netwerk hebt dat op verschillende locaties geïmplementeerd is. Als u dan ook nog eens niet – of niet altijd – op iedere locatie een beheerder hebt zitten, is ZENworks for Servers eigenlijk een absolute must. 5/3.4.2 Policy & Distribution Services De functies die PDS biedt zullen de doorgewinterde ZENworks for Desktops-beheerder veel bekender voorkomen dan MMS. Ook sluiten ze logischer aan bij het ZENworks-concept. Met PDS zijn we onder andere in staat om policy packages te maken die bepalen hoe een server: 1. zoekt naar andere policies De policy die hiervoor wordt gebruikt is dezelfde search policy die ook al in ZENworks for Desktops werd gebruikt. 2. remote overgenomen mag worden Voor Windows-servers is deze functionaliteit helemaal gelijk aan het remote management dat binnen ZENworks for Desktops voor de werkstations wordt gebruikt. 3. geïnventoriseerd wordt Ook de inventory services zijn heel erg vergelijkbaar met ZENworks for Desktops. Niet alleen wordt dezelfde procedure gebruikt, maar als u al een inventory hebt draaien voor uw werkstations, zullen de servers die via ZENworks for Servers worden beheerd gewoon van dezelfde database gebruikmaken.

5/3.4-2


Management Services

In eerste instantie lijkt het er dus op dat PDS niets anders is dan een aanpassing van ZENworks for Desktops die ervoor zorgt dat ook Windows-servers beheerd kunnen worden. Hiermee onderschat u PDS echter enorm. Ten eerste worden alle functionaliteiten van PDS op meerdere platforms ondersteund. Kort gezegd kunnen we alle servers beheren waarop we ook eDirectory kunnen installeren: Windows, NetWare, Linux en Solaris. Let wel: de servers hoeven niet in een eDirectory opgenomen te zijn. Dat brengt ons direct bij het tweede verschil met ZENworks for Desktops: omdat we servers willen kunnen beheren die niet in dezelfde eDirectory tree staan of zelfs helemaal niet in een eDirectory tree zijn opgenomen, werken de mechanismen niet die we binnen ZENworks for Desktops gebruiken om policies te forceren of snapshots te installeren. Daarbij zal een ZENworks for Desktops-implementatie normaal gesproken op een locatie zijn (althans: werkstations halen van een lokale server hun informatie op), terwijl servers vaak op verschillende locaties staan. Het is dan natuurlijk niet wenselijk om een distributie van – bijvoorbeeld – een servicepack vier of vijf keer over een (smalle) WAN-verbinding te verzenden.

TED

ZENworks for Servers lost al deze problemen op door alle informatie die te maken heeft met PDS te verzenden via een infrastructuur die TED (Tiered Electronic Distribution) wordt genoemd. 5/3.4.3 Tiered Electronic Distribution Voordat u TED kunt gebruiken is het heel belangrijk dat DNS goed functioneert. ZENworks for Desktops maakt namelijk voor alle dingen gebruik van DNS-namen. Dat betekent dus ook dat alle te managen servers opgenomen


5/3.4-3


moeten worden in de DNS. Let er bij het opzetten ook op dat de reversed DNS (in-addr-arpa) goed opgezet is en wordt gevuld: ook deze is zeer belangrijk voor een goede werking van ZENworks for Servers. Tijdens de installatie van PDS wordt een aantal zaken standaard geïnstalleerd:

De geselecteerde items zijn de onderdelen die iedere te managen server nodig heeft om gebruik te kunnen maken van TED (en dus van PDS). • Policy & Distribution Server Door deze software wordt de machine een ‘subscriber’. Deze functionaliteit is het minimale dat noodzakelijk is om policies en distributies te kunnen ontvangen van een andere machine binnen de TED. • Inventory Agents De inventory agent zorgt ervoor dat de inventory van de server kan worden doorgezonden naar een inventory server. Voor Windows-servers wordt deze informatie verkregen via WMI en DMI (net als bij

5/3.4-4


Management Services

•

Additionele opties

ZENworks for Desktops), voor NetWare-servers wordt gebruikgemaakt van smbios (dat ook via de Novellremote manager op te vragen is). Remote Management Deze optie zorgt ervoor dat rconag6 geladen wordt op de servers, waardoor remote management mogelijk wordt. Als deze feature aangevinkt blijft, zal verder tijdens de installatie om een wachtwoord gevraagd worden. Het default-wachtwoord is ‘Novell’ en kan dus waarschijnlijk beter niet gebruikt worden. Als u later het wachtwoord wilt aanpassen, kunt u dat op de normale manier doen. Encryptie (via het commando load rconag6 encrypt) wordt ook nog gewoon ondersteund.

Naast deze standaardopties kunnen er op de servers een of meer additionele opties worden geïnstalleerd. • Distributor In iedere TED-structuur moet minimaal één distributor zijn. De distributor is de server die de top van de TED-tree vormt en van waaruit de distributies worden gezonden. Ondanks dat subscribers die in de eDirectory zijn opgenomen in principe de distributiegegevens uit de eDirectory zouden kunnen lezen, gebeurt dat niet. Subscribers lezen alleen hun eigen configuratiegegevens. Alle andere informatie wordt toegezonden door de distributor. Afhankelijk van de grootte van de ZENworks for Servers-installatie kan de distributor het op bepaalde momenten zeer druk krijgen en het kan dus wenselijk zijn om hem op een dedicated server te plaatsen. Vaak wordt deze server dan ook gebruikt binnen het MMS-proces als bijvoorbeeld trending server voor het netwerk. Ook dit levert soms een aanzienlijke belasting op. Plaats deze zaken op een aparte server.


5/3.4-5


•

•

•

•

5/3.4-6

Op deze manier hebben gebruikers er geen last van. Een bijkomend voordeel is dat als de server een keer een reboot nodig heeft, dit gedaan kan worden zonder dat gebruikers daar iets van merken. Server Management Database Standaard wordt ook voor ZENworks for Servers nog de Sybase-database gebruikt. ZENworks for Desktops en ZENworks for Servers kunnen beide gebruikmaken van dezelfde database. Als u dus al een structuur hebt gemaakt voor de Desktop-versie van ZEN, is er geen noodzaak om een compleet nieuwe structuur te maken (dat kan overigens wel als dat wenselijk zou zijn). Inventory Server Ook hiervoor geldt dat gebruik kan worden gemaakt van de ZENworks for Desktops-infrastructuur, als die er is, of dat eigen inventory servers kunnen worden gemaakt. Inventory Proxy Server Net zoals er binnen ZENworks for Desktops de mogelijkheid is om via een standaard webinterface gebruik te maken van ZENworks, is ook voor ZENworks for Servers een proxy-service gemaakt. Hierdoor kunt u een inventory proxy in de DMZ plaatsen en kunnen servers over internet toch hun inventory-gegevens kwijt, zonder dat u de inventory server zelf toegankelijk hoeft te maken vanaf internet. ConsoleOne snap-ins ZENworks for Servers maakt nog voornamelijk gebruik van ConsoleOne, hoewel het grootste deel van de PDS inmiddels ook via iManager is uit te voeren. De optie ConsoleOne snap-ins voegt de snap-ins toe aan de ConsoleOne die op het sys:-volume van de server staat. Zoals u boven aan het installatiescherm kunt zien, kan ook een lokaal geïnstalleerde versie van


Management Services

ConsoleOne worden aangepast. Deze installatie gaat alleen goed als ConsoleOne ook daadwerkelijk geïnstalleerd is op de lokale pc; als u ConsoleOne gekopieerd hebt, is er geen installatieverwijzing en kan de installatieprocedure niet bepalen waar ConsoleOne staat. U kunt de juiste directory vervolgens overigens wel opgeven. Binnen TED kunnen servers dus verschillende rollen hebben. Er moet in ieder geval één distributor te zijn. Dit is de server die de packages vanuit eDirectory inleest en de distributies maakt. Deze packages worden dan, op het moment dat deze gedefinieerd worden in de settings van de distributor en in de package, verzonden naar alle subscribers die verbonden zijn aan de distributor. Een subscriber zal (ook weer gescheduled) de package uitpakken en uitvoeren. De eDirectory-objecten van beide taken verschillen daarom ook niet zo heel erg qua interface. Wat bij beide configuraties opvalt, is dat u kunt beperken hoeveel bandbreedte er maximaal gebruikt mag worden voor het distributie- of subsciber-proces. Hierdoor kunt u voorkomen dat – met name bij WAN-verbindingen – ZENworks for Servers de complete bandbreedte verbruikt. Een belangrijke setting is de ‘working directory’. In de screenshot staat deze ingesteld op het sys:-volume, maar dit is een zeer gevaarlijke instelling! Distributies kunnen zeer groot worden en ze worden opgeslagen en uitgepakt in deze directory. Tijdens de installatie van ZENworks for Servers kunt u opgeven op welk volume u de distributies wilt plaatsen. Achteraf is dit ook nog te doen: zorg ervoor dat de distributor niet actief is (ontlaad het Java-proces), vervang de working directory en kopieer de inhoud van de


5/3.4-7


oude naar de nieuwe distributie-directory. Na het opnieuw starten van de distributor maakt hij gebruik van de nieuwe directory.

In de messaging tab geeft u vervolgens alles op wat te maken heeft met het loggen van informatie. Omdat ZENworks for Servers een managementtool is, is hier behoorlijk veel aandacht aan besteed en zijn er dus ook nogal wat opties. Vuistregel voor deze instellingen is dat u niets moet loggen wat u niet van plan bent te gebruiken.

5/3.4-8


Management Services

Bij de subscriber zijn twee extra tabbladen belangrijk om in te stellen:

De working context van een subscriber is alleen belangrijk als ZENworks for Servers zal worden gebruikt om ZENworks for Desktops-applicaties te distribueren. Daarbij worden namelijk ook eDirectory-objecten aangemaakt en dat wordt gedaan ten opzichte van de working context.


5/3.4-9


In ZENworks for Desktops zit een optie om ‘macro’s’ in te stellen. Deze benaming is vreemd, omdat de ‘macro’s’ feitelijk gewoon variabelen zijn. Binnen ZENworks for Servers is dit gelukkig wel goed benoemd. De variabelen die u definieert voor een subscriber, kunnen worden gebruikt om bijvoorbeeld volumes op te geven als die niet op alle servers gelijk zijn (zie voorbeeld). Alle verwijzingen in distributies worden tijdens het uitvoeren netjes vertaald. Als ZENworks for Servers wordt gebruikt om ZENworks for Desktops-applicaties te distribueren, worden zelfs de snapshots aangepast. Als er WAN-verbindingen zijn, is het wenselijk om een package maar eenmaal over die (smalle) verbinding te verzenden. Om deze reden kunnen subscribers de packages ook weer doorzenden aan andere subscribers. Een subscriber die op deze manier functioneert, noemen we een parent subscriber.

5/3.4-10


Management Services

Door deze manier van werken kunnen we heel efficiënt de distributies over het netwerk verspreiden. Om de configuratie nog gemakkelijker te maken zijn er ook nog subscriber groups gemaakt. Hierin kunnen bijvoorbeeld alle subscribers van een locatie worden opgenomen. Het gebruik van groepen is met name zinvol omdat hierdoor een nieuwe server snel geconfigureerd kan worden en u zeker weet dat alle servers op een locatie dezelfde gegevens binnenkrijgen. Groepen zijn niet nieuw voor ons beheerders, maar naast de groepen is er binnen ZENworks for Servers ook nog zoiets als een TED channel. Iedere policy of package die moet worden uitgevoerd, wordt aan een channel gehangen. Deze policy of package wordt vervolgens uitgevoerd op alle subscribers die aangemeld zijn op de channel (of die in een groep zitten die aangemeld is op een channel).


5/3.4-11


In eerste instantie lijkt dit wellicht wat dubbel, maar in de praktijk is het zeer handig. Het is in ieder geval overzichtelijk om channels te bouwen voor de verschillende operating systems. Binnen een OS kunt u er vervolgens voor kiezen om channels te maken op basis van prioriteit (direct uitvoeren, ’s nachts uitvoeren, eenmaal per week, et cetera) of per product. Omdat het aantal channels dat u mag bouwen ongelimiteerd is, kunt u een een structuur bouwen die precies past binnen de organisatie waarin het wordt geïmplementeerd. TED-channels kunnen via ConsoleOne worden aangemaakt, als tijdens of na de installatie de ZENworks for Servers de snap-ins zijn geïnstalleerd. Een TED-channel is eenvoudig te configureren met de vier tabbladen General, Distributions, Subscribers en Schedule.

5/3.4-12


Management Services

In de General-tab kan de channel aan of uit worden gezet. De channel moet actief zijn voordat er iets verzonden kan worden. Na iedere wijziging zal overigens ook de distributor een refresh moeten krijgen. In de Distributions-tab worden de distributies weergegeven die tot deze channel behoren. Dit kan via een eenvoudige button worden gedaan.

In het Subscribers-tab wordt opgegeven welke subscribers distributies via deze channel krijgen. Of de distributie daadwerkelijk wordt uitgevoerd op de subscriber, hangt overigens ook af van de instellingen van de distributions zelf: hierin kunt u aangeven onder welke voorwaarden een distributie kan worden uitgevoerd. Denk hierbij aan voorwaarden die gesteld kunnen worden aan de processor en memory, maar ook aan het al dan niet voorkomen van andere producten in de products.dat.


5/3.4-13


De Schedule-tab bevat een scherm dat heel erg lijkt op hetgeen we al kennen vanuit ZENworks for Desktops. In ZENworks for Desktops wilden we voor policies vaak dat deze zo snel mogelijk zouden worden uitgevoerd, maar binnen ZENworks for Servers moet u daar juist heel terughoudend mee omspringen. De belasting die een distributie tot gevolg kan hebben, hangt heel erg af van het type distributie (een paar set parameters of een volledig servicepack), maar situaties waarin de server minutenlang op 100% utilization staat komen regelmatig voor. Met deze instellingen is de basis voor een PDS-systeem binnen ZENworks for Servers opgezet. Aan de basis die nu gemaakt is kunnen distributies worden toegevoegd die updates en aanpassingen verzenden naar servers. In een volgende paragraaf zullen we hier verder op ingaan.

5/3.4-14


3 ZENworks for Servers

Recommend Documents