Application & Desktop Delivery. Info BEURS- SPECIAL

jaargang 12 • nummer 6 • november 2010

www.netopus.nl

Vakblad voor de netwerk- & systeembeheerder

Application & Desktop Delivery

­ o f n I rit y Secu S­ R BEUC L A I SPE

 Global Virtual Application Infrastructure  Nieuwe serie: Citrix XenApp  RDS in Windows Server 2008 R2  Kooptips voor thin clients

Citrix Synergy 2010: De nieuwste trends

Zero clients uitgelegd: Stateless terminals

The Human Interface: ICT en lifestyle

Redactioneel COLOFON

Access devices

Redactie-adres Professor Eijkmanlaan 2 2035 XB Haarlem Telefoon • (023) 543 00 00 E-mail redactie • [email protected] Hoofdredacteur • Mireille Rameau Adjunct-hoofdredacteur • Onno Louwen Eindredacteur • Jaap de Wreede Vormgeving • Ingeborg Claessens Redacteur • Marcel Beelen Medewerkers • Erik de Ruijter, Hans Steeman, Hans Timmerman, Jan Reinders, Remy Habets Uitgever • Martin Smelt Traffic • Marco Verhoog Media Order • Anique den Brave, Bob Bottelier, Mirella van der Willik Boekhouding • René de Muijnck, Geeta Hobo Prepress & Druk • Senefelder Misset Doetinchem Distributie • Betapress

De eisen aan bedrijfsomgevingen worden steeds hoger. Ze moeten flexibele werkplekken bieden met ondersteuning voor mobiele apparaten, veilig zijn en ook nog eens voor zo laag ­mogelijke kosten. Zo kun je tegenwoordig kiezen voor gevirtualiseerde werkplekken in je eigen datacenter of draaiend in de cloud. Maar ook kun je gevirtualiseerde applicaties draaien op die virtuele werkplekken, server-gebaseerde applicaties gebruiken of applicaties in de cloud. Applicatievirtualisatie en desktop­virtualisatie beloven beide de ultieme werkplek te zijn voor jouw organisatie. Ze worden centraal beheerd in het datacenter, zijn veilig, simpel te backuppen en bieden razendsnelle applicaties. Ook zijn ze in

Advertenties Menno Dekker Telefoon • (023) 543 00 44 Fax • (023) 535 96 27 E-mail • [email protected]

luttele seconden te herstellen bij problemen en ­bovendien flexi-

Marketing Judith Sturk Telefoon • (023) 752 39 22

Wat er vaak wordt vergeten, is dat je op je werklocatie ook nog

Abonnementen HUB Uitgevers b.v. Ingrid van der Aar, Brigitte Hetem Postbus 3389, 2001 DJ Haarlem Telefoon • (023) 536 44 01 Fax • (023) 545 18 43 E-mail • [email protected]

te bedienen. Maar hoe moeten we dat apparaat eigenlijk

bel te gebruiken door de onafhankelijkheid van het besturingssysteem. Je werkplek is vanaf elke locatie en tijdsongebonden te ­gebruiken. Dat willen we toch allemaal? een apparaat nodig hebt om de virtuele werkplek en ­applicaties ­noemen? De termen werkplek, desktop, computersysteem, pc en bureaucomputer dekken in de wereld van virtualisatie de ­lading niet. Je zou moeten spreken van ‘end-point device’ of nog beter van ­‘access device’, omdat het apparaat niet veel meer

Een abonnement kan elk moment ingaan, en kost voor 6 nummers € 37,50. Een abonnement wordt steeds automatisch voor eenzelfde periode verlengd tenzij u twee maanden voor de vervaldatum schriftelijk opzegt.

doet dan toegang bieden tot de werkomgeving. Zo’n apparaat bestaat uit snelle of trage, grote of kleine, dure of goedkope, ­mobiele of vaste hardware, voorzien van een netwerkverbinding, een beeldscherm en een manier om daarop ­applicaties te bedienen. Als invoerapparaat kun je kiezen voor een stylus, je vinger, een muis of eventueel on-screen toetsenbord. Een access device biedt je dus primair toegang tot data en applicaties. Welk apparaat dat precies is, maakt eigenlijk

NetOpus is een uitgave van

BV

Hoewel aan NetOpus door de redactie en de uitgever uiterste zorg is besteed, aanvaarden de redactie noch de uitgever enige aansprakelijkheid voor schade ontstaan door eventuele fouten of onvolkomenheden in het blad of op de website. Reproductie van artikelen of andere redactionele bijdragen op welke wijze dan ook is alleen toegestaan na schriftelijke toestemming van de uitgever. Copyright © 2010 HUB Uitgevers b.v. De verwerking van persoonsgegevens van abonnees is aangemeld bij het College Bescherming Persoonsgegevens in Den Haag door HUB Uitgevers b.v., die verantwoordelijk is voor deze gegevens. De gegevens worden gebruikt voor de uitvoering van de gesloten overeenkomsten, zoals abonnementen en nabestellingen. Daarnaast kunnen de gegevens gebruikt worden om u op de hoogte te houden van interessante informatie of aanbiedingen. Ook kunnen ze aan door ons zorgvuldig geselecteerde partijen ter beschikking worden gesteld of gebruikt worden voor analyse om de aanbiedingen of informatie zoveel mogelijk op uw interesses af te stemmen. Bij het opgeven van uw gegevens kunt u bezwaar maken tegen het beschikbaar stellen van uw gegevens aan derden. Ook kunt u uw eigen gegevens opvragen en verzoeken ze te corrigeren of te verwijderen. Stuur hiertoe een kaartje aan de abonnementenadministratie. Postbus 3389, 2001 DJ Haarlem.

niet ­zoveel uit. Zolang het maar geschikt is voor het door jou ­gewenste gebruik. Misschien moet het ­ultieme ­access ­device voor de virtuele werkplek nog worden uitgevonden, maar één ding is zeker: de markt voor application & desktop delivery is volop in beweging, wat ook blijkt uit dit extra dikke nummer. Ik wens je dan ook veel leesplezier met deze NetOpus-special!

Marcel Beelen

www.netopus.nl

3

Application & Desktop Delivery

Inhoud

Up2Date Trends en gadgets Mobility Now!

Cloud computing, cloud storage en virtualisatie? Zie je door de wolken het bos niet meer? Neem dan een abonnement op NetOpus! Blijvend voordeel voor MCSE’ers! MCSE-gecertificeerden krijgen een blijvende korting op een NetOpus-abonnement en betalen elk jaar slechts € 22,50! Ga snel naar www.hubstore.nl/mcse

6 7

Analyses Mr SBC Lab Notes

13 19

Reportage Citrix Synergy

8

Features Wat volgt er na desktopvirtualisatie?

10

VirtualStorm: power voor VDI Zero clients: stateless en snel RDS in Windows Server 2008 R2 VMware in de praktijk: Carante Groep De netbook als thin client?

14 16 20 24 28

Marketwatch Desktopvirtualisatiemarkt anno 2010

30

Series Virtualiseren met Citrix XenApp deel 1 Nutsvoorzieningen uit de cloud deel 1

34 38

The Human Interface ICT en lifestyle: de klant wordt prosumer

44

Beursspecial InfoSecurity: standhouders en achtergrond 47

Kooptips Vind de ideale thin client

52

Labreports HP t5740 en gt7725 Wyse C10LE en R90LW

54 58

Toolbox Handige freeware voor de beheerder

62

Tricks & Traps Lezersvragen beantwoord

65

www.netopus.nl

5

Up2Date Citrix XenServer-edities Citrix heeft de functionaliteit en edities van Citrix Essentials for XenServer opgenomen in een drietal XenServer 5.6-versies: ­Advanced Edition, Enterprise Edition en Platinum Edition. Citrix Essentials for XenServer is daarom niet meer te koop. Voor Hyper-V is wel nog steeds Citrix Essentials for Hyper-V te verkrijgen.

LG's Android uitgesteld LG gaat zijn Android-tablet niet meer voor de kerst in de winkel leggen. De fabrikant is niet tevreden over de prestaties van Android 2.2 (Froyo) op de tablet en wacht nu liever eerst op de release van Android 3.0. De tablet krijgt een 10,1 inch-touchscreen.

BlackBerry PlayBook geboren Research In Motion brengt de BlackBerry PlayBook op de markt met als besturingssysteem BlackBerry Tablet OS. Het gaat om een tablet waarop je kunt browsen, multitasken en multi­ media gebruiken. Met een aanraakscherm van 7 inch en een hoge resolutie, een dikte van een centimeter en gewicht van vierhonderd gram is het een gemakkelijk mee te nemen apparaatje. De PlayBook, die is voorzien van stereo­geluid en twee hd-camera’s om video mee op te nemen of te beeldbellen, heeft een hdmi-uitgang. Het besturingssysteem BlackBerry Tablet OS is gebaseerd op de Symmetrical Multi-Processing- of

SMP-microkernel­architectuur van QNX Neutrino. Deze is compatibel met ­POSIX en ondersteunt OpenGL voor grafisch intensieve 2d- en 3d-applicaties. Applicaties kunnen ook worden ontwikkeld in Adobe Mobile AIR, in het nieuwe BlackBerry WebWorks of in Java. Op het OS functioneert Adobe Flash Player 10, Adobe Mobile AIR en html5. Je kunt de PlayBook synchroniseren met je Black­Berry-smartphone en zakelijk beheren met de BlackBerry Enterprise Server (BES).

flex profiles 7 Immidio brengt Flex Profiles 7 uit. Hiermee worden profielen beter ontkoppeld van Windows dan ­mogelijk is met standaard Windows-functionaliteit als roaming en mandatory profiles. Het gevolg is een extreem snelle login- en uitlogtijd over alle varianten van ­Windows-desktops, van fysiek tot virtueel. Ook App-V-profiel­ informatie wordt meegenomen.

skype voor android Skype heeft de introductie aangekondigd van Skype for ­Android, dat is ontwikkeld voor smart­phones met Android OS 2.1 of hoger. Voor verreweg het grootste deel van de wereldwijde smartphonegebruikers is het nu ­mogelijk om Skype op de mobiele telefoon te gebruiken, zij het via WiFi of via het datanetwerk van de gsm-provider. Skype for Android-uitbreiding is beschikbaar op drie van de populairste mobiele besturings­ systemen: Android, iOS en Symbian.

6

NetOpus 6 November 2010

Geen Firefox voor de iPhone Mozilla zal geen Firefox-browser voor de iPhone maken. Wel komt er een synchronisatietool: Firefox Home. Volgens de fabrikant zijn er te veel technische en logistieke beperkingen om een Firefox-browser te maken voor de iPhone. Mozilla maakte dat bekend in een blogposting over de plannen rond Firefox. Het bedrijf zal de aandacht richten op de Firefox Home-software. Deze app voor de iPhone zorgt voor het synchroniseren van de Firefox-bookmarks en -tabs met de functionaliteit die komt in Firefox 4. Dat is de volgende versie van de webbrowser, die nu in het bèta­ stadium verkeert. Firefox Home synchroniseert de tabs en bookmarks in één richting, van de desktopbrowser naar de iPhone en niet de andere kant op. Nog niet zeker

is of Mozilla ook een versie van Firefox Home gaat maken voor de iPad. Aan een versie voor de BlackBerry- en Symbian-telefoons wordt wel hard gewerkt. De door Mozilla ontwikkelde mobiele browser, die Fennec wordt genoemd, draait wel op het Androidbesturingssysteem. De ontwikkelingen aan Fennec lopen in de pas met die van de desktopbrowser. In september verscheen de eerste bètaversie van Fennec 4. Firefox Home voor de iPhone is beschikbaar in de iTunes App Store.

Up2Date tien Gratis e-books In een markt die bijzonder snel in beweging is, is het de kunst een beetje bij te blijven. Gelukkig zijn er enkele actuele e-books en white papers die je daarbij kunnen helpen. Download gratis duizenden pagina’s studie- en referentie­ materiaal over virtualisatie. 1. Om te beginnen mag je het e-book van Microsoft ­met de titel Understanding Microsoft Virtualization R2 Solution niet missen. Er is een pdf- en een xps-versie. http://blogs.msdn.com/b/microsoft_press/ archive/2010/02/16/free-ebook-understanding-microsoftvirtualization-r2-solutions.aspx 2. Een door NetApp gesponsorde korte white paper ­geschreven door Brian Madden over desktopvirtualisatie is aardig om te lezen. http://media.netapp.com/documents/madden-ebook notes-on-desktop-virt.pdf 3. Nog niet gereed, maar na registratie is wel het eerste hoofdstuk al te downloaden van The Expert Guide To ­VMware Data Protection and Disaster Recovery. www.veeam.com/go/vmware-data-protection-disasterrecovery-expert-guide-c1-1 4. HP heeft de tweede druk van het boek Virtualisatie voor dummies gesponsord. http://media.wiley.com/assets/2112/24/9780470597705.pdf 5. Naar analogie met nummer 4 kun je bij Hitachi Data ­Systems het e-book Opslagvirtualisatie voor dummies downloaden. www.hds.com/go/dummies 6. En Microsoft blijft niet achter met een e-book van 465 bladzijden genaamd Desktopvirtualization for dummies. http://msmvps.com/blogs/msvirtualization/ archive/2010/09/01/free-e-book-desktop-virtualizationfor-dummies.aspx 7. Gartner stelt het onderzoeksrapport Hype Cycle for ­virtualisation van 33 bladzijden gratis beschikbaar. http://premierit.intel.com/docs/DOC-5768 8. Ruben Spruijts Application Virtualization Smackdown 3.0 is erg handig in je documentatieset. Er worden diverse ­ applicatievirtualisatieproducten vergeleken. www.virtuall.eu/whitepapers/solutions 9. Dan is er nog het marktoverzicht van bijna veertig bladzijden met links naar honderden producten en fabrikanten: Virtualisatie van servers, werkplekken en applicaties - Een momentopname van de markt. www.virtualisatie-boeken.nl/downloads/ebook.pdf 10. Own your space heeft meer te maken met de virtuele ­wereld op internet. Het e-book is bedoeld voor tieners, om ze te helpen zich veilig te bewegen in de virtuele cloud. www.microsoft.com/downloads/en/details. aspx?FamilyID=87583728-ef14-4703-a6490fd34bd19d13&displayLang=en

Mobility Now! Werkpaard iPod

T

oen Steve Jobs eerder dit jaar de iPad introduceerde was er - zoals zo vaak - louter hoongelach. Wat hadden die ingenieurs in Cupertino nu weer gebakken? De tablets van Microsoft waren nooit een succes, denken ze nu echt bij Apple dat zij het beter kunnen? Bijna geen interfaces, geen camera en een gesloten sys­ teem. Alle ingrediënten om geen succes te worden. De gebruikelijke reactie van Apple was kraakhelder. In de eerste maand van de verkoop gingen er een miljoen over de toonbank en dit jaar zal men de teller wel voorbij de zeven miljoen krijgen. Veel interessanter is het feit dat de toepassingen allang de consumentenmarkt voorbij zijn. Gerenommeerde ­bedrijven zoals SAP bestellen de iPad in grote aantallen. Dat doen ze echt niet omdat het een speeltje is. Natuurlijk, de applicaties hebben hun beperkingen, maar het grote voordeel is de eenvoud in gebruik, het eenvoudige systeembeheer en uiteraard de veelzijdigheid van toepassingen. Ikzelf had amper kunnen verwachten dat ik nu dagelijks via de iPad een SAP-systeem benader om mutaties in aan- en verkoopprocessen of personeels­ systemen door te voeren. Ook toegang tot het intranet van het ­bedrijf is veilig en snel mogelijk. De sleutel tot het succes is de ingebouwde Exchange-client voor de corporate e-mail en een (gratis) Citrix-applicatie voor toegang tot de back-office-systemen. Gevaren zijn er niet, want de iPad komt zelf nooit aan de bedrijfsapplicatie; dat doet de Citrix-farm. Daarmee heb ik voor vijfhonderd euro een tool die in elke tas past, minder dan een laptop kost en ook nog tien uur op een acculading werkt. Nee, het succes van Apple laat zien dat eenvoud in concept soms belangrijker is dan een verregaande perfectionering van features en eigenschappen. Het goede scherm, de slimme gebruikersinterface, de vele applicaties en de eenvoud in gebruik zijn, naar nu blijkt, veel belangrijker dan usb-poorten, camera’s en de ondersteuning van een oneindige reeks standaarden.

Hans Steeman ([email protected]) is gespecialiseerd in mobiele communicatie en multimedia. Naast zijn journalistieke werk is hij bij één van de grootste mobiele operators ter wereld verantwoordelijk voor de technische acceptatie van mobiele devices.

www.netopus.nl

7

Reportage

Citrix Synergy Virtual computing-nieuws uit Berlijn

De eerste Citrix Synergy in EMEA is een feit. Waar je eerdere jaren nog naar een ander werelddeel moest vliegen, kon je dit jaar op comfortabele afstand terecht in Berlijn. Het Estrel Convention Center was twee dagen lang de plek om weer helemaal op de hoogte te raken van alles op het gebied van Citrix. Marcel Beelen

S

ynergy werd voorafgegaan presentatie. Het gaat om het verschuidoor twee dagen Citrix Partven van je werk van de ene naar de ner Summit. Duizend partners andere plek: van kantoor naar thuis, ­bezochten deze commerciële dagen, van ­on­shore naar offshore of van om nog beter de producten aan de ­datacenter naar externe cloud enzoman of vrouw te kunnen brengen. voort. End-point-standaardisatie is dan Voor bijna drieduizend geïnteresseerniet meer mogelijk, want de gebruikers den, (aankomende) klanten en Citrixvariëren hun werk op desktops met fans was het Estrel Convention Cenenorme schermen, goed voor het creëren van content (‘empower me’), via ter daarna twee dagen de plek voor ­demo’s en het laatste nieuws om weer helemaal bij te geraken. Dit jaar werden de keynote en enkele andere presentaties ook als livestream uitgezonden, dus er waren nog eens meer dan drieduizend extra toeschouwers via internet virtueel aanwezig. Als we het thema van Synergy Citrix-CEO Mark Templeton tijdens zijn keynote 2010 moeten bemiddelgrote tablet-achtige apparaten schrijven, dan is dat virtual computing: om vooral content te bekijken (‘show virtuele meetings, virtuele desktops en me’) tot kleine smartphones voor bevirtuele datacenters. Dat zijn ook de richtenverkeer (‘alert me’). Citrix is al drie thema’s waar nieuws over te meljaren sterk in het ondersteunen van den is, dus geheel toevallig is dit niet. work-shifting op allerlei end-points. Volgens Templeton is de iPad op het Bedrijven moeten meer en meer workjuiste moment verschenen en heeft shifting gaan ondersteunen. Dat zei deze een enorm verkoopvolume weten Citrix-CEO Mark Templeton in zijn te behalen. Het is daarom interessant

Empower me

8

NetOpus 6 November 2010

hiervoor producten te ontwikkelen, ­zoals de Citrix Receiver en GoTo­ Meeting. Ook Android-ondersteuning zal in dit kader veel aandacht krijgen.

Alles virtueel Virtueel vergaderen doe je met GoToMeeting, één van de diensten uit het SaaS-portfolio van Citrix. Over een maand of drie komt er een nieuwe ­release van uit, die is voorzien van HDfaces. Je kunt in een scherm van 1920 x 960 tot zes hogeresolutie­ video’s weergeven van de personen met wie je vergadert. HDfaces wordt standaard opgenomen in GoToMeeting zonder extra kosten. Verder komen er andere talen voor de grafische omgeving beschikbaar, waaronder Duits en Frans (nog geen Nederlands). Citrix is dankzij GoToMeeting - met in 2009 meer dan honderd miljoen sessies - en andere GoTo-diensten in de topvijf gekomen van SaaS-aanbieders, samen met Cisco (WebEx), Microsoft, Salesforce.com en Intuit. Het zal je niet zijn ontgaan, dat Citrix virtuele desktops aan de man brengt

Citrix Synergy

met XenDesktop. In de nieuwste versie 5 zitten flink wat uitbreidingen. Citrix heeft de laatste drie kwartalen drieënhalf miljoen licenties van XenDesktop verkocht. Daarbij krijg je overigens ook XenApp 6. De bedoeling is om Xen­Desktop in tien minuten draaiend te hebben. Een handige console, de Desktop Director en een beheertool Desktop Studio moeten dat mogelijk maken. In XenDesktop 5 zit ook Xen­ Client 1.0, de bare-metal hypervisor en de ‘synchroniser’ om virtuele ­machine-images te synchroniseren met de server-omgeving. Dit gebeurt door snapshots gecomprimeerd naar de server te sturen en wijzigingen op de server terug te sturen naar de ­client. Op de hardware-compatibiliteitslijst van XenClient staan nog maar 24 ­modellen. Maar volgens Citrix vormt dit een marktaandeel van vijftien miljoen stuks, omdat het de meest gangbare zakelijke modellen zijn. Verder heeft Citrix een samenwerkingsverband met Cisco om kant-enklare desktopvirtualisatie-oplossingen te gaan leveren en een samenwerkingsverband met McAfee, dat diens Move-AV voor XenDesktop gaat leveren. Deze software ontlast de virtuele machines van antivirussoftware. Er is slechts een compacte agent nodig. Deze communiceert met een aparte virtuele machine (een service virtual machine), waarop de daadwerkelijke antivirussoftware draait. Voor virtuele desktops heeft Citrix strategische afspraken met HP, Dell en sinds ­oktober ook Lenevo, die allemaal Xen­ Client als optie gaan meeleveren met de hardware (vooral laptops). Tot slot, Citrix XenVault, onderdeel van XenDesktop 5, is een versleutelingsoptie om data te versleutelen die op laptops terechtkomen. Voor virtuele datacenters heeft Citrix onder meer XenServer en de Net­ Scaler-appliances. Voor XenServer 5.6 is net Feature Pack 1 uitgekomen, dat een geïntegreerde gedistribueerde virtual switch in zich heeft. Interessant zijn ook de modules zoals Open

Cloud Bridge, dat simpel gezegd veilig je eigen ip-bereik met dat van een externe provider uitbreidt, en Open Cloud Access, dat zorgt voor single sign-on en provisioning. De overname van VMLogix biedt Citrix een zelf­ bedieningsomgeving voor beheerders om heel eenvoudig een virtuele infrastructuur te kunnen opzetten. Het meest bijzondere is misschien wel de evolutie die de ICA-client heeft ondergaan. Deze is al een tijdje een plug-in voor een overkoepelende ­beheeromgeving. Hierbij wordt op de werkplek een Receiver geïnstalleerd, die via een centrale Merchandising server virtual appliance allerlei plugins beheert. De beschikbare plug-ins nemen alsmaar toe, zeker op Windows en Mac. De in mei 2009 aangekondigde Dazzle AppStore evolueert nu naar een Self-service Plug-in voor de Receiver. Gebruikers kunnen hiermee ­applicaties toegewezen krijgen afkomstig van streaming- en terminal-serveroplossingen, maar ook applicaties in de interne en externe cloud (SaaS). De self-service plug-in zorgt daarbij voor provisioning (het aanbieden), de-provisioning (verwijderen) en single sign-on. Als dit in de praktijk goed werkt, is dit misschien dit jaar wel de belangrijkste ontwikkeling voor de toekomst op het gebied van applicaties.

Op naar Barcelona Op Synergy kom je veel Citrix-partners tegen. Een grote verrassing was dat we ook concurrent VMware tegenkwamen - weliswaar met een kleine stand in een hoek. Cisco, de grote concurrent voor GoToMeeting die met ­WebEx bijna vijftig procent van de markt heeft, had wel een gesponsorde presentatie, omdat Cisco sinds kort ook desktopvirtualisatiepartner is. Andere sponsors op Synergy waren onder meer Citrix-partners RES software, AppSense, Wyse, HP en Tricerat. ­Uiteraard houd je als partner dan ook het laatste nieuwe product even tegen tot het congres. Het Nederlandse RES Software lanceerde Dynamic Desktop

project Goldengate De bèta van Project GoldenGate is nu te downloaden van de Citrix Community-site. Het gaat om een Windows-mailapplicatie die Outlook in een vorm weergeeft die automatisch is aangepast voor het mobiele ­apparaat. Dit wordt een Micro App genoemd. Je kunt hem met je vinger op een Androidapparaat of iPhone Exchange benaderen. De grafische look & feel worden aangepast op de server aan het type client-apparaat, zodat het er meer uitziet als de lokale applicaties, ondanks het feit dat het draait op XenApp. In de toekomst wordt het ook ­mogelijk device-data zoals de gps-positie door te geven aan de mail-client, om zo bijvoorbeeld contextgevoelige mail wel of niet te tonen.

Studio suite met daarin RES Virtual Desktop Extender (VDX), RES Workspace ­Manager (nieuwe naam voor RES Power­Fuse) en RES Automation Manager (voorheen RES Wisdom), inclusief een nieuwe module Service Orchestration. AppSense bleek vanaf versie 8.1 meer expliciet over User Virtualisation te spreken. Wyse toonde de Xenith en noemt zichzelf leader in Cloud Client Computing. Geen enkel Citrix-congres kan doorgaan zonder dat je Login Consultants of PQR tegenkomt. Deze Citrix-partners presenteerden de laatste versie van één van hun gezamenlijke papers. HP presenteerde enkele nieuwe thin clients. Was je niet in Berlijn? Volgend jaar kun je van 26 tot 28 oktober naar Synergy 2011 in Barcelona. En als je niet zo lang kunt wachten, is er op 1 december in Mechelen en op 7 december in Brunsum de Citrix Solution Conference. Ietsje kleinschaliger, maar veel meer Benelux en ook daar kom je de vele partners weer tegen en kun je bijpraten met ‘concullega’s’ en collega­beheerders. ■

www.netopus.nl

9

Feature

Virtuele infrastructuur Wat volgt er ná desktopvirtualisatie?

Slechts ongeveer dertig procent van onze servers zijn gevirtualiseerd en volgens Gartner zal dit oplopen tot vijftig procent in 2012. Het is duidelijk dat spin-off desktopvirtualisatie nog in de kinderschoenen staat en hiermee potentieel veel geld valt te verdienen voor de aanbieders. Na de nodige aandacht die het onderwerp nog een paar jaar zal krijgen, staat de echte uitdaging al in de startblokken: globale applicatie-provisioning. Marcel Beelen

D

esktopvirtualisatie lost een belangrijk probleem niet op, namelijk hoe je de vele honderden applicaties van bedrijven onder controle krijgt. Want met desktopvirtualisatie moet je nog steeds applicaties installeren op of streamen en publiceren naar de gevirtualiseerde werkplekken. Er verandert wat dat betreft niets als je het vergelijkt met traditionele fysieke Windows-werkplekken. Nog niet-bestaande applicatieprovisioningtechnologie gaat de laatste stap naar vrijheid op de werkplek inluiden.

Wat is het? Desktopvirtualisatie is de hype van dit moment. Maar is de term wel goed gekozen? Wat verstaan we onder de desktop? Desktopvirtualisatie is voor velen technologie om het Windows-­OS als virtuele ­machine te draaien op een hypervisor in het datacenter en dit op afstand met een presentatieprotocol te bedienen via een netwerk of breedbandverbinding. Maar er zijn andere verschijningsvormen. Desktopvirtualisatie gaat dan over het gevirtualiseerd draaien van een Windows-omgeving in een lokaal geïnstalleerde (al dan niet

10

NetOpus 6 November 2010

bare-metal) hypervisor, centraal beheerd. Maar de gevirtualiseerde desktop hoeft geen Windows te draaien, maar kan ook Linux gebruiken. En als je werkt met Microsoft Remote Desktop Services (terminal-server), virtualiseer je geen desktop of desktopOS, maar bedien je op afstand - ook weer met een presentatieprotocol - een Windows-server-desktop die je deelt met anderen op die server. Nog verwarrender wordt het als je een rek met blade-pc’s in je datacenter plaatst en hierop Windows 7 installeert en op afstand aanbiedt aan je medewerkers. Ook weer met hetzelfde presentatieprotocol. Van virtualisatie is helemaal geen sprake meer. Bladepc’s zijn immers fysieke machines. De desktopvirtualisatie-oplossingen die op dit moment worden aangeboden, ­ondersteunen een mix van enkele of alle technologieën. Is dat apparaat gewoon een Windowspc, dan heb je er alleen maar een extra Windows-omgeving bij: een lokale en een centrale. Je hebt een fysieke Windows-werkplek en een gevirtualiseerde Windows-werkplek. Deze spraakverwarring gaat gegarandeerd problemen

opleveren. Is de werkplek het bureau waarachter je zit, de computer die daarop staat of één van de virtuele ­machines waarmee je werkt? Er zijn enkele overeenkomsten tussen de oplossingen. Er is altijd sprake van een workspace (een grafische werkomgeving op het beeldscherm), die via een protocol wordt weergegeven en bediend op je fysieke computerwerkplek. Hierbij wordt de niet-native workspace bovenop de lokale workspace weergegeven. Dit kan in een venster geschieden, waarbij de niet-native workspace als een applicatievenster op de lokale workspace is te zien, of op het volledige scherm, waarbij de lokale workspace wordt verborgen achter de niet-native workspace. Met een druk op de knop is dan om te schakelen tussen de twee (of eventueel meer) workspaces. De workspace is meer dan slechts het bureaublad dat je ziet. Ook dieper in het OS verborgen instellingen zoals de ­default printer of rechten voor applicaties ­maken deel uit van de workspace. Voor het centrale beheer worden weer twee Engelse termen gebruikt die bij desktopvirtualisatie relevant

Virtuele infrastructuur

niet alle access devices hebben een lokale workspace. We moeten het woord ‘werkplek’ dus omvormen tot access device, met een workspace, een workload met provisoning.

VDI is niet de oplossing

zijn: workload en desktop provision­ ing. Beide begrippen zijn niet goed te vertalen naar het Nederlands. De workload is het image van het OS dat de basis vormt voor de aangeboden workspace. Maar het is meer dan het image, want het is ook een draaiend OS ­inclusief systeeminstellingen, drivers en applicaties. Een workload kan worden bewaard inclusief draaiende applicaties (een soort hibernate of snapshot) of verplaatst naar ­andere hardware, terwijl de gebruiker ermee werkt zonder dit te merken. In het ­geval van gevirtualiseerde desktops is de workload bijvoorbeeld een ­Windows 7-OS met applicaties voor die gebruiker. In het geval van ­Remote Desktop Services is de workload het Windows Server 2008 R2-OS met applicaties. Desktop-provision­ing gaat erover hoe je de desktop-workload - zeg voor het ­gemak toch maar het Windows 7-­image - prepareert, opslaat, onderhoudt en aanbiedt. Het fysieke apparaat waarmee wordt gewerkt, zou je het access device kunnen noemen. Als je daarop een centrale workspace bedient, zie je de eventuele lokale workspace niet meer;

Gevirtualiseerde workloads in het ­datacenter, waarvan je de workspace op afstand bedient op een ­access ­device, sluiten niet aan bij de ­belevingswereld van eindgebruikers. ­Natuurlijk is het soms handig en er zijn ook zeker zinvolle toepassingsgebieden voor te bedenken. Maar uiteindelijk gaat het niet om die centrale desktop, maar om de workspace op het access device en de manier waarop je daar je applicaties ervaart. Enkele jaren geleden introduceerden we in NetOpus ‘de vrije werkplek’. Dat concept houdt in dat je volledige keuzevrijheid hebt voor je ­access device en waar en wanneer je erop werkt. Als iemand op zijn iPad wil e-mailen binnen zijn bedrijf, zou dat moeten kunnen. Als iemand thuis een film wil ­bekijken op zijn zakelijke laptop, mag dat geen probleem vormen. Als ­iemand ’s avonds op afstand wil werken vanaf zijn privédesktop op het ­bedrijfsnetwerk, moet dat kunnen. En zo zijn er tientallen scenario’s te bedenken waar leven en werken ­samengaan. De werk/leven-balans wordt alleen maar belangrijker en jongere werknemers eisen deze vrijheid wanneer die past bij hun functie. Veel organisaties beseffen het niet als dusdanig, maar ze zijn al op weg richting de vrije werkplek. Ze bieden al keuzevrijheid in access devices (desktops, laptops, smartphones en een enkele iPad) en ondersteunen deels al flexibel werken (mobiel op de laptop of vanuit huis met een ssl-vpn). Er worden al meer laptops gebruikt dan desktops en er zijn organisaties die hun medewerkers hierop zelfs Administratorrechten geven, zodat ze indien nodig zelf applicaties kunnen installeren. Cloud-applicaties vinden als vanzelf hun weg. Hoe meer de medewerkers

verjongen, des te meer vrije werkplekken er zullen ontstaan. Uiteindelijk willen we met één workspace per access device werken. Dat een workspace op een iPad ­anders is dan op een smartphone, begrijpt iedereen. Dat je op een fat client met een hd-breedbeeldscherm een andere workspace hebt en meer ­mogelijkheden, is ook logisch. De eindoplossing is niet om één workspace te maken die je overal kunt bedienen. De diversiteit aan access devices is daarvoor veel te groot.

Zelfstandige applicaties Er zal veel moeten veranderen op ­applicatiegebied. Want applicaties moeten zelfstandiger worden en minder afhankelijk zijn van zowel de workspace als de workload. Onafhankelijkheid van de workspace is deels al te realiseren met applicatievirtualisatie en streaming, mits je het tot de Windowswereld beperkt. Je zit vaak wel vast aan één oplossing, omdat er een agent nodig is, maar het gaat de goede richting uit. Presentatievirtualisatie met RemoteApp op Remote Desktop Services en gepubliceerde applicaties op Citrix XenApp maken Windows-applicaties onafhankelijk van de workspace en zelfs van de workload. Office 2010 bedienen op de workspace van een iPad is geen probleem. Toch zijn we er nog lang niet. Applicaties zijn van veel bronnen afkomstig. Ze zijn lokaal geïnstalleerd, worden gestreamd, bevinden zich in de interne cloud of de private en publieke cloud, draaien op terminalservers of in centrale of lokale virtuele machines. Applicaties zijn soms persoonlijk of zelfs privé en soms zakelijk. Je wilt als organisatie deze brede mix aan applicaties onder controle hebben. Daartoe moet nog een groot aantal zaken worden geregeld. 1. Gebruikers moeten één view hebben op al hun applicaties. Het is onpraktisch applicaties zelf te moeten zoeken op servers of in de cloud. Alle applicaties, inclusief cloud-gebaseerde, moeten integreren met en zicht-

www.netopus.nl

11

Feature

baar zijn op hun lokale en persoonlijke workspace; we noemen dat ‘seamless’ gebruik. Er moet een soort van overkoepelende applicatie-broker komen. 2. Gebruikers moeten zelf gemakkelijk en veilig applicaties kunnen aanvragen, installeren en gebruiken en verwijderen door middel van een self-service dienst of portal. 3. Organisaties willen een overzicht hebben van alle applicaties die een gebruiker heeft en gebruikt. Dit omwille van standaardisatie, raam­ contracten met leveranciers, licentieaspecten, beveiligingszaken en dergelijke. Ook cloud-applicaties, zelfs in de public cloud, moeten in dit overzicht voorkomen. Integratie met de cmdb en asset-management-modules is vereist. 4. Applicaties moeten op de omgeving inspelen. Ben je online, dan moet de applicatie zich anders gedragen dan als je offline bent. Alle applicaties waarvoor het zinvol is, moeten ­zowel online als off­line kunnen draaien. ­Applicaties die privacygevoelige data benaderen, moeten alleen online worden gebruikt en mogen niet toegankelijk zijn op onveilige locaties. 5. Applicaties moeten de workspace aanvoelen en daarop inspelen. Op een smartphone wil je geen breedbeeldvideo bekijken als je slechts een trage verbinding hebt. 6. Zakelijke en privéapplicaties moeten samen functioneren binnen één en dezelfde workspace, zonder de beschikbaarheid noch de beveiliging en privacy in gevaar te brengen. 7. Alle applicaties, ongeacht het ­OS waarop ze draaien, op de public en private cloud, wie ook de eigenaar is (privé of zakelijk), moeten gebruikmaken van single sign-on. Nadat een gebruiker zich op zijn workspace één keer heeft geauthenticeerd, wil je dat alle applicaties die voor hem zijn toegestaan en zinvol zijn, automatisch functioneren zonder opnieuw ergens te hoeven inloggen. Dit is een erg complex probleemgebied en vereist globale Indentity Management. 8. Applicaties zijn slechts een

12

NetOpus 6 November 2010

hulpmiddel. Het gaat om de ­data die je ermee opent, bekijkt en ­bewerkt. De data moeten zijn gekoppeld aan de ­applicatie. Dit vereist een goede ­authenticatieoplossing, Identity ­Management, slimme ­synchronisatietechnieken tussen ­access devices, je interne SAN en de cloud, en integratie met oplossingen voor versleuteling van data. 9. Naast data heeft een applicatie instellingen, vaak geïntegreerd met de workspace. Denk aan iets simpels als je favorieten of een default printer. Instellingen van applicaties en je workspace moeten extreem flexibel worden. In de toekomst wordt workspace virtualization een nog ­belangrijkere uitdaging als dat nu met VDI al het geval is. 10. Voorspeld wordt dat applicaties in de toekomst contextgevoelig worden. Afhankelijk van waar je bent en welke rol je op enig moment vervult, zie je die data en applicaties die op dat moment relevant zijn. Deze rol kan gedurende de dag veranderen, als je werk en leven combineert.

Toekomstmuziek? Twee jaar geleden doopten we deze applicatiegerichte infrastructuur de Virtual Application Infrastructure (VAI). De toevoeging Global zorgt ervoor dat het wordt verbreed naar de cloud. We definiëren Global Virtual Application Infrastructure als een omgeving waarbij alle applicaties op afstand (kunnen) draaien en individueel worden aangeboden op elk type access device en workspace. De applicaties integreren naadloos met de lokale workspace van de eindgebruiker, zonder dat de ­gebruiker ziet waar deze fysiek draaien. De technologie respecteert de werkomgeving van de gebruiker en maakt alle applicaties individueel en remote mogelijk. Dit klinkt misschien futuristisch. Toch is (G)VAI de fase ná desktopvirtualisatie. Voor de meeste bovenstaande deelgebieden in de opsomming ­bestaan namelijk al oplossingen of zijn deze in ontwikkeling. Sommige daar-

van vinden hun oorsprong in ServerBased Computing en evolueren nu via VDI naar het toekomstige applicatiemodel. De opkomst van AppStores biedt bijvoorbeeld de self-servicemogelijkheid op smartphones, maar ook al op Windows (met Citrix Dazzle). VirtualStorm S.M.A.R.T. is een hulpprogramma dat gestreamde applicaties in een self-service-model plaatst. De Citrix ­Receiver is een eerste en voorzichtige stap naar een generieke applicatie-broker. Sommige applicatiestreaming-­oplossingen integreren al met je cmdb en de toenemende ­populariteit van portable apps is eveneens een stap in de goede richting. Workspace-management­oplossingen als die van RES, AppSense of Immidio hebben traditioneel al mogelijkheden tot het meer rolgebaseerd aanbieden van applicaties, en ook de Citrix ­Access Gateway heeft beperkte mogelijkheden tot rolgebaseerde toegang tot applicaties. Workspace-management­ oplossingen zijn nu deels al in staat applicatie- en workspace-instellingen te laten roamen, ook al is het op dit moment nog Windows-gebaseerd en niet honderd procent compleet. Offline cloud-applicaties zijn soms al mogelijk. Roamen van bijvoorbeeld je favorieten tussen de iPad en je pc wordt door ­Apple al mogelijk gemaakt door slimme synchronisatie met een clouddienst. Single sign-on-initiatieven in de cloud zijn er al een tijdje en SSO-producten voor enterprises worden hier en daar al gebruikt. Het zijn helaas allemaal nog losstaande componenten en het is bijna onmogelijk om een globale virtuele­applicatie-infrastructuur te bouwen, maar het is overduidelijk dat we die weg opgaan. Uiteindelijk gaat het om gecontroleerde vrijheid en een infrastructuur die applicaties contextgevoelig en rol- of functiegebaseerd laat functioneren. De gebruiker heeft op elk moment slechts één workspace met daarop al zijn geïntegreerde ­applicaties die niet van lokaal zijn te ­onderscheiden. ■

Mr SBC De meeste organisaties werken met Windows-pc’s, fat clients, die op de één of andere manier - al dan niet centraal - worden beheerd en voorzien van lokaal geïnstalleerde of gestreamde applicaties en gepubliceerde applicaties met Citrix XenApp. VDI wordt nu als wondermiddel gezien om de pc’s te centraliseren in het datacenter en ze op deze wijze beheerbaar en veiliger te maken en om vanaf alle lokaties de werkplek te gebruiken. Maar is dat wel terecht? marcel Beelen

Is er toekomst voor VDI?

V

DI is niet de oplossing voor alles. Wat veelal wordt genegeerd, is dat het pc-beheerprobleem gewoon verschuift van een decentrale naar een centrale ­omgeving. Je moet nog steeds Windows beheren en patchen, machines in het domein hangen, gebruikersprofielen beheren, antivirussoftware bijwerken en applicaties beschikbaar stellen. Dat gaat volgens de fabrikanten veel gemakkelijker, juist door het centrale karakter en de nieuwe technologie, maar dat is slechts deels waar. Het is waar wat betreft communicatie met het back-office en met je SAN waar de images en applicaties zich fysiek bevinden. Maar iets als roaming profiles blijft net zo ingewikkeld en je krijgt er extra complexiteit bij, waaronder ­ingewikkelder licentiebeheer (CAL’s), de uitdaging van graphics met presentatieprotocollen als je een pc-ervaring wilt hebben, printen naar lokale printers en extra servers/ virtuele servers in het datacenter. En plotseling blijkt je SAN de bottleneck te vormen. Vaak lijken organisaties te beginnen met VDI ‘omdat het kan’, omdat iedereen erover praat en schrijft, omdat de vaste IT-partner er bijzonder enthousiast over is of omdat iemand er toevallig kennis over heeft of een leverancier goed kent. Maar lang niet altijd is er een doordachte businesscase. VDI is echter eenvoudig uit te leggen aan het management: “De pc verandert helemaal niet, maar wordt alleen verplaatst naar het datacenter. En oh ja, daar heb je wat extra software en servers voor nodig.” Remote Desktop Services-oplossingen zijn als project aanmerkelijk moeilijker intern te verkopen, met concurrent use-licenties, RDS CAL’s, het delen van een applicatie op servers en een grafische interface die net geen Windows 7 is. Vooral de verplichte locked-down werkomgeving is vaak de oorzaak waardoor Remote Desktop Service/XenApp niet

altijd slaagt of slechts deels wordt ingevoerd. Maar de ironie van alles is dat op plaatsen waar VDI op grotere schaal wordt geïntroduceerd, dit gebeurt met locked-down virtuele desktops. De toegevoegde waarde van VDI ten opzichte van Remote Desktop Services of Citrix XenApp is dan niet erg groot of zelfs helemaal niet aantoonbaar. Waarschijnlijk is Remote Desktop Services of XenApp op de langere termijn een veel goedkoper en efficiënter alternatief. De toekomst van VDI moeten we niet zoeken in het gebruik als alternatief voor Remote Desktop Service of XenApp, zoals nu vaak het geval is. In plaats daarvan moeten we de blik richten op de toegevoegde waarde náást RDS/ XenApp: de mogelijkheid rekenintensieve applicaties te draaien op blade-pc’s of bijvoorbeeld de mogelijkheid met Administrator-rechten te werken. En als het ooit zover komt dat de ­gevirtualiseerde Windows-pc zich honderd procent gedraagt als een snelle fysieke pc op de werkplek - en dat is nu nog niet het geval -, dan kan een werkplekvervanging door thin of zero clients realiteit worden zonder concessies te hoeven doen. Maar het kan ook helemaal anders aflopen. Technologie die wordt gebruikt bij VDI-omgevingen, zoals thin provisioning en applicatie-streaming, werkt namelijk ook op lokale fysieke pc’s. Misschien bestaat de toekomst daarom slechts uit offline VDI: beheertools voor lokale ­(gevirtualiseerde) images. ■

Organisaties beginnen met VDI ‘omdat het kan’

Marcel Beelen is sinds 1987 werkzaam in de ICT-industrie als beheerder, projectleider en ICT-architect. Hij is deskundige en technisch schrijver op het gebied van Application & Desktop Delivery (voorheen Server-Based Computing).

www.netopus.nl

13

Feature

VirtualStorm Power voor VDI-omgevingen

Misschien heb je al gehoord van VirtualStorm. Het Nederlandse bedrijf DinamiQs heeft dit concept ontwikkeld. Deze jonge onderneming uit Almere is begin 2009 opgericht, heeft inmiddels zeventien medewerkers en trekt op dit moment de aandacht van marktpartijen uit de hele wereld. DinamiQs, partner van onder meer VMware, Microsoft en Symantec, ontwikkelt software die VDI op een hoger niveau heeft gebracht. Marcel beelen

D

e VDI-oplossing van DinamiQs heet VirtualStorm, niet te verwarren met het VirtualStorm-partnerprogramma dat VMware ­­onlangs heeft aangekondigd. VirtualStorm van DinamiQs is eerder een concept dan een product, omdat het op een erg efficiënte wijze gebruikmaakt van bestaande proven technologieën. Als je er wat nauwkeuriger naar kijkt, dan is VirtualStorm eigenlijk een image- en applicatie-provisioning­oplossing. Het is voor minder ­technisch aangelegde mensen moeilijk te doorgronden wat je precies koopt met VirtualStorm, want de ­informatie op de website is hier niet erg duidelijk over. Tijd om er eens in te duiken.

In het back-office Wat heb je nodig om VirtualStorm in te richten? Om te beginnen een x86server - x64 mag ook -, voorzien van VMware ESX (i)4 en vSphere 4. Andere hypervisors worden nog niet ondersteund. Verder heb je uiteraard een Windows XP- (of Windows 7-)image nodig voor elke virtuele machine die je wilt aanbieden en een VDA-licentie voor elk access device waarop geen Software Assurance zit. Je hebt ­VMware vCenter nodig voor de initiële installatie, maar deze wordt nadien vervangen door een beheerconsole van VirtualStorm. Verder heb je een

14

NetOpus 6 November 2010

storage-omgeving nodig. Om de applicaties aan te bieden is het verstandig gebruik te maken van een applicatievirtualisatie-oplossing. Vanaf versie 3 van VirtualStorm worden naast Symantec Workplace Virtualisation ook ThinApp en App-V ondersteund. Van al je bedrijfsapplicaties maak je vervolgens packages met de applicatievirtualisatie-oplossing. VirtualStorm maakt gebruik van Microsoft Active Directory-gebruikers en -groepen om applicatie-packages toe te kennen aan medewerkers. Om VDI te laten functioneren is er een VDI-desktopbroker nodig die in staat is de binnenkomende verzoeken voor desktops uit een pool van virtuele desktops te kiezen en toe te kennen, gebruikmakend van een presentatieprotocol als PCoIP, RDP of ALP (van Sun). Hiervoor zijn ­diverse oplossingen op de markt, ­zoals ­VMware View en Leostream, maar er kan ook worden gebruikgemaakt van de geïntegreerde oplossing voor Sun Ray-clients via de Sun Ray-server. VirtualStorm is dus een aanvullend product op de bestaande desktop­ virtualisatieproducten.

Extreme versnelling Heb je dit allemaal in productie, dan kun je nu aan de slag met VirtualStorm. Dat bestaat uit een management­console, een client-applicatie

­ enaamd DVS4VDI en een ­applicatie g provi­sioning­­-component. DVS4VDI bestaat onder meer uit een agent, een stuurprogramma dat ­geheugen­beheer ­superefficiënt maakt en ­disk-i/o ­extreem versnelt. Hiermee worden twee probleemgebieden aangepakt waarmee veel andere VDI-­ oplossingen worstelen: virtuele werkplekdichtheid per server en ­opslagruimte (alsook ­opslagsnelheid) voor images op het SAN. Om te beginnen vervang je vCenter door de DVS Management Console. Met deze management-console prepareer je images voor de virtuele werkplekken. VirtualStorm gebruikt hiervoor een speciaal sysprep-proces genaamd VSIprep, dat je in staat stelt om via de Microsoft Windows Automated Installation kit templates te maken, zodat de images niet alleen een unieke naam krijgen en lid zijn van het domein, maar je ook per gebruikersgroep in staat bent om het hele image customised aan te leveren. Verder gebruikt Virtual­ Storm een kloningtechnologie waardoor het aanmaken van honderden images slechts enkele minuten duurt. Het bijzondere aan VirtualStorm is dat elk image slechts een 2,3 KB grote virtuele C:\-schijf gebruikt. Zodra dit image word gestart, dan groeit het storage-gebruik tot maximaal 3 GB (waarvan een groot deel ‘leeg’, dat als

VirtualStorm

swapspace wordt gebruik). Dit komt door een speciale memory enhancement driver die in het Windows-image wordt opgenomen als je DVS4VDI installeert. Uiteindelijk is er maar één vmdk voor alle virtuele machines.

Be S.M.A.R.T. In deze vm’s kunnen tientallen Gigabytes aan applicaties beschikbaar zijn. Dit wordt mogelijk gemaakt door een repository van gevirtualiseerde ­packages binnen de virtuele machine als read-only aan te koppelen. Ze worden bij aanroep beschikbaar gesteld en daarna gebruikt zonder verder te zijn geïnstalleerd. Op de virtuele werkplek moet hiertoe natuurlijk wel de agent van je applicatie-virtualisatie­oplossing zijn geïnstalleerd (voor App-V en Symantec Workplace Virtualiza­tion - voor VMware is geen agent nodig). Met VirtualStorm gaat dit beschikbaar stellen razendsnel, doordat de packages niet over de netwerk­adapter worden opgehaald, maar via de i/o-driver rechtstreeks van de ­storage-omgeving worden gelezen, onder het motto ‘Don’t stream it, Beam it’. De processorbelasting van de virtuele cpu in de virtuele machine blijft hierdoor ook lager, waardoor het aantal virtuele machines per ESX-host verder kan stijgen. In het Windows-image is verder een S.M.A.R.T.-tool (Simplified Management Application Repository Tool) geïnstalleerd. Hiermee ziet een gebruiker de via Microsoft Active Directory toegekende applicaties en kan hij deze zelf resetten, alsmede in- en uitschakelen. Het daadwerkelijk toekennen doe je met de DVS management console vanuit het DVS User Admin-tabblad. Om persoonlijke instellingen te behouden wordt er gebruikgemaakt van een combinatie van hybride en roaming profiles, die dus buiten het image worden bewaard. Roaming profiles zijn niet honderd procent dekkend, want sommige informatie op een werkplek valt daar nog buiten. In toekomstige versies gaat VirtualStorm een eigen

ontwikkelde Roaming Incremental profile-oplossing integreren, waardoor alle informatie van de profielen op het netwerk staat, en er alleen maar wijzigingen worden bijgehouden. Vooral voor de traditionele fat clients zal dit tot een aanzienlijk korte logontijd op Windows gaan leiden. Een nieuwe memory management stack voor Windows in DVS4DVI zorgt ervoor dat je met een XP-image van 384 MB een 1 GB (tot zelfs 3 GB) werkruimte hebt. Op deze wijze krijg je dankzij overprovisioning gemakkelijk 75 tot honderd machines met 1 GB virtueel geheugen op een host met maar 32 GB. Dankzij DVS4VDI kun je veel meer guests op een host kwijt en bespaar je tot wel negentig procent aan schijfruimte op je SAN. Honderden virtuele machines draaien hierdoor op één host en dat zonder feitelijk bijzondere eisen te stellen aan de opslag­ capaciteit of -snelheid. Als je toch een softwareoplossing hebt voor het beheren van images, administreren van virtuele werkplekken en toekennen van virtuele applicaties in die omgeving, dan is het niet vreemd om ook de fysieke werkplekken te ondersteunen. De technologie van VirtualStorm is daarom net zo goed toepasbaar op fysieke werkplekken. S.M.A.R.T. is bijvoorbeeld in staat virtuele applicaties te beheren op ­decentrale pc’s en de beheerconsole kan het OS managen voor fysieke sys­ temen. De slimme geheugenmanagementstack functioneert ook op fysieke pc’s. ­Andere fabrikanten, bijvoorbeeld RES en AppSense, hebben jaren ­geleden ook hun producten geclassificeerd voor terminal-servers, VDI én werkplekken, dus dat DinamiQs VDI verbreedt naar traditioneel werkplek­ beheer is niet vreemd. Geen enkele VDI-oplossing kan zonder (virtueel) werkplekbeheer. Je moet immers Windows patchen, van ­antivirusdefinitiebestanden voorzien en meer. Omdat VirtualStorm uitgaat van één image, hoef je er ook maar één te patchen en opnieuw te prepa-

reren. Bij het updaten of patchen van ­images en applicaties wordt dit namelijk ­alleen op de master gedaan. Zodra dit is gebeurd, wordt er een nieuwe ­serie kloons gemaakt en iedere gebruiker die zich daarna aanmeldt op het ­sys­teem, krijgt automatisch een nieuw bijgewerkt image. Doordat er nog maar een image wordt ge-updatet, scheelt dit veel tijd in het managen van grotere omgevingen. Omdat VirtualStorm voor de virtuele Windows-omgeving de applicaties, Windows zelf en het profiel van een 3 tier-model hanteert en dus drie ­afzonderlijke lagen vormt, wordt toch een gepersonaliseerde werkomgeving aangeboden. VirtualStorm biedt je elke keer een actuele en verse Windowsinstallatie, je eigen gevirtualiseerde (geïsoleerde) applicaties en dan je profiel met je eigen persoonlijke instellingen als kleurenpalet, screensaver en achtergrond. Je kunt onder Administrator-rechten werken als je wilt, maar gewoonlijk kiezen bedrijven voor ­power-user-rechten. Alle wijzigingen die worden gedaan, blijven ­behouden en je kunt zelfs schakelen van ­Windows XP naar Windows 7 en weer terug, met behoud van alle ­instellingen en door jezelf geïnstalleerde applicaties. In de testomgeving was dit overigens niet mogelijk, omdat die lockeddown was om begrijpelijke redenen.

Wereldwijde partners DinamiQs levert niet zelf aan eindgebruikers, maar maakt wereldwijd gebruik van een distributie- en partnerkanaal. Zo vergroot DinamiQs zijn afzetmarkt, vertelt oprichter en CIO Erik Westhovens. Partners in Amerika of Azië weten veel beter hoe de markt daar werkt en hebben kortere lijnen met hun klanten. Vaak is het moeilijk om op het juiste niveau met klanten te praten door taalbarrières en cultuurverschillen. Om de partners wereldwijd te ondersteunen heeft DinamiQs een eigen supportorganisatie in Almere die 24 uur per dag alle vragen aanneemt en helpt bij een snelle oplossing. ■

www.netopus.nl

15

Feature

Zero client! Thin client gaat Sonja Bakkeren

E

16

indelijk, een zero client! Thin clients zijn de laatste jaren dikker en dikker geworden. Het populairst zijn thin clients met Windows Embedded Standard (WES). Dit is een relatief zwaar besturingssysteem met een personal firewall, antivirussoftware, browser en plug-ins, mediaplayers, de RDC-client, de Citrix Online-plug-in, draaiend op een sys­ teem met een flinke IDE Flash-module van 2 GB, 1 GB RAM-geheugen en een heel scala aan aansluitingen aan de voor- en achterzijde. Maar ook sommige Linux thin clients komen met een flink besturingssysteem en draaien lokale applicaties. Thin clients zijn niet langer dun, maar dik: een volwaardig besturingssysteem op een client met zware specificaties, vele lokale applicaties en instellingen en een ingewikkelde beheeromgeving inclusief een softwaredistributiemogelijkheid voor de applicaties op de thin clients.

De ‘green screens’, de domme terminals uit de jaren zeventig die rechtstreeks met een kabel waren aangesloten op het mainframe, komen terug. Het zal je misschien verbazen dat deze anno 2010 weer in de productcatalogus van een aantal thin client-fabrikanten staan en als zero-client een revival doormaken. Marcel Beelen

Hoe zero is zero?

‘Near-zero footprint’

Misschien dat de zero client in staat is deze trend om te draaien. Maar wat is een zero client eigenlijk? Helaas zijn de fabrikanten het daar niet over eens. Wat is zero: de hardware, de firmware, het beheer? Als een thin client een ‘uitgekleed minimaal’ besturingssys­ teem heeft, heeft de zero client dan helemaal geen besturingssysteem en slechts een toetsenbord, muis en beeldscherm? De komst van zero clients maakt het toch al ingewikkelde selectieproces van thin clients er niet eenvoudiger op. Er zijn drie manieren om een thin ­client op dieet te zetten. Allereerst minima-

Als je het besturingssysteem (normaal in flash-geheugen) verwijdert en dit centraal laadt, heb je een stateless thin client. Op de client bevindt Zero client van Ncomputing zich geen code noch instellingen. Een cpu en intern geheugen zijn wel nodig, want na de download van het besturingssysteem draait dit gewoon op de processor en gebruikt het geheugen. Het flash-geheugen is in principe niet langer nodig. Op deze wijze heb je een zero client waarbij op de client geen bits en bytes worden bewaard, dus ook geen instellingen. Soms

NetOpus 6 November 2010

liseer je het besturingssysteem en zorg je ervoor dat dit van een centrale ­omgeving wordt geladen, geconfigureerd en beheerd. De thin client heeft dan een ‘near-zero footprint’ en is volledig stateless. Verder zou je het besturingssysteem van de thin client kunnen minimaliseren en firmware noemen, en verpakken in een ASIC of ander type chip. Een cpu is dan niet langer nodig. Ten slotte zou je alle logica kunnen ­verwijderen en de thin client rechtstreeks met kabels kunnen aansluiten op een server.

is er wel sdd of flash-geheugen aanwezig, maar daar wordt dan de gedownloade firmware als cache bewaard om een volgende keer nog sneller te kunnen opstarten. Provisioning services worden gebruikt om deze zero clients te booten (vaak met PXE, tftpboot en vendor codes die op de dhcp-server moeten worden toegevoegd). Is de naam zero client wel terecht voor dit type clients? Nee, eigenlijk zou je het beter ultra-thin clients kunnen noemen. Een supersnelle opstarttijd is kenmerkend voor dit type thin client. We kennen al een tijdje Suns (Oracle) SunRay-clients die booten van een SunRay-server. Nu heeft ook Wyse een dergelijk model, de Wyse Xenith. Meer dan een compact besturingssysteem geoptimaliseerd voor het doel is niet

Zero Client!

nodig. Wyse noemt het geen besturingssysteem en ook geen firmware, maar ‘engine’. Dit is maar een paar MB in omvang en bevat alles wat nodig is om (in het geval van de Xenith) Citrix XenDesktop te bedienen: tcp/ip, de ICA-client met HDX-extensies zoals WANscaler-ondersteuning en Media­ stream. Waar de andere Wyse thin clients kunnen booten via het netwerk met Wyse WSM, boot de Xenith met Provisioning Services die bij Xen­ Desktop worden geleverd. De Xenith is dus de ultieme ultra-thin client voor XenDesktop. Er bestaan overigens ook normale thin clients die op deze wijze starten en worden beheerd. Zo biedt HP op de Amerikaanse site de gt-serie van thin clients aan, de HP Streaming Clients, die booten via HP Image Manager, het provisioning- en streaming-product van HP. Maar als je de specificaties bekijkt, zijn het geen ultra-thin clients meer. Eentje ervan wordt geleverd met een Windows 7 Business Diskless PC Edition License en heeft dus een flink image dat elke keer wordt gedownload. Het andere model boot Windows 7 van het netwerk, waarbij wordt ­gebruikgemaakt van de bedrijfslicentie die je wellicht hebt afgesloten.

Firmware in chip Je kunt het besturingssysteem supercompact maken en in een chip bakken als firmware. Teradici is de bedenker van het PCoIPprotocol (PC over IP). De bijbehorende thin client is bijna ‘zero’, omdat er een speciale chip nodig is in elke client die communiceert met een soort­gelijke chip in de server in het datacenter. Bedien je honderd virtuele pc’s in het datacenter, dan heb je in principe honderd van die chips in je servers nodig. In principe, want nu VMware het PCoIP-protocol heeft gekozen en samen met Teradice hieraan ontwikkelt om VDI aan te bieden, bestaat er ook een softwarematige PCoIP-variant aan de serverzijde (meegeleverd in ­VMware View 4) en aan client-zijde. Op

de ­server wordt het ‘pc-bureaublad’ ­gecomprimeerd, gecodeerd en verstuurd naar de ontvangende client elders op het netwerk. Het mooie hiervan is dat dit werkt op alle clients die PCoIP ­ondersteunen, nu en in de toekomst. Er zijn geen lokale mediaplayers, codecs, plug-ins en meer nodig. Alle ­graphics worden gerenderd op de server, die ­hierdoor logischerwijze wel zwaarder wordt belast. De zero client bezit een chipset die comprimeert, codeert en communiceert met een tegenpool in de server. Firmware betekent echter wel (minimaal) beheer en Teradici heeft ook een beheeroplossing op de apparaten met de PCoIPchip (de Tera1 ASIC). Helemaal ‘zero’ is de oplossing dus eigenlijk niet. De Wyse P20, de 10ZiG V9000, de Devon IT TC20, de Dell FX100, de IBM CP20 en bijvoorbeeld de HP EVGA bevat de hardwarematige PCoIP-zero client. Samsung heeft een ‘all-in-one’ lcdscherm met de chipset ingebouwd. Er zijn ook PCoIP-adapters voor pc’s te koop, zodat je die als client kunt ­gebruiken voor de VDI-omgeving van VMware. Merk ook op dat de ­ondersteuning van PCoIP niet hoeft te betekenen dat het een zero client is. De thin client kan namelijk ook zijn voorzien van een (tragere) softwarematige PCoIP-client. Bijna alle thin client-leveranciers ondersteunen ook softwarematige PCoIP op zowel Linuxals Windows Embedded Standardsystemen. De firma nComputing doet het op een andere manier. Je installeert nCompu-

ting vSpace-software in het datacenter op alle virtuele machines of in het ­geval van een Citrix XenApp-omgeving op een aparte server die je vóór de Citrix-farm plaatst. Het besturingssysteem wordt hierdoor ‘multi-user’ en met het User eXtension Protocol van nComputing (UXP) communiceren vele werkplekken met dat ene besturingssysteem. De werkplekken zijn bij nComputing altijd de eigen ­access devices, zoals nComputing de ­clients noemt. Dit zijn zero clients met een Numo System-on-Chip voorzien van een zelfontwikkelde zogenoemde operating firmware. De access devices van nComputing sluit je via ethernet aan, of direct op een usb-poort van het systeem. Er zijn ook een PCI-kaart en een usb-adapter om bestaande pc’s om te bouwen tot ‘access devices’. Voor de duidelijkheid, elke Windows 7 virtuele machine binnen je Xen­ Desktop- of View-omgeving wordt door nComputing gedeeld met dertig gebruikers. Kies je voor nComputing, dan krijg je vrijheid in het datacenter wat betreft de VDI-keuze, maar niet aan de werkplekzijde - daar zit je vast aan nComputing.

Pano-concept Pano Logic heeft weer een ander concept bedacht. Dit bedrijf wordt ­beschouwd als een bouwer van echte zero clients. Je sluit de netwerkkabel van de Pano Device zero client aan op het netwerk en installeert op elke virtuele machine die is voorzien van Windows XP of Windows 7, in het datacen-

Zero client van Panologic

www.netopus.nl

17

Feature

ter een stukje software. De software op de virtuele machine stuurt de hardware over de utp-netwerkkabel aan via het eigen Pano Direct Protocol. De beheerconsole is de Pano Manager, die als virtual appliance wordt geleverd. Pano Logic werkt alleen nog samen met ­VMware View en niet met andere desktopvirtualisatieoplossingen. Het concept kost flink wat bandbreedte, maar biedt een heel goede pc-ervaring. Deze zero clients hebben een chip die zorgt voor een ip- en ethernetnetwerkstack en voor de ondersteuning voor het aansluiten van usb-apparaten of een beeldscherm, muis en toetsenbord. Het enige wat die chip eigenlijk doet, is het verzenden en ontvangen van i/o. Pano Logic vindt dat zij de dunste zero clients hebben, die helemaal geen firmware bevatten. De Pano Devices zijn overigens nooit te gebruiken buiten het Pano-concept. Je zou het type thin clients met slechts firmware en geen cpu inderdaad zero clients mogen noemen.

Zonder firmware MultiPoint-stations worden ontwikkeld door de bekende fabrikanten. Dit zijn zero clients waar het besturingssysteem, maar ook de tcp/ip-stack, de processor en het (flash-)geheugen enzovoort uit zijn gesloopt. Deze zero client is dan een terminal die voor honderd procent bestaat uit hardwarecomponenten en direct wordt aangesloten op een server. Je zou kunnen zeggen dat het scherm, de muis en het toetsenbord simpelweg worden verlengd over een wat grotere afstand, op een multi-user-omgeving. Je houdt dan een client over die beperkt is te gebruiken. De enige oplossing waarbij deze client wordt ingezet, is Microsoft MultiPoint Server 2010. Dit is een Microsoft Windows Server 2008 R2 ­Remote Desktop Services-systeempje, met dit type zero clients aangesloten op usb-poorten en videoadapters in het systeem. Het product lijkt vooral gericht op het onderwijs. Je kunt het Windows Server 2008 R2-gebaseerde

18

NetOpus 6 November 2010

product installeren op een werkplek waarna de pc is te gebruiken door een tiental leerlingen. Je koopt daarbij maximaal tien zero clients en sluit deze fysiek aan op de werkplek door de muis en het toetsenbord aan een usb-hub (verbonden met de pc) te koppelen en het beeldscherm aan een vga-poort van de pc. De pc moet per zero client-werkplek - wat in deze omgeving een station wordt genoemd een video-adapter-aansluiting hebben. Voor tien stations heb je bijvoorbeeld vijf dual-port-videoadapters nodig in de te delen werkplek. HP verkoopt speciale MultiPoint-systemen (de HP MultiSeat desktop-pc) die standaard zijn voorzien van de benodigde grafische adapters en usb-poorten. MultiPoint Server is een Remote Desktop Service-oplossing, waarbij het RDPprotocol niet over het netwerk wordt gebruikt, maar over direct gekoppelde videoadapters en usb-poorten. ­Omdat de lengte van vga- en usb-kabels ­beperkt is, is MultiPoint-server een infrastructuur voor kleine omgevingen (een klaslokaal, een SoHo-kantoor met enkele werkplekken). Zo kun je kiezen uit de HP MultiSeat t100 Thin Client, die overigens optioneel wel kan worden voorzien van harde schijf en ­geheugen, of ­bijvoorbeeld de Wyse E01 als multipoint-station. ClearCube was de eerste die bladeZero (thin) client Nee Optie Soms als cache Nee, speciale chip(set) Zeer snel

Ultra-thin client

Thin client

Ja Ja Soms, als cache Zeer compact

Ja Ja Ja

Rich thin client Ja Ja Ja

Compact

Normaal

Zeer snel

Vergelijkbaar met een pc

Streaming OS N.v.t. Uitbreidbaarheid N.v.t.

N.v.t. N.v.t.

Ja Nauwelijks

Meestal iets sneller dan een pc Optie Ja, beperkt

Energie Modellen

<5 watt HP MultiSeat t100 Wyse E01

<5 watt nComputing L300, Pano Device

<10 watt Wyse Xenith, SunRayclients

Prijsklasse apparaat (excl. beeldscherm)

€ 80,-/€ 120,- € 150,-/€ 300,- € 300,-/€ 450,- € 200,-/€ 400,- € 400,-/€ 750,-

Processor Geheugen Flash Besturings­ systeem Opstarttijd

Thin client terminal Nee Nee Nee

pc’s voor in het datacenter aanbood en levert nu een heel scala aan producten. Een speciale zero client wordt via een CAT5 utp-kabel over maximaal tweehonderd meter met beeldscherm, muis en toetsenbord verbonden en communiceert met een ClearCube-blade-pc in het datacenter (en een eigen ‘protocol’). Dit is dus geen netwerkverbinding, maar een ander type verbinding over een vieraderige draad. ClearCube heeft daarnaast zero clients met een PCoIP-chipset en echte thin clients met een besturingssysteem en RDPen ICA-ondersteuning. Om verwarring met de op thin clients gebaseerde zero clients te voorkomen zouden we dit type client de ‘thin client terminal’ moeten noemen. De zero client vormt een nieuw type werkplek in de virtuele wereld die de keuze voor thin clients er niet gemakkelijker op maakt. Bovendien zit je met de keuze voor een protocol in het ene geval vast aan de zero clientfabrikant en in het andere geval aan de ­virtualisatie-oplossing in het backoffice. Maar misschien is de komst van dunnere zero-oplossingen een voorteken voor het op dieet gaan van de dikke, uitgebreide, geavanceerde en dure thin clients zoals we die vandaag de dag veel zien. Tabel 1 vat onze bevindingen in eenvoudige kernwoorden samen. ■

Nee Zeer snel

>50 watt

Optie Ja, uitgebreid >100 watt

Lab Notes Windows 2008 Server R2 is de beste server ever built, zo lees ik bij de introductiepagina’s van Microsoft. Dit heb ik echter vaker gelezen en inderdaad: meestal is de volgende versie net iets beter, dus het klopt bijna altijd. Ben ik nu, tien jaar na Windows 2000, eindelijk toch onder de indruk van de nieuwe Windows Server-software? Jan Reinders

Best server ever? O

nlangs werd ik gedwongen alle features van de nieuwe Windows Server-versie door te nemen en ook daadwerkelijk te demonstreren en voor te ­bereiden. Iets meer dan de mooie praatjes dus. Een ­upgrade-training voor system-engineers van een grote ­Nederlandse printerfabrikant was het doel. Deze mensen komen zo nu en dan een Server 2008 tegen bij klanten, en het is toch wel anders dan Server 2003. Waarom nu zo enthousiast na alle jaren van resetten en ­opnieuw beginnen? Na drie dagen van mishandeling tijdens vele demonstraties bleef de server stabiel! Hij liep niet één keer vast en daarom ben ik onder de indruk. Met de ­recente intro van de R2-versie van Server 2008 is hij na twee jaar ook echt afgemaakt. Zelfs Hyper-V is nu inclusief. Nog zo’n bijzondere werkende feature: er zijn ook mogelijk­heden van applicatie- en desktop-delivery met behulp van de ­totaal vernieuwde Remote Desktop-rol. Windows Server 2008 leek twee jaar geleden erg op Vista. Sterker nog, het deelde eigenlijk de kernel met Vista/SP1. Over Vista was volgens mij niet iedereen tevreden, wat lastig was voor de introductie van Windows 2008, dat daar zo sprekend op lijkt. Windows Server 2008 R2 kwam recent uit (alleen 64-bits) en is vanaf het begin gelijk aan Windows 7. Dit is al heel wat beter. Daarmee zou ook Server 2008 R2 nu behoorlijk moeten gaan worden ­geaccepteerd. Toch zien de genoemde system-enigineers bij klanten nog steeds voornamelijk Server 2003. Zo eenvoudig gaat de markt niet om. Migreren is immers duur. Nu is een column natuurlijk niet de plaats om alle features uit te werken. Een paar hoogtepunten dus die tot mijn ­positieve waardering hebben geleid. Beveiliging is natuurlijk erg ­belangrijk, maar de extreme stroefheid van Vista is bij zowel Windows 2008 R2 als 7 geheel verdwenen zonder de vertragende beveiliging op te heffen.

ver dus. Het is natuurlijk een aardigheidje om te laten zien dat ook R2 fundamenteel net zo in elkaar zit als alle vorige Windows-versies. Voor de liefhebber: zoek PSEXEC van Mark Russinovich op Microsoft Technet en geef psexec –i –s cmd.exe in een cmd-venster. In het nieuwe ‘Dos-venster’ dat hiermee wordt gestart, ben je dan de Windows root-user system (geef maar whoami). Dan verwijder je de Explorer uit de procestakenlijst van Task Manager; de Admin-startknop verdwijnt. De systemdosbox blijft dan over. Hier start je Explorer opnieuw met explorer en je hebt een system-userdesktop. Vroeger ging het ook met het AT-commando, maar de ‘toegenomen’ beveiliging maakt interactief starten van systeemtaken onmogelijk. R2 ontbeert in eerste instantie het mooie gezicht van Windows 7. Het lijkt eerder Windows 2000. Door een feature toe te voegen, de desktop-experience, kunnen we ook op een server 2008 R2 Windows Aero gebruiken. Daarom ben ik ook helemaal verkocht. Het ziet er na enige gewenning geweldig uit. Op een server lijkt dit natuurlijk volslagen onzin? Met de rol Remote Desktop kunnen we de desktop via RDP op afstand met Aero gebruiken. Er zitten wel wat licentiestappen achter, maar het werkt prima. In twintig jaar heb ik heel wat ‘Windows’ voorbij zien komen. Dit keer lijkt het anders te zijn. Een stabiel platform voor ­virtualisatie (Hyper-V) en tientallen zaken die ten opzichte van 2008 Server in R2 nu echt af zijn. De terminal-server doet bijzondere dingen en heet nu Remote Desktop Server en geeft behalve een remote desktop - die we al jaren kennen - ook remote applicatie-integratie op de desktop. De volgende beste server ever staat alweer voor 2012 op het programma. Hebt u nog wensen? ■

Op de Server 2008 R2 ontbreekt in eerste instantie het mooie gezicht van Windows 7

Whoami Er is in de basis gewoon een NT-versie 6.1 aanwezig. Zelfs de poging interactief als system-user aan te melden lukt op R2 nog steeds met een paar muisklikken. Gewoon een Ser-

Jan Reinders is als ingenieur gespecialiseerd in bedrijfskunde, techniek en informatisering. De laatste 20 jaar is hij actief als directeur van REIN Consultancy en Training, dat trainingen verzorgt op het vlak van IT-infrastructuur en investeringsbegeleiding doet.

www.netopus.nl

19

Feature

Sessie op steroïden RDS in Windows Server 2008 R2 In het 64-bit-platform Windows Server 2008 R2 combineert Microsoft de aloude terminal-server met VDI-functionaliteit. Daarbij volgt Microsoft hetgeen bijna alle andere partijen in de markt hebben gedaan. Ook de softwaregigant heeft de producten voor de gedeelde desktop (terminal-server) gecombineerd met de producten voor de persoonlijke gevirtualiseerde desktop. Met Service Pack 1 voor Windows Server 2008 R2 wordt binnenkort de volgende stap gezet door de toevoeging van RemoteFX. Marcel beelen

Afbeelding 1 Alle Remote Desktop Services-componenten in een Windows Server 2008 R2-architectuur

20

NetOpus 6 November 2010

Remote Desktop Services

T

erminal-server en -services worden sinds Windows Server 2008 R2 allemaal onder de noemer Remote Desktop Services gevat. Bedien je jouw gedeelde sessie op een terminal-server, dan moet je tegenwoordig dus spreken van ­Remote Desktop Services die je bedient op een Remote Desktop session host. De RD session host is wat we vroeger de terminal-server noemden. Nieuw is dat we Remote Desktop Services ook kunnen gebruiken om gevirtualiseerde Windows 7-desktops in het datacenter te bedienen. Om dit te realiseren is in Windows Server 2008 R2 een aantal extra rollen toegevoegd.

toegang via het web te bieden bestaat eveneens nog steeds. Remote Desktop Web Access is de webserver die communiceert met RD Session Hosts en gepubliceerde bureaubladen of individuele RemoteApp-applicaties toont. Remote Desktop Gateway kan worden gebruikt om veilige sslgebaseerde toegang te bieden vanuit locaties buiten je bedrijfsnetwerk. Tot zover lijkt er niets veranderd ten ­opzichte van Windows Server 2008 R1, behalve alle ­namen. Niets is echter minder waar, want de onderliggende architectuur is wel degelijk aangepast en weer een flinke stap gegroeid naar volwassenheid.

Nieuwe elementen

Een stuk complexer

Als we eens globaal naar de architectuur kijken, dan zien we de volgende componenten. De Remote Desktop Session Host is de server die de ­gedeelde sessies op de server draait en aanbiedt aan gebruikers die met een Remote Desktop Connectionclient verbinding maken door middel van de RD Session Host. Het is net als in vorige versies mogelijk met load balancing meerdere RD Session Hosts samen te voegen in een farm. In een farm moet er een functie zijn die de binnenkomende sessie beheert en in goede banen leidt. Deze werd in Windows Server 2008 R1 Terminal Service Session Broker genoemd, maar de rol is uitgebreid en heet nu de Remote ­Desktop Connection Broker. In plaats van het aanbieden van een volledig scherm kun je ook individuele applicaties ­aanbieden met RemoteApp. Werk je op de pc met Windows 7, dan kunnen de gepubliceerde RemoteAppapplicaties op de RD Session Host automatisch in het startmenu worden toegevoegd, zoals we dit al jaren kennen van Citrix XenApp. In je architectuur is het verplicht een ­licentieserver op te nemen, zodat ­clients mogen en kunnen verbinden met de farm. Deze wordt de Remote Desktop Licensing Server genoemd. Bestaande functionaliteit om veilige

In het bijzonder de RD Connection Broker is nu in staat zowel gedeelde sessies aan te bieden als ook persoonlijke sessies op gevirtualiseerde Windows 7-werkplekken op een Hyper-V-server. Microsoft heeft hiervoor twee role services in Windows opgenomen. De eerste is de Session Redirection role service. Deze is er verantwoordelijk voor om samen met de RD Connection Broker de sessies naar de RD Session Hosts te managen. Microsoft adviseert de Session Redirection role service op de server te activeren die ook de RD Connection Broker draait. De Virtualization Redirection role service is ook een onderdeel van de RD Connection Broker. Deze verzorgt de verbindingen met gedeelde of persoonlijke gevirtualiseerde Windows 7-desktops draaiend op een Hyper-V-omgeving. De Virtualization Redirection role service kan niet samen met de Session Redirection role service op één systeem draaien en moet worden ingeschakeld op de workload die de management-vm vormt op de ­Hyper-V-server. Daarop moet bovendien de Remote Desktop Virtualization Host worden ingeschakeld, die automatisch Hyper-V inschakelt, als dat nog niet is gebeurd. Je ziet, de gehele architectuur en componenten daarin worden een stuk complexer als je kiest voor de volledige

desktopvirtualisatie-oplossing. Microsoft heeft een indrukwekkende Remote Desktop Services Component Architecture Poster, waarop alle componenten en de relatie daartussen worden verklaard. Haal hem van internet door te zoeken naar Remote-Desktop-Services-Component-Architecture.pdf. In Afbeelding 1 kun je hem alvast in een verkleinde versie bewonderen.

Virtuele licenties? Het zal je niet verbazen dat de Terminal Service Client Access Licenties (TS CAL) nu Remote Desktop ­Services ­Client Access Licenties worden ­genoemd (RDS CAL’s). Elke gebruiker die of ieder apparaat dat een verbinding maakt met een RD Session Host, moet een RDS CAL hebben (per device of per user), ongeacht het besturingssysteem van het apparaat. De RD License Server controleert hier - na het verlopen van de eerste honderdtwintig dagen - strak op. De Windows Server 2008 RDS CAL is ietsje duurder dan de eerdere TS CAL. Dat komt doordat hierin voor elke gebruiker ook een App-V CAL for Remote Desktop Services is opgenomen. Microsoft ziet - net als Citrix en VMware - dat applicatiestreaming eigenlijk standaard deel moet uitmaken van een RD Session Host-infrastructuur. Concreet mag je nu op RD Session Hosts applicaties met App-V-streaming aanbieden aan de gebruikersessies in plaats van dat je elke applicatie moet installeren op de RD Session Hosts. Met deze AppV-licentie is het niet toegestaan te streamen naar een eventuele desktop die de gebruiker ook heeft. Om een gevirtualiseerde Windows-versie in het datacenter op een RD Virtualization Host te mogen gebruiken heb je een Virtual Desktop Access-licentie nodig (VDA). De eerdere Microsoft VECD-licentie is komen te vervallen. De VDA-licentie is er één per device en werkt dus niet per user, zoals je die bij de RDS CAL wel kunt kiezen. Een VDA-licentie is alleen nodig als je werkt op een apparaat waarop je als

www.netopus.nl

21

Feature

bedrijf geen Software Assurance- of SA-contract hebt. Windows-pc’s onder SA mogen zonder VDA gebruikmaken van een RD Virtualization Host. Je zou kunnen zeggen dat VDA is inbegrepen in SA. VDA geeft je het recht tot vier virtuele Windows-desktops te bedienen. Werk je vanuit huis en heb je op het werk een VDA-licentie (of een pc onder SA), dan mag je ook vanaf huis of andere plekken buiten het bedrijfsnetwerk de virtuele desktops benaderen. Microsoft noemt dit roaming rights. Voor medewerkers die honderd procent thuis werken of inhuurkrachten die hun laptops meebrengen, geldt dat ze gewoon een VDA-licentie moeten bezitten. Er zit iets kroms in, want als je normaal gesproken werkt op een pc met SA en inlogt op een andere interne zakelijke werkplek die geen SA heeft, bijvoorbeeld als je een nevenkantoor bezoekt, heb je een extra VDA-licentie nodig, terwijl je deze vanaf thuis niet nodig hebt. In elke omgeving waar virtuele images van Windows worden gebruikt - dus ook als je met Citrix XenDesktop of VMware View werkt -, is deze VDA-licentie nodig.

Negentig dagen De VDA-licentie is overigens een abonnement/contract, net als SA, en je betaalt er elk jaar een vast bedrag per apparaat voor. De licentie mag na negentig dagen worden overgeheveld van de ene naar de andere pc. Als je een inhuurkracht hebt die korter dan negentig dagen bij je bedrijf werkt en je hebt een VDA-licentie aangeschaft, dan gaat deze verloren als de inhuurkracht vertrekt. Je mag pas na ­negentig dagen een licentie verplaatsen of op het moment dat een apparaat defect raakt. Als aanvulling op het VDA-licentieabonnement kun je kiezen voor de VDI Standard Suite en de VDI Premium Suite, die ook per device en alleen onder SA worden geleverd. De VDAlicentie maakt geen deel uit van de VDI-suites. De Microsoft VDI Standard Suite biedt een Remote Desktop Ser-

22

NetOpus 6 November 2010

vices CAL (RDS CAL), die alleen mag worden gebruikt voor toegang tot gevirtualiseerde werkplekken via de noodzakelijke Connection Broker. De licentie mag niet worden gebruikt voor toegang tot RD Session Hosts. Verder vind je in de suite: de Microsoft Desktop Optimization Pack (MDOP), Microsoft Hyper-V Server 2008 R2 en ­System Center Virtual Machine ­Manager (SCVMM) Client Management-licentie, System Center Configuration Manager (SCCM) Standard Server Management-licentie, die ­alleen mag worden gebruikt om hosts te ­beheren die voor VDI worden ingezet (de licentie geldt niet voor andere virtuele omgevingen of omgevingen waarop servers en werkplekken worden gevirtualiseerd), System Center Operations Manager (SCOM) Standard Server ­Management licentie, voor het monitoren en beheren van de VDI host­machine (ook deze licentie geldt niet voor andere virtuele omgevingen of omgevingen waarop servers en werkplekken worden ­gevirtualiseerd). De Microsoft VDI Premium Suite biedt, naast alle licenties in de VDI Standard Suite, een Remote Desktop Services CAL (RDS CAL), die ook mag worden gebruikt voor toegangssessies op een RD Session Host. De App-V for Remote Desktop Services is inbegrepen bij de RDS CAL, maar mag alleen worden gebruikt voor gevirtualiseerd en gestreamde applicaties op een RD Session Host. Merk op dat je altijd ook nog licenties nodig hebt voor de serverbesturingssystemen en de Windows CAL’s en alle eindgebruikersapplicaties.

De pc-experience In Service Pack 1 voor Windows 7 en Windows Server 2008 R2 is ­RemoteFX opgenomen. Dat komt voort uit de overname van Calista door Microsoft. RemoteFX is een uitbreiding van het RDP-protocol dat op het Lan (dus niet over Wan-verbindingen) grafische versnelling moet gaan bieden om de remote omgevingen een ‘bijna pc’-

­ rvaring te bieden. Microsoft gaat e hiermee de directe concurrentie aan met aartsrivaal VMware, dat PCoIP in licentie heeft genomen van Teradice. RemoteFX (Afbeelding 2) voegt ­onder meer host-gebaseerde graphics-rendering toe op de server. Dit houdt in dat alle grafische zaken op de server worden afgehandeld en als gecomprimeerde bitmaps naar de client worden verstuurd. De host/server kan een Remote Desktop Session Host zijn met Windows Server 2008 R2 SP1 of een gevirtualiseerd Windows 7 SP1image op een Hyper-V-server op basis van Windows Server 2008 R2 SP1. Remote­FX stelt ook speciale eisen aan de serverhardware (zie de specificaties op de website van Microsoft). Een grafische adapter (gpu) is nodig als je grafisch een beetje prestaties wilt hebben. Met SP1 wordt er een virtuele gpu gedefinieerd die in de Windows 7 SP1-workloads wordt ­gebruikt. In ­Hyper-V op Server 2008 R2 SP1 worden fysieke gpu’s beschikbaar gemaakt voor de guest-besturings­ systemen. Het type grafische kaart in de server is niet relevant voor Remote­ FX. Je kunt tot vier (identieke) gpu’s in de server installeren die alle vier worden gebruikt. Het analyse- en compressiealgoritme op de server gebruikt de gpu en deels ook de cpu. Om dit te voorkomen worden er speciale kaarten ontwikkeld met ASIC’s die je in de server installeert om de cpu en gpu te ontlasten bij het comprimeren (encoding) van graphics. Je hebt dan overigens nog steeds een gpu in de server nodig. Voor elke virtuele machine moet de gpu het grafische geheugen beschikbaar hebben, dus afhankelijk van de resolutie en het aantal beeldschermen neemt de hoeveelheid grafisch geheugen toe! Op een Remote Desktop Session Host kun je ook gebruikmaken van RemoteFX, zelfs als je de RD Session Host-rol gewoon inschakelt op Windows Server 2008 R2 SP1, dus zonder een hypervisor eronder. In tegenstelling tot bij de VDI-variant op Hyper-V is het niet noodzakelijk een gpu in de

Remote Desktop Services

Afbeelding 2 Inschakelen RemoteFX

server te hebben - maar het helpt wel. Op het access device moet een ­Remote Desktop Connection-client 7.1 worden gebruikt die het nieuwe RDP7.1-protocol inclusief RemoteFX

ondersteunt. Er komen ook adapters met ASIC’s voor thin clients, zodat je ook op niet-Windows 7 access devices toch RemoteFX kunt gebruiken en er ultradunne clients kunnen worden gemaakt, net als met PCoIP het geval is. Het decoderen van de graphics wordt dan gedaan door de ASIC’s in de thin client en niet door de cpu. Kijkend naar het RDP7.1-protocol met RexmoteFX is er geen verschil over wat er over de lijn wordt ver-

stuurd, ongeacht of je met VDI, een RD Session Host en met of zonder ASIC’s werkt. Een andere functie die Remote­ FX toevoegt, is dat het in staat moet zijn om alle usb-apparaten op de client bekend te maken op de virtuele Windows 7-omgeving in het datacenter.

Nieuwe kansen Nieuwe namen voor de omgeving en rollen, nieuwe licentievormen en de toevoeging van RemoteFX in het RDPprotocol - dat zo zijn eisen stelt aan de serverhardware - maken het er niet eenvoudiger op. Maar de extra mogelijkheden geven Remote Desktop Services (als VDI en op ‘terminal-server’) een weer bredere acceptatie en bieden leveranciers van thin clients en van add-ons zoals Citrix, VMware, Quest, RES, AppSense en de vele anderen extra kansen. ■

www.NetOpus.nl

23

Feature

VMware in de zorg

VDI brengt fysieke en virtuele werkplek samen Carante Groep werkt al een tijdje met VMware View 3.12 voor het draaien van een in het datacenter gevirtualiseerde infrastructuur. De werkplekken van deze zorginstelling zijn deels vervangen door thin clients van IGEL, waarop de gevirtualiseerde Windows XP-werkplek in het datacenter wordt bediend. Deze VDI-omgeving werkt naar volle tevredenheid, merkten we tijdens een bezoek. Marcel Beelen

C

arante Groep is een samenwerkingsverband van twaalf autonome organisaties in de gezondheidszorg met het hoofdkantoor in Sliedrecht. De stichting begon ruim veertig jaar geleden met twintig cliënten. De samenwerkende organisaties zijn regionaal actief, verspreid over Nederland, en de achttienduizend medewerkers in meer dan duizend vestigingen bieden zorg, begeleiding en ondersteuning op maat aan twintigduizend cliënten. Carante Groep is actief in de zorg en dienstverlening aan mensen met een lichamelijke en/of verstandelijke beperking, de psychiatrie, ouderenzorg, welzijn en jeugdhulpver-

24

NetOpus 6 November 2010

lening. De krachtenbundeling van de organisaties in de Carante Groep zorgt voor hoge efficiency en flexibiliteit van overkoepelende diensten op het ­gebied van financiën, personeelsbeleid en huisvesting.

Facultatief en collectief Ook automatisering maakt onderdeel uit van de diensten die centraal door Carante Groep aan de stichtingen worden aangeboden. De groep heeft zelf geen gebouwen, maar is gehuisvest in het gebouw van ASVZ, de grootste van de twaalf stichtingen. De ICT-afdeling van Carante Groep bestaat uit ongeveer 25 personen en is verantwoorde-

lijk voor collectieve applicaties voor onder meer Human Resource Management en Business Intelligence. Ook de Wan-verbindingen en bijvoorbeeld Indentity Management vallen onder de verantwoordelijkheden. Verder heeft elke stichting nog eigen beheerders, die verantwoordelijk zijn voor specifieke IT-componenten per stichting, want elke stichting is autonoom en houdt zoveel mogelijk zijn eigen identiteit. Niet alles is immers collectief mogelijk of zinvol. De werkplek wordt facultatief aangeboden aan de hand van een interne productcatalogus. De allereerste aanleiding om met ­virtualisatie aan de slag te gaan

VMware in de zorg

s­ peelde in 2005. “We werden gestoord van de ­vele aanvragen om testservers in te richten op oude machines,” vertelt ­André van de Werken, senior netwerk- en systeembeheerder bij Carante Groep. “Het installeren van nieuwe software op afgeschreven systemen kostte veel tijd en werkte vaak niet goed. We ­besloten alle ­verouderde hardware weg te doen en onze ­test­omgeving met VMware ESX 2.5 in te richten.” Het concept beviel erg goed en de volgende stap was om te kijken waar snel winst zou kunnen worden ­gehaald in de productieomgeving. Van de ­Werken: “We begonnen met de zeer langzame ‘trutservers’ die ingericht waren voor slechts enkele personen, omdat virtualiseren van dit soort sys­ temen een laag risico kent. Inmiddels zijn de meeste oude servers gevirtualiseerd en worden er ook nieuwe ­applicaties in het back-­office op virtual machines ingezet.”

Terughoudend Verder heeft Carante Groep een uitwijkoplossing opgezet en alle ­bedrijfskritische servers gevirtualiseerd. ­VMotion en VMware DRS zijn ingeschakeld, maar niet erg agressief ingeregeld en er worden weinig ­machines verplaatst. VMotion wordt ook actief gebruikt om machines tijdelijk vrij te maken voor updates en ­andere bijzondere beheeractiviteiten. De organisatie draait op dit moment 125 virtuele machines in het datacenter. Zeventig procent ervan zijn Windows-servers, twintig procent Linuxservers en tien procent draait nog Netware. Voor backups van de ­virtuele machines is Vizioncore ­vRanger aangeschaft. Carante Groep was met het virtualiseren van applicatieservers ten bate van zorgapplicaties vrij vroeg. ­“Leveranciers waren in het begin erg terughoudend om applicaties op de virtuele server te ondersteunen. Eén van onze kritische applicaties voor roostering, Harmony, verloor door het

virtualiseren zo nu en dan de verbinding met de ­database. Door de komst van een nieuwe licentieserver die op ip-adres in plaats van Mac-adres draait, behoren deze problemen alweer een tijdje tot het verleden,” aldus de systeembeheerder.

Identity Management De aanleiding voor virtuele werkplekken in het netwerk is te vinden in de beveiligingseisen die er in de zorg worden gesteld. De informatie­ beveiliging moet voldoen aan de NEN 7510-normering en dat betekent dat de beschikbaarheid, integriteit en vertrouwelijkheid van cliëntinformatie moeten zijn geregeld. “Volgens het kader dat deze norm schept, moeten we inzichtelijk maken wie wat op het netwerk doet,” vertelt Leon Urbanus, assistent hoofd ICT bij Carante Groep. “Voorheen werkten we op grote schaal met groepsaccounts waar meerdere medewerkerkers met dezelfde loginnaam en wachtwoord inloggen en dit staat lijnrecht tegenover deze eis. We zijn daarom gestart met het gefaseerd uitrollen van een Identity Managementsysteem op basis van Novell Identity Management (IDM).” Carante Groep besloot te beginnen bij ASVZ, de grootste organisatie binnen de groep met bijna vijfduizend ­medewerkers en vierduizend patiënten. Uitfaseren van groepsaccounts bleek niet alleen een ingewikkeld project, het was ook tijdrovend omdat het aantal accounts verviervoudigde. Men ging immers van gedeelde naar unieke accounts. Het bleek bovendien ­onmogelijk om persoonlijke ­accounts te gebruiken en IDM uit te rollen op de vijf jaar oude pc’s bij de vele kleine zorglocaties en de bestaande infrastructuur. Urbanus: “Er resteerden honderdveertig kleinere

intramurale woonlocaties met dsl-verbindingen waar cliënten verblijven en totaal 1.600 medewerkers werkzaam zijn. We moesten op zoek naar een zeer eenvoudig te beheren werkplekoplossing om ook op die locaties met persoonlijke accounts te kunnen werken en transparant toegang te bieden tot het netwerk.” De oplossing moest verder op de buitenlocaties met voldoende performance over de maximaal 2 Mbit-verbinding functioneren. Verder wilde Carante Groep de data centraliseren en roaming toegang bieden op de nieuwe werkplekken.

VMware View en IGEL Carante Groep stond in principe open voor elke werkplekoplossing van ­Citrix, VMware of een andere ­aanbieder en kon feitelijk met een schone lei ­beginnen. Al snel gingen de ideeën uit naar een oplossing met thin clients. Omdat de organisatie geen kennis en ­ervaring had met werkplekoplossingen

www.netopus.nl

25

Feature

op basis van terminal-server, Citrix en al sinds 2005 servers virtualiseerde met ­VMware, lag dat laatste bedrijf het meest voor de hand. Uiteindelijk is ­samen met consultants van Brain Force een projectdefinitie gemaakt op basis van VMware View en thin clients en een proof-of-concept neergezet. “We zochten een thin client die ­VMware View ondersteunde,” zegt Leo van Leest, netwerk- en systeembeheerder bij ASVZ. “Na een voorselectie is een aantal leveranciers van thin clients gevraagd om een demonstratie en is een evaluatie uitgevoerd van clients van HP, Wyse en IGEL. Wyse liep op het moment van de evaluatie achterop in View-support en de HP thin clients vonden we vrij complex om te beheren. Ondanks dat we in het back-office veel HP gebruiken en ook de werkstations van HP zijn, viel de keuze op IGEL thin clients. Ze hadden de beste VMware View-support en bleken zeer simpel te beheren.” Bovendien hoeft er op de thin clients niets te gebeuren, omdat ze na centrale registratie in de managementtool van IGEL zelf starten en zichzelf configureren. “Ook waren we zeer tevreden over de ondersteuning van IGEL en de toekomstvisie van het bedrijf,” vervolgt Urbanus. De organisatie heeft niet alle pc’s vervangen, maar is op een ­bepaald moment tijdelijk gestopt met de aanschaf van nieuwe exemplaren. De door thin clients vervangen computers worden teruggenomen en op het hoofdkantoor heringezet.

Bottlenecks Carante Groep draait nu gemiddeld 135 gelijktijdig actieve sessies met ­VMware View, op vijf HP DL385’s met een dual-core processor en 32 GB ­geheugen. “We ervaren dat virtuele desktops andere eisen stellen aan de serverhardware dan virtuele servers. Waar we merken dat bij servervirtualisatie vooral het geheugen de bottleneck vormt, blijkt bij de VDI-infrastructuur met View voor het processorplafond de kritische grens te vormen,”

26

NetOpus 6 November 2010

voegt Van de Werken toe. “Met VMware DRS en VMotion worden desktops echter dynamisch opgepakt en verplaatst naar andere hardware als bottlenecks zich voordoen.” Op honderdveertig locaties werken 1.600 medewerkers periodiek op Linux-gebaseerde IGEL thin clients met een centrale en gevirtualiseerde Windows XP-desktop. Bij elke sessie, na het inloggen, krijgt de medewerker steeds een vers Windows XP-image vanaf een Linked Clone op de centrale omgeving aangeboden. In dit image bevinden zich enkele basistoepassingen, zoals Microsoft Office en Adobe Reader. De overige applicaties zijn met ThinApp gevirtualiseerd en worden ­gestreamd als ze worden aangeroepen. Urbanus: “Het ThinAppen van applicaties was niet zo ingewikkeld, hoewel we soms wel als eerste het wiel moesten uitvinden. In het bijzonder de koppelingen van zorgapplicaties met Word waren even een uitdaging. De user-interface om applicaties te starten met de Novell Application Launcher is op de thin clients identiek aan die op de fat clients. Medewerkers ervaren een identieke omgeving op IGEL thin client regelt werkplekken

de fat clients en op de thin clients. Ongeacht waar een medewerker inlogt, of het nu op kantoor is, op een kleine nevenvestiging of een werkplek aan huis bij de cliënt, de desktop is identiek.” De cliënten van ASVZ leven in allerlei woonvormen en hebben behoefte aan zorg op maat, variërend van één tot 24 uur per dag. Omdat een groot deel van de 1.600 medewerkers diverse locaties bezoeken, zijn snelle inlog- en uitlogtijden belangrijk. De medewerkers dienen zich immers zo weinig mogelijk achter de werkplek te bevinden. ­Alles draait om het bieden van goede en passende zorg en IT moet simpelweg optimaal functioneren. Het gehele proces van inloggen en starten van de applicaties met de IGEL thin clients duurt nu nog geen twee minuten. Dit is inclusief het aanloggen op een virtuele desktop in het datacenter, waarbij dan tevens een single sign-on plaatsvindt op de VMware View Agent, Active ­Directory en Novell eDirectory. Voordien duurde het inloggen op de pc’s soms wel vijftien minuten door allerlei ingewikkelde synchronisaties en applicaties die veel verkeer over de lijn verstuurden. Nu is het slechts het efficiënte RDP-protocol dat over de lijn wordt verstuurd. De organisatie heeft nog geen plannen om over te stappen naar PCoIP als protocol. “Met IGEL zijn we in staat de thin ­clients letterlijk direct uit de doos zonder enige configuratie of installatie - in gebruik te nemen. Het is een kwes-

VMware in de zorg

uitdagingen in de VDI-omgeving Er zijn wel wat kleinere nadelen verbonden aan het werken met gevirtualiseerde Windows-werkplekken. Vooral het asset-management is een stuk complexer geworden. Waar je met Novell Zenworks exact weet wie waar welke applicatie gebruikt, is dat met virtuele gedeelde werkplekken een stuk ingewikkelder. Op dit moment worden de ­applicaties weliswaar nog steeds met NAL aangeboden, maar de werkstations - de virtuele en de thin clients - maken geen geïntegreerd deel uit van asset-management. Een ander nadeel was dat ­gebruikers niet in staat waren om het wachtwoord zelf te veranderen. Ze moeten immers eerst ­inloggen om daarna met de browser naar het self-service web­portal te kunnen om een nieuw wachtwoord te kunnen kiezen. IGEL heeft aangegeven een optie te willen toevoegen om met een druk op de knop de lokale browser op de thin client te openen en naar de website te gaan, zonder eerst in te hoeven loggen op de VDI-omgeving. Een derde uitdaging die is opgelost, was het printen. Standaard is het niet mogelijk om vanaf de VDI-omgeving te printen naar de default netwerkprinter op de buitenlocatie. Om de default netwerkprinter op de gevirtualiseerde werkplek correct ingesteld te krijgen, is Centralis PrintHere aangeschaft en in gebruik genomen. Omdat de VMware View-agent het ip-adres van de thin client doorgeeft, kan in het datacenter eenvoudig de locatie van de thin client worden vastgesteld en de default netwerkprinter worden gedefinieerd.

tie van het aansluiten van de utp-netwerkkabel en de rest gaat vanzelf. De client meldt zich automatisch aan met zijn MAC-adres en wordt in de IGEL Universal Management Suite centraal geautoriseerd, aan de VDI-pool toegevoegd waarna het laatste en voorgeconfigureerde image naar de thin client wordt geladen,” concludeert Urbanus. “Dit out-of-the-box concept en het remote beheer met de IGEL Universal Management Suite leveren een directe besparing op. Omdat we niet langer de honderdveertig locaties hoeven te bezoeken bij problemen of ­configuratiewijzigingen, hebben we één persoon minder nodig voor het onderhoud van de werkplekken. We hebben op deze wijze ruimte gecreëerd om aan nieuwe ontwikkelingen te spenderen. En plannen hebben we genoeg. Zo moeten we dit jaar Office vervangen door een nieuwere versie en kijken we naar de mogelijkheid om ook een Linux-desktop als virtuele ­machine in te zetten. Hiermee kunnen we dan de cliënten op de thin clients laten ­internetten, waarbij we toch het centrale beheer hand­haven. De thin client wordt dan op het ene moment gebruikt met Windows XP en op het andere ­moment met Linux. Verder komt de UZI-pas eraan die in de zorg gebruikt gaat worden voor ­authenticatie. De thin clients zijn hierop al voorbereid. De VDIoplossing zal naar verwachting breder binnen de ASVZ ingezet worden. Ondertussen hebben vier andere stichtingen ­binnen de Carante Groep aangegeven de oplossing ook te willen toepassen. Nu zijn er van de vijfduizend werkplekken ongeveer driehonderd met een VDI/IGEL-oplossing, maar dat zullen er dus zeker meer gaan worden.” ■

www.netopus.nl

27

Feature

‘Crisis­laptops’ Leuk voor thuis, zakelijk af te raden

We weten dat veel apparatuur uit de thuiswereld uiteindelijk ook de zakelijke markt betreedt. Wat gebeurt er als het gadget van 2009, de netbook, wordt meegenomen naar het bedrijf om er vervolgens zakelijk op te werken? Een kort praktijkonderzoek door NetOpus. Marcel Beelen

I

n 2008 en 2009 was de netbook een waar verkoopsucces. De grote stijging van het aantal verkochte laptops wordt dan ook deels veroorzaakt door de netbook. De netbook is helemaal gericht op de thuismarkt, hoewel sommige fabrikanten het ­apparaatje ook geschikt vinden om bijvoorbeeld in het vliegtuig tijdens lange reizen mee te werken. Als de netbook echter de zakelijke markt betreedt, krijg je als beheerder met een flinke uitdaging te worstelen.

Compacte laptop Netbook is een samenstelling van ‘interNET noteBOOK’. Echte specificaties voor ‘dé netbook’ bestaan niet. Netbooks hebben vaak een scherm tot 10 inch met een lage resolutie (1024 x 600 pixels), een harde schijf of sdd, een trage maar energiezuinige processor (Intel Atom, Freescale Arm, AMD Yukon of Via C7-M tot 2 GHz) en een gewicht van ongeveer een kilo. ­Omdat ze als internetwerkplek worden verkocht, zijn ze meestal voorzien van een webcam en microfoon, Bluetooth en WiFi. Als besturingssysteem zagen we vaak een Linux-variant, maar sinds kort heeft Windows 7 Home Premium die markt overgenomen en begint Linux

28

NetOpus 6 November 2010

een beetje uit beeld te raken. Wij werkten met de HP Mini 5102, die past in deze beschrijving. Deze netbook heeft een Atom N450 dualcore processor op 1,67 GHz en 2 GB ­geheugen en de grafische mogelijkheden worden verzorgd door een ­Intel Graphics Media Accelerator 3150 (met gedeeld geheugen). De Western ­Digital harde schijf biedt je 250 GB aan opslagruimte. De HP Mini 5102 wordt ­geleverd met Windows 7 Home ­Premium erop geïnstalleerd. Uiteraard heeft de netbook een 2 MP webcam, WiFi, Bluetooth, een sd-cardreader en een aansluiting voor een Kensington Lock. Bijzonder is dat deze netbook ook een aanraakscherm bevat. Het toetsenbord tikt lekker en voelt een beetje aan als dat van een MacBook. Het systeem doet lang met een acculading, zeker als je er een beetje slim mee omgaat. HP gebruikt het woord Mini voor deze netbook, maar verwar dit niet met mini-laptop. Dat is een volwaardige snelle laptop, die bijna net zo licht en compact is, maar een veel hogere prijs heeft.

Neem de tijd Het grootste technische verschil tussen de netbook en de mini-laptop is de

performance. Als je de netbook voor de eerste keer aanzet, moet Windows worden geconfigureerd, zoals je dat gewend bent op de meeste nieuwe pc’s. Dit duurt op de netbook eeuwen. Ons testmodel was bijna twee uur bezig om Windows te configureren, alvorens we het apparaatje konden gebruiken. Als alles is geïnstalleerd en geconfigureerd, duurt booten tot aan het inlogscherm ongeveer 35 seconden. Het moment van inloggen totdat WiFi beschikbaar is, duurt nog eens 55 seconden. De ervaring die je krijgt bij het werken op de netbook, is dat het allemaal wel wat sneller mag. Internet Explorer starten duurt tien seconden, maar als je een grafische webpagina moet laden, duurt het heel veel langer. De menu’s in het startmenu worden heel langzaam opgebouwd, de eerste keer na het booten. Microsoft Word starten duurt ook twintig seconden. Multitasken is al helemaal ondoenlijk. Als je dan kijkt wat de beperkende factor is, dan blijkt vooral de processor het heel zwaar te hebben. Zelfs als je niets doet, is het systeem druk bezig. Tijdens het opstarten van Internet ­Explorer gaat de processor naar honderd procent en als er Flash op de webpagina staat, blijft de proces-

‘Crisislaptops’

sor ook op honderd procent staan. En dan hebben we de bijgeleverde McAfee nog niets eens in gebruik ­genomen, noch de geïnstalleerde HP Protect Tools. Met deze laatste kun je ­bijvoorbeeld de harde schijf versleutelen of inloggen met gezichtsherkenning. Het is wel slim dat HP dit soort zakelijk relevante beveiligingstools meelevert, maar het werkt op een toch al traag systeempje nog eens extra vertragend. De beperking van de netbook is al snel duidelijk.

Vinger op het scherm Die apparaten hoeven niet goedkoop te zijn met prijzen van honderdvijftig tot meer dan vijfhonderd euro. De HP Mini 5102 netbook, die door HP aan ons beschikbaar is gesteld, kost ongeveer vijfhonderd euro. De prijs wordt mede bepaald door de robuustheid van het apparaat en het aanraakscherm. Als je eenmaal gewend bent aan een aanraakscherm in een netbook, blijkt dit toch wel handig. Het biedt je een extra methode om Windows te bedienen en dat is goed tegen RSI. Het ligt ook heel erg voor de hand om in een dialoogvenster met een vinger op je scherm te tikken in plaats van met de muis op de knop OK te klikken. Windows 7 zelf - men denke aan de menu’s - is moeilijker met je vingers te bedienen. Daarvoor is het allemaal een beetje klein op het schermpje van de netbook.

In je bedrijfsnetwerk Wat betekent het als je als IT-afdeling netbooks moet gaan ondersteunen? Laat je medewerkers tijdens dienstAfbeelding 1: Vroege slate computer

reizen op hun privé-netbook werken, dan zul je ervoor moeten zorgen dat ze aan minimale beveiligingsrichtlijnen moeten voldoen. Je wilt voorkomen dat bedrijfsgegevens in verkeerde handen vallen. De netbook van HP kan out-of-the-box voldoende worden beveiligd. Dit is echter wel een persoonlijke verantwoordelijkheid van de medewerker die eigenaar is van het apparaatje. Je zou daarom kunnen besluiten als bedrijf netbooks voor je medewerkers aan te schaffen, maar of dat zo verstandig is, is vers twee. Voor aanmerkelijk betere beveiliging, beheer en standaardisatie is het slimmer wat meer geld uit te geven voor een laptop of mini-laptop. Die heeft ook wat performance over, zodat multitasken mogelijk is (Word gebruiken, Outlook openen, Internet Explorer openen en gebruiken) en aanvullende agents die je binnen je bedrijf nodig hebt de performance niet nog meer omlaag te brengen (agents voor remote beheer, agents voor vpn’s) samen met andere achtergrondprocessen.

BYOC-projectjes Maar wat doe je als een medewerker zijn privé-netbook meeneemt naar het bedrijf en wil worden aangesloten op het netwerk? Als het binnen je bedrijf is toegestaan eigen apparatuur mee te brengen - wat de komende jaren meer en meer zal worden gedoogd gezien de opkomende BYOC-projectjes - kun je de netbook toestaan op je netwerk. De netbook bevindt zich echter niet in een beheerraamwerk waarbij je op afstand beheertaken kunt uitvoeren en is daar ook niet geschikt voor als ­gevolg van de thuisversie van Windows 7. Je zult iets moeten bedenken om de apparaten te beveiligen en beheren. Je kunt echter ook besluiten de netbooks niet te ondersteunen en ze draadloos op een apart Vlan aan te sluiten, wat alleen toegang biedt tot Remote Desktop Session-hosts, XenApp-servers of VDI-omgevingen. De netbook wordt dan gebruikt als een - niet door de ITstaf ondersteunde - thin client.

De netbook is niet zo’n bijzondere thin client. Ook nu spelen het kleine scherm en toetsenbord je parten. Het bedienen van een VDI-gebaseerde desktop of een sessie op een Remote Session Desktop-host blijft behelpen. Ook moet je geen wonderen verwachten van de grafische snelheid. Het scrollen door documenten of webpagina’s of werken met enige vorm van ­graphics - zelfs een eenvoudige afbeelding in PowerPoint - blijft haperend. Op de netbook worden lang niet alle presentatieprotocollen ondersteund en op een enkele netbook draait zelfs geen enkele remote desktop-client, omdat de netbook een niet-Intel-processor en Linux draait. Tel daarbij op het gebrek aan beheersoftware om de netbook‘thin clients’ te beheren en de conclusie is niet zo ingewikkeld: een netbook als thin client is mogelijk, maar alleen voor incidenteel gebruik en eenvoudige taken zinvol. En eigenlijk is deze conclusie dezelfde voor de netbook als ‘laptop’: handig voor bepaalde rollen in je bedrijf, maar alleen voor incidenteel gebruik en eenvoudige taken.

Slate computer Je moet als bedrijf nadenken of een netbook toegevoegde waarde heeft naast echte thin clients, desktops, laptops en smartphones. De netbook is immers een uitgeklede en verkleinde laptop. Maar als aanraakschermen meer gangbaar worden en we het besturingssysteem en de applicaties beter met de vingers kunnen ­bedienen, doordat ze er speciaal voor zijn ontwikkeld, dan verandert de situatie. Maar wacht eens even, hebben we het dan niet over een ‘grote smartphone’ of de Apple iPad? Misschien is de toekomst voor de netbook wel weggelegd als slate computer. Slate is Engels voor leisteen, en de naam ‘slate computer’ is afgeleid van het leistenen tekenbord van vroeger. Het magnetisch tekenbord (Afbeelding 1) was de eerste verschijningsvorm van de slate computer. Zo komt de crisislaptop, zoals we de netbook noemen, aan zijn einde. ■

www.netopus.nl

29

Marketwatch

Shaken and stirred Desktop-virtualisatiemarkt anno 2010 Als je als beheerder servers virtualiseert met vSphere en applicaties aanbiedt met XenApp, heb je misschien niet direct in de gaten dat de markt letterlijk continu in beweging is. Misschien werk je zelfs nog wel met een enkele GSX Server, Presentation Server, Thinstall of SoftGrid, de oude versies met nog de oude productnamen. De dagelijkse werkdruk om de boel operationeel te houden gaat immers voor. In een jaar tijd is er weer veel veranderd. marcel beelen

E

lke maand wordt er stevig in de markt geroerd en worden producten door elkaar geschud: producten worden samengevoegd, gaan op in suites of veranderen van naam. Kleinere virtualisatiebedrijven gaan ten onder of worden overgenomen door grote ondernemingen. En dan vergeten we voor het gemak maar even de vele strategische allianties die maandelijks worden aangegaan. ­Bovendien moeten we ons afvragen wat de desktopvirtualisatiemarkt nu precies is, want de bedrijven verbreden elk jaar hun blikveld. Exacte getallen over de adoptie van desktopvirtualisatie ontbreken. ­Organisaties die ermee beginnen en de pers halen, lijken - uitzonderingen daargelaten - toch op kleinere schaal te beginnen en VDI als aanvulling te gebruiken naast allerlei andere oplos-

30

NetOpus 6 November 2010

singen, inclusief traditionele fat clients. Desktopvirtualisatie is veelal een tactische oplossing en wordt lang niet altijd strategisch ingezet, wat ook logisch is, want nieuwe technologie begint veelal op tactisch niveau. Het aantal verkochte licenties van desktopvirtualisatieproducten is geen maat voor de adoptie van de technologie. Slimme upgrade-licenties zorgen ervoor dat er veel meer licenties zijn verkocht dan er daadwerkelijk zijn geïnstalleerd. Maar als je gedeelde bureaubladen op ­Remote Desktop Services meetelt binnen de VDI-oplossing - wat eigenlijk wel logisch is -, dan is Citrix de absolute marktleider. VMware, Microsoft en Citrix bieden samen natuurlijk het merendeel van de gangbare virtualisatieproducten aan en geven de markt richting. Ze zijn flink in beweging. De focus ligt bij alledrie erg

op de voornaamste uitdagingen van desktopvirtualisatie: offline gebruik van VDI, applicatie-provisioning en grafische versnelling van de algehele pcervaring tijdens het werken met VDI.

VMware In januari kondigde VMware aan Zimbra over te nemen van Yahoo!. Het gaat om software voor e-mail en collaboratie in de cloud. In augustus heeft dat geleid tot een VMware Zimbra Collaboration Suite Appliance, een virtual appliance voor vSphere. VMware stapt hiermee de wereld binnen van ‘productiviteitapplicaties’ voor eindgebruikers in het kantoor. Citrix begeeft zich eigenlijk ook al enkele jaren op deze markt, met de diensten van Citrix Online (GoToMyPC en dergelijke). Verder heeft VMware dit jaar software en kennis over te nemen

Desktop-virtualisatiemarkt anno 2010

van moederbedrijf EMC (Ionix). Bij deze koop hoort ook Fastscale dat door EMC ­vorig jaar is overgenomen. ­VMware heeft RTO Software gekocht, vooral om het gat van user workspace ­management te vullen, dat in de meeste VDI-omgevingen nog vaak voor hoofdpijn zorgt. Het vorig jaar door VMware overgenomen SpringSource, nu een divisie van VMware, heeft dit jaar zelf Rabbit Technologies opgekocht (heeft een open source messaging systeem) en GemStone Systems (doet in enterprise data management). In augustus heeft VMware aangekondigd Integrien over te nemen, een ­bedrijf dat in real-time performance kan meten en analyseren. Verder neemt VMware ook TriCipher over, dat zich bezighoudt met enterprise identity federation voor Software as a Serviceof SaaS-applicaties. In september kwam VMware View 4.5 op de markt, VMwares product voor desktopvirtualisatie. Het bouwt voort op bestaande technologieën van het datacenter als vSphere en vCenter en maakt ­gebruik van ThinApp voor applicatiestreaming. Er wordt gebruikgemaakt van het RDP-protocol van Microsoft of van het Teradice PCoIP-protocol voor grafische versnelling. De clients moeten het gekozen protocol uiteraard ­ondersteunen. View 4.5 ondersteunt het ‘meenemen’ van de virtuele desktop dankzij de zogenoemde Local Mode, waarbij de virtuele machine gaat draaien op een lokale type-2 hypervisor. In View is verder vShield Endpoint opgenomen waarmee je de virtuele machines niet elk hoeft te voorzien van de (vaak zware) antivirussoftware. Profile management ontbreekt in deze versie van View nog, dus de spin-off van RTO sofwares product heeft View 4.5 blijkbaar net niet gehaald.

Citrix Citrix doet al bijna twintig jaar in VDI met XenApp, tenminste als je gedeelde bureaubladen als sessie meetelt met VDI. XenDesktop is in eerste instantie naast XenApp gepositioneerd. In 2008

concludeerden we in NetOpus al dat dit niet de definitieve aanpak kon blijven. Gelukkig is nu XenDesktop wel geïntegreerd met XenApp en maakt het gebruik van dezelfde ­infrastructurele services. XenDesktop doet aan provisioning van workloads, bevat applicatie-streaming en -virtualisatie voor eindgebruikerapplicaties en gebruikt een eigen protocol - het bekende en snelle ICA-protocol - dat tegenwoordig vaak als HDX wordt aangeduid, omdat er tientallen grafische versnellingsmogelijkheden aan zijn toegevoegd. Deze hebben echter lang niet allemaal direct met ICA te maken, maar ook met vernuftige server- en client-gerelateerde tools en instellingen, dus we moeten spreken van HDX-technologie en niet van het HDX-protocol. XenDesktop kan gebruikmaken van Citrix XenServer - maar Hyper-V of vSphere is ook ­mogelijk - als onderliggende hypervisor. XenDesktop 4 FP2 (Feature Pack 2) bevat XenClient als baremetal hypervisor voor op laptops om de ‘meeneem VDI-pc’ te realiseren. Echte integratie met XenDesktop is er nog niet en de hardware compatibility list is wat mager, maar met de ­release van deze component heeft Citrix wel VMware afgetroefd. XenDesktop ­bevat in de laatste versie ook XenVault voor encryptie van fysieke en virtuele ­machines op laptops. Klanten van XenDesktop mogen nu ook XenApp implementeren. Een belangrijk verschil is wel dat XenApp nu XenDesktop volgt en gebruikmaakt van named users - dit in tegenstelling tot het aparte XenApp-product dat met concurrent use-licenties werkt. Citrix heeft wel overnames gedaan, maar die hebben geen directe relatie met desktopvirtualisatie. ­Onlangs werden VMLogix, dat beheertools voor virtuele servers ontwikkelt, en Paglo Labs Inc., dat door de Citrix Online-divisie is geëvolueerd tot Citrix GoToManage, gekocht.

Microsoft Microsoft timmert nu flink aan de weg met Windows Server 2008 RD ­Remote

Desktop Services, dat ook voor VDI geschikt is, en met het RemoteFXprotocol voor grafische versnelling in Service Pack 1 dat een gevolg is van de overname van Calista in 2008. De sessiebroker uit Windows Server 2003 wordt nu als desktop broker ingezet voor zowel gedeelde sessies met ­Remote Desktop Services als voor het toekennen van virtuele machines. ­Onder water wordt natuurlijk Microsofts hypervisor Hyper-V gebruikt. De overname van Kidaro, ook in 2008, heeft uiteindelijk zijn weg gevonden in MED-V. Dat zou je kunnen beschouwen als een centrale beheeromgeving voor de gevirtualiseerde Windows XP-mode in Windows 7. Het functioneert als dusdanig als ‘meeneem’-pc en offline VDI, maar wellicht is dit ook weer een beetje te ver gezocht, want de integratie met Remote Desktop Services is verder nog niet aanwezig en de functionaliteit beperkt. Applicatiestreaming met App-V (overgenomen van Softricity) is nu inbegrepen in sommige cliëntlicenties en subscription ­advantages om het toegankelijk te ­maken toe te voegen in de Microsoft VDI-oplossing. En niet vergeten: bijna alle gevirtualiseerde desktops draaien Windows XP of Windows 7 en vereisen een Microsoft VDA-licentie voor pc’s zonder Software Assuranceabonnement.

Slagveld VMware en Citrix vechten tamelijk agressief om marktleider te worden - in het bijzonder op de desktopvirtualisatiemarkt (maar ook op de servervirtualisatiemarkt) - om potentiële klanten van elkaar af te snoepen en nieuwe klanten binnen te halen. Citrix heeft hiervoor de handen ineengeslagen met Microsoft. Ze zijn samen hernieuwd ten strijde getrokken tegen VMware. Onder het motto Rescue for ­VMware VDI kun je maximaal vijfhonderd ­VMware View-licenties gratis inruilen voor even veel Microsoft VDI Standard Suite subscription en Citrix XenDesktop VDI Edition annual licenses. Een

www.netopus.nl

31

Marketwatch

tweede actie is de VDI Kick Startactie die korting op ­licenties biedt. De ­gezamenlijke virtualisatie-roadshow van Citrix en Microsoft heeft al meer dan zevenduizend bezoekers getrokken. Op dit ­moment lopen er twee nieuwe campagnes die een uitbreiding vormen op de VDI Kick Start, waarbij Citrix, Microsoft en HP je samen helpen met licenties en diensten om VDI te implementeren: VDI Ignite en VDI Activate. HP heeft overigens ook een strategische alliantie met VMware en bijvoorbeeld Dell handelt eveneens in zowel VMware- als Citrix-oplossingen. Ook Cisco is een desktopvirtualisatiepartner van Citrix, maar het bedrijf is tevens partner van ­VMware en concurreert zelfs direct met de Citrix Onlinedivisie (Cisco WebEx). Fabrikanten van servers en access devices willen niet op één paard wedden en het is begrijpelijk dat ze Citrix, Microsoft én ­VMware ondersteunen. Jaarlijks wordt een dikke acht miljoen servers verkocht. Maar elk jaar gaan ook driehonderd miljoen pc’s over de toonbank. De installed base van ­zakelijke pc’s wordt geschat op zeshonderd miljoen stuks. Als van deze pc’s de komende jaren slechts vijf procent virtueel wordt, dan zijn dat nog altijd dertig miljoen virtuele werkplekken en dus dertig miljoen licenties voor desktopvirtualisatie. Ter vergelijking: Citrix XenApp heeft een installed base opgebouwd van ruim honderd miljoen gebruikers. Uitgaande van een concurrent use van één op vier zijn dit 25 miljoen licenties. Een hoeveelheid van dertig miljoen virtuele desktops betekent enorme aantallen server- en client-licenties, onderhoudscontracten, back-office (blade-) servers, opslagsystemen, ­hypervisors, opleidingen en niet te vergeten diensten. En als op al deze dertig miljoen werkplekken thin clients zouden gaan worden gebruikt, zijn daarmee meer thin clients verkocht dan de totale ­wereldwijde installed base van thin clients sinds de uitvinding ervan in 1995! Flink vechten voor zelfs een klein per-

32

NetOpus 6 November 2010

centage virtuele desktops loont voor elke betrokken fabrikant en ontwikkelaar al de moeite.

Oracle Maar er is meer gaande in de desktopvirtualisatiemarkt. Met de overname van Sun vorig jaar wordt Oracle plotseling een stevige partij in virtualisatieland met Solaris Containers, Sun Ray-software, Secure Global Desktop, Sun Ray thin clients en niet te vergeten VirtualBox. Oracle, dat zelf al Oracle VM Server en VM ­Manager aanbood, heeft veel virtualisatiepotentie, maar op de één of ­andere manier komt dit nog niet goed uit de verf. Het heeft ­alleen in 2010 al zeven overnames gedaan en is het grootste softwarehuis ter wereld – groter dan Microsoft – qua aantal medewerkers.

Quest Quest, die je in eerste instantie misschien hebt leren kennen door vWorkspace (dankzij de overname van Provision Networks), heeft een portfolio van honderden softwareproducten voor beheer en virtualisatie. Het desktopvirtualisatieproduct werkt met een eigen presentatieprotocol (EOP). ­Onlangs heeft Quest het bedrijf Surgient overgenomen, dat cloud Lab Management biedt (te vergelijken met de laatste overname van Citrix). Het probleem met Quest is dat het misschien wel te veel softwareproducten aanbiedt. Nog even los van de vraag hoe goed ze wellicht zijn en hoeveel tevreden klanten er zijn: er zijn weinig bedrijven die zeggen: “Wij werken strategisch met Questsoftware.” Er zijn wel veel organisaties die dat zeggen over Citrix, VMware en ­Microsoft. Deze drie maken veel meer ­structureel deel uit van de IT-blauwdruk van organisaties en bieden een platform. Quest doet in ‘beheeroplossingen voor IT’.

Intel Intel heeft in de processors ondersteuning ingebouwd voor hardware

assisted virtualisatie. Veel virtualisatieproducten maken daar gebruik van. Maar ook Intel laat nu de markt even schudden. Na de overname van McAfee nog niet zo heel lang geleden is nu Neocleus aan de beurt om in handen te komen van Intel, hoewel op de website van Intel noch Neocleus hier iets over is te vinden. Neocleus is naast Virtual Computer en MokaFive de enige nichespeler in de baremetal hypervisor-markt voor de client. Ook Citrix heeft sinds september een client-gebaseerde bare-metal hypervisor XenClient. Wat betekent het als een chipbouwer in antivirussoftware en hypervisors stapt?

Symantec De business van Symantec is anti­ virus, antispyware, endpoint security, backup en storage. Applicatievirtualisatie lijkt daar niet direct bij te passen. Maar Symantec beweegt zich richting SaaS, wat we ook kunnen zien aan de overname van MessageLabs in 2008. Symantec heeft in 2007 al Altiris overgenomen en het product SVS doorontwikkeld. Symantec Endpoint Virtualization suite bestaat onder meer uit: Symantec Workspace (een desktop connection broker, single sign-on, remote access en roaming printing), Symantec Workspace Streaming (streaming, provisioning, license ­management) en Symantec Workspace Virtualization (isolatie). Symantec heeft ook oplossingen voor de servicedesk met assset management.

Keuze te over Elke softwareontwikkelaar uit de terminal-server-wereld doet mee in de desktopvirtualisatie-race. Daarbij kun je denken aan ProPalms, 2X, Parallels en Ericom, die nu naast terminalserver-oplossingen ook VDI ondersteunen. Novell ken je wellicht van Suse Linux, ZENworks en PlateSpin en Red Hat van Red Hat Linux en JBoss. Beide partijen willen deelnemen aan de (desktop)virtualisatie-race met respectievelijk Novell ZENworks

Desktop-virtualisatiemarkt anno 2010

Application Virtualization (applicatievirtualisatie en -streaming) en Red Hat Enterprise Virtualization-Desktop (desktopvirtualisatie), dat gebruikmaakt van de KVM-­hypervisor en het Spice-presentatieprotocol en een Red Hat-desktopbroker. De ontwikkelaars die traditioneel addons maken voor terminal-servers, hadden vaak al een uitbreiding gedaan richting fat clients en ondersteunen nu virtuele werkplekken in VDI-omgevingen. Denk daarbij aan bijvoorbeeld ThinPrint en Uniprint, maar ook RES Software en AppSense. Dit is ­logisch, omdat de specifieke uitdagingen voor terminal-servers ook gelden voor VDI-werkplekken (die ‘persoonlijke’ terminal-servers zijn). Natuurlijk zijn er ook relatieve nieuwelingen die in VDI-projecten meedraaien, zoals het elders in deze NetOpus beschreven VirtualStorm-concept. Ook veel hardware­fabrikanten doen mee, waarbij de meest in het oog springende nog steeds HP is. Die levert blade-pc’s, thin clients en allerlei beheerproducten. HP heeft daarnaast een eigen desktopbroker genaamd HP PC Session Allocation Manager (SAM) en een HP PC Session Allocation Client op de thin client. De oplossing met bladepc’s van HP en blade-werkstations wordt de Remote Client Solution

­ enoemd. Grafische versnelling wordt g gedaan met het eigen RGS-protocol. Fabrikanten van opslag vormen relevante spelers bij elk desktopvirtualisatieproject, doordat storage (omvang en snelheid) een flinke uitdaging vormt. Zo komen NetApp - met zijn unieke ­deduplicatie- en snapshot-technologie - en EquaLogic (Dell) vaak op de shortlist te staan. Tot slot kunnen ook de tientallen thin client-fabrikanten niet achterblijven om VDI in de breedste zin van het woord te ondersteunen. De diverse desktopbrokers (VMware View, Citrix XenDesktop, Leostream en andere) worden toegevoegd in de firmware van de apparaatjes en de speciale presentatieprotocollen worden eveneens ingebed (ICA/ HDX, PCoIP, ALP, EOP, RGS en meer). Thin clients vormen als access device de beste oplossing om virtuele desktops te implementeren, dus als VDI op grote schaal aanslaat, is dat erg goed nieuws voor de thin client-markt. Er is één concurrent van desktopvirtualisatie die minder voor de hand ligt. Dat is de fysieke pc zelf, die wordt onderhouden door grote serviceorganisaties. Ze bieden ‘pc as a service’diensten aan voor de complete onsite pc-lifecyclemanagement voor een vaste prijs per pc per maand. Deze prijs per maand kan concurreren met

de prijs per maand voor een gehoste virtuele werkplek (DaaS).

Trend: end-points De focus komt steeds meer op de end-points te liggen: versleuteling, antivirussoftware, remote beheerde client-gebaseerde hypervisors (al dan niet bare-metal) en (tweeweg) authenticatie, Identity Management, workspace-management en -applicaties, en applicatie-provisioning. Het end-point bestaat in desktopvirtualisatieland uit twee componenten die beheer vragen: een end-point in het datacenter (de virtuele Windowspc), waarop je veilig wilt werken met allerlei applicaties, en een end-point op je werklocatie, het access device dat je enerzijds toegang biedt tot de virtuele werkplek en ­anderzijds zelf ook weer moet worden beheerd en van software-updates en applicaties moet worden voorzien. Ook de integratie van fysieke en virtuele end-points in de beheerraamwerken van grote organisaties is erg belangrijk. Op dit moment is het bijvoorbeeld nog nagenoeg onmogelijk om virtuele ­applicaties, gepresenteerde applicaties en virtuele end-points eenvoudig op te nemen in de asset-registratie en servicedeskmodule van je ITIL­beheerpakket. ■

Tabel 1 Feiten met betrekking tot enkele spelers op de markt

Medewerkers (circa)

Opgericht in

Omzet in miljoenen dollars (circa)

Quest

3.400

1987

695

Red Hat

3.200

1993

750

Novell

3.600

1983

860

Citrix

4.800

1989

1.600

VMware (EMC-divisie)

7.100

1998

2.000

Symantec

17.400

1982

6.200

EMC

33.000

1979

16.000

Oracle

105.000

1977

26.800

Apple

36.500

1976

43.000

Microsoft

89.000

1975

62.000

HP

304.000

1966

114.500

www.netopus.nl

33

Serie

Codenaam Parra Virtualiseren met Citrix XenApp deel 1 Zo om de twee jaar bekijken we de stand van zaken met betrekking tot het meest gebruikte applicatie delivery-platform van Citrix: XenApp. Medio 2008 bespraken we in het zomernummer van NetOpus de preview van XenApp 5, die officieel zou worden vrijgegeven in september 2008. Het wordt tijd de in maart uitgebrachte XenApp 6-versie eens onder de loep te nemen in dit eerste deel van een nieuwe serie. Marcel Beelen

A

ls je met Windows Server 2008 R2 wilt werken - het 64-bitsonly platform van Microsoft kun je de stap ook met XenApp maken, want de nieuwste versie van XenApp is geprepareerd voor het jongste 64-bits serverbesturingssysteem van Microsoft. XenApp 6 draait niet op Windows Server 2003 (32-bits/64-bits) of op Windows Server 2008 R1 (32-bits/64bits). Daarvoor moet je XenApp 5 ­gebruiken. Als je Feature Pack 3 voor XenApp 5 installeert, voeg je veel van de nieuwe mogelijkheden van XenApp 6 ook aan XenApp 5 toe. Feature Pack 3 voor XenApp 5 is tegelijkertijd met XenApp 6, oftewel Project Parra, vrijgegeven.

Belangrijk product XenApp, gerelateerde producten als XenDesktop en diensten leveren bijna 65 procent van de omzet van Citrix (bron: jaarverslag 2009). XenApp is dus een belangrijk product voor het bedrijf. Maar niet alleen voor Citrix is XenApp

34

NetOpus 6 November 2010

belangrijk. Dat geldt ook voor honderd miljoen gebruikers over de hele ­wereld die met XenApp 6 of voorlopers ervan werken. XenApp maakt strategisch deel uit van de ICT-infrastructuur van vele tienduizenden organisaties. Het product is na al die jaren tot een zeer volwassen product uitgegroeid. Begin 2010 is er een actie geweest waarbij klanten XenApp konden ­upgraden naar XenDesktop. Op dit moment loopt er nog een dergelijke actie tot 31 december. Hierbij ruil je al je XenApp-licenties in voor twee XenDesktop-licenties en bespaar je 75 procent. Ruil je slechts een deel van je XenApp-licenties in, dan krijg je voor elke XenApp-licentie maar één XenDesktop-licentie en bespaar je 65 procent. Of dit zinvol is, zul je van geval tot geval goed moeten doorrekenen. XenApp werkt op basis van concurrent use-licenties, maar na de upgrade heb je per named user of device licenties (ook voor XenApp als onderdeel van XenDesktop). Een direct gevolg van

deze acties is dat in het tweede kwartaal van 2010 circa zestig miljoen van de totale desktoplicentie-omzet van circa 290 miljoen door XenDesktop wordt behaald.

Versies van XenApp XenApp is te koop in een paar ­varianten. De instapversie is XenApp Fundamentals, voorheen Citrix ­Access Essentials geheten. Dit is de pure ­applicatiepresentatieoplossing naar traditionele werkplekken. Je ­bedient gepubliceerde applicaties op ­Windows-, Linux- en Mac-werkplekken. Volgens de handleiding worden ook smartphones en thin ­clients ­ondersteund, maar in de globale productvergelijking ontbreekt deze ­ondersteuning expliciet. Waarschijnlijk is het voor de doelgroep van dit instapproduct ook niet relevant. Load balancing wordt meegeleverd, zodat je twee servers in een farm kunt verbinden. Applicatie-streaming is niet inbegrepen en ook alle meer geavanceerde

Codenaam Parra

vers te installeren. Profile management (zie verderop) is alleen inbegrepen in de Enterprise-versie. De Platinum-editie biedt extra provisioning-services voor de XenAppservers. Je kunt hiermee één image onderhouden voor alle fysieke en virtuele XenApp-servers en zelfs de servers booten als ze geen harde schijf hebben. Maar ook Load Management (NetScaler), User experience monitoring (EdgeSight) en single sign-on (Password Manager) en Wan-optimalisatie (Branche Repeater) zijn exclusief voor de Platinum-versie beschikbaar. Op de website van Citrix download je de zeer uitgebreide ComparativeFeature-Matrix waarin alle opties per versie zijn beschreven en naast die van XenApp 5 en Presentation Server 4.5 en 4 zijn geplaatst.

Nieuwe clients en 64-bit

mogelijkheden die in grote omgevingen wel belangrijk zijn, ontbreken. Het product is ­bovendien gelimiteerd tot 75 gebruikers en draait in tegenstelling tot de grote broertjes op de 32-bit-versies van Windows Server 2008 R1 en niet op R2 en werkt ook niet samen met Active Directory Group Policy. Het is dus een echt mkb-product. De Advanced-editie van XenApp bevat wel applicatie-streaming, zodat je ook in staat bent offline applicaties aan te bieden. Naast applicatie-streaming van Citrix wordt ook Microsoft AppV ondersteund. Je kunt de omgeving zo configureren dat automatisch een gehoste applicatiesessie wordt aangeboden als streaming naar de lokale werkplek niet nodig is. De Enterprise-editie van XenApp ­ondersteunt naast alles van de Advanced-editie, ook Installation Manager. We kennen deze al een paar jaar. Je hebt deze in principe niet meer nodig, omdat streaming een slimmere ­manier is om applicaties op de XenApp-ser-

Om te beginnen is er ook gelukkig iets niet nieuw. Citrix heeft een beetje de reputatie om met elke versie van het product namen of de samen­ stelling van de componenten te ­veranderen. Met XenApp 6 is dat echter niet ­gebeurd en alles zal je bekend ­voorkomen als je al met XenApp 5 werkt. Dat maakt de overstap een heel stuk eenvoudiger, doordat je minder hoeft te wennen. Wat er wel nieuw is, is dat het product Windows Server 2008 R2 ondersteunt en hierdoor een 64-bit-platform is. Om de server-omgeving te bedienen ­gebruik je het beste de nieuwste ­clients op de access devices. De laatste Online Plug-in heeft versie 12 meegekregen; van de website download je op dit moment versie 12.0.3. De Citrix Online Plug-in is beschikbaar voor Mac, Linux en verschillende smart­ phones als Windows Mobile, Apple iPhone en Google Android, maar de exact beschikbare versies ervan verschillen per client-besturingssysteem. Er is ook een Citrix Offline Plug-in for Windows. Dit is de client die je nodig hebt als je applicatie-streaming wilt gebruiken en deze client zit op versie

6.0. Er is logischerwijze alleen een Windows-client. Citrix Receiver is ook een oude ­bekende. Het is een agent die je op werkplekken kunt installeren en die alle Citrix-clients kan aanbieden en onderhouden. Je zou het de Citrix Updatetool kunnen noemen die periodiek op een centrale server (de Merchandisingserver) kijkt of er nieuwe versies van de clients zijn, en zo ja die automatisch te downloaden en installeren. In het begin waren er nog nauwelijks plug-ins, maar nu beginnen ze voor de Citrix-producten los te komen en loont het dus de moeite de Merchandisingserver ook echt in gebruik te nemen. Met XenApp 6 is Citrix Receiver voor Android, ­Citrix Receiver 2.0 for Windows en Citrix Receiver 2.0 for Mac meegekomen. Citrix Receiver is ook in staat de App-V-agent te onderhouden. Je voegt die toe aan Merchandisingserver samen met een Citrix-component en daarna is App-V gereed voor download en onderhoud. Aangezien de Mac geen applicatie-streaming kent, is de vraag wat de receiver op de Mac dan nog meer onderhoudt dan de Online Plug-in, want de receiver voor één client is overkill. Welnu, er is onder meer ook een Secure Access Plug-in for Mac 1.2 (die je toegang biedt tot het netwerk via ssl-vln; het is dus de Access Gateway-client voor de Mac). Verder is er nu voor Windows een Wan accelerator receiver en een EasyCall voice ­services plug-in. Het laatste nieuws is dat ­EasyCall als product wordt stop­gezet bij gebrek aan brede belangstelling. Er zijn nog steeds access devices waar de receiver maar één plug-in heeft, maar als je de receiver toch gebruikt voor Windows access devices, is het beheergemak voor de andere apparaten mooi meegenomen.

Dazzle Citrix kondigde de applicatie‘webwinkel’ Dazzle in mei 2009 aan. Dazzle 1.1 wordt meegeleverd met XenApp 6, maar is ook los te down-

www.netopus.nl

35

Codenaam Parra

loaden. Je distribueert het met de ­Receiver. In Dazzle kun je gepubliceerde applicaties vinden en starten en met XenApp gestreamde en App-V-­applicaties downloaden en starten. Dazzle is er voor de Mac en voor ­Windows, maar op de Mac zijn de aangeboden applicaties beperkt tot gehoste applicaties op XenApp. Het klinkt misschien niet zo speciaal, naar het kon wel eens een gouden zet van Citrix zijn voor de toekomst. ­Dazzle kan uitgroeien tot een generiek frontend voor alle applicaties die een organisatie gebruikt (inclusief cloudapplicaties), met support voor single sign-on, license ­management, huren van applicaties en dergelijke. XenApp 6 vereenvoudigt applicatie­ beheer met AppCenter, een ­management-console waarmee alle applicaties centraal worden beheerd. AppCenter is de nieuwe beheertool voor XenApp en vervangt de Access Management Console (AMC) en de Advanced Configuration Tool (ACT). Veel beheerders zijn hier allang op aan het wachten, want het beheer wordt hierdoor consis­tenter. Je onderhoudt policy’s, applicatiezones, beheerders en dergelijke op één plek. De technologie van de nieuwe beheerconsole is de PowerShell DSK. Door middel van een uitbreiding van de Group Policy editor zijn de instellingen ook te maken met de Microsoft-tools en kun je dus Microsoft- en Citrix-policy’s eenduidig wijzigen als je dat wilt.

Profielen streamen Profile management maakt het mogelijk gebruikersprofielen als het ware te streamen gedurende het loginproces. Het effect ervan is dat het inloggen een heel stuk sneller oogt. Een deel van de profielinformatie kan zelfs in de achtergrond worden geladen nadat een gebruiker is ingelogd. Als profielinformatie verandert gedurende een sessie, wordt deze meteen bijgewerkt zonder dat je hoeft uit en weer in te loggen. Profile management is alleen beschikbaar in de Enterprise- en Platinum-

edities van XenApp. De isolatietechniek die wordt gebruikt om packages te maken die later worden gestreamd, ondersteunt vanaf XenApp 6 ook applicaties die zelf Windows-services meeleveren, zoals Adobes Creative Suite. De services kunnen dus mede worden geïsoleerd in het package. Nieuw in XenApp is HDX, de High Definition user eXperience. Dit is een marketingterm waaronder oude, maar ook nieuwe technologie is geschaard. We hadden al het ICA-protocol, dat zelf bijdraagt tot snelle applicaties en respons en allerlei SpeedScreen-instellingen die nu allemaal onder HDX vallen. In XenApp 6 komt daar HDX RealTimecollaboratie voor Office Communicator en VoIP-softphones bij, waarmee je lokale webcams kunt gebruiken op XenApp. Ook Microsoft Office Communicator draaiend op XenApp kan nu audio en video aansturen met de lokale microfoon en camera. Dit werkt alleen naar behoren op Lan-verbindingen, doordat er wel wat bandbreedte ­nodig is. HDX RealTime CD quality audio bevat nieuwe codecs die nog minder bandbreedte gebruiken en echo terugdringen bij het bellen met softphones en VoIP op de XenApp-server. HDX RealTime werkt alleen op Windowsclients en niet op Mac of Linux. Dan hebben we nog HDX Plug ‘n Play voor portable usb-apparaten, eveneens alleen op Windows access devices. Deze usb-apparaten zoals webcams, microfoons, digitale camera’s en scanners worden gedetecteerd op de ­client door een speciale device driver, die geïnstalleerd moet zijn op het ­access device, en worden doorgegeven aan de XenApp-server, waarop eveneens een device driver moet worden geïnstalleerd. HDX MediaStream wordt gebruikt om geluid en beeld vanaf de XenApp-sessie op het access device te tonen met goede kwaliteit. De truc hierbij is dat er wordt gebruikgemaakt van server-side rendering. Waar mogelijk, bijvoorbeeld voor Flash, wordt de content door-

gestuurd naar het access device om lokaal af te spelen (HDX MediaStream Flash Redirection, zoals we dit al kennen uit XenApp 5). Door HDX WAN Optimization, waarvoor je een Citrix Branch Repeater apart moet aanschaffen, gebruik je minder bandbreedte voor video en ­geluid over tragere verbindingen, vooral doordat data worden gecached in elk nevenkantoor. Bij de Platinumeditie van XenApp krijg je de licentie hiervoor meegeleverd. Er zijn nog een paar technieken die de beleving van het werken met XenApp verbeteren. Je kunt op een access device diverse beeldschermen aansluiten en deze vanuit een XenApp-sessie beide aansturen in 32-bit-kleur. Werk je met Windows 7 op het access ­device, dan worden smartcards volledig ­ondersteund voor het authentificeren en inloggen in sessies, smoothroaming en dergelijke. Direct X/DirectX3D wordt ondersteund voor applicaties die 32bit kleur nodig hebben en de sessie gebruikt toch maar de bandbreedte die voor 24-bit kleurdiepte nodig is.

eDocs Er worden geen pdf-handleidingen meer geleverd, maar er is een web­ omgeving gemaakt: eDocs. Op elk niveau in deze documentatiestructuur kun je zelf recursief een pdf laten ­maken, om zo precies die handleiding te genereren die je dan ­nodig hebt. Je hebt binnen eDocs de gehele documentatie bij de hand, zonder allemaal losse pdf’s op te hoeven zoeken. Zo is XenApp onderdeel geworden van een totale documentatieset. De AppCenter management console, policy-verbeteringen, Dazzle, nieuwe clients, profielbeheer, de mogelijkheid om services te isoleren en streamen en enkele HDX-toevoegingen alsmede Windows 7- en Windows Server 2008 R2-ondersteuning zijn de voornaamste vernieuwingen in XenApp 6. Ze zijn voldoende om de migratie naar 64-bit en Windows Server 2008 R2 te motiveren als businesscase. ■

www.netopus.nl

37

Serie

Exchange in de wolken

Nutsvoorzieningen uit de cloud deel 1 In deze special ligt de focus op allerlei delivery-modellen vanaf de centrale server­ruimte naar de eindgebruikers. Maar ook het begrip ‘centrale server’ kent schuivende grenzen. Heel wat taken die enkele jaren terug kernfunctie voor jouw beheerdersidentiteit waren, kunnen nu in de cloud plaatsvinden. Dat gebeurt dan totaal transparant voor de gebruiker en met behoud van de interne aanspreekpunten. Groupware is een mooi voorbeeld, en Exchange illustreert de kracht en de beperkingen van cloud-delivery. Erik de Ruijter

E

xchange via de cloud, maar ook de andere nutsvoorzieningen waarover we het in deze nieuwe serie gaan hebben, zijn een mengvorm van SaaS en IaaS (zie kader). Ze worden ook wel als shared services in een aparte categorie ingedeeld. Het zijn standaardfuncties die door diverse klanten worden gedeeld, maar bepaald geen gewone webtoepassingen. De geboden functies zijn veel technischer en kennen ook specifieke infrastructurele protocollen.

Exchange Server MS-Exchange, de welbekende marktleider in e-mail- en kalenderfuncties, kent zowel serverconcurrenten-mettevens-cloud zoals IBM/Lotus, Novell GroupWise en Oracle/Sun ­Messaging Server als ook pure cloud-concurrenten à la Google Apps. Hoewel ­Microsoft Exchange oorspronkelijk ook voor meer workflow- en publishing­gerichte ­zaken positioneerde met ­onder meer public folders, bloeide al snel een symbiotische relatie op met het iets later ontstane Share-

38

NetOpus 6 November 2010

de belangrijkste cloud-modellen Dit is de laatste NetOpus van dit jaar, maar ook in 2011 gaan we je verder ­informeren over opties om klassieke systeemfuncties naar de cloud te verplaat­ sen. Een goed begrippenkader is daarom onmisbaar. De belangrijkste definities in de markt zijn: ● SaaS oftewel Software as a Service. Kenmerk is een totale standaard­ applicatie, gedeeld neergezet voor vele klanten, en via het web benaderbaar. Schoolvoorbeeld is salesforce.com. De vuistregel wanneer SaaS wel en niet zinnig kan meedoen, ligt primair bij de gebruikers en niet de beheerders. Als zo’n applicatie functioneel opweegt tegen een intern gehost pakket, bovendien goed omgaat met inherente cloud-beperkingen (latency en bandbreedte), en goedkoper is dan de interne spullen, dan kun je het gerust doen. Eis is echter wel een zuivere vergelijking. In de kosten van de cloud-applicatie moeten ook alle minimaal vereiste interfaces die je bij interne hosting zou gebruiken, inclusief bijvoorbeeld single sign-on vanuit je eigen Active Directory, worden meegerekend. ● PaaS oftewel Platform as a Service. Hier levert de cloud-provider slechts een applicatieserver plus ontwikkeltools; je bouwers blijven binnen de apigrenzen bouwen en ze runnen hun eigen producten, maar het hele runtimebeheer is netjes uitbesteed. Schoolvoorbeelden zijn Google AppEngine en Microsoft Azure, hoewel die tweede ook enige IaaS-opties kent. ● IaaS, dus Infrastructure as a Service. De provider levert slechts basale zaken zoals een hypervisorlaag, en de hele servertaak is van jouw eigen klant­ organisatie. Amazon Elastic Cloud 2 is een goed voorbeeld. Hierbinnen kun je ongelimiteerd virtuele machines onder Linux en Windows laten instantiëren en weer stoppen en per gebruikte server­capaciteit afrekenen.

Exchange in de wolken

Afbeelding 1 Architectuurschema van HMC-deployment

Point. Deze ­publishing- en workflowomgeving integreert op veel vlakken met ­Exchange. Het in de cloud plaatsen van SharePoint is min of meer standaard SaaS en daarom voor deze NetOpus-serie minder relevant. We concentreren ons op Exchange met natuurlijk daarbij de altijd in het Lan of op telewerkplekken draaiende Outlook als client. En net als bij SaaS is er een aantal ­algemene pro’s en contra’s voor lokaal versus cloud, die we niet en detail beschrijven, omdat ze uit de context wel blijken. Lokale ­applicaties gaan op basis van ingekochte hard-

ware en licenties die daarna slechts jaarlijkse onderhouds- en beheerkosten kennen, en waarover je als klantorganisatie ‘totale controle’ hebt. Cloud-applicaties werken op ­basis van abonnementsprijzen. Er is altijd een standaardproduct, al kun je soms enige flexibiliteit in de service - en controle op delen daarvan - bedingen. Door dit model is ook de time-to-­market sneller dan bij lokale applicaties. Het hele server-inrichtingsproces sla je over, want dat doet de cloud-provider uit de kraan. Technisch is er weinig bijzonders

aan het verplaatsen van de centrale ­Exchange-serverfunctie naar de cloud. Je Outlook-clients krijgen een ander server-adres geconfigureerd; en indien je een http-proxy hebt, is het beter die zo in te stellen dat hij het cloud-verkeer simpelweg doorlaat in plaats van ­ertussen te gaan zitten. De technische communicatie vindt plaats met het Outlook Anywhere-protocol, functioneel vergelijkbaar met het oude Mapi Lan-protocol en gebaseerd op https. Van de cloud-latency zullen je eindgebruikers weinig last hebben, want Outlook draait gewoon lokaal. De cloud-bandbreedte kan wel een rol spelen. Zeker in situaties met attachments raden de leveranciers aan om Outlook met local cache te configureren. De mail wordt dan in de achtergrond binnengehaald en is op moment van dubbelklikken direct beschikbaar. Zonder local caching zou bijvoorbeeld het openen van een 2 MB-plaatje, dat op het Lan in twee seconden ­binnen is, zeker vijf à tien seconden kunnen duren vanwege de beperkte ­internetbandbreedte. Caching lost dit ­inderdaad goed op, maar legt zelf de lat weer hoger voor de elders in deze special besproken desktop­deliverymodellen zoals Terminal Services of VDI. Er wordt nu immers op de ­delivery-server een aanzienlijke en verplicht snelle persoonlijke ruimte geëist voor Outlook.

Drie diensten Op de markt zijn drie soorten cloudservices op basis van Exchange, nog even los van de geboden Exchangeversie. De eerste dienst is Hosted

Afbeelding 2 Architectuur Interconnect Hosted Exchange

www.netopus.nl

39

Exchange in de wolken

Tabel 1 Kernfuncties van Exchange-hostingconcepten Antimalware

Forefront

Forefront

Antispam

Forefront

Forefront

Data Loss Prevention

2007: geen m.u.v. chaining soms met gebruik IRM 2010: deels via api 2007: alleen EHA 2010: basisniveau standaard, EHA extra 24 x 7, hardware dubbel

Velen, zie tekst voor beperkingen

Archiving

SLA Dubbele rekencentra? User restores

Ja Binnen 14 dagen, vanuit Dumpsterfolder Hele mailbox: via request binnen 30 dagen

Velen IC: Ironport Velen IC: Ironport Velen doch altijd beperkingen IC: geen optie

Geen

Soms IC: geen

24 x 7, hardware dubbel

Varieert IC: 24 x 7, alle hardware dubbel Soms (IC: in 2011) Varieert IC: Via service request (tot op item in mailbox) binnen 2 maanden

Soms Vanuit Dumpster, termijn varieert

Messaging & Collaboration (HMC, zie Afbeelding 1). Dit is een service van een third party, zoals in Nederland InfoSupport en IS Internet, gebaseerd op een vrij diepgaande set templates van Microsoft bovenop Exchange, SharePoint, Office Communications (chat) en LiveMeeting (videovergaderen). Gedurende een aantal jaren was dit hét Microsoft-antwoord op onder meer Google Apps. Sinds Microsoft zelf cloud-provider is geworden met zijn Exchange Online en de suite-aanbieding Business Productivity Online Suite, is HMC non-strategisch verklaard. Er zal ook geen op ­Exchange 2010 gebaseerde versie meer komen. In de praktijk zullen providers die nu HMC aanbieden, ofwel opschuiven naar het third party-model ­ofwel de klanten helpen migreren naar ­Exchange Online, waar ze dan zelf mogelijk nog diensten naast of ­bovenop gaan aanbieden. Microsoft ondersteunt dat third party-model wel degelijk, onder meer met het recente Exchange 2010 Service Pack dat multitenant hosting biedt.

­ eavanceerde backup- of mailboxg maatwerktools inzetten. Als voorbeeld gebruiken we de toonaangevende provider Interconnect uit Den Bosch (zie Afbeelding 2). Tot slot noemen we Exchange Online, het toekomstvaste Microsoft-platform, dat momenteel is gebaseerd op ­Exchange 2007 (en min of meer op de HMC-templates). Er komt natuurlijk een 2010-versie aan. Zie ook het verhaal in NetOpus 1 van dit jaar met praktijk­ ervaringen op Exchange Online. Let wel: naast deze ‘technische SaaS’oplossingen, Exchange en BPOS biedt Microsoft natuurlijk meer cloud-diensten. Azure was al eerder genoemd als populaire PaaS-optie, maar ook enkele Forefront-modulen zijn apart te ­betrekken als gedeelde nutsvoorziening-service van Microsoft, voor de hele spam- en viruscheck voor mail van en naar een intern gehoste mailserver van een willekeurig merk. Je ziet de kenmerken van deze drie diensten in Tabel 1. Daarna gaan we dieper in op de twee toekomstvaste modellen met de voorbeeldproviders.

Third party

Minder flexibel

De tweede dienst is third party. Hier wordt Exchange (alsmede eventueel andere MS-groupware) gebruikt, maar de hele tooling eromheen is gekozen door deze provider. Zo kan hij bijvoorbeeld de Forefront-beveiliging in HMC vervangen door populaire concurrenten als Norton of McAfee, of meer

De verhouding tussen een centrale cloud-oplossing door Microsoft zelf en de decentrale aanbiedingen van de Microsoft-partners kun je je enigszins voorstellen: massieve standaardisatie versus klantgerichte flexibiliteit. Om de cloud-prijs laag te houden móet ­Exchange Online wel de flexibiliteit

i­nperken, en dat kan bij veel klanten passen, maar zeker niet bij allemaal. Daarnaast heeft een bedrijf altijd ­andere providers nodig zoals ISP en ASP, en het afnemen van de e-maildienst van deze provider kan weer synergie opleveren qua klantsupport en prijsstelling. Zo doet Interconnect ook zaken als colocatie, webhosting, hosted VoIP en cloud-firewall plus cloud-backup. Om nog een paar voordelen van third party-oplossingen te geven: alle addons bovenop Exchange zijn flexibel door de provider - soms samen met de klant - te kiezen, en kunnen ­geschikter worden bevonden dan de Forefront security en de backup­ tooling van het Microsoft-aanbod. Maar ­Exchange ­Online kent ook unieke voordelen, nog los van de prijsstelling. Qua schaalbaarheid en SLA is het niet snel te verslaan, en in het algemeen zal Microsoft een nieuwe Exchangeversie ook ­online gaan leveren op een ­voorspelbaarder tempo dan de individuele partners. Vervolgens nog wat meer informatie over wat in de tabel is samengevat over het algemene third party-model. Interconnect wordt in de meeste ­tabelrijen als voorbeeld gegeven in het stukje beginnend met ‘IC:’. Het bedrijf zit met zijn cloud-dienst nog niet op Exchange 2010, evenmin als Exchange Online overigens, maar is wel serieus bezig met een upgrade hiernaartoe. ­Interconnect gebruikt (Cisco) IronPort

www.netopus.nl

41

Serie

als malware-filter, en dat is zelf weer een appliance waarop diverse filterengines in combinatie kunnen worden gebruikt, bijvoorbeeld Sophos en McAfee. Ook de restore-opties voor gewone mail zijn krachtiger dan het Microsoft-aanbod van de plank. Daar staat tegenover dat Microsoft qua ­archiving (nu en zeker bij de 2010-versie) beter scoort, en ook een duidelijker strategie heeft wat betreft account­ synchronisatie en single sign-on. Dat laatste is alleen relevant voor webtoegang tot de mail, voor pakweg telewerkers of smartphones en allemaal door middel van Outlook Web Access. Gewone cloud-gebruikers hanteren standaard Outlook en loggen via hun eigen Lan daarop in. Outlook zelf doet vervolgens via machine-authenticatie de mail-­delivery vanaf de cloud-server.

Kernfuncties Op basis van de tabel gaan we nu in op de architectonische uitleg van alle bepalende functies. Die uitleg geldt niet alleen voor Exchange Online, maar ook voor add-ons van derde partijen, en ook vaak voor wat de third partycloud-hosters op basis van Exchange kunnen (gaan) bieden, los van de vraag wat voorbeeldleverancier Interconnect momenteel biedt. De gegeven informatie is gebaseerd op het huidige op versie 2007 gebaseerde Microsoftaanbod, maar ook op de reeds gepubliceerde globale specificaties van hun plannen voor 2010, die toch wel ‘uiterlijk rond zomer 2011’ tot een leverbare service moeten gaan leiden. Eerste belangrijke keuzepunt rond Exchange-clouds is User-authenticatie. Alleen voor OWA-logons, inclusief gebruik vanaf pda - en dat is niet ­alleen een telewerkeroptie, maar soms het enige toegangsmodel voor lichte ­gebruikers zoals op de fabrieks- en winkelvloer. (Cloud-providers rekenen ook veelal lagere kosten voor users zonder Outlook.) Aanverwant gebied is het aanmaken van mailboxen, dus ook met e-mailadres. Idealiter heb je dat dit automatisch gebeurt met de provisio-

42

NetOpus 6 November 2010

Afbeelding 3 Architectuurschema van EHA

ning op het Lan van een AD-gebruiker met zijn homedirectory. Twee technieken vullen elkaar op dit gebied aan. Ten eerste directory-synchronisatie. Een toevoeging (of verwijdering) op het interne Lan wordt periodiek gerepliceerd naar de cloud - in principe ­alleen de kerngegevens, niet het wachtwoord, want dat is veel te kwetsbaar tijdens transport. Populair hiervoor is de gratis MS Hosted Services Directory Synchronisation-tool. Ten tweede directory-federation. Hiermee kun je op de cloud inloggen door middel van doorverwijzing naar de ­interne Lan ADS-omgeving of zelfs concurrerende Ldap-directory’s. Dit wordt pas goed in Active Directory ondersteund sinds Server 2008, en vandaar dat het lastig is te bieden op basis van Exchange 2007 en dus ook het huidige Exchange Online.

Grenzen aan wat kan Federation zou ook als vervanging kunnen dienen voor directory-synchronisatie, maar bijvoorbeeld het automatisch aanmaken van een nieuwe mailbox als de cloud-Exchange een nieuwe federated logon ontdekt, zit nogal aan de grenzen van de huidige ­mogelijkheden. Gaat het alleen om ­single sign-on (niet provisioning), dan zul je gaandeweg een overstap zien

van synchronisatie naar federation. Is ook provisioning nodig, dan zullen beide opties vaak naast elkaar gaan worden gebruikt. Drie rijen lager in de tabel vind je een volgende cloudmail-uitdaging: DLP, dat soms als Data Loss Prevention en soms als Data Loss Protection wordt uitgelegd. Het is een vrij breed terrein. Kern is dat bepaalde data het bedrijf niet mogen verlaten, of alleen naar bepaalde ontvangers mogen worden verzonden. De e-mailcheck komt een beetje neer op gespiegelde spamfiltering, maar de rules zijn voor high-endproducten zoals Websense of RSA of Symantec DLP veel complexer dan simpele keyword-scans. Ze moeten bijvoorbeeld rekening houden met attachments/zipfiles, met woordenalleen-in-combinatie en met specifieke documenten of zelfs SQL-records die zijn ‘gefingerprint’. De eerste uitdaging voor DLP bovenop cloud-e-mail is dat er grofweg drie routes zijn voor data die het bedrijf verlaten: e-mail, browser (inclusief webmail) en lokale media zoals usb-stick. Een in-house oplossing moet op ­alledrie zijn ingezet. Als je de Exchangeserver naar de cloud verplaatst, is het niet eens zo realistisch om van de cloud-provider te eisen dát deze DLP ­ondersteunt, want je zou toch dezelfde

Exchange in de wolken

Afbeelding 4 Archiefzoekscherm van EHA

tool willen als voor je webfiltering en desktopagent nodig is. En de tweede uitdaging is dat zo’n DLP-engine nogal diepe hooks in Exchange gebruikt en vervolgens mails in quarantaine moet kunnen plaatsen, waar dan weer een beheerderdialoog bij hoort. Dat botst allemaal een beetje met de eis van breed standaardproduct die we aan cloud-Exchange stellen. Dus zit jouw organisatie vast aan DLP, bijvoorbeeld vanwege zijn branche (overheid, juridisch enzovoort), dan moet je goed kijken naar de bouwstenen die bijvoorbeeld Microsoft keurig rondom hosted Exchange levert. We bespreken ze één voor één. We beginnen met de mogelijkheid van chaining. Er is niets mis mee om de Exchange-server zelf (Online of third party-versie) zo te configureren dat jouw mail niet direct het smtp-net op gaat, maar via een smtp-gateway ­elders in de cloud met daarop de DLPapplicatie - die dan zelf qua policy’s integreert met je overige twee DLPpunten, webproxy (ook in de cloud geplaatst?) en desktopagent. Op deze gateway vindt dan eventuele quarantaine plaats enzovoort. In Exchange 2010 worden de huidige mogelijkheden tot filtering rules in uitgaande mail uitgebreid met IRMkoppeling (zie hieronder). Dit zou voor instapniveau-DLP voldoende kunnen zijn, zeker niet concurrerend met de Websense en RSA’s van deze wereld.

De derde optie is Information Rights Management, ook wel RMS genoemd, omdat het via de Windows Rights Management Service loopt. Met simpele policy’s zoals Office-macro’s of complexe policy’s leunend op een third party DLP-agent kunnen we ­individuele files en media taggen. ­Zodra bijvoorbeeld een file de categorie ‘vertrouwelijk’ heeft gekregen, mag deze alleen naar versleutelde usb-sticks worden gekopieerd. Nóg een rij lager in de tabel zie je archiving, een deelterrein waarvan Mimosa en Nayatek de specialistische toolbouwers zijn. Microsoft-partners zijn vrij om willekeurige archiveertools aan Exchange te koppelen en in de cloud te hosten. ­Integratie gaat simpelweg via Exchange ­journaling of via chaining analoog aan de DLP-route. Microsoft zelf biedt twee opties op dit vlak. Allereerst Exchange 2010 archiving, zodra ­Exchange ­Online de 2010-­upgrade gaat maken. Dit is een instapniveau. Of dit in de ­basisprijs gaat belanden of extra gaat kosten, mede omdat hij ­gewoon extra ­opslagruimte slurpt, moet later beslist worden. Dan is er Exchange Hosted Archiving (Afbeelding 3 en 4), een geheel aparte service gebaseerd op de SQL-Azurefaciliteit. Deze is echt als high-end gepositioneerd, meer concurrerend met onder meer Mimosa. Hij biedt ook data-ontdubbeling en een stuk failover, inclusief een nood-e-mailserver als

je hoofdsysteem zou uitvallen. Vanzelfsprekend mag dat bij Exchange Online niet voorkomen, maar EHA is ook ­inzetbaar als je Exchange gewoon ­intern draait en alleen de archiving naar de cloud verplaatst. Ook archivering is dus cloud-bestendig en ook dit kan een belangrijk aandachtspunt zijn in het selecteren van je cloud-provider of zelfs combinatie van providers.

Kracht en beperkingen Het naar de cloud verplaatsen van Exchange is functioneel gezien vaak een uitstekende delivery-stap. De voordelen qua kosten en flexibiliteit kunnen fors zijn, en in principe zijn er in de basisfuncties geen nadelen te ontwaren - mits je Lan-situatie goed kan omgaan met Outlook-caching en je ­internetbandbreedte redelijk ruim ­bemeten is. Extra’s zoals single signon voor de webmail, Data Loss Prevention en archivering zijn allemaal ook mogelijk, maar zijn beduidend minder ontgonnen terrein binnen de cloud. Spelen deze zwaar in jouw ­omgeving, dan is gewoon een veel kritischer blik nodig en een goede selectie van cloud-componenten plus eerlijke kosten- en SLA-vergelijking. Gewapend met al deze kennis kun je ook de ­dimensie van cloud-delivery optimaal inzetten, of het nu via Microsofts eigen cloud-services of via Microsoft-partners zoals Interconnect zal zijn! ■

www.netopus.nl

43

The Human Interface

ICT en lifestyle Klant wordt steeds meer prosumer We leven in een digitale wereld. Technologie heeft de manier waarop we met elkaar communiceren, drastisch veranderd. De scheidslijn tussen werk en privé vervaagt, zowel qua werktijden en locaties als wat betreft de gebruikte apparatuur. De tijd van consumerization en prosumers is aangebroken. Marcel Beelen

I

emand die rond de 45 jaar is, heeft het ontstaan van het digitale leven vanaf het begin ervaren. Denk aan de opkomst van de eerste pc’s, Windows, internet, e-mail, het World Wide Web, de wiki’s en de blogs. Maar daar bleef het niet bij, want toen volgden de gsm’s, vaste en mobiele breedbandverbindingen voor consumenten, hardeschijf­ recorders, digitale foto- en filmcamera’s, gameconsoles, mp3-spelers en de digitale tv. Ben je jonger dan 25 jaar, dan weet je al niet beter of deze technologieën horen er gewoon bij. Bepaalt dit onderscheid de manier waarop we IT als ­lifestyle ervaren?

IT wordt lifestyle De digitale levensstijl is al jaren een trend die ons dagelijks leven beïnvloedt. Nieuwe communicatievormen leiden tot allerlei nieuwe toepassingen die worden bediend op steeds meer mobiele apparaten. Zo wordt ICT een steeds groter onderdeel van onze levensstijl en de gebruikte apparaten worden daar op aangepast qua kleur, gewicht en design. Je wilt immers worden gezien met je nieuwe iPhone, iPad of BlackBerry PlayBook!

44

NetOpus 6 November 2010

Fabrikanten van ICT-hulpmiddelen richten zich steeds ­vaker eerst op de thuisgebruiker en pas later op de zakelijke markt. Dit geldt voor de eerste cd- en dvd-branders, maar ook voor kleurenprinters en draadloze netwerken. Al deze apparatuur was eerder populair in huishoudens voordat ze in bedrijfsnetwerken hun intrede deden. Tegenwoordig is de iPhone vooral een consumenten-device, maar toch wordt er ook zakelijk de blits mee gemaakt. Het proces dat consumentenapparatuur een steeds grotere invloed krijgt op de IT in het bedrijfsleven, heet consumerization.

Ja, maar thuis… Een gevolg van consumerization is dat medewerkers thuis sneller met nieuwe hard- en software in aanraking komen dan op hun werk. De pc thuis is vaak sneller en voorzien van modernere componenten en randapparaten. Thuis wordt ook sneller besloten nieuwe apparaten aan te schaffen. Als je zakelijk nog met een traditionele Nokia-telefoon belt, heb je privé al de nieuwste smartphone met camera en mp3-speler en toegang tot internet ‘gekregen’ bij je tweejarige mobiele abonnement. Zakelijk werk je misschien nog

ICT en lifestyle

met een trage laptop met Windows XP uit 2006, maar thuis heb je ongetwijfeld al een snelle Windows 7-machine. Ook werk je thuis veel sneller met allerlei cloud-toepassingen en ­socialemedia-applicaties, terwijl dat op de werkvloer nog niet vaak serieus wordt genomen. Uit onderzoek is gebleken dat driekwart van de jongere medewerkers ook zakelijk cloud-applicaties gebruikt of zelf freeware heeft geïnstalleerd en gebruikt op de zakelijke werkplek, omdat de door de IT-afdeling aangeboden applicatie niet voldeed of te oud werd geacht. Apparatuur en software zakelijk verbieden heeft dus lang niet altijd het gewenste effect. Er zijn bedrijven waar het verbod om laptops of bijvoorbeeld digitale camera’s mee naar binnen te brengen officieel in richtlijnen is vastgelegd. In de praktijk is het echter een komen en gaan van allerlei webdiensten en elektronische apparaten.

Verlies van controle Consumentenapparatuur wordt in grote aantallen geproduceerd tegen lage prijzen met kleine marges. Door consumerization moet ook zakelijk gebruikte apparatuur steeds ­goedkoper worden geproduceerd, vaak met allerlei negatieve gevolgen voor de degelijkheid en kwaliteit. Apparaten voor de thuismarkt zijn lang niet altijd geschikt voor de zakelijke markt. Los van de kwaliteit zijn ze vaak niet ontwikkeld om op afstand te beheren en is beveiliging niet in het ontwerp meegenomen. Consumerization van ICT zorgt ervoor dat je als ICT-afdeling krijgt te maken met vreemde, niet-standaard apparaten binnen je bedrijf. Want hoe je het ook wendt of keert, ICTthuisapparatuur verschijnt na verloop van tijd automatisch binnen je bedrijf. Jongeren eisen op het werk minimaal hetzelfde als wat ze thuis hebben en kunnen. ICT-middelen worden ‘gewoon’ en de ICT-afdeling verliest – in ieder geval gevoelsmatig – voor een deel de controle over de fysieke ICT-infrastructuur.

Help, geen netwerk! Het echte probleem ontstaat als deze medewerkers vragen om ondersteuning van de ICT-staf voor hun meegebrachte apparaten. Wat doe je als een medewerker zijn privé­laptop meebrengt, omdat die veel sneller is dan zijn zakelijke desktop en aan het netwerk wil worden aangesloten? Als je toegeeft, dan ken je de gevolgen: de volgende vraag is om te kunnen printen. Daarna komt de vraag om enkele ­bedrijfstoepassingen te mogen gebruiken. En zo gaat het van kwaad tot erger. Als je ondersteuning weigert, heb je er een ontevreden ‘klant’ bij. Uit onderzoek bleek eind 2008 al dat meer dan de helft van de medewerkers van hun werk­ gever ondersteuning vragen voor de laatste snufjes aan technologie. Het is zelfs een belangrijk criterium aan het worden bij de keuze van een werkgever. Consumenten, consumers, worden steeds professioneler en

ontwikkelen zich tot prosumers in de ICT. Ze werken thuis met moderne hard- en software en zijn prima in staat zelf de beste pc te kiezen op internet. Ook draaien ze de bèta­versie van het nieuwste besturingssysteem, bellen ze met een jailbroken Apple iPhone, lezen ze in de trein van hun Sonye-reader en nemen ze op vakantie hun dure laptop mee om films te bekijken en spelletjes te spelen. Zolang dit zich in de privésfeer afspeelt, is het geen probleem. Maar de prosumer is ook zeer kritisch ten opzichte van de IT-afdeling en heeft invloed op de ICT. Hij heeft op het werk een tragere pc dan thuis en klaagt hierover. En waarom moet hij zakelijk met Windows XP werken, terwijl hij thuis al ­Windows 7 draait? Waarom heeft de ICT-afdeling pc’s van merk A gekozen, want er zijn goedkopere en vooral betere merken? Waarom is zijn internetverbinding zo traag, ­terwijl de breedbandverbinding thuis met 24 Mbit vele malen sneller is? Waarom mag hij niet gebruikmaken van Google ­Chrome als browser, want die is ‘veel beter’ dan Internet Explorer? Waarom mag hij geen Microsoft Office 2010 aanschaffen en moet hij met Microsoft Office 2003 blijven werken? Prosumers zijn voor de ICT-afdeling vaak lastige klanten, en hoewel er tientallen argumenten zijn te bedenken om elke vraag van de prosumer te beantwoorden met een uitgebreide zakelijke uitleg waarom iets niet is toegestaan, zijn het logische vragen gebaseerd op de dagelijkse ervaring van de prosumer.

Beleid en ondersteuning Dat de ICT van thuis en die van het bedrijf steeds meer ­samengaan, is heel begrijpelijk. Het is gedeeltelijk een ­gevolg van consumerization en mondige prosumers. Toch zijn lang niet alle medewerkers plotseling prosumer geworden. Ook heeft die laatste groep ondanks haar hoge mate van interesse niet noodzakelijkerwijze veel detailkennis van zakelijke ICT. Het hangt voor een groot deel af van de functie die een medewerker vervult en of hij daarmee eerder taakgeoriënteerd zijn computersysteem gebruikt of dat hij een kenniswerker of power-user is. Het gaat mening IT-afdeling veel te ver alles maar te gedogen en voor iedereen altijd klaar te staan. Maar dat we ons de komende jaren moeten inrichten op medewerkers die trachten werk en leven te combineren, is helder. Dat je er niet aan ontkomt ook ondersteuning te bieden aan niet-zakelijke apparatuur is daar een gevolg van. Vrijheid op de werkplek en vrije keuze van apparatuur en software bevinden zich ergens in het midden tussen de situatie waarbij je alles standaardiseert of waarbij alles mag. Omdat er binnen bedrijven steeds meer prosumers komen, is het belangrijk om het netwerk, de beheeromgeving, de ICT-afdeling en de organisatie als geheel inclusief het beleid hierop in te richten. Kies daarom voor een beleid van ‘alles mag, mits…’ in plaats van een beleid van ‘niets mag, behalve…’ ■

www.netopus.nl

45

InfoSecurity 2010

Jaarbeurs Utrecht, 3 en 4 november Het bedrijfsleven kan niet zonder ICT en ICT kan niet zonder beveiliging. De vakbeurs InfoSecurity 2010 heeft ook dit jaar weer een grote diversiteit aan exposanten, producten en seminars voor het optimaliseren van jouw IT-infrastructuur. Bedrijven worden bijna dagelijks geconfronteerd met allerlei vraagstukken op het gebied van IT-beveiliging. Info­Security.nl haakt in op deze vraagstukken met een gevarieerd expositieprogramma, seminars en activiteiten. Een absolute must voor elke ICT-professional. InfoSecurity wordt wederom gecombineerd met de vakbeurs Storage Expo, waar markt­leiders, verenigingen, sprekers en andere ICT-professionals hun producten en visie presenteren. De grootste hal van het Jaarbeurs­complex in Utrecht biedt begin november weer ruimte aan de toonaangevende bedrijven binnen de branche, die verdeeld over de drie vakbeurzen de nieuwste producten en oplossingen presenteren voor data­beveiliging, dataopslag en databeheer. Hoewel de noviteiten natuurlijk centraal staan, zijn er op de beursvloer ook diverse activiteiten en paviljoens, waar advies kan worden ingewonnen en er netwerkmogelijkheden zijn. Het programma van InfoSecurity heeft dit jaar als thema’s Cloud, Social Media en Cybercrime.

De cloud blijft natuurlijk één van de belangrijkste topics van de laatste jaren en nu steeds meer bedrijven zich ook op het vlak van social media wagen, is het interessant om eens te kijken naar de andere kant van het verhaal: welke uitdagingen zijn er? Want uiteindelijk is het voor de meeste bedrijven de bedoeling dat er via deze kanalen business naar binnen gehaald wordt, maar is het veilig? Hierover doen sprekers van Hyves en PayPal hun verhaal. Ook dit jaar is NetOpus weer aanwezig op InfoSecurity, samen met zusterblad ­Linux ­Magazine en de ethische hackers van Certified Secure. Op de stand kun je live deel­nemen aan een hackwedstrijd. Kom zeker kijken op stand F097. Met de bon uit de ­vorige editie kun je de beurs gratis bezoeken.

Be secure. Be there. Op 3 en 4 november in Jaarbeurs Utrecht. Registreren kan via www.infosecurity.nl.

Beursbijlage

InfoSecurity 2010 InfoSecurity.nl (ISC)2 UK Ltd. 3M UK PLC Absolute Software Emea Limited Avantage B.V. Avnet Technology Solutions Axle-IT B.V. B2B Secure Westcon Security BeneluxSoft Bio XS International BV Blancco Oy Ltd Bogaert Computers Capgemini Nederland B.V. Centric IT Solutions Cisco Systems International B.V. Compumatica secure networks B.V. Contec iSC B.V. Contentxperience BV Cyber-Ark Software Ltd. Deloitte Dimension Data Nederland B.V. Egemin Automation Ernst & Young Exclusive Networks Fortify Fox-IT G DATA Software AG Getronics NetOpus/Linux Magazine HID Corporation Ltd. High Density Devices As IBM Nederland B.V. Identiware B.V. Imperva UK Ltd InfoSecure B.V. Isaca NL Issa-NL ISSX Juniper Networks B.V. Kaspersky Lab Nederland BV KPMG Kroll Ontrack Lantech BV LEGID McAfee International BV Medusoft Mimecast UK & Europe Motiv

D138 A101 A132 A092 B122 C145 F137 A116 D154 A158 A117 A154 E99A B091 C106 D117 C144 A105 D132 E99b C121 F095 E99C C116 E134 C155 A145 D120 F097 C160 A086 B070 D150 A127 B131 E102 E102 A125 B100 A140 E99D A089 A125 A110 B105 B136 A099 B108

Nod32 Nederland NOREA, de Beroepsorganisatie Norman Data Defense Systems B.V. Palo Alto Networks Pine Digital Security.NL Pinewood Automatisering B.V. Platform voor Informatiebeveiliging PricewaterhouseCoopers RoutIT B.V. SaasForce Safenet Technologies BV Scos Software BV ScriptLogic Corporation Sectra Communications AB Secunia ApS SecureComm B.V. Securelink Nederland B.V. SecurIT Secury Products Sophos B.V. Splunk / SMT SQNetworks SRC Secure Solutions bv Stonewood Group Limited Symantec B.V. Techaccess Telindus-ISIT Thales Iss Tmi3 / PineApp TOP-IT Distribution TREND MICRO Benelux Tripwire, Inc. TSTC B.V. UBM Nederland BV Unacle B.V. VADition Benelux B.V. Vest Informatiebeveiliging VNU Media Vosko Networking B.V. Webroot BeNeLux Websense BV Zscaler ZyXEL Communications B.V.

D108 E102 E096 A100 D151 D127 E102 E99e B144 F096 D144 F098 A102 D135 E143 C128 B154 D132 A104 D116 B103 B087 A131 A097 B086 A120 A010 E145 E131 B125 A136 B121 A135 F116 E098 A100 E137 D159 D098 D145 C136 E094 B116

Storage Expo 2e2 Infrastructure Management 3PAR Array Publications B.V. Axez BlueArc Brouwer Storage Consultancy Bull Nederland N.V. CA Inc. CommVault Compellent Technologies Databasement B.V. Dataman B.V. DISC Benelux/ PoINT Double-Take Duplidata EMC² E-Storage Eurofiber Evoswitch Netherlands B.V. eXpertise-IT B.V. Fusion-io Grey Hippo Hewlett-Packard Nederland B.V. Hitachi Data Systems I3 Groep IBM Nederland B.V. IDG Nederland Imtech ICT Brocom Inprove Inter Access B.V. Iron Mountain Mindtime Backup NEC it Platform Solutions NetApp Netgear Nexenta Systems Oracle Nederland B.V. / Sun Oxilion PQR B.V. PROACT Nederland RSE Data Recovery Services Sertho Storage Solutions SLTN Syncsort GmbH TelecityGroup Telindus-ISIT Terach BV TrueCom N.V.

B073 A041 A075 B063 D009 D031 C026 D033 A061 B020 B048 A056 A045 C018 A017 B056 B038 A072 A049 B028 A044 A076 A032 B064 C029 B070 C020 D041 A037 B075 A076 A071 D017 C054 B045 A037 B042 B016 C042 C032 A065 C024/D025 A048 A033 A060 A010 B072 B061

VCD Business Intelligence Veeam Software VRITS WSM Technlogy Nederland B.V.

A038 A063 D009 C043

Next Generation IT Thought leaders IBM VMware Novell Demo’s Complions Mensys Qwise Westcon Security

D072 D069 D066 A166

NetOpus F097

Beursbijlage

Risico’s van virtualisatie Cloud brengt security in stroomversnelling

Virtualisatie is mooi, maar het brengt helaas ook nieuwe gevaren met zich mee. IDC stelt in een rapport dat virtualisatie het gebied vergroot waarop aanvallers hun slag kunnen slaan. Een simpele, maar angstaanjagende stelling, want zo krijgen aanvallers steeds meer mogelijkheden om toegang tot de kroon­juwelen in het datacenter te krijgen. Met de enorme toename van virtualisatie b ­ innen bedrijven en datacenters wordt ook het aanvalsgebied vergroot voor hackers. ­Virtualisatie is niet immuun voor veiligheidsgebreken en deze groeiende kwetsbaarheid moet dan ook gezien worden als een w ­ ake-up call voor beheerders van gevirtualiseerde omgevingen. Aanvallen en technieken Virtualisatie verandert het landschap van de informatietechniek, maar de eisen voor ­beveiliging blijven hetzelfde. ­Virtualisatie, z­ oals elke nieuwe techniek, zal een g ­ eliefd doelwit worden voor nieuwe soorten a ­ anvallen. Zodra de aanvaller beseft dat hij een virtuele machine is binnengedrongen, zal hij naar de hypervisor gaan, het hart van het systeem. Toch kan virtualisatie ook gebruikt worden om nieuwe beveiligingstechnieken te ontwikkelen. Bijvoorbeeld door de virtuele ruimte te gebruiken om ongemerkt zowel server, netwerk als storage in de gaten te houden. Maar ook kan op meerdere lagen beveiligingsfunctionaliteit ingebouwd worden, op de hardware zelf, de virtuele infrastructuur (inclusief hypervisor), de VDC-servicelaag en in de vApp- en vm-laag zelf. Uiteraard moeten al die ingebouwde bevei­ ligingsfuncties wel op een holistische manier samengebracht worden om een eenduidige aansturing te krijgen. Een veilige cloud-infrastructuur heeft op drie gebieden zijn specifieke bescherming nodig. Identity management voor controle aan de ingang, monitoring van de virtuele infrastructuur zelf op al zijn lagen en tenslotte checks op de informatie die door mensen en systemen over

deze infrastructuur wordt uitgewisseld. VMware heeft met de laatste annonceringen over vShield een goede stap in de richting van geïntegreerde beveiliging gezet. Er kunnen nu virtuele firewalls worden gebouwd, er kunnen specifieke zones worden beveiligd met hun eigen compliance- en governance-policy’s en tenslotte kan vShield de vm zelf beveiligen. Hiermee kan een belangrijk deel van de virtuele infrastructuur adequaat worden beschermd. Nieuw met oud beveiligen Virtualisatie brengt nieuwe gevaren met zich mee, maar tegelijk zorgt het er ook voor dat we op nieuwe innovatieve manieren kunnen beveiligen. De conclusie is dan ook dat bij virtualisatie per definitie ook de beveiliging aangepast moet worden. Anders beveilig je een toepassing die veel meer veiligheidsrisico’s heeft dan vroeger met oplossingen uit de vorige eeuw. En een cloud zal nooit effectief kunnen zijn zonder de minimale beveiliging die nodig en vereist is.

Hans Timmerman (1953) is CTO van EMC in Nederland. In deze functie is hij verantwoordelijk voor de ­ontwikkeling en verdieping van zowel EMC’s lokale business en technologie-ontwikkeling als voor de ­bestaande strategische allianties en partnerships.

Kooptips

Tien keuzetips

Vind de ideale thin client

T

hin clients kun je niet vergelijken. Ons laatste ‘vergelijkend waren­onderzoek’ is alweer vele jaren geleden en we gaan die niet overdoen. Elke vergelijkende thin client-test in een magazine of op een website moet je met een grote korrel zout ­nemen en de conclusies kun je beter niet gebruiken voor de selectie. De reden is allereerst dat elke test per definitie verouderd is, doordat de ontwikkelingen erg snel gaan en modellen en software elkaar snel opvolgen. Verder kun je in een vergelijking van apparaten alleen maar kijken naar relatief onbelangrijke en variabele zaken als aansluitpoorten en specificaties. En het belangrijkste: een daadwerkelijke performancevergelijking tussen thin clients is volkomen zinloos, doordat geen enkele test jouw specifieke omgeving weerspiegelt. Om je toch een richting te geven volgen nu tien tips.

1. Zo dun mogelijk Als we kijken naar de Total Cost of Ownership (TCO), dan is de beste thin client daadwerkelijk ‘thin’ op elk gebied. Hij is compact en kost

52

NetOpus 6 November 2010

zeer weinig energie. Ook heeft hij een compact niet-Windowsbesturingssysteem dat weinig geheugen nodig heeft en weinig eisen aan de client stelt. Er draaien geen lokale applicaties op en de client start zeer snel op. Deze wordt fullscreen gebruikt en toont meteen de remote workspace, en schakelt zichzelf uit als je in de remote omgeving uitlogt. De client hoeft niet of kan slechts met eenvoudige hulpmiddelen op afstand worden beheerd en je gebruikt hem met één protocol waarvoor hij ook is geoptimaliseerd.

2. Dikker = beheer Past de ware thin client niet bij je back-office, dan kom je als vanzelf bij wat dikker uitgevoerde thin clients die hardwareopties hebben (smartcard­ lezer, gigabit ethernet, extra harde schijven, WiFi, Bluetooth en dergelijke) of componenten voor grafische versnelling (in ASIC’s of software). De thin client krijgt dan een uitgebreider besturingssysteem en je krijgt te maken met stuurprogramma’s, software-updates en remote beheer.

Het kiezen van een geschikte thin client voor je organisatie is vele malen complexer dan het selecteren van een nieuwe standaard-pc. We geven enkele tips om te komen tot de beste keus. Over dunheid, merken en het pc-gevoel. Marcel Beelen

3. Hetzelfde merk Elke grote fabrikant kan eigenlijk wel aan al je hardwarewensen voldoen. Maar als gevolg van de beheersoftware, de in te richten infrastructuur hiervoor en eventuele add-ons in de firmware van de thin client, is het verstandig alle modellen te kiezen van hetzelfde merk. Maak een lijst van eisen die je stelt aan de hardware (poorten, form factor, opties, bevestigingmogelijkheden, aantal beeldschermen dat je wilt aansturen en dergelijke) als eerste inperking van het aantal ­fabrikanten. Keuze van merk en fabrikant wordt vaak nog meer bepaald door andere factoren: het voorkeurhuismerk van je organisatie, het brede aanbod, de technische ondersteuning, de voorkeur van de partner, het ­advies van de consultant, de toekomst­visie van de aanbieder, de inzet van de distributeur of zelfs het mooie praatje van je sales-verantwoordelijke.

4. Back-office bepalend Je back-office bepaalt voor het belangrijkste deel de keuze van de thin client. Ga je werken met Citrix XenApp

Vind de ideale thin client

of Microsoft Remote Desktop Services (terminal-server), of met VDI op basis van VMware View, Citrix XenDesktop of een andere softwareontwikkelaar? Of ga je diverse architecturen samen gebruiken, dus Remote Desktop Server en VDI samen? Bevat de thin client de juiste software-client en hoe snel volgt het specifieke thin client-model de releases van deze client-applicatie? De specificaties noemen misschien ‘de laatste ICAclient’, maar dat is vaak niet het geval. Je hebt een thin client nodig die de juiste grafische versnellingsopties (hardware of software) en protocollen ondersteunt, die nodig zijn voor de gekozen oplossing in het back-office (PCoIP, Spice, hdx, tcx, rgs, aip, eop, RemoteFX en meer).

5. Remote beheer Hoe dikker (en duurder) de thin ­client, des te belangrijker worden de ­mogelijkheden voor remote beheer. Software en clients moeten periodiek worden bijgewerkt. Gaat het om kleine aantallen thin clients of om grote aantallen die zich ook nog eens op vele nevenvestigingen moeten bevinden? Remote beheer wordt dan nog ­belangrijker. De beheeroplossing staat meestal op het lijstje van eisen, maar blijkt achteraf toch veel minder doorslaggevend te zijn bij de keuze. In de praktijk beheer je thin clients toch heel anders en minder intensief.

6. Inzetgebied Zorg er eerst voor dat je een keuze hebt gemaakt voor het inzetgebied. Wordt de thin client een kantoorwerkplek voor iedereen of een werkplek voor medewerkers met specifieke taken (bijvoorbeeld contactcenters)? Wil je ook geavanceerde medewerkers die hogere eisen stellen, een thin ­client aanbieden? Heb je beide typen medewerkers, dan is de kans groot dat je een low-end en high-end thin client nodig hebt. Wil je medewerkers met volledige bureaubladen laten werken? Wil je met de lokale GUI individuele

gepubliceerde applicaties aanbieden? Realiseer je dat de lokale GUI en het gemak ervan nu een grote rol kunnen spelen. Of wil je beide varianten door elkaar inzetten?

7. Type thin client Welk type thin client je wilt selecteren, is nog ingewikkelder, zoals ook is te zien in de verhalen over Wyse en HP. Wil je lokale applicaties gebruiken? Alleen op een Windows Embedded thin client kun je Windows-applicaties draaien. Heb je een moderne lokale Internet Explorer nodig, dan is dit de enige keuze. Moet je lokale resources in de centrale sessie ter beschikking hebben? Biedt de fabrikant hier extra software voor die in jouw omgeving zinvol is? Windows betekent meer beheer; Linux betekent minder lokale applicatiemogelijkheden; Windows CE is voor de meesten te beperkt. Is er een kiosk-mode? Hoe lang is de opstarttijd van de client? Hoe worden toetsenbordcodes aan de sessie ­doorgegeven?

8. Handhaaf pc-gevoel Niet alle thin clients zijn in staat het ‘pc-gevoel’ te bieden en de thin clientomgeving voor honderd procent te verbergen. Als je thin clients gebruikt als desktopvervanger, is het pc-gevoel zeer belangrijk. De eindgebruiker mag niet merken dat hij op een thin ­client werkt met een remote sessie. Aan de ene kant van de gebruikservaring ­bevinden zich opstarttijd, reactietijd en gedrag van muis en toetsenbord. Aan de andere kant is ook het ondersteunen van snelle graphics in alle relevante formaten belangrijk voor het pcgevoel. De ervaring moet ook constant zijn. Haperingen, stroperig gedrag en wegvallen van sessies zijn rampzalig voor de acceptatie en tevredenheid.

9. Overweeg pc’s Als je om wat voor reden dan ook nog pc’s moet handhaven en deze de meerderheid vormen van je infrastructuur, kan het te overwegen zijn oude of

nieuwe pc’s in te zetten als thin client, met slechts de client-software erop. Met speciale aanvullende software kun je een lock-down doorvoeren en ze in kiosk-mode plaatsen en sommige fabrikanten bieden software om van de pc een ‘echte’ thin client te maken. Je beheert deze thin clients dan net als je fat clients, met hetzelfde beheerraamwerk respectievelijk met de beheersoftware van de thin clientaanbieder. Ook als je op heel dure thin clients terecht blijkt te komen, kun je jezelf afvragen of dit - los van incidentele inzet - wel de juiste keuze is.

10. Test in je omgeving En het allerbelangrijkste: evalueer en test in je productieomgeving, met de definitieve servers, met de applicaties die je gebruikers nodig hebben en ­betrek de gebruikers erbij, zowel op het lokale netwerk als in de nevenvestiging of op thuiswerkplekken. Het testen van thin clients in de kunstmatige omgeving van een testlab is ondoenlijk en zelfs onmogelijk. Eigenlijk zou je de selectie van thin clients pas moeten doen nadat je de Remote Desktopinfrastructuur hebt opgeleverd. Grafische en algehele performance zijn ­afhankelijk van te veel factoren: het back-office (XenApp, XenDesktop, VMware View, de hypervisor), de ­inrichting hiervan (tuning en optimalisaties, snelheid van het SAN, snelheid van het netwerk in het datacenter), de omgeving (applicaties, gebruikers, logingedrag en applicatiegedrag), het protocol (ICA, RDP, PCoIP en dergelijke), de gebruikte versie van de client (Citrix Online-plug-in, RDP enzovoort), de verbinding (bandbreedte, latency, errors). Om er maar eens enkele te noemen. Compleet zijn we niet geweest; dat kan ook helemaal niet. Maar we hopen dat de tien bovenstaande tips, die samen een handzame koopgids vormen, een paar stevige handvatten vormen bij de aanschaf van een thin client. Geef toe, hier heb je veel meer aan dan aan een grafiek vol plussen en minnen. ■

www.netopus.nl

53

Labreport

WES 2009 vs. ThinPro HP t5740 en gt7725

We kunnen er niet aan ontkomen. Elk jaar hoort de thin client op de één of andere manier in de Application & Desktop Delivery-special thuis. Was de thin client een beetje een ondergeschoven kindje in desktopland, nu desktopvirtualisatie hot is, krijgt de thin client nieuwe kansen. HP, die vroeger thin clients van Wyse leverde, is met zijn eigen producten sinds 2003 één van de spelers op die markt. Marcel Beelen

H

P is een belangrijke fabrikant van thin clients. De overname van Neoware enkele jaren ­geleden heeft daar ook toe bijgedragen. De keuze aan thin clients omvat een uitgebreide collectie aan besturingssystemen, processors en ­modellen. HP biedt een brede invulling voor de werkplek, van pc’s en laptops tot Long Lifecycle-pc’s, netbooks en iPaqs. Bij HP ben je aan het juiste adres voor blade-pc’s en blade-werkstations. HP levert ook POS-systemen (zeg maar kassa’s) en tablet-pc’s en kan dus in elke werkplekbehoefte voorzien. Daarnaast levert HP zo’n beetje alles wat je verder nog in je ­datacenter nodig kunt hebben, hardware en software. HP biedt verschillende thin clients aan en verdeelt die in vier typen: ­essentiële thin clients, mainstream thin clients, flexibele thin clients en speciale thin clients. Qua uiterlijk lijken de thin clients erg op elkaar. We maken een momentopname voor je. De enige essentiële thin client van HP (t5325) is ook de goedkoopste. Het is wat wij een ‘ware’ thin client noemen. Simpele installatie en configuratie met HP ThinPro en er zijn geen ingewikkelde beheerprocessen nodig. Met deze client maak je verbinding met terminal-server-toepassingen of met een virtuele desktopomgeving op basis van VMware VDI en Citrix Xen­Desktop. De essentiële thin client draait HP ThinPro als besturingssysteem (een Debian Linux-achtige) en een Marvell Arm en de client heeft 512 MB RAM.

54

NetOpus 6 November 2010

Hiervan wordt 64 MB gebruikt voor de geïntegreerde grafische videokaart. Er is ook een versie te koop met een ­lcd-scherm. De mainstream thin clients van HP kosten iets meer. Ze hebben nagenoeg ­dezelfde grafische mogelijkheden, maar een Via Eden-processor op 1 GHz. Het model met HP ThinPro (t5545) heeft 512 MB Flash-geheugen. De Linux-client is voorzien van de Firefox-browser. Het model met Windows CE 6.0 R2 (t5540) wordt los en met lcd-scherm aangeboden.

Flexibel of speciaal Verder biedt HP de gemiddeld geprijsde flexibele thin clients aan. De t5740 draait Windows Embedded Standaard 2009 en de t5740 draait WES 7 op een AMD Sempron-processor op 1 GHz en heeft 2 GB flash. De ATI Radeon x1250-adapter deelt 32 MB videogeheugen. Deze client heeft een PCI-uitbeidingsmodule als optie en kost 444 euro. De t5630w heeft een Via Eden op 1 GHz en draait eveneens Windows Embedded standaard. De t5745 draait HP ThinPro (een Debian Linux-variant) met een IceWeasel-browser. Hij is te koop met 1 of 2 GB RAM, waarvan 64 MB nodig is voor de Intel GL40­videokaart. Dit model kan met een PCI-­module worden uitgebreid. De speciale thin clients zijn een mix van thin clients, waarvan de duurste maar liefst 921 euro kost (zonder beeldscherm). Ze zijn voorzien van een AMD Turion dual-core processor. Er zijn twee modellen gt7720 die Win-

dows Embedded Standard draaien en twee modellen gt7725 met HP ThinPro. Met 2 GB flash en maximaal 2 GB RAM zijn het de topmodellen van HP. Ze hebben wat extra usb-poorten en speciale grafische mogelijkheden zoals ondersteuning voor tot vier ­extra beeldschermen, maar met 128 MB shared videogeheugen. Tot slot biedt HP één laptop thin client-model onder de categorie speciale thin clients aan, de HP 4320t. Op de Amerikaanse site vinden we ook nog twee streaming thin clients (schijfloze apparaten) en een zero-client voor gebruik met Windows MultiPoint Server. Die worden ook in Nederland aangeboden, maar ontbreken nog op de website.

HP t5740 We bekeken de HP t5740 voorzien van WES 2009 en optioneel voorzien van Windows XP Embedded. Deze thin client, door HP geschaard onder de flexibele thin clients, heeft een 2 GB flashdrive en een Atom N280-processor op 1,66 GHz. Standaard is er een Gigabitinterface aan boord en optioneel een Atheros AR5009 draadloos netwerk 802.11a/g/n. We sluiten de client met de DisplayPort (het zakelijke alternatief voor hdmi) op het HP-beeldscherm aan. Dit is meteen een groot voordeel van HP als aanbieder: je koopt de thin client, het beeldscherm, je back-office (blade) servers, beheersoftware enzovoort bij één partij. Na een seconde of dertig is de client opgestart. Wat je meteen zult merken, is dat de Windows Embedded Standard thin

Thin clients van HP

Afbeelding 1 Het Control Center

clients de beste mogelijkheden hebben. Met ‘beste’ bedoelen we dan dat deze werkplekken het meeste lijken op een reguliere Windows-desktop. Je kunt er applicaties op installeren, stuurprogramma’s zijn op grote schaal beschikbaar en je hebt voldoende kennis voor beheer in huis. Ze zijn in staat de meest actuele Citrix ICA-client en Microsoft RDC-client te draaien, evenals een versie van Windows ­Media Player en Internet Explorer. Deze HP is standaard voorzien van ICA 11.0, RDP 6.1, WMP 11 en IE7. Dat zijn niet de laatste versies, dus om goed samen te kunnen werken met de nieuwste XenApp-servers en Microsoft Remote Desktop Servers moet je de clients even updaten, met name RDC 7 en ICA 12 (tegenwoordig de Online Plug-in v12 genoemd). Het back-office bepaalt welke clients voor jouw organisatie de beste zijn. Internet Explorer 8 kun je wel installeren op de client, maar Windows Media Player 12 wordt niet ondersteund. Of dit belangrijk is, hangt ervan af of je deze applicaties lokaal gebruikt, ofwel deze direct door de gebruiker zelf laat aanroepen of dat ze indirect worden aangeroepen vanuit een gecentraliseerd bureaublad en daarop seamless weergegeven. Het zou bijvoorbeeld kunnen voorkomen dat je in kiosk­mode opstart, maar toch nog een lokale browser nodig hebt om bijvoorbeeld je webgebaseerde selfservice-

site aan te bieden. Gebruikers kunnen dan hun vergeten wachtwoord herstellen zonder in te loggen (want dat laatste kunnen ze niet met een vergeten wachtwoord).

VDI-wereld Belangrijk is hoe je de client inzet. Draai je een volledig bureaublad en plaats je de thin client in kiosk-mode of werk je met de lokale grafische ­interface van de client en publiceer je er individuele applicaties op met bijvoorbeeld XenApp? Omdat het Windows XP (WES 2009) is, is de grafische bediening voor de gebruikers dezelfde die ze gewend zijn. Applicaties starten vanuit het startmenu is dan intuïtief en gepubliceerde aplicaties met XenApp verschijnen netjes automatisch in dat menu. Op de HP thin client vind je ook nog Program Neighborhood om gebruikers zelf applicaties in te ­laten configureren. We raden af dit te ­gebruiken, omdat Citrix vanaf versie 11.2 van de client hiervan is afgestapt. HP heeft Easy Config meegeleverd, dat doet wat de naam zegt: je klikt op Default Desktop (de lokale Windows XP), VMware View Appliance, Citrix Desktop Appliance of Web Appliance. De VMware- en Citrix-mode tonen direct na inschakelen van de client het inlogvenster van de desktopvirtualisatie-omgeving. De Web-mode toont direct na het opstarten Internet Explorer met een voor te configureren url

geopend. HP (of eigenlijk Windows XP) ondersteunt ook de desktopbrokers van Leostream en Quest, maar die zul je zelf moeten regelen bij de desbetreffende ontwikkelaars. De clients zijn niet voorgeïnstalleerd. HP’s eigen Session Allocation Manager (SAM) is als add-on toe te voegen. Daarmee kun je vanuit HP’s zelf ontwikkelde VDI-wereld communiceren. Een RGS-gebaseerde thin client maakt dan via HP SAM (Session Allocation Manager) verbinding met een virtuele of fysieke centrale pc. Vorig jaar ­bespraken we dit protocol in NetOpus. HP levert HP TeemTalk erbij (terminalemulatie) en de HP RDP USB Redirector-client om met name bij RDPgebaseerde sessies met bijvoorbeeld VMware View eventuele lokale usb-apparaten beter te kunnen gebruiken. Windows XP is helaas ook meteen het besturingssysteem met het grootste nadeel: het beheer doet wel heel veel denken aan de andere desktops en de reden voor thin clients was toch net om het beheer aan de client-kant te versimpelen. Als je de client in kioskmode gebruikt, dan toont Ctrl+Alt+Del het lokale security-menu en niet het security-menu van de sessie en dat zal sommige gebruikers onlogisch voorkomen. Windows Embedded Standard is wel voorzien van een lees/schrijf-filter en lang niet alle patches van Microsoft hoef je daarom te volgen. HP levert standaard Symantec Endpoint Protection for Windows mee als firewallfunctie. Je kunt de thin client lid maken van het Windows-domein en zelfs een autologon laten doen. Je bent dan in principe in staat het apparaat te beheren net als andere Windows-werkplekken. Vaak schiet je dan echt je doel voorbij. Beheer moet immers zo simpel en simplistisch mogelijk zijn.

HP gt7725 De gt7725 is een topmodel van HP. Deze thin client kost 677 euro met een ATI Radeon HD3200 grafische kaart en achthonderd euro met een extra ATI Fire MV 2250 grafische kaart. Het

www.netopus.nl

55

Labreport

eerste model ondersteunt twee en het tweede model vier beeldschermen. De gt7725 heeft 1 GB Flash en 2 GB DDR2 Sodimm - waarvan 128 MB is gereserveerd voor video. De gt7725 draait HP ThinPro. Van buiten is het verschil met de t5740 nihil, maar bij het aansluiten merk je wel verschillen. Helaas zijn zowel de videokabels als de spanningsadapters niet dezelfde als die van de t5740. Als je in je organisatie diverse thin clients hebt van dezelfde fabrikant, zou uitwisselbaarheid erg handig zijn. Je bent dan in staat de client te vervangen door een sneller model als dat nodig is, zonder de in kabelgoten of bureaus ingebouwde stroomvoorzieningen en beeldschermkabels te ontmantelen. We sluiten de gt7725 aan met een DVI-D-aansluitkabel. De opstarttijd van dit model is met vijftig seconden wat trager. Ook nu is dit de kale ­opstarttijd. Als je moet inloggen in een VDI-omgeving en -domein en er lopen scripts en dergelijke, duurt het natuurlijk een stuk langer. Hoe korter de kale ­opstarttijd van een thin client, hoe ­beter tevreden de gebruiker misschien is. Na opstarten verschijnt op de gt7725 het

Control Center (Afbeelding 1). Dit is het ­gebruikersprogramma om ­allerlei sessies te openen, maar ook het ­beheerprogramma van de thin client om door te schakelen naar Admin­mode. Hier configureer je instellingen voor de ­ondersteunde brokers, terminal-servers enzovoort (zie Afbeelding 2). Je kunt een X-terminal-venster openen en hier Linux-opdrachten in uitvoeren, bijvoorbeeld om een lokale browser te starten.

Linux-applicaties In tegenstelling tot het thin client­model dat we zojuist hebben bekeken, is het ontbreken van Windows op de client een voordeel, maar ook een ­nadeel. Het grote voordeel is dat je geen Windows-(mini-)pc hoeft te ­beheren, maar dat je slechts een Linux-­apparaat moet onderhouden. Het nadeel is dat er lokaal natuurlijk geen Internet Explorer, Windows ­Media Player en dergelijke op kunnen draaien. Heb je noodzaak aan ­lokale (hulp)applicaties, dan moeten dit ­Linux-programma’s zijn. De gt7725 lijkt speciaal bedoeld te zijn om te draaien in kiosk-mode, waarbij

Afbeelding 2 Alle brokers en clients geopend op het scherm

56

NetOpus 6 November 2010

het gehele scherm wordt gebruikt voor een remote sessie. Het werken met ­individueel gepubliceerde applicaties is niet zo handig door het ontbreken van een geavanceerdere lokale GUI. Voorgeïnstalleerd zijn alle gangbare brokers die op de markt een rol spelen. Zo vind je standaard de HP Session Allocation Manager (SAM) om met het HP RGS-protocol bijvoorbeeld centrale blade-pc’s te bedienen, de brokers voor Citrix XenDesktop en VMware View, de Leostream Desktop Connection Broker en de broker van Quest. Maar ook de ‘gewone’ Citrix ICA 10.xclient en Rdesktop (RDP-client) 1.6 en TeemTalk terminal-emulatie zijn voorgeïnstalleerd. Met de versie en dus functionaliteit loop je out-of-thebox iets achterop, en voor RDP ben je afhankelijk van wat de open source Rdesktop biedt. De specificaties van de gt7725 zijn indrukwekkend en de lokale performance is goed. De vraag is of je die performance echt nodig hebt, want voor een thin client mogen we het wel een dikke machine noemen, ook met een prijs die niet zou misstaan voor een snelle pc. En het ligt

Thin clients van HP

CONCLUSIE

HP t5740

HP gt7725

er maar ­helemaal aan wat je doet, of die ­performance nodig is of zelfs merkbaar is. Werk je gewoon met het RDP-protocol naar een terminal-server (Remote Desktop Server), dan blijft het werken met applicaties toch ietwat stroperig. Die lokale power heb je pas echt nodig als je gebruikmaakt van geavanceerdere protocollen die lokaal ­gebruikmaken van geïnstalleerde decoders voor grafische formaten en bestanden. Denk daarbij aan PCoIP (van ­Terradice) dat bij VMware in View-versie 4 kan worden of wordt gebruikt, danwel ­RemoteFX dat straks in Service Pack 1 van Windows Server 2000 R2 wordt toegevoegd. Voor HP’s RGS-protocol komt de extra capaciteit ­lokaal ook van pas. Dat je op een centraal gepubliceerde of via VDI aangeboden Windowsdesktop werkt, wil je als gebruiker niet merken, dus elke vorm van stroperigheid is slecht voor de gebruikservaring. Als Linux onder water op de thin client draait, is het besturingssysteem weliswaar te verbergen. Maar op de gt7725 voel je als je Windows bedient, dat de muis zich anders gedraagt - niet sneller of langzamer, maar ‘on-Microsoft’. De thin client ondersteunt tot vier breedbeeldschermen, die ook negentig graden mogen worden gedraaid. Met vier beeldschermen creëer je een effectieve resolutie van 7.680 bij 1.200 of 3.820 bij 2.400 pixels. Met software client aggregation kunnen vier HP gt7725 thin clients worden aangesloten om zestien schermen te bedienen met

één muis en toetsenbord. Dat is soms een vraag uit de financiële wereld.

Beheer beide clients Het liefste pak je een thin client uit de doos en hang je hem ergens aan het netwerk, waarna automatisch de juiste firmware en packages worden gedownload en geïnstalleerd, om vervolgens de client de komende zeven jaar nooit meer te bezoeken. Maar helaas moet je de meeste thin clients upgraden, patchen, van applicaties voorzien, opnemen in je assetmanagementsysteem en meer. De HP thin clients kun je beheren met een hele set aan software-oplossingen. Met de HP ThinState Tools kun je heel snel nieuwe clients uitrollen. HP ThinState wordt gebruikt voor het vastleggen en opnieuw implementeren van een image van een thin client door het image te verplaatsen naar een andere thin client, bijvoorbeeld op een usb-stick. ThinState zou je kunnen beschouwen als de instapbeheeroplossing. Thin­ State zit tegenwoordig in HP Easy Tools, bestaande uit Easy Update, Easy Config en Easy Deploy. De HP Device Manager Agent wordt gebruikt voor assetmanagement en beheer. Je kunt er duizenden thin clients van HP mee vinden, configureren, opwaarderen, klonen en beheren. Wil je naast thin clients ook desktops, laptops, servers en printers beheren, dan kies je voor HP Client Automation. Met HP Image Manager is het mogelijk één image van een besturingssysteem

De HP t5740 heeft uitgebreide ­mogelijkheden, doordat het ­apparaat Windows XP Embedded draait. Ook voor beheer levert HP allerlei mogelijkheden. Windows XP ­Embedded (WES) betekent ook wel dat je meer aandacht moet schenken aan beheer en beveiliging. Het apparaat kost 349 euro (1 GB geheugen) dan wel 379 euro (2 GB geheugen). De HP gt7725 thin client is met 667 euro wat prijziger, duurder dan een gemiddelde pc, maar je hebt dan wel een snelle kiosk-machine, met standaard­ondersteuning van alle brokers en clients en ondersteuning tot vier beeldschermen. Product: HP t5740 Fabrikant: HP Prijs: € 379,- (1 GB), € 409,- (2 GB) Website: http://h10010.www1. hp.com/wwpc/nl/nl/sm/ WF02d/12454-12454-321959.html Product: HP gt7725 Fabrikant: HP Prijs: € 599,Website: http://h10010.www1. hp.com/wwpc/nl/nl/sm/ WF02d/12454-12454-321959.html

voorzien van toepassingen en stuurprogramma’s naar de thin clients te streamen. Tot slot zit er bij de meeste HP thin clients ook nog een client-licentie voor de Altiris Deployment Solution. Het beheerplatform van Altiris zul je afzonderlijk moeten aanschaffen. Alle HP thin clients worden geleverd met drie jaar hardwaregarantie en optionele uitbreiding van het servicecontract met HP Care Pack Services. Verder kun je de clients optioneel uitbreiden met een sd-schijf (529 euro), het Integrated Work Center (montagekit voor thin client en scherm), een usb-smartcard-toetenbord, een touchscreen-beeldscherm en meer. ■

www.netopus.nl

57

Labreport

De dikke en de dunne Wyse C10LE en R90LW

Wyse is de eerste en langst bestaande thin client-fabrikant en is met Citrix de uitvinder van de thin client, toen nog Windows-based terminal genoemd. De eerste thin client kwam in 1995 op de markt. De meeste thin clients in productie wereldwijd zijn van Wyse. Tijd om twee thin clients van deze fabrikant eens te bekijken. Marcel Beelen

W

yse is jarenlang marktleider geweest op het gebied van thin clients. HP heeft een flinke inhaalslag gemaakt en wisselt zo nu en dan stuivertje met Wyse om de eerste plek in verkoopaantallen, maar Wyse blijft marktleider als we kijken naar de installed base van clients ­wereldwijd. Het bedrijf is ­gespecialiseerd in thin clients en dat is tot op de dag van vandaag het geval. Gecombineerd met de brede keuze in

thin clients en softwareaanvullingen kan Wyse hierdoor de status van thin client-specialist handhaven. De fabrikant heeft jammer genoeg geen losse beeldschermen, zodat je niet een ‘complete’ werkplek van Wyse kunt kopen. Je zult - via een partner of zelfstandig - voor beeld­ schermen moeten zorgen. Vaak worden ­bestaande beeldschermen overigens her­gebruikt bij de overstap naar thin clients.

Afbeelding 1 Aanwezige componenten op WES

58

NetOpus 6 November 2010

Modellen van Wyse Wyse heeft een twintigtal ‘desktop’ thin clients en een set aan softwareproducten. Je kunt kiezen uit Wyse ThinOS, Linux, Windows XP, Windows Embedded Standard en Windows CE als besturingssysteem. Bij de desktop thin clients kunt je kiezen uit een viertal form factors (kastmodel), die elk kunnen worden voorzien van één of meer van deze besturingssystemen. Een bijzonder apparaatje is de Wyse Xenith-applicance. Dit is een min of meer uitgeklede en aangepaste thin client die nog het meeste weg heeft van de instapmodellen. De client draait op de Via 1 GHz-processor. Met een zeer snelle opstarttijd is het apparaat geschikt en gecertificeerd voor Citrix XenDesktop (en niet geschikt voor ­VMware View). Verder heeft Wyse zes mobiele thin clients: één model met Linux en vijf modellen op basis van een Windows Embedded-versie (zie Afbeelding 1). Afhankelijk van het model gecombineerd met een besturingssysteem veranderen de specificaties en dus de mogelijkheden. Ingewikkeld ja, maar met de handige tabel die Wyse op de website heeft staan, wordt het

Wyse C10LE en R90LW

helder. Je ziet in één oogopslag de specificaties van elke thin client, welk ­besturingssysteem je erop kunt krijgen en welke presentatieprotocollen en desktopbrokers worden ondersteund. Ook zie je op welke combinatie van besturingssysteem en thin client de software-uitbreidingen TCX en VDA mogelijk zijn (zie kader).

Zero-clients Verder is Wyse een tijdje geleden met ‘zero-clients’ aan de slag gegaan. Dit zijn clients die niet hoeven te worden beheerd in de traditionele zin, doordat ze een image remote booten en draaien; ze hebben geen harde schijf of flash. Wyse WSM (Wyse Streaming Manager), zoals de softwareoplossing wordt genoemd, is een operating system streaming-oplossing gecombineerd met application streamingtechnologie. Deze applicatie wordt geïnstalleerd op een Windows Server 2003/2008 en voorziet zero-clients van een Windows XP-, Vista- of 7-besturingssysteem vanuit het datacenter. Een heel speciale zero-client is de P20. Dit is een aparaat zonder besturingssysteem (en zonder ICA on-board), dat gebruikmaakt van een speciale PCoIP-chip (PC over Internet Protocol), de Teradici 1100P PCoIP. Het apparaat is stateless en driverless en kan elke remote gevirtualiseerde machine over een ip-netwerk bedienen, van Mac- en Windows- tot Linux-werkplek. Helemaal nieuw is de Wyse E01 Zero ­Client. Deze is bedoeld in combinatie met Windows MultiPoint Server 2010. Waar Wyse veel publiciteit mee heeft gekregen, is Wyse PocketCloud. Dit is een ‘mobile’ Remote Desktop Connection-toepassing die met het RDPprotocol communiceert met terminalservers en virtuele desktops op basis van VMware View. De eerste versie was bedoeld voor de iPhone (of iPod Touch), maar daar is inmiddels Pocket­ Cloud voor de iPad en Android aan toegevoegd. Je zou kunnen zeggen dat PocketCloud de RDP-tegenhanger is van de ICA-gebaseerde Citrix Recei-

Wyse C10LE

ver voor deze devices. In mei is Wyse PC Extender uitgebracht op Citrix ­Synergy. Hiermee kan van pc’s een thin client van Wyse worden gemaakt.

Wyse C10LE De C10LE is een ware thin client. Dunner dan dit kan het eigenlijk niet. Het apparaatje heeft een charmant compact design en verbruikt maar 7 watt energie. Met slechts 512 MB RAM, een 128 Mb flash-geheugen en een ThinOS (voorheen Blazer genoemd) FreeBSDgebaseerd besturingssysteem-image van slechts 3 MB, start het apparaatje op in ongeveer acht seconden. De Via 1 GHz-processor is dan ook meer dan voldoende om het apparaat als thin ­client in te zetten. Er zit een ­afzonderlijke grafische chip in, maar als je gewoon met Office werkt, merk je dat niet. Het verslepen van objecten in bijvoorbeeld PowerPoint blijft ietsje stroperig, maar de werkomgeving als geheel reageert verder wel snel. Het scherm sluit je aan met de DVI-I-poort en eventueel kan nog een tweede scherm worden aangesloten. Optioneel kun je dit ­model ook krijgen met WiFi. De client is ­bedoeld om horizontaal in een voet te plaatsen, maar optioneel is een verticale voet te koop. Een

andere optie is een Vesa-set om het kleine apparaatje achter het scherm te monteren. Als je de thin client op het netwerk aansluit, kun je in de Connect Manager de default ICA- of RDP-instellingen maken. Hoewel je kunt kiezen voor Window-mode, is de Full screenmode aan te raden om de lokale GUI te verbergen en er een appliance van te maken. Kruis je Auto-connect on start-up aan, dan toont de client meteen het logon-scherm van je terminal-server- (of XenApp-) serverfarm. Aangezien de XenDesktop-farm op dezelfde techniek is gebaseerd, kun je hier ook de ­broker opgeven voor je XenDesktop-farm. Wyse TCX is voorgeïnstalleerd, maar moet wel met een licentie worden ingeschakeld. Hiervoor vind je op de thin client het hulpprogramma TCX License. Tevens ondersteunt de Wyse C10LE vanaf versie 7.0 HDX ­Media­stream, waardoor ook multimedia-­redirection wordt ­geboden op basis van standaard Citrix-technieken. Bij zowel RDP als ICA heb je ook de ­mogelijkheid Wyse VDA in te schakelen door dit aan te klikken in de instellingen van de client. Verder zijn er enkele kleine hulpprogramma’s aanwezig voor schermreso-

www.netopus.nl

59

Labreport

lutie, netwerkinstellingen en dergelijke. Je kunt instellingen maken voor PPTP en PPPoE en bij de Network Setup kun je de broker opgeven - alleen VDM is te kiezen voor VMware Viewconnectie - en kun je de brokerserver benoemen. Meer is het eigenlijk niet. De C10LE is een kleine krachtpaster, vooral­­geschikt voor RDP en ICA. Merk op dat in ThinOS niet de gewone (open source) Rdesktop-client of ICA-client zit en dat deze ook niet inidiviueel zijn te vervangen. Citrix Merchandising Server om de ICA-client - de Citrix Online-plug-in - te upgraden, werkt dan ook niet. De client-applicaties zijn geïntegreerd in het afgesloten ThinOS. Een groot voordeel is dat ThinOS hierdoor ook echt virusvrij is en blijft. Een apparaatje als dit hoef je nauwelijks te beheren, maar het kan wel handig zijn remote images te updaten. Je voegt enkele vendor-opties toe in je dhcp-server, die concreet het pad voor de ftp-server bekendmaken. Op

die ftp-server plaats je images en INIfiles (met instellingen voor clients of groepen clients). Die INI-files mag je handmatig maken en wijzigen, maar ­handiger is om de Configuration Generator te gebruiken (een GUI met invulvelden) om het INI-bestand te genereren. Met PXE is het mogelijk een nieuw image te booten en te upgraden. Dat wil ­overigens niet zoveel zeggen voor een image van slechts 3,5 MB groot. Het is ongelooflijk knap hoe Wyse in staat is om een besturingssysteem, inclusief de RDC- en ICA-client, in 3,5 MB te proppen. De fabrikant ontwikkelt de ICA-client volgens de specificaties van Citrix. Wyse kiest de features die zinvol zijn zo worden wel Progressive Display en HDX Intellicache ondersteund - of die minder zinvol zijn. Dit kan een ­nadeel zijn. Als er net iets ontbreekt wat je nodig hebt, dan zul je naar een iets dikkere Wyse thin client moeten overstappen. Maar voor het inzetgebied

van deze thin client is deze kunst van het weglaten geen probleem. Ook de RDP-client is door Wyse zelf ontwikkeld en niet gebaseerd op Rdesktop. Het beheer is op deze wijze zeer simpel en vereist geen database of complex beheerraamwerk. Eén image nog kleiner dan een mp3-bestand, voor alle thin clients van dit type en enkele ­andere modellen.

Wyse R90LW Het kastje van de R90LW is wat meer rechttoe rechtaan. Helaas past de voedingskabel van de kleine C10LE niet en moet je die verwisselen. Het beeldscherm is wel aan te sluiten met dezelfde DVI-D-kabel. Het systeem is voorzien van een 1,5 GHz AMD Sempronprocessor en is standaard uitgerust met 1 GB RAM en 2 GB flash; beide zijn als optie te verdubbelen. Optioneel zijn ook WiFi en BlueTooth te krijgen als je die nodig hebt. Een AMD ATI 690E zorgt voor de graphics. Je kunt

overeenkomsten tussen beide producten In dit kader bespreken we drie Wyse-afkortingen die zowel betrekking op de C10LE als op de R90LW hebben. In het Application & Desktop Delivery-themanummer ­bekeken we vorig jaar drie van de functies van TCX, maar inmiddels zijn er in de TCX Suite 4.0 een paar extra mogelijkheden toegevoegd. Voor TCX moet je een aparte licentie aanschaffen, waarna de diverse extra’s mogelijk worden. TCX biedt op dit moment multi-display-ondersteuning, een usb-virtualizer om lokale usb-apparaten beter ­bekend te maken in de sessie, multimedia-redirection waarbij sommige videotypes op de client worden gedecodeerd, ­geluidsverbeteringen over de sessie en flash-versnelling. De technologie heeft een datacentercomponent - die je installeert op de terminal-server of een virtuele desktop én op de thin client. Er wordt gecommuniceerd tussen client en server via een aparte udp-poort, dus buiten RDP en ICA om. Werk je met de laatste versies (XenApp 6, Remote Desktop Services in Windows Server 2008 R2), dan zijn niet alle functies even zinvol. Voor een virtuele desktop­ omgeving of bij oudere versies dan de genoemde platformen heeft TCX handige functies. VDA is nieuw sinds vorig jaar en is Wyse’ Virtual Desktop Accelerator. Het is versnellingstechnologie die je op de thin client inschakelt en die communiceert over udp-poort 3471

60

NetOpus 6 November 2010

met een servercomponent, die je dient te installeren op de terminal-server of virtuele desktop. De software versnelt volgens Wyse zowel het RDP- als het ICA-verkeer tot drie keer, over tragere en wat onbetrouwbaardere netwerk­ verbindingen met latency en packet loss door gebruik te maken van een combinatie van netwerk-tunneling, proxy en pakketcorrectietechnologie. De versnelling werkt voor alle RDP- en ICA-verkeer, dus ook voor bijvoorbeeld het kopiëren van een bestand van de sessie naar een lokaal station. VDA dien je apart aan te schaffen. Wyse Device Manager (workgroup edition) wordt bij elke client bijgeleverd. Maar voor grote aantallen thin clients dien je Wyse Device Manager aan te schaffen. De software biedt remote beheermogelijkheden voor alle thin clients van Wyse. Het biedt alles van shadowing van de clients (met vnc) en inventarisbeheer, shutdown of reboot op afstand, Wake-on-Lan tot het updaten van het image en instellingen. De fabrikant biedt op alle clients drie jaar beperkte ­garantie. Als je eenmaal hebt gekozen voor Wyse, TCX, VDA, WDM en eventueel ook nog WSM, zit je redelijk vast aan Wyse. De kennis die je hebt opgebouwd en de ­beheeromgeving die je hebt ingericht, zul je immers niet zo snel weer ­afbouwen om een ander merk thin client te gaan gebruiken.

Wyse C10LE en R90LW

CONCLUSIE

Wyse R90LW

twee beeldschermen aansluiten die tot aan 1.920x1.200 resolutie aankunnen met het maximaal aantal kleuren. Het opstarten en automatisch inloggen met user-rechten duurt ongeveer vijftig seconden. Daarna zie je het bureaublad van Windows Embedded Standard. Na uitloggen, de Shifttoets vasthouden en weer inloggen als ­Administrator zijn ook de beheertools te zien. Het zal je niet verbazen dat dit Wyse-model veel lijkt op de HP t5740, die eveneens Windows Embedded Standard draait. We zien weer een lokale Internet Explorer-browser en Windows Media Player en je vindt een in en uit te schakelen schrijffilter om het flash-geheugen tegen wijzigingen te beschermen. Ook zijn uiteraard de Citrix Program Neighborhood- en de Remote Desktop Connection-clients geïnstalleerd. Verder is VMware Viewclient aanwezig. Voor Citrix XenDesktop gebruik je de normale farminstellingen van de ICAclient. Verder zien we kleine verschil-

len. Voor shadowing van de client is TightVNC Server aanwezig en Microsofts Base Security Analyser 2.1 (die op een thin client overbodig lijkt). Voor terminalemulatie is Ericoms PowerTerm aanwezig. Welke componenten er zijn geïnstalleerd, vraag je op met Client ­Information. De tijd wordt met de atoomtijd gesynchroniseerd door Neutron, een freeware-applicatie die in de Startup-groep is geplaatst. Werken met een RDP-sessie is wel erg stroperig. Dat was ook te verwachten, want de snelheid van de thin client heeft daar weinig tot geen invloed op. Uiteraard zijn ook op deze client Wyse TCX en Wyse VDA geïnstalleerd.

WES Windows Embedded Standard wordt nog tot 2019 door Microsoft ondersteund. Het grootste voordeel is dat je er de meeste lokale applicaties op kunt draaien, inclusief Silverlight, het .Net Framework en de allernieuwste ICAclient. Maar het is wel een pc die je

De Wyse C10LE valt op door een zeer snelle start door het supercompacte virusbestendige bestu­ ringssysteem. Het is waarschijnlijk de meest compacte RDP- en ICA­appliance in een strak ontwerp, simpel te beheren met standaardnetwerkdiensten. Je wordt wel iets vendor-afhankelijk, doordat je niet zelf RDP en ICA kunt opwaarderen, maar moet wachten op nieuwe firmware. De C10LE kost circa 244 euro inclusief een muis en toetsenbord. De Wyse R90LW is met 474 ­euro wat duurder. Het Windowsbestu­ringssysteem maakt lokale ­applicaties mogelijk, waardoor het uitvoe­ren van een lock-down wel nodig is voor extra beveiliging. De opties TCX, VDA en WDM bieden toegevoeg­de waarde, maar maken het apparaatje wel duurder. We missen verder een kioskmode. Product: Wyse C10LE Fabrikant: Wyse Prijs: € 244,- incl. muis en toetsenbord Website: www.wyse.com Product: Wyse R90LW Fabrikant: Wyse Prijs: € 474,- incl. muis en toetsenbord Website: www.wyse.com

meer moet beheren. De Wyse ­Device Manager (WDM) Agent is daarom al geïnstalleerd, zodat de client met de beheersoftware van Wyse is te benaderen. Je moet wel vooraf op de client de WDM-server configureren. Windows Embedded Standard is wat moeilijker in kiosk-mode te configureren, zodat bijvoorbeeld automatisch het VDI-inlogvenster verschijnt na booten. Zo toont ook de toetscombinatie Ctrl+Alt+Del het lokale security-menu van WES en niet die van de sessie waarop je bent ingelogd. ■

www.netopus.nl

61

Toolbox

Handige freeware voor de beheerder CoRD CoRD is een RDC-client voor Mac OS X om (gevirtualiseerde Windows-)werkplekken en Remote Desktop Session-hosts met het RDP-protocol te bedienen. Natuurlijk kun je de client ook gebruiken voor het remote beheer van Windows-servers door gebruik te maken van hotkeys of de servers-map. Met CoRD bekijk je elke sessie in een eigen venster of toon je alle sessies in één venster. De vensters zijn naar behoefte groter en kleiner te maken en het daarin opgenomen bureaublad wordt automatisch eveneens groter respectievelijk kleiner getoond. Verder kun je de Windows-sessie ook op het volledige scherm bedienen, waarna je Mac er even als een Windows-pc uitziet. Je kunt met deze client geen verbinding maken met vnc-servers of de ingebouwde OS X remote support en deze functionaliteit is volgens de makers ook niet gepland voor toekomstige versies. Binnen CoRD kun je het helpsysteem raadplegen voor detailinformatie over alle opties. CoRD is getest op Mac OS X 10.5 en 10.6. Het is volledige open source-software onder de GPLv2-licentie.

App-V add-on ADM template Je kunt wee versies downloaden van de App-V addon ADM template, eentje voor 32-bit- en eentje voor

Product: CoRD 0.5.4 Licentie: GPLv2 Beperkingen: geen Website: http://cord.sourceforge.net/index.html

64-bit-Windows. De template vult de App-V-template van ­Microsoft aan. Je kunt er eenvoudig instellingen mee ­m aken voor de App-V Windows Desktop Client en voor de Remote Desktop Services-client. Zoals het werkt met ADM-templates open je ze eenvoudig met Group Policy Editor en activeer en deactiveer je de instellingen voor onder meer communicatie en rechten. De templates werken met Microsoft Application Virtualization Client versie 4.5 en 4.6. Je moet je wel bij Login Consultants registreren om deze - en andere - tools te kunnen downloaden. Product: App-V add-on ADM template 2.0 Licentie: freeware Beperkingen: registratie verplicht Website: www.loginconsultants.com

62

NetOpus 6 November 2010

Toolbox

CloudClient OS De 2X CloudClient OS (CCOS) is een mini-Linux-besturingssysteem dat je pc, netbook, laptop en thin client ombouwt tot ‘cloud client’. Wat is een cloud client meer dan een thin client? Eigenlijk niets, want CCOS maakt van elk apparaat een thin client door een bootable operating system te installeren op een usb-drive. Een 512 Mb grote usb-drive voldoet al om het hele besturingssysteem op te installeren. Je downloadt en start het mini-installeerprogramma dat vervolgens de complete download uitvoert, die overigens gruwelijk lang duurt ondanks dat het maar 170 MB is. De ­wizard stuurt je door het proces en installeert de software ­direct op de usb-drive. Daarna start je de computer van de usb-drive. Het is ook mogelijk het OS op een cd te branden, van de harde schijf of via PXE boot te starten. Helaas moet je de hele download opnieuw doen als er iets misgaat met de installatie op de usb-drive of op cd (en dat gebeurde drie keer). 2X zou er slim aan doen ook een isoimage aan te bieden of een slimmere downloadmanager te ontwikkelen die niet elke keer het complete image downloadt. Op de website is een lijst met hardwarecompatibiliteit te vinden, waar de ondersteunde moederborden, netwerkadapters en dergelijke worden opgesomd. Nadat je het apparaat met CCOS boot, heb je de beschikking over

een minimalistische grafische interface die wat lijkt op Windows, met linksonder een startknop en een blauwe achtergrond met daarop enkele pictogrammen. Je vindt er de Adobe 8-pdf-reader, Skype-ondersteuning en een Operabrowser. Op het bureaublad een link naar Google Apps en 2X, en naar VMware View, Citrix XenApp/XenDesktop, en de vnc- en (uiteraard) de 2X-client. Product: 2X CloudClient OS 8.1 (bèta) Licentie: gratis Beperkingen: geen Website: www.2x.com/ccos

RDS Application Compatibility Analyzer Vroeger kostte het soms veel ­inspanning om een applicatie te laten draaien op een terminal-server. Tegenwoordig doen gelukkig de meeste applicaties niet moeilijk meer om ze te laten samenwerken met Remote Desktop Servicesomgevingen. Microsoft biedt een hulpprogramma aan

om te testen of applicaties geschikt zijn. Hiermee kun je dus al vooraf een analyse maken en mogelijk problemen voorkomen. Je downloadt eerst Application Verifier bij Microsoft en installeert deze. Deze software wordt normaal gesproken ook gebruikt om applicaties te verifiëren en certificeren voor het Windows Logo-programma van Microsoft. RDS Application Compatibility Analyzer is hier een aanvulling op. Je installeert TSAnalyzer.x86.msi om vervolgens te testen of een applicatie het goed doet. Normaliter verwacht je Access Denied-meldingen tijdens het werken met een applicatie op een remote Desktop Session Host. De applicatie stopt er dan mee. Met deze handige analy zer draait de applicatie in Administrator-­mode en worden alle potentiële rechtenproblemen gemeld. Product: RDS Application Compatibility Analyzer Licentie: gratis Beperkingen: inloggen om te downloaden Website: https://connect.microsoft.com/tsappcompat

www.netopus.nl

63

Tricks&Traps Lezersvragen beantwoord door onze professionals Proxyserver Ik heb Office 2010 gevirtualiseerd met Microsofts App-V. Office 2010 werkt op zich prima, maar voor ­e nkele ­z aken wil Office naar het internet voor extra informatie. Wij werken binnen ons bedrijf echter met een proxyserver die we hebben ­ingesteld op alle pc’s gebruikmakend

Remote inloggen We beheren vijftig Windows-servers op afstand door in te loggen met de RDC-client en het RDP-protocol. Nu is er één server die sinds een tijdje vanaf Windows Vista-werkplekken niet meer op deze wijze is te ­b enaderen. We krijgen de melding: ­“ Remote Desktop cannot connect to the remote computer because the authentication certificate received from the remote computer is expired or invalid. In some cases, this error might also be caused by a large time discrepancy between the client and server computers.” Het vreemde is dat het wel goed gaat vanaf een Windows 7-werkplek; dan verschijnt de foutmelding niet. Wat is er met die ene server aan de hand? Je beschrijft het niet, maar we nemen aan dat je inlogt via de RDC-webclient en TS Gateway, de webinterface voor remote desk top-sessies, omdat de melding over certificaten gaat. Het pro­ bleem kan worden veroorzaakt doordat de tijd op de servers en werkplekken te veel verschilt of er grote tijdzonever­ schillen zijn. Is dat niet het geval, dan is het mogelijk dat het certificaat voor Remote Desktop Services is verlopen.

van Group Policy. Office weigert echter naar buiten te gaan. Wat kunnen we hieraan doen? De proxyserver is ingesteld in Internet­ opties van Windows. Je opent deze door in het Configuratiescherm te kie­ zen voor Internetopties. De gevirtuali­

Verwijder dit en maak een nieuw cer­ tificaat aan, eventueel een self-signed certificaat.

Versie XenDesktop Hoe kan ik zien of wij met Citrix XenDesktop 3.0 of 4.0 werken? Ik weet dat we de Platinum Editie hebben, maar kan de versie nergens vinden. Je kunt dit op diverse manieren zien. Het handigste is om even op de Desk­ top Delivery Server (DDC) te kijken. Is hierop de Access Management Con­ sole aanwezig, dan werk je waarschijn­ lijk met versie 3. Heet de beheercon­ sole echter Delivery Services Console, dan zul je versie 4 gebruiken. Open de ­b eheerconsole - ze zijn hetzelfde, ­a lleen met een andere naam. Blader naar de controller van je farm en klik met de rechtermuisknop op één ervan. Kies daarna Change Display en selec­ teer ­Information. De versie van de DDC is de versie van XenDesktop en wordt vervolgens weergegeven.

Vm-densiteit We willen zoveel mogelijk Windows 7 virtuele machines per host draaien in

seerde Office ziet deze instelling ech­ ter niet. De oplossing is om het pro­ gramma waarmee je dit instelt (inetcpl. cpl in %systemroot%system32) mee te ­v irtualiseren met Office. Je kunt hier­ mee dan een alternatieve proxy voor Office 2010 instellen. Dat moet je pro­ bleem oplossen.

onze VDI-omgeving. Wat kunnen we aan het image finetunen om de vmdensiteit drastisch te vergroten? Op dit moment krijgen we maar een stuk of twintig vm’s op onze hosts. Een draaiende vm verbruikt processor­ tijd, geheugen en pleegt disk-i/o. Dat zijn dan ook de voor de hand liggende zaken die je kunt tunen. Verder ligt het sterk aan de applicatiemix die je binnen Windows 7 uitvoert. Je zou bijvoor­ beeld in het Windows-image Applicati­ on Experience, Distributed Link Track­ ing, Offline Files, Themes, Windows Media Player Network Sharing, System Restore en tientallen andere onnodige services kunnen uitschakelen. Vooral de Indexing Service en ­Defragmentatie kunnen onnodige capaciteit snoepen. Als je alles hebt getuned en eraan gaat meten, zul je echter merken dat je niet meer vm’s op de host kunt draaien. Je wint geen processortijd en geen ­g eheugen. Je wint wel wat op diski/o, dus een direct effect is dat appli­ caties net een fractie sneller lijken te starten. Het loont dus zeker de moeite het image te tunen, maar wel om een ­a ndere reden. De inspanning is nor­ maal gesproken ook eenmalig, o ­ mdat je (bij voorkeur) slechts één ­image

www.netopus.nl

65

Tricks & Traps

­ nderhoudt in een VDI- omgeving. o ­A nders is de situatie voor het tweaken van Windows zelf. Net zoals al jaren met terminal-servers het geval was, loont het de moeite grafische animaties te beperken. Dit levert een fractie betere respons op aan de werkplekzijde bij de gebruiker en bespaart op bandbreedte op het netwerk. Handig als je over een tragere verbinding werkt.

deze wel, dus het probleem lijkt hem niet te zitten in het .Net-raamwerk. Listing 1 Citrix offline plug-in Error Unable to run. Contact your help desk with the following information. You need the following software to run this application. Name: Microsoft .NET Framework Version: 4.0.30319 or later

Volle partitie Wij hebben een Hyper-V-ser ver ­g eïnstalleerd met een systeempartitie van 16 GB. Nu is deze partitie (de C:-schijf) echter volgelopen. Na wat poetsacties hebben we nog 1 GB kunnen vrijmaken, maar als we ‘extend’ gebruiken om de partitie te vergroten, klaagt het systeem nog steeds dat we te weinig lege ruimte hebben voor deze handeling. Het probleem zit hem er waarschijnlijk in dat de tweede partitie (de D:-schijf) vol zit of in gebruik is. Het is alleen ­mogelijk een partitie te vergroten als je de D:schijf ernaast verwijdert. Pas dan kun je een partitie extend uitvoeren. Natuurlijk zou je ook kunnen kijken naar commer­ ciële producten voor partitiebeheer.

.Net-raamwerk We hebben een Erp-applicatie frontend ontwikkeld met Visual Studio 2010 en maken gebruik van het .Netraamwerk van Microsoft. We zijn genoodzaakt de Citrix streaming profiles 5.2 en Offline streaming plug-in 5.2 te gebruiken. Voorafgaand aan het maken van het package hebben we het raamwerk geïnstalleerd op de profiler-machine. Het profile-proces gaat verder goed en de applicatie start vanuit de profiler. Als we nu het package starten op een XenApp-server waarop ook het .Net-raamwerk vooraf is geïnstalleerd (stream to server), krijgen we een foutmelding (zie Listing 1). Als we de applicatie gewoon installeren op de server, draait

66

NetOpus 6 November 2010

Deze fout wordt waarschijnlijk veroor­ zaak t door de Pre-launch-analyse. Open het package en klik met de rech­ termuisknop op Properties. In het tab­ blad Pre-launch Analysis dienen geen instellingen te zijn gemaakt of deze dient te zijn uitgeschakeld.

32-bit-applicaties We willen enkele 32-bit-applicaties gebruiken op Citrix XenApp 6, maar dat is alleen een 64-bit-omgeving op Windows Server 2008. Natuurlijk kun je een XenApp 5-farm inrichten voor dit doel om 32-bit-appli­ caties te ondersteunen. Maar Windows Server 2008 R2 ondersteunt gewoon 32-bit-applicaties, zelfs als de 32-bitontwikkelaar nog geen 64-bit-omge­ ving ondersteunt. Soms maken ech­ ter 32-bit-applicaties gebruik van een ­o udere 16-bit-installer, en die draait inderdaad niet op 64-bit-omgevingen. Als oplossing zie je dat bedrijven de ­applicatieprofielen op een 32-bit-bestu­ ringssysteem zetten (waarop de 16-bitinstaller wel draait) en vervolgens dit package aanbieden en draaien op het 64-bit-platform. De installer hoeft dan niet op de 64-bit-omgeving te draai­ en. Dit is misschien niet helemaal vol­ gens de best practices, maar de moeite waard om te proberen.

ThinAppen We zijn bezig om Outlook 2010 te ThinAppen . Als ik Outlook de eerste

keer daarna start, werkt het prima. Outlook begint zich echter opnieuw te configureren na een reboot van het systeem. Er verschijnt een foutmelding: “Error 1719: The Windows Installer Service could not be accessed...” Wat doen we nu? Wij hebben geen enkel idee. G lob a a l we r k t het m a ke n va n h et ­package als volgt. Installeer Office 2010 (of Outlook 2010) op een verse Windows XP SP3 virtuele machine voorzien van het .Net Frame­ work 3.5 SP1. Start nu de Pre-scan. Verbindt het cd-image van Office en selecteer in het installeerprogramma ‘run all from my computer’ om te voor­ komen dat er later om de cd wordt ­g evraagd. Start na de installatie Mi­ crosoft Word en kies Activate Product in het File/Help-menu. Vul nu de MAKsleutel in. Draai dan het Capture- en het Build-proces om het gevirtualiseerde ­package te maken. Het installatieproces inclusief product­ activering van Microsoft Office 2010 is overigens goed uitgelegd bij VMware. Kijk daarvoor op de link: http://blogs. vmware.com/thinapp/2010/08/step-bystep-instructions-on-how-to-thinappoffice-2010.html. Wat er in dit geval waarschijnlijk mis­ gaat, omdat het probleem alleen na een reboot optreedt, is dat de Office Soft­ ware Protection Service niet automa­ tisch wordt gestart. Deze service zorgt ervoor dat er geen illegale kopieën van Office worden gemaakt. Start deze ser­ vice en Office draait zoals het hoort. We hopen je ook deze keer weer een stukje op weg te hebben geholpen. Kom maar op met de volgende vraag! ■

Vragen & Opmerkingen Heb je een specifieke vraag die je aan onze experts wilt voorleggen of heb je opmerkingen over artikelen in NetOpus? Mail deze dan naar: [email protected]