Ictivity Eindhoven ZEN 10 presentatie 7 juni 2007 Inleiding Toine van Eijk Zen krijgt een geheel nieuwe architectuur, codename Brimstone. De Zen versie die nu komt heeft codename Pulsar. Er is geen edirectory meer nodig. De agents zijn totaal anders. De inrichting van je edirectory wordt totaal anders. 50% zijn nu Zen objecten, deze zullen allemaal verdwijnen. Dit kan leiden tot een redesign. Mogelijk moet er een andere hierarchie in de ldap komen. Novell gaat naar OES2 (Linux). Er wordt niet meer ontwikkeld aan Netware, dus alle certificeringen/opleidingen zullen anders worden. Voor het gewone beheer is geen andere kennis nodig (imanager gebruik), maar voor onderhoud van de server is wel andere kennis nodig. Certified linux professional – traject van 13 dagen. OES2 fundamentals, OES2 implementation, enterprise services. Mogelijk komt hier een standaard traject voor tegen een kortingsprijs. Demonstratie Zenworks Configuration Management Frank Bezemer – Demo Pulsar beta 3. Zal Zenworks 10 gaan heten. Frank heeft een testomgeving in vmware opgebouwd. Servers: SLES 10. Windows 2003 met AD. Netware 6.5 met Zen 7. Alle servers kaal. Werkstations: Windows XP, Windows Vista. Installatie Een groot verschil met de vorige versie is dat je de installatie vanaf de server doet, niet het werkstation. Het kan ook met een ssh -X verbinding naar de SLES 10 server. De installatie is 2gb. De installatie is erg eenvoudig. Je mag op de SLES server geen Apache geinstalleerd hebben! Apache zet de installatie er zelf op. Firefox moet er wel op staan. De eerste vraag is new of existing management zone. Dit is de configuratie database waar meerdere Zen servers in kunnen staan. Het is ongeveer te vergelijken met een edirectory tree. Tweede vraag is embedded of remote Sybase SQL Anywhere of ms sql server. Sybase wordt standaard meegeleverd. Er is nog geen support voor Oracle en MySQL. Oracle komt waarschijnlijk in de final en MySQL waarschijnlijk in SP1. Novell zegt dat Sybase voldoende is tot 10.000 concurrent 'gebruikers' (werkstations). Normaal is remote Sybase in geclusterde omgeving voor grote systemen. Lokaal Sybase is voor kleinere systemen. Voor meer dan 10.000 is het misschien beter te wachten op de volgende Zen versie, Corona. Op dit moment is er nog weinig informatie over welke database geschikt is. Sybase zit er wel gratis bij. Meerdere zenworks servers in dezelfde zone gaan met elkaar synchroniseren. De derrde vraag is internal of external certificate authority. Daarna gaat de installatie aan de slag. Nieuw in Zen 10 Zen 10 vereist SLES 10 en minimaal 2 gb geheugen. Geen webserver geinstalleerd, wel Firefox. (Bij installeren op Windows mag IIS er ook niet al op staan.) Die grote hoeveelheid geheugen is voor de cache van de database. Gebruikt geen edirectory, alleen nog maar LDAP. -Ondersteunt LDAP naar AD, edirectory, Sun One. Kan deze ook combineren, kan users uit meerdere directories halen. -Doet non intrusive read only toegang op de directories. -Gebruikt LDAP alleen voor user authenticatie, niet voor werkstation objecten opslag.
Heeft verminderd netwerk verkeer: -De pulsar agent maakt soap calls (http/https) naar de server. -Alle logica zit op de server. De server kijkt welke apps het werkstation heeft en wat de gebruikers krijgen. Geen tree walking meer door de client zoals nu, geen hoge server utilization meer. Als de server zwaar belast wordt kan je er vrij makkelijk een bij zetten en gaan ze zelf load balancen. -Elke gebruiker krijgt een GUID en die wordt gekoppeld met waar die gebruiker rechten op heeft. Geen sync tussen Zenworks en je user database nodig. -Geen ncp verkeer naar de server. -Kan werken met een http proxy. Verdere verschillen: -Geen netware32 client meer nodig op het werkstation. -Het beheer is volledig web based. Er is een aparte console voor alle Zenworks producten (zcc). Indien gewenst er er een plugin in imanager mogelijk. -Alleen SLES10/OES2 en Windows 2003 wordt gesupport, geen Netware meer, waarschijnlijk ook geen OES1. -Support voor sybase en mssql -Support voor Vista 32/64 -Eenvoudige installatie -Alleen MSI voor de applicaties, geen AOX/AXT snapshots meer. Er komt een migratie tool. Adminstudio wordt bijgeleverd om nieuwe apps te maken. (De migratietool werkt slecht in de beta.) -Er is een modulaire agent op het werkstation. Niet meer een aparte agent voor iedere Zen functie, het is een core + modules. Er zijn de installatie applicaties module, policies module, remote management module, asset management module, enz. Deze worden bijgehouden vanuit de server, nieuwe modules worden vanzelf naar de werkstations gestuurd. -Patch management voor Windows is geintegreerd in Zenworks 10, het is niet meer een apart product. Bijna niks is meer hetzelfde als Zen 7. Zen 10 draait op een primary server met LDAP verbindingen naar de diverse directories. De werkstations met agents hebben https verbindingen met de primary server. De werkstations hebben een CIFS verbinding naar de file/printservers. (Een certificate authority server is dus een vereiste.) Post-installatie, de eerste stappen Aan het eind van de installatie komt in Firefox de installatie log. Als er geen Firefox aanwezig is dan stopt de installatie hier. Als de installatie succesvol was dan kan je naar de Zen console. Dit kan de eerste keer lang duren! (Kijk met top -> je ziet dat hij de database initialiseert.) Inloggen met het wachtwoord wat hij vroeg tijdens de installatie, er is nog geen ldap contact met een directory. Er staat nu een Tomcat op de server. Alles draait in Java. Je kan de server nog wel gebruiken voor andere toepassingen. Er mag best bv een edirectory op, maar hij gebruikt hem dan zelf niet. (Bij Zen 7.2 mag dit niet.) Er mag alleen geen Apache op. Op de Zen server zijn maar enkele users nodig, om de configuratie console te kunnen bedienen. De menu links in de console zijn: devices, users, policies, bundles, vulnerabilites (patch management), deployment, reports, configuration (van de server). Na de installatie moet je een read only user aanmaken in edirectory en in AD. Deze moet leesrechten hebben op de tree. Pas daarna kan je user sources aanmaken in de configuratie van de Zen server met behulp van deze read only user. Altijd een ssl verbinding hiervoor gebruiken. Deze leest het certificaat automatisch uit via TLS dus je hoeft het niet te exporteren vanuit de edirectory server. In de beta mag je
niet de hele tree selecteren maar alleen een O. Dit is waarschijnlijk een bug. De username moet in msformaat (user@domain) worden opgegeven in de beta voor AD, niet in LDAP format wat op het scherm wordt gezegd. Dit is waarschijnlijk ook een bug. OpenLDAP wordt nog niet gesupport. Bij deze zenworks kan je workstations discoveren. Vroeger moest je in je DNS een naam van je Zenworks server hebben en ging de agent contact zoeken met de server om het werkstation te importeren. Dit is nu niet meer. Er is nu een IP discovery task voor het afzoeken van het netwerk, of een LDAP discovery task om uit een directory de werkstation objecten uit te lezen. Dat doe je 1 keer tijdens de migratie van Zen 7 naar Pulsar. IP discovery task kiezen. IP range die afgezocht moet worden. Dan vraagt hij om credentials waarmee hij op de werkstations kan inloggen om ze te onderzoeken. Mogelijk zijn LDAP, Linux, Windows, SNMP. Op de Windows werkstations moet dan file sharing aanstaan! Als de credentials niet werken zal het station als een unknown in de lijst komen. Als hij windows workstations heeft gevonden kan je er de Zen client heen laten pushen. Ook hier weer credentials opgeven en file sharing moet aan staan. Het is nu nog beter de client handmatig te installeren (beta). Deployment naar discovered devices gaat straks wel werken. (De database kan heel snel heel groot worden want zaken als MSI files komen er ook in te staan. Je moet zelf voor de fouttolerantie zorgen. Dit is heel anders dan edirectory waar het systeem zelf voor de mirroring zorgt van zijn database. Het draaien met 1 Zenworks 10 server is nogal tricky. Je moet hier zelf voor fouttolerantie van de database zorgen. Meerdere zen servers gaan wel elkaars gegevens repliceren dus dan is er wel redundancy. ) (vmware workstation 5 onder linux laat wel een vista installatie toe. vmware onder windows niet, geen 3d support wordt er dan gezegd.) De Zen client op het werkstation In de beta installeert de client alle modules meteen lokaal. In de final installeert de client alleen de core en haalt hij de modules op wanneer nodig. De client kan op verschillende manieren op het werkstation gezet worden: -Deploy -In een image -Met de hand (web download) -Via een script De client heeft een automatische update en is modulair opgebouwd. De client gebruikt .net 2.0 en mono (C#). Nieuwe functies kunnen makkelijk en automatisch via een module worden toegevoegd. Patch management kan ook niet-ms producten voorzien van patches. WSUS kan dit niet. De agent geeft info door aan de server of het installeren van een applicatie gelukt is en of de policies gepakt hebben. Bij de eerste keer inloggen wordt een inventory gedaan dus dat duurt lang. Na de Vista login popt er een Zenworks desktop management login box op. De Zen login gegevens worden via casa in Vista opgeslagen. De volgende keer wordt er single sign on gedaan en komt die box niet meer. Dit is omdat vista geen gina meer gebruikt voor de login. Als je xp of win2k met novell client gebruikt dan popt
deze Zen box niet op. Ook als de Vista in een AD hangt of de Novell client heeft dan komt de box ook niet. Maar omdat Vista geen gina heeft zijn er toch twee logins dan. Het Vista werkstation is nu geimporteerd in Pulsar. De volledige inventory zit dan meteen in Pulsar. Er is geen scheduling enz hiervoor nodig. Het werkstation overnemen gaat voortaan met een speciaal aangepaste VNC. Dit werkt in de beta nog alleen voor windows-windows. Werkstation beheer Een bundle is een verzameling opdrachten die naar het werkstation gaat. -applicatie -directive (actie uitvoeren op het ws) -file (bestand naar ws) -preboot (pxe / image) Een bundle is te koppelen aan users of groepen. Soorten bundles: -directive -files -imaging -windows (applicatie) Bundle applicatie categorie: -msi app -msp app -simple app - ..... Je kiest een msi. Deze wordt op de server opgeslagen en gaat met soap naar het werkstation (met systeemrechten). Je kan hem koppelen aan user of groep via een zenworksusergroup. Je kan een zen groep maken waar een ad en een edirectory groep samen in kan zitten. Ze hoeven niet dezelfde naam te hebben. Shortcut location enz is hetzelfde als bij de huidige zen. Er is een z ikoontje in de systray. Hier kan je zien wat de zen agent gedaan heeft of aan het doen is. (kan je uit zetten) (show progress). Je kan ook apps langzaam naar de nal cache laten gaan als de gebruikers nog niet ingelogd zijn. De bundels worden gecomprimeerd en geencrypt op de server opgeslagen. Elke primaire server downloadt en updeet bundles van andere primaire servers dmv het http protocol. Je zou zelfs een werkstation als een distribution point kunnen aangeven, als een werkstation een applicatie in zijn nal cache heeft staan kan die het naar een ander werkstation sturen wat er vlakbij staat. Je moet dit dan wel van te voren instellen voor het betreffende werkstation. Alles komt dan vanaf de primary server behalve de grote file met de applicatie. Dat scheelt netwerkverkeer buiten het lokale segment. Je kan dit ook via een http proxy laten lopen voor de caching. Remote control werkt met VNC. De viewer werkt nu nog alleen onder windows. De viewer is een aparte kleine installatie. Je moet connecten via user naam of werkstation naam vanuit het control center. Bij Vista moet je wel op de firewall op het werkstation instellen dat hij dit door moet laten. De VNC verbinding werkt met TLS encryption. VNC heeft een invite functie, dan kan je met meerderen kijken naar het overgenomen scherm. Blank screen lijkt niet te werken, dit kan door beta of vmware komen.
Er zijn veel nieuwe policies. Er zijn nu: browse bookmarks, dynamic local user, local file rights, printer, remote management, roaming profile, snmp, windows group, zenworks explorer configuratie policies. Als je in het control center een Vista policy wilt aanmaken moet je dit ook vanuit een Vista client doen. policies – create new – group pol. Hiervoor moet ook een klein helper programaatje geinstalleerd worden (active x control). define details – object editor. De policies komen gezipt in een map op de server. Ook hier hoeft de gebruiker geen rechten op te hebben. Het instellen van de policy is verder het bekende werk. In vista zitten hier nog bugs in de beta, niet in win2k en xp. De applicaties worden nog niet gevirtualiseerd. Op servers is er wel virtualisatie, met Xen. In sles 10 sp1 is een nieuwe optie bijgekomen om je Xen virtuele machines live te kunnen verplaatsen van de ene server naar de andere, via shared storage, net zoals vmotion van vmware dat kan. Bij paravirtualisatie kun je on the fly hardware toevoegen of geheugen uitbreiden. De beheer module orchestration kan als hij VMs met problemen ziet zoals bv te weinig geheugen, uit zichzelf on the fly geheugen toevoegen. Voor echte virtualisatie is nog steeds de speciale processor van intel nodig. (er is een update voor xen van Xensource die wel een ongemodificeerde win xp kan draaien op een gewone processor? Virtualbox kan dit al, maar uitsluitend via RDP.) De inventory reports komen uit de database met read only info uit de ldap directories waar nodig. Dit kan nu via een web interface benaderd worden. Er is geen aparte client op werkstation meer nodig. Een aantal standaard rapporten zijn al voorgeconfigureerd. Dit kan worden geexporteerd naar excel of csv. Verder is het vrijwel het zelfde als zen 7. Migratie van zen 7 naar Pulsar De migratietool werkt met zen 4.0.1, 6.5 en 7. Er is een NCP verbinding naar de oude zenworks server nodig, dus client32 vereist. Voor de applicaties is Adminstudio nodig. AXT/AOT applicaties moet je migreren naar msi (kan met adminstudio). Je moet je applicaties goed testen. Bij de huidige zen/adminstudio kan je naderhand nog wijzigingen aanbrengen, bv registry edits. De demo versie zet die in een mst. Het project waar je de mst mee gemaakt hebt moet je altijd bewaren. Als je de mst wijzigingen echt in de msi wilt hebben moet je de professional versie hebben. Die zit niet bij zen 10. Als je een snapshot omzet naar een msi en je bewaart het project, dan kan je de msi die daaruit komt altijd aanpassen door hem opnieuw te genereren. Je kan vanuit zen 7 in het nal object wat je gemaakt hebt vanuit een msi registry edits invoeren. In zen 10 kan dit niet, die moet je dan in een mst zetten of in het project bestand. Dit zorgt voor extra veel testen. De final versie van adminstudio voor zen 10 is er nog niet, dus wie weet komt deze uitbreiding nog wel. Start de zenworks configuratie management migratietool. Inloggen op edirectory met admin. Server DNS opgeven. LDAP certificate uitwisselen. Dan inloggen op de zen 10 server. Je ziet twee vakken op het scherm: links de source edirectory tree, rechts de zen 10 destination zone. Je kan applicaties, images, policies, werkstations, associations migreren. Klik op de app en kies migrate now. Een enorme lijst meldingen zoeft over het scherm. Als de migratie lukt krijg je er een bundel bij met die app. Je kan dit migreren naar de nieuwe server doen terwijl de oude server gewoon doordraait. Er wordt niets veranderd aan de edirectory dus niemand merkt er iets van. Pas als je de nieuwe agent gaat installeren wordt de nieuwe server gebruikt. Blijkt het niet te werken dan kan je eenvoudig terug naar je oude server.
Het migraten van een image is het kopieeren van de image naar de bundles. Ook met compressie en encryptie. Het probleem met de beta is dat hij de hele image eerst in het geheugen van de server zet en dan een out of memory error geeft bij grote images. Hopelijk is dat in de final weg. Er is op dit moment nog geen documentatie van de imaging in zen 10. Die is iets anders dan die van zen 7. De applicatie dependancies blijft op dezelfde manier werken, met dependancy bundles. In het scherm van iedere applicatie krijg je een overzicht hoe vaak de app geinstalleerd is op een werkstation en hoe vaak dat goed of fout is gegaan enz. (het gebruik van de applicaties wordt geteld in asset management.) Zo wordt heel veel bijgehouden, bv per computer wordt een primary user bijgehouden, degene die er het meest op inlogt. Het kan op allerlei manieren worden ingesteld hoe dit geteld wordt. Toekomst In verdere versies van zen komt ook ondersteuning voor openldap, sun one, redhat directory service. Ook meer databases, oracle, mysql misschien. Ook komt er satellite site ondersteuning, dit is een kleine bijlokatie met een trage wan verbinding, hetzelfde als een primary server maar dan met aanpassingen voor de trage verbinding. Ook zal er gaan komen dat je servers rollen kan geven. Bij zen 10 doet iedere server alles, dat kan later uitgesplitst naar content server (distribution), collecting server (inventory en logs), imaging server, configuratie server (waar de console op draait?). Ook komt er support voor Linux clients, (nu alleen windows clients) en integratie met asset management en handheld management.
