Gefragte Packstation
Will man in heutigen Umgebungen viele Arbeitsplatz-PCs mit vertretbarem Kostenaufwand aktuell halten, funktioniert das nicht ohne Softwareverteilung. Zwei Beispiele zeigen, dass sich hier für Open-Source-Ansätze gute Einsatzmöglichkeiten eröffnen, bieten sie doch durch den Entfall von Lizenzkosten zusätzliches Sparpotenzial ohne große Abstriche beim Funktionsumfang.
- Florian Effenberger
Eine zentrale Softwareverteilung erfĂĽllt gleich mehrere wichtige Aufgaben. Kommen neue Clients hinzu, lassen sich diese vollautomatisch mit Betriebssystem nebst Anwendungen ĂĽber das Netz installieren. Bestehende Clients behalten stets den aktuellen Softwarestand, und die EinfĂĽhrung neuer Produkte kann in deutlich kĂĽrzerer Zeit erfolgen. Insbesondere in Bereichen mit sensiblen oder gar personenbezogenen Daten fĂĽhrt kein Weg an aktueller Software vorbei, will man sich nicht unkalkulierbaren Risiken aussetzen.
Bitte Obacht beim Zentralisieren
Zudem ist ein vergleichbarer Softwarestand auf allen Geräten für effektiven Inhouse-Support und Mitarbeiterschulungen unerlässlich. Ähnliches gilt für eine zentrale Konfiguration der Programme, die sich über dieselben Mechanismen erreichen lässt.
Am Markt buhlen zahlreiche Anbieter professioneller Verteilungslösungen um die Gunst der Kunden. Zwei Fallbeispiele sollen zeigen, wie vergleichbar die Problemstellungen in Unternehmen und Verwaltungen sein können, und welche Vorteile der Einsatz freier Software bietet. Rede und Antwort standen dabei der Kommunale Betrieb für Informationstechnik (KommunalBIT) aus Fürth sowie die Bremer Stute Verkehrs-GmbH. Erstere, eine Ausgründung der IT-Verwaltungen der Städte Erlangen, Fürth und Schwabach, versorgt als Anstalt öffentlichen Rechts mit 60 Mitarbeitern rund 3300 Nutzer in den Stadtverwaltungen sowie an 33 Schulen mit IT-Dienstleistungen. Die Stute Verkehrs-GmbH ist ein Tochterunternehmen des internationalen Logistikers Kühne & Nagel und hat rund 2000 Mitarbeiter an über 30 nationalen Standorten.
iX-Tract
- Softwareverteilung gehört in größeren Umgebungen zu den essenziellen Werkzeugen der Systemverwaltung.
- Da Windows-Server- und -Client-Access-Lizenzen wegfallen, können Open-Source-Ansätze auf der Kostenseite punkten.
- Mit opsi bietet die uib GmbH ein Linux-Paket, mit dem sich auch heterogene Umgebungen zentral verwaltet aktuell halten lassen.
Im Prinzip kann die Ausgangssituation der beiden repräsentativ für die Situation vieler großer Einrichtungen herhalten: Sowohl bei der KommunalBIT als auch bei Stute ist neben dem aktuellen Windows 7 derzeit zusätzlich noch das zehn Jahre alte Windows XP im Einsatz, dessen Austausch gegen die neue Version erst sukzessive erfolgt. Bei Stute laufen gut 30 % der Systeme bereits mit Windows 7, bei der KommunalBIT erst etwa 5 %. Beide Unternehmen versehen neue Arbeitsplätze direkt mit Windows 7.
Der Parallelbetrieb beider Betriebssystemversionen ist je nach Anwendungsszenario keineswegs unproblematisch: Nicht nur, dass Microsoft mit Vista einen völlig neuen Setup-Prozess eingeführt hat, der auch Änderungen bei der Treiberintegration mit sich bringt. Die zusätzlichen Policies, die geänderten Pfadnamen und die erweiterten Sicherheitsfunktionen können Admins vor zusätzliche Probleme stellen.
Pinguine und Fenster im Zusammenspiel
Sowohl KommunalBIT als auch Stute setzen für die Softwareverteilung gerne auf Linux-basierte Lösungen, denn die Vorteile freier und offener Software liegen auf der Hand. So lassen sich Windows-Clients ganz ohne teure Windows-Server und dazugehörigen Client-Access-Lizenzen (CALs) dank Samba in einer Domäne verwalten. Zudem eröffnet die Nutzung Linux-Servern Zugang zu einer Vielzahl von selbst anpassbaren Tools und Diensten, für die unter Windows oftmals nur proprietäre und teure Lösungen existieren.
In puncto Softwareverteilung hat der Windows Server allerdings einen kleinen Heimvorteil, unterstützt er doch die grundlegende Verteilung von MSI-Paketen via Active Directory. Aufgrund dessen diesbezüglich recht eingeschränkten Funktionsumfanges ist die Nutzung separater Tools jedoch von Vorteil.
Sowohl die KommunalBIT als auch Stute haben sich dabei für ein Produkt aus deutschem Hause entschieden, die „Open PC Server Integration“, kurz opsi der Mainzer uib GmbH [a, b]. Die Software basiert auf Linux und baut auf freie Komponenten wie Samba, MySQL sowie gängige TFTP- und DHCP-Implementierungen auf und steht auf der Webseite [c] als VMware-Image zum Download zur Verfügung. Daneben existieren Versionen für Debian, Ubuntu, den Univention Corporate Server, openSUSE, SUSE Linux Enterprise, Red Hat Enterprise Linux und CentOS. Das Produkt unterstützt die Installation von XP, Vista, Windows 7, Windows Server 2003 sowie 2008 und die anschließende Softwareverteilung samt Inventarisierung. Support für Linux-Clients ist zwar in Planung, aber derzeit leider noch nicht verfügbar, sodass man hierzu bei Bedarf eine zweite Lösung parallel installieren muss.
Open Source made in Germany
Interessant ist dabei uibs Lizenzmodell: opsi ist als Projekt bei SourceForge registriert und steht unter der GPLv3, ist also freie und quelloffene Software. Das gilt jedoch nicht für alle Komponenten: Neue Funktionen werden zunächst im Rahmen eines sogenannten Kofinanzierungsprojekts entwickelt, bei dem interessierte Anwender sich an den Entwicklungskosten beteiligen können. Die Preise beginnen je nach Modul zwischen 500 € und 2000 €, dafür erhält der Anwender einen Lizenz-Key, der die Funktion freischaltet. Nach der erfolgten Refinanzierung verspricht der Hersteller, auch diese Module unter einer Open-Source-Lizenz freizugeben. Ein Beispiel dafür ist die Unterstützung für Vista und Windows 7, die mittlerweile für jedermann erhältlich ist.
Kostenpflichtig sind derzeit unter anderem das Lizenzmanagement für installierte Software, das MySQL-Backend für Konfigurationsdateien, die hierarchische Gruppenverwaltung für Clients und Produkte sowie die Installation auf Anforderung im sogenannten Kiosk-Modus. uib gab dazu an, dass man den Kiosk-Modus kurz nach Drucklegung dieses Artikels ebenfalls ohne Lizenzgebühren bereitstellen werde. Sowohl Stute als auch die KommunalBIT haben sich an einzelnen Modulen beteiligt, um die zusätzlichen Funktionen nutzen zu können.
Trotz der Kosten für die zusätzlichen Module bringt eine Softwareverteilung gerade im kommunalen Bereich erhebliche Vorteile, wenn sich mehrere Städte und Gemeinden zusammenschließen. Diese stehen durch die vielen Einrichtungen wie Behörden, Schulen und Kindergärten oft vor dem Problem, ausreichende Betreuung für die lokalen Netze bereitzustellen. Während es in der Verwaltung noch dedizierte Ansprechpartner gibt, sieht die Situation im Bildungsbereich deutlich schlechter aus, was immer wieder zu Schwierigkeiten führt. Um die Kompetenzen zu bündeln und die Arbeit für alle Beteiligten zu erleichtern, entstehen in letzter Zeit daher vermehrt kommunale IT-Dienstleister, die einen Großteil der Infrastruktur zentral betreuen. Diese müssen die Arbeitsabläufe, Konzepte und Prozesse nur einmal erstellen; das entlastet die einzelnen Einrichtungen und konzentriert das Know-how, was letzten Endes Doppelarbeit und somit Zeit und Kosten spart. Im Fall der KommunalBIT AöR haben die drei Städte Erlangen, Schwabach und Fürth einen solchen kommunalen IT-Dienstleister gegründet. Etwa 60 Mitarbeiter sind seit dem Jahr 2010 damit betraut, die IT-Versorgung der bis zu 30 km voneinander entfernten Verwaltungen sicherzustellen, die derzeit für knapp 260 000 Einwohner zuständig sind. Zu diesem Zweck fasste man verschiedene Abteilungen der einzelnen Behörden unter einem Dach zusammen.
Ein Dienstleister fĂĽr viele Verwaltungen
Während früher abgesehen vom – wenn überhaupt vorhandenen – hauseigenen WSUS-Server zur Verteilung von Microsoft-Sicherheits-Updates und -Service-Packs gar keine zentrale Softwareverteilung vorhanden war, steht das Thema seit März 2010 ganz oben auf der Agenda und wird kontinuierlich ausgebaut. Derzeit versorgt die KommunalBIT im Rahmen des Projekts circa 3000 Clients der einzelnen Städte. Dank der zumeist vorhandenen 10 GBit-Anbindung können dies die sogenannten Depotserver im eigenen Haus erledigen. Der Einstieg in die Thematik erfolgte schrittweise. Nach einer internen, zweimonatigen Evaluations- und Konzeptphase erfolgte die Inbetriebnahme des Produktivsystems zunächst mit Paketen für die gängigsten Standardanwendungen – so stellten die Verantwortlichen sicher, dass die kritischen Fachanwendungen zunächst unangetastet bleiben. Erst nachdem dieser erste Schritt gemeistert war, verteilte die KommunalBIT auch die entsprechenden Fachanwendungen über die zentrale Softwareverteilung. Das dazu erforderliche Wissen wurde im Rahmen mehrerer uib-Workshops vermittelt. Jedoch ließen sich die Programme nicht in allen Fällen mühelos installieren – gerade Fachanwendungen wie die Software zur Waffenverwaltung oder Programme des Meldewesens beherrschen die bequeme Silent-Installation oftmals nicht von Haus aus. Stattdessen musste die KommunalBIT auf eine skriptgesteuerte Installation zurückgreifen. Dieser Mehraufwand ist leider unvermeidlich, solange die Hersteller keine passenden Setup-Routinen bereitstellen.
Heute besteht der Pool der verteilten Programme aus rund 70 Paketen. Dabei liefert opsi-Hersteller uib die Standardpakete im Rahmen eines Abos direkt, die Paketierung der Fachanwendungen erfolgt hingegen im eigenen Haus. Unabhängig davon läuft der schon vorher vorhandene WSUS-Server und versorgt Windows und Office mit den nötigen Sicherheits-Updates und Service Packs.
Preislich bewegen sich die vom Hersteller gelieferten Pakete unabhängig von der Clientzahl zwischen 30 € und 90 € pro Monat, Workshops und Schulungen schlagen mit 1200 € bis 1600 € zu Buche. Neben dem kostenpflichtigen Herstellersupport (ab 140 € pro Monat) hält uib ein kostenfreies Supportforum sowie ein Wiki bereit. Zudem gibt es zahlreiche Seiten im Internet, die sich mit der Paketierung einzelner Applikationen unabhängig von einer speziellen Verteilungslösung beschäftigen. Verwiesen sei beispielsweise auf das WPKG-Wiki [d] oder die Datenbank von AppDeploy.com [e].
Die derzeitige Ausbaustufe ist für die KommunalBIT jedoch nur ein erster Schritt, denn bislang berücksichtigt sie lediglich die Verwaltungsrechner. Ziel ist es, bis Ende 2011 Kindergärten, Schulen und andere öffentliche Einrichtungen ebenfalls zu betreuen. Problematisch sind dabei weniger die 1000 hinzukommenden Clients als vielmehr die Infrastruktur – während die Verwaltung durchgängig mit 10 GBit angebunden ist, verfügen gerade Schulen und Kindergärten – wenn überhaupt – nur über eine durchschnittliche DSL-Leitung. Angesichts immer größer werdender Anwendungsprogramme verhindert das quasi die Anbindung der Clients an die derzeitigen Depotserver.
Dezentrale Server schonen die Bandbreite
Aus diesem Grund hat die KommunalBIT in den letzten Monaten sogenannte dezentrale Depotserver evaluiert, was sowohl zur Ausfallsicherheit als auch zur Lastverteilung beiträgt. Das Prinzip dahinter ist einfach: Statt alle Clients die benötigten Pakete von den entfernten Servern laden zu lassen, stellt man an den einzelnen Standorten lokale Server auf. Diese synchronisieren ihren Datenbestand einmal pro Nacht von einem Zentralserver und bieten sie anschließend zur lokalen Installation im wesentlich schnelleren LAN an. Die Verbindung kann optional via VPN gesichert erfolgen, die Authentifizierung per SSL-Zertifikat. In den drei Städten sollen so mittelfristig bis zu 40 solcher Depotserver entstehen. Für Standorte wie Kindergärten, Horte oder kleinere Grundschulen, deren geringe Zahl lokaler Clients (weniger als fünf) keinen eigenen Depotserver rechtfertigt, besteht zudem die Möglichkeit, die Pakete per WAN-Erweiterung – ebenfalls durch SSL-Zertifikate gesichert – im Hintergrund auf die Clients zu übertragen und lokal zu cachen, sodass die Installation erst startet, wenn alle Daten bandbreitenschonend geladen wurden.
Die ersten Tests der KommunalBIT auf technische Machbarkeit waren vielversprechend. Für den Fall, dass die Verbindung ausfällt oder abbricht, wiederholen die Depotserver die Synchronisation in der darauffolgenden Nacht. Die Fixierung auf die Nachtzeit hat einen einfachen Hintergrund, nutzt sie doch die in der Regel trafficarmen Zeiten aus, um tagsüber keine wertvolle Bandbreite in Anspruch zu nehmen. Die Funktion der dezentralen Depotserver ist frei verfügbar, die WAN-Erweiterung unterliegt derzeit jedoch der Kofinanzierung und ist somit kostenpflichtig.
Logistiker auch im eigenen Netz
Dass das Konzept der dezentralen Depotserver nicht nur im Verwaltungsbereich relevant ist, zeigt das Beispiel der Stute Verkehrs-GmbH, die für 800 Clients an 30 Standorten innerhalb Deutschlands ebenfalls ein Konzept zur Softwareverteilung eingeführt hat. Die Ausgangssituation war auch hier vergleichbar. Während bisher nur Softwareverteilung in kleinem Umfang über WSUS zum Einsatz kam, wurde im Februar 2011 nach zweimonatiger Evaluierungsphase ebenfalls auf opsi in Kombination mit dem WSUS-Server umgestellt. Ähnlich wie bei der KommunalBIT sind auch hier durch eine Kombination aus Paket-Abonnements und selbst gebauten Paketen etwa 70 Applikationen in der Verteilung.
Neben den in der Zentrale vorhandenen Depotservern existieren insgesamt 13 weitere Systeme, die die schnelle Verteilung an den jeweiligen Standorten sicherstellen. Durch die automatische Depotauswahl greift opsi dabei jeweils auf den nächstliegenden Server zurück. Zur besseren Verwaltung kommen hier bereits die Funktionen zur Inventarisierung und zum Lizenzmanagement zum Zug, an denen sich Stute im Rahmen der Kofinanzierung beteiligt hat. Auch der Kiosk-Modus – das Bereitstellen von Software auf Anforderung – hilft dabei, die Netzlast im Griff zu halten.
Ähnlich wie die KommunalBIT greift auch Stute zusätzlich auf die WAN-VPN-Anbindung zurück, um externe Laptops mit den jeweils aktuellen Paketen zu versorgen. Anfangs gab es vereinzelt Treiberprobleme, die jedoch im Rahmen der Workshops gelöst werden konnten. Ein Feature, das bislang noch nicht umgesetzt werden konnte, bei Stute jedoch noch auf der Wunschliste steht, ist die Integration in Nagios zur besseren Überwachung der Netzinfrastruktur. Diese Funktion befindet sich laut uib-Webseite derzeit in der Entwicklung und soll später zur Kofinanzierung ausgeschrieben werden. Sowohl Stute als auch KommunalBIT wünschen sich ein feineres Rollenkonzept, um die Berechtigungen innerhalb der opsi-Administration genauer abstufen zu können – dieses Feature hat es leider noch nicht auf die Agenda geschafft.
Fazit
In beiden Fällen war der Einstieg in die Softwareverteilung auch deshalb einfach, weil aufgrund der Lizenzkostenfreiheit die Hemmschwelle zur Evaluation niedrig war. Den Start hat zudem die Tatsache versüßt, dass die Admins keine Rücksicht auf bestehende Produkte nehmen mussten, deren Umstellung im Betrieb unter Umständen deutlich mehr Aufwand bedeutet hätte. Anwender, die vor der Ablösung eines Systems stehen, sollten Zeit dafür einkalkulieren, Pakete und Abhängigkeiten zwischen den Systemen zu übertragen.
Wenngleich die komplette Migration weg vom proprietären System aus Redmond in vielen Unternehmen und Behörden nach wie vor Wunschdenken ist und auch Windows-Server nicht immer verzichtbar sind, so lohnt es sich, für zentrale Netzdienste einen Blick auf freie Alternativen zu werfen. Nicht nur die Herstellerunabhängigkeit, sondern auch die offenen und erweiterbaren Systeme spielen insbesondere routinierten Linux-Admins in die Hände. Wie gewohnt haben sie die Wahl, ob sie sich ihre Lösung selbst zusammenstellen – beispielsweise durch Kombination von WPKG [f] mit Unattended [g] – oder eine fertige Lösung vorziehen.
Florian Effenberger
ist GrĂĽndungsmitglied und Mitglied des Board of Directors der Document Foundation und war zuvor einige Jahre als Marketing Project Lead im OpenOffice.org-Projekt aktiv.
Literatur
[1] Alexandros Gougousoudis; Softwareverteilung; Ausrollgehilfe; WPKG und Samba: Gruppenrichtlinien fĂĽr gemischte Umgebungen; iX 12/2010, S. 132
Alle Links: www.ix.de/ix1112082 (avr)