Die Einführung von Windows 7 kann ein spannendes Unterfangen sein. Muss sie aber nicht. Mit der richtigen Vorbereitung und der richtigen Strategie für das Systemmanagement können viele der Unwägbarkeiten bereits im Vorfeld eliminiert und damit die Erfolgsquote maximiert und die Kosten minimiert werden.
Ein Grossteil der Schweizer Unternehmen plant aktiv einen Umstieg auf Windows 7 innerhalb der nächsten sechs bis 18 Monate. Doch die wenigsten Firmen wissen heute, wie dieser Umstieg vonstatten gehen soll. Untersuchungen bei verschiedenen namhaften Schweizer Unternehmen haben gezeigt, dass nur gut die Hälfte der momentan eingesetzten Anwendungen überhaupt zu Windows 7 kompatibel ist.
Der erste Schritt einer Migration auf Windows 7 sollte daher immer ein sogenannter Windows 7 Readiness Check sein. In diesem wird ermittelt, welche der derzeit eingesetzten Software-Produkte zu Windows 7 kompatibel sind. Auch die Hardware wird auf ihre Windows-7-Fähigkeit getestet. Der Windows 7 Readiness Check sollte dabei einhergehen mit einer Bestandsaufnahme der tatsächlich eingesetzten Hard- und Software. Dabei werden alle Rechner im Netz mit einer zuverlässigen Hard- und Software-Inventarisierungslösung abgescannt, anstatt die Analyse nur aufgrund von manuell geführten Listen durchzuführen. Die automatischen Scans haben schon bei manchem Unternehmen für Überraschungen gesorgt, mit der Erkenntnis, dass deutlich mehr SoftwareProdukte eingesetzt werden als ursprünglich vermutet. Hier muss die Entscheidung gefällt werden, welche dieser Software-Produkte überhaupt für den weiteren Einsatz in der neuen Landschaft relevant sind. Oft lassen sich einige der heute eingesetzten Produkte bereits dadurch eliminieren, dass diese entweder nicht arbeitsnotwendig sind oder, dass deren Funktion von Basisfunktionen des neuen Betriebssystems bereits gedeckt sind. Alle restlichen Software-Produkte werden analysiert und dem Windows-7-Kompatibilitätstest unterzogen. In den Kompatibilitätstest fliessen im Idealfall nicht nur die Information der Hersteller-Kompatibilitätslisten ein, sondern auch unabhängige Informationen, zum Beispiel aus langjähriger Software-Paketiererfahrung.
Die Auswertung von derartigen Kompatibilitätstests bei diversen Schweizer Unternehmen hat ergeben, dass durchschnittlich nur 56 Prozent der eingesetzten Softwareprodukte direkt unter Windows 7 32-Bit lauffähig wären, und nur 51 Prozent unter Windows 7 64-Bit. Weitere 38 Prozent müssen auf eine aktuelle Version aktualisiert werden. Der Rest, immerhin 6 Prozent bei einer 32-Bit-Architektur und 11 Prozent bei einer 64-Bit-Architektur, ist zu Windows 7 grundlegend inkompatibel oder es steht noch kein Windows-7-fähiges Update zur Verfügung. Für alle diese Anwendungen muss eine sinnvolle Migrationsstrategie gefunden werden, folgt doch einem Update einer Anwendung oftmals auch ein Update der zugehörigen Server-Komponenten oder der von der Anwendung erzeugten Dokumente beziehungsweise der für die Anwendung entwickelten Makros. Auch wird eine Migration zu Windows 7 oftmals mit der Einführung einer Windows 2008 R2 Server- und Directory-Landschaft oder einem Update der Exchange Server verknüpft, was wiederum Auswirkungen auf die unter Windows 7 zu verwendenden Anwendungen und deren Versionen hat.
Manche auf den ersten Blick nicht für Windows 7 gedachte Anwendungen können gegebenenfalls mit Hilfe von Anwendungsvirtualisierung, wie zum Beispiel der Symantec Workspace Virtualization im Rahmen des Endpoint Managements doch noch unter Windows 7 lauffähig gemacht werden. Bei der Anwendungsvirtualisierung werden die Anwendungen nicht direkt in das Betriebssystem installiert, sondern in eine Art Zwischenschicht, welche Anwendung und Betriebssystem trennt. Im Idealfall ist die Anwendungsvirtualisierung in der Lage, diese Trennung sowohl absolut als auch durchlässig zu gestalten, so dass wahlweise die Anwendungen trotzdem mit dem Betriebssystem kommunizieren können, zum Beispiel für Copy&Paste oder Explorer-Erweiterungen. Die Anwendungsvirtualisierung eignet sich somit auch für das schnelle An- und Abschalten in Multiuser- oder Roaming-Concurrent-User-Umgebungen.
Seitens der sich im Einsatz befindlichen Hardware haben bereits durchgeführte Windows-7-Readiness-Analysen ergeben, dass zwar fast der gesamte Bestand der heute eingesetzten Rechner die Anforderungen von Windows 7 in Bezug auf CPU erfüllt, aber rund die Hälfte der Geräte nicht über genügend RAM für den Betrieb von Windows 7 verfügt. Von diesen Geräten sind wiederum bei durchschnittlich 40 Prozent – also auf den Gesamtbestand der Hardware umgelegt gut ein Fünftel aller Geräte – keine zusätzlichen RAM-Steckplätze verfügbar, so dass hier mit erhöhten Kosten zur Aufrüstung der Geräte gerechnet werden müsste. Da diese Geräte meist ältere Modelle sind, für die es in vielen Fällen auch keine Treiber zu Windows 7 gibt, rechnet sich der Aufwand für eine Migration hier nicht. Diese Geräte müssen im Laufe der Windows-7-Migration durch neue Hardware ersetzt werden.
Die Auswertung der Windows 7 Readiness Checks zeigt, dass von den Migrationsgrundlagen, also der derzeit eingesetzten Hard- und Software, kaum ein Unterschied zwischen einer Migration auf Windows 7 32-Bit und Windows 7 64-Bit besteht. Gleichwohl ist eine Migrationsentscheidung auch immer eine Entscheidung zwischen 32- und 64-Bit-Technologie. Windows 7 64-Bit vermag die Ressourcen moderner Hardware sicherlich besser zu nutzen als Windows 7 32-Bit dies tut. Die 64-Bit-Variante stellt aber aufgrund der Dualität des Betriebssystems, also der doppelten Instanzen von Registry und Dateisystem, erhöhte Anforderungen an die Systemadministration. Einen nicht zu unterschätzenden Einfluss auf die Wahl der Betriebssystemarchitektur hat auch das Anwendungsgebiet des Arbeitsplatzes. Büroarbeitsplätze werden oft in einer 32-Bit-Architektur installiert, während bei leistungsintensiven Arbeitsplätzen für CAD etc. die 64-Bit-Architektur bevorzugt wird.
Ist die Entscheidung für eine 32- oder eine 64-Bit-Architektur generell oder auch arbeitsplatzspezifisch gefallen, so geht es im zweiten Schritt an die Vorbereitung der Migration. Die im Windows 7 Readiness Check als ungenügend eingestufte Hardware muss ergänzt oder ersetzt werden; Beschaffungsanträge sind zu erstellen. Ferner müssen Updates der Software-Produkte beschafft werden, welche erst mit einer neueren Version Windows-7-fähig sind. Wie beschrieben empfiehlt es sich hierbei, genau zu prüfen, welche der bisher verwendeten Software-Produkte unter Windows 7 noch weiter genutzt werden. Auch ein vorgängiges Softwaremetering zur Ermittlung der bisherigen Nutzung ist hilfreich. Die Eliminierung von nicht mehr benötigter Software bietet ein Einsparpotential nicht nur bei den direkten Lizenz- und Wartungskosten, sondern auch bei den internen Supportkosten über den Lebenszyklus der Software. Dies gilt auch und gerade bei Herstellergesamtverträgen, bei denen die Gesamtproduktpalette lizenziert – und demzufolge über Wartungsgebühren finanziert – wird; oft lassen sich hier Einsparungen durch den Umstieg auf produktspezifische Verträge erreichen. Die gesamthaft resultierende Liste der unter Windows 7 einzusetzenden Software stellt die Grundlage für die Paketerstellung zur Migration dar.
Die Software-Paketierung ist die Voraussetzung für die automatische Migration auf Windows 7 und den zentral gesteuerten Support des neuen OS über ein Endpoint Management System. Sicherlich der beste Weg, Software-Pakete für eine Installation unter Windows 7 zu erzeugen, ist die Verwendung der Microsoft Installer Technologie (MSI). MSI-Pakete erlauben eine direkte Kommunikation mit dem Betriebssystem, was gerade im Supportfall – Reparatur, Updates – entscheidende Vorteile bringt. Auch können Software-Pakete nach dem MSI-Standard im Gegensatz zu Paketen aus proprietären Paketierprodukten universell mit jeder Art von Endpoint Management System aller namhaften Hersteller auf die Zielsysteme ausgebracht werden. Leider sind nicht alle Software-Produkte aller Hersteller direkt MSI-fähig. Auch beschränkt sich die MSI-Fähigkeit häufig auf die Installation der Software, schliesst aber nicht die firmen- oder benutzerspezifische Konfiguration mit ein. Auch die Deinstallation – und somit die Upgrade-Fähigkeit auf neue Versionen – ist bei nicht vollumfänglich MSI-konform erstellten Installationsroutinen oft mangelhaft. Die Software-Produkte müssen also mit einer geeigneten Lösung, wie zum Beispiel dem Symantec Wise Package Studio, in ein automatisch verteilbares, 100 Prozent MSI-konformes Format gebracht werden. Die bereits erwähnte Dualität von Windows 7 64-Bit, aber auch die allgemeinen Anforderungen von Windows 7 an Memory und Prozessor beziehungsweise die fast als dramatisch zu bezeichnende Grössenzunahme der Software-Produkte über die letzten Jahre ermöglichen es nicht mehr, eine Software-Paketierung einfach auf einer virtuellen Maschine innerhalb eines gewöhnlichen Desktopgerätes durchzuführen, wie dies noch unter Windows XP oftmals der Fall war. Die Verwendung von Solid State Disks und Netaggregation sind nur zwei der Voraussetzungen, die eine Paketierumgebung unter Windows 7 erfüllen sollte. Für viele Unternehmen stellt sich hier die Frage, ob die damit verbunden Hardware-Kosten, aber auch die Trainings- und Personalkosten, im Verhältnis zum erzielten Erfolg stehen.
Ein Outsourcing der Paketentwicklung kann hier oftmals eine sinnvolle Alternative sein. Outsourcing-Anbieter finden sich sowohl im Schweizer als auch im europäischen Markt. Viele Anbieter sind auch im osteuropäischen beziehungsweise indochinesischen Markt angesiedelt oder lassen dort ihre Pakete erstellen. Bei der Auswahl eines Anbieters ist es wichtig, die sogenannte Package Reject Rate im Auge zu behalten, also den Prozentanteil der vom Anbieter erstellten Pakete, welche erst nach kosten- und zeitintensiven Nachbesserungen dem erwarteten Ergebnis entsprechen. Die Bandbreite dieser Package Reject Rate schwankt im Markt zwischen 2 und 40 Prozent. Das bedeutet, dass bei einem vermeintlich günstigen Anbieter, welcher aber eine Reject Rate von 40 Prozent aufweist, 20 Mal mehr Pakete nicht nach der Ersterstellung lauffähig sind als bei einem Anbieter, welcher ein schweizerisch-hohes Qualitätsniveau zusichert und dieses auch nachweislich leisten kann.
Auch ein Verteilpaket für das Betriebssystem per se muss erstellt werden. Hierbei ist allerdings oftmals das verwendete Endpoint Management System ausschlaggebend, da die Betriebssystempakete aller Regel nach eher proprietär am Endpoint Management System ausgerichtet sind. Viele Endpoint Management Systeme bieten die Methode der Image-Erstellung und -verteilung an. Ist diese gekoppelt mit einer Unabhängigkeit von der Hardware – das heisst ein Image kann auf mehrere Hardware-Plattformen ausgebracht werden –, so ist Imaging ein schneller und einfach zu verwaltender Weg, Windows 7 auf die Clients zu installieren. Zudem können gewisse Kernanwendungen direkt mit in das Image eingebracht werden, so dass nach der schnellen Verteilung nur noch eine kurze, automatisch vom Endpoint Management System durchzuführende Konfigurationsphase folgt.
Kann kein Hardware-unabhängiges Image erstellt werden, so ist sicher der Weg einer sogenannten Scripted Install, also der Verwendung der Windows-7-unattended.xml-Methode über Microsoft WAIK (Windows Automated Installation Kit) zu bevorzugen. Hierbei werden eine direkte Installation auf dem Zielsystem durchgeführt, die Hardware analysiert und alle Treiber entsprechend Hardware-spezifisch installiert. Gute Endpoint Management Systeme unterstützen nicht nur diese Methode, sondern erweitern sie noch um Detailanalysen der Hardware-Ressourcestrings, also der maschinenspezifischen Konfiguration aller verbauten Komponenten. Oftmals ist es so, dass Geräte gleicher Baureihen und Typenbezeichnungen leicht unterschiedliche Revisionsstände bestimmter Komponenten, etwa Netzwerkkarten oder Chipsets, verwenden, die sich bei einer Schnelluntersuchung noch als identisch erweisen und erst aufgrund der Detail-analyse der Hardware-Ressourcestrings Unterschiede offenbaren; Unterschiede, die häufig die Verwendung neuerer Treiber verlangen. Um die Migration auf Windows 7 vollumfänglich automatisieren zu können, muss das Endpoint Management System auch derartige Feinheiten erkennen und entsprechend darauf reagieren können.
Für die automatische Installation von Anwendungen über ein Endpoint Management System gibt es grundlegend zwei Methoden: aufgabenbasierend und richtliniengesteuert. Ein Endpoint Management System wie zum Beispiel Altiris, welches beide Methoden anbietet, ist einem rein aufgabenbasierenden System klar zu bevorzugen. Aufgabenbasiert bedeutet, dass ein Systembetreuer genau dann eine manuelle Tätigkeit – meist über Drag&Drop – durchführen muss, wenn ein Task wie beispielsweise die Installation einer Software angestossen werden soll. Für den schnellen Supportfall kann dies eine veritable Methode sein. Für Routineaufgaben aber bindet die rein aufgabenbasierte Software-Verwaltung zu viele Personalressourcen vor dem Bildschirm; Personalressourcen, die entweder erst gar nicht vorhanden sind oder deren Einsatz für eine andere Tätigkeit für das Unternehmen weit sinnvoller wäre.
Richtliniengesteuerte Endpoint Management Systeme können einen Ausweg darstellen, da hier einmalig Policies definiert werden, deren Einhaltung das Endpoint Management System selbsttätig rund um die Uhr überwacht, auch auf mobilen Clients, wenn diese gar nicht mit dem System verbunden sind. So wird sichergestellt, dass der Client immer zu 100 Prozent dem Stand entspricht, welcher vom Systemadministrator vordefiniert wurde. Weicht der Client von diesem Stand ab, so erkennt das richtliniengesteuerte Endpoint Management System dies und stellt die Compliance wieder her. Und das, ohne dass ein Systemadministrator an die Oberfläche gebunden wäre oder manuell eingreifen müsste. Eine in das Endpoint Management System integrierte Software-Bibliothek (DSL) erleichtert dabei die Verknüpfung von Inventarisierungs-, Patch- und Softwarepaketinformationen. Die marktführenden Endpoint Management Systeme lassen sich optional zudem an Security-, Compliance- und Service- und Asset-Management-Lösungen anbinden oder bieten diese direkt selbst mit an, so dass auch hier Richtlinien gesetzt werden können, nach denen das Endpoint Management System reagiert. So können zum Beispiel im Falle einer erkannten Malware-Bedrohung automatisch ein Backup und der Patchvorgang über das Endpoint Management System angestossen werden – ohne Systembruch und ohne das manuelle Eingreifen eines Systemadministrators.
Gero Stautmeister ist Head of Professional Services Infrastructure Management bei der Firma Ontrex.
