25.11.2005, 09:09 Uhr
Einrichtungsautomat
Opforce 4.0 von Symantec vereinfacht durch eine automatisierte Bereitstellung von Server-Betriebssystemen den Betrieb des Rechenzentrums.
Mit Opforce 4.0 bietet Symantec ein Provisioning-Tool an, das Server mit Betriebssystem und Anwendungen versorgt. Das Tool ist darüber hinaus in der Lage, die Konfigurationen von Load-Balancern und LAN-Switches zu speichern und auf andere Geräte zu verteilen. Es kann zudem Bios-Upgrades durchführen und Raid-Controller (Redundant Array of Inexpensive Disks) per Fernsteuerung neu konfigurieren. Besonders interessant ist der Einsatz von Opforce in Blade-Umgebungen, weil sich mit dem Tool eine Vielzahl an Servern mit Betriebssystemen und Anwendungen betanken lässt.
Opforce läuft unter Windows 2000 Advanced Server, Windows 2003 Enterprise Server, Red Hat Enterprise Linux 3.0, Suse Linux Enterprise Server 9 und Solaris 9. Für den Test kam die aktuelle Windows-Version Opforce 4.0 Maintenance Pack 2 zum Einsatz, die auf einem Windows 2003 Enterprise Server aufgespielt wurde. Dieser diente gleichzeitig als Domänencontroller. Die Windows-Variante kann Server mit Microsoft-Betriebssystemen sowie mit Red-Hat- und Suse-Linux versorgen.
Opforce läuft unter Windows 2000 Advanced Server, Windows 2003 Enterprise Server, Red Hat Enterprise Linux 3.0, Suse Linux Enterprise Server 9 und Solaris 9. Für den Test kam die aktuelle Windows-Version Opforce 4.0 Maintenance Pack 2 zum Einsatz, die auf einem Windows 2003 Enterprise Server aufgespielt wurde. Dieser diente gleichzeitig als Domänencontroller. Die Windows-Variante kann Server mit Microsoft-Betriebssystemen sowie mit Red-Hat- und Suse-Linux versorgen.
Einrichtungsautomat
Einfache Installation
Als Datenbank kommt mit Opforce 4.0 nun die so genannte Vx-DBMS zum Einsatz, eine von Veritas angepasste Sybase-Datenbank. Darin speichert Opforce alle Informationen zu den verwalteten Rechnern. Für die Authentifizierung der Benutzer kann der Administrator zwischen Active-Directory von Microsoft, Sun One, Novell NDS (E-Directory) und der Opforce-eigenen Verwaltung wählen.
Das Setup der Software war nach wenigen Minuten abgeschlossen. Danach steht eine Browser-basierte Konsole zur Verfügung, über die sich sämtliche Verwaltungsaufgaben durchführen lassen. Im ersten Schritt erstellt der Administrator auf dem Opforce-Server die gewünschten Workspaces. Hierfür teilt der Verwalter den Benutzern die ihrer Rolle entsprechenden Berechtigungen zu. Zudem muss er unter einer Verzeichnisfreigabe einen Ablageort einrichten, in dem Opforce die Images, Betriebssystem-Dateien, Anwendungen und Patches speichert. Ein Assistent führt Schritt für Schritt durch die nötigen Einstellungen und gibt automatisch Hilfestellungen, falls falsche Parameter eingegeben wurden.
Einrichtungsautomat
Inventur im Netzwerk
Die Geräte im Netzwerk erkennt Opforce automatisch. Beim Scan-Vorgang inventarisiert das Tool auch gleich die auf den Systemen vorhandene Hard- und Software. Der Opforce-Server agiert als DHCP-Server (Dynamic Host Configuration Protocol), um die PXE- (Preboot Execution Environment) und DHCP-Anfragen der verwalteten Systeme zu bedienen. Auf einen PXE-Request reagiert Opforce nicht automatisch mit der Neuinstallation des Rechners, sondern zeigt den Server zunächst in der Konsole als neue Ressource an. Die Installation erfolgt erst, wenn der Administrator den Startschuss dazu gibt. Dann überträgt Opforce das so genannte Active-OS auf das Zielsystem. Dabei handelt es sich um ein Linux-basiertes Betriebssystem, das im Arbeitsspeicher des jeweiligen Rechners läuft. Für PXE muss die Netzwerkkarte des Clients mit dem Intel Boot-Agent ausgestattet sein.
Damit Opforce auch bereits installierte Server erfassen kann, muss der Administrator zuvor auf diesen Rechnern den so genannten ITAP-Agent (IT Abstraction Protocol) installieren. Als Test-Client kam ein Dell 600SC-Server mit einer Intel Pro-1000-MT-Karte und Windows 2003 zum Einsatz. Nachdem der ITAP-Agent aufgespielt worden war, erkannte Opforce sowohl das Betriebssystem als auch die vorhandene Hardware und Software korrekt.
Bei der Netzplanung ist zu beachten, dass sich der Opforce-Server und die verwalteten Systeme alle innerhalb derselben Firewall-Zone befinden müssen, da sonst gravierende Performance-Einbussen auftreten.
Einrichtungsautomat
Snapshots erstellen und verteilen
Das Server-Provisioning kann einerseits in Form einer Neuinstallation erfolgen, andererseits über ein Image eines bestehenden Systems. Opforce unterstützt drei Verfahren: File-System-basierte Snapshots sowie Block-Level-Images der gesamten Disk oder einzelner Partitionen. Zudem ist es möglich, für Snapshots inkrementelle Updates durchzuführen. Bei der Verteilung von Windows-Snapshots kann Opforce das Sysprep-Tool von Microsoft nutzen, um einen neuen Computernamen und eine neue SID (Security Identifier) zu erstellen und um geänderte Hardware einzubinden.
Um einen Snapshot zu erstellen oder aufzuspielen, startet Opforce den Ziel-Server mit Active-OS neu und führt dann die gewünschten Aktionen aus. Über Skripte lässt sich die Installation auch automatisch auslösen. Zum Beispiel wäre es möglich, in einem Desaster-Fall anhand von entsprechenden SNMP-Traps (Simple Network Management Protocol) einen ausgefallenen Cluster-Server von Opforce automatisch neu aufsetzen zu lassen.
Im Test wurde vom Windows-2003-Server ein Image mit Sysprep-Integration erstellt und anschliessend auf diesen Server wieder aufgespielt. Dabei trat zunächst das Problem auf, dass der Client-Rechner eine «Access-Denied»-Meldung erhielt und nicht auf die Ablage des Opforce-Servers zugreifen konnte. Nach einigem Stöbern im Internet konnte in einem Knowledge-Base-Artikel von Veritas die Ursache für dieses Verhalten gefunden werden. Opforce unterstützt keine digital signierte SMB-Kommunikation, die aber bei Windows-2003-Domänencontrollern standardmässig aktiviert ist. Nachdem diese Option deaktiviert worden war, klappte der Zugriff.
Die Sysprep-Dateien stellt Opforce als Softwarepaket bereit, wobei der Administrator Anpassungen vornehmen kann. Damit sich ein Snapshot erstellen lässt, muss sich der Server im so genannten Managed-State befinden und aktiv sein. Opforce führt zunächst Sysprep auf dem Zielserver aus und startet diesen anschliessend neu, wonach er in den Admin-State bootet und das Active-OS lädt. Erst dann wird der Snapshot erstellt. Im Test klappte das Erstellen und Zurückspielen des Snapshots reibungslos.
Um einen Snapshot zu erstellen oder aufzuspielen, startet Opforce den Ziel-Server mit Active-OS neu und führt dann die gewünschten Aktionen aus. Über Skripte lässt sich die Installation auch automatisch auslösen. Zum Beispiel wäre es möglich, in einem Desaster-Fall anhand von entsprechenden SNMP-Traps (Simple Network Management Protocol) einen ausgefallenen Cluster-Server von Opforce automatisch neu aufsetzen zu lassen.
Im Test wurde vom Windows-2003-Server ein Image mit Sysprep-Integration erstellt und anschliessend auf diesen Server wieder aufgespielt. Dabei trat zunächst das Problem auf, dass der Client-Rechner eine «Access-Denied»-Meldung erhielt und nicht auf die Ablage des Opforce-Servers zugreifen konnte. Nach einigem Stöbern im Internet konnte in einem Knowledge-Base-Artikel von Veritas die Ursache für dieses Verhalten gefunden werden. Opforce unterstützt keine digital signierte SMB-Kommunikation, die aber bei Windows-2003-Domänencontrollern standardmässig aktiviert ist. Nachdem diese Option deaktiviert worden war, klappte der Zugriff.
Die Sysprep-Dateien stellt Opforce als Softwarepaket bereit, wobei der Administrator Anpassungen vornehmen kann. Damit sich ein Snapshot erstellen lässt, muss sich der Server im so genannten Managed-State befinden und aktiv sein. Opforce führt zunächst Sysprep auf dem Zielserver aus und startet diesen anschliessend neu, wonach er in den Admin-State bootet und das Active-OS lädt. Erst dann wird der Snapshot erstellt. Im Test klappte das Erstellen und Zurückspielen des Snapshots reibungslos.
Einrichtungsautomat
Betriebssystem neu installieren
Um ein neues Betriebssystem auf einem Server übers Netz zu installieren, kann der Administrator entweder ein Template definieren oder die erforderlichen Dateien manuell konfigurieren. Mit der Option «Add similar» lässt sich zudem ein vorhandenes Template für neue Server anpassen. Auch unbeaufsichtigte automatische Installationen sind aus Opforce heraus möglich.
Im Test wurden die Dateien für eine Remote-Installation von Windows 2003 manuell bereitgestellt. Zunächst erstellt der Administrator eine DOS-Boot-Diskette, auf die einige Opforce-Dateien kopiert werden. Von diesem Datenträger wird anschliessend ein gezipptes Image erzeugt und als Bootable Software Package bereitgestellt. Dabei gibt der Administrator im Opforce-Menü eine Befehlszeile an. Diese wird nach dem PXE-Boot unter DOS ausgeführt, um die Festplatte zu formatieren, bevor die Installation startet. Das i386-Verzeichnis des jeweiligen Betriebssystems packt der Administrator ebenfalls in ein Zip-File und stellt dieses gemeinsam mit einer Datei namens Unattended.txt als Softwarepaket zur Verteilung bereit.
Im Test wurde auf diese Weise Windows 2003 auf dem Client-Server erfolgreich neu installiert. Per Skriptsteuerung lässt sich die Verteilung von Betriebssystemen und Snapshots auf die gewünschten Server weitgehend automatisieren. Auch Anwendungen und Patches lassen sich mit Opforce einzeln oder in Paketen verteilen. Damit ein Ziel die Minimalanforderungen des jeweiligen Betriebssystems beziehungsweise Images erfüllt, kann der Administrator Regeln festlegen. So dürfte zum Beispiel ein Snapshot nur auf Maschinen installiert werden, die über mindestens zwei Prozessoren und ein GByte Arbeitsspeicher verfügen.
Im Test wurden die Dateien für eine Remote-Installation von Windows 2003 manuell bereitgestellt. Zunächst erstellt der Administrator eine DOS-Boot-Diskette, auf die einige Opforce-Dateien kopiert werden. Von diesem Datenträger wird anschliessend ein gezipptes Image erzeugt und als Bootable Software Package bereitgestellt. Dabei gibt der Administrator im Opforce-Menü eine Befehlszeile an. Diese wird nach dem PXE-Boot unter DOS ausgeführt, um die Festplatte zu formatieren, bevor die Installation startet. Das i386-Verzeichnis des jeweiligen Betriebssystems packt der Administrator ebenfalls in ein Zip-File und stellt dieses gemeinsam mit einer Datei namens Unattended.txt als Softwarepaket zur Verteilung bereit.
Im Test wurde auf diese Weise Windows 2003 auf dem Client-Server erfolgreich neu installiert. Per Skriptsteuerung lässt sich die Verteilung von Betriebssystemen und Snapshots auf die gewünschten Server weitgehend automatisieren. Auch Anwendungen und Patches lassen sich mit Opforce einzeln oder in Paketen verteilen. Damit ein Ziel die Minimalanforderungen des jeweiligen Betriebssystems beziehungsweise Images erfüllt, kann der Administrator Regeln festlegen. So dürfte zum Beispiel ein Snapshot nur auf Maschinen installiert werden, die über mindestens zwei Prozessoren und ein GByte Arbeitsspeicher verfügen.
Einrichtungsautomat
Die Konfigurationsdaten kann Opforce auch in XML-Dateien speichern. Mit so genannten Shared Instances ist es möglich, globale Konfigurationsparameter vorzugeben. Sobald diese an zentraler Stelle geändert werden, erhalten alle Server automatisch den neuen Wert zugewiesen. Die Reporting-Funktionen von Opforce stellen Berichtsvorlagen bereit, unter anderem um Netzwerkdaten Infos über die verwalteten Rechner auszugeben.
Fazit
Die Provisioning-Software Opforce ist ein mächtiges Werkzeug, um Server-Farmen inklusive LAN-Switches und Load-Balancer von zentraler Stelle aus zu verwalten. Wenn sich der Administrator erst einmal in die verschiedenen Workspace-Rollen, Installationsverfahren und Server-Zustände eingearbeitet hat, lässt sich Opforce über die gelungene Browser-Oberfläche komfortabel verwalten.
Der Autor: Christopf Lange arbeitet als Jornalist und IT-Consultant in München