Projekte - thematische Übersicht

Nachdem Sie zuvor unsere Firmen-Historie kennenlernen konnten möchten wir ihnen nun unseren Leistungs-Katalog präsentieren.

Die Kunden-Nachfrage nach Projekt-Einsätzen konzentriert sich - über die Jahre hinweg - auf folgende Themen:

  • Client-Management (Windows 11, Windows 10, Windows 7)
  • Microsoft Endpoint Configuration Manager
  • PKI (Public Key Infrastructure, Zertifizierungsdienste, CA)
  • SCCM / System Center Configuration Manager 2007
  • SCCM / System Center Configuration Manager 2012
  • SCCM / System Center Configuration Manager ("Current Branch")
  • Windows Server 2022 / 2019 / 2016 / 2012

Wir verstehen uns primär als Spezialist fürs System- und Client-Management. In diesem Sinne haben wir für nationale und internationale Kunden SCCM-Infrastrukturen entworfen, aufgebaut, revidiert, fortentwickelt, aber auch hauptverantwortlich über Monate und Jahre hinweg den Betrieb und die Verfügbarkeit dieser Infrastrukturen im Sinne der Kunden sichergestellt und gewährleistet.

Wir betreuen dabei nicht nur das Back-End (Windows Server, SQL-Datenbanken, SCCM-Server), sondern auch das Front-End (Hardware- bzw. Treiber-Integration, Generierung von OS-Images, Patch-Integration, Anpassung von OSD-Task Sequenzen, Erstellung, Einbindung und Deployment von Apps bzw. Paketen, Implementierung von GPOs, etc.).

Sowohl Server- als auch Client-seitig führten wir diverse Migrationen für unsere Kunden durch. SCCM-Infrastrukturen wurden entweder kpl. neu aufgesetzt oder sie wurden revidiert und modifiziert; manchmal ergab unsere Analyse auch, daß nur ein Upgrade der Funktions-Server nötig war, um die SCM-Umgebungen wieder auf Vordermann zu bringen und hinreichend performant zu machen ("In-Place-Upgrade").

 

System Center 2007

Der Nachfolger des SMS Server 2003. Zwei Betriebsmodi: Ein abwärtskompatibler "Mixed Mode" und ein sogenannter "Native Mode", in welchem die Client-Server-Kommunikation mittels Zertifikaten verschlüsselt wird. Gegenüber SMS 2003 erweiterter Funktionsumfang (u.a.: OS-Deployment, Task-Sequenzen) und verbessertes Handling.

Ab der Version SCCM 2007 R2 zusätzliche Server-Rollen und abermals erweiterter Funktionsumfang: Verbessertes "Out-of-band"-Management von Nicht-Domänen-Clients, Integration von Intels "AMT"-Technologie, aufgebohrtes "Asset Management" mit erweiterten Möglichkeiten der Lizenz-Kontrolle, sowie last but not least die Möglichkeit des "Streamens" von Pakten im "Multicast Mode".

Die "Schlagzahl" der SCCM-Neuerungen zeigt, daß Microsoft in kaum ein Produkt so viel investierte wie in die hauseigene System-Management-Suite.

Ich kenne Kunden-Umgebungen, in denen der SCCM Server 2007 bis zu 11 Jahre lang produktiv lief. Bei kontinuierlicher Pflege und Wartung wußte das Handling und die Performance des Produkts durchaus zu überzeugen. Meiner persönlichen Meinung nach ist das System unter dem Gesichtspunkt der TCO (total cost of ownership) bis heute unübertroffen.

Der SCCM Server 2007 unterstützt - aus vorwiegend marketing-politischen Gründen - kein OS-Deployment von Windows 10-Clients. 

 

SCCM Current Branch / Microsoft Endpoint Configuration Manager

Ich möchte SCCM 2012, SCCM Current Branch und MS Endpoint Configuration Manager an dieser Stelle der Einfachheit halber synonym verwenden.

Wenn man von SCCM 2007 her kommt, hat man zunächst Mühe mit der neuen Konsole. Hat die Eingewöhnung erst einmal stattgefunden, so möchte man gar nicht wieder zur alten Konsole zurück.

Anfängliche Performance-Probleme im Kontext des Replikationsvorgangs über mehrere SCCM-Hierarchien hinweg sind seit SCCM 2012 R2 SP2 weitgehend behoben.

Microsoft suggeriert, daß Task Sequenzen außerhalb des Stagings durch "Applicationen" abgelöst würden. Das ist mutig, zumal dieser Weg in Umgebungen mit eher speziellen Kundenanforderungen auch einen Verlust an Flexibilität beinhaltet. Unserer Erfahrung nach waren viele neue Windows 10-Builds ohne Task Sequenzen gar nicht auszubringen. Beim Application Model selbst ist exaktes Arbeiten angesagt, sonst handelt man sich - etwa im Kontext der "Supersedence" - leicht ungewollte Quereffekte ein. Auch bei der User-zentrierten Software-Zuweisung sollte der Kunde vorsichtig sein: hier ist Weniger oft Mehr, ansonsten handelt man sich vor allem höhere Lizenzkosten ein.

Über jeden Zweifel erhaben wiederum sind umfangreiche Detail-Verbesserungen in der Verwaltbarkeit mobiler User; hier trägt Micosoft dem Umstand Rechnung, daß User mit ihren Rechnern immer häufiger in unterschiedlichen Netzen und an unterschiedlichen Standorten unterwegs sind. Auch die neu eingeführten, integrierten Updates von SCCM selbst ("In Place") funktionieren meiner Erfahrung nach hervorragend.

Microsoft möchte seine Kunden dazu anhalten, im großen Stil auf den Zug des "Software as a Service"-Modells aufzuspringen, d.h. die Microsoft-Cloud zu nutzen. In Nord Amerika selbst verdient Microsoft damit auch gutes Geld. Europäische Kunden sehen das etwas skeptischer und sollten sich genau überlegen, ob ihr Sicherheits-Modell diese Option zulässt. Skeptischen Kunden bleibt eine Alternative in Form der sogenannten "private Cloud".

 

Windows Server 2022 / 2019 / 2016

Die jüngsten Windows Server-Generationen lassen sich am besten verstehen als Versuch einer Antwort auf das Problem, daß die in der EDV zu bewältigenden Datenmengen erheblich zugenommen haben.

Am interessantesten ist vielleicht das Fein-Tuning am SMB3-Protokoll: RDMA-fähige Netzwerkkarten (Remote Direct Memory Access) erlauben zwischen Server-2012-Systemen (oder: jünger) einen höchst performanten gegenseitigen Austausch von Daten aus dem Hauptspeicher. SR-IOV (Single Root-Input Output Virtualization) optimiert den Datendurchsatz I/O-lastiger Anwendungen, indem das Vorhandensein mehrerer paralleler I/O-Kanäle emuliert wird. Bis zu 32 physische NICs können im sogenannten "Teaming" zusammengefaßt werden. Über "Multi-Channeling" läßt sich von mehreren Systemen aus parallel auf freigegebenen Datenspeicher zugreifen. Damit sind - vorausgesetzt man befindet sich in homogenen Server 201X-Umgebungen - erstmals nette Spielereien möglich, wie das asynchrone Replizieren ganzer Hyper-V-Umgebungen (Hyper-V-Replicas). Andererseits sollte nicht unterschätzt werden, in welchem Ausmaß die Back-Office-Produkte der jüngsten Generation - wie etwa VMM 2019 oder  SCCM C.B. - selbst Replikationsverkehr generieren. Ein nettes On-board-Feature ist die "Datendeduplizierung", welche der Mehrfach-Vorhaltung identischer Daten auf Datenträgern Einhalt gebietet. Im Bereich der Netzwerk-Dienste ist der DNS-Server nunmehr DNSsec-fähig; der DHCP-Dienst ist redundant konfigurierbar, ohne daß man ihn dazu clustern müßte (DHCP-Failover). Ein neues Filesystem (ReFS) trägt der Entwicklung aktueller Datenträger-Kapazitäten Rechnung. Die Microsoft-Cloud (Azure, Intune) ist ein Kapitel mit zwei ungleichen Seiten: Sicherheits-sensivite Firmen meiden die Microsoft-Cloud, ebenso ist der gesamte Öffentliche Dienst derzeit angehalten, die MS-Cloud nicht zu nutzen (BSI). Seitens weniger Sicherheits-sensitiver Firmen und insbesondere seitens kleinerer bis mittlerer Firmen erfreut sich die Cloud-Technologie dagegen eines zunehmenden Interesses.

Über die vielen Neuerungen bei Server 2019 im Bereich der HW-Kompatibilität und im Bereich der Hochverfügbarkeits-Technologien kann ich mich an dieser Stelle nicht auslassen, das würde den zur Verfügung stehenden Platz sprengen.

Faszinierend ist es, mit anzusehen, wie performant die virtuellen Clients beim Zugriff auf die physischen Ressourcen der Hosts geworden sind. Ebenso faszinierend ist es, mitanzusehen, wie die Technik schon wieder voranschreitet und sich in Richtung Docker-Plattform (mit Nano- und Container-Images) weiterentwickelt, die sich dann über Kubernetes administrieren lässt. 

 

Windows 7 / Vista

Der Microsoft-Client ist gegenüber dem Vorgänger deutlich überarbeitet worden, wobei das Hauptinteresse einer Überarbeitung des Sicherheits-Konzepts galt (Rechtestruktur, Diversifizierung der Systemkonten, strikte Kontrolle der graphischen Ausgabe, etc.). Kehrseite der Medaille ist, dass der neue Client in Sachen Hardware-Anforderungen gefräßig geworden ist. Auch mußten viele Anwendungen für den Einsatz unter Vista / Windows 7 überarbeitet werden, weil sie sich sonst - innerhalb des nunmehr „verschärften“ Rechtekontextes - mit normalen Userrechten nicht mehr ausführen liessen. Gerade der letzte Punkt zog insbesondere für Unternehmen einen zum Teil erheblichen Investitionsbedarf nach sich.

Generell ist das Sicherheits-Level unter Vista respektive Windows 7 im Vergleich zu Windows XP deutlich gestiegen. Davon profitierte in der Vergangenheit zunächst hauptsächlich der Home-User an seinen Einzelplatz-Systemen. Unternehmen konnten die Sicherheitsdefizite von Windows XP durch den Einsatz professioneller Sicherheitslösungen zumindest überspielen. Unter Vista migrierten zunächst nur wenige Unternehmen, nach dem Start von Windows 7 zog dann der Großteil der Unternehmen nach und migrierte die Client-Landschaft.

Die Struktur der User-Profile wurde unter Windows 7 abermals überarbeitet. Interessant für Unternehmen dürften die Features "Branch Cache", "App Locker", sowie "Direct Access" sein; Alt-Anwendungen, die unter W7 partout nicht laufen wollen, lassen sich über eine virtuelle XP-Maschine integrieren ("XP Mode"). Die Verschlüsselungsfunktion "BitLocker" ist nun prinzipiell auf alle Laufwerke und auf Wechselmedien anwendbar.

Nachdem die Einführung des Betriebssystems Vista noch ordentlich vergeigt worden war, ging Microsoft bei der Markteinführung von Windows 7 offensichtlich besser vorbereitet an den Start. Da auch die Software-"Zulieferer" seit der Markteinführung von Vista 2 weitere Jahre Zeit hatten, ihre Hausaufgaben zu machen, stand dem Markterfolg von Windows 7 letztlich nichts mehr im Wege.

 

Windows 10 / Windows 11

Windows 10 ist ein zwiespältiges Betriebssystem: Einerseits vollständig auf der Höhe der Zeit, was vor allem bei der multimedialen Treiber- und Hardware-Unterstützung offensichtlich wird. Vom Look and Feel her betrachtet adressiert Win 10 ab ovo eher die Consumer-Welt als die Business-Welt. Immerhin kann es aufwändig an die Erfordernisse der Business-Welt angepasst werden (die Check-Liste eines Kunden umfasst deutlich über 100 Seiten dokumentierter Konfigurationseinstellungen, ein Step, der mit jedem neuen OS-Build anzupassen und zu wiederholen ist).

Das Betriebssystem ist - ungefragt - äußerst "kommunikativ". Die hohe Grundlast an Diensten führt sowohl zu einer großen Angriffsfläche (warum geht man beim Server den umgekehrten Weg wie beim Client und minimiert dort nach Möglichkeit die Angriffsfläche?), als auch - im Kontext der Meltdown- und Spectre-Problematik - dazu, daß gepatche Windows 10-Systeme mehr an Performance einbüßen als etwa gepatchte Windows 7-Systeme.

Die Gesamtsituation lässt sich wie folgt beschreiben: Derselbe Konzern, der einst für seine Kundennähe berühmt war, drangsaliert heute seine Kunden, um sie zum Umstieg auf Windows 10 zu bewegen (Unter anderem wurden die OEMs dazu bewogen, schon vorhandene Treiber - etwa für i386-Prozessoren der 7. Generation "Kaby Lake" - wieder zurückzuziehen).

Von der ursprünglich geplanten halbjährlichen Erneuerung der OS-Builds (SAC, nicht LTSC) nahm Microsoft inzwischen wieder Abstand, sowohl das Kundenfeedback als auch die TCOs war schlichtweg eine Katastrophe.

Die Öffentlichkeitsarbeit Microsofts, dem Kunden gegenüber zu kommunizieren, welche Daten Windows 10 erhebt und nach Redmond sendet, ist nach wie vor miserabel. In der Verwaltung setzt man Hoffnungen auf die Entwicklung eines "stummen" Windows 10 speziell für Behörden-Belange.

Insgesamt erkennt man in Verwaltung und Industrie allmählich der Risiken einer Abhängigkeit von Software-Monopolisten. Die EU tritt weiterhin uneinheitlich auf und ist sich ihrer Machtposition am Markt  offensichtlich nicht bewusst. Wie sonst ist es zu erklären, daß mit einer EU-weiten Zulassung des Betriebssystems keine weitergehenden Forderungen an den Hersteller verbunden werden?