Blackberries und Iphones finden ihren Weg meist über die Management-Etage ins Unternehmen. Auch Vertriebsmitarbeiter sind zunehmend mit Smartphones ausgestattet. Mit „“Mobile Admin““ bietet der kanadische Hersteller Rove inzwischen eine Softwarelösung an, die sich speziell an den Bedürfnissen von Systemadministratoren orientiert. Im Test musste sich das Produkt einer typischen Auswahl von Anwendungen aus dem RZ-Umfeld stellen.

Blackberries und Iphones finden ihren Weg meist über die Management-Etage ins Unternehmen. Auch Vertriebsmitarbeiter sind zunehmend mit Smartphones ausgestattet. Mit „“Mobile Admin““ bietet der kanadische Hersteller Rove inzwischen eine Softwarelösung an, die sich speziell an den Bedürfnissen von Systemadministratoren orientiert. Im Test musste sich das Produkt einer typischen Auswahl von Anwendungen aus dem RZ-Umfeld stellen.

Nicht zuletzt mit der Abhängigkeit von einem funktionierenden Messaging-System und der Verbreitung von Blackberries im Unternehmen entsteht für immer mehr IT-Verantwortliche die Anforderung, einen 24-Stunden-Betrieb tagtäglich zu gewährleisten. Wer die damit verbundenen Aufgaben nicht an ein externes Service-Unternehmen auslagern kann, muss sich mit dem flexibleren Einsatz der eigenen IT-Mitarbeiter auseinandersetzen.

Mobile Admin (MA) setzt sich zum Ziel, ausgewählte Verwaltungsfunktionen für eine breite Palette von Servern und Diensten wie Windows, Active Directory, VMware Infrastructure, Microsoft Hyper-V, Microsoft Exchange, Lotus Domino, Citrix Xenapp, Blackberry Enterprise Server (BES), Oracle, Microsoft SQL Server und Symantec Backupexec/Netbackup unter einer vereinheitlichten Smartphone-Oberfläche zur Verfügung zu stellen. Neben den primär unterstützten Smartphone-Plattformen Blackberry und Iphone stehen funktionell eingeschränkte Varianten auch für Android, Windows Mobile und Nokia S60 zur Auswahl.

Architektur und Inbetriebnahme

Herzstück der Lösung ist der unter Windows betriebene MA-Server. Er ist seiner Bestimmung folgend in der Nähe der zu administrierenden Zielsystemen hinter der Unternehmens-Firewall zu platzieren. Unterstützte Zielsysteme, die er über das Netzwerk erreichen kann, lassen sich dann unter seiner Obhut verwalten. Dazu stellt der MA-Server ein einfaches Web-Interface für die eigene Verwaltung, sowie spezifische Clients für die mobilen Endgeräte zur Verfügung. Blackberries profitieren dabei von dem Umstand, dass sie durch die Architektur der Blackberry Enterprise Infrastructure bereits über einen verschlüsselten, sicheren Netzwerkkanal ins Unternehmen verfügen. Iphone und Co müssen dazu explizit eine VPN-Verbindung aufbauen. In unserem Testaufbau verwendeten wir zu diesem Zweck einen Lancom-VPN-Router. Prinzipiell möglich ist es auch, einen SSL-gesicherten Port des MA-Servers durch die Firewall zu schleusen.

Einige zu verwaltende Dienste setzen voraus, dass zunächst spezifische Administrations-APIs des jeweiligen Herstellers zu installieren sind. BES 5 beispielsweise benötigt eine installierte „“Blackberry Administration API““. Für den administrativen Zugriff auf Lotus Domino wiederum muss Mobile Admin selbst auf einem Domino-Server installiert werden, und zu verwaltende Citrix-Server benötigen den so geannten „“Xenapp WMI Provider““. Sind diese Voraussetzungen geschaffen, stellt die eigentliche Inbetriebnahme von Mobile Admin auf einem Windows-Server (32 oder 64 Bit) keine große Herausforderung dar. Alle eigenen Verwaltungsdaten legt das Produkt in einer eigenen Sqlite-Datenbank ab. Im Test installierten wir das Produkt zusammen mit Lotus Domino 8.5.1 und BES 5.0.2 unter Windows 2003 R2 mit 3 GByte Arbeitsspeicher und zwei CPUs als virtuellen Gast von VMware ESXi 4.1.

Auf einem Blackberry ermöglicht die Ansteuerung der Verwaltungs-Web-Adresse eine OTA-Installation („“Over the Air““) des MA-Clients. Iphone-bewehrte Administratoren müssen zur Anwendungsinstallation wie gewohnt Apples App Store aufsuchen und finden dort den kostenlosen Download „“Rove Mobile Admin Client““. Dessen Nutzung ist übrigens auch unabhängig von einem MA-Server interessant, da die kostenlose App auch SSH, Telnet und Remote Desktop (RDP) eigenständig beherrscht. In der Testphase erhielten wir mit dem Update des MA-Servers jeweils auch neue Client-Versionen für Blackberry zur OTA-Installation angeboten. Entsprechende Aktualisierungen des Iphone-Clients im Apple App Store waren nicht zu verzeichnen. Ob dies dem aufwändigeren Veröffentlichungsprozess für die Iphone-App oder deren Fehlerfreiheit zuzuschreiben ist, blieb offen.

Um ein Zielsystem und die darauf installierten Dienste mobil verwalten zu können, muss sie der Anwender zunächst einzeln der Mobile-Admin-Verwaltung hinzufügen. Diese einmalige Aufgabe lässt sich sowohl über das allgemeine Web-Interface von Mobile Admin, als auch von den Smartphone-Clients aus erledigen. Wer die Server-Namen dafür nicht einzeln eingeben will, kann alternativ auch das Netzwerk durchsuchen lassen oder mehrere Server in einem Schwung aus dem Active Directory übernehmen.

Mobile Admin gibt sich redlich Mühe, alle unterstützten Dienste auf den ausgewählten Servern selbstständig zu erkennen. Dies gelang in unserem Testaufbau meist, wenn auch die automatische Erkennung beispielsweise darauf bestand, dass ein Linux-basierendes „“Nagios““ auf einem Microsoft-Sharepoint-Server zu finden sei. Pro Server lassen sich einige Erkennungsparameter für Dienste anpassen – wie etwa die Port- oder URL-Einstiegsadresse. Das Benutzerkonto, das für den Zugriff auf die einzelnen Server zu verwenden ist, legt Mobile Admin in seiner internen Datenbank ab. Eine erneute Eingabe auf der meist schwer handhabbaren Smartphone-Tastatur entfällt also beim nächsten Besuch. Durch die Server-seitige Konfigurationsverwaltung reicht bei einem Endgerätewechsel die einmalige Authentifizierung gegen den MA-Server, um die vorbereitete Konfiguration wieder vorzufinden.

Bereits mit einem der von Mobile Admin für Blackberry und Iphone bereitgestellten Standardverfahren SSH, RDP und VNC lässt sich in der Theorie nahezu jeder Server im Rechenzentrum fernwarten. Es ist sogar erstaunlich, wie gut sich RDP-Sitzungen auf einem Blackberry 9700 (ohne Touchscreen) oder einem Iphone 3GS (ohne Tastatur) unter guten 3G- und WLAN-Verbindungsbedingungen steuern lassen – inklusive rechtem Mausklick und Co. Die Grenzen dieses Verwaltungszugriffs zeigen sich allerdings schnell, wenn es zum Beispiel gilt, die Fenstergröße einer Anwendung zu verändern („“Drag““ bei gedrückter Maustaste). Für regelmäßige administrative Eingriffe unter mobilen Bedingungen lernt der Anwender daher schnell, das spezifische Verwaltungsinstrumentarium zu schätzen, das Mobile Admin unter der eigens für Smartphones entwickelten und damit datenübertragungsoptimierten Benutzeroberfläche anbietet.

Die auf diesem Weg verfügbaren Administrationsfunktionen stellen natürlich immer nur eine Untermenge der orginären Verwaltungswerkzeuge dar, doch ist es Rove gelungen, das Funktionsangebot durchaus auf Praxisbedürfnisse abzustimmen. Auf Windows-Servern lässt sich beispielsweise das Ereignisprotokoll auswerten, um dann geeignete Maßnahmen wie den Neustart von Diensten, das Beenden „“wild gewordener““ Prozesse oder gar den kompletten Server-Neustart einzuleiten. Auch die Kommandozeile, Windows Powershell und „“geplante Tasks““ stehen unterwegs im Zugriff. Hat ein Windows-Benutzer sein Kennwort vergessen, oder muss ihn der Administrator noch schnell einer Berechtigungsgruppe hinzufügen, so braucht dieser seine wohlverdiente Mittagspause dafür nicht gleich abzubrechen. Selbst die Berechtigungen auf Verzeichnisse und Dateien kann der Administrator fernab seines Arbeitsplatzes setzen. Reicht dies nicht, lassen sich Dateien auf dem File-Server auch an andere Stelle verschieben oder gleich per Fernanweisung als Dateianhang an einen Suchenden verschicken.

In der Lotus-Domino-Infrastruktur der Testumgebung erhielten wir – analog zum Active Directory – Verwaltungszugriff auf Notes-Benutzer und -Gruppen. Es lassen sich typische Datenbankpflegeoperationen wie „“Fixup““ und „“Compact““ anstoßen, aber auch die „“Administration Requests““ überwachen. Selbst die Domino-Server-Konsole bringt Mobile Admin auf den Smartphone-Bildschirm, um beliebige Verwaltungskommandos abzusetzen. Ein deutlich kleineres, wenn auch nicht weniger nützliches Funktionsrepertoire beherrscht Mobile Admin in Verbindung mit Citrix-Terminal-Farmen und der VMware-Infrastruktur. Meist zu Unzeiten „“hängen gebliebene““ Citrix-Benutzer lassen sich abmelden und blockierende Benutzerprozesse beenden. Leider funktioniert dies erst ab der Enterprise Edition von Xenapp, da Citrix kleinere Editionen nicht mit dem von Mobile Admin benötigten WMI Provider versorgt.

„“Gäste““ der VMware-Infrastruktur fahren auf Fernbefehl herunter, um beispielsweise mit neu zugeordneter virtueller Speicher- und CPU-Ausstattung anschließend den Betrieb wieder aufzunehmen. Bedauerlich ist auch in diesem Zusammenhang, dass VMware seine Administrationsschnittstelle für das beliebte kostenlose ESXi künstlich beschnitten hat: Außer dem lesenden Statuszugriff sind dort aktive Maßnahmen mittels Mobile Admin unterbunden.

Research In Motion (RIM) hat mit seinen Blackberries in den letzten Jahren zwar maßgeblich die Mobilisierung von allgemeinen IT-Anwendungen im Unternehmen vorangetrieben, doch bisher nur wenig für die Mobilität der Administratoren seiner Blackberry-Enterprise-Infrastrukturen getan. Mit der BES-Version 5.0.2 steht zwar erstmals dessen administrative Oberfläche auch für Web-Browser jenseits von Microsoft Internet Explorer offen, doch ist die Darstellung noch keinesfalls für mobile Browser optimiert. Auch der neue Blackberry Torch 9800 mit seinem Webkit-basierenden Browser à la Iphone ändert daran zunächst nichts. Um diese „“Mobilitätslücke““ kümmert sich Mobile Admin selbstverständlich ebenfalls: Ausgerechnet am Wochenende verloren gegangene Blackberries lassen sich bequem vom eigenen Administrator-Smartphone aus fernlöschen, ein neues Aktivierungskennwort für die Benutzerregistrierung am Ersatzgerät vergeben und Sicherheitsrichtlinien gezielt zuweisen, damit der Anwender die unabdingbare App selbst installieren kann. Sogar neue BES-Benutzer lassen sich ohne Rückgriff auf den „“Blackberry Administration Service““ anlegen. Selbstverständlich stehen auch Informationen zur Problemanalyse wie „“aktuelle Geräte-PIN““, „“Mobilnummer““ und „“letzter Kontakt zum Server““ zur Verfügung.

Die mobilen Verwaltungsmöglichkeiten von Mobile Admin sind jedoch mit diesen Beispielen, die wir in unserer Testumgebung selbst prüfen konnten, bei weitem noch nicht ausgeschöpft. Eine aktuelle Liste aller administrativ unterstützten Dienste findet sich unter www.roveit.com/products/features.aspx. Dort sind auch die funktionalen Unterschiede zwischen den drei verfügbaren Produkteditionen „“Basics““, „“Professional““ und „“Proplus““ im Detail beschrieben.

Wenn sich der erste Anwender persönlich außerhalb der normalen Arbeitszeiten beim Administrator meldet, ist es oft schon zu spät: Ein Fehler im System hat bereits eine Welle von Problemen ausgelöst. Mobile Admin klinkt sich daher auf Wunsch auch direkt in Monitoring-Lösungen wie Microsoft System Center Operations Manager oder das Open-Source-System Nagios ein. Letzteres überwachte in unserer Testumgebung die Verfügbarkeit aller Hosts und wichtiger Dienste wie E-M ail-Routing und Web-Services. Mithilfe der durch Mobile Admin aufbereiteten Statusübersichten von Nagios sind überschrittene Schwellenwerte und ausgefallene Hosts nicht nur schnell lokalisiert – was im Zweifelsfall auch eine Benachrichtigungs-E-Mail oder SMS leisten würde –, sondern der Administrator kann über die Funktion „“Manage Host““ auch unmittelbar Gegenmaßnahmen aktiv ergreifen. Für die Information anderer Administratoren im Team lassen sich vom Smartphone aus Kommentare in Nagios hinterlegen oder gleich weitere Maintenance-Zeiträume definieren. In diesem Zusammenhang ist auch die von uns nicht weiter getestete Integration in Helpdesk-Systeme wie „“CA Service Desk““ und „“BMC Remedy Service Desk““ zu sehen.

Mit der aktuellen Version Mobile Admin 6 führte Rove auch ein „“Real-Time Dashboard““ ein, das allerdings der Proplus-Edition vorbehalten bleibt. Diese weitergehende Monitoring-Integration nutzt zum Beispiel den Push-Mechanismus der Blackberry-Enterprise-Infrastruktur, um Alarmmeldungen unmittelbar in einem „“Dashboard““ getauften Nachrichtenbereich des MA-Clients zu signalisieren. Auf dem Iphone allerdings muss der MA-Client dazu nicht nur durchgängig im Hintergrund laufen, sondern auch eine TCP-Verbindung über eigene Ports zum MA-Server aufrechterhalten.

Fazit

Rove gibt mit Mobile Admin dem Systemadministrator und Helpdesk-Mitarbeitern ein gelungenes Werkzeug in die Hand, um die Ausübung vieler täglicher Aufgaben für den Notfall abseits von Arbeitsplatz- und Notebook-Bildschirm flexibel zu gestalten. Mobile Admin überzeugt dabei mit einer Vielzahl unterstützter Backend-Systeme und einem breitem Funktionsangebot – derzeit durchaus ein Alleinstellungsmerkmal am Markt. Zudem kann der Anwender die eingesetzte Smartphone-Plattform weitgehend frei wählen, wenn auch der volle Funktionsumfang aktuell nur für Blackberry und Iphone verfügbar ist. Verbesserungen wünschen wir uns noch für die Navigation in umfangreicheren RZ-Umgebungen. Lange Host- und Service-Listen lassen sich nicht gezielt durchsuchen oder Sprünge zu Anfangsbuchstaben ausführen.

 

Info: Dymacon Business Solutions
Tel: 06151/30742-0
Web: www.dymacon.de

 

Weitere Informationen zum Thema

Weiterführende Informationen zum Thema mobile Administration finden sich auf der Website des Autors unter itlab.de/pmeuser/archives/category/mobile-admin:

  • Nützliche Admin-Tools für Iphone und Blackberry – eine App-Sammlung.
  • Wie schlägt sich der neue Blackberry Torch 9800 im administrative Einsatz?
  • Erste Erfahrungen mit Blackberry (OS) 6 auf dem Blackberry Enterprise Server.

LL01F02_Bild-1.jpg

LL01F02_Bild-2.jpg

LL01F02_Bild-3.jpg

LL01F02_Bild-4_optional.jpg