Liebe Leserinnen und Leser,

ich bin Yusuf Dikmenoglu , einer von mehr als 160 (!) Premier Field Engineers (PFE) aus Deutschland. Ich gehöre zu den transactional PFEs (mit dem Schwerpunkt „Active Directory“), die meistens proaktive Services wie beispielsweise Health Checks, Workshops etc. ausliefern.

Was macht ein PFE? Und was haben wir davon? Derartige Kundenfragen sollen unsere PFE Blogbeiträge beantworten. Meine Kollegen Milad Aslaner, Fabian Müller und Ricardo Wickel haben bereits den Einstieg und den Arbeitsalltag eines PFE sowie die Qualitäten, die wir PFEs aufweisen müssen auf den folgenden Blogbeiträgen detailliert beschrieben:

[Mein Arbeitstag als Premier Field Engineer]
http://blogs.technet.com/b/microsoft_services_deutschland/archive/2013/06/14/mein-arbeitstag-als-premier-field-engineer.aspx

[Ein Tag im Leben… Microsoft Premier Field Engineer Teil 2]
http://blogs.technet.com/b/microsoft_services_deutschland/archive/2013/06/24/ein-tag-im-leben-microsoft-premier-field-engineer-teil-2.aspx

[Mein Einstieg bei Microsoft - die erste Woche als Premier Field Engineer]
http://blogs.technet.com/b/microsoft_services_deutschland/archive/2013/06/26/mein-einstieg-bei-microsoft-die-erste-woche-als-premier-field-engineer.aspx

 

Mir wurde die Ehre zuteil, einen Beitrag über das Risk and Health Assessment Program (RAP) zu schreiben. Denn leise und ohne viel Tamtam haben wir, das Premier Field Engineering, diesen Service zum 1. Juli 2012 umgestellt.

Was also leistet das RAP? Und wann nehmen unsere Kunden diesen proaktiven Service in Anspruch?

Das RAP existiert für die meisten Microsoft-Technologien: Active Directory, System Center Configuration Manager, Clustering Services, Exchange, Microsoft Office SharePoint Server, IT Operations, SQL und Windows Desktop Client.

Bei einem RAP wird eine detaillierte Risikoanalyse der jeweiligen Technologie und der dazugehörigen Dienste erstellt. Dabei liegt unser Schwerpunkt nicht auf einer Risikoanalyse der Technologie an sich, sondern wir untersuchen, wie der Kunde die Technologie in seiner Umgebung betreibt. Ein RAP ist ein erheblicher Beitrag zur Problemvermeidung.

In unserer weltweiten Support-Datenbank besteht ein wesentlicher Anteil aus Supportanfragen, die ihren Ursprung in fehlenden Prozessen haben. Deshalb durchleuchten wir bei unseren RAPs auch die IT-Service-Management-Prozesse. Ein Bestandteil ist ein Fragenkatalog (Operational Interview, auch Survey genannt), der sich von Technologie zu Technologie unterscheidet. Bei einem Active Directory RAP (AD RAP) zum Beispiel behandeln wir Fragen aus den Bereichen Backup, Design, Disaster Recovery, Environmental Dependencies, Identity and Access, Monitoring, Operate, Security und Transition. Der Fragenkatalog wird stetig aktualisiert, basierend auf unseren Best Practices.

Was ist das Ziel unser RAPs? Wir wollen, dass ihre IT sicher und störungsfrei funktioniert und das tut, wofür sie da ist, nämlich ihre geschäftlichen Aktivitäten zu unterstützen. In unseren RAPs identifizieren wir Schwachstellen, Risiken, Fehler und Probleme, technologisch wie auch in der IT‑Betriebsführung. Konkrete Lösungsvorschläge helfen Ihnen, ihre IT zu verbessern.

In folgenden Szenarien fordern unsere Kunden typischerweise ein AD RAP an:

- Regelmäßige Prüfungen zur Problemvermeidung der Active Directory-Umgebung
- Vor einer Domänenaktualisierung bzw. Migration, um keinen Showstopper zu erleben
- Nach einer Domänenaktualisierung bzw. Migration, um den Erfolg der Umstellung zu prüfen (bei längeren Projekten auch während der Domänenaktualisierung bzw. Migration)
- Vor und nach der Implementierung einer (größeren) AD-Applikation
- Nach einem AD CritSit (Critical Situation = Ausfall von einem oder mehreren Systemen)

 

Wie ist der Ablauf eines RAP?

Nur speziell für diesen Service zertifizierte PFE dürfen bei Microsoft ein RAP leiten, in dessen Verlauf es auch zu einem Deep-Dive-Workshop kommt, den unsere Kunden sehr schätzen. Am letzten Tag seiner Anwesenheit stellt der PFE den Verantwortlichen ein Management Summary mit dem Ergebnis vor. Dem folgt eine Remediation Planning Session (RPS). Anhand einer Excel-Datei (genannt „Action Plan“) benennt der PFE nicht nur die kritischen Fehler, sondern es soll festgelegt werden, wer bis zu welchem Zeitpunkt dafür verantwortlich ist, sie zu beheben. Weil das unter Umständen mit Zusatzkosten verbunden ist (die Administratoren brauchen zumindest Zeit, diese Fehler neben dem laufenden Tagesgeschäft beseitigen zu können), sollten neben den Administratoren auch die Entscheider am Tisch sitzen. Der Technical Account Manager (TAM) wird regelmäßig nach dem Stand fragen, um sicherzustellen, dass die im RAP entdeckten Fehler tatsächlich behoben werden. Denn es liegt auch in unserem Interesse, dass unsere Kunden mit unseren Produkten möglichst fehlerfrei arbeiten können.

Im Einzelnen überprüfen wir beispielsweise beim AD RAP, folgende Kategorien mit inzwischen mehr als tausend Regeln:

- Active Directory Replication
- Name Resolution (DNS)
- Domain Controller Health
- Active Directory Database
- SYSVOL and Group Policy
- Account Information
- Processes (Operational Interview)
 

Die Regeln basieren auf unseren Best Practices. Sobald eine Einstellung abweicht, wird ein Informational, Low, Medium, High oder gar Critical Issue angezeigt, meistens mit sehr vielen ergänzenden Informationen „out-of-the-box“, dank derer der Admin den Fehler selbst beheben kann. In anderen Fällen liefert der PFE die nötigen Hinweise. Die sogenannten Low Hanging Fruits (Issues die sich mit wenigen Klicks beheben lassen und nur mit geringem Risiko verbunden sind) werden bereits während des Workshops behoben. Während des AD RAP-Workshops werden Fehler selbstverständlich nur im gemeinsamen Einvernehmen und ganz wichtig unter Einhaltung eines womöglich bestehenden Change-Management-Prozesses beseitigt.

 
RAP goes to “RAP as a Service”


 


Es war jedoch an der Zeit, auf veränderte Kundenanforderungen zu reagieren und diesem proaktiven Service mehr Flexibilität zu verleihen. Das war jedoch mit dem bisherigen RAP-Prozess und der bestehenden Plattform nicht möglich; ein neuer Prozess musste her, samt einer neuen Plattform und einem neuen Client. Eine einfache Weiterentwicklung des bestehenden RAPs genügte dafür nicht, sondern es kam zur Neuentwicklung einer RAP-Analyse-Plattform.

Deshalb sagen wir: Das RAP ist Vergangenheit! Das neue Zeitalter lautet „Risk and Health Assessment Program as a Service“ (RaaS).
Das offizielle Video auf Deutsch kann hier heruntergeladen werden:

http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-91-01/3835.RaaS_5F00_German_5F00_ver3_5F00_wp.mp4


Das RaaS-Portal, auf dem Sie ein RaaS initiieren und die Ergebnisse ansehen können, befindet sich hier:

Premier Proactive Assessment Services
https://services.premier.microsoft.com/

 

 

Die Flexibilität im RaaS haben wir durch die Einführung eines Remote-Tages erreicht. Das bedeutet: Das RaaS ist aufgeteilt in einen Remote-Tag, dem wenig später ein Besuch des PFE vor Ort folgt. Am Remote-Tag meldet sich der PFE morgens telefonisch beim Kunden und bespricht mit ihm den Ablauf dieses Tages. Im Wesentlichen analysiert der PFE die Daten und verschafft sich einen Überblick über die Umgebung. An diesem Tag sollte stets ein Ansprechpartner seitens des Kunden für den PFE zur Verfügung stehen, damit Unklarheiten mit einem Anruf sofort geklärt werden können. Nach der Analyse kommentiert der PFE die Issues im RaaS-Portal und erstellt Vorabversionen verschiedener Reports. Nachmittags steht die Closeout-Telefonkonferenz an, in der Kunde, PFE und TAM gemeinsam die wesentlichen Issues und das Operational Interview besprechen.

[About RAP as a Service - Premier Proactive Assessment Services]
https://services.premier.microsoft.com/raas

 
Die erste Technologie, die seit dem 1. Juli 2012 auf dieser neuen Plattform angeboten wird, ist das Active Directory (AD RaaS), der Vorreiter für die nachfolgenden Technologien. Seit Oktober 2012 steht SQL RaaS zur Verfügung, wenig später folgten RaaS für System Center Configuration Manager, SharePoint und Windows Azure. Seit April 2013 bieten wir auch Windows Desktop RaaS (WD RaaS) und Exchange RaaS (EX RaaS) an.

Ziel ist, sämtliche Technologien auf RaaS umzustellen. Dabei wird es das RaaS wie schon seinen Vorgänger auch in der Offline-Variante geben. Bei einem Offline-RaaS bleiben die gesammelten Daten auf den Systemen des Kunden.


Das Datenblatt für AD RaaS kann hier heruntergeladen werden:

AD RaaS Datenblatt:
http://download.microsoft.com/download/1/C/1/1C15BA51-840E-498D-86C6-4BD35D33C79E/Datasheet_RaaS_AD.pdf

 

Was unterscheidet RaaS von RAP?

Um dem starren RAP Dynamik zu verleihen, haben wir beim RaaS-Ablauf Folgendes verändert (hier am Beispiel des AD RaaS):

- Der Kunde erhält weiterhin eine Willkommensmail mit detaillierten Informationen darüber, was er vorbereitend erledigen muss.

- Zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags muss das AD RAP Scoping Tool noch benutzt werden; es wird jedoch in Kürze in den AD RaaS Client integriert ein weiterer Schritt, der den Ablauf erleichtert! Mit dem Scoping Tool überprüfen wir, ob die Voraussetzungen für eine erfolgreiche Datensammlung erfüllt sind, damit wir ein möglichst klares Bild von der Kundenumgebung erhalten.

Mittels Scoping Tool prüfen wir beispielsweise, ob wir von der Tools-Maschine (das System, über das die Tests laufen und die Daten gesammelt werden) mit einem „Enterprise Admin“ per RPC, ICMP, DNS, LDAP, WMI etc. jeden Domain Controller (DC) im Forest erreichen können. Bedauerlicherweise wird das nicht von allen Kunden gewünscht. Sie fragen, ob wir einzelne DC oder sogar in einem Multi-Domänen-Forest einzelne Domänen aus der Betrachtung nehmen können? Das ist jedoch keineswegs empfehlenswert! Denn wenn wir nicht jeden DC innerhalb des Forest mit unseren Tests kontaktieren können unabhängig davon, in welcher Domäne sich der DC befindet , so ist ein AD RaaS unvollständig. Denn: Eine Kette ist nur so stark wie ihr schwächstes Glied. Deshalb muss eine forestweite Technologie wie das Active Directory auch forestweit überprüft werden. Denn vereinzelt wird jeder DC mit jeden anderen DC im Forest verglichen etc.

[Download Risk and Health Assessment Program for Active Directory (ADRAP) – Scoping Tool v1.6]
http://www.microsoft.com/en-us/download/details.aspx?id=19464

- Es folgt wie gehabt der Scoping Call, in dem der Ablauf des RaaS, eventuell bestehende Probleme bei der Vorbereitung und die Erwartungshaltung (high-level) besprochen werden. Jegliche Unklarheiten werden in diesem Call ebenfalls beseitigt und die Themen des Deep-Dive-Workshops diskutiert.

- Zum Aktivieren und zur Durchführung des RaaS wird ein Microsoft Account (ehemals LiveID) benötigt. Er kann unter http://login.live.com erstellt werden, am besten personenbezogen. So bestimmt der Kunde selbst, wer auf die Plattform und somit die Ergebnisse zugreifen kann. Falls weitere Kollegen Zugriff auf das RaaS-Portal erhalten sollen, kann das unter Angabe des Microsoft Accounts mit einer Mail an den TAM veranlasst werden. Der TAM erstellt die Accounts und versendet eine E-Mail mit den Aktivierungslinks (Activation Token).

- Es wurde ein RaaS Client entwickelt, der lediglich für die Datensammlung zuständig ist. Der RaaS Client lässt sich vom RaaS-Portal, auf dem man sich mit dem Microsoft Account anmelden muss, in Form einer ZIP-Datei herunterladen. Nach der Installation und dem Starten mit Enterprise Admin Rechten verlangt der RaaS Client das Regelwerk. Es befindet sich ebenfalls in der ZIP-Datei und trägt die Dateiendung EXEPKG. Ist das Regelwerk geladen, muss der Discovery-Prozess gestartet werden, der einige  Basistests zu jedem DC im Forest beinhaltet, darunter RPC, LDAP, WMI, DNS etc. Anschließend beginnt die Datensammlung.

- Die Datensammlung und deren Upload in die RAP Analyse Plattform (falls es sich nicht um ein Offline RaaS handelt) obliegt der Kundenseite (ohne PFE vor Ort). Auch das Ausfüllen der Prozessfragen erledigt der Kunde eigenständig während der Datensammlungsphase. Der Kunde ist dadurch flexibel und kann diese Aufgaben erledigen, wenn es sein Kalender zulässt, jedoch bis spätestens fünf bis sieben Tage vor dem Remote-Tag des PFE.

Die Datensammlung findet „in einem Rutsch“ statt und dauert je nach Größe der Umgebung bis zu mehrere Stunden. Eventuell nach der Datensammlung fehlgeschlagene Tests können an gleicher Stelle einzeln wiederholt werden. Das Ergebnis der Datensammlung, sprich die Issues, sieht man nach dem Upload und Analyse online im RaaS-Portal.

- Nach der Datensammlung müssen die Daten in die RAP-Analyse-Plattform hochgeladen werden (außer bei einem Offline RaaS). Den dafür erforderlichen Submission Access Key erhält man auf dem RaaS-Portal. Hat jedoch die Toolsmaschine (kann beispielsweise die Admin Workstation sein) keinen Internetzugriff, müssen die Daten exportiert und auf ein System kopiert werden, das Internetzugriff hat. Dort installiert man erneut den RaaS Client, importiert die Daten und lädt diese in die RAP Analyse Plattform hoch.

- Nach dem Datenupload benötigt unser RaaS Backend bis zu 24 Stunden (meistens jedoch maximal vier Stunden, je nach Größe der Umgebung), um die Daten zu analysieren. Auf dem RaaS-Portal erscheint ein „Ready to view“, bevor man das Ergebnis und die Issues begutachten kann. Deshalb sollte die Datensammlung mehrere Tage vor dem Remote-Tag des PFE abgeschlossen sein, so dass noch genügend Zeit ist, um eventuell auftretende Probleme zu beseitigen.
 
 
- Zur Datensammlung gehört, die Fragen des Operational Interviews zu beantworten, und zwar ebenfalls mehrere Tage vor dem Remote-Tag des PFE. Der Survey ist – wie sollte es anders sein – über das RaaS-Portal abrufbar.

- Ist die Datensammlung abgeschlossen, folgt der Remote-Tag des PFE.

- Zu einem späteren Zeitpunkt folgt der Deep-Dive-Workshop mit dem PFE vor Ort

- Am letzten Tag des PFE vor Ort finden nachmittags weiterhin das Management Summary und die RPS statt.

- Wenige Tage später erhält der Kunde den abschließenden Report samt ausgefülltem Action Plan sowie die Management-Präsentation.

- Selbstverständlich kann eine Analyse innerhalb der Lizenzlaufzeit weiterhin so oft wie gewünscht vorgenommen werden. Eine Verlängerung der RaaS-Lizenz bei einem weiterhin bestehenden Premier-Vertrag muss spätestens nach zwölf Monaten erfolgen und ist mit einem Remote-Tag des PFE verbunden.
 

Die Besonderheit im AD RaaS

- Im AD RaaS wurden Regeln aus unserem zweiten Service namens Active Directory Upgrade Assessment (ADUA) implementiert. Damit prüfen wir die Umgebung anhand zusätzlicher Regeln auf technische Probleme, die eine Domänenaktualisierung verhindern könnten.

- Bei Unklarheit ein Issue betreffend kann über den TAM ein Telefonat mit einem PFE erfolgen, ohne dass der PFE vor Ort kommen muss (ausgenommen Offline RaaS).

Kunden, die ein RAP mitgemacht haben, wissen diesen proaktiven Service sehr zu schätzen. Wir PFE legen Ihnen diesen Service für jegliche Technologie wärmstens ans Herz. Als Einstieg wird in der Regel das AD RaaS gewählt, gefolgt von einem EX RaaS (falls eine Exchange-Umgebung existiert),  denn beide Infrastruktur-Technologien gelten oftmals als „business critical“. Auch ein WD RaaS (Windows Desktop oder auch Client RaaS) ist mindestens dann sehr gefragt, wenn eine Aktualisierung von Windows XP (Sie wissen, dass der extended Support für Windows XP am 8. April 2014 ausläuft!) zu Windows 7/8 ansteht. Sind die ersten Testrechner mit dem neuen Betriebssystem installiert, bietet es sich an, mit einem WD RaaS diese Clients auf Herz-und-Nieren (Konfiguration, Performance etc.) zu prüfen. Das WD RaaS adressiert ganz besonders das Thema „Slow Boot – Slow Logon“ und die in-depth-Startanalysen, mit denen der Startvorgang optimiert werden kann.

Fazit

RaaS hat gegenüber dem “alten” RAP-Prozess eine Menge Vorteile. Das zeigt auch das Feedback der Kunden auf der ganzen Welt, die RaaS bereits genutzt haben. Sprechen Sie mit Ihren TAM. Falls Sie noch kein Premier Kunde sein sollten und wir Ihr Interesse an einem Premier-Vertrag geweckt haben, können Sie sich an getransx@microsoft.com wenden.

Wir würden uns sehr freuen, Sie bei einem RaaS (oder einem anderen Engagement) zu treffen. :-)
 
Viele Grüße und bis demnächst, Ihr

Yusuf the AD RaaS machine Dikmenoglu

 

Weitere Informationen:
[Microsoft Rap As A Service – die technische Einschätzung Ihrer Umgebung leicht gemacht. Microsoft Services Deutschland Site Home TechNet Blogs]
http://blogs.technet.com/b/microsoft_services_deutschland/archive/2013/02/05/3550459.aspx

[Microsoft Services Betrieb Microsoft IT Business Network Services]
http://www.microsoft.com/de-de/business/it-business-network/services/betrieb.aspx#491

[Download RAP as a Service (RaaS) Prerequisites from Official Microsoft Download Center]
http://www.microsoft.com/en-us/download/details.aspx?id=34698