Seit dem 12. Juli 2011 steht eine Beta-Version (finale Version wird Ende 2011 verfügbar sein) von Windows Intune bereit, in der man nun auch Software über die Cloud verteilen kann. Da die Softwareverteilung mit Windows Intune und somit über die Cloud eine neue Art des Deployments ist, gibt es dadurch auch neue Herausforderungen. Ich möchte hier an dieser Stelle, diese Herausforderungen und den ein oder anderen Tipp darstellen.

In der webbasierten Verwaltungskonsole kann man über das Software-Menü Programme und Updates administrieren, die auf die verwalteten PCs bereitgestellt werden. Hier können Softwarepakete hochgeladen, konfiguriert und verteilt werden (siehe Bild 1).

Bild 1: Die verwaltete Software-Übersicht in der Windows Intune Administrationskonsole

Bevor Sie beginnen, Softwarepakete zu erstellen, sollten Sie zunächst gut planen, welche Software geeignet ist, über die Cloud verteilt zu werden und welche Computergruppen dafür in Frage kommen.

Hier ein paar Hinweise dazu:

1. Herausfinden, welche Software verteilt werden kann
Untersuchen Sie, ob die Software mit Windows Intune verteilt werden kann. Windows Intune kann Microsoft Installer (MSI) Dateien und ausführbare (EXE) Setup Dateien verteilen, die die stille Installation (silent installation) unterstützen.

2. Herausfinden, welche Computer welche Software benötigen
Planen Sie gut, welcher Computer welche Software benötigt. Anhand dieser Planung sollten Sie entsprechende Computergruppen anlegen.

3. Existierende Computergruppen überprüfen
Sie sollten bereits existierende Computergruppen berücksichtigen. Vielleicht gibt es bereits Computergruppen, die den Anforderungen entsprechen.  Überprüfen Sie die verwalteten PCs innerhalb einer existierenden Gruppe und schauen Sie, ob diese PCs gleiche Software benötigen. Zum Beispiel, wenn alle Computer der Buchhaltung die gleiche Abrechnungs-Software benötigen und sie alle Mitglied einer existierenden Computergruppe sind, können Sie diese Gruppe auch zum Verteilen der Anwendung benutzen. Sofern ein PC innerhalb dieser Gruppe die Software nicht benötigt, eignet sich diese Gruppe nicht zur Softwareverteilung.

4. Bei Bedarf neue Computergruppen erstellen
Wenn Sie im vorherigen Schritt feststellen, dass die existierenden Gruppen nicht den Deployment-Anforderungen entsprechen, erstellen Sie für die Softwareverteilung spezielle Windows Intune Computergruppen. Beim Erstellen dieser Gruppen, gibt es verschiedene Denkansätze:

a) Einzelne Anwendungsgruppen
Für jede Anwendung eine eigene Gruppe erstellen und die entsprechenden Computer anschließend hinein kopieren (siehe Bild 2). Hinweis: Ein Computer kann natürlich Mitglied mehrerer Gruppen sein. Sie sollten darauf achten, nicht zu viele Computer in eine Gruppe zu kopieren, da es ansonsten zu Engpässen mit der Internetbandbreite kommen kann, wenn sich mehrere PCs die gleiche Internetleitung teilen. In diesem Falle sollten mehrere Gruppen pro Anwendung erstellt werden, um die Bandbreite besser zu kontrollieren.

Bild 2: einzelne Anwendungsgruppen

b) Zusammengeführte Anwendungen in Sammel-Gruppen
Wenn Sie Computer haben, auf denen die gleiche Sammlung von Anwendungen verteilt werden soll, kann man über diesen Ansatz gehen. Erstellen Sie zunächst eine Gruppe für jede Anwendungssammlung und fügen Sie anschließend die Computer in diese Gruppe, die dafür vorgesehen sind (siehe Bild 3). Wie auch im Falle der einzelnen Anwendungsgruppen sollten Sie hier die Internetbandbreite nicht außer Acht lassen: Die Größe der Softwarepakete, die Anzahl der Anwendungen in der Sammlung, die Anzahl der PCs in der Gruppe und die vorhandene Internetverbindung beeinflussen die Verbindung während des Deployments.

Bild 3: Anwendungssammlungen

Beispiel: Nehmen wir an, dass die Sales Apps Gruppe in Bild 3 aus 20 Computern besteht. Sie möchten sechs Anwendungen mit einer Gesamtgröße von 900 Megabyte (MB) auf diese verteilen. Dann sollte man ungefähr 18 Gigabyte (GB) – (20 x 900 MB) – einkalkulieren, die im Laufe des Deployments vom Windows Intune Dienst auf die entsprechenden PCs über die Internetverbindung heruntergeladen werden. Jeder PC innerhalb der Gruppe verbindet sich zum Windows Intune Dienst und lädt die benötigten Softwarepakete für sich selbst herunter. Beim Prüfen der Bandbreite sollten Sie deshalb folgende Punkte beachten:

• Die Anzahl der PCs, die sich eine Leitung teilen
• Die Bandbreitennutzung während eines normalen Arbeitstages
• Die Zeiten, wann die Internetbandbreite hohe Auslastungen erreicht

Nachdem Sie festgelegt haben, welche Software verteilt werden soll und sie eine entsprechende Gruppenstrategie haben, führen Sie die folgenden Schritte durch, um den Prozess zu vervolständigen (siehe Bild 4).

Bild 4: Der Windows Intune Softwareverteilungsprozess

1. Software Installationsdateien vorbereiten

Um Softwarepakete zu verteilen, müssen Sie zunächst die benötigten Installationsdateien überprüfen. Diese Dateien müssen entweder in einer ausführbaren Datei (z.B. Setup.exe) oder in einer Windows Installer Datei (z.B. meineanwendung.msi) umfasst sein. Wenn eine .exe-Datei weitere Dateien oder Ordner benötigt, stellen Sie sicher, dass alle diese Dateien in einem einzelnen Ordner liegen, damit der Software Upload Assistent sie zu einem Softwarepaket zusammenführen kann. Egal ob Sie eine .exe-Datei oder eine .msi-Datei verteilen möchten, stellen Sie sicher, dass diese Setup-Datei einen Kommandozeilen-Parameter (z.B. /quiet oder /silent) für die stille Installation hat, damit die Installation ohne Benutzereingabe abläuft. Das ermöglicht dem Windows Intune Agenten die Software herunterzuladen und automatisch mit SYSTEM-Rechten zu installieren. Wenn eine Software dies nicht unterstützt, kann sie nicht mit Windows Intune verteilt werden.

2. Paket hochladen

Um ein Softwarepaket in die Cloud zu laden, müssen Sie zunächst den Software Upload Assistenten starten und sich mit Ihrer Windows Intune Administrator Live ID anmelden. Der Assistent (siehe Bild 5) führt Sie durch die einzelnen Schritte. Zum Abschluss komprimiert und verschlüsselt der Assistent das Softwarepaket und lädt es auf Ihren Windows Intune Cloudspeicher, welcher auf einer Windows Azure Speicherplattform bereitgestellt ist.

 
Bild 5: Der Windows Intune Software Upload Assistent

Während des Upload-Vorgangs führt der Assistent durch folgende Schritte:

• Speicherort der Setup-Dateien
  Der Pfad zu den Setup-Dateien auf dem lokalen Computer des Administrators. Das sind die Dateien, die komprimiert, hochgeladen und zu einem Softwarepaket verpackt werden.
• Herausgeber
  Ein Textfeld für den Namen des Herausgebers.
• Name
  Der Titel der Software.
• Beschreibung
  Ein Textfeld zur Eingabe einer Beschreibung.
• Erforderliche Architektur
  Ein Drop-down Menü, in dem Sie angeben können, ob die Software nur für 32-bit, nur für 64-bit oder für eine beliebige Betriebssystem Architektur bereitgestellt wird.
• Erforderliches Betriebssystem
  Ein Drop-down Menü, in dem ein spezielles Betriebssystem angegeben werden kann, auf dem diese Software bereitgestellt wird. Die Optionen sind ein beliebiges, Windows XP, Windows Vista und Windows 7. Sie haben zusätzlich die Möglichkeit, festzulegen, ob ein neueres Betriebssystem automatisch in Ihre Auswahl berücksichtigt wird. (Siehe Bild 6)

Bild 6: Auswahl des Betriebssystems

• Kommandozeilen-Argumente
  Hier können Sie der Installationsroutine Parameter übergeben, die üblicherweise über eine Kommandozeile übergeben wird. Damit können Sie die Installation auf Ihre Bedürfnisse anpassen. Informieren Sie sich vorher, welche Parameter von der Installationsdatei unterstützt werden.
• Rückgabewerte
  Mithilfe dieser Rückgabewerte wird ein Status nach der Installationsroutine an das System zurückgegeben. Der Standard MSI Rückgabewert für eine erfolgreiche Installation ist 0 und 3010 für eine erfolgreiche Installation, die einen Neustart des Systems erfordert.  Wenn ihre Anwendung abweichende Rückgabewerte liefert, können Sie diese hier eingeben. Wenn die Installationsroutine einen anderen Wert zurückgibt, wird die die Installation als fehlgeschlagen interpretiert und es erscheint eine Fehlermeldung in der Windows Intune Konsole. Für weitere Informationen über MSI Rückgabewerte schauen Sie sich „Liste der Fehlercodes und Fehlermeldungen für Windows Installer-Prozesse in Office 2003- und Office XP-Produkten“ unter http://support.microsoft.com/kb/290158 an.

Schließlich erscheint im Assistenten eine Zusammenfassung, in der nochmal alle Informationen in einer Übersicht dargestellt sind. Wenn Sie auf „Upload” klicken, erstellt der Assistent ein komprimiertes und verschlüsseltes Paket auf dem lokalen Computer und lädt es anschließend auf Ihren Cloudspeicher. Während des Upload-Vorgangs können Sie den Fortschritt beobachten (siehe Bild 7).

Bild 7: Der Upload-Vorgang

Die Kommunikation zwischen dem Windows Intune Dienst und dem lokalen PC ist verschlüsselt und stellt einen geschützten Transfer sicher. Falls die Internetverbindung während des Upload-Vorgangs abbricht, versucht der Assistent den Upload solange zu wiederholen, bis wieder eine Verbindung verfügbar ist und das Hochladen fortgesetzt werden kann.

3. Paket verteilen

Nachdem Sie den Upload des Softwarepakets abgeschlossen haben, liegt dieses auf Ihrem Cloudspeicher und ist nun unter der verwalteten Software aufgelistet. Jetzt können Sie mit dem Verteilen der Software starten. Führen Sie die nächsten Schritte durch, um ein Softwarepaket einer Windows Intune Gruppe zuzuweisen:

1. Klicken Sie in der Windows Intune Administrationskonsole im Menü auf „Software“.
2. Klicken Sie auf „Verwaltete Software“ und wählen Sie das Softwarepaket aus, welches Sie verteilen möchten.
3. Klicken Sie in der Werkzeugleiste auf „Bereitstellen“ (siehe Bild 8).

Bild 8: Verwaltete Software Übersicht und Werkzeugleiste

4. Wenn die „Software bereitstellen“-Seite erscheint, klicken Sie die Gruppe an, die mit der Software übereinstimmt. In der Spalte „Bereitstellung“ klicken Sie auf den Pfeil und wählen Sie „Installieren“ aus (siehe Bild 9).

Bild 9: Die Bereitstellungsoptionen

5. Klicken Sie auf „OK“, um die Installationseinstellungen zu speichern. 

4. Client Download und Installation

Nachdem Sie das Softwarepaket zur Bereitstellung für eine Gruppe genehmigt haben, muss das Paket auf den Ziel-Computern verfügbar gemacht werden. Der Client durchläuft bei der Softwareverteilung den gleichen Prozess wie bei der Microsoft Update Routine. Standardmäßig prüft der Windows Intune Client innerhalb von acht Stunden, ob neue Updates verfügbar sind (das Intervall kann man über die Windows Intune Agenten-Richtlinie vorgeben). Der Client beginnt mit dem Herunterladen des Softwarepakets, wenn er allen Anforderungen entspricht (z.B. wenn ein Paket nur für 64-bit Betriebssysteme bestimmt ist, werden nur die 64-bit Systeme das Paket herunterladen; 32-bit Systeme werden das Paket nicht herunterladen und installieren, auch wenn sich der PC in einer der entsprechenden Gruppe befindet)

Der Client lädt das Paket in einen temporären Ordner auf der lokalen Festplatte. Dieser Pfad lautet: %SystemDrive%\Program Files\Microsoft\OnlineManagement\Updates\Download

Während des Downloads, bleibt das Paket komprimiert und verschlüsselt, um zum einen, eine minimale Bandbreitennutzung zu erlangen und zum anderen, um die Sicherheit der Daten zu gewährleisten. Falls während des Downloads ein Problem mit der Netzwerkverbindung auftreten sollte, wird der Windows Intune Agent automatisch den Download fortsetzen, sobald der PC wieder online ist. Das Paket wird nach erfolgreichem Download entschlüsselt, entpackt und die Installationsroutine wird aufgerufen. Der Benutzer muss dabei nicht angemeldet sein. Die Installation startet mit SYSTEM-Rechten, insofern müssen auch keine Administrationsrechte eines Benutzers vorhanden sein (auch die Benutzerkontensteuerung ist nicht erforderlich). Der Computer muss lediglich eingeschaltet sein. Durch die stille Installation ist auch keine Benutzereingabe während der Installation nötig.

Falls ein Problem während der Installation auftreten sollte, wird eine entsprechende Fehlermeldung an die Windows Intune Administrationskonsole gesendet.

5. Deployment Status beobachten

Nachdem Sie das Softwarepaket hochgeladen und zum Bereitstellen freigegeben haben, können Sie den Deployment-Status in der Windows Intune Administrationskonsole beobachten. Sobald der Client nach neuen Updates sucht und somit über die neue Software informiert wird, können Sie den aktuellen Status der Installation über die Windows Intune Konsole überprüfen (siehe Bild 10).

 
Bild 10: Die Überwachung der Installation

 Folgenden Status kann die Installation haben:

• Installiert
  Anzahl der Computer, auf denen die Software installiert und ein erfolgreicher Rückgabewert zurückgegeben wurde.
• Fehler
  Anzahl der PCs, auf denen die Installation zwar ausgeführt, aber kein erfolgreicher Rückgabewert zurückgegeben wurde.
• Ausstehend
  Anzahl der Clients, die für die Installation eines Softwarepakets freigegeben wurden, aber die Installation noch nicht durchgeführt wurde. Dieser Zustand wird gewöhnlich erreicht in die Zeit von der Genehmigung in der Windows Intune Administrationskonsole bis zur Update-Überprüfung auf dem Client (standardmäßig acht Stunden).
• Anforderungen werden nicht erfüllt
  Anzahl der Computer, die zwar Mitglied einer Gruppe sind, die für ein Software-Deployment freigegeben wurden, jedoch mindestens eine der Anforderung (System-Architektur oder Betriebssystem) nicht erfüllt.

Wie Sie sehen, kann jeder PC also immer nur einen Status haben, den er immer aktuell an den Windows Intune Dienst sendet. Wenn eine Installation fehlschlägt, wird auch zusätzlich in der System Übersicht in der Windows Intune Administrationskonsole darüber eine Meldung angezeigt.

Weitere Tipps zur Softwareverteilung mit Windows Intune

1. Bedenken Sie immer bei einem Deployment die Auswirkung auf die Internetbandbreite
Wenn Sie das erste Mal Software verteilen, empfehle ich Ihnen mit einem kleinen Deployment (kleines Software Paket, wenige PCs) zu beginnen, um die Auswirkungen auf die Bandbreite zu überprüfen. Für große Pakete (z.B. Microsoft Office Professional Plus 2010) sollten Sie vorher sicherstellen, dass die verwalteten PCs eine geeignete Internetverbindung für große Downloads besitzen. Wir empfehlen außerdem in der Windows Intune Agenten-Richtlinie die Bandbreiten-Einstellung zu nutzen, um Hauptgeschäftszeiten und Limits einzustellen (siehe Bild 11).

 
Bild 11: Netzwerkbandbreiten-Einstellung in der Windows Intune Agentenrichtlinie

Wenn Sie in Ihrem Netzwerk einen Proxy-Server zur Zwischenspeicherung haben, nutzen Sie diesen, um die Anzahl der Download-Anfragen zu minimieren. Wie Sie einen Proxy-Server für Windows Intune einstellen, erfahren Sie in der Windows Intune Online Hilfe unter: http://onlinehelp.microsoft.com/de-de/windowsintune/ff628135.aspx  

2. Testen Sie die stille Installation
Es ist wichtig, dass nur Softwarepakete mit Windows Intune verteilt werden können, die die stille Installation unterstützen, da jegliche Installation, die eine Benutzereingabe erfordert, geblockt wird. Planen Sie deshalb Zeit ein, um ein Softwarepaket zunächst zu testen, bevor Sie es an eine große Anzahl an Computer verteilen. Wir empfehlen aus diesem Grund eine eigene Test-Gruppe mit Computern (oder Virtuellen Maschinen) nachzubilden, die vom Betriebssystem und der Systemarchitektur der echten Windows Intune Umgebung entspricht. Sie können die Software dann zunächst an diese Gruppe verteilen, den Status der Installation beobachten und Probleme prüfen, die beim Deployment auftreten können.

3. Behalten Sie Ihren Cloudspeicher im Auge
In der Beta-Version und in der späteren finalen Windows Intune Trial erhalten Sie 2 GB kostenlosen Speicherplatz zur Speicherung von Softwarepaketen und Updates. Abonnenten des Windows Intune Dienstes werden zusätzlichen Speicher zur Verfügung haben und haben außerdem auch noch die Möglichkeit weiteren Cloudspeicher zu abonnieren. Wenn Sie merken, dass sich der Cloudspeicher füllt, können Sie über die Windows Intune Administrationskonsole die gespeicherten Softwarepakete einfach verwalten. Softwarepakete müssen nicht auf dem Cloudspeicher bleiben, wenn Sie auf die erforderlichen Computer verteilt wurden, sondern können gelöscht werden, um wieder Speicherplatz freizugeben.

Wenn Sie die Softwareverteilung über die Cloud testen möchten, holen Sie sich hier einen Beta-Zugang: http://mocp.microsoftonline.com/site/services/intune/signup.aspx?offer=winintunewave2beta. Weitere Informationen zu Windows Intune erhalten Sie auf der Windows Intune Homepage: http://www.windowsintune.de. Weitere technische Informationen erhalten Sie auf dem Windows Intune Springboard: http://technet.microsoft.com/de-DE/windows/intune/.