.::[chrischmi.de/blog]::.   

Wir entwickeln uns in Richtung einer einheitlichen Geschäftswelt ? zu einem diversifizierten und doch vereinigten weltweiten Markt, in dem Kunden, Partner und Zulieferer über verschiedene Kulturen und Kontinente hinweg zusammenarbeiten. Ein globales Team ist immer aktiv und immer verbunden. Das erfordert neue Tools, damit Mitarbeiter ihre Arbeit und ihr Privatleben organisieren und Prioritäten setzen können. Unternehmerische Tätigkeit wird zunehmend transparenter, und die Gewährleistung von Verantwortlichkeit, Sicherheit und Datenschutz innerhalb und außerhalb des Unternehmens ist in immer höherem Maße notwendig.

Moderne Unternehmen stehen unter einem starken Druck der Mitbewerber, noch schneller und noch präziser zu arbeiten. IT-Abteilungen müssen optimierte Zusammenarbeits- und Kommunikationsdienste erbringen, und das mit weniger Kosten und weniger Ressourcen. Um diesem Druck zu begegnen, müssen Ihre Mitarbeiter in der Lage sein, jederzeit und überall auf die richtigen Daten und die richtigen Kontakte zuzugreifen. Vertraute, unkomplizierte Tools sind hierbei der Schlüssel zum Erfolg.

Lösungen für die einheitliche Kommunikation und Zusammenarbeit von Microsoft bieten informationsabhängigen Mitarbeitern leistungsfähige Tools für die Zusammenarbeit und Kommunikation, und das auf der Grundlage vertrauter Microsoft Office-Programme. Die IT-Abteilungen erhalten dabei robuste, skalierbare sowie servergestützte Funktionen, mit denen sich die vorhandenen Investitionen in das Windows Server System, den Active Directory-Verzeichnisdienst und die Verwaltungs- und Berichterstellungstools schützen lassen. Darüber hinaus umfassen die Microsoft Lösungen verschiedene Tools für die Integration von Anwendungen für Ihren Geschäftsbereich, mit denen Sie die Daten aus diesen Anwendungen in Dokumente, Aufgaben, Termine und andere wichtige Datentypen einbinden können. Alle diese Funktionen stehen über die vertrauten Windows Server-Verwaltungstools zur Verfügung, was sich äußerst positiv auf die Produktivität der Administratoren auswirkt.

Einstmals getrennte Kommunikationsverfahren werden nunmehr zusammengeführt. Beispielsweise lassen sich Voicemails und Faxnachrichten jetzt über den E-Mail-Posteingang abrufen. Arbeitsschritte und Terminpläne sind nicht länger durch nicht integrierte Kommunikationstools behindert. Mitarbeiter können rasch auf Nachrichten jeglicher Art über nur einen Posteingang und nur einen Satz von Kommunikations- und Zusammenarbeitstools zugreifen. So bleiben sie stets auf dem Laufenden, und ihre Produktivität leidet nicht.

E-Mail, Instant Messaging und Webkonferenzen stehen den Mitarbeitern nunmehr über die Anwendungen und Workflows zur Verfügung, mit denen sie längst arbeiten: in dem Messaging- und Collaboration-Client Microsoft Office Outlook 2007, einem Produktivitätsprogramm wie Microsoft Office Word 2007, einem Teamarbeitsbereich oder einer Geschäftsbereichsanwendung. Daten zur Verfügbarkeit und zum Aufenthaltsort anderer Personen (die Anwesenheitsinformationen) sind immer und überall verfügbar, unabhängig davon, welche Programme oder Geräte diese Mitarbeiter nutzen.

Informationsabhängige Mitarbeiter, Kunden und Partner verwenden in der Regel unterschiedliche Geräte und Einrichtungen für die Kommunikation, beispielsweise Nebenstellenanlagen, Telefonanlagen mit mehreren externen Leitungen, Mobiltelefone, PDAs, unternehmensinterne und öffentliche Instant-Messaging-Systeme sowie Computer innerhalb und außerhalb des Unternehmensnetzwerks. Diese Vielfalt von Geräten und Kommunikationsarten stellt die IT-Abteilungen vor eine echte Herausforderung, wenn es darum geht, die Zusammenarbeit auf rasche, zuverlässige und obendrein sicherere Weise zu fördern.

Die Technologien von Microsoft zur einheitlichen Kommunikation und Zusammenarbeit vereinen Tools zur Zusammenarbeit und Kommunikation mit vertrauten Microsoft-Geschäftsanwendungen. Die Lösungen bieten eine breite Funktionalitätspalette, beispielsweise Anwesenheitsdaten, E-Mail mit Formatierungen oder Unified Messaging, und das sogar auf mobilen Geräten. Darüber hinaus erhalten Sie leistungsfähige Tools für die Suche, für das Workflowmanagement und für die Erstellung von Teamarbeitsbereichen.

Durch eine Integration von Microsoft Infrastrukturen mit Voice over IP Lösungen (VoIP) und anderen innovativen Technologien kann die Produktivität im Unternehmen bei gleichzeitiger Kostensenkung gesteigert werden. Mit dem Microsoft Office System 2007 und einem integrierten Ansatz für einheitliche Kommunikation und Zusammenarbeit lassen sich die Anforderungen der modernen Arbeitswelt erfüllen. VoIP-Lösungen können dabei direkt mit den Microsoft Produkten kommunizieren, Gateways von Drittanbietern gewährleisten die reibungslose Kommunikation mit klassischen Telefonanlagen. Eine Analyse der Produktivitätsinfrastruktur in einem Workshop der COMLINE AG stellt hier die Weichen für die Einführung von VoIP und innovativen Microsoft Technologien.

Labels: Exchange Server, INFOLINE, Outlook

Über Leben und Arbeiten mit dem neuen Microsoft Exchange Server 2007 haben wir in der INFOLINE 3/2006 eingehend berichtet. Kunden, die über einen Wechsel auf die neue Version nachdenken, stehen also nun vor einer Migration. Die Wege, die eingeschritten werden müssen, sind auch hier abhängig von den Unternehmenszielen und -anforderungen. Denn nicht nur die Einführung einer neuen Version, sondern auch die Trennung oder Zusammenfassung von Exchange-Organisationen unterschiedlicher Unternehmen machen eine Migration notwendig. Wie schon im Artikel über Windows Migrationen sind auch hier verschiedene Szenarien möglich. Exchange 2007 liegt noch nicht in einer finalen Version vor, erste Migrationstest lassen aber bereits Aussagen zumindest für die Beta-Version zu.

Upgrade auf Exchange 2007 in einer bestehenden Exchange-Organisation

Die Aktualisierung der bestehende Exchange Server Version ist in Unternehmen unter anderem mit einem Wechsel der Hardware verbunden. Erhöhtes Mailaufkommen und Größe von verschickten Anlagen zwingen häufig dazu, die Datenkapazität und Performance der Server zu erhöhen. An dieser Stelle muss daher darauf hingewiesen werden, dass Exchange Server 2007 ausschließlich auf 64bit-Hardware betrieben werden kann.

Grundsätzlich kann Exchange 2007 in eine Organisation installiert werden, die Exchange Server 2000 oder Exchange Server 2003 enthält. Dabei wird zunächst das Schema des Active Directory für die neuen Funktionen von Exchange erweitert. Nach Installation des neuen Servers werden die Maildaten der Benutzer und die Öffentlichen Ordner übernommen und die Routing-Topologie angepasst. Aus Sicht des Kunden erfolgen, wie auch bei der Migration in früheren Versionen, nur geringfügige Unterbrechungen der Produktivität. Die Übernahme der Postfachdaten erfolgt zeitgesteuert außerhalb der Produktivzeit und das vom Benutzer eingestellte Outlook-Profil wird nicht verändert. Es handelt sich um eine ?sanfte Migration?. Dies ist die einfachste Variante einer Migration, die jedoch aufgrund wesentlicher Änderungen in der Architektur in Exchange Server 2007 gegenüber früheren Versionen, einer strukturierten Vorgehensweise auf Basis des Phasenmodells (siehe Artikel in diesem Heft) bedarf.

Migration zwischen Exchange-Organisationen

Unternehmen, die miteinander Fusionieren oder Unternehmensteile innerhalb eines Konzerns, die ein- oder ausgegliedert werden, müssen erhebliche Änderungen an ihrer Mail-Infrastruktur vornehmen. Dies kann jedoch auch den Start in eine neue Welt mit Exchange Server 2007 bedeuten. Migrationen zwischen Exchange-Organisationen sind mit einem wesentlich höheren Aufwand verbunden und die Migrationwege hierfür sind komplex.

In einem ersten Schritt wird häufig eine neue Exchange-Organisation aufgebaut, in die die vorhandenen Daten der Benutzer, der Öffentlichen Ordner und ggf. die Verteilerlisten importiert werden müssen. In kleineren Umgebungen kann dieser Prozess ohne die Bereitstellung einer Koexistenzphase mit dem Alt-System durchgeführt werden. Die Datenübernahme muss allerdings in der Regel am Wochenende und in einem Prozessschritt erfolgen. Diese ?harte Migration? kann durchaus in einigen Umgebungen sinnvoll sein und wird durch den Einsatz der COMLINE Migrations-Tools und -Scripte automatisiert.

In sehr großen Exchange-Organisationen muss der Wechsel von Benutzern und Daten zwischen über eine längere Zeit gestreckt werden. Während dieser Koexistenz muss die Kommunikation zwischen bereits migrierten Benutzern und Benutzen im Alt-System reibungslos verlaufen. In früheren Versionen von Exchange Server war dies nur mit erheblichem Aufwand möglich, sodass Produkte von Dritt-Herstellern zum Einsatz kamen. Die Kosten für eine Migration wurden dadurch erheblich gesteigert, sodass viele Kunden einer ?harte Migration? den Vorzug gaben. An dieser Situation und somit am grundsätzlichen Vorgehen beim Aufbau einer Koexistenz zwischen einer Exchange 2003- und einer Exchange 2007 ? Organisation ändern sich nichts.

Zunächst erfolgt bei diesem Migrationsweg eine Synchronisation der Empfängerobjekte, die über das kostenlos von Microsoft bereitgestellte Identity Integration Feature Pack erfolgen kann. Theoretisch können bereits im Anschluss direkt alle Mailboxen in die neue Organisation verschoben werden und somit die Migrationsphase erheblich abgekürzt werden. Wird eine längere Zeit der Koexistenz benötigt, müssen allerdings noch Exchange Server 2000 oder Exchange Server 2003 in der neuen Organisation installiert werden. Nach Erstellung entsprechender Connectoren übernehmen sie das Mailrouting zwischen den Systemen. Für die Synchronisation der Frei/Gebucht Zeiten im Kalender und die Übernahme der Öffentlichen Ordner Daten wird das InterOrg Replication Tool aus Exchange Server 2003 eingesetzt.

Der Migrationsschritt in eine neue Exchange-Organisation ist immer mit der Erstellung eines neuen Outlook-Profils verbunden. Der Benutzer sieht demnach nach der Übernahme seiner Daten unter Umständen andere Outlook-Einstellung. Aber auch das neue Profil muss zunächst erstellt werden. Das neue Outlook 2007 kann diese Aufgabe für jeden Benutzer selbständig übernehmen. Nach Eingabe des Benutzernamens und der Mailadresse durch den Benutzer sucht Outlook im Active Directory nach dem zugeordneten Server und erstellt selbständig das Profil. Die aufwendige Erstellung und Verteilung eines Outlook-Standardprofils entfällt hiermit.

Fazit

Migrationswege für Mailsysteme müssen auf die Situation im Unternehmen angepasst werden. Die Komplexität aber auch die Bedeutung einer reibungslosen Migration von Mailsystemen steigt mit der Größe der Organisation. Ohne strukturiertes Vorgehen auf Basis des Phasenmodells sind Migrationen in der Regel nicht erfolgreich durchzuführen. Aus dieser Erfahrung hat die COMLINE einen Standardworkshop für die Planung einer Exchange-Migration entwickelt. Er dient als Basis für den gemeinsamen Erfolg.

Labels: Exchange Server, INFOLINE

Es gibt viele gute Gründe eine neue Version des Windows Betriebssystems einzuführen. In der Regel kann der Softwareriese aus Redmond in den alle fünf Jahre neu erscheinenden Versionen Technologiesprünge implementieren, die den Kundenanforderungen an Produktivität und Sicherheit entsprechen. Daher ist es ratsam, diese Technologien auch einzusetzen. Wer zu lange mit veralterten Systemen arbeitet, verliert auch schließlich den Support und hat somit zumindest ein Sicherheitsproblem. Aber auch andere Aspekte wie ?Mergers & Acquisitions? machen eine Migration notwendig, wenngleich hier ganz andere Unternehmensziele eine Rolle spielen und somit auch andere Vorgehensweisen notwendig sind. Einen kleinen Überblick in Form von drei Szenarien gibt der folgende Artikel.

Einführung eines neuen Betriebssystems

Wenn der Support für die Server-Hardware in einem Unternehmen abläuft, wir häufig auch über den Einsatz eines neuen Betriebssystems nachgedacht. Im Bereich der Anwendungsserver wird dann lediglich die Plattform für die Anwendung modernisiert. Spätestens wenn es aber um die Modernisierung der Domänencontroller geht, die den Verzeichnisdienst von Microsoft, das Active Directory, bereitstellen, steht der eigentliche Umbau der Infrastruktur an. Aus der Perspektive des Kunden sollte die Änderung, die nun an seiner Domänenumgebung geringfügig sein. In diesem Falle sind sie es auch, da ein Upgrade der bestehenden Domänenstruktur leicht möglich ist. In der Regel empfiehlt die COMLINE die Installation eines weiteren Domänencontrollers der neuen Betriebssystemversion in die bestehende Domänenstruktur. Dieses Verfahren kann als ?Upgrade? bezeichnet werden, wobei allerdings aus Sicherheitsgründen keine direkte Aktualisierung eines bestehenden Domänencontrollers stattfindet. Da hier insbesondere die notwendigen Änderungen am Schema, als auch Kompatibilitätsaspekte zu beachten sind, kommt das Phasenmodell (siehe Artikel in diesem Heft) der COMLINE wenn auch in vereinfachter Form zum Einsatz.

Mergers & Acquisitions

Unternehmenskäufe und ?verkäufe aber auch Zusammenschlüsse von Unternehmen sind sehr häufig und führen in der Regel zu einer großen Arbeitsbelastung in der IT-Abteilung. Das ist rasch einzusehen, ist doch eine solche Änderung im Unternehmen entweder mit einer vollständigen Ausgliederung aller IT-Systeme aus einem Unternehmen oder mit einer Zusammenführung aller IT-Systeme zweier Unternehmen verbunden. Somit ergibt sich ein wesentlich komplexeres Szenario als bei einem Upgrade. In einem ersten Schritt muss das Zielsystem neu geplant und aufgebaut werden. In der Regel wird es sich um eine oder mehrere Active Directory Domänen handeln, die jedoch unter Umständen auf einer aktuelleren Betriebssystemversion und somit auf einem anderen Schema basieren als das Quellsystem. In einem weiteren Schritt muss eine Koexistenz etabliert werden, sodass Zugriffe auf Ressourcen der Quellumgebung für eine Übergangszeit gewährleistet ist. Im Anschluss daran erfolgt die Übernahme der Ressourcen (Server, Daten, Benutzer- und Gruppenkonten, etc.), die benötigt werden. Die Übernahme der Server, Daten und Clientmaschinen in eine neue Domänenstruktur sollte dabei mit einem sehr geringen Produktionsausfall verbunden sein. Ein solches Verfahren wird häufig auch als ?Interforest Migration? bezeichnet und ist mit deutlich höheren Aufwänden als ein Upgrade verbunden.

Microsoft hat für die Migration eine neue Version des Active Directory Migration Tools (ADMT 3) bereitgestellt, welches auch für Migrationen mit mehreren tausend Benutzern eingesetzt werden kann. Darüber hinaus benutzt die COMLINE in solchen Migrationsprojekten eine Fülle von Tools, zum Beispiel Unterstützung bei der Fileservermigration leisten. Mit einer hinreichenden Planung unter Berücksichtigung des COMLINE Phasenmodells kommt es beispielsweise bei der Clientmigration zu keinem Produktionsausfall.

Restrukturierung

Unter Restrukturierung versteht man in diesem Fall Änderungen an der bestehenden Domänenstruktur, die zur Auflösung von Domänen oder Verschiebung von Objekten zwischen Domänen führen. Anlass für eine Restrukturierung besteht, wenn die aktuelle Domänenstruktur nicht oder nicht mehr den Unternehmenserfordernissen entspricht. In der Vergangenheit wurden häufig zu viele Domänen innerhalb einer Struktur erstellt, da man versuchte den Aufbau des Unternehmens im Active Directory darzustellen. Dies führte zur ineffektiven Administration und Problemen bei der Konsolidierung von Systemen und Prozessen in der Unternehmens-IT. Das Active Directory bietet aber hinreichende Werkzeuge, um unabhängige Unternehmensteile dennoch zentral zu Administrieren. Die Anzahl der Domänen kann demnach reduziert werden, wobei die Verfahren und Tools, für eine Restrukturierung denen im vorangegangenen Abschnitt entsprechen. Die Migration von Objekten (Benutzer, Gruppen, Computer) und der Ressourcen erfolgt bei einer Restrukturierung innerhalb einer gegebene Domänenstruktur und wird daher als ?Intraforest Migration? bezeichnet.

Fazit

Für eine Fülle von Business Szenarien gibt es Lösungen, um die bestehenden Infrastrukturen basierend auf Microsoft Active Directory anzupassen oder zu verändern. Im Vordergrund sollten dabei immer die Ziele des Unternehmens stehen. Dabei ist gemeinsam mit dem Kunden zu ermitteln, welche Zielstrukturen aufgebaut werden müssen und welche Wege rasch und effizient eine Migration ermöglichen. Die COMLINE hat hierfür einen Standardworkshop für die Migration von Microsoft Domänenstrukturen und des Active Directory entwickelt, in dem diese und weitere Fragen beantwortet werden.

Labels: Active Directory, INFOLINE

Ein kleiner Rückblick in die Geschichte der Microsoft Betriebssysteme verdeutlicht die enge zeitliche Abfolge, in der Unternehmen einen Versionswechsel bei Microsoft Betriebssystemen unterlaufen haben. Im Fachjargon werden solche Wechsel als ?Migration? oder ?Upgrade? bezeichnet. Hinter diesen harmlosen Begrifflichkeiten verbirgt sich allerdings ein erheblicher Eingriff in die Infrastruktur des Kunden. Bei derartigen Projekten kommen einerseits zum Teil völlig neue Technologien zum Einsatz, andererseits gehört das Wissen um die Vorgehensweise nicht zum täglichen Handwerkszeug der IT-Abteilung. Bedenken und Ängste der Kunden sind somit vorprogrammiert. Die COMLINE AG hat jedoch ein seit Jahren bewährtes Vorgehensmodell entwickelt entlang dessen Migrationsprojekte mit höchstem Niveau durchgeführt werden. Das COMLINE Phasenmodell.

Das COMLINE Phasenmodell

Ziel des Modells ist es, entlang eines definierten Vorgehensmodells eine Migration hinsichtlich des Designs, der Planung und der Durchführung zum Erfolg zu verhelfen. Der Kunde erhält dabei einen Überblick über den Ablauf der Migration, die jeweiligen Aufgabenpakte und den Einfluss der Migration auf seine Produktivumgebung. Es werden zunächst fünf Phasen unterschieden:

- Vorprojektierung

- Umsetzungsplanung

- Umsetzung

- Schulung der Administratoren

- Testbetrieb und Übergang zur Betriebsführung

Wo stehe ich? Wo möchte ich stehen?

Zwei wesentliche Fragen in einem Projekt, in dem unter Umständen jeder einzelne Client ?angefasst? sprich migriert werden muss. Die Vorprojektierung liefert hier die ersten Antworten, indem die bestehende Infrastruktur des Kunden erfasst und analysiert wird. In den anschließenden Workshops werden gemeinsam mit dem Kunden die Rahmenparameter für das Projekt festgelegt. Hierzu gehören immer das Design der Zielumgebung und die Festlegung des Migrationsweges aber auch die Definition, welche Möglichkeiten der neuen Technologien wirksam eingesetzt werden können. Die Vorprojektierung mündet in eine schriftliche Zusammenfassung, die in Form einer ?road-map? die wesentlichen Parameter der neuen Umgebung und die zur Migration notwendigen Schritte enthält. Ein Beispiel für eine Vorprojektierungsphase mit intensiven Workshops befindet sich in der Success Story ?IT-Fitness bei Europas größtem Möbelunternehmen? weiter hinten in dieser Ausgabe der INFOLINE.

Wie komme ich dorthin?

Diese Frage sollte nicht nur beantwortet sondern die vielschichtigen Antworten, die sich ergeben müssen dokumentiert werden. Neben der Festlegung von Projekt-Meilensteinen und der Definition der Rahmenbedingungen (Festlegung des Service Levels, Berücksichtigung der internen Personalressourcen, uvm.) erstellt die COMLINE daher ein Konzept für die Migration. Die Inhalte ergeben sich aus der in der Vorprojektierung ermittelten Zieldefinition. Das Design des Active Directory, Infrastruktur und Funktionsdesign, Applikation-Integration-Design und Migrationsdesign sind somit integraler Bestandteil des Konzeptes, ebenso wie die Planung von Fall-Back-Strategien. Gleichzeitig erhält der Kunde eine Dokumentation seiner Zielstruktur, die sowohl als Referenz im laufenden Betrieb als auch als Basis des Changemanagement dienen kann. Umsetzungsplanung bedeutet auch, das geplante Design und den Migrationsweg im Labor zu testen und die entsprechenden Ergebnisse als Rückkopplung in die Konzepte einzuarbeiten. Je nach Komplexität der Aufgabe wird der Umsetzung der Lösung ein Pilot vorangehen müssen. Ein besonders schönes Beispiel für eine erfolgreiche Umsetzungsplanung bei unserem Kunden Webasto finden Sie in der Rubrik Referenzen auf unserer Homepage.

Wer macht Was bis Wann?

Immer wieder eine problematische Frage? Nein, denn für den erfahrenen Dienstleister sind die Struktur und der Ablauf eines Projektes keine Überraschung. Natürlich müssen diese Fragen beantwortet werden, aber in der Regel lassen sich die Aufgabenpakete während der Umsetzung transparent auf die Projektpartner verteilen. Die Entscheidung welche Pakete durch die COMLINE durchgeführt werden, müssen vom Kunden getroffen werden. Dabei zeigt sich jedoch in der Regel, dass die IT-Abteilungen unserer Kunden nach Begleitung der beiden ersten Phasen und einem kurzen Migrationscoaching einen Großteil der Migrationsarbeiten, insbesondere bei Clientmigrationen selbständig durchführen. Die Consultants der COMLINE helfen dann wieder, wenn schwierigere Servermigrationen, finale Tests sowie die Abschaltung der Alt-Systeme auf der Agenda der Projektplanes stehen. Ein Beispiel der Umsetzung einer zugegebenen sehr komplexen Migration an 144 Standorten bei der Polizei Rheinland-Pfalz haben wir für Sie unter www.comlineag.de veröffentlicht.

Wer soll das bedienen?

Die Frage ist kurz zu beantworten. Von der IT-Abteilung wird in der Regel erwartet, dass Sie die neuen Technologien beherrscht, die gerade erst eingeführt wurden. Daher wird die Phase Schulung der Administratoren nur aus Gründen der Übersichtlichkeit nach der Umsetzung genannt. Sie beginnt jedoch mit dem ersten Workshop, indem bereits ein erheblicher Wissenstransfer durch die Consultants der COMLINE stattfindet. Dennoch muss eine strukturierte Weiterbildung nicht nur begleitend zu den Projektphasen sondern auch nach der Übername der Systeme durch den Kunden stattfinden. Die COMLINE führt den Wissenstransfer abgestimmt auf die Vorkenntnisse und den Bedarf des Kunden durch, wobei eine entsprechende Berücksichtigung im Projektplan und Budget stattfinden muss. Die Durchführung von Workshops zur Weiterbildung der Administratoren und Entscheidungsträger bildeten auch im Projekt unseres Kunden EDEKA eine wichtige Basis (Nachzulesen in der INFOLINE 2/2005).

Was geschieht nach der Migration?

Das Training im Testlabor sowie den Support während der Migration führt bei unseren Kunden häufig zu der Frage, ob die COMLINE auch nach Projektabschluss noch unterstützende Aufgaben übernehmen kann. Dies führte zum Aufbau zahlreicher Kundensituationen in denen die COMLINE neben dem Training-on-the-Job beim Kunden vor Ort auch eine komplette oder teilweise Übernahme der Betriebsführung übernommen hat. Seit mehreren Jahren betreibt die COMLINE beispielsweise die Serversysteme der ThyssenKrupp Aufzüge GmbH in Neuhausen bei Stuttgart. Die Systeme befinden sich in der Verantwortung der COMLINE und werden durch ein Team von mehreren Mitarbeitern direkt am Produktionsstandort betreut (wir berichteten in der INFOLINE 4/2004).

Keine Fragen mehr!

Dann stellen wir auf den nächsten Seiten kurz Migrationswege vor, die sich auf aktuelle Produkte und Betriebssysteme beziehen und berichten über aktuell anstehende Fragestellungen und Projekte unserer Kunden.

Labels: Active Directory, Exchange Server, INFOLINE

Am Ende dieses Jahres wird ein Feuerwerk neuer Produkte aus dem Hause Microsoft erwartet. Nach dem Release der neuen Server Version, Microsoft Windows Server 2003 R2 folgen nun auch das neue Client-Betriebssystem Microsoft Windows Vista. In Redmond hat man sich aber auch verstärkt Gedanken über eine vereinfachte Bereitstellung von Informationen und eine effizientere Zusammenarbeit gemacht. Als Resultat wird voraussichtlich noch in diesem Jahr der Microsoft Exchange Server 2007 und das neue Microsoft Office System zur Verfügung stehen. Zusammen mit den Windows SharePoint Services wird die Integration komplettiert. Die INFOLINE berichtet, wie zukünftig ein Tag im Leben des Homo Mobilis aussehen kann.

Wir schreiben den 16. Januar 2007. Ich brauche erstmal einen Kaffee. Der soll auch in der Besprechung fließen, die um 9.00 Uhr stattfinden sollte. Diese muss aber verschoben werden und ich mache mich wieder auf die Suche nach freien Zeiten im Kalender der Teilnehmer. Aber heute nicht, denn ich arbeite in einer neuen Infrastruktur mit Microsoft Exchange Server 2007 und Microsoft Office 2007. Daher lasse ich mir einen Besprechungszeitraum vom Server suchen, an dem meine Kollegen Zeit haben. Jetzt brauche ich noch den Besprechungsraum. Hier werden mir alle Räume präsentiert, die frei sind, die Kontrolle führt der Server durch, nicht ich. Also, die jeweils optimalen Vorschläge werden mir von Outlook präsentiert und ein Klick weiter bin ich die Mühe los. Langsam stellt sich die Vermutung ein, dass mein Exchange Server Logik versteht. Dahinter steht aber ein einmalig auf dem Server konfiguriertes Regelwerk für die Ressourcenverwaltung inklusive Regeln für die Behandlung von Konflikten. Das wird die Assistenzen freuen.

Gestartet bin ich heute Morgen übrigens mit einem neuen Office. Skeptisch war ich schon, da die IT mein Outlook-Profil noch nicht eingestellt hatte und ich doch auf einem neuen Server arbeiten sollte. Beim Start von Outlook ergibt sich: Nur der Benutzername und das Kennwort ist erforderlich und alles Weitere geschieht von selbst. Outlook findet mein Postfach, ich kann arbeiten.

Wie auch immer, ich fahre jetzt zum Kunden. Das Telefon steht nicht still und somit habe ich schon die nächste Aufgabe. Die Besprechung muss jetzt noch einmal verschoben werden. Aber wie? Ich bin im Auto unterwegs, habe nur mein Telefon zur Verfügung und ich kann die Assistenzen nicht erreichen. Na, da rufe ich doch mal die Nummer an, die gestern aus der IT gegeben wurde. Es solle sich da der Exchange Server melden, wurde gesagt. Der Exchange Server kann telefonieren? Das muss ich ausprobieren. Und wirklich, es meldet sich die freundliche Stimme des in Exchange integrierten Microsoft Speech Servers, dem ich die Verschiebung des Besprechungstermins anvertraue. Die Nachfrage, ob alle Teilnehmer informiert werden sollen, beantworte ich positiv und bin wieder fein raus. War nicht so viel Arbeit, wie erwartet. Da ich Ihn gerade in der Leitung habe, lasse ich mir noch die eingegangenen Emails vorlesen. Also kann der Exchange Server wohl jetzt auch sprechen.

SPAM-Mails bekomme ich seid der Einführung des neuen Systems nur noch selten. Als Erklärung wurde mir berichtet, dass ein Exchange Server in einem vorgelagerten Netzwerk steht und nun alle Arbeiten übernimmt, um den Emails mit Viren und SPAM-Mails keine Chance lassen.

Am nächsten Tag bin ich mit der Bahn unterwegs und erwische einen Zug ohne Steckdosen. Arbeiten mit dem Laptop ist daher nicht lange möglich. Ich nutze die Zeit um Mails, Faxe und Voicemail zu bearbeiten. Die bekomme ich aufgrund der Unified Messaging Funktionalität von Exchange alle in mein Postfach. Den Zugriff habe ich über mein SmartPhone hergestellt und synchronisiere Kalender, Kontakte und Aufgaben mit dem Server. Der Exchange Server ist hier aber schon wieder der aktivere Part. Über die Direct Push-Funktion von Exchange ActiveSync bekomme ich die Informationen, wenn sie in meinem Postfach eingehen. Ich brauche mich also wieder nicht zu kümmern.

Zuhause angekommen muss ich mich noch einmal mit meinem Laptop ins Internet bewegen. Ich nutze dies, um kurz über Outlook Web Access meine Abwesenheitsassistenten zu konfigurieren. Nun muss der Kunde nicht unbedingt erfahren, dass ich nach Italien fahre. Für die externe Kommunikation wähle ich daher eine andere Formulierung als für die Kollegen. Jetzt nur doch die Dauer der Abwesenheit einstellen und die Abwesenheitsnotiz wird auch nur bis zu diesem Zeitpunkt versendet werden. Die Logik im Hintergrund übernimmt, da bin ich mittlerweile sicher, wieder der Exchange Server.

Labels: Exchange Server, INFOLINE, Windows Phone

Labels: Exchange Server, INFOLINE, Outlook, Windows Phone

Labels: INFOLINE, SharePoint

Labels: Exchange Server, INFOLINE

Labels: Exchange Server, INFOLINE

Labels: Forefront, INFOLINE

Labels: INFOLINE, System Center

Unternehmen stehen heute unter einem enormen Kostendruck. In der IT begegnen Sie dem oftmals mit einer Vereinheitlichung und Konsolidierung der Infrastruktur. Die Interne IT der COMLINE AG hat dies im vergangenen Jahr mit Hilfe von Microsoft Active Directory durchgeführt. Als IT-Dienstleister für Konzeption, Umsetzung und Betrieb wählte Sie zwei kompetente Partner: Die Bereiche Microsoft Solutions und IT?Managed Services im eigenen Hause.

Mit der Fusion der COMLINE AG mit der Karlsruher COMICS-Gruppe kamen zwei unabgängig voneinander gewachsene IT-Infrastrukturen zusammen. Beide Unternehmen setzten auf unabhängige NT-Domänen in den einzelnen Standorten. Diese wurden im Wesentlichen von den lokalen Geschäftsstellen selbst betrieben. Zusätzlich wurden vor der Fusion an verschiedenen Standorten die ERP-Systeme SAP R/3 und Navision und weitere zentrale Applikationen betrieben. Im Bereich Microsoft Exchange verfügte die COMLINE AG bereits über eine zentralisierte Serverumgebung während die COMICS hier einen dezentralen Ansatz gefahren hat.

Prioritäten setzen

Alfred Zimmer, Leiter der COMLINE Abteilung IT/Organisation setzte hier klare Prioritäten: ?Nach der Ankündigung unserer Fusion im Sommer 2002 war es zunächst wichtig, unsere kaufmännischen Systeme zusammenzuführen.? Dazu wurden die betriebswirtschaftlichen Prozesse der COMLINE AG um die Anforderungen des Fusionspartners ergänzt. So konnten bereits im Herbst 2002 die ersten ehemaligen COMICS Geschäftsstellen einen erfolgreichen Produktivstart von SAP R/3 vermelden. ?Mit Start des Geschäftsjahres 2004 arbeiteten alle Standorte mit der einheitlichen ERP-Lösung.? ist Zimmer zu recht stolz auf die Leistung seiner Abteilung.

Infrastrukturen zusammenführen

Parallel wurden die Infrastruktur-Grundlagen einer unternehmensweiten Zusammenarbeit umgesetzt. Nach Anbindung der ehemaligen Standorte der COMICS-Gruppe nach Berlin wurde das COMLINE Mailsystem in die Exchange Organisation der COMICS eingebunden. ?Alle zentralen Serversysteme wurden ins COMLINE Rechenzentrum in Berlin verlagert und in unseren Betrieb übernommen.? informiert Lucas Müller, Leiter IT-Managed Services bei der COMLINE AG.

Mehrwerte schaffen

Durch die Integration der kaufmännischen Systeme über Microsoft BizTalk und die Anbindung der wichtigsten Lieferanten via EDI wurde es der COMLINE AG möglich, die Beschaffungs- und Logistikprozesse zu automatisieren. Mit der Einbindung von Kunden in diese Prozesse wurde der Automatisierungsgrad in einer für die IT?Branche außergewöhnlichen Weise verstärkt. Marc Budde, Vertriebsbeauftragter in der Geschäftsstelle Bielefeld, erkennt hier den klaren Mehrwert: ?Bei meinen Kunden kann nun ein IT Warenkorb direkt in das jeweilige Intranet integriert werden.?

Domänen konsolidieren

Für die COMLINE AG wurde ein neues Microsoft Active Directory aufgebaut. Nach einer unternehmensweiten Vereinheitlichung der Namenskonzepte wurden alle Bestandsdomänen in die neue Umgebung konsolidiert. Windows NT 4.0 Clients und Server wurden dabei auf den neuesten Betriebssystemstand aktualisiert. Die Domänencontroller in den Geschäftsstellen sind neben der Authentifizierung noch für die Netzwerkbasisdienste DNS, WINS und DHCP zuständig. Außerdem gewährleisten Sie die Sicherheit des Unternehmensnetzwerkes durch die Verteilung von Anti-Viren-Updates und Microsoft Patches und Hofixes.

Exchange zentralisieren

Im Anschluss an die Konsolidierung der Windows Domänen wurden alle Exchange Postfächer standortübergreifend auf einen neuen Exchange 2003 Cluster im Berliner Rechenzentrum verschoben. Die Anwender profitieren von einer höheren Serververfügbarkeit und einer besseren Zusammenarbeit über Standortgrenzen hinweg. ?Insbesondere bei der Konsolidierung der Exchange Umgebung konnten wir von der Erfahrung unserer Kollegen aus dem Bereich Microsoft Solutions profitieren.? ist Alfred Zimmer von der Migration überzeugt.

Mobilen Zugriff verbessern

Bei einem Systemintegrator wie der COMLINE AG arbeitet der größte Teil der Mitarbeiter außerhalb der eigenen Geschäftsstellen. Durch die Einführung von Microsoft Outlook Web Access 2003 und die Möglichkeit Outlook aus dem Internet synchronisieren zu können, wurde für die mobilen Mitarbeiter ein komfortabler und sicherer Zugang zu den wichtigsten Unternehmensinformationen geschaffen. Zusätzlich ist bei Bedarf ein Zugriff per VPN möglich.

Betrieb vereinfachen

Die Standorte betreiben nunmehr nur noch lokale File- und Printserver. Alle anderen Services werden von der zentralen IT-Abteilung verantwortet. ?Das interne Outsourcing unseres IT?Betriebs an das COMLINE Rechenzentrum schafft uns freie Kapazitäten für neue Projekte.? ist Alfred Zimmer begeistert ?Nach der Konsolidierung haben wir bereits Microsoft CRM erfolgreich eingeführt und planen nun dessen Ausbau.?

Labels: Active Directory, INFOLINE

Konzeption eines einheitlichen Verzeichnisdienstes bei der EDEKA-Gruppe

Zahlreiche Großunternehmen konnten in den letzten Jahren ihre Planungen zur Einführung eines einheitlichen Verzeichnisdienstes auf Basis von Microsoft Active Directory abschließen. Für die EDEKA-Gruppe ergab sich dabei eine besondere Herausforderung, musste doch das Konzept den Anforderungen aller regionalen Einzelhandelsgesellschaften entsprechen und eine zukünftige gemeinsame Weiterentwicklung ermöglichen.

Die EDEKA Gruppe

Die EDEKA (früher E.d.K. ? Einkaufsgenossenschaft der Kolonialwarenhändler) wurde als genossenschaftliche Einkaufsgesellschaft im Jahre 1898 gegründet. Was in Berlin mit 21 Kaufleuten begann, ist heute mit 4.100 EDEKA Kaufleuten und knapp 9.100 Geschäften zum festen Bestandteil des deutschen Einzelhandels gewachsen. Die EDEKA Gruppe beschäftigt rund 200.000 Mitarbeiter und ist in fünf Ländern vertreten Im Geschäftsjahr 2003 hat die Unternehmensgruppe einen Nettoumsatz von über 31,16 Mrd. Euro erwirtschaftet.

Die Unternehmensstruktur gründet auf drei Ebenen: der Zentrale in Hamburg, sieben Regionalgesellschaften und dem Einzelhandel vor Ort. Die Willensbildung in der genossenschaftlich organisierten Gruppe folgt dem föderativen Prinzip. Der EDEKA Zentrale in Hamburg obliegt die strategische und geschäftspolitische Führung der EDEKA Gruppe.

Die historisch bedingte starke Eigenständigkeit der Regionalgesellschaften führte zur Einführung verschiedener Verzeichnisdienste (Microsoft Windows NT, Novell Netware) mit einer Vielzahl unterschiedlicher Implementierungen. Der Aufbau der IT-Infrastruktur ist demnach innerhalb der EDEKA-Gruppe sehr heterogen. Ziel von EDEKA ist die Realisierung einer bundesweit einheitlichen IT-Infrastruktur zur Schöpfung fortlaufender Synergiepotenziale und Optimierung der gesamten Wertschöpfungskette.

Neben einer Vielzahl unterschiedlicher Anwendungen in den Regionalgesellschaften gibt es solche, die gruppenweit zur Verfügung gestellt werden.. Lotus Notes und Anwendungen für Kassensysteme sind hier gute Beispiele. Für diese Anwendungen stellt sich zunehmend die Frage, ob und inwieweit sie in aktuelle Verzeichnisdienste integriert werden können. Es wurde demnach vom Arbeitskreis IT der EDEKA-Gruppe die Empfehlung ausgesprochen, zukünftig einen zentralen Verzeichnisdienst auf Basis von Microsoft Active Directory mit Windows Server 2003 zu implementieren.

Vorprojektierung

Für das AD Design wurde die EDEKA Arbeitsgruppe ?Active Directory? gegründet, in der Vertreter der Einzelhandelsgesellschaften gemeinsam mit der Gartner Group die wesentlichen Vorgaben für ein einheitliches Design des Active Directory erarbeiteten. Die COMLINE Berater wurden hier schon frühzeitig hinzugezogen, um das Design des Active Directory auf die Unternehmensprozesse abzustimmen und die erarbeiteten Lösungen auf ihre technische Machbarkeit zu überprüfen. Die COMLINE AG erstellte auf Basis der Ergebnisse der Arbeitsgruppe und der durchgeführten Workshops ein Grobkonzept für eine gruppenweite Active-Directory-Struktur.

Die EDEKA beabsichtigte die Einführung einer möglichst einheitlichen AD-Struktur unter besonderer Beachtung der administrativen Eigenständigkeit der Regionalgesellschaften. Es sollte eine Zielstruktur ermittelt werden, die eine hohe Einheitlichkeit in der Gestaltung des Active Directory zeigt und andererseits den einzelnen Gesellschaften Raum für eigene Ausgestaltungen bietet. Änderungen in der Unternehmensstruktur und somit der Struktur des Active Directory sollten bereits in der Design-Phase betrachtet werden, um mögliche zukünftige Migrationen im Sinne der Kostenvermeidung zu erleichtern. Das Design des Active Directory stand folglich jederzeit im Spannungsfeld Einheitlichkeit ? Eigenständigkeit.

Unabhängig vom Design des Active Directory musste die COMLINE AG in ihrem Konzept weitere Punkte berücksichtigen:

- Einheitliches Namenskonzept

- Gemeinsames DNS-Namenskonzept

- Richtlinien für ein Schema-Managament

Im Rahmen von Workshops wurden die Designvorgaben verfeinert und in einem Grobkonzept zusammengefasst.

Umsetzungsplanung

Die von der Arbeitsgruppe ?Active Directory? erarbeiteten Vorgaben sollten es den Einzelhandelsgesellschaften ermöglichen, eigenständige Gesamtstrukturen auf Basis von Windows Server 2003 aufzubauen. Der weitgehend identischen Ausgestaltung der jeweiligen Strukturen kam hierbei eine besondere Bedeutung zu. Daher wurden Festlegungen hinsichtlich der Namenskonventionen, des Schema-Managements, der OU-Struktur etc. getroffen. Die COMLINE AG wählte dabei ein Active-Directory-Design, mit dem zukünftige Änderungen in der Unternehmensstruktur mit möglichst geringem Aufwand im Verzeichnisdienst abgebildet werden können. Zudem bietet das gewählte Design Möglichkeiten für den Einsatz eines MetaDirectories auf Basis eines einheitlichen Namenskonzeptes. Für eine zukünftig engere Zusammenarbeit zwischen den Einzelhandelsgesellschaften war die Konzeption einer verbundweiten Namensauflösung eine wichtige Grundlage. Hierbei wurden insbesondere die neuen Möglichkeiten des dynamischen DNS-Dienstes von Windows Server 2003 berücksichtigt.

Umsetzung

?Der Designprozess war für uns ein wichtiger Schritt auf dem Weg zur Realisierung des Active Directory. Die COMLINE AG hat uns hier mit der geeigneten Mischung aus Fachkompetenz und praktischer Erfahrung überzeugt.? betont Heinz Brossolat, Leiter der EDEKA-Arbeitsgrupe ?Active Directory?. ?So haben wir uns auch bei der Umsetzung des Konzeptes für eine Begleitung durch die COMLINE entschieden.? Nach der Umsetzungs­planung hat die EDEKA-Gruppe bereits mit der Implementierung des neuen Verzeichnis­dienstes und der Migration der bestehenden Infrastrukturen begonnen. Die Durchführung erfolgt durch die jeweiligen Regionalgesellschaften in den einzelnen Regionen. Zunächst sollen dabei die vorhandenen Windows NT 4.0 Infrastrukturen und später gegebenenfalls 3rd-Party-Systeme wie Novell Umgebungen migriert werden. Zusammen mit der COMLINE AG wurde die Umstellung der EDEKA-Zentrale bereits erfolgreich abgeschlossen. Weitere Regionalgesellschaften befinden sich derzeit in COMLINE-Migrationsprojekten.

Weiterbildung der Administratoren und Betriebsführung

Während des gesamten Projekts stellten die COMLINE-Berater einen breiten Know-How-Transfer sicher. Dies wurde insbesondere durch individuelle Workshops in den einzelnen Projektphasen und durch ausführliche Konzeptdokumente gewährleistet. So kann die Betriebsführung der IT-Infrastruktur durch EDEKA autark vorgenommen werden.

Ausblick

COMLINE begleitet die EDEKA Gruppe in weiteren IT-Themen auch außerhalb des Microsoft-Umfelds. Beispielsweise wurde zuletzt die Netzwerksicherheit in der Unternehmenszentrale durch eine zertifikatsbasierte Authentifizierung über RADIUS und CISCO ACS Server erhöht. ?In der COMLINE AG haben wir einen sehr kompetenten und flexiblen Partner für die Lösung vieler unserer IT-Probleme gefunden.? schließt Heinz Brossolat.

Labels: Active Directory, INFOLINE

Die Verteilung von Benutzerdaten auf verschiedenste Systeme innerhalb einer IT-Landschaft stellt hohe Ansprüche an die Administration. Die Einführung eines Systems zur zentralen Verwaltung dieser Daten kann erhebliche Einsparungspotentiale sowohl auf der Seite der Administration wie auch auf Seiten der Anwender erschließen.

Neben dem Aspekt der Sicherheit ist die Verbesserung der Performance einer IT-Infrastruktur und der daraus resultierende Einsparungseffekt das Hauptmotiv von Entscheidungsträgern für den Einstieg in die systematische Verwaltung der Benutzerdaten. Die Einsparungspotenziale, welche eine Identitätsmanagementlösung in einer IT-Landschaft freisetzen kann sind beachtlich und lassen die relativ hohen Investitionen in einem anderen Licht erscheinen.

Für die Entscheidung über die Einführung eines Identitätsmanagementsystems sind eine Reihe von Faktoren zu berücksichtigen. Auf Grund der Erfahrungen der COMLINE AG kann ab einer Unternehmensgröße von etwa 500 Mitarbeitern in der Regel mit einer positiven Beurteilung der Wirtschaftlichkeit gerechnet werden. Für eine fundierte Aussage ob und in welchem Umfang ein Unternehmen von der Implementierung eines Identitätsmanagementsystems profitieren wird, ist jedoch eine detaillierte Analyse der bestehenden Infrastruktur unumgänglich. Die Best-Practice-Vorgehensweise der COMLINE AG sieht hierfür eine mehrstufige Analyse der vorhandenen Systeme und Verzeichnisse vor. Mit Hilfe der so gewonnen Daten kann die Komplexität einer zentralen Benutzerverwaltung beurteilt werden.

Integration um jeden Preis?

Nicht jedes Benutzerverzeichnis innerhalb einer IT-Landschaft ist für die Integration in ein zentrales MetaDirectory geeignet. Faktoren wie die Anzahl der verwalteten Benutzer, der Sicherheitsanspruch an das Verzeichnis oder die Bedeutung der Anwendung für das Unternehmen sind wichtige Entscheidungskriterien. Diese Vorteile müssen mit dem zu erwartenden Aufwand verglichen werden. Da nicht für jede Datenbank und jeden Verzeichnistyp eine Standard-Schnittstelle zur Verfügung steht, kann es hier zu zusätzlichem Entwicklungsaufwand kommen.

Erst nach dieser Beurteilung kann eine fundierte Entscheidung für oder gegen die Integration eines Verzeichnisses oder einer Anwendung gefällt werden. Die Integration darf nicht zum Selbstzweck werden, sondern sollte in jedem Einzelfall geprüft und durch fundierte Daten begründet werden.

Analyse der Ist-Situation

In der ersten Phase der Analyse werden alle Anwendungen mit eigenen Benutzerverwaltungen betrachtet. Durch Clusterbildung der Anwendungen nach der Art des verwendeten Benutzerspeichers kann eine erste Aufwandsschätzung getroffen werden: Wieviele verschiedene Schnittstellen werden benötigt und wie hoch ist der Anteil an eigener Entwicklungsarbeit einzuschätzen.

Nach dieser ersten Übersicht erfolgt eine genauere Betrachtung der Attribute der einzelnen Benutzerspeicher. Das Verhältnis der in mehreren Datenspeichern vorgehaltenen Feldern wie z.B. der Benutzer-ID oder der Email-Adresse zu den anwendungsspezifischen Benutzerattributen bestimmt wesentlich den zu erwartenden Aufwand für die Erstellung des Regelwerks für das Provisioning. Je größer die Schnittmenge der mehrfach gepflegten Attribute ist, desto mehr Regeln werden für die Prozesse der Neuanlage, Änderung und Löschung benötigt.

Die Analyse der Ist-Situation schließt mit der Betrachtung der vorhandenen Prozesse für die Neuanlage, die Änderung und Löschung von Benutzerdaten ab. Hierbei ist vor allem der Grad der Systemintegration von Bedeutung. Je geringer dieser ist, umso größer sind die zu erwartenden Einsparungen durch eine komplette Integration dieser Arbeitsabläufe in eine zentrale Benutzerverwaltung. Durch Integration dieser Prozesse in das Identitätsmanagementsystem werden diese transparenter, sicherer, nachvollziehbarer und vor allem effizienter.

Einsparungspotenziale

Für die Einschätzung der wirtschaftlichen Vorteile, die einem Unternehmen aus der Einführung eines Identitätsmanagementsystems erwachsen, greift die COMLINE AG auf Studien von Gartner, Forrester Research und anderen Anbietern zurück.

Laut Gartner läßt sich der administrative Aufwand für Benutzerdaten durch die Einführung von Identitätsmanagement um bis zu 30% senken. Durch Reduzierung der Anfragen am Help-Desk und verkürzte Bearbeitungszeiten sind für die IT-Abteilung Einsparungen von etwa 122.000 Euro pro 1.000 Benutzer und Jahr zu erwarten.

Darüber hinaus ergeben sich weitere Einsparungseffekte durch die Einführung eines Single-SignOn-Systems, einer Self-Service-Funktion und White Pages.

Dabei werden die o.g. Studien durchaus kritisch bewertet und deren Zahlen bei der Beurteilung einer bestimmten Infrastruktur durch die COMLINE AG an die jeweiligen Gegebenheiten angepasst.

Auf Grund der Analyse der bestehenden IT-Landschaft kann nun eine Einschätzung der notwendigen Investitionen erfolgen. Die Höhe der Investitionskosten wird hauptsächlich durch den Anteil der Dienstleistungsaufwände bestimmt. Beginnend mit einer genauen Analyse der momentanen Situation müssen im weiteren Projektverlauf unterschiedlich lange Phasen für die Erstellung des Provisioning-Regelwerks und die Entwicklung zusätzlicher Schnittstellen bis hin zur Implementierung des Identitätsmanagementsystems einkalkuliert werden.

Auch wenn die Investitionskosten auf den ersten Blick hoch erscheinen, so werden sie bei einer kompletten Gegenüberstellung von den zu erwartenden jährlichen Einsparungen noch übertroffen. Hierdurch ergibt sich in der Regel ein ROI-Wert welcher zwischen 0,8 und 2,3 liegt. D.h. dass mit einer Amortisierung der Investitionskosten nach Erfahrungen der COMLINE AG nach ein bis gut zwei Jahren zu rechnen ist.

Praxisbeispiel KVBW

Bei einer beim Kommunalen Versorgungsverband Baden-Württemberg (KVBW) durchgeführten Analyse ergab sich beispielsweise ein ROI-Wert von unter einem Jahr. Dabei ist zu beachten, dass die der Berechnung zu Grunde liegenden Kennzahlen bewusst konservativ gewählt wurden. So wurden die zu erwartenden Dienstleistungsaufwände sehr hoch angesetzt und die durch die Studien von Gartner und der Forrester Group antizipierten Einsparungen zum Teil deutlich nach unten korrigiert.

Der KVBW steht derzeit kurz vor der Produktivschaltung des COMLINE IdentityPortal und verfügt somit bereits über eine wichtige Komponente eines Identitätsmanagementsystems. Auf Grund der ROI-Berechnung und den bisherigen Erfahrungen mit den Funktionalitäten des neuen Portals CLIP steht nun auch der Einführung von Single-SignOn und Provisioning zur Vervollständigung des Systems nichts mehr im Wege.

Labels: Identity Management, INFOLINE

Webbasierte Delegation der Benutzerverwaltung beim KVBW

Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) stand vor einer gewaltigen Herausforderung: Eine Verdoppelung der Benutzerzahl im Active Directory durch Integration von 30 externen Partnerkassen. Mit Hilfe des COMLINE IdentityPortal konnte der KVBW die Aufgabe meistern: Die IT-Ansprechpartner vor Ort übernehmen Teile der Administration. Durch eine erhöhte Eigenständigkeit werden Kosten gesenkt und Prozesse verkürzt. Für diese innovative Lösung wurde die COMLINE AG von ihren Partnern Microsoft und HP mit dem Partner Excellence Award ausgezeichnet.

Der KVBW

Der Kommunale Versorgungsverband Baden-Württemberg (KVBW) ist eine Körperschaft des öffentlichen Rechts mit Hauptsitz in Karlsruhe und einer Zweigstelle in Stuttgart. Der KVBW ist Ausgleichskasse für Beamtenversorgung, Beihilfe und betriebliche Altersversorgung der Mitarbeiter u. a. der baden-württembergischen Kommunen. Im Rahmen von Kooperationsverträgen obliegt dem KVBW die Federführung bei der EDV-Zusammenarbeit mit weiteren kommunalen und kirchlichen Versorgungseinrichtungen. Hierbei nutzen die EDV-Kooperationspartner die mandantenfähigen und für eine gemeinsame Nutzung ausgerichteten DV-Verfahren. Der Einsatz erfolgt zentral im kommunalen Gebietsrechenzentrum in Karlsruhe. Die Partnerkassen sind über WAN angebunden. Der KVBW beschäftigt etwa 440 Mitarbeiter, davon 310 in Karlsruhe und 130 in Stuttgart. Bei den Partnerkassen nutzen insgesamt ca. 500 Mitarbeiter die gemeinsamen DVVerfahren.

Delegation

Von den Partnerkassen wurde insbesondere bei der Abbildung des Rollenmodells ein gewisses Maß an Unabhängigkeit von der zentralen IT-Administration gewünscht, um schnell auf veränderte Geschäftsprozesse reagieren zu können. Zunächst evaluierte die DV-Technik des KVBW die Microsoft Management Console ?Active Directory Benutzer und Computer?. Es stellte sich jedoch heraus, dass die Komplexität der mitgelieferten Verwaltungsprogramme zu hoch für die Anwendung in der Delegation war. Außerdem konnten nicht alle notwendigen Konstellationen abgebildet werden. Mit der Vergabe von administrativen Aufgaben an externe Administratoren stieg zudem der Bedarf an einer Dokumentation der Änderungshistorie. Mit der Weblösung COMLINE IdentityPortal konnten diese Themen adressiert werden.

Einfache Anpassung

Die abzubildenden Administrationsrollen waren für alle Partnerkassen identisch, schließlich werden von allen die gleichen Anwendungen genutzt. Hier stellte sich die Verwendung von Prozessvorlagen als große Vereinfachung dar. Die administrativen Aufgaben wurden nur einmal abgebildet und konnten dann für die weiteren Kassen auf deren Organisations­einheiten wieder verwendet werden. Änderungen an einer zentralen Vorlage bewirken entsprechend eine sofortige Anpassung aller auf ihrer Grundlage implementieren Prozesse.

Schneller ROI

Die Wirtschaftlichkeit von Directory Whitepages ? wie dem IdentityPortal des KVBW ? ist laut einer Studie der GIGA Information Group sehr hoch. Der Return on Investment wird schon nach wenigen Monaten erreicht. ?Beim Kommunalen Versorgungsverband übersteigen die erreichten Einsparungen schon nach weniger als einem Jahr die Investitionen.? hat Jan Haan aus dem COMLINE Bereich Microsoft Solutions in seiner Diplomarbeit berechnet.

Empfehlung des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT-Grundschutz­handbuch den Einsatz von Dritt­anbieter­tools bei der Verwaltung des Microsoft Active Directory. ?Für große Domänen sollte über die Möglichkeit der werkzeug­gestützten Verwaltung nach­gedacht wer­den. Es gibt verschiedene (?) Werkzeuge, die die AD-Verwaltung erleichtern. Es sollte über­legt wer­den, diese einzusetzen. Werden sol­che Werk­zeuge ver­wendet, so muss sicher­gestellt werden, dass die AD-Verwaltung ausschließlich durch die­se Werk­zeuge erfolgt.?

Ausblick

In diesem Sinne soll das Portal auch für die interne Administration durch die IT-Verbindungsstellen in den KVBW Fachabteilungen zum Einsatz kommen. Dabei wird neben der Domäne der Partnerkassen auch die interne Active Directory Domäne in die Lösung integriert. Eine Ergänzung des Portals um Single-Sign-On und ein MetaDirectory zu einer integrierten Identity-Management-Lösung ist ebenfalls angedacht. Die COMLINE AG ruht sich jedoch nicht auf den Lorbeeren von HP und Microsoft aus. Eine Erweiterung um die Anbindung von Webservices und eine Schnittstelle zur Administration von Fileservern befindet sich bereits in der Entwicklung.

COMLINE IdentityPortal

Das COMLINE IdentityPortal (CLIP) erlaubt die webbasierte Verwaltung von Benutzern und Gruppen im Micro­soft Active Directory und anderen Verzeich­nissen. Das Portal wird darüber hinaus als Frontend für Identitäts­ver­wal­tungs­lösungen und Meta­Direc­tories eingesetzt. Durch die Definition von Prozessen in XML und ein gruppenbasiertes Rollenmodell integriert sich CLIP in die IT-Infrastruktur von mittelständischen Unternehmen und internationalen Konzernen.

CLIP erlaubt dem Portal­admi­nis­trator eine flexible An­pas­sung der Lösung an den Bedarf des eigenen Unter­neh­mens. Die vor­handenen oder geplan­ten Identitäts­verwal­tungs­prozesse können individuell im Por­tal abgebildet werden. Durch die Ver­wendung von einfach anpass­ba­ren XML-Vorlagen und eines gra­fi­schen XML-Editors ist dies auch Nicht-Entwick­lern möglich. Die Pro­zessvorlagen können für häufig ver­wendete Prozesse mehrfach für die verschiedenen Verwaltungs­be­reiche (Domänen, OUs) eingesetzt werden.

Labels: Identity Management, INFOLINE

Die Komplexität der IT-Infrastrukturen nimmt zu. Administratoren können die Verwaltung der Vielzahl an Systemen kaum noch bewältigen. Anwender werden vor neue Herausforderungen gestellt. Parallel genügen die Systeme nicht mehr den heutigen Sicherheitsanforderungen. Identity Management ist hier eine Lösung. Die INFOLINE gibt Ihnen einen Überblick über dieses aktuelle IT?Thema.

Identity Management ist ein Oberbegriff für mehrere Lösungsansätze in modernen IT?Infrastrukturen. Zunächst wird Identity Management meist mit der Synchronisation von Benutzerkontendatenbanken gleichgesetzt. Aber ebenso gehören Benutzerportale und die Vereinfachung der Anmeldung zu diesem Thema. Identity Management sollte immer als Gesamtlösung betrachtet werden und sich dabei mehr auf die vorhandenen Prozesse als auf einzelne IT?Systeme konzentrieren.

MetaDirectory und Identity Integration

Zur Abbildung der Prozesse in der Benutzerverwaltung wird zunächst eine Identitäts­management­lösung benötigt. Beispiele sind etwa Microsofts Identity Integration Server oder Novells Nsure IdentityManager. Am Anfang steht jedoch nicht eine Produktauswahl, sondern die Durchleuchtung der internen IT?Prozesse. Nach Untersuchungen von Gartner wird ein großer Teil der administrativen Arbeit in die Verwaltung der Benutzerkonten investiert. Trotzdem sind Benutzerverzeichnisse niemals auf dem aktuellen Stand. So werden laut Gartner Benutzer in durchschnittlich 16 Systemen angelegt aber nach Ihrem Ausscheiden nur in weniger als zwei Dritteln der Verzeichnisse wieder gelöscht. Dies bedeutet neben falschen Informationen vor allem ein erhebliches Sicherheitsrisiko.

Eine Identitäts­management­lösung verbindet die Benutzerverwaltung der unterschiedlichsten IT?Systeme, so dass die Anwender nur einmal zentral gepflegt werden müssen. Oftmals wird ein Anwender so schon bei der Einstellung durch die Personalabteilung erstellt. Aufgrund seiner zukünftigen Rolle im Unternehmen erhält er alle benötigten Konten, Berechtigungen und Anwendungen. Änderungen an seinem Konto, wie zum Beispiel ein neues Kennwort, wirken sich sofort auf alle Systeme aus. Und bei seinem Ausscheiden können alle Konten zentral gesperrt oder gelöscht werden. Es wird weniger Zeit für die Neuanlage, Pflege und Löschung von Konten verwendet. Der gewonnene Zeitgewinn kann zur Erhöhung der Qualität und Sicherheit eingesetzt werden.

Portale und Whitepages

Um Teile der Benutzerverwaltung auch an Nicht-Experten geben zu können, sind neue Lösungen gefragt. Hier helfen prozessorientierte Portale weiter, die jedem Anwender bei einfachster Bedienung genau die Dinge ermöglichen, die er durchführen darf und soll. Eingebettet in das firmeneigene Intranet wird die Benutzerverwaltung vereinfacht und wie selbstverständlich in den Alltag integriert. Zusätzlich wird es möglich, dass der Abteilungsleiter einen Überblick über die von ihm bezahlten Benutzerkonten erhält, der IT-Experte der Fachabteilung Teile der Administration übernimmt oder der Anwender einzelne Eigenschaften seines Kontos selbst verwaltet. Die eingepflegten Informationen im zentralen Verzeichnis werden den Anwendern teilweise zur Suche und Information zugänglich gemacht. Hierbei kann es sich um bekannte Oberflächen, wie zum Beispiel das Microsoft Outlook Adressbuch, handeln oder um sogenannte Whitepages innerhalb eines Intranet-Portals.

Die COMLINE AG hat als Ergänzung zu Verzeichnisdiensten und MetaDirectories eine eigene Portallösung entwickelt. Das COMLINE IdentityPortal (CLIP) wird von unseren Kunden für die Administration von Benutzern und Gruppen ebenso wie für den so genannten Self-Service verwendet. Die Implementierung von CLIP beim Kommunalen Versorgungs­verband Baden-Württemberg wurde kürzlich von HP und Microsoft mit dem Partner Excellence Award ausgezeichnet (siehe Artikel in dieser Ausgabe).

Single-Sign-On

Abgerundet wird Identity Management durch eine Technologie, die es dem Anwender ermöglicht, mit einer einzigen Anmeldung alle Anwendungen und Daten nutzen zu können, zu denen er Zugang haben soll. Beim Single-Sign-On (SSO) wird die erste Anmeldung am System als allgemein gültig und verbindlich angesehen. In Windows-Umgebungen handelt es sich hierbei zumeist um die Domänenanmeldung. Alle weiteren Applikationen autorisieren den Anwender ohne eine Kennworteingabe, sie akzeptieren die bereits zuvor erfolgte Authentifizierung des Anwenders.

Bei Einführung eines SSO-Clients von Herstellern wie Novell oder Citrix ist es wichtig, dass der Zugang besonders zum ersten Benutzerkonto ausreichend abgesichert wird. Mit diesem einen Konto werden in letzte Konsequenz alle Berechtigungen vergeben. Ob hier die strengsten Kennwortrichtlinien aller Verzeichnisse genügen oder ein Smartcard-System eingeführt wird, hängt vom Sicherheitsbedarf des einzelnen Unternehmens ab.

Identitätsmanagement als COMLINE Lösung

Am Anfang eines Identitätsmanagementprojekts steht zumeist die Schaffung eines führenden Verzeichnisdienstes. Die EDEKA Gruppe hat so zum Beispiel die Einführung des Microsoft Active Directory konzipiert und in einigen Bereichen der Unternehmensgruppe bereits umgesetzt (siehe Artikel in dieser Ausgabe). Außerdem ist es zu empfehlen vor einem Projekt zumindest eine pragmatische Kosten-Nutzen-Analyse durchzuführen (siehe siehe Artikel in dieser Ausgabe). Die COMLINE AG verbindet Best Practise Erfahrungen und ein hervorragendes Know-How in den Produkten ihrer Partner Microsoft, Novell und Citrix mit eigenen Lösungen im Bereich Identity Management.

Labels: Forefront, Identity Management, INFOLINE

Nach der Übernahme des Virtualisierungsspezialisten Connectix hat Microsoft die Virtual PC Technologie zum Microsoft Virtual Server 2005 ausgebaut. Die COMLINE AG setzt Virtual PC und Virtual Server bereits seit langem für die Nachbildung von Kunden­situationen und bei der Softwareentwicklung ein. Erste COMLINE Kunden haben die Produkte bereits im Rechenzentrumsbetrieb im Einsatz.

Neue Software

Für Administratoren und IT-Berater gehört es zu den regelmäßigen Aufgaben, neue Softwareprodukte oder Produktaktualisierungen in einer Produktivumgebung zu implementieren. Dies ist immer mit einem gewissen Risiko verbunden, da das Zusammenspiel von alten und neuen Komponenten zumeist nicht garantiert werden kann. Ebenso sollen neue Produkte vor dem Produktiveinsatz zunächst evaluiert werden. Früher musste eine Software oftmals ohne vorherigen Test implementiert werden. Oder aber es galt zunächst, die Realität in einer aufwendigen Testumgebungen nachzubilden.

Die COMLINE AG stellt heute die Kundenumgebung in komplexen Migrationsprojekten über virtuelle Server nach. Diese können entweder mit einem lokalem Virtual PC oder über einen zentralen Virtual Server von der IT-Abteilung auch nach Projektende bei künftigen Änderungen an der IT-Infrastruktur als Testumgebung genutzt werden. Wichtig ist hier natürlich, dass Veränderungen immer zuerst in der virtuellen und erst dann in der produktiven Welt durchgeführt werden. Eine Steigerung der Effizienz und Produktivität in der IT-Administration ist die direkte Folge.

Software-Entwicklung

Bei Unternehmen mit eigener Software-Entwicklungsabteilung müssen neue Versionen unter zahlreichen Bedingungen geprüft werden. Neben verschiedenen Betriebssystemen muss hier die Zusammenarbeit mit Datenbanken und anderen Softwareprodukten getestet werden.
Durch die Nutzung von Virtual PC und Virtual Server ist es einem Entwickler möglich, den Zustand seiner Testumgebung zu konservieren bevor er einen neuen Stand einspielt. Dies bringt eine erhebliche Vereinfachung für den Entwickler mit sich.

Einsatz in Produktivsystemen

Selbstverständlich geht der Einsatzzweck von Virtual Server über die Verwendung in Testumgebungen hinaus. Bei Kunden werden zum Beispiel Datenbankserver oder Webapplikationen auf Virtual Server implementiert. Für einen Kunden aus der Automobil­industrie ist Microsoft Virtual Server längst zur strategischen Konzernplattform für virtuelle Systeme geworden. Die Konsolidierung von Servern spart nicht nur Kosten im Hardware-Einsatz, auch der Betrieb kann durch einfache Datensicherungsmechanismen und die schnelle Bereitstellung von virtuellen Maschinen kostengünstiger erfolgen.

Neben der Serverversion wird auch der Microsoft Virtual PC von Kunden produktiv eingesetzt. Hier ist der Haupteinsatzweck die Nutzung von betagten Softwareprodukten unter MS-DOS und älteren Windows-Versionen. Die Altsoftware wird in einem Virtual PC installiert. Sie muss nicht mehr mit neuen Betriebssystem- oder Office-Versionen getestet werden, da sie in der virtuellen Umgebung autark zum Einsatz kommt. Die Produktvariante Virtual PC for Macintosh wird primär von Marketingabteilungen und der Werbebranche genutzt, um PC-Applikationen auf dem Mac verwenden zu können.

Virtual Server als COMLINE Lösung

Während VMware im Bereich Hochverfügbarkeit von virtualisierten Serverumgebungen Alleinstellungsmerkmale bieten kann, profitiert der Microsoft Kunde von einer kostengünstigen und durchgängig vom Hersteller unterstützten Lösung. Die COMLINE AG wurde von den Herstellern mit den jeweils höchsten Zertifizierungen Microsoft Gold Certified Partner und VMware Enterprise VIP Reseller ausgezeichnet. Dies spiegelt den hohen Ausbildungsstand und die Praxiserfahrung der COMLINE Berater wider und ermöglicht eine unabhängige Beratung im Bereich Virtualisierung.

Labels: INFOLINE, System Center