Funktionen des Microsoft Deployment Toolkit (MDT) 2010
Das Microsoft Deployment Toolkit 2010 ist ein so genannter Solution Accelerator, der die Installation von Windows auf dem Client und auf dem Server automatisieren soll. Verglichen mit den eher dürftigen Möglichkeiten unter XP ist das MDT 2010 ein mächtiges und flexibles Deployment-Tool, das in kleineren und mittleren Firmen nur wenig Bedarf an kostenpflichtigen Programmen von Drittanbietern entstehen lassen sollte. Der mit dem Deployment Toolkit verbundene Lernaufwand macht es für sehr kleine Unternehmen jedoch weniger interessant.
Merkmale des Deployment Toolkit
MDT 2010 ist kein komplett eigenständiges Tool, sondern setzt die Programme des Windows AIK voraus. Um eine weitgehende Automatisierung des Deployments zu erzielen, benötigt es zusätzlich die Windows Deployment Services (WDS) oder den System Center Configuration Manager. In Kombination mit diesen beiden Tools lässt sich eine Lite Touch Installation (LTI) mit minimaler Intervention beziehungsweise eine Zero Touch Installation (ZTI) realisieren, bei der eine Migration ganz ohne Eingriff des Admins ablaufen sollte.
MDT 2010 ergänzt die Sammlung von Microsofts Deployment-Tools um 3 wesentliche Funktionen:
•die grafische Oberfläche vereinfacht viele Aufgaben, die sonst über die Kommandozeile erledigt werden müssen. Zusätzlich führen Wizards durch die meisten Teilschritte;
•es bindet die zuvor unkoordinierten Einzelschritte, die zur Erstellung und Verteilung eines Windows-Images nötig sind, über Task Sequences zu einem reproduzierbaren Prozess zusammen. Mitgelieferte Templates decken dabei die wichtigsten Deployment-Varianten ab;
•es automatisiert den Deployment-Prozess mittels LTI, so dass auch Unternehmen ohne teure Produkte zur Software-Distribution den Aufwand für den Migrationsprozess in Grenzen halten können.
Funktionsumfang des MDT 2010
Der Solution Accelerator beherrscht das gesamte Spektrum vom Erstellen und Erfassen einer Referenzinstallation, Ausführen von Sysprep, dem Einbinden von zusätzlichen Treibern, dem Hinzufügen von Packages (Security Updates, Service Packs, Feature Packs, Language Packs), dem Zusammenstellen eines WinPE-Bootmediums, bis zur Migration der Benutzerprofile und der Installation von Anwendungen nach dem System-Update.
Aufgrund seiner Architektur implementiert MDT 2010 nicht alle Funktionen selbst, sondern ruft für viele Zwecke die Tools des WAIK auf. Dafür nutzt es Scripts, zumeist für Powershell. Die Interaktion des Benutzers mit diesen Programmen hinter den Kulissen des MDT erfolgt entweder über die Eingabe bzw. Modifikation von Kommandozeilen-Parametern oder über Dialoge, in die Werte eingegeben werden und die ein MDT-Script in den passenden Aufruf eines Dienstprogramms übersetzt.
Ein schönes Beispiel dafür, wie MDT den Benutzer von technischen Details abschirmt, ist das Partitionieren und Formatieren von Festplatten auf dem Zielrechner. Wer nur mit dem WAIK arbeitet und eine erfasste Referenzinstallation mit ImageX verteilen möchte, kann hier in unerwartete Schwierigkeiten laufen. In MDT reicht es, die Größe der gewünschten Windows-7-Partitionen in einen Dialog einzutippen, ein Kontakt mit diskpart oder bootsect entfällt.
Task Sequences als Herzstück von MDT 2010
Die größte Stärke von MDT 2010 besteht darin, dass es die Abfolge von Arbeitsschritten bei Benutzung der WAIK-Einzel-Tools zu einen definierten Deployment-Prozess verbindet. Für die gängigsten Aufgaben wie die Standardinstallation eines Clients oder Servers unter Windows bringt das Werkzeug vorgefertigte Templates mit, die sich nach den eigenen Bedürfnissen anpassen lassen. Manche Schablonen decken nur Abschnitte des Windows-Deployment ab und zeigen, dass sich das Tool auch für spezifische Aufgaben wie etwa das bloße Sysprep und Capture einsetzen lässt.
Das Tool ist mit seinen vorgefertigten Abläufen schon so flexibel, dass es unterschiedlichste Deployment-Varianten unterstützen kann. So muss man gleich zum Start nicht unbedingt die Installationsdateien importieren, um einen Referenz-Computer zu installieren. Alternativ bietet MDT den Import einer bereits angepassten WIM-Datei, falls wie heute oft üblich eine Referenzinstallation innerhalb einer virtuellen Maschine erstellt und von dort erfasst wurde.
Zur individuellen Anpassung von Installationsabläufen gehört, dass man jede Task aktivieren oder deaktivieren kann. Die fortgeschrittene Variante besteht darin, die Abarbeitung von Teilschritten an Bedingungen zu knüpfen, wobei hier unter anderem die Werte von Registierschlüsseln, Datei- und Verzeichniseigenschaften oder die Tatsache, ob eine bestimmte Software installiert ist, abfragen kann. Darüber hinaus besteht die Möglichkeit, an jeder Stelle eigene Aufgaben einzufügen, etwa um ein beliebiges Script auszuführen oder eine Task-Sequence-Variable zu setzen, die man an späterer Stelle bei der Ausführung einer bedingten Anweisung abfragen kann.
Doch damit nicht genug: Mit MDT 2010 kann man eine Konfigurationsdatenbank auf Basis von SQL Server (auch Express) einrichten, in die Werte abhängig von Marke und Modell des Zielrechners, seines Standorts (abhängig vom Default Gateway) und einigen anderen Faktoren eingegeben werden können. Beispielsweise ließe sich dort hinterlegen, dass für alle Rechner in einem bestimmten Gebäude ein festgelegter Druckertreiber installiert wird. Dafür wird keine eigene Task oder ein selbst entwickeltes Script benötigt, vielmehr setzt das Deployment Toolkit solche Konfigurationen auf Basis der Datenbankeinträge selbständig um.
Anders als einige Webcasts von Microsoft oder viele Anleitungen im Web vermuten lassen, beschränkt sich MDT 2010 nicht bloß auf den Import der Installationsdateien, der Wahl eines Standard-Templates für die zu vollziehenden Arbeitsschritte und dem Start einer Lite Touch Installation. Vielmehr handelt es sich dabei um ein mächtiges Werkzeug, das die Basisfunktionen der WAIK-Tools um umfangreiche Steuerungsmöglichkeiten für den Deployment-Prozess ergänzt.
Umsetzung verschiedener Image-Strategien
Microsoft teilt die in Deployment-Projekten eingesetzten Image-Typen in 3 Kategorien ein:
- Thin Image, das kaum mehr enthält als ein geringfügig oder gar nicht angepasstes Betriebssystem. Die Konfiguration von Windows und die Installation der Anwendungen erfolgt während des Deployments
- Thick Image, das neben dem weitgehend angepassten Betriebssystem alle in der Firma oder zumindest in bestimmten Abteilungen benötigten Anwendungen enthält;
- Hybrid Image, das einen Mittelweg beschreitet, indem es die von allen Anwendern benötigten Programme wie etwa Office installiert, die restliche Software dynamisch bei der Verteilung des Betriebssystems hinzufügt.
Grundsätzlich lassen sich alle 3 Strategien mit MDT 2010 umsetzen. Allerdings benötigt man für das als veraltet geltende dicke Image kein Tool mit zahlreichen Steuerungsmöglichkeiten wie das MDT 2010. Für dieses Vorgehen reicht es normalerweise, eine Referenzinstallation mit Sysprep zu generalisieren und sie anschließend mit ImageX zu erfassen. Da sich diese Deployment-Strategie am ehesten für sehr kleine Firmen mit einer homogenen Umgebung eignet, wird die Verteilung des Images in der Regel ebenfalls über ImageX erfolgen, nachdem der Zielrechner mit WinPE von USB-Stick oder DVD gebootet wurde.
Wer sich für ein dünnes oder hybrides Image entscheidet, muss sich zumindest bei einer größeren Zahl an PCs über die nachträgliche automatisierte Verteilung von Anwendungen Gedanken machen. Viele Firmen haben dafür bereits ein Produkt von Microsoft (SCCM, System Center Essentials) oder einem Drittanbieter im Haus und werden dieses dafür einsetzen. Als weitere Methode mit einigen Einschränkungen steht die Distribution von Anwendungen über Gruppenrichtlinien zur Verfügung.
Betriebssystem plus Anwendungen installieren
Wenn es darum geht, während bzw. unmittelbar nach der Installation des Betriebssystems Programme zu installieren, dann lässt sich das auch mit dem Deployment Toolkit 2010 erledigen. Wie bei anderen Formen der automatisierten Software-Verteilung muss man auch bei MDT dafür sorgen, dass der Installationsprozess unbeaufsichtigt abläuft. Das funktioniert bei MSI-Paketen meist klaglos, allerdings ist es bei anderen Installationsformaten nicht immer einfach herauszufinden, welche Parameter das Setup für eine unbeaufsichtigte Installation benötigt.
MDT 2010 bietet auch für die Integration von Anwendungen, die im Zuge der Systeminstallation eingerichtet werden sollen, einen Wizard an. Wenn die Installationsdateien nicht über eine Netzwerkfreigabe erreichbar sind, dann bietet er an, sie in das Deployment Share zu kopieren, andernfalls werden sie direkt von der angegebenen Quelle abgerufen.
Ein interessantes Feature sind die Application Bundles. Anders als die Bezeichnung vermuten lässt, geht es dabei nicht um die Installation von Programmpaketen. Vielmehr definiert man auf diesem Weg eine eventuell erforderliche Reihenfolge beim Einrichten von zuvor angegebenen Anwendungen. Dies ist vor allem dann nützlich, wenn eine Software eine andere voraussetzt und diese beim Setup bereits vorfinden muss.
MDT 2010 eignet sich zwar während des OS-Deployments für das anfängliche Einrichten von benötigten Programmen, ist aber nach erfolgter Windows-Migration nicht das ideale Werkzeug zur Software-Verteilung. Aufgrund der Flexibilität der Task Sequences ist es zwar möglich, alle Betriebssystem-bezogenen Arbeitsschritte wegzulassen damit und nur Anwendungen zu installieren.
In Frage käme dieses Verfahren nur im Zuge einer Lite Touch Installation, wer ZTI nutzt, benötigt ohnehin den System Center Configuration Manager, der dann die nachträgliche Software-Distribution übernehmen kann. Die Installation von Anwendungen mittels LTI setzt aber voraus, dass jeder Zielrechner mittels DVD bzw. Memory Stick von WinPE gebootet wird und dass der Administrator anschließend den Deployment-Vorgang anstoßen muss. Auch die stärker automatisierte Variante unter Einsatz von WDS setzt einen Neustart des Rechners voraus, der normalerweise bei der Verteilung von Anwendungen nicht erwünscht ist. MDT 2010 eignet sich daher für die bloße Verteilung von Applikationen nur sehr eingeschränkt und dürfte nur in wenigen Firmen dafür in Frage kommen.
Image-Management mit dem Deployment Toolkit
Die Wahl des richtigen Migrations-Tools richtet sich nicht nur danach, ob es die Umstellung auf die neue Windows-Version ausreichend unterstützt. Vielmehr sollte es auch in der Lage sein, später neu angeschaffte PCs mit einer kompletten Arbeitsumgebung auszustatten oder kaputt konfigurierte Client-Installationen zu ersetzen.
Es liegt auf der Hand, dass man ein Jahr nach der Migration auf Windows 7 nicht mehr dasselbe Image auf neue Rechner kopieren möchte, das man ursprünglich verteilt hat. Zum Pflichtprogramm gehört es jedenfalls, die seitdem veröffentlichten Sicherheits-Updates einzuspielen, möglicherweise gibt es mittlerweile ein Service Pack, das berücksichtigt werden soll.
MDT 2010 unterstützt wie die Kommandozeilen-Tools des WAIK das Windows Imaging File (WIM), um das Abbild einer Referenzinstallation zu speichern. Dieses Format ist im Gegensatz zu jenem von diversen Cloning-Tools Datei-basiert und kann in einem Archiv mehrere Images verwalten. Identische Dateien werden nur einmal vorgehalten, was den Platzverbrauch reduziert (Singe Instance Storage).
Ein weiterer Vorteil des WIM-Formats besteht darin, dass sich Treiber und Packages (also u.a. Patches und Service Packs) offline einspielen lassen. Das Image muss also nicht wie bei vielen herkömmlichen Cloning-Tools installiert und anschließend hochgefahren, aktualisiert und neu erfasst werden. Bei den WAIK-Tools ist DISM für diese Aufgabe zuständig (u.a. mit den Parametern /Add-Driver und /Add-Package). MDT 2010 als grafisches Frontend für das WAIK bietet diese Möglichkeiten ebenfalls an, allerdings bequemer mit Unterstützung eines Wizards.
Im Vergleich zu den unter Windows XP gebräuchlichen Cloning-Tools ist das Imaging mit WIM-Archiven unter Vista und Windows 7 zudem HAL-unabhängig so dass sich PCs mit unterschiedlicher Hardware von einem gemeinsamen Abbild installieren lassen.
Angesichts dieser Fortschritte beim Windows-Deployment seit XP ist eine Thick-Image-Strategie mit MDT 2010 kontraproduktiv. Man verbaut sich damit die Chance auf ein gemeinsam genutztes Image, das sich offline warten lässt. Sobald die erfasste Referenzinstallation zahlreiche Anwendungen enthält, müssen Patches für diese Programme online eingespielt werden, weil DISM und MDT das Offline Servicing mit MSI- und anderen Installer-Formaten nicht unterstützt. Außerdem ist es selbst in nicht allzu großen Firmen unwahrscheinlich, dass ein Image für alle PCs passt.
Angemessener erscheint daher die Nutzung von Thin Images, das nur die Windows Installation enthält. Selbst Anpassungen des Betriebssystems können mit MDT 2010 auf das Deployment verschoben werden. Mit Hilfe von Task Sequences lässt sich unter anderem das Netzwerk konfigurieren, Bitlocker aktivieren, kann der Rechner einer Domäne beitreten, lassen sich Server-Rollen festlegen und die Benutzereinstellungen aus dem Vorgängersystem übernehmen.
Deployment-Strategien für mittlere und große Firmen
Die Erleichterungen durch die grafische Oberfläche alleine könnte auch für kleine Firmen so interessant wirken, dass sie das Deployment Toolkit schon deswegen in Betracht ziehen. Microsoft rät aber dazu, MDT erst ab ca. 200 PCs einzusetzen, wenn das Unternehmen zumindest einen IT-Profi mit Deployment-Erfahrung im Haus hat.
Andernfalls sind sie Kandidaten für ein High Touch Deployment mit einem unmodifizierten Installationsmedium oder für ein High Touch Deployment mit einem angepassten Image. Beiden Verfahren ist gemeinsam, dass sie einiges an Handarbeit verlangen und der Administrator an jeden Rechner gehen muss, dessen Betriebssystem aktualisiert werden soll. Als Tools zu einer gewissen Automatisierung sich wiederholender Aktionen dienen hier Windows Setup sowie Windows SIM.
Um den mit MDT 2010 möglichen Automatisierungsgrad des Windows-Deployments zu erreichen, bieten sich die Lite Touch Installation (LTI) und die Zero Touch Installation (ZTI) an. Letztere erfordert den SCCM und kommt im Idealfall ohne Intervention des Administrators aus.
LTI dagegen ist die MDT-eigene Deployment-Variante, die ohne Einsatz weiterer Hilfsmittel manuell angestoßen werden muss und ansonsten je nach Konfiguration weitgehend selbständig ablaufen kann. So lassen sich über Vorgabewerte in der customsettings.ini viele Nachfragen des System vermeiden. In Kooperation mit den Windows Deployment Services kann MDT einen Grad an Automatisierung erreichen, den Microsoft für bis zu 500 PCs als angemessen hält.
Neben einer Betriebsgröße mit 200 bis 500 PC-Arbeitsplätzen erfordert die LTI mit MDT eine weitere Voraussetzung, nämlich eine Volumenlizenz für das Client-Betriebssystem. Nur damit erwirbt man sich das Recht, ein individuell angepasstes Image automatisiert über das Netz zu verteilen. Die beiden High-Touch-Varianten lassen sich hingegen mit dem Windows-Paket aus dem Handel realisieren.
Diese lizenzrechtliche Einschränkung gilt natürlich nicht nur für MDT 2010, sondern auch für Deployment-Tools von Drittanbietern, die eine angepasste Referenzinstallation auf andere Rechner übertragen. Sie dürften angesichts der Fähigkeiten des kostenlosen Deployment Toolkit im Marktsegment kleinerer und mittlerer Firmen ohnehin einen schweren Stand haben. Hinzu kommt, dass Microsoft den Funktionsumfang für die System Center Essentials (SCE) 2010 so ausgewählt hat, dass sie MDT ideal ergänzen. So können die SCE zwar kein Betriebssystem verteilen, aber nach erfolgter Migration die Distribution der Software übernehmen. Die lizenzrechtlichen Bedingungen von SCE 2010 lassen übrigens maximal 500 Client-PCs zu - exakt die für MDT 2010 empfohlene Obergrenze.
