VMware User Environment Manager – Was ist der UEM?
Wer kennt das Problem nicht?
Ein User hat Probleme in einer bestimmten Anwendung und als letzte Möglichkeit bleibt nur ein Reset des Benutzerprofils bzw. ein Backup wieder einzuspielen. Dadurch gehen alle persönlichen Windows-Einstellungen des Benutzers, sowie Einstellungen in den genutzten Anwendungen verloren.
Dies kostet nicht nur Zeit im Helpdesk, sondern ist auch noch ärgerlich für den Benutzer.
Eine Variante hier Abhilfe zu schaffen, ist der VMware User Environment Manager oder kurz UEM.
Diese kleine Blogserie soll eine Übersicht über die verschiedenen Funktionen und Anwendungsmöglichkeiten des UEM schaffen.
Was ist der UEM?
Der UEM ist die Profilmanagement Lösung von VMware. Das war schon einmal einfach.
Beim UEM werden die Anwendungsdaten, sowie deren Konfigurationen voneinander getrennt. Hierdurch wird die Behandlung von Problemen innerhalb des Profils um ein Vielfaches vereinfacht. So muss bei Problemen in einer Anwendung nicht das gesamte Profil, sondern nur die Einstellungen der betroffenen Applikation zurückgesetzt werden.
Das grüne Puzzlestück in der Mitte des Bildes sind die Einstellungen, welche vom UEM verwaltet werden.
Zu den Einstellungen zählen folgende:
- Benutzerumgebung
- persönliche Einstellungen
- Anwendungseinstellungen
- dynamische Konfigurationen
Woraus besteht der UEM?
Der Aufbau des UEM, sowie die grundlegende Einrichtung ist sehr simpel und in unter einer Stunde erledigt.
Folgende Komponenten sind für den Betrieb notwendig:
- Ein Share, in welchem die Konfigurationsdateien abgelegt werden.
- Ein Share, welches die Userprofile, Backups derselben, sowie diverse Logfiles enthält.
- Mindestens ein Client oder Server, auf dem die UEM-Managementkonsole installiert ist.
Eine Gruppenrichtlinie, in der die Einstellungen des UEM konfiguriert werden. - Den installierten UEM-Agent, welcher die Konfiguration und das Benutzerprofil verwaltet. Dies können VDI´s, Fat Clients, Microsoft RDS –Server oder auch Citrix XenApp/XenDesktop Systeme sein.
Das war es auch schon! Es werden keine zusätzlichen Datenbankserver oder separate Applikationsserver benötigt. Die Leistungsfähigkeit des UEM hängt alleine von der Leistung und Verfügbarkeit des Systems ab, auf welchem die Shares zur Verfügung stehen.
Jetzt stellt sich die Frage: Sind die Daten auf einem einzelnen System freigegeben, wie verhält es sich an Außenstellen mit einer schmalen Anbindung ans Rechenzentrum?
Der UEM unterstützt auch die Nutzung von verteilten Dateisystemen (wie zum Beispiel DFS-Namespace). Einzige Bedingung ist, dass der Pfad aus allen Lokationen identisch aufgerufen werden muss.
Als Beispiel: \\Domain\DFS\ConfigShare
Funktionsweise des UEM?
Zum Vergleich als erstes der Normalfall mit Roaming Profiles. Bei der Anmeldung des Users am System wird sein Profil auf den Client heruntergeladen, sowie alle Benutzereinstellungen der Gruppenrichtlinien verarbeitet. Einstellungen in den Gruppenrichtlinien können die Zuweisung von Laufwerken oder das Verbinden von Druckern sein, um nur zwei Beispiele zu nennen. Nun arbeitet der User den Tag über und die Änderungen im Profil werden in der lokalen Kopie zwischengespeichert. Zum Feierabend meldet sich der User ab und das Profil wird wieder auf das Share zurückgeschrieben.
Der große Nachteil hierbei ist die Verarbeitungsgeschwindigkeit. Je nach Größe des Benutzerprofils und der Menge an Einstellungen in den Gruppenrichtlinien kann die Anmeldung eine gefühlte, oder auch tatsächliche, Ewigkeit dauern.
Wie kommt der UEM hier ins Spiel? Generell ist es beim UEM so, dass bei der Anmeldung nicht direkt das gesamte Benutzerprofil, sondern nur der Teil der Benutzerumgebung, sowie die personalisierten Einstellungen geladen werden. Die Applikationseinstellungen bleiben bei der Anmeldung auf dem Server. Startet der Anwender nun beispielsweise den Adobe Reader, werden erst in diesem Moment die Einstellungen heruntergeladen und angewendet. Sobald das Programm geschlossen wird, werden die Einstellungen auch direkt wieder auf das Share zurückgeschrieben.
Der Vorteil des UEM liegt hierbei darin, dass die An- und Abmeldung deutlich schneller verarbeitet werden kann und so ein besseres Benutzererlebnis bietet.
Anwendungsbeispiele
Beispiel 1:
Der Benutzer hat eine Anwendung, welche unbedingt Zugriff auf ein bestimmtes Netzlaufwerk braucht, das Laufwerk selber wird aber im normalen Tagesbetrieb nicht benötigt. Was passiert nun? Das Laufwerk wird jeden Tag, bei jeder Anmeldung verbunden. Dabei ist es völlig egal, ob die Anwendung an diesem Tag überhaupt gestartet wird oder nicht. Das Verbinden des Laufwerks kostet Zeit bei der Anmeldung.
Wie schon am Anfang des Posts erwähnt, werden vom UEM auch „Dynamische Konfigurationen“ in den Einstellungen mitverwaltet. Diese kommen hier nun zum Tragen. In der Managementkonsole des UEM kann festgelegt werden, dass bei jedem Start einer Anwendung in Laufwerk verbunden und beim Schließen dieser Anwendung wieder getrennt wird.
Ein Beispiel dafür gibt es im folgenden Screenshot.
Als Beispiel dient hier die Anwendung Notepad.
Im folgenden Screenshot ist zu sehen, dass das Konfigurierte Laufwerk „Notepad-LW“ noch nicht verbunden ist.
Nach dem Start von Notepad wird das Laufwerk direkt verbunden und steht zum Zugriff bereit.
Wird die Anwendung geschlossen, wird das Laufwerk auch wieder getrennt.
Beispiel 2:
Ein weiteres Anwendungsbeispiel ist die Konfiguration von Druckerverbindungen. Zum Verbinden von Druckern gibt es viele Möglichkeiten, Anmeldeskripte, Gruppenrichtlinien, sowie Enterprise Lösungen. Bis auf die letztgenannte Variante bieten die anderen beiden meist keine große Form der Flexibilität.
Ein Benutzer arbeitet in Gebäude 1, über einen ThinClient, auf einem Remote-Desktop und hat dort seinen vorkonfigurierten Drucker stehen. Nun muss er zu einem Termin in das Gebäude 2. Dort angekommen bemerkt er, das noch Unterlagen ausgedruckt werden müssen und meldet sich an einem dortigen ThinClient an.
Die bestehende Session aus Gebäude 1 wird nun in das Gebäude 2 rüber gezogen und die Anwendung mit den Unterlagen gestartet. Der UEM-Agent erkennt anhand der Bedingung „Terminal Server Client IP“ das der ThinClient in einem anderen IP-Kreis steht. Im vorherigen Beispiel wurde gezeigt, dass sich Laufwerke anwendungsbezogen verbinden lassen. Dies funktioniert unter anderem auch mit Druckern. Hierdurch werden ausschließlich die für diese Anwendung benötigten Drucker verbunden und nicht alle weiteren verfügbaren. Durch diese Kombination von Anwendungs- und IP-Filter erhalten wir ein anwendungs- und standortbezogenes Druckermapping! Dazu funktioniert das Ganze auch ohne eine komplette Neuanmeldung am System.
Klingt gut, funktioniert auch so!
Auf einem Printserver sind die benötigten Drucker freigegeben.
Nun wird der Anwendung im UEM das Verbinden der Drucker mitgegeben. In diesem Beispiel wurde der Haken für „Undo at application exit“ gesetzt, damit der Drucker nach dem Schließen der Anwendung wieder gelöscht wird.
Auf dem Reiter „Conditions“ kommt der schon erwähnte IP-Filter nun zum Einsatz.
Damit der Drucker im Gebäude 1 verbunden wird, muss der IP-Bereich des Endgerätes zwischen 192.168.249.127 und 192.168.249.129 liegen. Sollte dies nicht der Fall sein, so wird der Drucker nicht verbunden.
Die Konfiguration des zweiten Druckers ist weitestgehend identisch, bis auf den IP-Bereich.
Der IP-Bereich für den Drucker im Gebäude 2 wurde auf 192.168.249.130 – 192.168.249.131 geändert.
Für eine bessere Sichtbarkeit der Einstellungen wurde die Remote-Session von einem Windows PC aus gestartet.
Wie man sieht befinden sich der PC im IP-Bereich des Drucker 1. Nun wird der Remote-Desktop „VDI-Pool01“ gestartet.
In den Netzwerkeinstellungen der Remote-Session ist zu sehen, dass der IP-Bereich außerhalb des Konfigurierten für einen der beiden Drucker liegt. Trotzdem wird beim Start von Notepad der Drucker aus Gebäude 1 verbunden. Hier kommt die eingestellte Bedingung „Terminal Server Client IP“ zum Zuge.
Jetzt schließt der Benutzer Notepad und wechselt rüber in das Gebäude 2. Im folgenden Screenshot ist zu sehen, dass der PC aus dem Gebäude 2 im konfigurierten IP-Bereich des zweiten Druckers liegt.
Im Gebäude 2 wird wieder die Remote-Session zum Desktop gestartet.
Der gestartete Desktop ist immer noch außerhalb eines konfigurierten IP-Bereiches.
Nachdem nun Notepad wieder geöffnet wird, erkennt der UEM-Agent den geänderten IP-Bereich und verbindet den Drucker aus dem Gebäude 2.
Das war es bis hierhin erst einmal mit der kurzen Übersicht über die Funktionen des UEM. Im nächsten Teil gehe ich genauer auf die technischen Grundlagen, sowie die Konfigurationsmöglichkeiten in der Managementkonsole ein.