3. Erfolgreiches Lizenzmanagement in Virtual-Desktop-Umgebungen und BYOD-Modellen
3
Prozentual gesehen macht die Desktop-Virtualisierung
derzeit nur einen kleinen Teil aller Desktops aus. Sie gilt
jedoch weiter als eine führende Technologie, die in den
kommenden Jahren einen erheblichen Teil des Marktes
erobern wird. Einer der Treiber hinter diesen Prognosen ist
der Siegeszug der mobilen Geräte und die zunehmende
Verbreitung des BYOD-Konzepts (Bring Your Own Device) in
den Unternehmen. Für diese Geräte erschließt der virtuelle
Desktop den Endbenutzern die nötige Flexibilität, um von
überall und jederzeit mit nahezu jedem Gerät und unter
jedem Betriebssystem auf ihre Unternehmensumgebung
zugreifen zu können.
Zu den in Abb. 2 gezeigten treibenden Faktoren für die
Desktop-Virtualisierung zählt auch die Notwendigkeit, das
Desktop-Management zu zentralisieren und zu vereinfachen
sowie die Bereitstellung neuer Desktops zu beschleunigen.
Die Virtualisierung erfüllt zudem die Anforderungen der
meisten Unternehmen an Sicherheit und Compliance-
Vorschriften, da Daten und Anwendungen geschützt und
sicher auf den Servern des Rechenzentrums liegen.
Abb. 2: Treiber der Desktop-Virtualisierung [Quelle: TechWeb]
Treiber der Desktop-Virtualisierung
(Nutzen der Desktop-Virtualisierung aus Unternehmenssicht („relativ wichtig oder sehr wichtig“)
Prozentzahlen basieren auf der Note 4 oder 5 auf einer Skala von 1 bis 5, wobei 5 für „sehr wichtig“ steht.
Basis: 300 Befragte, die sich derzeit in der Pilot- oder Planungsphase zur Umsetzung der Desktop-Virtualisierung im kommenden Jahr befinden.
Daten: Umfrage von TechWeb unter 490 IT-Entscheidern.
Zentralisierung oder Vereinfachung
des Desktop-Managements
74,8 %
74,2 %
73,0 %
67,5 %
65,7 %
62,7 %
Verbesserung der Sicherheit durch zentrale
Speicherung und Sicherung der Daten
Vereinfachte und beschleunigte
Bereitstellung neuer Desktops
Senkung der Infrastrukturkosten bei Power-
Usern und/oder bei der Hardwarebeschaffung
Komfortabler Fernzugriff der Endbenutzer
auf ihre Desktop-Umgebungen
Verlängerung der Aktualisierungszyklen
für Desktop-PCs
Reduzierung der Ausfallzeiten aufgrund von
Defekten der Server- oder Client-Hardware
86,2 %
4. Erfolgreiches Lizenzmanagement in Virtual-Desktop-Umgebungen und BYOD-Modellen
4
Verschiedene Typen virtueller Desktops
Es gibt zwei verschiedene Grundtypen virtueller Desktops:
permanente und sitzungsbasierte (oder nicht permanente)
virtuelle Desktops. Eine permanente virtuelle Maschine ist
eine virtuelle Maschine, die sich auf der Festplatte eines
Servers befindet. Sobald sich der Benutzer anmeldet,
wird die vorherige Sitzung auf dieser virtuellen Maschine
fortgesetzt. Auf seinem eigenen virtuellen Desktop kann
ein Benutzer Verknüpfungen erstellen und Anwendungen
anpassen oder installieren. Alle diese Änderungen stehen
dann in künftigen Sitzungen wieder zur Verfügung.
Permanente virtuelle Maschinen werden wegen ihres hohen
Ressourcenbedarfs üblicherweise nur Power-Usern oder
Administratoren zugeordnet.
Virtuelle Desktops sind daher üblicherweise sitzungsbasiert.
Eine sitzungsbasierte virtuelle Maschine wird dem
jeweiligen Benutzer beim Anmeldevorgang aus einem Pool
von virtuellen Maschinen zugeordnet und mit Abmeldung
des Benutzers wieder zurückgesetzt. Es gibt VDI-Lösungen,
bei denen die benutzerseitig vorgenommenen Änderungen
sitzungsübergreifend erhalten bleiben und bei denen
Benutzer – je nach Benutzerprofil – sogar zusätzliche
Anwendungen installieren können. Wenn sich der Benutzer
anmeldet, wird dann der virtuelle Standarddesktop mit dem
personalisierten Benutzerprofil ergänzt.
Inventarisierung virtueller Desktops
In der herkömmlichen Desktop-Welt erfolgt die
Inventarisierung über einen Agenten, der im Betriebssystem
ausgeführt wird. Hierzu werden die Daten der jeweiligen
Softwarepakete erfasst. In Windows-Systemen sind
dies beispielsweise die Einträge unter „Programme und
Funktionen“, die Dateidaten mit den Inhalten bestimmter
Dateien sowie die Windows-Registrierung oder Tags
nach ISO 19770-2. Ein Programm zur Erkennung der
Anwendungen führt eine Datenbereinigung und -analyse
durch und erzeugt eine Liste der lizenzpflichtigen
kommerziellen Produkte. Eine Überprüfung der
Anmeldehistorie auf dem Gerät gibt Auskunft über den
primären Benutzer. Inventarisierungswerkzeuge werden
normalerweise planmäßig oder zur Anmeldezeit ausgeführt.
Üblich ist die planmäßige Ausführung, da sie weniger
stark in die Abläufe eingreift und das Betriebssystem
nicht zusätzlich belastet, wenn sich der Benutzer gerade
anmelden möchte. Ein Inventarisierungswerkzeug benötigt
zur Datenerhebung nur wenige Minuten, wobei der
ressourcenintensivste Teil die Suche nach ausführbaren
Dateien, DLLs, ISO-19770-2-Tags oder speziellen
Dateien auf der Platte ist.
Bei permanenten virtuellen Desktops können
Inventarisierungswerkzeuge die Bestands- und
Nutzungsdaten auf die gleiche Weise wie bei
herkömmlichen Desktops erheben. Sitzungsbasierte virtuelle
Desktops stellen dagegen aus mehreren Gründen eine
Herausforderung dar: Es gibt keine praktikable Möglichkeit,
die Inventarisierung zeitlich zu planen, da die VM
jedes Mal zurückgesetzt wird, sobald sich der Benutzer
abmeldet, was mehrmals täglich der Fall sein kann. Die
Anwendungsdauer eines virtuellen Desktops kann extrem
kurz sein und die Zeit nicht ausreichend, eine planmäßige
oder bei der Anmeldung ausgelöste Inventarisierung
erfolgreich abzuschließen. Inventarisierungswerkzeuge
identifizieren Betriebssysteminstanzen anhand verschiedener
Techniken: durch Analyse von Hardwarekomponenten oder
Abb. 3: Architektur der Desktop-Virtualisierung [Quelle: FOCUS LLC www.focusonsystems.com]
VirtuelleDesktops(VMs)
Hosting auf dem Server
Virtual Desktop Infrastructure
Geräte für den Benutzerzugriff
PC
Notebook
Thin Client
Server
Tablet/Smartphone
Hypervisor
Gast-OS
APP 1 APP 2 •••
Gast-OS
APP 1 APP 2 •••
Gast-OS
APP 1 APP 2 •••
5. Erfolgreiches Lizenzmanagement in Virtual-Desktop-Umgebungen und BYOD-Modellen
5
Softwareeigenschaften (Seriennummer, MAC-Adresse,
IP-Adresse ...) oder durch Zuweisung eindeutiger
Bezeichner. Ein sitzungsbasierter virtueller Desktop wird
von mehreren Benutzern wiederholt verwendet oder nach
Benutzung mit einem neuen Image überspielt. Daher ist es
schwierig, für jede Sitzung einen eindeutigen Bestand zu
ermitteln. Auf diese Weise kann die Zahl der Geräte, die
abgeglichen werden müssen, ständig weiter wachsen.
Eine alternative Herangehensweise ist die Einrichtung
eines Mechanismus zur Gruppierung von
Sitzungen auf Benutzerbasis.
In der Virtual-Desktop-Umgebung werden Vorlagen
von virtuellen Maschinen erzeugt und den Benutzern
zugewiesen. Sobald ein Benutzer auf einen
sitzungsbasierten virtuellen Desktop zugreift, wird eine
neue virtuelle Maschine anhand der Vorlage erstellt, die
dem Benutzer zugewiesen ist. Dann wird das Roaming-
Profil des Benutzers dieser virtuellen Maschine hinzugefügt,
damit seine personalisierten Einstellungen aus dem
Ordner „Dokumente“ oder „Eigene Dateien“ wirksam
werden. Hierzu zählen beispielsweise Hintergrundbild,
Verknüpfungen, Favoriten usw. Die Beziehung zwischen
Vorlagen und Endbenutzern beruht auf den Zugriffsrechten,
die den Endbenutzern für bestimmte Vorlagen
eingeräumt wurden.
Eine weitere Schwierigkeit ist die Erkennung zusätzlicher
Anwendungen, die den Vorlagen anhand von
Benutzerprofilen hinzugefügt wurden. Diese Anwendungen
werden normalerweise mithilfe von Technologien zur
Anwendungsvirtualisierung bereitgestellt (z. B. Citrix
XenApp oder Microsoft App-V). Hierzu kann zu Beginn
der Sitzung schnell ein Scan durchgeführt werden
oder die Informationen werden von den Tools zur
Anwendungsvirtualisierung selbst extrahiert.
Es gibt sehr wenige Werkzeuge zur Erkennung und
Inventarisierung, die sich für sitzungsbasierte virtuelle
Desktops nutzen lassen. Eine Möglichkeit besteht darin,
die Vorlagen zu inventarisieren, die zum Klonen von
sitzungsbasierten virtuellen Desktops herangezogen
werden. FlexNet Manager Platform – die Grundlage der
FlexNet Manager Suite – kann sowohl einen schnellen
Scan zu Beginn einer Sitzung durchführen als auch die
Beziehung zwischen Benutzern und Vorlagen nutzen, um ein
Inventar des sitzungsbasierten virtuellen Desktops für einen
bestimmten Benutzer zu erhalten.
Die Messung der Anwendungsnutzung ist eine der
größten Herausforderungen in sitzungsbasierten
Virtual-Desktop-Umgebungen. Nur einige spezialisierte
Werkzeuge können diese Aufgabe bewältigen.
Stehen diese Werkzeuge nicht zur Verfügung, sind die
Nutzungsdaten auf Informationen beschränkt, die von den
Virtualisierungstechniken zur Verfügung gestellt werden.
Beispielsweise misst Citrix EdgeSight die Nutzung von
Anwendungen, die mit XenApp virtualisiert wurden. Die
FlexNet Manager Platform ist wiederum in der Lage, die
Nutzungsdaten aus EdgeSight zu erheben.
Die Nutzung gerätebasierter Lizenzen (siehe unten) auf
virtuellen Desktops stellt das Lizenzmanagement vor eine
besondere Herausforderung. Das für die Lizenzierung
erkennbare Gerät ist hier nicht der eigentliche virtuelle
Desktop, der auf dem Server ausgeführt wird, sondern es
sind die physischen Endgeräte, die darauf zugreifen. Wenn
ein Endbenutzer beispielsweise mit einem Notebook und
einem iPad auf eine Virtual-Desktop-Umgebung zugreift,
werden ggf. zwei Lizenzen benötigt. Das hängt davon
ab, welche Produktnutzungsrechte dem Softwareprodukt
Permanente virtuelle
Maschinen
Nicht permanenter Pool /
sitzungsbasiert
Permanentes Modell: Jeder Benutzer verfügt über eine dedizierte
virtuelle Maschine
Sitzungsbasiertes Modell: Virtuelle Maschinen werden Endbenutzern
dynamisch aus dem Pool zugewiesen
Abb. 4: Permanente und sitzungsbasierte virtuelle Desktops
6. Erfolgreiches Lizenzmanagement in Virtual-Desktop-Umgebungen und BYOD-Modellen
6
zugeordnet sind, das auf dem virtuellen Desktop läuft. Zur
Einhaltung der Lizenzbestimmungen ist es daher notwendig,
einige wesentliche Bestandsdaten für diese Endgeräte
während jeder virtuellen Sitzung zu erheben. Allerdings sind
nur wenige Inventarisierungswerkzeuge in der Lage, diese
Daten zu erfassen.
Die bisherigen Ausführungen machen deutlich, dass die
Inventarisierung von virtuellen Desktops keine triviale
Aufgabe ist. Herkömmliche Inventarisierungswerkzeuge
greifen in solchen Umgebungen häufig zu kurz. Zur
Erfassung der Bestands- und Nutzungsdaten für die genaue
Berechnung des Lizenzstatus sind andere Strategien und
Werkzeuge erforderlich. So muss das Lizenzmanagement-
Werkzeug beispielsweise in der Lage sein, Daten aus
verschiedenen Datenquellen zu erheben, zu verarbeiten
und zusammenzuführen. Die FlexNet Manager Platform
erfasst die Benutzerzugriffsrechte und die Nutzungsdaten
für virtuelle Desktops und virtualisierte Anwendungen
gleichermaßen, um den Lizenzstatus für Anwendungen
genau ermitteln zu können.
Lizenzierung in Virtual-Desktop-Umgebungen
In Desktop-Umgebungen werden hauptsächlich
drei Lizenztypen eingesetzt: Concurrent-Lizenzen,
benutzerbasierte Lizenzen und gerätebasierte Lizenzen.
Concurrent-Lizenzen sind aus lizenzrechtlicher Perspektive
am einfachsten zu handhaben, da bei diesem Lizenzmodell
der Lizenzserver normalerweise eigenständig für die
Einhaltung der Lizenzbestimmungen sorgt, da nur eine
bestimmte Anzahl von Benutzern gleichzeitig auf eine
Lizenz zugreifen kann. Bei diesem Modell ist normalerweise
die lizenzrechtliche Konformität sichergestellt. Probleme
können dennoch auftreten, und zwar insbesondere dann,
wenn Lizenzen beispielsweise übergreifend in verschiedenen
geografischen Regionen verwendet werden. Kompliziert
wird es, wenn die optimale Anzahl von Lizenzen ermittelt
werden soll, um einerseits eine Überlizenzierung zu
verhindern – was Thema eines eigenen Whitepapers
ist – und andererseits die Arbeitsfähigkeit aller
Mitarbeiter sicherzustellen.
Beim benutzerbasierten Lizenzmodell verbraucht ein
Benutzer normalerweise eine einzelne Lizenz, unabhängig
davon, wie er auf die Anwendung zugreift: über eine lokale
Installation, über eine virtualisierte Anwendung, über einen
virtualisierten Desktop oder über eine Kombination dieser
Techniken. Dieses Lizenzmodell macht es erforderlich, die
Nutzungsdaten und die Zugriffsrechte auf Softwareprodukte
in diesen Umgebungen (siehe oben) genau zu erfassen,
damit der Lizenzstatus präzise berechnet werden kann.
Die Erfassung der Daten bildet auch die Grundlage der
Lizenzoptimierung, indem beispielsweise der Zugriff für
inaktive Benutzer entfernt wird.
Am schwierigsten zu handhaben sind gerätebasierte
Lizenzen. Das hat zwei Gründe: Die Gerätelizenz gilt für
das Gerät, von dem der Zugriff auf die Anwendung erfolgt
und nicht für das Gerät, auf dem die Anwendung ausgeführt
wird. In einem Szenario mit Remote-Desktop-Virtualisierung
sind zwei physische Geräte vorhanden: der Server im
Rechenzentrum, auf dem der virtuelle Desktop bereitgestellt
wird, und die Geräte, die für den Zugriff auf den virtuellen
Desktop dienen. Die Geräte in der letztgenannten
Kategorie sind die für die Lizenzierung maßgeblichen.
Hierbei kann es sich um alle unternehmenseigenen Geräte
handeln oder aber um die privaten Geräte des
Benutzers – beispielsweise PC, Notebook, iPad, sonstige
Intelligent Devices oder sogar einen Computer in einem
Internetcafé. Der zweite Grund, warum gerätebasierte
Lizenzen das Lizenzmanagement erschweren, ist das
Vorhandensein von Produktnutzungsrechten, die auf
die Konfigurationen der Virtual-Desktop-Umgebungen
angewandt werden müssen.
Unter allen Softwareherstellern nimmt Microsoft eine
führende Position ein, was die Veröffentlichung der
Produktnutzungsrechte für jedes Produkt bei Verwendung
in einer Virtual-Desktop-Umgebung betrifft. Generell gilt,
dass alle Geräte, die über die Virtual-Desktop-Technologie
auf ein Microsoft-Softwareprodukt zugreifen, das pro Gerät
lizenziert wird, für dieses Produkt lizenziert sein müssen. Es
gibt jedoch einige wenige Ausnahmen, die die Lizenzierung
an den Virtual-Desktop-Zugriff und an die Roaming-
Nutzungsrechte binden – beispielsweise Lizenzen des Typs
Software Assurance (SA), Virtual Desktop Access (VDA) oder
Companion Subscription License (CSL).
Bei „Software Assurance“ handelt es sich um ein
Wartungsprogramm, das u. a. den Zugriff auf die
neuesten Versionen ermöglicht. Es räumt den Zugriff
auf virtuelle Desktops und externe Roaming-Rechte ein.
Eine Lizenz des Typs „Virtual Desktop Access“ (VDA)
ist eine abonnementbasierte Lizenz, die auch Geräte
erfasst, die nicht von der Software Assurance abgedeckt
werden können, wie Thin-Clients oder PCs, die einem
Vertragspartner gehören. Dieser Lizenztyp räumt nur
die Virtual-Desktop-Zugriffsrechte für das Betriebssystem
Microsoft Windows ein. Eine „Companion Subscription
License“ kann zusätzlich zur Software Assurance
oder zur VDA-Lizenz erworben werden, um das
Windows-Betriebssystem auf BYOD-Geräten abzudecken,
wenn diese Geräte im Unternehmen für den Zugriff
auf virtuelle Desktops verwendet werden. Eine einzige
Companion Subscription License deckt bis zu vier Geräte ab.
7. Erfolgreiches Lizenzmanagement in Virtual-Desktop-Umgebungen und BYOD-Modellen
7
Lizenzierung von Microsoft Windows
Beim Einsatz von Virtual-Desktop-Technologien besteht der
erste Schritt darin, Microsoft Windows für die virtuellen
Desktops zu lizenzieren, auf denen dieses Betriebssystem
läuft. Hier kommen folgende Szenarien in Betracht:
• Ist der Benutzer der primäre Benutzer eines
unternehmenseigenen Computers, der nach dem
Software-Assurance-Modell lizenziert ist, dann ist keine
zusätzliche Lizenz erforderlich, wenn der Benutzer von
folgenden Geräten auf einen virtuellen Desktop zugreift:
(1) von diesem Computer, (2) von einem beliebigen
Gerät, das unter Windows RT läuft oder (3) von einem
persönlichen Gerät außerhalb des Unternehmens.
• Ist der Benutzer der primäre Benutzer eines
unternehmenseigenen Computers, der nach dem
Virtual-Desktop-Access-Modell lizenziert ist, dann ist
keine zusätzliche Lizenz erforderlich, wenn der Benutzer
von diesem Computer oder von einem persönlichen
Gerät außerhalb des Unternehmens auf einen
virtuellen Desktop zugreift.
• Für jedes unternehmenseigene Gerät, das keinem
primären Benutzer zugeordnet ist – wie beispielsweise
ein Thin-Client – wird eine VDA-Lizenz benötigt.
Hiervon ausgenommen sind Geräte unter Windows RT
in den oben genannten Szenarien.
• Für beliebige BYOD-Geräte (die am
Unternehmensstandort genutzt werden) wird eine Lizenz
des Typs Virtual Desktop Access oder Companion
Subscription License benötigt. Hat ein Benutzer bereits
ein Gerät, das von einer Lizenz des Typs Software
Assurance oder VDA abgedeckt ist, ist eine Companion
Subscription License die wirtschaftlichere Alternative zu
einer zusätzlichen VDA-Lizenz.
• Ohne eine Lizenz des Typs Software Assurance
oder Virtual Desktop Access kann ein Benutzer auf
keine Virtual-Desktop-Instanzen zugreifen. In diesem
Szenario besteht die wirtschaftlichste Lösung darin,
den Endbenutzer in ein Abonnement für eine VDA-
Lizenz aufzunehmen, die für das unternehmenseigene
Gerät und ggf. auch für das persönliche Gerät gilt, und
zusätzlich eine CSL-Lizenz für jedes BYOD-Gerät zu
nutzen, das im Büro eingesetzt wird.
Unternehmens-
eigener Computer,
abgedeckt
durch SA
Unternehmenseigenes
Gerät ohne
Windows RT
Unternehmenseigenes
Gerät mit Windows RT
Persönliche Geräte
außerhalb des
Unternehmens
BYOD-Gerät
Windows
Virtual
Desktop
Keine Lizenz erforderlich
VDA-Lizenz erforderlich
Keine Lizenz erforderlich
Keine Lizenz erforderlich
CSL-Lizenz erforderlich
Abb. 5: Lizenzierung von Windows OS für Geräte, die für den Zugriff auf virtuelle Desktops dienen („Keine Lizenz erforderlich“ bedeutet,
dass keine zusätzliche Lizenz erforderlich ist)
8. Erfolgreiches Lizenzmanagement in Virtual-Desktop-Umgebungen und BYOD-Modellen
8
Lizenzierung von Microsoft-Anwendungen
Microsoft Office, Project und Visio werden pro Gerät lizenziert.
Ein lizenziertes Gerät kann auf eine lokale Installation oder auf
eine Virtual-Desktop-Instanz dieser Produkte zugreifen. Fällt die
Lizenz unter die Software Assurance, kann der primäre Benutzer
des unternehmenseigenen Geräts auf diese Produkte in einer
Virtual-Desktop-Umgebung auch über nicht unternehmenseigene
Geräte außerhalb des Unternehmens zugreifen. Alle anderen
Geräte, die auf diese Produkte über virtuelle Desktops in anderen
Szenarien zugreifen, müssen lizenziert werden. Jedes Gerät, das
auf andere Microsoft-Produkte zugreift, die pro Gerät lizenziert
werden – beispielsweise AutoRoute, Lync, MapPoint oder
InfoPath – müssen einzeln lizenziert werden.
Einige Microsoft-Server-Produkte – wie Microsoft Exchange,
SQL Server oder SharePoint – erfordern eine Client Access
License (CAL) für jeden Benutzer oder jedes Gerät, das auf das
Softwareprodukt zugreift. Wenn eine User CAL benutzt wird,
ist jede Nutzung des Produkts über einen virtuellen Desktop
abgedeckt. Wenn eine Device CAL benutzt wird, muss jedes
Endgerät lizenziert werden. Entwicklerwerkzeuge von
Microsoft – wie Visual Studio, SQL Server Developer
Edition oder MSDN Operating Systems – werden pro
Benutzer lizenziert. Lizenzierte Benutzer können auf diese
Softwareprodukte über die Virtual-Desktop-Technologie zugreifen.
Nur sehr wenige weitere Softwarehersteller haben die
Auswirkungen der Virtual-Desktop-Technologien auf die
Lizenzierung dokumentiert. Die aktuellen Produktnutzungsrechte
in der EULA jedes Produkts müssen daher sorgfältig im
jeweiligen Kontext analysiert werden.
Fazit
Bei Einsatz einer Virtual-Desktop-Lösung sollten Unternehmen
besonderen Wert auf ein einwandfreies Lizenzmanagement
legen. Meist müssen zusätzliche Lizenzen oder Abonnements
erworben werden, die den Kosten der eigentlichen Virtual-
Desktop-Lösung zuzurechnen sind. Ist eine Virtual-Desktop-
Lösung erst einmal bereitgestellt, muss das Unternehmen für die
Verwaltung und Überwachung der Benutzer, der Endgeräte und
der eingesetzten Softwareprodukte sorgen, damit die Konformität
mit den Lizenzbestimmungen gewährleistet ist und bleibt. Dies
ist keine triviale Aufgabe, zumal es immer noch Graubereiche
gibt – wie den Zugriff über BYOD-Geräte im Unternehmen oder
außerhalb des Unternehmens. Flexera Software nimmt mit den
Produkten aus der FlexNet Manager Suite for Enterprises eine
Führungsrolle bei der Verwaltung und Optimierung von Lizenzen
in Virtual-Desktop-Umgebungen ein.