VMware ACE
Im folgenden will ich ein wenig über VMware ACE schreiben sowie erklären wie man es installiert und verwendet.
VMware ACE ist ein Produkt um Mitarbeitern, Partnern oder externen Mitarbeitern eine virtuelle Maschine auf ihrem PC zur Verfügung zu stellen die von der eigenen IT kontrolliert wird. Ich würde es als Schritt zwischen einem normalen PC Arbeitsplatz (FatClient) und einem View/ThinClient anordnen. Bezeichnet wird diese virtuelle Maschine als ACE Instanz. Technisch wird sie als managed PC auf einem unsicheren unmanaged PC gesehen.
Wie funktioniert das ganze?
Ein Mitarbeiter der IT erstllt eine virtuelle Maschine in seiner VMware Workstation und aktiviert diese für das verwenden von ACE. Das ermöglicht dem Admin das setzen von Regeln für die VM und viele andere Policies. Hier ein paar Beispiele:
- Passwort zum starten der virtuellen Maschine
- AD authentifizierung
- Ablauf der virtuellen Maschine nach X Tagen (kein booten mehr möglich)
- Verhindern des kopierens der virtuellen Maschine
- Pflicht sich nach X Tagen am Firmennetzwerk anzumelden
- Verschlüsselung aller Dateien
- Harwarekonfiguration
- Hardware unabhängig
- Arbeitet auch ohne Verbindung zum Firmennetzwerk
- Transportabel
- Host System unabhängig
Das VMware ACE Image meldet sich nun an einem VMware ACE Management Server an. Dort werden alle Einstellungen und Policies zentral verwaltet. Auf diesem Server ist es zum Beispiel dann möglich das Image zu deaktivieren .
Mehr ist es im Prinzip nicht. Dadurch ist es möglich eine virtuelle Maschine zu verteilen und vom VMware ACE Management Server aus zu kontrollieren. Eine sehr gute Lösung für Firmen die nicht komplett auf VMware View umsteigen wollen beziehungsweise auch oft arbeiten wenn man nicht mit dem Netzwerk verbunden ist. Diese Möglichkeit gibt es zwar auch unter VMware View aber momentan nur mit experimentellem Support.
Man hat also eine Runtime Umgebung die auf jeden beliebigen Rechner (Windows oder Linux) kopiert werden kann und dort gestartet. Das Image ist durch verschiedenste Policies z.B. mit einem Passwort geschützt, kann nicht kopiert werden und externe Medien können nicht verbunden werden. Ein managed PC der auf einem unmanaged PC arbeiten kann ohne das Gefahr durch Datendiebstahl oder Missbrauch entsteht.
Als nächstes möchte ich euch zeigen wie ihr VMware ACE installiert und verwendet.
Welche Software benötigt ihr:
- VMware ACE Management Server Appliance oder VMware ACE Management Server für Windows
- VMware Workstation 6 mit ACE Option
- Windows oder Linux virtuelle Maschine zum verteilen
- Firefox oder Internet Explorer zur Konfiguration
Den VMware ACE Management Server Appliance und die VMware Workstation bekommt ihr auf der VMware Website. Dafür müsst ihr einfach nur VMware ACE Testen. Folgt diesem Link.
Installation und Konfiguration ACE Management Server
Es gibt zwei sehr einfache Möglichkeiten den ACE Management Server zu installieren. Es gibt einmal eine Appliance die ihr herunterladen könnt oder ihr installiert den ACE Management Server unter Windows. Beides ist Selbsterklärend. In unserem Fall verwenden wir die Appliance.
Nachdem ihr den ACE Management Server gestartet habt müsst ihr euch über einen Browser mit dem Server verbinden. https://<IP-Adresse>:8000. Hier kann die gesamte Konfiguration vorgenommen werden.
Im Folgenden beschreibe ich nur kurz auf welcher Seite was konfiguriert werden kann.
Die Konfiguration an sich ist Selbsterklärend:
Licensing: Hier wird die Seriennummer (bekommt ihr per email wenn ihr das Produkt testest oder unter den Downloads) sowie Name der Firma usw. eingetragen. Ihr sehr hier auch wann die Lizenz abläuft.
Database: Alles wird in einer Datenbank geschrieben. Es ist entweder möglich eine lokale Datenbank zu verwenden oder eine externe Datenbank. Zum Testen ist die interne Datenbank völlig ausreichend. Eine externe Datenbank sollte man verwenden wenn mehrere Management Server zum Einsatz kommen oder mehr als 100 Images damit verwaltet werden. Unterstützt werden SQL und Oracle Datenbanken.
Access Control: Hier ist es möglich eine Active Directory Authentifizierung einzustellen. Somit muss der Admin und die späteren User Konten im zentralen AD haben. Dafür müssen noch einige Vorbereitungen getroffen werden z.B. das erstellen eines Admin Users für ACE. Diese Daten werden hier angegeben. Es ist ebenfalls möglich mit einem lokalen User zu arbeiten.
Custom SSL certificates: Hier können SSL Zertifkate angegeben werden.
Logging: Auf der Seite Logging können die Einstellungen für das Event Log gemacht werden.
Damit ist der ACE Management Server auch schon eingerichtet. Mehr muss hier erst einmal nicht gemacht werden.
Installation und Konfiguration Workstation
Die Installation der VMware Workstation braucht denke ich keine weitere Erklärung! Die Installation ist sehr einfach und wird hier deshalb übersprungen. Was allerdings gemacht werden muss ist das einspielen des ACE product key in die Workstation. Dies wird gemacht über Help Enter Serial Number. Wenn der Key eingetragen wurde ist die Workstation ACE fähig.
Erstellen eines ACE Images
Jetzt können wir ein ACE Image erstellen. Dazu solltet ihr erst einmal in eurer Workstation den ACE Server hinzufügen. Dies könnt ihr über File Connect to ACE Management Server machen. Wenn ihr diesen hinzugefügt habt erscheint dieser in der Sidebar der Workstation. Beim Klick auf den ACE Management Server erhaltet ihr eine Übersicht über die vorhandenen ACE Instanzen. Da wir momentan noch keine Instanz haben ist das Fenster aber natürlich leer.
Als nächstes empfehle ich euch eine ganz normale virtuelle Maschine zum Beispiel mit Windows in der Workstation hinzuzufügen. Ich gehe jetzt einfach mal davon aus das ihr eine fertige Maschine habt oder ein Image Clone macht.
Wenn ihr die Maschine auswählt und euch die Konfiguration der Maschine anschaut ist euch bestimmt eine neue Option aufgefallen die seit dem aktivieren von ACE über den License Key verfügbar ist. 
Aktiviert ihr ACE für diese virtuelle Maschine durch das klicken auf diesen Link erscheinen weitere Menüs für diese virtuelle Maschine. Diese Menüs sind da um das ACE Image zu konfigurieren und anschließend zu erstellen. Über die Optionen der virtuellen Maschine ist es jetzt auch möglich den ACE Server zu bestimmen. Im Folgenden gehen wir kurz durch die verschiedenen Menüs.
Edit deployment settings:
Encryption: Hier kann eine Einstellung gemacht werden ob die Dateien des Paketes vor und nach der Installation verschlüsselt sein sollen.
Package Lifetime: Hier kann ein Zeitraum oder ein Datum angegeben werden wie lange es möglich ist das Paket zu installieren
Instance Customization: Verwendet Sysprep um das Windows OS einer ACE Instanz anzupassen. Dafür müssen auch die die Sysprep Dateien in das entsprechende Verzeichnis der VMware Workstation kopiert werden. Damit sind dann verschiedene Einstellungen möglich die man von Sysprep her kennt
Custom EULA: Bietet die möglichkeit eine Textdabei anzeigen zu lassen die der User Lesen und Bestätigen muss
Deployment Plattform: Hier kann angegeben werden ob das ACE Paket auf Windows, Linux oder beidem ausgerollt werden soll
Edit Policies:
Access Control: Hier können verschiedene Optionen zur Aktivierung des Images gesetzt werden. Zum Beispiel ein Passwort zur Aktivierung oder eine max. Anzahl von Aktivierungen
Expiration: Datum oder Zeitraum wie lange das Image funktionieren soll
Copy Protection: Einstellung ob es erlaubt ist das ACE Paket zu kopieren
Resource Signing: Prüfung wie und ob die Daten auf Manipulation geprüft werden sollen.
Network Access: Dies ist ein sehr interessanter und wichtiger Punkt. Hier ist es möglich Einstellungen für verschiedenste Netzwerke vorzunehmen. Es ist zum Beispiel möglich zu sagen 
das im Netz 192.168.178.0/24 die virtuelle Maschine ins Netzwerk darf aber der Host nicht. Dann kann wieder eingestellt werden das in jedem anderen Netzwerk der Host ins Netzwerk darf aber die virtuelle Maschine nicht. So ist es möglich im Firmennetzwerk den Host auszuschließen und in jedem anderen, von der Firma nicht kontrollieren Netz, die ACE Instanz erst gar nicht ins Netz zu lassen
Removable Devices: Hier kann eingestellt werden welche Geräte in der virtuellen Maschine verfügbar sein sollen und welche angeschlossen werden können. Durch das verbieten von USB und CD Laufwerken kann es z.B. unmöglich gemacht werden das jemand Daten kopiert.
Virtual Printer: Erstellt einen Druckeranschluss und erlaubt das lokale konfigurieren von Druckern
Runtime Preferences: Hier können die verschiedensten Einstellungen gemacht werden. Zum Beispiel das die ACE Instanz immer im Vollbildmodus betrieben wird. Damit wären z.B. Missverständnisse ausgeräumt weil man plötzlich neben seinem eigenen normalen PC ein zweites Windows sieht…
Snapshots: Erlauben oder verbieten ob der Benutzer Sanpshots erstellen darf
Administrator Mode: Hier kann ein Passwort gesetzt werden mit dem der Admin später das Paket anpassen kann.
Kiosk Mode: Aktiviert den Kiosk Mode
Policy Update Frequency: Hier kann eingestellt werden wie oft die ACE Instanz sich mit dem ACE Management Server verbindet und neue Policys zieht. Ausserdem kann hier eingestellt werden wie lange die Instanz arbeiten kann ohne sich mit dem ACE Management Server zu verbinden.
Das waren alle Einstellungen die vorgenommen werden können. Ich habe alles natürlich nur angeschnitten. Eine ausführliche Erklärung würde den rahmen sprengen.
Paket erstellen
Als nächstes können die Pakete erstellt werden. Dafür gibt es zwei verschiedene Möglichkeiten. Einmal das erstellen eines normalen Paketes, das dann einfach kopiert werden kann, oder ein Paket das für die Verwendung auf einem USB Stick optimiert ist. Das erstellen der Pakete ist sehr schnell gemacht und einfach. Es wird hier nicht weiter darauf eingegangen. Es gibt dafür einen Wizard der selbsterklärend ist.
Nachdem die Pakete erstellt wurden kann man einfach den VMware Player starten und die entsprechende VM auswählen. Diese verbindet sich mit dem ACE Server und erlaubt anschließend das starten. Sollte man kein Player installiert haben ist in jedem Paket eine Installation für den Player enthalten. Führt man diese aus wird ein Icon auf dem Desktop erstellt der dann direkt die ACE Instanz startet.
Das war ein kurzer Überblick über VMware ACE. Es gibt noch sehr viel mehr zu sagen, zu konfigurieren und zu testen aber ich denke für einen ersten Überblick reicht das.
Ich will die Tage mal versuchen ein Video zu erstellen und hier zu Veröffentlichen! Das hat heute noch nicht so gut geklappt. Folgt aber hoffentlich bald.
Bei Fragen einfach schreiben.
Comments