Professioneller Remote-Support: Die BOMGAR Appliance

Es geht um die Enterprise Remote-Support Appliance BOMGAR. Obwohl ich vor fünf Jahren schon fast alle bis dahin bekannten Fernsteuerungslösungen kannte - weil ich Fan von solchen Dingen bin seit pcAnyhwere, remotelyAnywhere oder VNC - BOMGAR kannte ich noch nicht. Es hat wohl damit zu tun, dass BOMGAR eine Hardware-Box ist, eben eine Appliance. Das bedeutet, dass sie teurer und natürlich nicht via Download irgendwo zu finden ist.

Als ich vor 4 Jahren ein neues Mandat zur Betreuung der IT eines Pflegeheimes übernehmen durfte, lernte ich den damalig hauptverantwortlichen IT-Betreuer, die Firma Microdyn kennen, der mir bei der Übergabe stolzerfüllt öfters den Namen BOMGAR in meiner Erinnerung verankerte. Das hat der Generalvertreter von BOMGAR für die Schweiz auch dadurch erreicht, indem er mich eben dieses Produkt weiterhin nutzen liess. So kam ich also in den Genuss, BOMGAR reichlich kennenzulernen. Ich halte es nach 4 Jahren regelmässiger Nutzung für eines der professionellsten Remote-Support-Produkte, die ich kenne - auch immer im Vergleich mit TeamViewer, der ja dank "kostenloser" Nutzung eine sehr grosse Verbreitung gefunden hat.

Zuerst einmal: BOMGAR kommt ohne externe Verbindungsvermittlung aus, d.h. der Aufbau einer Verbindung eines Support-Session verlangt keinen Umweg über einen öffentlichen Vermittler. Ein bemannter PC oder unbemannter Server meldet sich direkt bei der Appliance. Diese muss natürlich erreichbar sein, aber als Appliance steht sie ja im eigenen Maschinenpark, also unter der Kontrolle der eigenen Netzwerkadministration, der eigenen gesicherten Netztopologie.

Die Appliance greift nie selbst raus ins Netz, die sogenannten Jump-Points melden sich regelmässig bei der Appliance und wenn bei der der Wunsch nach einer Support-Sitzung seitens eines Support-Technikers in der Warteschlange ist, initiiert der Jump-Point die Verbindung. So kann ein Support-Techniker auch unbemannte Systeme hinter beliebigen Firewalls warten, solange dort ein Jump-Point aktiv ist, der seinen Weg zur Appliance finden darf.

Der Support-Techniker überblickt dabei in seiner Konsole alle aktiven Sitzungen, zwischen denen er jederzeit umschalten kann, die er an andere Support-Techniker weiterleiten, oder jene zur gemeinsamen Begutachtung einer Session einladen kann. Natürlich werden ihm auch die wartenden Anfragen angezeigt, die automatisiert ihm oder anderen Supportern zugewiesen werden können. Wird die Anfrage nicht innert nützlicher Frist bearbeitet, kann die Appliance die Anfrage automatisch weiterleiten oder diese Verzögerung an einen Teamleader zur Beachtung weiterleiten.

Weiterhin ist in einer Session natürlich auch der Zugriff auf wichtige Daten-Logs und Informationen des überwachten Rechners möglich. Auch umfangreiche Dateitransfers gehören dank Transfer-Queues, die im Hintergrund weiterlaufen, zu den leichtesten Übungen. Zugriff auf die Registry bei Windows-Systemen ist ebenfalls möglich. Eine interessante Eigenschaft ist auch das Einschiessen des Jump-Points in noch nicht überwachte Rechner, die im lokalen Kundennetz erreichbar sind: Hat der Supporter die benötigten Credentials, kann er jeden Rechner im Netz überwachen.

Jede Session wird dabei unaufgefordert und vollständig per Video auf der Appliance (inklusive aller anderen Aktionen wie Filetransfers und die Command Shell Aktionen aufgezeichnet, wo sie dann der Support-Techniker oder Teamleaders etc. supervisioniert werden können. Nebenbei ist das natürlich auch gut, um Fehler des Supporters nachzuvollziehen oder besser noch: Erlaubt man einem externen IT-Supporter den Zugriff auf eine mit BOMGAR überwachte Session, werden dessen Aktionen beweisfähig mitaufgezeichnet.

Die professionelle Ausrichtung in diesem Bereich merkt man dem Produkt an, weil eine Produktvariante namens PAM auch ermöglicht, dass ein interner Supporter einem externen, kundenfremden Supporter eine Session vorbereitet, bei der die Appliance selbständig den Externen zu einer zeitbeschränkte Session einlädt. Der Externe muss weder je über ein Passwort zum Einloggen auf dem Kundenserver, noch über irgendwelche Fernsteuerungstools verfügen, denn die BOMGAR-Appliance lädt den Externen zu der Session ein – sie loggt sich dann auf dem Kundenserver ein (mit den vom internen Supporter extra für diese Session hinterlegten Credentials) und liefert dann den Bildschirm des Kundenservers an den Externen. Macht der zu lange, wird er halt abgeklemmt. In dieser Variante bleibt der interne Supporter der Besitzer der Session, d.h. beendet der interne Supporter die Sitzung, schmeisst das den Externen raus.

Aber es gibt noch eine weitergehende Technik, die sich Embassy nennt, in der externe Supporter über längere Zeiträume wiederholt auf Kundenserver zugreifen können – dabei ist dann kein interner Supporter mehr nötig, der dem Externen die Sitzung vorbereitet. Dazu muss allerdings alles haarklein vordefiniert werden, damit die Embassy ja nichts anderes als das Vorgesehene erlaubt. Dazu gehören auch Profile, die man Externen jederzeit für eine einzelne Sitzung zuweisen kann. So kann die Einrichtung von Externen einmal gemacht werden, dennoch kann man ihm für - sagen wir mal - heute nur ein Read-Only-Profil zuweisen, obwohl er sonst ein Profil hat, das ihm die interaktive Sitzung gewährt.

Selbstverständlich kann die Appliance auch für unkritischeren End-User-Support benutzt werden. Die Firma Microdyn bietet beispielsweise Support-Abos an – worauf sie einen Jump-Client samt einfach zu findendem Hilfe-Button auf dem Desktop des End-Users installiert – ohne oder mit UAC-Support. So können die End-User auf Knopfdruck jederzeit Support anfordern. Natürlich gibt's auch noch den Ad-Hoc-Modus, wo man bei Microdyn eine einmalige Support-Session verlangt, worauf man einfach einen Link bekommt und einen Sitzungsschlüssel, der auf der Box hinterlegt ist. Diese Methode erlaubt auch, Support-Leistungen zeitbefristet anzubieten. So kann man einen Support anfordern, den man mangels Planungssicherheit eventuell nicht grad sofort, aber sicher innert der nächsten 4 Stunden beanspruchen kann. Danach verfällt der Schlüssel.

Interessant in diesem Zusammenhang ist die Möglichkeit, über APIs mit Ticketsystemen wie HP Openvew, BMC-Remedy oder ServiceNow zu interagieren, wo ja Benutzernamen vorherrschen, die supportet werden sollen, nicht deren PCs. Hat man also aus einer ITSM-Lösung Benutzernamen, kann man von diesen System aus eine Support-Session initiieren auf dem PC, an dem der Benutzer grad arbeitet, auch wenn dieser PC noch nie einen BOMGAR Jumpclient installiert hatte. Diese Technik nennt sich dann Push-Client, weil über eine AD der Benutzer am aktuellen PC gefunden werden kann, so dass dann dem betroffenen PC ein Client unterschoben wird. Das ist die Lösung für wirklich grosse Konzerne mit Tausenden Benutzern und PCs.

Alle Aktionen der Box sind natürlich in fast allen Aspekten parametriesierbar. Interfaces an Ticket-Systeme und Netzwerküberwachungstools stehen bereit, um Support-Aktionen direkt in deren Administration einfliessen oder von dort aus auslösen zu lassen. BOMGAR dokumentiert alle seine APIs öffentlich.

Rolf Hahn, der Chef von Microdyn hat mir mal noch ein paar Internals vorgeführt ... dies zu skizzieren ergab dann eine recht verzwickte Beziehungsgrafik, zeigte mir jedoch Aspekte auf, die mir meine auch ihm öfters gestellte Frage „wie verkauft man BOMGAR gegen TeamViewer und Konsorten" in Ansätzen erklärte. Ich als einfacher Supporter kann diese Aspekte gar nicht richtig ausnutzen, denn alle die Aspekte haben mit Sicherheit, Abläufen und Privilegien zu tun. Eines allerdings kann auch ich gut nutzen, die integrierte Webinar-Fähigkeit: die Appliance kann bis zu 20 Benutzern eine Präsentation eines Supporters zeigen, so, wie halt Webinars ablaufen, nur ohne akustischen Chat und Ton. Vielleicht kommt das auch noch irgendwann. Das zeigt auch grad etwas, was ich öfters brauche: Ich als Support kann jederzeit dem Kunden meinen Bildschirm zeigen, wenn ich ein Problem bei mir nachspiele. Etwas umständlicher, aber auch möglich, ist das Zeigen mit einem Pseudo-Mauscursor ... so dass ich das zeige, der Kunde es aber selbst nachmachen muss.

Kein Wunder also, dass Microdyn BOMGAR mehrheitlich an sehr sicherheitsbewusste Organisationen wie Banken, Spitäler, kantonale Verwaltungen oder grosse, weit verbreitete internationale Firmen wie Daimler-Benz verkauft und diese auch in komplexen Anwendungsszenarien betreut.

Ich hatte letzthin wieder einmal einen Server in einem Rechenzentrum übernommen, der nichts mehr auf seinen Platten hatte. Leider unterstützte dessen BIOS Intels vPro Technik nicht, sonst hätte ich dank vPro direkt ein ISO Image via BOMGAR installieren können. So musste ich die KVM-Lösung des Hosters nutzen, um von einem USB-Image zu booten. Kaum war Windows aber installiert, war die erste Bürgerpflicht, nun, meine Bürgerpflicht, den BOMGAR Jump-Client zu installieren, um von dann an nicht mehr die merkwürdige und veraltete, auf Java-basierende KVM Lösung brauchen zu müssen.

Ich kann nach all den Jahren BOMGAR sehr empfehlen, auch wenn ich selbst es nie wirklich ausnutzen oder gar überfordern konnte - es ist halt ein Enterprise-Level-Produkt. Wer sich mehr für dieses Produkt interessiert, wende sich einfach an Microdyn.

PS: Natürlich kann man jederzeit auch eine Support-Sitzung mit mir über BOMGAR auslösen. Dazu kann man in der Appliance eigene Webseiten bereitstellen, die dann beispielsweise nur ausgewählte Support-Techniker auflisten, bevorstehende Webinars oder ein eigenes, komplettes Support-Portal anzeigen. Ein minimales "Portal" ist zum Beispiel meines. Bei telefonischer Anmeldung gebe ich den Sitzungschlüssel an, der dort einzugeben ist.