Acronis Access in der Version 7 im Test

26. Januar 2015

Besonders im deutschsprachigen Raum blicken die Systembetreuer und IT-Leiter oftmals noch skeptisch auf Public-Cloud-Lösungen. Dennoch scheint der Trend klar vor Augen: Mittel- bis langfristig führt kein Weg an der Datenwolke vorbei. Welche Lösungen bieten sich an, falls es den Unternehmen nicht möglich ist, ihre Geschäftsdaten in die Public-Cloud zu verlagern? Beispielsweise wenn Sicherheitsbedenken, rechtliche Vorgaben oder das Vertrauen in die Integrität der Cloud-Anbieter dagegensprechen? Eine Möglichkeit ist die Umsetzung einer eigenen Cloud-Lösung. Dabei stellt sich oft auch die Frage der Plattformunabhängigkeit einer solchen Lösung. Ebenso spielen Themen wie Mobile BI (Business Intelligence) und BYOD (Bring Your Own Device) eine immer größere Rolle. An dieser Stelle klinkt sich Acronis mit seinem Produkt Access Version 7 ein, denn neben einer Vielzahl an unterstützen Geräten, Plattformen und Betriebssystemen möchte der Hersteller auch serverseitig mit einer Kompatibilität zum Active Directory (AD), ausgefeilten Sicherheitskonzepten und verschlüsselten Datentransport punkten. Ob diese Lösung überzeugen kann, nimmt das NT4ADMINS-Team im Testlabor unter die Lupe.

Bild 2. Das Lab-Team legte entsprechende Portweiterleitungen im Router an.
Bild 3. Beim Erststart wurden die Administratoren aufgefordert ein Initialkennwort zu definieren.
Bild 4. Hier war der Lizenz-Key einzugeben.

Als Testsystem für die Acronis-Software kam ein System mit dem Betriebssystem Windows Server 2012 R2 Datacenter zum Einsatz. Das Gerät verfügt über 4 CPU-Kerne, 16 GByte Arbeitsspeicher, einen Netzwerkadapter (1 GBit/s) und einem SSD-Massenspeicher (Samsung 840 Pro). Zusätzlich befinden sich weitere Server und Clients in der Testumgebung, unter anderem ein physikalischer Domänencontroller, ein Server für RDP-Verwaltung und Fernzugriff sowie ein Hyper-V-Cluster mit per iSCSI angebundenen Storage (Seagate NAS mit dem Betriebssystem  Windows Storage Server 2012).

Der Acronis-Access-Server wurde im Vorfeld zur Domäne hinzugefügt (feste IP-Konfiguration), und in der Reverse-Lookup-Zone eingetragen (für die Übersetzung von IP-Adressen in Hostnamen). Die korrekte Erreichbarkeit testete das LAB-Team mittels der Befehle „ping“ und „nslookup“.Die Systembetreuer legten mehrere Domänen-Benutzer innerhalb des AD für diesen Test an, und bündelten diese in den ebenfalls erstellten Sicherheitsgruppen „Leitung“ und „Mitarbeiter“.

Schließlich starteten die Administratoren die Installation der Acronis-Software auf dem Testsystem (Bild 1). Dazu wurden die Anmeldeinformationen eines Domänenadministrators benötigt. Während des Setup-Prozesses meldete Access noch, dass die Softwareplattform NET 4.5.1 erst noch installiert werden muss. Dies erledigte die Installationsroute nach einer Bestätigung automatisch, und führte den Setup-Vorgang im Anschluss ordnungsgemäß durch. Danach meldete sich das Acronis-Access-Konfigurationswerkzeug. Hier können die Administratoren weitere Änderungen vornehmen. So ist es denkbar das Datei-Repository (der Dateispeicherort) auf einen anderen Server zu legen, oder abweichende Anmeldeinformationen einzusetzen. Das LAB-Team änderte hier die Standardeinstellung nicht ab. Im nächsten Schritt war noch die Router-Konfiguration anzupassen.

Router-Konfiguration

Die Internetverbindung für die Testumgebung war über einen Router von AVM mit der Modellzeichnung  Fritzbox Fon WLAN 7113 realisiert. Eine bereits eingetragene und konfigurierte dynamische DNS Adresse (nt4admins.dyndns.org) vereinfachte den Zugriff auf das Netz von außen, da im Testlabor keine feste, externe IP-Adresse für die Internetleitung zur Verfügung stand.Im entsprechenden Fenster der Fritzbox legten die Systemadministratoren nun zwei Port-Weiterleitungen an. Zum einen für Port 443 (für den Zugriff von Geräten per Webbrowser) und zum anderen für Port 3000 (Dateizugriff für die Desktop- und Mobil-App). Port-Anfragen wurden so direkt an den Access-Server geleitet (interne IP-Adresse 192.168.2.141), wie in Bild 2 zu sehen.Die weitere Konfiguration von Access wurde nun über das Webinterface (auf Port 3000) vorgenommen. Das Interface ist somit über gängige Webbrowser wie Internet Explorer, Firefox oder Chrome aufrufbar (https://localhost:3000/signin).

Bild 5. Die Systembetreuer legten besonderes Augenmerk auf den Reiter „Server-Einstellungen“
Bild 6. Auch wichtig: Die SMTP-Konfiguration um das Versenden von Emails sicherzustellen.
Bild 7. Die Einbindung in das Unternehmensnetzwerk wurde per LPAD sichergestellt.
Bild 8. Access bietet unter anderem eine Verschlüsslung für das Datei-Repository.
Bild 9. Berechtigungen für unterschiedliche Sicherheits-Gruppen des AD wurden in diesem Menü zugewiesen.

Webinterface zur Konfiguration

Zunächst wurden die Systembetreuer aufgefordert, entsprechende Anmeldeinformationen festzulegen (Bild 3). Danach startete die Konfigurationsoberfläche von Acronis Access, hier gaben die Administratoren zunächst die entsprechenden Lizenzinformationen an. Bei der von Acronis zu Verfügung gestellten Version war es zunächst erforderlich den obersten Menüpunkt (Test starten) zu aktivieren und die Test-Lizenznummer erst im zweiten Schritt anzugeben (Bild 4).

Im Reiter „Allgemeine Einstellungen“ waren Informationen zur Server-Bezeichnung und die für Protokolleinträge zu verwendenden Spracheinstellungen zu wählen. Sehr wichtig waren hier die beiden mittleren Menüpunkte. Denn über das Feld „Webadresse“ war zu definieren, auf welche URL später in den Registrierungs-Mails verwiesen wird. Hier war es nötig die im Router hinterlegte DynDNS-Adresse anzugeben. Das Spiel wiederholte sich noch im Feld „Registrierungsadresse für Mobile Client“ (Bild 5).

Im nächsten Reiter „SMTP-Konfiguration“ (Simple Mail Transfer Protocol) ließen sich interne oder externe Email-Server angeben. Dies stellte einen wichtigen Punkt dar, schließlich soll Acronis Access die Unternehmensmitarbeiter direkt per Mail kontaktieren können, etwa um Mobilgeräte automatisch zu registrieren. Das NT4ADMINS-Team legte im Vorfeld einen Account beim Dienstleister GMX an, die passenden Konfigurationsparameter (etwa Port 587 oder die Credentials für die benötigte SMTP-Authentifizierung) wurden vom NT4ADMINS-Team dementsprechend angegeben (Bild 6).

Eine Testmail bestätigte die korrekte Einrichtung dieser Parameter.Der nächste Punkt in der Checkliste stellte die LDAP-Konfiguration (Lightweight Directory Access Protocol) dar. Nachdem im NT4ADMINS-Testnetz diese Rolle vom Domänencontroller mit der IP-Adresse 192.168.2.1 übernommen wurde, war diese Adresse direkt im entsprechenden Feld einzugeben. Die Port-Konfiguration beließ das LAB-Team auf der Standardeinstellung (389), und gab noch die Anmeldeinformationen für einen administrativen AD-Zugriff an (Bild 7). Auch die LDAP-Suchbasis war entsprechend zur (internen) Domänenbezeichnung einzugeben. Der Zugriff auf den DC mittels LDAP ist für verwaltete Zugriffe auf Mobilgeräte notwendig, sollen nur AD-Hoc-Verbindungen ohne Einbindung der Sicherheitsrichtlinien in ein bestehendes AD zum Einsatz kommen, so kann die LDAP-Integration auch übersprungen werden.

In den letzten beiden Punkten („Lokaler Gateway Server“ und „Datei Repository“) bestätigten die Systembetreuer teilweise die bereits direkt nach der Installation angegebenen Informationen. Hier waren zum Beispiel die interne Gateway-IPs , oder die zu nutzenden Verschlüsselungsoptionen anzugeben (hier: AES-256, Bild 8).

Erweiterte Konfiguration

Nachdem die Systembetreuer die grundliegenden Einstellungen vorgenommen hatten, konnte im Webinterface die Einstellungen der weiteren Punkte wie etwa „Mobiler Zugriff“, „Sync&Share“ oder „Benutzer und Geräte“ geändert werden. Die bereits zuvor im Beitrag angesprochenen Konfigurationsparameter waren weiterhin unter der Schaltfläche „Allgemeine Einstellungen“ einzusehen und zu verändern, etwa falls die Passwörter für den Email-Server laut Unternehmensvorgabe zyklisch auszutauschen sind.

Einer der wichtigsten Anlaufstellen für die weitere Konfiguration stellten die Knoten „Richtlinien“ und „Datenquellen“ dar. Im Bereich „Datenquellen“ waren etwa Parameter für die Synchronisation anzugeben, sowie die Verknüpfung der Quelle mit einzelnen Sicherheitsgruppen oder Usern des Active Directorys. In unserem Fall waren hier die beiden Gruppen „Leitung“ und „Mitarbeiter“ zu hinterlegen, sowie die Gruppe der Domänenadministratoren (Bild 9).

Im Bereich „Richtlinien“ war nach der Installation bereits die Policy mit der Bezeichnung „Default“ angelegt. Nach einem Klick auf diesen Link waren im nun erscheinenden Untermenü weitere Einstellungen verfügbar (Bild 10). Unter anderem standen Parameter für die Sicherheits-, -Server- und Applikations-Policies zur Auswahl bereit. Diese Parameter regeln etwa, welche Schritte die Software unternehmen soll, falls das Gerät seit 30 Tagen nicht mehr synchronisiert wurde (ein Indikator für verlorene Mobilgeräte), oder ob eine abschließende Synchronisation beim Ausschalten der Geräte generell gewünscht ist. Auch sind Dateizugriffe auf bestimmte Apps einschränkbar. Weitere Sicherheit brachte etwa eine Kennwortabfrage beim Starten der Access-App.

Im Menüknoten „Basisordner“ definierten die Systembetreuer ob die Basisordner der Active-Directory-Benutzer auch auf den Desktop-Applikationen beziehungsweise auf den Apps für die Mobilgeräte angezeigt werden sollte (Bild 10). In der NT4ADMINS-Testumgebung war dies eine gewünschte Eigenschaft, ließen sich doch so Daten aus dem Unternehmens-Netzwerk (beispielsweise „Dokumente“ aus den AD-Roaming-Profilen) mit Daten aus dem Homeoffice (Desktop-Programm)und Smartphones (Access Mobile App) synchron halten.

An dieser Stelle war es nun nötig, die jeweiligen Benutzer für den mobilen Zugriff zu definieren und darauffolgend per Email einzuladen. Nachdem ja schon im Vorfeld eine gültige SMTP-Konfiguration vorgenommen wurde, ließ sich dies über das Menü „Benutzer registrieren“ realisieren. Hier genügte es einzelne User oder Gruppen anzuwählen. Dank des direkten Zugriffs auf das AD war dies ohne Probleme möglich. Access versenden in diesem Fall dann Emails mit den Download- und Installationsanweisungen. Als Email-Adresse bezog sich Access hierbei die Adresse der jeweiligen AD-Benutzer (im Userprofil unter „Eigenschaften“ im Feld „E-Mail“).

Bild 10. Auch die Basisordner der AD-User konnten als „Homedrive“ freigegeben werden.
Bild 11. Hier ist die Access-App auf einem iPhone 4S zu sehen.
Bild 12.Die unterschiedlichen Ordner des angemeldeten Users lassen sich so durchsuchen.
Bild 13. Im Testlabor waren Roaming-Profile für die AD-User angelegt.
Bild 14.Die Desktop-Variante von Access konfigurierten die Systembetreuer wie folgt.

Client-Verwaltung

Nach dem Erhalt der Access-Email starteten die Systembetreuer die Setup-Routinen auf der jeweiligen Plattform (iOS, Android) beziehungsweise installierten die entsprechenden Apps kostenlos aus dem Store. Nun war es möglich, sich über einen Link in der Mail am Access-Server zu registrieren. Je nach gesetzter Sicherheitsrichtlinie muss zusätzlich bei der Erstanmeldung eine zufallsgenerierte PIN zusätzlich zum entsprechenden Active-Directory-Kennwort angegeben werden.

Das Setup war auf einem iPhone 4S (iOS-Version 7.1.2) bereits nach zwei Minuten abgeschlossen. Die Internetverbindung wurde per WLAN-Verbindung realisiert. Über einen Registrierungslink in der Access-Mail konnte die App sogleich gestartet, und die benötigten Daten (wie Server-URL, Benutzername und PIN-Nummer) in die jeweiligen Felder eingetragen werden. Somit war es in einem letzten Schritt nur noch nötig, das Kennwort für den entsprechenden AD-Benutzer händisch einzutippen. Dabei ist noch anzumerken, dass die AD-User im Vorfeld bereits an den Clients innerhalb des NT4ADMINS-Testnetzes angemeldet wurden. Ansonsten könnte es zu Problemen kommen, weil bei der ersten Anmeldung neu hinzugekommene User und deren Profil-Ordern erst angelegt wurden. Innerhalb der App ist die Bedienung selbsterklärend. Im Home-Bildschirm (Bild 11) der Access-App wählten die Systembetreuer beispielsweise den entsprechenden Netzwerk Ordner (in diesem Beispiel „access“). Danach war es den Systembetreuern möglich, auf den Profil Order des AD-Users zugreifen (Bild 12). Zusätzlich standen hier auch die Daten des Windows-7-Systems zur Verfügung.

Zudem handelte es sich bei den zugewiesenen Profil-Ordern um „Roaming-Profiles“, diese stehen im Gegensatz zu lokalen Benutzerprofilen an allen Systemen, an denen sich die betreffenden User anmelden, zur Verfügung. Dies wurde durch einen entsprechenden Eintrag in den Benutzereigenschaften realisiert (Bild 13). Im selben Fenster waren auch zusätzlich benutzerdefinierte Basisordner angelegt, beide Ordnerstrukturen wurden von den NT4ADMINS-Systembetreuer auf dem Access-Server gelegt, und von dort im Netzwerk freigegeben.

Die Installation des Desktop-Clients für Windows-Betriebssysteme gestaltete sich ebenfalls recht einfach. Nach dem Setup des Access-Clients mussten Server-URL und die jeweiligen Anmeldedaten eingegeben werden. Weiterhin wurde hier noch ein lokaler Ordner als Sync-Folder definiert (Bild 14).

Falls im Laufe der Zeit Mitarbeiter aus den Unternehmen ausscheiden, anderen Abteilungen zugeordnet werden oder ihre Geräte schlicht und ergreifend verloren haben, so müssen die Administratoren sicherstellen, dass sensible Informationen nicht von Dritten abgerufen werden können. Neben den schon angesprochenen Sicherheitsoptionen (Dateizugriff nur von zugelassenen Apps, Kennworteingabe zum Starten der Applikation) war es den Systembetreuern auch möglich einen Benutzer oder ein assoziiertes Mobilgerät zu entfernen beziehungsweise den Datenbestand von Access komplett zu löschen. Dabei bleiben die restlichen Daten auf den Mobilgeräten (Kontakte, persönliche Daten, Emails) unberührt. Die Löschfunktion bezog sich ausschließlich auf die Access-App und die damit verbundenen Daten.

Zusammenfassung

Acronis Access bietet mit seinen zahlreichen Funktionen, Sicherheitsrichtlinien, und Features wie der AD-Einbindung ein solides Produkt für den professionellen Unternehmenseinsatz. Daten können so zwischen einzelnen Mitarbeitern oder ganzen Abteilungen geteilt werden. Besonders die plattformübergreifende Struktur macht Access zu einen effizienten Werkzeug.  Auf diesem Weg lassen sich Synchronisierungen zwischen Smartphones oder Tablets (auf iOS- oder Android-Basis) mit Mobilgeräten wie Netbooks und Laptops, oder Desktop- und Workstations bis hin zu Serversystemen realisieren. Dank der Integration in das Active Directory sind die Systembetreuer nicht gezwungen, separate Listen mit Sicherheitsrichtlinien, Freigaben oder Benutzerrechten zu führen. Durch diese Integrationsmöglichkeiten bietet Access besonders in Windows-Server-Umgebungen eine hohe Funktionalität.

Allerdings ist es auch möglich, Access 7 losgelöst von einem Active Directory zu betreiben. Das macht diese Lösung zusätzlich für kleinere Firmen interessant, denn nicht jedes Unternehmen setzt auf eigene AD-Server. Zwar ist es in diesem Kontext möglich, Access auch auf einem Client-Betriebssystem wie etwa Windows 7 zu installieren, für Produktivumgebungen wird dies allerdings nicht unterstützt. Somit sind die Systembetreuer auf einen dedizierten physikalischen Server (Betriebssystem Windows Server 2003 SP2 oder höher) oder auf eine entsprechend konfigurierte virtuelle Maschine angewiesen. Für eine Hochverfügbarkeit sorgt die Unterstützung von (Hyper-V-) Clustersystemen. Hier ist es sicherlich sinnvoll, als Massenspeicher für die freizugebenen Daten, auf eine externe Datenquelle, wie etwa ein redundantes Speichersystem auf iSCSI-, FibreChannel- oder SAS-Basis, zurückzugreifen.

Acronis empfiehlt auf der Server-Seite den Einsatz von Windows Server 2008 R2 in der 64-Bit-Version oder sämtliche Varianten von Windows Server 2012. Sämtliche Varianten von Windows Server 2012 R2 werden unterstützt, allerdings (noch) nicht direkt empfohlen. Auf der Seite der Tablets und Smartphones unterstützt Access 7 viele aktuelle und ältere Geräte mit iOS, sämtliche Android-Smartphones und Tablets. Für die Desktop-App werden mindestens Windows XP oder höher vorausgesetzt, im Apple-Umfeld stehen alle Geräte auf der Kompatibilitätsliste, die mindestens MAC OS X 10.6.8 oder höher ausführen und kompatibel mit 64-Bit-Software sind. Für das browserbasierte Interface können Firefox (ab Version 6), Internet Explorer (ab Version 8), Google Chrome oder Safari (mindestens Version 5.1.10) zum Einsatz kommen. Momentan ist noch keine App für die Betriebssystemvarianten von Windows Mobile verfügbar, dies ist laut Acronis allerdings in Planung, der entsprechende „Beta-Test“ dazu ist bereits gestartet.

Der Preis für Acronis Access 7 (unbefristete Lizenz) richtet sich nach der Anzahl der Anwender. Die Preisspanne reicht dabei von 1090 Euro (netto) bei 25 User bis zu 2920 Euro (netto) bei 100 Anwendern. Die etwas umfangreicher Variante „Acronis Access Advanced 7“ zielt auf Enterprise-Unternehmen, während die (getestete) Basisversion „Acronis Access 7“ kleine und mittlere Unternehmen anspricht. Dabei ist noch anzumerken, dass jeweils ein Jahr kostenloser Support inklusive sind, und pro User-Lizenz bis zu drei Geräte unterstützt werden. Externe Mitarbeiter müssen dabei nicht unbedingt eine kostenpflichtige Lizenzierung vornehmen, allerdings wird dann die Access-App in ihren Funktionen beschnitten. Das bedeutet beispielsweise dass „Sync&Share“ nur eingeschränkt genutzt werden kann, diese Anwender erhalten nur Zugriff auf die zur Verfügung gestellten Projekte, nicht aber auf zusätzliche Ressourcen oder Datenquellen.

Florian Huttenloher

Lesen Sie auch