NWC Services Blog
Um die Client-Server Kommunikation zu verschlüsseln, gibt es die Möglichkeit, die DSM Webservices (Client Webservice / Admin Webservice) über HTTPs laufen zu lassen.
Um die HTTP/HTTPs Funktionalität nutzen zu können, benötigen Sie zwingend die „DMZ Management Pack“ Lizenz.
Zusätzlich wird ein SSL Zertifikat benötigt. Dieses können Sie durch eine eigene CA erstellen lassen oder von einer der bekannten Zertifizierungsstellen kaufen.
Allgemein
Unter Windows XP mussten Anwendungen, die während der Laufzeit auf Windows Systemordner oder auf die LOCAL_MACHINE/Software-Bereiche der Registry schreibend zugegriffen haben, mit administrativen Rechten laufen. Alternativ musste der Zugriff auf den entsprechenden Ordner (meist der Programmordner) oder Registrykey mit schreibenden Rechten für die User ausgestattet werden.
In Windows 7 (streng genommen seit Windows Vista) existiert nun die Datei- und Registry Virtualisierung, die es ermöglicht auch solche schlecht programmierten Anwendungen (also Anwendungen die sich nicht nach MS-Entwicklungsrichtlinien richten) ohne Eingriff in die Berechtigungsverwaltung ans Laufen zu bringen. Realisiert wird dies über den Kernel-Mode Treiber luafv.sys.
In NetInstall 5.x war es durchaus üblich, eine Site zu definieren die immer am Ende der Infrastruktur stand (z.B. durch den Namen zzAusfallsite) und diese mit einer * - Definition zu versehen. Dadurch konnten alle Clients, die sich keiner Site zuordnen können, die aktuelle NCP vom Orgmaster holen. Speziell bei grösseren Umstrukturierungsmassnahmen war man auf diesem Wege immer sicher, dass die Clients bei einem versehentlichen Ausschluss immer wieder eine neue NCP ziehen konnten und somit zurück in die Sitestruktur fanden.
Nach dem Dokument zur Paket-Anforderung und den Paketierungschecklisten folgt nun das dritte Dokument in der Reihe der Packaging.Docs: Das Package Approval. Nachdem das die Applikation nun fertig für die Freigabe ist, muss eine inhaltliche Prüfung des Dokumentes erfolgen. Der Paketierer kann allzu häufig leider nicht sagen, ob die Anwendung jetzt korrekt paketiert ist oder nicht. Aus diesem Grund wird das Paket nun die Prozedur der Fachabnahme überführt. Diese Fachabnahme kann durch völlig verschiedene Personen erfolgen. Das kann der Endanwender sein der die Anwendung letztendlich nutzen soll, oder es kann sich um den Entwickler der Anwendung (oder einer abhängigen Anwendung) handeln, oder den IT-Verantwortlichen der Anwendung. Bei sehr grossen Projekten (SAP GUI) kann die Rolle der Fachabnahme auch auf mehrere Personen verteilt sein. Bei all diesen Personen ist das subjekte Empfinden über die Aussage "die Anwendung funktioniert" sicherlich völlig unterschiedlich. Abhilfe soll hier das Package Approval Document schaffen.
Es werden alle wichtigen Daten über die Anwendung abgefragt und darüber sichergestellt, dass die Testperson in einer Umgebung arbeitet, die dem tatsächlichen Einsatzort bestmöglich nachempfunden ist. Wie auch schon zuvor, wurde darauf geachtet, das eine weniger technisch versierte Person den WOrtlaut des Dokumentes versteht und in der Lage ist, ein Maximum der Informationen zu hinterlegen. Letztendlich wird über dieses Dokument am Schluss die Abnahme erteilt, worauf die Anwendung nun in den Rollout übergeben werden kann.
Als Viewer empfehle ich einen alternativen freien PDF Reader, da der Adobe Reader nicht in der Lage ist, ein PDF Formular inklusive seiner Formularinhalte zu speichern (Adobe setzt hier die Nutzung der kostenpflichtigen Vollversion voraus). Persönlich habe ich sehr gute Erfahrungen mit dem Foxit Reader gemacht.
Änderungswünsche, Positive Kritik aber auch Auswirkungen beim Einsatz dieser Liste sind mir immer als Anhang an diesem Blogeintrag oder als Mail sehr willkommen. Neuere Versionen werden ebenfalls in Rahmen dieses Blogeintrags veröffentlicht.
Die Liste als PDF kann im Donwload-Bereich unter PDF-Pool -> Services -> Paketabnahme heruntergeladen werden. Eine Anmeldung ist notwendig.
In speziellen Situationen kann es vorkommen, dass der Stand des Metadatencaches auf den Clients nicht mehr zu dem Stand der Informationen in der DSM Datenbank passt (z.B. beim Reciver eines Backups). Um dieses Problem zu lösen, müssen 2 Dinge durchgeführt werden:
- Die CMDB-Guid in der Tabelle CMSY_LOCALCONFIG in der Datenbank wird verändert.
- Ab diesem Schritt kann kein Client mehr mit der DB syncen. Um dann die Clients zu zwingen, Ihren Cache zu erneuern, wird der folgende Registrykey Clientseitig eingetragen:
HKEY_LOCAL_MACHINE\SOFTWARE\NetSupport\NetInstall\CMDBCache
CacheReset [DWORD] = 1
Der Wert wird nach dem Beenden und erneuten Starten des Core Dienstes automatisch wieder auf „0“ gesetzt. Die Schwierigkeit ist natürlich, diesen Registrykey bei einer deaktivierten Softwareverteilung auf die Clients zu bringen. Da ein Logon Script aufgrund fehlender Berechtigungen ausfällt, empfehle ich den Einsatz einer Startup GPO.
Oft bringen virtuelle Devices (wie z.B. Slysoft Clone Drive), manchmal aber auch grosse Hardwarehersteller einen Treiber mit, der so erst einmal nicht auf einem Windows 7 System installiert werden kann, da das verwendnete Zertifikat nicht bekannt ist. Um hier Abhilfe zu schaffen, kann dass im Treiber enthaltende Zertifikat in die lokalen Trusted Publisher eingetragen werden und anschliessend erst die Installation der eigentlich Software/Treiber gestarten werden. Um an das Zertifikat zu kommen und dieses silent auf das System zu bringen, sind folgende Schritte durchzuführen:
Ab und wann entsteht mal die Situation, dass die NCP Dateien der NI/enteo/DSM Infrastruktur auf allen Clients aktualisiert werden muss. Dieser Fall kann beispielsweise durch eine falsche Konfigurationseinstellung, falsch konfigurierte Virenscanner, Festplatten-/ Verschluesselung oder Komprimierung entstehen.
Wie viele andere meiner Kunden, würde auch ich gerne die DSM Eigenschaft "CurrentComputer.Computer.ComuterType" dafür nutzen, verschiedene Zuweisungen (wie z.B. VPN Client) zu steuern. Leider gibt es mit dieser Eigenschaft verschiedene Probleme, die eine sinnvolle Nutzung verhindern:
- Einmal gesetzte Computertypen werden i.d.R. nicht wieder verändert.
- Nicht alle virtualisierten Systeme werden als solche erkannt.
- Blades & Server werden zumeist gar nicht als solche erkannt.
- Ein Server kann auch gleichzeitig ein virtuelles System sein.
Mit DSM 7 haben auch die ODS Variablen Ihren Einstand gefeiert. Diese sind, im Gegensatz zu den benutzerdefinierten Variablen, nicht mehr siteabhängig, sondern hängen direkt am Client, egal wo dieser sich befindet.
Ein Vorteil gegenüber einer Schemaerweiterung ist die Vererbung. Ein gesetzter Wert wird von jeder Ebene aus nach unten weiter vererbt. Diesen Vorteil kann man sich beim JoinDomain zu Nutze machen.
Da Clients z.B. je nach Standort oder Typ im AD in unterschiedlichen OU´s verwaltet werden, benötigt man auch in der unattend.xml unterschiedliche LDAP Pfade.
Oft werden Pakete in die Paketierung gegeben, für die der Paketierer weder technisches noch fachliches KnowHow besitzt. Um die Paketierungszeit auf ein möglichstes zu verringern, wird speziell in grösseren Unternehmen eine fachlich verantwortliche Person definiert, die dafür zuständig ist, die Anwendung im Unternehmen zu betreuen (2nd/3th-Level Support).
Diese fachlich verantwortliche Personen sind Experten in dem Bereich der Anwendung. Sie kennen die grundsätzliche Konfiguration der Anwendungen, die verwendeten Backendserver und welche Unternehmensbezogenen Erweiterungen notwendig sind.