Zum 23.08.2023 ist die NWC Services GmbH zur CANCOM GmbH geworden. Besuchen Sie uns gerne auf www.cancom.de
Toggle Bar

BLOG

BLOGGING CONSULTANTS

NWC Services Blog

Blogs von Consultants der NWC Services GmbH

Clientseitige Voraussetzungen in DSM

Bei der Paketierung in DSM gibt es ja verschiedene Möglichkeiten, dafür zu sorgen, dass Pakete nur unter bestimmten Bedingungen und Voraussetzungen auf den gemanagten Clients installiert werden. Zu nennen wären hier (ohne Anspruch auf Vollständigkeit):

  • unterstützte Plattformen
  • serverseitige Voraussetzungen
  • clientseitige Voraussetzungen
  • Bedingungen für vorhandene Installationen

Die Bedingungen für unterstützte Plattformen sollten klar sein: es werden nur für die Policy-Ziele auch Policy-Instanzen erzeugt, die eine der von dem Paket unterstützten Plattformen verwenden. Ebenso verhält es sich mit serverseitigen Voraussetzungen, auch hier wird eine Policy-Instanz nur dann erzeugt, wenn der Business Logic Server erkennt, dass die angegebenen Voraussetzungen von einem Policy-Ziel erfüllt sind.

Anders verhält es sich jedoch bei clientseitigen Voraussetzungen: für die Policy-Ziele werden auf jeden Fall Policy-Instanzen erzeugt (sofern die Plattform-Einstellungen und serverseitigen Voraussetzungen dem nicht widersprechen). Da DSM aber nicht alle erdenklichen Zustände über die verwalteten Clients in seiner Datenbank speichern kann, werden solche clientseitigen Voraussetzungen erst zur Laufzeit auf den Endgeräten geprüft und dann entschieden, ob die Installation ausgeführt wird oder nicht.

Ein naheliegender Anwendungsfall für die Verwendung von clientseitigen Voraussetzungen ist daher beispielsweise die Prüfung, ob genug freier Speicherplatz für die Installation eines Pakets zur Verfügung steht oder ob die Installation durch die Existenz eines Flags in der Registry oder im Dateisystem erlaubt ist. Bei diesem Vorgehen lauert jedoch "eine böse Falle"...

Weiterlesen
  9640 Aufrufe

Tempverzeichnis des Patch Management Dienstes verlegen

Während des Imports von Patches lädt der Patch Management Dienst die Patches herunter und entpackt diese in den temporärer Ordner "SPDTemp". Dieses Verzeichnis liegt standardmäßig im Verzeichnis "%CommonProgramFiles%\enteo", welches über die Infrastruktureinstellung "Directory on the computer for runtime data" (Site Einstellung) konfigurierbar ist.

Weiterlesen
  9543 Aufrufe

Bemessung der CPUs auf dem BLS

 

Immer wieder werden im Projekt heftige Dikussion um die CPU Bestückung des BLS geführt. Bei einem Blick in den Taskmanager zeigt dieser auf dem BLS oft nur eine Auslastung unter 50% an, was zu der Annahme verleitet, dass keine weiteren CPUs für den BLS mehr notwendig sind. Allerdings ist die Aussage des Taskmanager völlig unbrauchbar, das nicht die aktuelle Auslastung der CPU, sondern die Warteschlange vor der CPU den entscheidenen Messwert darstellt.

 

Weiterlesen
  4896 Aufrufe

Runtime Service als Local SYSTEM Konto

Seit DSM 7.1 gibt es die Möglichkeit, den Runtime im Context des SYSTEM Users laufen zu lassen. Dies hat folgende Vorteile:

  • Lokale Admins werden verringert
    Die Konfiguration eines Runtime Users kann komplett entfallen. Dies muss allerdings bei einer DSM 7.1 Neu-Installation nachträglich erfolgen, der Installations-Wizard ist noch nicht darauf angepasst.
     
  • Mangement von Konfiguration auf die nur SYSTEM zugreifen darf
    Beispiel: Der Microsoft Forefront Client sollen nicht via GPO konfiguriert werden, sondern Ihre Settings via DSM Paket erhalten. In diesem Fall müssen die Exclusions unter "HKLMSoftwareMicrosoftMicrosoft ForefrontClient Security1.0AMExclusions" gepflegt werden. Auf diesen Registry Zweig hat aber nur SYSTEM Schreibzugriff. Auch ein vorhergehender "ChangeRegSecurity" hilft da nicht weiter, um dem Runtime Dienst Zugriff zu geben. 
     
  • Management von Domain Controllern
    Wird ein Domain Controller mit einem DSM Client versehen, wurde der assoziierte User immer automatisch zum Domain Admin.

Soll dieses Feature eingesetzt werden, müssen folgende Dinge beachtet werden:

Weiterlesen
  11648 Aufrufe

DSM 7 und die Ausfallsite

In NetInstall 5.x war es durchaus üblich, eine Site zu definieren die immer am Ende der Infrastruktur stand (z.B. durch den Namen zzAusfallsite) und diese mit einer * - Definition zu versehen. Dadurch konnten alle Clients, die sich keiner Site zuordnen können, die aktuelle NCP vom Orgmaster holen. Speziell bei grösseren Umstrukturierungsmassnahmen war man auf diesem Wege immer sicher, dass die Clients bei einem versehentlichen Ausschluss immer wieder eine neue NCP ziehen konnten und somit zurück in die Sitestruktur fanden.

Weiterlesen
  9703 Aufrufe

Reinitialisieren des DSM Metadaten Caches

In speziellen Situationen kann es vorkommen, dass der Stand des Metadatencaches auf den Clients nicht mehr zu dem Stand der Informationen in der DSM Datenbank passt (z.B. beim Reciver eines Backups). Um dieses Problem zu lösen, müssen 2 Dinge durchgeführt werden:

  1. Die CMDB-Guid in der Tabelle CMSY_LOCALCONFIG in der Datenbank wird verändert.
  2. Ab diesem Schritt kann kein Client mehr mit der DB syncen. Um dann die Clients zu zwingen, Ihren Cache zu erneuern, wird der folgende Registrykey Clientseitig eingetragen:

HKEY_LOCAL_MACHINE\SOFTWARE\NetSupport\NetInstall\CMDBCache

CacheReset [DWORD] = 1

Der Wert wird nach dem Beenden und erneuten Starten des Core Dienstes automatisch wieder auf „0“ gesetzt. Die Schwierigkeit ist natürlich, diesen Registrykey bei einer deaktivierten Softwareverteilung auf die Clients zu bringen. Da ein Logon Script aufgrund fehlender Berechtigungen ausfällt, empfehle ich den Einsatz einer Startup GPO.

Weiterlesen
  8918 Aufrufe

NCP/ICDB via GPO aktualisieren

Ab und wann entsteht mal die Situation, dass die NCP Dateien der NI/enteo/DSM Infrastruktur auf allen Clients aktualisiert werden muss. Dieser Fall kann beispielsweise durch eine falsche Konfigurationseinstellung, falsch konfigurierte Virenscanner, Festplatten-/ Verschluesselung oder Komprimierung entstehen.

Weiterlesen
  10330 Aufrufe

Computertyp in DSM

 

Wie viele andere meiner Kunden, würde auch ich gerne die DSM Eigenschaft "CurrentComputer.Computer.ComuterType" dafür nutzen, verschiedene Zuweisungen (wie z.B. VPN Client) zu steuern. Leider gibt es mit dieser Eigenschaft verschiedene Probleme, die eine sinnvolle Nutzung verhindern:

  • Einmal gesetzte Computertypen werden i.d.R. nicht wieder verändert.
  • Nicht alle virtualisierten Systeme werden als solche erkannt.
  • Blades & Server werden zumeist gar nicht als solche erkannt.
  • Ein Server kann auch gleichzeitig ein virtuelles System sein.

Weiterlesen
  9292 Aufrufe

HTTP-basierte Verbindungen zwischen 2 Depots

Grundsätzlich ist die Aussage von FrontRange, dass sowohl die Distribution als auch die Softwareverteilung zum Client über http implementiert ist.

Diese Aussage stimmt zwar grundsätzlich, allerdings gibt es einige Stolpersteine, die einem die Einrichtung eines Depots in diesem Szenario zum persönlichen Jakobs-Weg machen. Daher nun folgend eine kleine Schritt-für-Schritt Anleitung als Abkürzung.

Hinweis: dieser Artikel setzt tiefgehende Kenntnisse über die DSM Infrastruktur, die Distribution, IP und DNS voraus. Sollten Sie unsicher in einem dieser Bereiche sein, nutzen Sie bitte die Unterstützung eines Consultants. 

Zielsetzung

Grundsätzliches Ziel dieses Artikels ist der Aufbau eines Depots in einer Außenstelle, das per Pull-Distribution über einen http-Port mit einem zentralen Depot abgeglichen wird. SMB ist dabei zwischen den beiden Lokationen nicht verfügbar.

Weiterlesen
  12166 Aufrufe

Beschleunigen der Enteo / DSM Konsole

Vor kurzem habe ich bei einem findigen Kunden gesehen, wie er den Konsolenschalter "/ALS" dafür genutzt hat, den Start der Konsole deutlich zu beschleunigen - dieser (undokumentierte) Schalter steht für "Allow  Local Start". Kurzum procmon zur Hand genommen und ein kleines Batchfile geschrieben, das die wichtigsten Daten der Konsole auf die lokale Festplatte kopiert und die eMMC (oder eben DSMC) ausführt.

Weiterlesen
  16274 Aufrufe