NWC Services Blog
Mit DSM 2014 wurden erstmals die Begriffe "Patch Kategorien" und "Patch Rollout Rules" eingeführt. Um diese neuen Konzepte zu verstehen, ist ersteinmal einiges herumprobieren notwendig. Der folgende Designvorschlag soll den Einstieg in dieses mittlerweile komplexe Thema erleichtern. Es wird folgend ausschliesslich auf die Konfiguration dieser neuen Features eingegangen. Für die vollständige Konfiguration von APM im jeweiligen DSM Umfeld müssen noch diverse weitere Dinge (Installationsreihenfolge von Patchen in Bezug auf Softwarepakete, Definition der Patchziele, Rolloutzyklen, Zusammenarbeit mit WSUS, etc.) betrachtet werden.
Ein Kunde von uns hatte die Anforderung, dass die Patches von Microsoft im späteren Workflow anders behandelt werden sollten als die Patches von Drittanbietern. Vereinfacht dargestellt sollten erstere auf eine Gruppe und die der Drittanbieter auf eine andere Computergruppe zugewiesen werden.
Der Patch Management Dienst ist so konfiguriert, dass alle Patches einer statischen Computergruppe namens "DownloadOnly" zugewiesen werden, die allerdings keine Computer enthält. Von da aus werden sie mittels Targetlistenerweiterung weiter an die Gruppen "Microsoft" bzw. "ThirdParty" verteilt.
Die Pilotgruppen sind hier ausser acht gelassen, es geht um die grundsätzliche Logik.
Während des Imports von Patches lädt der Patch Management Dienst die Patches herunter und entpackt diese in den temporärer Ordner "SPDTemp". Dieses Verzeichnis liegt standardmäßig im Verzeichnis "%CommonProgramFiles%\enteo", welches über die Infrastruktureinstellung "Directory on the computer for runtime data" (Site Einstellung) konfigurierbar ist.
In den letzten Jahren habe ich sehr viele kundenspezifische Programme entwickelt, die über die SOAP Schnittstelle auf die DSM-Umgebung zugreifen. Es handelte sich dabei vielfach um Windows Dienste, die spezielle Aufgaben durchführten. Dazu zählten unter anderem:
- ein Abgleich der Computerkonten zwischen Active Directory, DSM und Discovery
- ein Patch Management Prozess, bei dem Policies nach einem Regelwerk verschoben / erweitert werden
- Policyinstanzen, die nicht compliant sind auf "Reinstallation" zu setzen und ggf. noch auf den Stand der Policy bringen
- und viele verschiedene mehr.
Darüber hinaus habe ich auch reine Kommandozeilenprogramme entwickelt, die z.B. Computerobjekte anlegen, Gruppenmitgliedschaften und Policies verwalten sowie andere DSM Verwaltungsaufgaben durchführen. Bei allen Entwicklungen ging es entweder um die Integration der Aufgabe in bestehende / neue Prozesse oder um die Automatisierung von Standardaufgaben.
Alle Programme wurden in C# mit Visual Studio als Entwicklungsumgebung erstellt.
Seit gut einem Monat bin ich Senior Consultant im Team der NWC Services GmbH und habe die PowerShell Extensions für DSM 7 (PSX) (https://www.nwc-services.de/produkte/psx) kennen gelernt, die viele unserer Kunden einsetzen. Mittlerweile sind die PSX zum Standard geworden, wenn Anforderungen, wie sie oben genannt sind, umgesetzt werden sollen. Aber was sind die Gründe dafür?
Anfang des Jahres hat Immidio sein neues Helpdesk Support Tool released, was es ausgwählten Administratoren ermöglicht, Benutzereinstellungen wieder auf einen definierten Stand zurückzusetzen. Dieses Szenario ist eine immer wiederkehrende Anforderungen im täglichen Betrieb. Werden Benutzereinstellungen durch Störungen in der Infrastruktur oder durch falsche Bedienung durch den Benutzer selber zerstört, müssen diese komfortabel wieder hergestellt werden. Zwar existiert dazu das Flex+ Selfservice Tool, erfordert aber einen interaktiven Eingriff durch den Benutzer und somit auch mindestens eine angemeldete Benutzersession.
SSON an einer Webite (Receiver for Web) funktioniert nicht mehr. Sobald man SSON als einzige Authentifizierungsmethode aktiviert, meldet Storefront "kein Zugriff möglich". Demnach widmet sich dieser Artikel ausschließlich SSON in Verbindung mit einer Service Site (Store).
Bei XenDesktop 4 und Metaframe XP SP2 FR1 bis XenApp 6.5 gab es außerhalb der Citrix Richtlinien die Möglichkeit, den XML Port mit dem Befehl ctxxmlss /R<port> zu wechseln. Überprüfen konnte man dies in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CtxHttp.
Diesen Befehl gibt es bei XenDesktop 5.x und XenDesktop 7.x nicht mehr, aber nach wie vor die Möglichkeit dies einzustellen und zu überprüfen.
Microsoft hat das Verhalten der UAC in Windows Server 2012 verändert. Um die UAC komplett zu deaktivieren, sind jetzt zwei Schritte erforderlich. Als erstes wird wie bereits bei Windows Server 2008 R2 die Benachrichtigungsstufe über die Systemsteuerung heruntergesetzt.
Nach einem Neustart arbeiten Administratoren jedoch nach wie vor Genehmigungsmodus. Anwendungen müssen also explizit „als Administrator“ ausgeführt werden, um wirklich mit administrativen Rechten zu arbeiten zu können.
Wenn sich der erste User an einem frisch installierten Windows 8 Client anmeldet, läuft erstmal eine langwierige Startanimation. Hierbei werden ein paar neue Funktionen von Windows 8 in einem Tutorial erklärt. Diese mag für den ein oder andere Privat PC „ganz nett“ sein, kann jedoch im Firmenumfeld eher nerven, da das Tutorial für jeden User angezeigt wird. Auch wenn ein Profil gelöscht wird.
Sollte man sich entscheiden diese „Funktion“ zu deaktivieren, gibt es zwei Möglichkeiten.
Entweder über eine GPO oder über die Registry. Für die GPO werden die Windows 8 / Server 2012 ADM Templates benötigt.
Der Service Installer in DSM wird eingesetzt, um Software im Hintergrund zu installieren.
Viele Kunden stört es, dass der End User dabei nicht sehen kann, was auf seinem Rechner installiert wird.
Eine Möglichkeit wäre jetzt natürlich, Pakete nur noch durch den AutoInstaller ausführen zu lassen.
Die Idee sollte jedoch schnell wieder verworfen werden, wenn Clients auch ohne angemeldeten Benutzer verwaltet werden sollen. Dies ist ausschließlich über den Service Installer möglich. Out of the Box könnte man sich die Balloon Tips zu Nutze machen. Allerdings zeigen die nur an, wenn der Service Installer gestartet wird und falls ein Paket fehlschlägt.
Vielleicht also auch nicht die charmanteste Lösung. Zum Glück bietet DSM 7.2 einige tolle Möglichkeiten um sich eigene Benachrichtigungen zu bauen.