Johannes80 10 Geschrieben 17. August 2009 Melden Teilen Geschrieben 17. August 2009 Hallo Leute, hab noch immer ziemliche Probleme, Software per GPO zu verteilen. Hab das jetzt soweit eingegrenzt, das es sich auf ein DNS Problem zurückführen lässt. Und zwar möchte ich, mehrere Deploy-Server über den ganzen Konzern verstreut nutzen. Dafür gibt es in jeder DNS-Zone für den Deploy Server einen Alias Namen, wie man das halt so macht, wenn man mehrere Server mit der selben Funktion im Netz verteilt um den Traffic zu reduzieren. Wenn ich in der GPO beim Softwarepacket den realen Servernamen angebe ist alles gut, gebe ich den Aliasnamen an kann er das Softwarepacket nicht finden. Wie bekommt man sowas professionell hin? Warum ist das Windows zu **** den Alias Namen korrekt aufzulösen, als Benutzer funktionierts einwandfrei!? Bitte um ein paar Ideen, meine sind mir ausgegangen, und ja ich brauch diese Aliasnamen! lg. Johannes Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 17. August 2009 Melden Teilen Geschrieben 17. August 2009 Hallo Johannes, das Windows ist dafür nicht zu ****e;-). Das liegt an dem StrictNameChecking, was Du deaktivieren musst. Dann klappts auch mit dem Aliasnamen: Connecting to SMB share on a Windows 2000-based computer or a Windows Server 2003-based computer may not work with an alias name Allerdings solltest Du keinen Aliasnamen verwenden, sondern A Einträge. Dadurch kannst Du durch die Netzwerkmaskenanforderung des DNS Servers sicherstellen, dass der Client auf dem nächstgelegenen Server landet. Die Goldkörnchenlösung wäre allerdings DFS. Viel besser wäre es, wenn Du das gute Installpaket auf einen DFS Stamm legst. Dadurch musst Du Dir auch keine Gedanken um die Verteilung des Paketes auf den Servern zu machen. Viele Grüße Frank Zitieren Link zu diesem Kommentar
Johannes80 10 Geschrieben 17. August 2009 Autor Melden Teilen Geschrieben 17. August 2009 Ja, also die Registy Keys gegens StrictNameChecking hab ich natürlich schon vorher eingegeben. Geht trotzdem nicht! *grrr* DFS Geht nicht, weil ich nicht möchte das installationspackete über die Standoretverbindungen laufen ;-/ Ich glaub noch immer es liegt irgendwo an der Namensauflösung, wie kann ich das checken, hab bisher noch kein brauchbares Tool oder Log gefunden. lg. Johannes Zitieren Link zu diesem Kommentar
Johannes80 10 Geschrieben 18. August 2009 Autor Melden Teilen Geschrieben 18. August 2009 habs gelöst! :D Was mich nur ärgert, das die Lösung auf keiner Technet Seite von MS zu finden war! Das gibts doch nicht das diese Problem vor mir noch niemand hatte!? Und zwar, das mit dem DisableStrictNameChecking ist zwar gut aber nur die halbe Miete. Will man Software per GPO in der Comuterrichtlinie ausbringen, muss man zusätzlich noch einen Service Prinzipal Name für den Server anlegen! Warum das so ist, keine Ahnung, steht ja auch wieder mal nirgends *grrr* Dafür das Tool SETSPN verwenden. Setspn -a HOST/<Alias> <Hostname> dann klappt das einwandfrei. Hast das hier echt noch niemand verwendet? lg. Johannes Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. August 2009 Melden Teilen Geschrieben 18. August 2009 Hallo Johannes, Du findest den Hinweis zum Kerberos SPN bei MS überall dort, wo es Sinn macht einen SPN zu setzen. In Deinem Fall jedoch ist die von Frank vorgeschlagene DFSN-Lösung mit Sicherheit die sinnvollere und vorgesehene Lösung, nicht Dein "Workaround". Von daher finde ich es persönlich schon verständlich, daß Du nichts dazu findest - warum sollte MS (oder jemand anderes) nicht sinnvolle und fehlerträchtige Wege dokumentieren, wo es vorgesehene andere Wege gibt? ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.