Softwareverteilung für Notebook bei mehreren Standorten

[konus 10]

Hallo,

Wir haben in unserer Firma zwei Niederlassungen. In jeder Niederlassung gibt es einen W2k3-Server als DC. Beide Niederlassungen sind in der selben Domäne, die beiden Netze haben unterschiedliche Subnetze und sind über VPN-Wan verbunden.

 

Die Software wird bisher über Gruppenrichtlinien verteilt. Damit die Installationsdaten nicht über die langsame WAN-Leitung laufen, gibt es in der AD für jeden Standort eine OU(Ort), der eine ortsspezifische GPO zugeordnet ist, die jeweils auf den lokalen Fileserver verweist.

 

Nun habe ich einen Notebook-Benutzer, der in beiden Niederlassungen wechselseitig arbeitet. Ich hatte diesen zunächst einem Standort (A) zugewiesen und darauf gehofft, dass beim Login in Standort (B) keine Softwareinstallation durchgeführt wird und dazu auch den Schwellenwert für die Linkgeschwindigkeit angepasst. Ich vermute aber, dass bei der Prüfung auf eine langsame Verbindungsgeschwindigkeit die Geschwindigkeit zum Anmeldeserver und nicht zum Speicherort des Install-Paketes geprüft wird. Im Ergebnis versucht der Client jedenfalls nach dem Login in Standort B eine Softwareinstallation mit den Paketen von Standort A.

 

Meine nächste Überlegung war, die GPO nicht den OU(Ort) zuzuweisen, sondern die AD-Standorte zu verwenden. Ich gehe aber davon aus, dass dann der Client versucht, jede Softwarezuweisung doppelt, also einmal pro Niederlassung auszuführen. Das wäre auch schlecht.

 

Meine Frage ist nun, wie mit dem Problem umgehen? Gibt es ev. die Möglichkeit über einen WMI Filter abzufragen, wo der Client eingeloggt ist? Gibt es andere Tipps, wie die Softwareverwaltung mit Gruppenrichtlinien für Laptops gestaltet werden kann?

 

Danke Konus

[MichaStgt 10]

Meine nächste Überlegung war, die GPO nicht den OU(Ort) zuzuweisen, sondern die AD-Standorte zu verwenden. Ich gehe aber davon aus, dass dann der Client versucht, jede Softwarezuweisung doppelt, also einmal pro Niederlassung auszuführen. Das wäre auch schlecht.

 

 

Wenn du die GPO von der OU weg nimmst dann nicht.Warum sollte er auch?

Abarbeitung der Richtlinien ist: Lokal, Domain, Side, OU

 

Es gibt bestimmt die Möglichkeit über einen WMI Filter das ganze zu steuern. Dann benötigst du aber mehrere GPOs. In soeinem fall kannst gleich nen VBE script schreiben.

1. Prüfen ob Software installiert ist.

2. Welche IP? => gehe zu Share

3. Installation starten.

 

Mit MSI´s ist das recht stressfrei.(msiexec)

 

Gruß

 

Micha

[Sunny61 772]

Micha hat es ja schon angedeutet. Du hast pro Standort eine GPO erstellt, dann leg gleich einen WMI-Filter drauf, daß nur installiert werden darf, wenn die IP-Adresse auch aus dem Standort kommt. Für die Erstellung der WMI-Filter ist der WMI-Code Creator eine große Hilfe: http://www.microsoft.com/downloads/details.aspx?FamilyID=2cc30a64-ea15-4661-8da4-55bbc145c30e

[Stephan Betken 43]

Meine Frage ist nun, wie mit dem Problem umgehen? Gibt es ev. die Möglichkeit über einen WMI Filter abzufragen, wo der Client eingeloggt ist? Gibt es andere Tipps, wie die Softwareverwaltung mit Gruppenrichtlinien für Laptops gestaltet werden kann?

Ich sag mal DFS-N und DFS-R. Dann reicht auch ein GPO ohne WMI-Filter.

[olc 18]

Hi,

 

mit Standort Policies + WMI Filter hat man dann auch gleich 2 Dinge, die vom Design her nach Möglichkeit vermieden werden sollten - so zumindest meine Meinung, wenn es sich auch anders lösen ließe.

Sind die IP-Adressen des Clients denn "fest" oder werden diese per DHCP verteilt? Bei DHCP bekommt der Client eine "lokale" IP-Adresse und per DFS könnte er sich dann auf den lokalen Namespace verbinden.

 

Nur mal so als Idee...

 

[EDIT] Stephan war schneller. :) [/EDIT]

 

Viele Grüße

olc

[konus 10]

Erst einmal vielen Dank an alle für die vielen Antworten!

 

Wenn du die GPO von der OU weg nimmst dann nicht.Warum sollte er auch?

Abarbeitung der Richtlinien ist: Lokal, Domain, Side, OU

Wenn ich die GPO von der OU weg nehme, muss ich sie jeweils beiden Standorten zuweisen. Wenn der Client da vorbeikommt, denke ich dass er versuchen wird, die GPO anzuwenden, egal ob vorher schon von einer anderen GPO installiert oder nicht?

 

Micha hat es ja schon angedeutet. Du hast pro Standort eine GPO erstellt, dann leg gleich einen WMI-Filter drauf, daß nur installiert werden darf

Das habe ich mal gemacht und es scheint zu funktionieren:

SELECT * FROM Win32_NetworkAdapterConfiguration WHERE DHCPServer = '192.168.10.10'

prüft, ob der Client am richtigen DHCP-Server hängt und sperrt ggf. die Ausführung der GPO.

 

Ich sag mal DFS-N und DFS-R. Dann reicht auch ein GPO ohne WMI-Filter.

Das klingt einfacher und übersichtlicher, aber welchen Aufwand handle ich mir mit DFS ein? Gibt es die Möglichkeit, die Replikation zeitlich zu begrenzen (ich glaube nein) bzw. wie gut ist Bandbreitenmanagement?

 

... Sind die IP-Adressen des Clients denn "fest" oder werden diese per DHCP verteilt?

Die Clients holen sich die IP-Adresse über DHCP.

 

Ich hatte inzwischen noch die Idee für das MSI-Paket keinen absoluten Pfad auf den Server zu verwenden, sondern die Variable %logonserver%.

Leider wird die Variable bei der Eingabe im Gruppenrichtlinieneditor sofort wieder in den Servernamen umgesetzt. Die einzige Möglichkeit, eine Variable dort hinein zu bekommen scheint mir das nachträgliche Editieren der Pfadangabe direkt in der AD-Datenbank mit ADSI Edit aus den Support Tools. Ich habe es gerade mal ausprobiert, das Paket wird auch installiert, allerdings ist die Vorgehensweise so umständlich und fehleranfällig, dass sie wohl nicht für den täglichen Einsatz geeignet ist.

 

Insgesamt gibt es also vier Lösungsansätze. Die beiden Varianten "Verknüpfung der GPO mit dem Standort" und "Pfade mit Variablen" fallen aufgrund der o.g. Nachteile raus. Es bleiben also die beiden Lösungen "GPO mit Pfad auf DFS" und "zwei GPO und MSI-Filter". Wie würdet Ihr entscheiden?

[NorbertFe 1.798]

Wenn du die GPO von der OU weg nimmst dann nicht.Warum sollte er auch?

Abarbeitung der Richtlinien ist: Lokal, Domain, Side, OU

 

Nö. Local, Site, Domain, OU, Sub-OU.

 

Bye

Norbert

[NorbertFe 1.798]

Das klingt einfacher und übersichtlicher, aber welchen Aufwand handle ich mir mit DFS ein? Gibt es die Möglichkeit, die Replikation zeitlich zu begrenzen (ich glaube nein) bzw. wie gut ist Bandbreitenmanagement?

 

Na wenn du das glaubst, wirds wohl stimmen. :rolleyes:

 

Ich hatte inzwischen noch die Idee für das MSI-Paket keinen absoluten Pfad auf den Server zu verwenden, sondern die Variable %logonserver%.

 

Echt? Na du bist bestimmt mit ihm hier verwandt.

https://www.mcseboard.de/active-directory-forum-79/gpo-software-bereitstellen-logonserver-162649.html

 

Bye

Norbert

[konus 10]

Na wenn du das glaubst, wirds wohl stimmen. :rolleyes:

Das war eine Frage, da ich per Suche nichts dazu gefunden habe.

 

Echt? Na du bist bestimmt mit ihm hier verwandt.

https://www.mcseboard.de/active-directory-forum-79/gpo-software-bereitstellen-logonserver-162649.html

Das ist mir jetzt peinlich.

Nein, nicht das vermutete Verwandschaftsverhältnis, sondern dass ich dazu Beitrage, dass die Fragen hier im Wochentakt wiederholt wird. Verzeihung!

 

Also, ich mach mich dann mal auf die Suche nach Literatur zum Thema DFS...

 

Gruß Konus

[MichaStgt 10]

Nö. Local, Site, Domain, OU, Sub-OU.

 

Bye

Norbert

 

Ja und die Sub-OU darunter, und die darunter,und wenn es keine gibt, dann doch nur OU :cool:

[NorbertFe 1.798]

Ja und die Sub-OU darunter, und die darunter,und wenn es keine gibt, dann doch nur OU :cool:

 

Es ging um die Site GPO, die bei dir an der falschen Stelle stand. :rolleyes:

 

Bye

Norbert

[Sunny61 772]

Das habe ich mal gemacht und es scheint zu funktionieren:

SELECT * FROM Win32_NetworkAdapterConfiguration WHERE DHCPServer = '192.168.10.10'

prüft, ob der Client am richtigen DHCP-Server hängt und sperrt ggf. die Ausführung der GPO.

 

Hmm, ich würde nicht auf den DHCP-Server prüfen, sondern auf die IP-Adresse vom Client.

[Stephan Betken 43]

Wie würdet ihr entscheiden?

Ich wäre für DFS (olc auch, wenn ich ihn richtig verstanden habe).

Zum Thema DFS-N/DFS-R hat olc einen guten Artikel verfasst, der auch auf Replikationszeiten und Bandbreiteneinstellungen eingeht.

 

Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de

[konus 10]

Hmm, ich würde nicht auf den DHCP-Server prüfen, sondern auf die IP-Adresse vom Client.

Kannst Du mir sagen, wie die Abfrage heißen muss, wenn der Client mehrere Netzwerkkarten hat (LAN, WLAN, ev. VMware)?

 

Ich wäre für DFS (olc auch, wenn ich ihn richtig verstanden habe).

Zum Thema DFS-N/DFS-R hat olc einen guten Artikel verfasst, der auch auf Replikationszeiten und Bandbreiteneinstellungen eingeht.

 

Windows Server How-To Guides: Planung, Installation und Konfiguration des Distributed File System (DFS) unter Windows Server 2003 R2 - ServerHowTo.de

Das umfangreiche How-To hatte ich bereits gefunden. Ich denke, so werde ich es machen, muss nur noch abprüfen, ob mein Virenscanner (Kaspersky) damit umgehen kann.

 

Trotzdem vielen Dank für den Tipp!

[Sunny61 772]

Kannst Du mir sagen, wie die Abfrage heißen muss, wenn der Client mehrere Netzwerkkarten hat (LAN, WLAN, ev. VMware)?

 

Hmm, ich meine mit IPENABLED = TRUE schon was gelesen zu haben. Ach ja, hier ist was: WMI Tasks: Networking (Windows)