6
Eine Domäne, zwei Standorte, Softwareverteilung über GPO bei Notebooks
Hallo,
ich habe eine Frage zur Softwareverteilung auf Notebooks die an mehreren AD-Standorten verwendet werden.
Wir haben in unsererer Firma zwei Niederlassungen. In jeder Niederlassung gibt es einen W2k3-Server als DC. Beide Niederlassungen sind in der selben Domäne, die beiden Netze haben unterschiedliche Subnetze und sind über VPN-Wan verbunden.
Die Software wird bisher über Gruppenrichtlinien verteilt. Damit die Installationsdaten nicht über die langsame WAN-Leitung laufen, gibt es in der AD für jeden Standort eine OU(Ort), der eine ortsspezifische GPO zugeordnet ist, die jeweils auf den lokalen Fileserver verweist.
Nun habe ich einen Notebook-B enutzer, der in beiden Niederlassungen wechselseitig arbeitet. Ich hatte diesen zunächst einem Standort (A) zugewiesen und darauf gehofft, dass beim Login in Standort (B) keine Softwareinstallation durchgeführt wird. Leider funktioniert die Erkennung einer langsamen Verbindungsgeschwindigkeit wohl nur, wenn kein eigener Anmeldeserver im Netz steht. Im Ergebnis versucht der Client nach dem Login in Standort B eine Softwareinstallation mit den Paketen von Standort A.
Meine nächste Überlegung war, die GPO nicht den OU(Ort) zuzuweisen, sondern die AD-Standorte zu verwenden. Ich gehe aber davon aus, dass dann der Client versucht, jede Softwarezuweisung doppelt, also einmal pro Niederlassung auszuführen. Das wäre auch schlecht.
Meine Frage ist nun, wie mit dem Problem umgehen? Gibt es ev. die Möglichkeit über einen WMI Filter abzufragen, wo der Client eingeloggt ist? Gibt es andere Tipps, wie die Softwareverwaltung mit Gruppenrichtlinien für Laptops gestaltet werden kann?
Danke Konus
ich habe eine Frage zur Softwareverteilung auf Notebooks die an mehreren AD-Standorten verwendet werden.
Wir haben in unsererer Firma zwei Niederlassungen. In jeder Niederlassung gibt es einen W2k3-Server als DC. Beide Niederlassungen sind in der selben Domäne, die beiden Netze haben unterschiedliche Subnetze und sind über VPN-Wan verbunden.
Die Software wird bisher über Gruppenrichtlinien verteilt. Damit die Installationsdaten nicht über die langsame WAN-Leitung laufen, gibt es in der AD für jeden Standort eine OU(Ort), der eine ortsspezifische GPO zugeordnet ist, die jeweils auf den lokalen Fileserver verweist.
Nun habe ich einen Notebook-B enutzer, der in beiden Niederlassungen wechselseitig arbeitet. Ich hatte diesen zunächst einem Standort (A) zugewiesen und darauf gehofft, dass beim Login in Standort (B) keine Softwareinstallation durchgeführt wird. Leider funktioniert die Erkennung einer langsamen Verbindungsgeschwindigkeit wohl nur, wenn kein eigener Anmeldeserver im Netz steht. Im Ergebnis versucht der Client nach dem Login in Standort B eine Softwareinstallation mit den Paketen von Standort A.
Meine nächste Überlegung war, die GPO nicht den OU(Ort) zuzuweisen, sondern die AD-Standorte zu verwenden. Ich gehe aber davon aus, dass dann der Client versucht, jede Softwarezuweisung doppelt, also einmal pro Niederlassung auszuführen. Das wäre auch schlecht.
Meine Frage ist nun, wie mit dem Problem umgehen? Gibt es ev. die Möglichkeit über einen WMI Filter abzufragen, wo der Client eingeloggt ist? Gibt es andere Tipps, wie die Softwareverwaltung mit Gruppenrichtlinien für Laptops gestaltet werden kann?
Danke Konus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137317
Url: https://administrator.de/contentid/137317
Ausgedruckt am: 26.11.2024 um 17:11 Uhr
6 Kommentare
Neuester Kommentar
Das Problem ist einfach zu lösen. MSI-Installationen laufen nicht, wenn die Verbindung als langsam erkannt wird. Dieses "langsam" ist konfigurierbar. google nach "slow link detection". Edit: Du hattest den selben Gedanken, aber ist die Geschwindigkeit auch angepasst worden? Default ist: alles was schneller als 500 Kilobit/s ist, wird als schnell angesehen - nicht mehr ganz zeitgemäß.
Ich habe den Schwellenwert angepasst, konnte aber aus der Ferne leider keine vollständige Testserie fahren, ohne den Benutzer dauerhaft vom Arbeiten abzuhalten.
Aber ist es nicht so, dass beim Test der Verbindungsgeschwindigkeit die Verbindung zum Anmeldeserver getestet wird? Da ich in der anderen Niederlassung auch ein Domänencontroller stehen habe, dürfte diese sehr schnell sein.
Dem User wird es dann aber zum Verhängnis, dass er in der "falschen OU" eingetragen ist und damit dann GPOs mit Softwareverteilung erhält, wo die Installquelle auf dem Server im anderen Netz liegt auf die nur über das VPN zugegriffen werden kann.
Da der User Mo und Fr in Niederlassung A und Di-Do in Niederlassung B arbeitet kann ich auch nicht jedesmal das Objekt in die andere OU verschieben....
Aber ist es nicht so, dass beim Test der Verbindungsgeschwindigkeit die Verbindung zum Anmeldeserver getestet wird? Da ich in der anderen Niederlassung auch ein Domänencontroller stehen habe, dürfte diese sehr schnell sein.
Dem User wird es dann aber zum Verhängnis, dass er in der "falschen OU" eingetragen ist und damit dann GPOs mit Softwareverteilung erhält, wo die Installquelle auf dem Server im anderen Netz liegt auf die nur über das VPN zugegriffen werden kann.
Da der User Mo und Fr in Niederlassung A und Di-Do in Niederlassung B arbeitet kann ich auch nicht jedesmal das Objekt in die andere OU verschieben....
Du hast vermutlich Recht, dass der lokale DC das vermasselt. [Mir geht gerade durch den Kopf, wie es wäre, wenn die Installationsquelle auf 2 DFS Repliken liegen würde - würde der Client da nicht auch die schneller anzutreffende nehmen und das Problem dabei auflösen? Müsste ich mal nachlesen].
Ich gestehe, dass ich an DFS auch schon gedacht habe. Bisher habe ich mich da nicht so richtig rangetraut, da ich damit noch keine Erfahrungen habe und es die ganze Sache noch komplexer macht. Meine Sorge wäre, dass die Replikation vom DFS die knappe Bandbreite tagsüber zusätzlich belastet. Der Vorteil meiner bisherigen Lösung ist, dass die Replikation der Softwarverzeichnisse nachts per Robocopy erfolgt.
In diesem Zusammenhang hattte ich acuh gerade die Idee den Pfad \\domänenname\ zu verwenden, da dieser scheinbar immer auf den jeweiligen Anmeldeserver zeigt (auf dem auch die Install-Dateien liegen). Bei der Eingabe des Pfades im Explorer eines Clients werden auch alle Shares des Servers angezeigt, allerdings gibt es scheinbar ein Berechtigungsproblem, die einzige Freigaben, die ich anwählen kann ist SYSVOL und NETLOGON
EDIT: vielleicht funktiniert der Pfad %logonserver%\freigabe
In diesem Zusammenhang hattte ich acuh gerade die Idee den Pfad \\domänenname\ zu verwenden, da dieser scheinbar immer auf den jeweiligen Anmeldeserver zeigt (auf dem auch die Install-Dateien liegen). Bei der Eingabe des Pfades im Explorer eines Clients werden auch alle Shares des Servers angezeigt, allerdings gibt es scheinbar ein Berechtigungsproblem, die einzige Freigaben, die ich anwählen kann ist SYSVOL und NETLOGON
EDIT: vielleicht funktiniert der Pfad %logonserver%\freigabe
Leider gelingt es mir nicht, die Variabel in dem Gruppenrichtlinieneditor als Quelle anzugeben. Sie wird sofort mit den jeweiligen Inhalt ersetzt. Hat jemand eine Idee dazu?
Rein theoretisch ist es lt diesem Posting möglich, den Pfad zur MSI nachträglich direkt in der AD-Datenbank umzubiegen. Ich habe das gerade mal ausprobiert, es scheint tatsächlich zu funktionieren.
Leider ist das Vorgehen so umständlich, dass es wohl nicht für den täglichen Gebrauch geeignet scheint.
Leider ist das Vorgehen so umständlich, dass es wohl nicht für den täglichen Gebrauch geeignet scheint.
