Als er voor machines op basis van images wordt gekozen, zoals bij VDI of booten met Citrix PVS, moet er nagedacht worden over de methode van image-opbouw en -beheer. In deze blog laat ik zien welke mogelijkheden er zijn en welke methode het beste werkt in de praktijk.
Categoriearchief: SCCM
The case of… Unix Samba share niet bereikbaar op Windows server na uitrol met MDT2012
Bij het installeren van software in de nieuwe omgeving van een klant, liepen we tegen het probleem aan dat we vanuit de Citrix servers de samba share op een unix server niet konden bereiken. Alle servers anders dan de Citrix servers werkten super.
Op de Citrix servers kregen we de melding ‘[servernaam] is niet toegankelijk. U hebt mogelijk niet de juiste machtingen voor deze netwerkbron. De RPC is mislukt en niet uitgevoerd’. De engelse vertaling van het laatste stuk is ‘The remote procedure call failed and did not execute’.
Verder onderzoek gaf aan dat het probleem zich niet bevond in geinstalleerde software. Als de server werd uitgerold met MDT 2012 (Microsoft Deployment Toolkit) en alleen het OS (Windows 2008 R2 SP1) met Nederlands languagepack werd uitgerold konden we al niet meer bij de samba share. Echter, dat gebeurde pas na een reboot. Zolang het ‘uitrol succesvol’ scherm in beeld stond was de share benaderbaar. Het leek dus op een policy setting, echter zat de server op dat moment niet in het domein. Het moest dus wel een lokale policy zijn. Maar hoe komt die op een ‘vers’ uitgerolde server terecht.
Na wat zoekwerk op internet blijkt dat in MDT 2012 een nieuwe optie zit. MDT 2012 heeft de mogelijkheid om lokale policies in te stellen met de uitrol van een server. Deze functie heeft de naam GPOPack. Naast deze nieuwe functie heeft Microsoft bedacht dat het handig is om bij bepaalde OSen (Windows 2008/Vista SP2 en Windows 2008R2/Windows 7 SP1) gelijk maar een Baseline Security toe te passen. Deze lokale policies worden in de allerlaatste fase van de uitrol op de machine gezet (zodat ze de uitrol niet in de weg zitten). Wat verklaard waarom pas na een reboot de Samba share niet meer bereikbaar was. De instellingen die in deze default policies worden gezet, zijn hier te vinden in een excel sheet. Dit automatisch toepassen van de policy kan worden gestopt door ‘ApplyGPOPack=NO’ op te nemen in de customsettings.ini van MDT. Daarna was de server ook weer bereikbaar na een nieuwe uitrol.
Maar stel dat je deze default beveiligingsinstellingen wel wil behouden. Welke optie zorgt er dan voor dat de Unix Samba share niet meer bereikbaar is. Na wat uitzoekwerk blijkt de optie ‘Microsoft network client: Digitally sign communications (always): Enabled’ hiervoor te zorgen. Als je deze optie disabled of terug zet op ‘not configured’ kan de Windows server weer de Unix Samba share benaderen zonder problemen.
Wel of niet App-V integreren met SCCM
Vandaag was de eerste dag van TechEd Europ 2012. Heb me de hele dag vermaakt bij de SCCM 2012 sessie.
Halverwege kwam de vraag waarom je App-V niet zou integreren in SCCM op het moment dat je de SCCM infrastructuur toch al hebt liggen. Er zijn namelijk genoeg redenen om een integratie met SCCM te doen in plaats van een volledige App-V omgeving ernaast te bouwen.
Integratie met SCCM biedt de volgende voordelen:
- Geen dubbel beheer via twee consoles. Alles integreert naar 1 console. Je hoeft het beheer gedeelte van App-V niet meer te installeren.
- Je kunt de bestaande infrastructuur van SCCM gebruiken voor het leveren van de applicaties. Deze is in grote omgevingen schaalbaarder.Applicaties worden via de Distributies Points van SCCM verspreidt.
- De applicaties kunnen altijd offline gebruikt worden. Je bent niet afhankelijk van de backend nadat de applicatie is uitgerold naar de werkplek/gebruiker.
Dus welke voordelen kan het hebben van een losse SCCM omgeving nog hebben? Tijdens de discussie op Twitter was maar één reden te bedenken, namelijk het actief monitoren van de licenties. Dit is niet mogelijk met SCCM.
Echter, dit punt is met een goed desktop management systeem op te lossen. RES Workspace Manager kan bijvoorbeeld de licenties actief monitoren en gebruikers blokkeren als het aantal concurrent licenties op zijn gebruikt (overigens is bij gebruik van RES WM en zonder SCCM aan te raden een App-V Light omgeving te bouwen).