none
Softwareverteilung via VPN / DC at startup not aviable RRS feed

  • Frage

  • Hallo allseits,

    ich versuche nun schon länger, einige Tools via GPO (Softwarepaket) zu verteilen. Was intern super klappt, funktioniert jedoch bei externen Geräten (via VPN) nicht. Die Client werden zu diesem Zweck vor Benutzeranmeldung am Netzwerk angemeldet ("Anmeldung über DFÜ").

    Die Verbinung ist effektiv mit mindestens 3000/600 kBit/sek am Empfänger verfügbar (Serverstandort 4000/4000). In 2 GPO wird die Verbdinungsgeschwindigkeit behandelt:
    1. Default Domain Policy (Verkn.Pos. 8) und
    2. Small Business Server-Clientcomputer (Verkn.Pos. 4); davor liegen
       nur noch Vista-GPO und 2 Firewall-GPO.
    In Beiden GPO liegen im intersten Zweig der Domäne. Ich habe nun gem. KB900206 die Nicht-Erkennung auf 'Aktiviert'* sowie die Rate auf '0 kB / 120 ms' gesetzt. Ping auf den Server werden mit

    *(Müßte hier nicht "Aktiviert" resp. "Deaktiviert" und "x kB" korrekt sein? - so war es urpsrünglich eingestellt)
     Die beiden Deploy-GPO sind mit der OU MyBusiness - SBS-Computer verknüpft, da die Installationen auf Computer-Ebene stattfinden.
     Am Client jedoch kommen diese Werte nicht zum Tragen.
    Folgendes ist zu beobachten:
    - Nach der Anmeldung wird erwartungsgemäß das Startscript abgearbeitet
    - netdom query dc zeigt den DC korrekt an
    - Für die Computerrichtlinien wird im RSOP-Ergebnissatz weiterhin
      500 kBit als Grenzwert angegeben.
    - Gpudate wird scheinbar übernommen (übliches Verhalten mit Neustart
      und übernahme anderer Richtlinien)
    - in der RSOP (gpresuklt /v) meldet langsame Verbdinung "nein"
    - die entsprechenden GPO werden als angewendete GPO gelistet
    Aber:
    - Einstellungen (Tools) werden nicht installiert. Bei Anmeldung am
      Standort des Servers klappt dies.
    - in der userenv.log erscheint "the DC for domain xxx is not aviable at
      startup / after retries / aborting"

    Gemäß http://support.microsoft.com/kb/840669 hatte ich auch einmal den Wert GpNetworkStartTimeoutPolicyValue manipuliert, was jedoch erwartungsgemäß zu einer sehr langen Startzeit führte, allerdings ohne Erfolg für die Tool-GPO.

    Kann es sein, dass die GPO nicht über VPN übernommen/ausgeführt wird, da sich lediglich der Benutzer an der Domäne via VPN anmeldet und der Computer zuvor schon gestartet ist?
    Oder kann an anderer Stelle noch etwas eingestellt werden?

    Horst
    Server: SBS2003 SP3, Clients XPSP3 (Domänenmitglied)

    Montag, 26. Juli 2010 13:55

Antworten

  • Hi,

    Am 26.07.2010 15:55, schrieb Horst Lange:

    Was intern super klappt, funktioniert jedoch bei externen Geräten

    > (via VPN) nicht.

    Richtig. Egal wieviel Text jetzt auch kommt:
    Das wird auch mit MS Bordmitteln niemals (richtig) funktionieren.

    Weil:
    a) SW Verteilung per GPO immer nur im Vordergrund funktionert
       (bei Anmeldung/beim Start)
    b) div. MSI Software nicht als BenutzerVeröffentlichung funktioniert
    c) Infrastruktur generell beim Thema SlowLink ein wenig zickt.

    c) kann man ändern, die anderen Punkte nicht.

    Installation "beim Anmelden" kannste knicken.    
    Drittanbieter Software wie zB SpecOps Deploy kann das.
    Die nutzen BITS und können über jede Bandbreite die Software im
    Hintergrund runterladen und dann installieren.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 26. Juli 2010 18:33

Alle Antworten

  • Hi,

    Am 26.07.2010 15:55, schrieb Horst Lange:

    Was intern super klappt, funktioniert jedoch bei externen Geräten

    > (via VPN) nicht.

    Richtig. Egal wieviel Text jetzt auch kommt:
    Das wird auch mit MS Bordmitteln niemals (richtig) funktionieren.

    Weil:
    a) SW Verteilung per GPO immer nur im Vordergrund funktionert
       (bei Anmeldung/beim Start)
    b) div. MSI Software nicht als BenutzerVeröffentlichung funktioniert
    c) Infrastruktur generell beim Thema SlowLink ein wenig zickt.

    c) kann man ändern, die anderen Punkte nicht.

    Installation "beim Anmelden" kannste knicken.    
    Drittanbieter Software wie zB SpecOps Deploy kann das.
    Die nutzen BITS und können über jede Bandbreite die Software im
    Hintergrund runterladen und dann installieren.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 26. Juli 2010 18:33
  • Am 26.07.2010 20:33, schrieb Mark Heitbrink [MVP]:

    Hi,

    Am 26.07.2010 15:55, schrieb Horst Lange:

    Was intern super klappt, funktioniert jedoch bei externen Geräten

    (via VPN) nicht.

    Richtig. Egal wieviel Text jetzt auch kommt:
    Das wird auch mit MS Bordmitteln niemals (richtig) funktionieren.

    hab's langsam fast vermutet...


    Weil:
    a) SW Verteilung per GPO immer nur im Vordergrund funktionert
        (bei Anmeldung/beim Start)
    b) div. MSI Software nicht als BenutzerVeröffentlichung funktioniert
    c) Infrastruktur generell beim Thema SlowLink ein wenig zickt.

    c) kann man ändern, die anderen Punkte nicht.

    Installation "beim Anmelden" kannste knicken.

    Danke für die Bestätigung!

    Drittanbieter Software wie zB SpecOps Deploy kann das.
    Die nutzen BITS und können über jede Bandbreite die Software im
    Hintergrund runterladen und dann installieren.

    Seh' ich mir mal an.

    Viele Grüße

    Horst

    Montag, 26. Juli 2010 19:33
  • Hi,

    Am 26.07.2010 21:33, schrieb Horst Lange:

    Installation "beim Anmelden" kannste knicken.

    Danke für die Bestätigung!

    Bitte, gerne.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 27. Juli 2010 07:27