12 Replies Latest reply on Oct 13, 2010 3:01 AM by matthias.d

    Was mich an Netinstall v6 nervt

    HE1 Apprentice
      Was mich an Netinstall v6 nervt

      1. katastrophale AD-Anbindung
      Das AD ist das zentrale Benutzer- und Computerverwaltungstool in einem Unternehmen. Aus meiner Sicht macht es keinen Sinn eine parallele Verwaltung über Netinstall zu etablieren und dann alles doppelt pflegen zu müssen.
      Aber wenn es schon so gedacht ist, dann sollte wirklich jede AD Anbindung rausfliegen. Diese halbgare, häufig nicht funktionierende Anbindung, wie es derzeit ist, ist einfach eine Katastrophe und für mich eigentlich unbenutzbar. Ich gebe ein paar Beispiele:
      1.1 Um Administrationsberechtigungen an AD-User zu vergeben, muss der Display Name (!) des Accounts genommen werden. Ich hab mich anfangs fast ausgesperrt weil ich, naiv wie ich nunmal bin, den eindeutigen Accountnamen genommen habe. Das konnte Netinstall nicht auflösen. Da bin ich das erstemal fast rückwärts vom Stuhl gefallen.
      1.2 Man kann zwar Gruppen und User aus dem AD importieren, aber muss das dann bei jeder neu angelegten Gruppe wieder machen. Und wieder und wieder..Wo ist denn bitte die Logik, dass man zwar direkt aufs AD zugreifen kann um die Gruppen zu importieren, aber Netinstall nicht in der Lage ist einfach eine neue Gruppe direkt zu erkennen? Ganz ohne Import. Früher hat das doch auch ganz gut geklappt. Und selbst wenn es Fälle gibt, in denen eine eigenständige Benutzerverwaltung Sinn hat, dann möchte ich als Anwender doch entscheiden dürfen welche der beiden Optionen ich verwenden möchte.
      1.3 Den Vogel schießt aber folgender Punkt ab. Könnte man sich mit den beiden anderen Punkten notfalls und mit Magenschmerzen noch arrangieren, dann ist dieser hier ein Ausschlußkriterium. Folgendes Szenario, das den Alltag bei mir darstellt:
      Ich importiere einen User aus dem AD.(initialer Import aller User) Danach erstelle ich im AD eine neue Gruppe, die ich anschließend als externe Gruppe in NI importiere und erstelle eine Shop-Policy mit dieser neuen Gruppe als Ziel.
      Wenn ich jetzt nachträglich im AD einen neuen User dieser Gruppe hinzufüge, dann erkennt das Netinstall nicht, wenn dieser User bereits irgendwann einmal importiert wurde.Der Support hat mir als Workaround vorgeschlagen den User zuerst aus der Netinstall Benutzerverwaltung zu löschen, bevor ich ihn im AD der Gruppe hinzufüge.Aber das ist kein Workaround, das ist schlicht nicht machbar. Was ist denn, wenn bereits Policies auf den importierten User weisen? Ganz abgesehen vom enormen logistischen Aufwand, den soetwas bei größeren Produktivumgebungen bedeutet. Da bin ich ja schneller wenn ich für jeden user eine exe mit InstallRite rausschieße..
      Bin gerade dabei das Hotfixbundle zu installieren, aber auf den ersten Blick scheint das keinen Unterschied zu machen. Falls doch, werde ich das hier updaten.

      2. Der Software Shop
      Es ist für mich äußerst schwer nachvollziehbar warum ich keine Unterordner im Shop anlegen kann. In der 5.85 Umgebung habe ich weit über 100 "shopbare"Projekte. Sollen die jetzt alle untereinander gelistet werden?
      Ist dieses Feature so komplex umzusetzen, dass enteo seit Jahren daran scheitert, obwohl es bei der 5.x Version bereits umgesetzt war...?

      ich könnte noch mit ein paar Punkten weitermachen, aber ich glaube das reicht erstmal um mir meinen Frust von der Seele zu schreiben. Ich hätte ganz gerne eine Antwort von enteo wie die Zukunft aussieht, vor allem im Bezug auf v7. Gibts schon ne Beta, die man sich mal anschauen kann? Ich habe einfach keine Lust mehr meine Zeit mit der v6 zu verschwenden, nur um dann in ein paar Monaten nochmal alles mit der v7 durchmachen zu müssen. Ende auch da ungewiss...
      Vor allem drängt langsam die Zeit. Wir sind dabei eine Umstellung auf Windows 7 vorzunehmen und derzeit scheitert es einfach an Netinstall. Ich kann ja nichmal einen Zeitplan vorlegen wie lange das dauert, bis es einen gewissen Grundstand gibt, da von der AD Integration eigentlich alles abhängt. Eine Umstellung auf eine eigene NI-Computerverwaltung wurde bereits von der Chefetage ausgeschlossen. Was tun sprach Zeus...
        • 1. Re: Was mich an Netinstall v6 nervt
          CalumField1 Expert
          Tagchen,

          Es gibt wie immer der Möglichkeit Feature Requests abzugeben.


          Zu Punkt 2- wenn du mit der SWShop arbeiten magst ja, alle untereinander gelistet, wie eine Liste eben.

          Es gibt kein Beta V7 und wenn wir einen Beta für Public Release haben, werden wir das auf der Webseite tun. Es gibt bereits Termine für den Partner & Kundenforum wo alle Fragen zu V7 beantwortet werden können.


          PS: Fall nicht vom Stuhl das könnte weh tun. Und mit solchen Namen für Threads steuerst du in der falschen Richtung.
          • 2. Re: Was mich an Netinstall v6 nervt
            HE1 Apprentice
            @Calum: Es gibt keinen Grund so verschnupft zu reagieren. Schließlich bin ich ja derjenige der sich damit tagtäglich rumschlagen muss.
            Alles in allem zahlen wir seit x Jahren viele tausende Euros für Wartungsverträge an enteo/frontrange und damit habe ich jedes Recht meinen Frust kundzutun.

            Wenn du Angst um die Reputation hast, dann wäre auch eine andere Reaktion angemessen. So wird mein Post inhaltlich nur noch unterstrichen.

            Aber sei es drum. Es ist ja nicht so, dass man mit mir nicht reden kann. Schließlich bin auch ich ein Angestellter, der dafür bezahlt wird sich mit solchen Sachen auseinanderzusetzen und letzten Endes präsentiere ich meinem Chef lieber eine Lösung als eine Rechtfertigung warum es nicht geht.

            Leider ist es derzeit so, dass ich mich rechtfertigen muss und darüber bin ich nicht gerade erfreut, wie du dir vielleicht vorstellen kannst.
            Also lass mal deine "wohlgemeinten" Ratschläge stecken und sag mir lieber welche Optionen ich noch habe.


            P.S: Um diesen Thread jetzt nicht abgleiten zu lassen, vielleicht noch ein Hinweis. Ich persönlich bin nicht scharf darauf auf ein Konkurrenzprodukt auszuweichen. Ich war bisher mit Netinstall ganz zufrieden und diese Migration von 5 auf 6 ist auch beileibe nicht das einzige Projekt das ich zu bewältigen habe. Bei einer Versionsumstellung kann ich immerhin noch etliches übernehmen und mich orientieren. Ein Neuaufsetzen einer anderen Softwareverteilungslösung würde ungleich mehr Arbeit bedeuten, mit ebenfalls ungewissem Ausgang.
            Für das Kundenforum in München habe ich mich natürlich umgehend angemeldet. Vielleicht sieht man sich ja dort.
            Trotzdem ist das noch über einen Monat, den ich gerne irgendwie füllen würde. Schlußendlich wird die v7 ja wohl frühestens 2011 Q1 erscheinen, wenn man mal realistisch ist. Und dann ist es eine 7.0 Version, die garantiert noch Bugs und andere Probleme aufweisen wird.
            Ich wünsche mir von enteo zügig detaillierte Informationen über die v7, damit ich das in meine Planung mit aufnehmen kann. Vielleicht ist ja eine Videodemo der neuen Features möglich. Aber da werde ich mich sicherlich nochmal mit dem Support in Verbindung setzen.
            Ich will allerdings auch, dass keine Features versprochen werden, die dann doch nicht kommen. Dieser Frust ist einfach viel größer als wenn von Anfang an gesagt wird, dass etwas nicht geht oder gewünscht ist.
            • 3. Re: Was mich an Netinstall v6 nervt
              OlafKling Apprentice

              Was mich an Netinstall v6 nervt

              1. katastrophale AD-Anbindung



              Vollste Zustimmung!
              • 4. Re: Was mich an Netinstall v6 nervt
                LjokajK Expert
                Hallo HE1,

                kurz zu deinem Frust: Dies wäre dann doch eher beim Support angebracht.
                Aber nun zu deinem Problemchen....
                Ich gebe dir Recht, dass die AD-Integration nicht die sauberste Lösung in v6 ist. Ich würde dir auch nicht empfehlen, über importierte AD-Gruppen zu arbeiten, da dies nicht stabil läuft. Es gibt hier einige Threads, die das unterstreichen. Die Schnittstelle arbeitet hier nicht sauber, das heisst, ENTEO kann diese Gruppen nicht sauber auflösen und es befinden sich für ENTEO keine Mitglieder in dieser Gruppe, was passiert ist dem Momen.... EIne Deinstallation der zugewiesenen Software. Ich bin daher bei Kunden wieder auf Statische Gruppen zurück.

                Bzgl. der Pflege habe ich bei meinen Kunden die PowelShell Extensions für ENTEO von NWC-Services umgesetzt. NWC-Services arbeitet eng mit Frontrange zusammen, ist also keine Firma, die da "irgendein" Drittanbieter-Tool verkauft. Hier wäre der Frank Scholer der richtige Ansprechpartner, der hier oft unterwegs ist. Schreib ihm einfach eine Private Nachricht und erkundige dich doch mal. Vielleicht hilft dir das ja weiter.
                • 5. Re: Was mich an Netinstall v6 nervt
                  HE1 Apprentice
                  Ich habe mich bereits letzte Woche auf der Homepage von nwc-services registriert

                  Allerdings arbeite ich auch mit dem enteo Support an der Lösung dieses Problems. Wenn es nicht klappen sollte, dann werde ich wohl erst auf die 5.86 (Win7 Kompatibilität) umsteigen und bis zu einer stabilen v7 Version überwintern. Sollte das dann immer noch nicht funktionieren, müsste ich wohl in den saueren Apfel beißen und mich nach Alternativen umschauen.

                  Aber vielleicht kann der Support das Problem ja lösen. Dazu möchte ich auch noch erwähnen, dass ich mit dem enteo Support an sich zufrieden bin. Es wird immer versucht mir in irgendeiner Form weiterzuhelfen. Der Support kann ja auch nichts dafür, dass die AD Anbindung der v6 buggy ist.
                  • 6. Re: Was mich an Netinstall v6 nervt
                    LjokajK Expert
                    Bevor du den Schritt zurück machst, würde ich wirklich Kontakt zum Frank Scholer aufnehmen. Wirklich SUPER-Unterstützung und auch ein sehr gutes Tool. Es bietet massig Möglichkeiten per PowerShell.
                    • 7. Re: Was mich an Netinstall v6 nervt
                      Holger.Weeres Apprentice
                      Hi Guys,

                      Also ich stimme Euch zu, dass es in V6.x bei manchen Kunden Probleme mit der AD Integration und dem SW Shop gibt und wir vom Produkt Management haben das auch erkannt und dementsprechend fuer die V7 addressiert.


                      Ein Klarstellung moechte ich hier vorab machen ...
                      ...bei jedem Client sync werden die Gruppenmitgliedschaften vom Client gemeldet und auf dem Server nachgepflegt. Der unter 1.3 geschilderte Fall laesst sich m.E. nur dadurch erklaeren, dass sich der Benutzer nicht abgemeldet hatte und daher sein angeledetes Benutzer Token die AD Gruppe noch nicht enthaelt.
                      Windows verhaelt sich da ganz genau so wie die V6. Bis man sich nicht neu angemeldet hat, bekommt man auch keine zusaetzlichen rechte die aus neu angelegte Gruppenmitgliedschaften resultieren wuerden.

                      Ab V7 werden vom Client nur noch SIDs an den Server gemeldet und der Server uebernimmt die AD syncronistation von Gruppen. Dann  koennen wie sogar mehr als Windows ;-) (und 5.8, da war das mit dem token genau so)


                      Der Punkt 1.2 ist aus unserer Sicht mehrfach durchdacht worden und wir sind aus perfromance Gruenden nicht dazu bereit einfach alle AD Gruppen mit enteo zu syncronisieren. Die syncronisation von Gruppenmitgliedschaften braucht es aber in der CMDB, um entsprechenden policies erzeugen zu koennen. Eine Kompromissloesung, die wir aktuell durchdenken, waere Gruppen einen bestimmten Zweig des AD z.B. "OU=Software Gruppen" automatisch importieren lassen zu koennen, aber wie gesagt, das koennte gefaehrlich sein und schnell zu Misskonfigurationen fuehren.

                      Und der Punkt 1.1 .. na ja ... uebersicjtlicher wuerde es bestimmt auch nicht, wenn alle user mit FQDN in der Console auftauchen wuerden. Aber iach glaube auch nicht, dass das wirklich der Grund war, wieso dieser Threat hier so viel anklang gefunden hatte.

                      Zum Software Shop braucht nicht mehr gesagt zu werden ... Problem wurde erkannt und schon fuer V7 gefixt. Ordner Strukturen zum Gruppieren von Projekten wird es ab der V7 wieder geben!


                      Gruss,
                      Holger
                      • 8. Re: Was mich an Netinstall v6 nervt
                        HE1 Apprentice
                        Hallo Holger,

                        vielen Dank für deine Stellungnahme. Ich hatte heute erst ein Gespräch mit dem enteo Support und mir wurde per Webex ein Workaround gezeigt (der Support ist wirklich super!), wie die Gruppen tatsächlich von enteo aufgelöst werden.
                        Grob zusammengefasst muss man ein Projekt auf alle Managed User und Computer berechtigen (und dabei dann Computerobjekte statt User wählen)
                        Danach legt man bei den Execution Restrictions fest, dass nur eine spezielle externe Gruppe berechtigt ist.

                        Mit diesem kleinen Umweg funktioniert der AD Sync vom Client zum BLS dann auch bei mir. Eine direkte Zuweisung auf die externe Gruppe hat bei mir zumindest nicht funktioniert.

                        Das ist zwar keine elegante Lösung, aber auch keine hässliche. Ich kann damit leben und stehe derzeit auch mit nwc-services in Kontakt. Vielleicht ergibt sich ja auch da noch was; vor allem bezüglich der Migration der Altprojekte in die neue v6 Umgebung.

                        Deine Ausführungen zur v7 lassen mich hoffen, dass in dem Bereich der AD-Synchronisation noch etwas vorangeht und ich bin schon sehr gespannt auf das Kundenforum in München.

                        Schönen Gruß
                        Sven
                        • 9. Re: Was mich an Netinstall v6 nervt
                          NicoS1 Master
                          Hallo Holger,

                          da bin ich ja mal richtig aufs Kundenforum für das v7 Preview gespannt. Denn die Aussage bzgl. des Software Shops, dass es gefixt wird bzw. eingeplant ist  hab ich schon seit der v6.0 (alias Public Beta). Da wurde gesagt:
                          a) Werden wir umgehend mit einem Patch nachschieben.
                          b) Kommt in der 6.1
                          c) Kommt in der 6.2
                          d) Kommt in der 6.5 (6.3 und 6.4 würden übersprungen werden)

                          Ich glaubs mittlerweile erst wenn ich es seh ;-)
                          • 10. Re: Was mich an Netinstall v6 nervt
                            MichaelK1 Apprentice

                            Hallo Holger,

                            ...Denn die Aussage bzgl. des Software Shops, dass es gefixt wird bzw. eingeplant ...



                            So sehe ich das auch, den die Aussage von Holger "...Probleme wurde erkannt und schon fuer V7 "... ist nicht wirklich Zeitgemäß, von SCHON kann hier keine Rede sein. Das Thema ist schon länger auf dem Tisch.

                            Unterem Strich kann jedoch gesagt werden, daß Kundenrequests und Bugs die herangetragen werden, auch umgesetzt werden.

                            Wir haben am Anfang in der Testphase Seitenweise dinge(Bugs/Featurerequests) gefunden und weiter geleitet, mitlerweile sind sehr sehr viele Punkte davon umgesetzt respektive gefixt worden!

                            Also von daher, es wird daran gearbeitet.

                            Soo Loong
                            • 11. Re: Was mich an Netinstall v6 nervt
                              B.Marxer Expert
                              Mal ein Beitrag aus meiner Sicht.

                              Wir arbeiten seit der V6 nicht mehr mit AD Gruppen was auch seine Vorteile hat.
                              Auch den SW-Shop nutzen wir eigentlich nicht.

                              Aber was mir seit V6 fehlt ist die Zeitplanung nach dem Anlegen einer neuen Revision. Soll heissen dass sich der Startzeitpunkt der Installation auf der Policyinstanz nicht mehr ändern lässt. Auch nicht wenn die Revision auf der Policy hochgezogen wird. In der Praxis bedeutet das somit dass der Admin, also Ich, die Installation genau zum definierten Zeitpunkt anstossen muss und dies nicht mehr Zeitgesteuert angestossen werden kann oder eben nur wenn die Policy angelegt wird. Da wir einige eingene SW-Produkte haben und diese laufend weiterentwickelt werden kommt es laufen vor dass wir ein bestehendes Paket updaten müssen.

                              Daher bitte ich darum diesen Punkt in einer künftigen Version zu berücksichtigen.
                              • 12. Re: Was mich an Netinstall v6 nervt
                                matthias.d Apprentice
                                [QUOTE=B.Marxer;28966]Aber was mir seit V6 fehlt ist die Zeitplanung nach dem Anlegen einer neuen Revision. Soll heissen dass sich der Startzeitpunkt der Installation auf der Policyinstanz nicht mehr ändern lässt. Auch nicht wenn die Revision auf der Policy hochgezogen wird. In der Praxis bedeutet das somit dass der Admin, also Ich, die Installation genau zum definierten Zeitpunkt anstossen muss und dies nicht mehr Zeitgesteuert angestossen werden kann oder eben nur wenn die Policy angelegt wird. Da wir einige eingene SW-Produkte haben und diese laufend weiterentwickelt werden kommt es laufen vor dass wir ein bestehendes Paket updaten müssen.

                                Daher bitte ich darum diesen Punkt in einer künftigen Version zu berücksichtigen.

                                Hallo,

                                das geht doch! Ich stoppe vor dem Aktualisieren der Policy den Rollout. Dann kann ich in der Eigenschaft der Policy (achtung Filter entfernen!) das Policy Start-Datum ändern. Danach starte ich den Rollout wieder und zum angegebenen Zeitpunkt beginnen die Installationen.

                                Das mit dem AD hat auch einige meiner Nerven geraubt, deshalb versuche ich das einfach nicht mehr einzusetzen. Bei einigen Kunden gehört natürchlich einiges an Überredenskunst dazu, kommt durch die Erfahrung und Argumentation jedoch meistens überzeugend rüber.