10 Replies Latest reply on Nov 30, 2010 7:38 AM by alps

    Software-Set vs. einzelne Policies

    alps Specialist
      Hallo,

      ich hätte wieder mal eine Frage zu Software Sets. Im Moment haben wir die Rechner im Enteo so einsortiert:

      - Location 1
      -- Computers
      -- Servers
      - Location 2
      -- Computers
      --Servers
      - Location 3
      usw...

      Wir machen jetzt einmal pro Monat ein Software Update, d.h. ich erstelle ein Software-Set und weise das jeweils der OU Computers in jeder Location zu. Jetzt könnte man ja auch sagen...wieso machst du nicht eine Policy-Revisionierung, löschst alte Komponenten und fügst neue hinzu? Ich möchte aber nicht, dass die alten deinstalliert werden und das geschieht ja in dem Fall, wenn ich die alten rausnehme (inkl. Neustart). Da ich aber auch nicht immer ein neues Software-Set zusammenstellen möchte (dann würd ja immer alles wieder drüberinstalliert, auch die Komponenten, die eigentlich nicht geupdated werden), meine Frage: Hat es irgendwelche performancetechnischen Nachteile (Datenbankabfragen durch die eMMC Verwaltung von sich selbst) wenn ich auf die OUs statt der Policy die einzelnen Pakete zuordne? So kann ich auch bequem einzelne Pakete updaten.
        • 1. Re: Software-Set vs. einzelne Policies
          Frank.Scholer Master
          Hallo alps

          meine Frage: Hat es irgendwelche performancetechnischen Nachteile  (Datenbankabfragen durch die eMMC Verwaltung von sich selbst) wenn ich  auf die OUs statt der Policy die einzelnen Pakete zuordne?


          Du meinst "statt des Software-Sets die einzelnen Pakete zuordne", oder? Antwort in dem Fall: nein - zumindest nicht dass ich wüsste.
          Ich mache das auch immer so, da mir die Software-Sets immernoch zu unflexibel sind (z.B. unkritisches vs. kritisches Update).

          Außerdem empfehle ich unseren Kunden immer, garnicht auf die OU-Struktur direkt zuzuweisen, sondern mit statischen Gruppen zu arbeiten. Aber das ist ein stückweit Geschmackssache und wenn es für dich jetzt so passt, dann spricht da erstmal auch nicht wirklich was dagegen.

          HTH, Grüße Frank
          • 2. Re: Software-Set vs. einzelne Policies
            NicoS1 Master
            Hallo Alps,

            ich kann Frank in dem Fall nur zustimmen. Wir hatten in der v6.0 mit Software-Sets angefangen und in der v6.2 hab ich langsam all unsere Umgebungen so, dass man ohne Software Sets auskommt.

            Ein Set erachte ich persönlich nur noch als sinnvoll für Komponenten die auch Wirklich zusammen gehören. (z.B. ein Set aus: Office 20xx + Language Pack 1 + Language 2 + Kundenspezifische Anpassungen).

            Sachen direkt in die OU Struktur zuzuweisen ist so ne Sache. Ich persönlich halte es für sinnvoll, wenn die OU Struktur auch einen bestimmten Sinn und Zweck wiederspiegelt. Mit Gruppen bist du aber etwas flexibler als bei OUs, da man einen Rechner Mitglied mehrerer Gruppen machen kann. Das hab ich mal probiert, ist aber bei uns mit der Zeit unpraktikabel geworden.

            Für Updates die alle bekommen sollen, hab ich eine Dynamische Gruppe in der alle Windows XP Systeme nach Sprache sortiert sind, und kritische Sachen wie Flash Player, Java usw. kommen da drauf.
            • 3. Re: Software-Set vs. einzelne Policies
              alps Specialist
              Hallo nochmal,

              danke für eure Erfahrungen, das hilft mir schon sehr weiter (@Frank: Genau das meinte ich)! Dann werde ich das jetzt am morgigen Patch-Day auch so umsetzen, gerade die Idee mit der dynamischen Gruppe macht es dann auch ein Stück weit einfacher.

              Aber noch eine Frage zur Installationsreihenfolge:

              Ich habe ein Paket, was einen Neustart erfordert und auch zwingend als letztes installiert bzw aktualisiert werden sollte (Virenscanner): Wie geht ihr da vor? Definiert ihr einfach im Paket eine höhere Priorität?
              Dann habe ich noch zwei Pakete (Ghostscript/FreePDF) wovon eines vor dem anderen installiert werden sollte.
              • 4. Re: Software-Set vs. einzelne Policies
                alps Specialist
                Gleich noch einer weitere Frage:

                Es gibt eine OU, deren Computer nicht in die Updateverteilung mit einbezogen werden darf. Jetzt habe ich erstmal eine Gruppe gebaut, die alle XP x86 Clients beinhaltet und wollte als weiteres Merkmal noch den Computernamen hinzuziehen der bei uns immer wie folgt aufgebaut ist: YXZ

                Wie kann ich jetzt das Benutzerkürzel durch eine Wildcard ersetzen und welche Eigenschaft muss ich auswählen? "Computer Name" finde ich nicht als auswählbare Eigenschaft (Directory Context könnte noch genommen werden, aber da weiss ich nicht, wie das aufgebaut werden muss).

                EDIT: Diese Frage hat sich erledigt. Wildcard ist *
                • 5. Re: Software-Set vs. einzelne Policies
                  NicoS1 Master
                  Hallo alps,

                  Hierfür gibt es mehrere Wege ;-)

                  Also erstmal zu der Frage mit dem Filter
                  Computername: Objekt Eigenschaften => Name
                  Wildcards einfach mit *

                  Wenn deine Rechner XYZBerlinUser1 heißen würden, könntest du theoretisch NAME=*Berlin* als Filter/Auschluss angeben.

                  Eine Dynamische Gruppe mit allen Computern einer OU kannst du leider nicht so einfach über Filter erstellen. "Kontext im Verzeichnis" ist der Ort, wo ein Rechner im Active Directory steht, nicht wo er im Enteo steht. Es gibt im Enteo zwar das Feld "Vollständiger Name". Allerdings gibt es das unglücklicherweise zwei mal. Einmal Enteo seitig, das kannst du aber nicht filtern. Das andere Feld ist der FQDN. Also Computername.domäne.firma.de (gemäß Active Directory).

                  Wenn du eine Dynamische Gruppe möchtest in der alle Rechner einer Bestimmten OU angehören, musst die die Gruppe dann unterhalb deiner OU "Berlin" (ich nehm das einfach mal als Beispiel) erstellen, dann kannst du nach Name=* Filtern. Eine Dynamische Gruppe nimmt nur alle Objekte auf gleiche Strukturebene und tiefer mit, nicht Objekte aus einem anderen Zweig. Ums mal etwas bildlicher darzustellen:

                  Firma
                  -Berlin
                  -Frankfurt
                  -München

                  Legst du eine Dynamische Gruppe unterhalb von "Firma" an mit dem Filter Name=* bekommst du alle Computerobjekte von Berlin, Frankfurt und München. Legst du die Gruppe unterhalb von Berlin an, bekommst du nur die Computer von Berlin.

                  Aber ganz ehrlich... dann kannst es gleich auch auf die OU "Berlin" zuweisen. Ist aber jedem selbst überlassen wie er es machen möchte.

                  Bezüglich der Paket, das zwingend als letztes Installiert werden muß... davon hab ich auch ein paar ;-) dafür haben wir bei uns intern unter den Paketierern festgelegt wie wir die Installationsreihenfolgennummern vergeben. Unser allerletztes Paket hat die Reihenfolgen ID 9999. (Im Paket festlegbar, oder nach der Zuweisung nachträglich über die Policyinstanzeigenschaften, allerdings muß die Policyinstanz dafür deaktiviert werden).

                  Hoffe das hilft ein wenig.
                  • 6. Re: Software-Set vs. einzelne Policies
                    alps Specialist
                    Hallo Nico,

                    erstmal vielen Dank für deine ausführliche Erklärung!

                    Wenn deine Rechner XYZBerlinUser1 heißen würden, könntest du theoretisch NAME=*Berlin* als Filter/Auschluss angeben.



                    Habe ich jetzt auch auf diesem Weg gelöst.

                    "Kontext im Verzeichnis" ist der Ort, wo ein Rechner im Active Directory steht, nicht wo er im Enteo steht.



                    Das war mir klar, nur hab ich mich gefragt, wie dann der Wert lauten muss. CN=...,CN=...? Da ich es jetzt so wie in der ersten Methode von dir beschrieben gelöst habe, spielt es zwar jetzt keine Rolle mehr, aber es wäre zumindest interessant zu wissen.

                    dafür haben wir bei uns intern unter den Paketierern festgelegt wie wir die Installationsreihenfolgennummern vergeben..



                    Eine Frage noch hierzu...
                    Sets haben ja als Standard 3000 und Pakete 4000. Ist es dann nicht sinnvoller innerhalb von 4000 zu bleiben, da ja theoretisch irgendwann mal irgendeine Komponente mit 5000 als Standard (von Enteo dann vordefiniert) kommen könnte? Ist jetzt nur eine "Was wäre wenn Frage" :-) Muss man eigentlich bestimmte Abstände waren oder kann ich theoretisch auch Nummern wie 4001, danach 4002, usw nehmen?
                    • 7. Re: Software-Set vs. einzelne Policies
                      NicoS1 Master

                      da ja theoretisch irgendwann mal irgendeine Komponente mit 5000 als Standard (von Enteo dann vordefiniert) kommen könnte?



                      Ja, das könnte passieren. ABER... jetzt hast du dein Paket was zwingend als letztes Installiert werden muß und gibst ihm die ID 4999. Enteo bringt jetzt irgendwas raus mit der ID 5000 oder 6000. Was passiert? Dein Paket wird nicht mehr als letztes installiert ;-)
                      • 8. Re: Software-Set vs. einzelne Policies
                        alps Specialist

                        Ja, das könnte passieren. ABER... jetzt hast du dein Paket was zwingend als letztes Installiert werden muß und gibst ihm die ID 4999. Enteo bringt jetzt irgendwas raus mit der ID 5000 oder 6000. Was passiert? Dein Paket wird nicht mehr als letztes installiert ;-)



                        Auch wieder wahr Danke nochmal!
                        • 9. Re: Software-Set vs. einzelne Policies
                          alps Specialist
                          Hallo,

                          ich habe noch ein weiteres Problem, bei dem ich nicht weiss, ob es jetzt mit der Art der Zuweisung zu tun haben könnte. Ich habe wie vorgeschlagen eine dynamische Gruppe mit allen Rechnern erzeugt und auf diese die Pakete einzeln zugewiesen. Das hat auch beim Release der Pakete gestern morgen einwandfrei geklappt. Jetzt habe ich drei Rechner, die 2-3 Pakete nicht installieren konnten. Bei einem Paket steht "Uninstall failed" (blaues Kästchen mit weisem Kreuz drin) und zwei andere stehen einfach nur auf rot. Bei anderen Paketen konnte ich hier sagen "Reinstall", bei diesen dreien aber nicht. Was kann das für Gründe haben?
                          • 10. Re: Software-Set vs. einzelne Policies
                            Roman.Affolter Specialist
                            Hallo alps

                            Das Problem hatten wir vor ein paar Wochen auch. Kein Reinstall mehr wählbar.

                            Bei uns mussten vom Frontrange-Support mittels einer Remote-Session mit einem Spezialtool die DB-Einträge dieser Policies manipuliert werden.

                            Ich würde das Problem an deiner Stelle auch dem Support melden.

                            Gruss
                            Roman