2 Replies Latest reply on Feb 12, 2007 3:42 AM by samuel.koops

    [SOLVED] A& amp; amp; amp; amp; amp; a

    DSMForum Master
      Hallo Leute

      NI 5.8, OSD 3.2 und mitten im Rollout .... Hilfe!!!

      Von einem Moment zum anderen waren A&D-Projekte im NIINST32 nur noch
      eingelogt als "Domänen-Admin" sichtbar. Autoinstallation dito. Aufgefallen
      ist es, als unter OSD im "lokalen Admin Mode" keine Projekte mehr
      installiert wurden (... also vor dem Finalize).

      Projekte, welche regelbasiert und nicht über A&D zugewiesen werden, sind
      ihren Einstellungen gemäss sichtbar.

      User:
      Im AD: Der NISIS hat Domänen-Admin Rechte, der "NI Install Service User" und
      der "Replication User" Domänen-User Rechte. Das Netinstall-Share kann
      "Jeder" lesen.

      Lokal: NI Install Service User als member von "localhost"\Administratoren

      Auf welchem Wege kommt der NIINST32 bzw NIAGNT32 an seine A&D Info - also
      MaschinenProjekte und UserProjekte - ran? Fragt er direkt oder geht die
      Anfrage via den Installatiosservice? ODBC? HTTP? Bockt der IIS auf dem
      Master Server?  :-(

      @Frank Scholer:
      Bringt mich Ihr Tip vom 7.3.2006, "Thema: Lokaler Benutzer an NI_Server"
      weiter? Das war:
      NIAGNT32 /NWCM
      Dazu müsste ich noch das Konto des NetInstall Service zum Domänen-Admin
      raufstufen. Aber sehe "ich" dann noch die Benutzerspezifischen Projekte? Ich
      weiss, dass dies nur ein Test, und nicht die "Lösung" ist.

      Mit besten Grüssen

      Samuel Koops


        • 1. Re: [SOLVED] A& amp; amp; amp; amp; amp; a
          Frank.Scholer Master
          Hallo Samuel,

          > Von einem Moment zum anderen waren A&D-Projekte im NIINST32 nur noch
          > eingelogt als "Domänen-Admin" sichtbar.


          Sehr seltsam!

          > Auf welchem Wege kommt der NIINST32 bzw NIAGNT32 an seine A&D Info - also
          > MaschinenProjekte und UserProjekte - ran? Fragt er direkt oder geht die
          > Anfrage via den Installatiosservice? ODBC? HTTP? Bockt der IIS auf dem
          > Master Server?  :-(


          Also der Client (in deinem Fall der NIINST32.EXE, egal ob im interaktiven
          Modus oder als AutoInstaller gestartet) schickt eine HTTP-Anfrage an den
          "aus seiner  Sicht nächstgelegenen" Management Point, auf dem A&D
          eingerichtet ist. Ich geh mal davon aus, ihr habt nur einen MP mit A&D, dann
          isses der.

          Dort wird die DTMXML.DLL aufgerufen (indem ein Request-XML-File an diese
          sogenannte ISAPI geschickt wird) und die schaut dann in die A&D Datenbank
          (in der Regel Teil der Management Datenbank) und gibt die zugewiesenen
          Projekte per http als XML File an den Client zurück. Diese File wird auch
          lokal auf dem Client im NILOGS-Verzeichnis als "Current Targeting
          Information.xml" abgelegt. Da würde ich als erstes mal reinschauen...

          Wenn da nur was sinnvolles drin steht, wenn der angemeldete User Domain
          Admin ist, gehe ich davon aus, dass es sich um ein Berechtigungsproblem beim
          Zugriff auf die DB handelt. Weil Domain Admins standardmäßig auch SA-Rechte
          auf dem SQL-Server haben und daher dort auch alles dürfen.

          Mein Tipp: irgend jemand hat bei euch die Authentifizierungseinstellungen im
          IIS geändert. Die Management Point Website und dabei speziell das virtuelle
          Verzeichnis "A_D" unterhalb dessen die DTMXMLliegt, müssen auf "Anonymous"
          stehen, sonst erfolgt die Anfrage an die Datenbank mit den Rechten des
          Accounts, der den Request abgesetzt hat und da das ein normaler User ist,
          hat er keine Leserechte auf die Datensätze von A&D...

          > @Frank Scholer:
          > Bringt mich Ihr Tip vom 7.3.2006, "Thema: Lokaler Benutzer an NI_Server"
          > weiter? Das war:
          > NIAGNT32 /NWCM
          > Dazu müsste ich noch das Konto des NetInstall Service zum Domänen-Admin
          > raufstufen. Aber sehe "ich" dann noch die Benutzerspezifischen Projekte?
          > Ich weiss, dass dies nur ein Test, und nicht die "Lösung" ist.


          Nee, das hat nicht wirklich was damit zu tun... bei A&D geht's um http und
          bei diesem Thema um NetBios-Verbindungen. Das sind grundsätzlich zwei
          verschiedene Paar Schuhe...

          HTH, Gruß Frank


          • 2. Re: [SOLVED] A& amp; amp; amp; amp; amp; a
            samuel.koops Apprentice
            @Frank Scholer

            Vielen Dank für Ihre Hinweise.


            > Also der Client (in deinem Fall der NIINST32.EXE, egal ob im interaktiven
            Modus oder als AutoInstaller gestartet) schickt eine HTTP-Anfrage an den
            "aus seiner Sicht nächstgelegenen" Management Point, auf dem A&D
            eingerichtet ist. Ich geh mal davon aus, ihr habt nur einen MP mit A&D, dann
            isses der.

            Das ist so

            > Dort wird die DTMXML.DLL aufgerufen (indem ein Request-XML-File an diese
            sogenannte ISAPI geschickt wird) und die schaut dann in die A&D Datenbank
            (in der Regel Teil der Management Datenbank) und gibt die zugewiesenen
            Projekte per http als XML File an den Client zurück. Diese File wird auch
            lokal auf dem Client im NILOGS-Verzeichnis als "Current Targeting
            Information.xml" abgelegt. Da würde ich als erstes mal reinschauen...

            Da sind eine ganze Reihe von Projekten drin. Es sieht soweit gut aus.

            > Wenn da nur was sinnvolles drin steht, wenn der angemeldete User Domain
            Admin ist, gehe ich davon aus, dass es sich um ein Berechtigungsproblem beim
            Zugriff auf die DB handelt. Weil Domain Admins standardmäßig auch SA-Rechte
            auf dem SQL-Server haben und daher dort auch alles dürfen.

            > Mein Tipp: irgend jemand hat bei euch die Authentifizierungseinstellungen im
            IIS geändert. Die Management Point Website und dabei speziell das virtuelle
            Verzeichnis "A_D" unterhalb dessen die DTMXMLliegt, müssen auf "Anonymous"
            stehen, sonst erfolgt die Anfrage an die Datenbank mit den Rechten des
            Accounts, der den Request abgesetzt hat und da das ein normaler User ist,
            hat er keine Leserechte auf die Datensätze von A&D...

            Auch hier entspricht alles den o.a. Bedingungen.

            Jemand hat in A&D die gesamte OU mit den Hilfsaccounts (u.a. der "lokale" Administrator) deaktiviert. Mann ist das peinlich.

            Entgegen meiner ersten Information haben die meisten User nämlich funktioniert ... und das macht dann stutzig.

            Vielen Dank für die Hilfe ... immerhin verstehe ich jetzt mehr über die Interna von NI

            Samuel Koops