2 Replies Latest reply on Jul 5, 2012 6:03 AM by derjani

    DSM7 mit vielen Domänen

    Manuel.Walz Apprentice
      Hallo zusammen,

      wir setzen derzeit DSM7 in unserer Infrastruktur ein um vor allem Server zu verwalten. Momentan sind es noch relativ wenig Domänen. Damit wir mit Domänenaccounts arbeiten können haben wir für untereinander nicht vertrauende Domänen jeweils ein Depot eingerichtet.

      Für zukünftige Projekte werden wir aber viele Domänen, oft nur aus 3-4 Servern bestehend, aufbauen müssen. Damit wir auch die DomainController verwalten können sind ja zwingend DomänenAccounts zum Zugriff auf das Depot notwendig.

      Wie kann dieses Problem jetzt gelöst werden ohne jedes Mal ein komplett neues Depot einrichten zu müssen?
        • 1. Re: DSM7 mit vielen Domänen
          NicoS1 Master
          Hallo Manuel,

          vor genau der gleichen Anforderung stehe ich auch demnächst.

          Ich habe es noch nicht getestet, aber sollte es funktionieren (zumindest in meinem Kopf ):

          Vorraussetzung ist DSMv7.1

          Du konfigurierst pro Kunde bzw. Domäne eine eigene Site, und vergibst dort die (Domänen)Usernamen, unter denen die Runtime und Service User usw. laufen auf den Clients (also die aus der Kundendomäne).

          In der v7.1 hast du unter "Service-Einstellung" eine neue Option namens "Benutzerkonto für den Depot-Zugriff". Hier trägst du dann entweder einen User ein, den du lokal auf dem Depot anlegst, oder einen Domänenuser der Domäne in der sich deine Netinstall Server befinden.

          Du musst nur darauf achten, das du zu den richtigen Werten die richtigen User einträgst:
          a) Depotbezogene User für deinen Depotserver (normal konfigurieren)
          b) Clientbezogene User (User aus der Kundendomäne)
          c) Depotzugriffsuser (lokal oder Domäne der DSM-Server)
          • 2. Re: DSM7 mit vielen Domänen
            derjani Apprentice
            Hallo Manuel,
            bei uns ist die Situation ähnlich, viele Domänen ohne Trust und nur Server.  Hier einige Punkte die wir festgestellt haben bzw. umgesetzt haben.

            Mit dem Update auf DSM 7.1 sind zwei wesentliche neue Funktionen dazu gekommen um dieses Anforderung besser umzusetzen.


              [*]Der Zugriff aufs Depot ist vom Service Installer Account nun getrennt. Das bedeutet, die Massendaten werden mit dem Account abgeholt, der aufs Depot zugreifen kann, auch wenn der Account eben aus der Domäne ist wo der das Depot steht. Und der Service Installer Account kann dann aus der anderen Domäne sein der auch das Recht hat auf der Maschine Software zu installieren.

              [*]Dieser Service Installer Account kann nun auch das SYSTEM-Konto sein. Das hat den Vorteil, dass man keinen Account erstellen muss der Administrative rechte auf dem System hat. Dazu gibt es einen guten Beitrag im BLOG von NWC.

            Wir haben aber leider schon zwei Nachteile gefunden:

            Die Sofort Installation aus der DSMc ist dann nicht möglich, da der Account der in der Site Hinterlegt werden muss, keine Lokalen Admin Rechte hat. Das ist nötig, damit der Management Point den RPC Aufruf zum Client (in unserem Fall ein Server OS) durchführt und der DSM Client ein neues Polling ausführt.

            Es gibt leider auch Setup Programme die im Kontext des Systems nicht richtig laufen.  Dafür müsste man das Programm im Zweifel mit dem RunAsEx und mit einem Hinterlegten Benutzer im Script laufen lassen, der genügend Rechte hat.

            Eigentlich brauch man einen Account in der Domäne der auf den lokalen Rechner Admin Rechte hat. Um diese beider Problem zu Umgehen.


            In eurem Fall werdet ihr auch bestimmt Server mit dem OSD installieren, dazu haben wir das OS-Set angepasst, dass der Domain Join schon bei der Installation erfolgen muss. Der Benutzer der das Recht hat Rechner in die Domäne hinzuzufügen wird via Cuostem Variabel gepflegt, eben pro Domäne ein User der das kann.

            Deshalb haben wir pro Domäne einen User der „kein“ Domain Admin ist, aber dafür auf den gemanagten Servern in der Gruppe der Lokalen Administratoren ist. Das ist pro Domäne auch immer ein anderer Benutzername mit einem anderen Kennwort. „Security Thema“

            Wenn ihr den Auto Installer nutzt, mit Windows 2008 Servern, dann benötigt ihr auch den SIS User. Aber davon gehe ich jetzt mal nicht aus.

            Wir haben mit den oben beschriebenen Optionen, nur noch ein Depot, da alles Server Zentral stehen.


            Ich hoffe dir kann dies etwas weiter helfen.

            Sascha