Mo

06

Nov

2017

veraltete GPO Richtlinien

mehr lesen

Do

17

Aug

2017

Mozilla kriegt die MSI - Kurve ?

Manchmal geschehen noch Wunder. Oder ist es eher ein Trostpflaster? Ein Akt der Reue? Das wäre zumindest angebracht.

 

Seit gut 15 Jahren ignoriert Mozilla die Forderungen von Profis der IT Branche doch endlich einen Firefox als MSI Installer zur Verfügung zu stellen damit er besser in Unternehmen eingesetzt werden kann. Unnötig befand Mozilla, nicht cool und hip, wir wollen doch das Web neu gestalten. Entwickelte statt dessen Apps und Features, ganze Betriebssysteme nd Ökosysteme die nach 2 Jahren wieder in der Versenkung verschwanden. Verbranntes Geld.

 

In der Zwischenzeit eroberte Chome die Geräte.  Und nicht nur die privaten. Der Browser kam praktisch vom Start weg mit Unternehmsunterstützung, MSI Version und Dokumentation zum Deployment.

 

Im August 2017 wackelte bei  Mozilla wohl der Kronleuchter, als ein Ex Mitarbeiter verkündete sein kalkulierter Marktanteil von Firefox wäre nur noch ein Bruchteil der Installationen vor ein paar Jahren. Einige Fachartikel folgten. Das muss bei Mozilla zu plötzlicher Suche nach Marktlücken gesucht haben.

 

Kaum 14 Tage später erscheint in der Mailinglist für Anwender der Firefox ESR Version ein Feedback Fragebogen und ein Firefox in MSI Verpackung. Nur Verpackung, versteht sich. Drin steckt immer noch eine .EXE .

 

So etwas ist nicht neu. Frontmotion bietet seit Jahren MSI verpackte Firefox samt Konfiguration an, und eine MSI um eine EXE zu wickeln ist mit vielen Tools ohne Hexerei möglich.

Mozilla verwendet den Begriff Prototyp für das Konstrukt, was für mich impliziert das das Entwicklungsziel keineswegs in einem vollwertigen MSI Installer liegt.  Vollwertige MSI Installer ermöglich in der Regel die Voreinstellung bestimmter Parameter für Installation und Betrieb, eine gewrappte Version kann das nur schwer leisten, vor allem wenn keine entsprechenden Schalter für den darunter liegenden .EXE Installer exsistieren.

 

Man darf jedenfalls sehr gespannt sein.

 

0 Kommentare

Mi

07

Jun

2017

spezielle Gruppenrichtlinien für Windows Sicherheit Grundeinstellungen

wie bereits im letzten Artikel beschrieben stellt MS zusätzliche Gruppenrichtlinien Templates bereit die spezielle neuralgische Themengebiete bündeln.

Eines dieser Pakete sind die Windows security baselines. Das Paket richtet sich NICHT speziell an Windows Enterprise Produkte, sollte also auch auf allen Professionell Versionen funktionieren.  Microsoft erweitert mit den Templates die konfiguralen Einflußmöglichkeiten von Administratoren auf möglicherweise sicherheitsrelevante Optionen die bisher nicht ohne weiteres über GPO erreichbar waren. 

 

die Baselines bestehen aus drei .admx Dateien und erweitern den Editor um folgende GPO Ordner unter Computerkonfiguration/Richtlinien/Administrative Vorlagen:

  • LAPS ( Local Administrator Policy Settings ?)
  • MS Security Guide
  • MS (Legacy)

 

 

 

Mi

07

Jun

2017

spezielle Gruppenrichtlinien fuer Traffic Benachrichtigung in Windows 10

Datenschutz, Telemetrie und die Datenuebermittlung an Microsoft im Allgemeinen stehen bei Windows 10 seit Anfang an am Pranger.  Infomeldungen, Einblendungen und anderer Kitsch kommen nicht weit dahinter.

Doch der Konzern reagiert manchmal, vor allem auf Druck aus dem Business Bereich. Etwas unbeachtet hat Microsoft fuer Windows 10 zusaetzliche spezielle Gruppenrichtlinien Templates veroeffentlicht. Diese sind NICHT Teil des allgemeinen Gruppenrichtlinien Datensatzes der mit jedem Windows Upgrade aktualisiert wird. Die Templates stehen jeweils fuer die aktuell supporteten Windows10-Varianten bereit.

Eigentlich richten sich diese zusaetzlichen Gruppenrichtlinien an die Produktgruppe Windows Enterprise, es ist aber davon auszugehen das auch unter Windows Professional zahlreiche Schalter greifen. Vorsicht beim Einsatz, die geänderten Registrierungseinstellungen sind Voreinstellungen und später oft nicht über die GUI erreichbar.

Zur Erläuterung bietet MS diese Informationen. MS erläutert darin das es verschiedene Restriktionen in der Windows Restricted Traffic Limited Functionality Baseline zusammenfasst um Administratoren eine effizientere Verwaltung zu ermöglichen. Das Paket sieht eigentlich vor das es an der Commandline lokal ausgeführt wird, ich sehe aber nichts was dagegen spricht die enthaltenen .admx und adml Dateien in den Central GPO Store des Servers zu kopieren.  

 

Das Template fügt der Gruppenrichtlinien Verwaltung im Bereich Computerverwaltung/Richtlinien/Administrative Vorlagen folgende Templates hinzu:

  • Windows Restricted Traffic Custom Policy Settings

sowie unter Benutzerkonfiguration/Richtlinien/Administrative Vorlagen

  • Windows Restricted Traffic Custom Policy Settings

 

 

 

Di

14

Mär

2017

PROLIFIC USB-to-Serial  Comm Port Treiber der unter Windows 10 korrekt funktioniert

USB to Serial Treiber sind in Forschung und Industrie weit verbreitet. Bei den Kabeln und Adaptern hat Prolific einen hohen Marktanteil. Seit Windows 8 haben aber zahlreiche Adapter plötzlich Probleme mit ihren Treibern klar zu kommen, im Gerätemanager bekommt man ein gelbes Dreieck und Code 10.

Laut Prolific hat das zwei Ursachen. Man verwendet ein gefälschten Chip und/oder ein Chip Modell für das ab Windows 8 keine Treiberunterstützung besteht.

Man kann es auch so formulieren: Wir wollen nicht das ihr die alten Adapter weiter benutzt, haben deshalb den Treiber geändert, und jetzt kauft bitte neue Adapter.

 

An dieser Stelle bietet sich der Ansatz an, der Hardware einfach einen älteren Treiber aufzuzwingen. Optimalerweise aber jung genug das er zumindest zertifiziert ist. Treiberversionen für Prolific gibt es wie Sand am Meer, also kann man eine Weile probieren.

 

Im Hauseigenen Test ergab sich unter Windows 10 folgendes:

 

Prolific 03.08.2005  V 2.0.0.19         (W98SE, ME) - nicht zertifiziert,      -> gelbes Dreieck, Error Code 10   [ Treiber zu alt? ]

Prolific 15.08.2014  V 3.4.67.325     (7, 8, 8.1 Certified WHQL Driver)    -> gelbes Dreieck, Error Code 10 [ Chip zu alt oder gefälscht]

Prolific 29.04.2011  V 3.3.17.203     (2000,XP,Vista, W7; C. WHQL D)    -> wird korrekt erkannt !             [ genau richtig ]

 

 

Na sowas, offensichtlich geht es, da wollte wohl jemand nur nicht! Der Treiber stammt urprünglich von einem Logilink Adapter.

 

Damit Windows 10 ihren Erfolg nicht wieder zu nichte macht sollten sie das automatische Treiberupdate unterbinden. Entweder über die Erweiterten Systemeinstellungen oder auch global über die Gruppenrichtline.

 

 

0 Kommentare

Mo

28

Nov

2016

MemoHASP Dongel für LPT / Parallelport unter Windows 7 / Windows 10 verwenden

Manchmal hat man alte Software, aus Windows 3.11-Windows 98 Zeiten. die war teuer, macht ihr Ding - aber ist nur schwer auf moderne Hardware zu bekommen. In der Vergangenheit habe ich schon mehrfach solche Upgrades beschrieben.

 

Diesmal geht es um eine Software die mit einem MemoHSAP Dongel geliefert wurde. Der Dongel ist für die Parallel-Schnittstelle aka LPT1. Das ganze war ursprünglich noch auf  Disketten, lies sich aber bis Windows XP problemlos installieren.

 

Seit Windows 7 wurde der Dongel nicht mehr erkannt beim Programstart.

 

1.) Um solche Software und Treiber zum laufen zu bekommen benötigt man optimalerweise ein 32bit Windows, denn nur das kann den 16bit Kompartibilitätsmodus den man möglicherweise braucht. Auch ist es einfacher mit den Treibern, den 64bit Treiber waren früher nicht exsistent.

 

2.) Der Dongel und die Software haben nichts miteinander zu tun. Dongel kamen früher oft von Alladin, die wurden von Safenet gekauft, und ie sind jetzt Gemalto, also ganz klar das kaum noch ein Link funktioniert.

 

3.) Die Dongel brauchen Treiber. Der Treiberinstaller lautet praktisch immer auf hinstall.exe . Unsere war Original Version 3.1. 

 

4.) Für den Einsatz auf Windows 7 oder höher wird die Treiberversion  4.xx empfohlen, ich benutze 4.95.  Der Installer trägt den Namen " Alladin HASP Driver Installer"

Ich habe noch nicht getestet ob höhere Treiber auch funktionieren mit den alten Parallelport - Dongels! Ich habe ihn hier geladen oder hier.

 

5.) Unter Windows 7 muss man den Treiber noch in den Kompartibilitätsmodus zwingen. Also  nach dem entpacken Rechtsklick/Eigenschaften/Kompartibilität -> Kompartibilitätsmodus : VISTA

 

6.) Gestartet wird die Installation manuell auf der Kommadozeile, "cmd" als Administrator ausführen,  mit dem Parameter -i , alternativ früher oft per .bat . Also: hinstall.exe -i

 

Dann sollte es funktionieren. Die alten Dongel tauchen nicht im Gerätemanager auf, das ist normal.

 

Neben dem hinstall.exe Treiber gibt es alternativ noch den hdd32.exe Treiber. Dieser ist nicht für die Kommandozeile sondern hat eine GUI. Er ist auch für LTP-Port - Dongels, ich habe es aber nicht ausprobiert.

 

0 Kommentare

Do

27

Okt

2016

Moddern Apps in Unternehmen offline verteilen

Vor einiger Zeit öffnete Microsoft den bereits seit langem angekündigten "Store for Business".  Modern Apps im Unternehmen zu nutzen war trotzdem eher schwierig, denn es war nötig das das Unternehmen AZURE AD hatte, und das ist in Deutschland bisher nicht gerade die Regel. Zudem ist dies kostenpflichtig.

Unternehmen mit einer eigenen Domäne / AD sahen sich daher praktisch nicht in der Lage Modern Apps bereitzustellen und zu verwalten.

Jetzt hat Microsoft seinen Business Store erweitert. Neben Apps mit OnlineLizenz exsistieren auch Apps mit Offline Lizenzierung. Diese stehen dann zum Download bereit und können offline verteilt werden. Vermutlich ist dies der erste Schritt dahingehend das Microsoft seinen Store auch für DesktopProgramme öffnet.

Gleichzeitig wurde mit dem Windows 10 1607 Upgrade fast unbemerkt der AppInstaller eingeführt. Dieser startet .appx Pakete und installiert diese, wofür bisher 2 Powershell Kommondos erforderlich waren.

Microsoft nennt 3 Gründe für Offline lizenzierte Apps:

 

Sie haben keinen Zugriff auf die Windows Store-Dienste

Zur Geräteverwaltung in Ihrer Organisation verwenden Sie die Imageerstellung

Ihre Mitarbeiter haben keine Azure Active Directory (AD)-Konten

 

Als Verteilungsmöglichkeit werden ebenfalls drei Möglichkeiten aufgeführt:

Abbildverwaltung für die Bereitstellung (DISM)

Windows ICD

Verwaltungsserver ( typisch SCCM)

 

Ausführlich erläutert Microsoft das hier.

 

Nun, wenn man Apps in einem laufenden System bereitstellen will fällt DISM eher weg, und SCCM ist im Klein- und Mittelstand auch nicht gerade verbreitet, von den Kosten ganz abgesehen. Windows ICD wäre eine Möglichkeit, aber eigentlich ist das alles schon zu mächtig zu kompliziert. Außerdem will ich die Apps gar nicht aufzwingen, lieber würde ich sie den Nutzern nur anbieten, so das sie selbst wählen können.

 

Die Minimalvariante:

Im Prinzip ist es ausreichend einen FreigabeOrdner auf dem Server zu haben in dem die .Appx Pakete liegen. User mit W10 1607 oder höher können die zum Installieren einfach anklicken, sie installieren sich dann App-typisch benutzerspezifisch. Simple.

Aber nicht sehr schick. Also - darüber liese sich mit etwas Geschick eine Intranetseite stülpen, die auf die entsprechenden .appx Dateien verlinkt, Quasi der Firmeneigene Offline Store. Appropos - eine Shop Software wäre dafür praktisch wie gemacht.

 

0 Kommentare

Do

01

Sep

2016

Fehler Error 0x8024500c Windows 10 1607 Clients kommunizieren nicht mit WUSUS

Bei Einführung des Funktionsupdates 1607 häuften sich mal wieder die Probleme. Jene Mutigen, die in den ersten Tagen zum Teil manuell das Upgrade wagten sahen sich zum Teil mit einem neuen Problem konfrontiert:

 

Die Clients konnten nicht mit dem WSUS kommunizieren! Am WSUS vorbei liefen die Updates. Wenn das ganze noch mit Error 0x8024500c garniert ist gibt es einen Tipp.

 

Dieses Problem tritt auf in Verbindung mit bereits aktualisierten Windows 10 1607.admx Templates. Grund ist das die Windows Update Richtline "Upgrades und Updates zurückstellen" (" DeferUpgrades ") ersetzt wurde durch mehrere andere Richtlinien.

Wurde diese verwendet und die diesbezüglichen neuen Richtlinen ebenfalls kommt es zu Konflikten beim WSUS Zugriff. Man kann das aber nicht mehr ändern, da die Policity nicht mehr exsistiert. Mann muss sie also wieder erzeugen / wiederherstellen.

Erkennbar wird das Problem wenn man Gruppenrichtlinenergebnisse für einen Client erzeugen lässt und unter Adm. Vorlagen den Eintrag: "Zusätzliche Reg. -einst." findet. Dort werden aktive Policities gelistet für die es keine Nutzeroberfläche mehr gibt.

Um das Problem zu beheben kann man entweder die WindowsUpdate.admx aus den 1607er Templates duch die ältere Version der 1511er Templates ersetzen, setzt die Windows Update Richtline "Upgrades und Updates zurückstellen" zunächst auf  "Nicht konfiguriert". Ab da kommunizieren die 1607er Windows sofort korrekt mit dem WSUS .  Man wartet ein paar Tage bis sie auch wirklich alle Clients gezogen haben. Dann ersetzt man sie wieder gegen die neue Version und konfiguriert nach Gusto.

Die andere Möglichkeit ist, man öffnet die .admx und die .adml, kopiert die entsprechende Policity und den Languageabschnitt von der 1511 Version in die 1607er Version. Das wäre perfekt. Hat bei mir aber nicht geklappt. Hat aber nichts zu sagen, vom Coden verstehe ich nichts.

0 Kommentare

Do

25

Aug

2016

Cortana Web Suche unter Windows 10 1607 blockieren mittels GPO verteiltem Registry Key

Ab Version Windows 10 1607 ist es für Windows Professional Versionen nicht mehr möglich Cortana und die Web Suche per GPO zu deaktiveren. Diese Option ist nur noch Enterprice & Co. vorbehalten. Das ist extem nervig, denn welches Unternehmen will schon das alle ( lokalen ) Suchen zu Microsoft gepustet werden.

Erfreulicherweise kann man dem noch Einhalt gebieten, denn ein entsprechend gesetzter Reg Key ist wirksam.

 

Um diesen auf die Clients zu bekommen ist eine recht elegante Art ihn einfach per GPO zu verteilen. Das kann auf Computer oder Benutzerebene geschehen, nachfolgend für Computerebene.

 

In der Richtline eurer Wahl, nennen wir sie "Benutzereinschränkungen" oder "BlockCortanaWebSuche" gehen wir nach:

Computerconfiguration/Einstellungen/Windows-Einstellungen/Registrierung

 

Dort Rechtsklick - Neu->Registrierungselement. Es öffnet sich das Fenster " Neue Registirierungseigenschaften "

 

Aktion: Als Aktion empfehle ich es zunächst auf "Aktualisieren" zu belassen

Struktur: HKLM (für Computerebene)

Schlüsselpfad: \ SOFTWARE\Policies\Microsoft\Windows\Windows Search\

Name: AllowCortana

Werttyp: REG_DWORD

Wertdaten:0

 

Und analog dann das Gleiche nochmal für "BingSearchEnabled".

 

Ok, damit die Richtlinie schön brav nur auf Windows 10 Systemen zum Einsatz kommt fehlt noch die Zielgruppe.

Wir wechseln im gleichen Fenster auf das Tab "Gemeinsame Optionen", setzen den Haken bei "Zielgruppenadressierung...." und öffen mit dem Button den Zielgruppenadressirungseditor.

Wir wählen "Neues Element".... und hier könnte alles so einfach sein wenn nich der Server älter wäre als das Zielbetriebssystem, denn Windows 10 taucht hier unter "Betriebssystem" nicht auf. Deswegen wählen wir die klassische WMI-Abfrage und tragen als Abfrage ein:

 

select * from Win32_OperatingSystem where (Version like "10.%" AND ProductType="1")

 

Ja, super, Ok, alles schließen und ausprobieren. Nach dem nächsten ziehen der GPO sollte zum einen der Schlüssel in der Registry erscheinen und als Ergebnis dessen die Windows Suche lokal beschränkt sein.

 
mehr lesen 0 Kommentare

Di

23

Aug

2016

Windows Upgrade 1607 Anniversary wird im WSUS nicht korrekt angezeigt und von Clients nicht erkannt

Am 16.08.2016 wurde das Windows 10 Upgrade 1607 aka Anniversary aka Jubiläumsupdate für die Verteilung per WSUS freigegeben.

 

Nach bisherigem Konsens handelt es sich sich eigentlich um ein UPGRADE , wie auch das 1511. Allerdings schaffte Microsoft aus mir unerfindlichen Gründen im WSUS die neue Produktgruppe WINDOWS/Windows 10 Anniversary UPDATE and Later Servicing Drivers, obwohl die bestehende Produktgruppe Windows 10 and later upgrade &servicing drivers nach meinem Verständnis es hätte auch tun sollen. Die Folge ist das im WSUS unter Updates/Upgrades jetzt sogenannte Funktionsupdates auftauchen. Leider hapert es da bei MS auch noch mit der Rechtschreibung, aber da gehts ihnen wie mir.

 

Das Upgrae benötigt diverse Vorrausetzungen:

- Betrieb eines WSUS 4

- Aktivierung Produktgruppe WINDOWS/Windows 10 Anniversary UPDATE and Later Servicing Drivers

- Installation KB3159706 inklusive der manuellen Schritte: https://support.microsoft.com/en-us/kb/3159706

 

 

Unglücklicherweise werden sämtliche Upgrades bei mir unvollständig angezeigt. Weder funktioniert die Relaaseerkennung noch die Lokalisation und auch mit der Lizenzerkennung stimmt was nicht. Das Ergebnis davon ist das die Clients nicht erkennen ob das Upgradeupdate nun für sie ist oder nicht.

mehr lesen 0 Kommentare

Di

16

Aug

2016

JAVA JRE Softwareverteilung für WPP

Stand: 08/2016 - JAVA 8U101

 

Seit JAVA 8U20 JRE wurden die Regeln auf welchen Wegen JAVA eine Softwareverteilung in einem Unternehmen durchläuft deutlich geändert. Oracle sieht zwei Wege vor:

*Einsatz einer kommerziellen Enterprise-MSI, die entsprechend konfiguriert werden kann

*Verwendung des Offline .EXE Installers mit Zusatzparametern oder Konfigurationsfile

 

Der traditionelle Weg, des Gewinnen der MSI aus dem .EXE Installer wird offiziell nicht supportet.

 

Ausgiebige Tests mit den neuen Möglichkeiten des .EXE Installers zeigten das dieser für den Einsatz in einer Updatebasierten Softwareverteilung wie WPP/WSUS nicht geeignet ist. Ausführliche Gründe finden sich in diesem Blogeintrag.

 

Um zum einen die Kontrolle über die wesentlichsten Kofigurationsparameter zu haben, zum anderen aber auch Herr darüber zu sein welche Version ( gegebenenfalls aus Kompartibilitätsgründen auch ältere ) installierte und deinstalliert werden, kommt in Verbindung mit WPP folgendes vorgehen in Frage:

 

Gewinnung der .MSI aus der jrexxxxx.EXE

Anpassen der .MSI mittels ORCA und Erzeugung eines .MST Files

Erstellung des JAVA Installationsupdates in WPP

Erstellung des JAVA Deinstallationsupdates in WPP

 

Die Anleitung setzt vorraus, das im WSUS bereits eine Computergruppe "JAVA" eingerichtet wurde in der die betreffenden Clients Mitglied sind. Ferner sollte auf dem Server ein (versteckter) Ordner für die Softwareverteilung exsistieren, mit Unterordnern für die zu verteilenden Programme und den entsprechenden Freigaben!

 

  • Gewinnung der .MST aus der jrexxxx.EXE

Von Oracle laden wir die Offline-Installationsdatei herunter.

Wir starten die Installation, warten das Entpacken ab und brechen den Vorgang ab.

Die .MSI befindet sich dann unter c:\Users\Username\AppData\LocalLow\Oracle\

Wir kopieren die .MSI in den Ordner der Softwareverteilung, zB. c:\Softwareverteilung$\JAVA

 

  • Anpassen der .MSI mittels ORCA und Erzeugung eines .MST Files

Wir starten das Programm ORCA und öffnen die jrexxxx.msi aus der Softwareverteilung

Wir wählen "Transform-> New Transform" um nachfolgende Änderungen nicht in der Originaldatei vorzunehmen.

Im Table "Property" nehmen wir folgende Änderungen vor:

- AUTOUPDATECHECK -> 0

- JAVUPDATE -> 0

- REBOOTYESNO -> No

Es ist möglich hier weitere Schalter zu setzen, z.B. hinsichtlich des Sicherheitslevels, aber diese drei sind die Basics mit denen man starten sollte. Bei der Recherche nach weiteren Optionen beachten sie bitte: Einige Optionen sind nur für die Enterprice-MSI verfügbar. Andere nur für das .exe CommandLine File gedacht. Auch wenn Schalter verfügbar sind bedeutet es nicht das sie greifen, so sind z.B. InstallExecuteSequence/FindRelatedProducs->RemoveolderJRES=1 und InstallExecuteSequence/RemoveExsistingProducs->RemoveolderJRES=1wirkungslos.

Wir wählen "Transform-> Generate Transform" und speichern die Datei unter einem erkennbaren Namen, zB. JAVA-Firma.mst .

 

  • Erstellung des JAVA Installationsupdates in WPP

Wir starten WPP, und hangeln uns nach Oracle Corporation /JAVA . Falls sie noch kein Oracle JAVA im WPP Verzeichnis haben gleich weiter zu Schritt 2, es wird dann erst angelegt mit dem ersten erstellten Update.

Wir wählen per Rechtsklick "Update erstellen". Unter "Datei" wählen wir die .msi aus, unter "weitere Dateien" die .mst . WEITER .

Im nächsten Assistentenfenster füllen wir die Beschreibung aus, benennen das Produkt ( JAVA ) und den Titel des Updates (JAVA 8Uxx 32bit Install). WEITER

Ab da einfach alle Asistentenfenster durchklicken und Update veröffentlichen. MSI Installer füllen ihr Regelwerk zumeist selbst sofern nicht besondere Anforderungen nötig sind.

Jetzt die Genehmigung. Wir markieren das Update im Übersichtsfenster, wählen im Kontextmenü "Genehmigen..."

Im sich öffnenden Fenster wählen wir die passende Computergruppe (JAVA) und die Option "zur Installation genehmigen"

Ab sofort sollte es bei der nächsten Updatesuche der ausgewählten Clients erscheinen.

 

  • Erstellung des JAVA Deinstallationsupdates in WPP

Die mit diesem Wege verteilten Updates sind STATISCHE Updates, das bedeutet das alle JAVA Versionen parallel installiert werden und alte nicht automatisch deinstalliert werden. Dies passiert automatisch wenn man mit der extrahierten .MSI arbeitet.

Das ist nicht verkehrt, denn es verhindert das alte Versionen die eventuell im Zusammenspiel mit anderen Programmen zwingend nötig sind einfach verschwinden.

Auf der anderen Seite bedeutet es das man sich selber um die Deinstallation alter JAVA Versionen kümmern muss.

 Die WPP Option " zur Deinstallation genehmigen" funktioniert leider nicht bei JAVA.

Also erstellen wir uns extra ein Deinstallations-Update:

Wir starten WPP, und hangeln uns nach Oracle Corporation /JAVA .

Wir wählen per Rechtsklick " benutzerdefiniertes Update erstellen". Im Custom Update Creator wählen wir links "Allow to uninstall one ore more MSI Product", übernehmen es per Doppelklick ins rechte Feld und öffnen es per Doppelklick.

In das obere Eingabefeld kopieren wir den MSI ProductCode des JAVA Updates das deinstalliert werden soll.  Den Code kann man zB über den MSI Manager ermitteln der von dieser Seite aus zugänglich ist. Oder man nimmt ihn von der letzten Seite des WPP Assistenten mit dem das Update damals erstellt wurde. Oder man zieht ihn aus der Registry, oder .......

Nach einem Klick auf OK schließt sich das Fenster und der normale Updateassistent startet, wobei dieser jetzt bereits mit Infos aus dem vorhergehenden Schritt beladen ist, wie sich an der Befehlszeile erkennen läßt, Als Titel sollten wir so etwas wie "JAVA 8Uxx Uninstall" wählen.

Diesmal benötigen wir Regeln.

Im ersten Regelschritt des Assistenten wählen wir als "Regeltyp: MSI Produkt installiert", klicken auf "+Regel hinzufügen", geben wieder den MSI Product Code ein, markieren "Regel umkehren". Der Rest bleibt leer

Im zweiten Regelschritt des Assistenten wählen wir als "Regeltyp: MSI Produkt installiert", klicken auf "+Regel hinzufügen", geben wieder den MSI Product Code ein. Der Rest bleibt leer.

Durchklicken und Update veröffentlichen.

Jetzt die Genehmigung. Wenn ein neues JAVA Update jrexxx+1.exe erscheint, und es wie gezeigt eingebunden wurde, dann setzen wir das bisherige Installationsupdate auf "Abgelaufen" und das Deinstallationsupdate auf  "Genehmigt", natürlich immer schön für die JAVA Computergruppe.

 

0 Kommentare

Mo

15

Aug

2016

Versuch: ORACLE konforme Softwareverteilung von JAVA 8 mittels Command Line Parametern mit WSUS Packet Publisher ( WPP )

Stand: 08/2016

 

Bereits in der Vergangenheit war ich auf die Konfiguration von JAVA zur Softwareverteilung eingegangen, zunächst für den LPP . ein weiter Artikel widmete sich der Verteilung als .exe Datei, nicht wissend welche Bedeutung dies eine JAVA Version später erlangen würde.

 

Mitlerweile sind die meisten wohl von LPP auf WPP gewechselt, und die JAVA Fragen im WPP Forum kehren immer wieder, Zeit also sich intensiv mit dem Thema auseinanderzusetzen.

 

Die JAVA JRE Verteilung ist ein steter Quell von Leid und Gefrickel. Die Möglichkeiten der Konfiguration von JAVA mittels .MSI bzw. transformierter .MST waren zuletzt bereits deutlich eingeschränkt, außerdem nervte der Arbeitsaufwand immer erst die .EXE extrahierenzu müssen. Vertretbar war dies jedoch durch die wesentlich besseren Handlingeigenschaften von .MSI Dateien, insbesondere der Möglichkeit sie in der Softwareverteilung zur Deinstallation anweisen zu können.

 

Seit Version JRE 8U20 traten jedoch Probleme auf:

- die Installation von JAVA erfogte plötzlich statisch, dh. alte Versionen wurden nicht entfernt.

- die Anweisung zur Deinstallation per WPP softwareverteilung schlug fehl

 

 

Die aktuellen Anweisungen von Oracle für Silent Installationen:

http://java.com/de/download/help/silent_install.xml

 

Hinweise: Die gelegentlich zu findende Empfehlung der Verwendung der Option: REMOVEOLDERJRES=1 ist nur für die kostenpflichtige Enterprise-.MSI unterstützt, nicht für die MSI die sich aus der EXE extrahieren lässt! Dokumentiert ist das auf der Supportseite für Enterprise-.MSI:

https://www.java.com/de/download/help/msi_install.xml

 

Anweisungen zur JRE Installation und Deinstallation:

http://docs.oracle.com/javase/8/docs/technotes/guides/install/windows_jre_install.html

 

Es exsistiert eine Übersicht von Befehlen die in Verbindung mit dem .exe Installer verwendet werden können:

http://docs.oracle.com/javase/8/docs/technotes/guides/install/config.html#installing_with_config_file

Laut Oracle sind sie auf zwei Wegen einsetzbar: Entweder man verwendet sie in einem extra Configurationsfile, oder man übergibt sie bei der Installation als Command-Line Optionen. 

Leider ist das kaum mit Beispielen belegt, und ziemlich undurchsichtigt.

Es ist zu beachten das nicht alle Optionen in allen Fällen zur Verfügung stehen. So ist SPONSORS= überhaupt nicht verfügbar und der Enterprise-Konfiguration vorbehalten. REMOVEOUTOFDATEJRES= (nicht zu verwechseln mit REMOVEOLDERJRES=) ist nur als Command-Line Option verfügbar und greift nur bei der Installation. Dann gibt es für den Installer noch die Option /s , keiner kann sagen was der Unterschied zum Befehl INSTALL_SILENT=1 ist.

Ebenso interessant die Frage wie STATIC=0 und REMOVEOUTOFDATEJRES=1 zusammenspielen. Unklar auch ob man tatsächlich Enable / Disable einfach durch 1/0 ersetzen kann wie behauptet wird.

 

Unglücklicherweise war es mir fast nicht möglich die Options in WPP einzusetzen. Es gibt nur eine einzige Kombination die funktionierte, und das ist in der Befehlszeile von WPP die Anweisung /s /L c:\Java-Install.log REMOVEOUTOFDATEJRES=1 zu setzen. Sobalds weitere Optionen dazukamen ( AUTO_UPDATE=Disable) läuft die Updateinstallation ohne Fehlermeldung in eine Endlosschleife. Soweit ich eruieren konnte wird das auch an andere Stelle berichtet wo SCCM eingesetzt wird. Die obigen Parameter wirken auf die .exe. Die andere Parameter konfigurieren gewissermaßen die .msi, und da hakt es.

Unter anderem wird berichtet das es nicht funktioniert weil die Installation mit Systemrechten erfolgt, mit Administratorrechten hingegen geht es. Des weiteren versucht der .MSI aus einer nicht exsistierenden Configgurationsdatei zu lesen, die lokal erst angelegt werden müßte, usw usw.

 

Ebenso testete ich den Einsatz des Configuratuions Files. Im FreigabeOrdner der Softwareverteilung erzeugte ich eine Textdatei JRE8.cfg und füllte sie mit diversen Optionen aus der Tabelle. Die Fileadresse  trug ich in die Befehlszeile von WPP ein. Jedoch brach die Installation mit Fehlermeldung ab. Sinngemäß: " ein Programm welches als Teil der Installation lief endete nicht wie erwartet..."

Ursache ist vermutlich ebenfalls ein Rechteproblem wenn die Ausführung mit Systemrechten erfolgt.

 

Wer nicht in ausufernde Konfigurationen mit Batchfiles einsteigen will um an mehreren Ecken und Enden zu manipulieren, dem bleiben zwei Optionen:

- Extraktion der .MSI aus der .EXE, anpassen von Optionen wie gehabt, einfache Verteilung mittels WPP. Nachteil: alte Versionen bleiben erhalten und müssen separat Deinstalliert werden.

oder

- Verwendung der .EXE direkt, mit Befehlszeilenparameter /s /L c:\Java-Install.log REMOVEOUTOFDATEJRES=1, Verwendung des MSI Produktcodes für die Regeln. Nachteil: keine Optionen möglich

 

Das ist ein bischen wie Pest oder Cholera.

 

 

 

14 Kommentare

Mi

03

Aug

2016

LibreOffice in Softwareverteilung mit WPP einsetzen

Seit einigen Versionen steht LibreOffice als .msi Installation zur Verfügung, und das ist natürlich richtig schick wenn man eine Softwareverteilung plant.

Wer schon .msi Installationen verteilt hat wird sich schnell zurechtfinden, denn die Arbeitsschritte entsprechen z.B. einer Verteilung von JAVA.

 

Für LibreOffice sind mehrere Möglichkeiten dokumentiert für eine SilentInstallation, der gesamte Abschnitt "Deployment and Migration" beschäftigt sich damit.

Scripts, endlose CommandLine und GPO - Parameter - Wer WPP benutzt hat auf sowas keine Lust, doch der Artikel umreist auch die Anpassung per  modifizierter .msi, der Königsweg in Verbindung mit WPP und WSUS.

 

 Was wir benötigen:

- eine lauffähiges WPP und WSUS

- eine Installation von ORCA oder SuperORCA

- die Installationsvorrausetzungen für Libre auf den Clients ( zB. JAVA )

- die heruntergeladene LibreOfficexxxx.msi im Ordner der Softwareverteilung

- optional die heruntergeladene LibreOffice Help Pack.msi im Ordner der Softwareverteilung

 

Ich zeige hier nur die Grundinstallation mit den notwendigsten Einstellungen, im Internet verstreut finden sich immer wieder Tabellen die alle MSI Properties ausführlich erklären, aber mit solchen Optimierungen kann man sich beschäftigen wenn es grundsätzlich erst mal läuft.

Entsprechend umfasst die Installation alle Komponenten von Libre Office, übernimmt nicht die Verknüpfungen von MS Office Dokumenten, und deaktiviert das automatische ProgrammUpdate.

 

- Wir öffnen die LibrOffice_xxxxx_x86.msi mit ORCA.

- Wir wählen Transform / New Transform, damit die Änderungen nicht an der OriginalDatei vorgenommen werden.

- Wir wechseln in der Spalte Tables zu Property

- Für nachfolgende Propertys ändern wir nun das Value

 

AgreeToLicense -> Yes

ISCHECKEDFORPRODUCTUPDATES -> 0

REGISTER_NO_MSO_TYPES -> 1

REGISTER_ALL_MSO_TYPES -> 0

RebootYesNo -> No

 

Wie bereits gesagt lässt sich noch viel mehr voreinstellen, aber diese Einstellungen sollten universal immer dabei sein und haben das geringste Fehlerrisiko, bieten sich also für den Einstieg erst mal an.

 

 - Wir wählen in ORCA Transform / Generate Transform, und speichern das .mst File mit einem treffenden Namen, zB Firma_LibreOffice_Vxyz.mst im Ordner der Softwareverteilung.

 

Und das wars schon! Fertig mit der Vorbereitung.

 

In WPP legen wir nun ein neues Update an, wählen das .msi File, wählen außerdem bei "weitere Dateien" das erstellte .mst File und vergeben einen Produktnamen. Das Ergebnis sollte dann so aussehen:

 

 

mehr lesen 0 Kommentare

Fr

11

Mär

2016

Browser im Unternehmen " Chrome for Work " vs " Firefox ESR "

Chrome for Work

 

Google's Chrome genoss bei seinem Erscheinen keinen guten Ruf in Administratorkreisen. Und auch heute noch sitzt das Misstrauen tief, das Chrome auf unliebsame Weise spioniert und die Macht der Googlekrake mehrt.

Doch unaufhaltsam grub Chrome den etablierteren Browsern Internet Explorer und Firefox das Wasser ab. Und das  nicht nur im Consumerbereich - denn die Chrome Macher erkannten das es für Image & Verbreitung förderlich ist wenn man Chrome auch in Unternehmen etabliert.

Dafür schufen sie extra " Chrome for Work ". Innerhalb eines Jahres stand eine vollständige Administration für alle Betriebssysteme bereit die sich in die Verwaltungsmechanismen der Betriebssysteme eingliederte. Gruppenrichtlinien für Windows , MCX für Mac und JSON für Linux.

Chrome for Work wird für Windows als unternehmensfreundliche .msi Installationsdatei bereitgestellt, für 32 bit und 64bit. Sie unterscheidet sich funktionell nicht von der Version die für Consumer- Kunden bereitgestellt wird.  Durch das downloadbare .msi Paket kann sie mit Server-Bordmitteln per GPO an Clients verteilt werden, oder komfortabel in Verteilungssoftware wie WPP übernommen werden.

Für die administrative Anpassung stehen über 100 GPO Richtlinien zur Verfügung um wunschgerecht zu konfigurieren.

Für die Konfiguration stehen folgende Möglichkeiten zur Verfügung:

  • (Nutzer)einstellungen - können vom User angepasst werden
  • Standardeinstellungen - werden administrativ voreingestellt, können aber vom User geändert werden
  • Richtlinien - werden unveränderlich administrativ voreingestellt

Administrative Mittel stehen für Windows, Mac und Linux bereit.

 

Das Handling von Updates ist konfigurierbar. Informationen über neue Updates sind per RSS Feed erhältlich, informationen zu Sicherheitsupdates sind als Blog abonnierbar. Allerdings exsistiert keine Bereitstellung von Updates die per WSUS eingepflegt werden können.

 

Chrome-Erweiterungen können komfortabel per GPO installiert werden, alternativ per Konfigurationsdatei.

 

Die Verwaltung wird unterstützt durch deutschsprachige Suportseiten, FAQ und ein IT-Bereitstellungshandbuch.

 

FIREFOX ESR

 

Dem gegenüber steht Mozillas Firefox. Der Browser der seit jeher für Flexibilität und quelloffene Standards steht. Er geniest einen beachtlichen Vertrauensbonus. In vergangenen Zeiten, als es erklärtes Ziel war den Internet Explorer vom Thron zu stoßen wurden exsistierten auch GPOs zur Administration. 
Leider verspielt Firefox seit Jahren seine Karten. Browser spielen eine zunehmend zentrale Rolle, Administratoren erwarten komfortable und moderne Administrationsmöglichkeiten. Bei Firefox entwickelt sich seit Jahren - nichts.

Die Marktanteile sanken, die Erschließung von Unternehmensstrukturen würde zu tausenden neuer Installationen führen - aber Firefox hatte schon immer einen extrem schweren Stand in Unternehmensstrukturen. Seit je her schätzten offenbar Administratoren Konfigurierbarkeit und interne Kompartibilität höher als quelloffene Standards.

 

Bei Mozilla steht seit einigen Jahren die Unternehmensversion "Firefox ESR" bereit.

Firefox ESR ist identisch mit den jeweiligen Consumerversionen, erhält aber über einen längeren Zeitraum Sicherheitsupdates.

 

Die Bereitstellung erfolgt identisch zur Consumerversion als .exe Download . Sie kann damit nicht ohne weiteres in Unternehmen verteilt werden.  Die Bereitstellung muss entweder per Script, oder mittels Verteilungssoftware und dem Erstellen von Installationsregeln erfolgen. Seit Jahren fordern Admins die Bereitstellung einer .msi zur einfacheren Bereitstellung, stoßen damit aber bei Mozilla auf taube Ohren. "Firefox ESR" unterscheidet sich ebenfalls nicht von der jeweiligen Consumeredition.

Eine zentrale Anpassung und Installation ist möglich, aber aufwendig, und kein Verfahren nutzt die windowsinternen Verfahren. Insbesondere gibt es keine aktuellen Konfigurationsmöglichkeiten per GPO. Zur Konfiguration müssen spezielle Konfigurationsdateien an die Clients verteilt werden die ihrerseits dann auf ein zentrales Konfigurationsfile verweisen können. Eine GUI basierte Verwaltungsmöglichkeit exsistiert nicht. Vielmehr benötigt man Kenntnis über endlose Konfigurationsparameter.

Wie bei Chrome auch stehen folgende Möglichkeiten zur Verfügung:

  • Konfiguration vorausgewählt - kann vom Nutzer verändert werden
  • Konfiguration voreingestellt - kann vom Nutzer nicht verändert werden

Updates können nicht zentral gesteuert werden. Will man Kontrolle über die Aktualisierung bleibt nur die automatischen Updats zu deaktivieren und bei jedem Update die komplette Installation neu zu verteilen, analog zu Chrome.

 

Die Verwaltung von Erweiterungen /AddOns / Themen ist noch weitaus komplizierter und erfordert weitreichende Eingriffe. Anleitungen muss man sich zu einem großen Teil weit verstreut aus dem Internet zusammensuchen.

 

Die Unterstützung für Unternehmen beschränkt sich auf eine englische Mailingliste. Das ist alles. Keine Anleitungen, keine extra Dokumentationen, kein Forum.

 

Hilfe gibt es von Drittanbietern, etwas was in der Administration auch nicht so gerne gesehen ist.

Von diesen gibt es Hilfsmittel die Unternehmen die Arbeit erleichtern, z.B. werden mit zeitlicher Verzögerung umgepackte .msi Installer angeboten oder Unterstützung für die Browseranpassung. Auch bei der Konfiguration / Customizing springen Drittanbieter mit AddOns in die Presche, besonders hiervorzuheben ist hier Kaply Consulting mit CCK2. Doch auch hier ist die Zukunft unbestimmt, siehe Mikes Blogeintrag von Feb 2016.

 

Auf der anderen Seite ermöglichen die unendlichen Konfigurationsparameter eine außerordentlich individuelle Anpassung die von keiner Krake beschränkt wird.

 

0 Kommentare

Di

01

Dez

2015

Windows 10 Version 1511 bringt GPO 's für Windows Update for Business

Im Zuge des Erscheinen von Windows 10 1511 stellt Microsoft auch neue GPO Templates bereit. Diese enthalten erstmalig die angekündigte Möglichkeit, Updates und Upgrades verzögert zu installieren, und damit von dem CB Verteilring auf den CBB Verteilring zu wechseln.


Die Option liegt erwartungsgemäß unter Conputerkonfiguration/ Adm. Vorlagen / Windows-Komp. / Windows Update und lautet "Upgrades und Updates zurückstellen"


Aktiviert man die Option, kann man Upgrades für maximal 8 Monate zurückstellen, und Updates für maximal 1 Monat.


Zusätzlich ist es möglich Updates und Upgrades vorübergehend anzuhalten, sie werden dann verzögert bis es ein neues Update gibt. Das ist offensichtlich für den Fall das Updates Probleme bereiten.


Es gelten folgende Einschränkungen:


  • Definition Updates sind nicht von den Optionen betroffen
  • die Optionen haben keinen Effekt wenn eine interne Updatequelle  ( WSUS ) angegeben ist !
  • die Optionen haben keinen Effekt wenn "Erlaube Telemetrie" mit Option 0 ausgewählt ist


Die Richtlinie bildet eine Art WSUS Light für Umgebungen die zwar Domäne mit GPOs einsetzen, aber keinen WSUS betreiben.

0 Kommentare

Di

24

Nov

2015

WSUS auf WS 2012 R2 fit machen für Windows 10

Ein erster Lichtblick erschien, indem Microsoft einen Hotfix für WSUS bereitstellte  ( KB3095113 ). Wohlgemerkt ein Hotfix, kein Update was für Produktivumgebungen gedacht wäre. Der Hotfix greift auf WS2012 Systemen, nicht auf WS2008 . Er bewirkt:

- die korrekte Erkennung von Windows 10 Clients nach ( bisher fälschlicherweise als Vista Clients angezeigt)

- Synchronisation und Verteilung von Upgrades für Windows 10

Der Fix ist also Grundvorraussetzung dafür das man in der Lage ist die neuen Feature Upgrades zu verteilen!

Anschließend sollte man einen Ausflug nach WSUS/Optionen/Produkte und Klassifizierungen machen und die Produktgruppe Windows 10 nach Bedarf einrichten. ( driver, upgrades, features).


Zu beachten ist außerdem der Einfluß von GPOs, bzw. das außerkraftsetzen von GPOs wenn ein WSUS verwendet wird.


0 Kommentare

Di

24

Nov

2015

Windows 10 Version 1511 - der ganz normale Microsoft Wahnsinn

Im November war es soweit. Mit ein paar Tagen Verzug wurde Windows 10 Version 1511 freigegeben, das erste Upgrade ( nicht Update...! ) für Windows 10.

Und da es ein Upgrade ist, quasi eine neue Version von Windows 10, man könnte auch sagen Windows 10.1511, gibt es dafür andere Regeln als für ein normales Update wie man es traditionell kennt.

Punkt 1

Windows 10 Home User sind Mitglied im CB Verteilungsring und bekommen es einfach untergeschoben, wenn es Microsoft passt. Allerdings war auch Tage nach dem Release auf einigen Rechnern nichts davon zu sehen.

Windows 10 Prof User die NICHT in einer Domäne mit WSUS sitzen in den Windows Update Einstellungen können sich entscheiden wie sie die Upgrades handhaben wollen, entsprechend landen sie im CB Verteilungsring und bekommen sie mehr oder weniger sofort, oder im CBB ring, und bekommen sie angeblich 8 Monate Verzögert.

Windows 10 Prof und höher -  User in einer Domäne haben im Prinzip die gleichen Optionen, allerdings kann der Administrator per GPO die Entscheidung festlegen.

Für völlige Verwirrung bei Admins sorgte der Umstand das das Upgrade nicht im WSUS auftauchte, ohne das Microsoft eine Erklärung lieferte.

Allerdings war die Version 1511 als ISO erhältlich, und ersetzte auch im automatischen Media Creation Tool die bisherige Version. Es wurde daraufhin gemutmaßt das eine Wechsel im Businessumfeld nur per "Überinstallation" möglich ist - ein Horrorscenario.

Administratoren die stolze Besitzer des System Center sahen die Möglichkeit der Verteilung über selbigen, allerdings veröffentlichte Microsoft eine Verlautbarung das das derzeit nicht supportet wird.

Das Upgrade läßt sich auch separat manuell herunterladen, allerdings scheitert eine Verteilung daran das es eine .msu Installation ist.

Einige Tage später ruderte Microsoft zurück und stoppte zumindest teilweise das Ausrollen der Version 1511. 4 Tage später war es wieder verfügbar. Wie sich herausstellte, gab es im Upgrade Fehler bezüglich der Übernahme der Datenschutzeinstellungen aus der bestehenden Installation, die erst noch behoben werden mußten. Das ist geradewegs ein Paradebeispiel dafür warum man auf jeden Fall den CB Verteilungsring nutzen sollte.

Chaos perfekt

 

0 Kommentare

Di

24

Nov

2015

Windows 10 Upgrade für Clients mit Windows 7 / 8 /8.1 Professional in einer Domäne

Bezüglich des Upgrades auf Windows 10 ( Build Juli 2015)  lautet das offizielle Statement:

" Es sind alle Windows Versionen berechtigt außer Windows Enterprise. " Diese haben im Rahmen einer bestehenden SA Zugang zu aktuellen Versionen des Betriebsystems.

Was in diesem Zusammenhang nicht so häufig angesprochen wird, ist der zweigleisige Einsatz von Professional Versionen. Diese kann man einzeln kaufen, und im Rahmen einer Volumenlizenz mit oder ohne SA. 

Entsprechend kann JEDES Professional auf Windows 10 Prof. geupgraded werden, auch Volumenlizenzen. Leider sind sich da selbst Microsoftmitarbeiter nicht im Klaren drüber. Ich stellte eine Telefonanfrage an den Business Support des Volumen Licensing Service Center, da das Update auf Windows 10 zwar funktionierte, das Betriebssystem danach allerdings nicht mehr aktiviert war, und sich auch nicht aktivieren lies.

Kommentar: "Das weiß ich nicht, Moment, ich frage den Helpdesk " (!). Ich dachte ich hatte mich verhört. Spätere Antwort: " Volumenlizenzen lassen sich nicht upgraden ". Diese Aussage ist schlichtweg falsch.

Der Haken ist: Man kann kein Upgradeaktivierung in einer Domäne vornehmen! Installation des Upgrades ist kein Problem, aber man MUSS den Client einmal aus der Domäne herausnehmen, neustarten, aktivieren lassen, und wieder in die Domäne bringen.

Vermutlich hat sich Microsoft etwas dabei gedacht keine Aktivierungen in Domänen zuzulassen, aber ich weiß nicht was.

0 Kommentare

Mi

05

Aug

2015

Integration neuer Gruppenrichtlinien für Windows 10 in Windows Server 2008 / 2012

Windows Server 2008 gehört zu Windows 7. Windows Server 2012 gehört zu Windows 8. Doch beide bekommen es jetzt und in naher Zukunft mit jeder Menge Windows 10 Clients zu tun. Für diese sind sie nicht gerüstet, es fehlen ihnen zahlreiche GPO's, zum Beispiel um Cortana zu bändigen.

Die Administration solcher Clients kann man über RSAT für Windows 10 erledigen, wobei man einen W10 Client benötigt und mit diesem quasi von hinten durch den Serverkopf die Clients versorgt. Dafür benötigt man aber einen W10 Client am Platz, und es ist total unübersichtlich und Fehleranfällig wenn die Gruppenrichtlinien zum Teil über den Server und zum anderen über RAST gemanaged werden.


Besser ist es, den eigenen Server mit den entsprechenden neuen GPO's aufzurüsten. Das ist für viele GPOs teilweise ganz einfach:

- Man nimmt einen domänenfähigen W10 Client, und wechselt nach Windows/PolicyDefinitions.

- Die dortigen admx Dateien vergleicht man mit den entsprechenden .admx Dateien auf dem Server, ebenfalls unter Windows/PolicyDefinitions

- alle .admx die der Server nicht kennt, kopiert man vom Client auf den Server

- damit man die Regeln auch lesen kann, kopiert man auch alle zugehörigen Spachdateien .adml aus dem Language Unterordner, zB. W10-Client/Windows/PolicyDefinitions/de-DE nach Windows-Server/indows/PolicyDefinitions/de-DE


Damit stehen zahlreiche W10 spezifische Richtlinien beim nächsten Aufruf des Gruppenrichtlineneditors zur Verfügung.


Beim Vergleich der Ordner ist womöglich aufgefallen das es auch zahlreiche .admx Templates gibt die zwar in beiden OS Versionen vorhanden sind, aber unterschiedlich groß sind. Das bedeutet es gibt auch vorhandene Templates in den unter W10 Optionen ergänzt oder entfernt wurden. Hierbei können die neueren W10 Dateien nicht einfach die älteren Serverdateien überschreiben, denn man weiß nicht ob eventuell noch benötigte Optionen für alte OS entfernt wurden. Ein entsprechender Kopiervorgang wird auch durch fehlenden Besitzrechte vereitelt.

Es ist auch nicht möglich die Dateien umzubenennen und einzufügen, denn dann treten doppelte Zieladressierungen auf.





0 Kommentare

Di

04

Aug

2015

WMI Filterung für Windows und Windows 10

Wer GPOs im Einsatz hat, der nutzt in vielen Fällen auch die WMI Filter. Ein typischer Fall ist es , bestimmte Gruppenrichtlinien automatisch auf Clients mit bestimmten Betriebssystemen wirken zu lassen.

Seit Windows 8 ist es zum Beispiel üblich die  Apps zu beschneiden, und das entsprechende Sript automatisch auf allen System mit Windows 8 oder höher greifen zu lassen. Dazu bediente man sich der Versionsnummer des Betriebsystems, was die letzten Jahre auch gut finktionierte:

XP      - 5.0

Vista  - 6.0

W7    - 6.1

W8    - 6.2

W8.1 - 6.3


Die entsprechende WMI Filterung dazu lautete:


SELECT *FROM Win32_OperatingSystem where Version >= “6.2”


Und die meisten dachten sicher sie hätten damit ausgesorgt, mit dem >=.

Allerdings liefert dieser Filter unter Windows 10 den Wert "false" zurück und wird nicht angewendet. Der Grund dafür ist das der Vergleich nicht als Zahl sondern als String stattfindet. Und die Versionsnummer von Windows 10 lautet leider nicht 6.4 , sondern 10.


Der WMI Filter muss daher angepasst werden. Soll auf alle Betriebssysteme mit windows 8 oder höher gefiltert werden sollte er lauten:


SELECT * from Win32_OperatingSystem where Version like “10.%” or Version >=”6.2″

0 Kommentare

Do

09

Jul

2015

HOWTO: Adobe Acrobat Reader DC 2015 " Classic Track " angepasstes Software Deployment mit WSUS Package Publisher

07/2015

 

 Vorbereitung

Im Frühjahr erschien die neue Generation des Adobe Acrobat Reader, der nicht etwa wie erwartet XII heißt, sondern " DC ", denn ein Product was nicht Cloud im Namen führt ist einfach nicht hipp. Und da das große Vorbild Microsoft mit W 10 auch ein völlig neues Updatesystem an den Start bringt mußte man natürlich auch bei Adobe alles im gleichen Stil umkrempeln was jahrelang funktionierte.

In Folge dessen gibt es jetzt ZWEI Adobed Reader.

Einmal den Adobe Reader DC Continuous ( Base DC ). Dieser bekommt frei weg Updates und neue Funktionen, ist Cloudangebunden und offeriert dieverse Extras gegen Bezahlung. Womit er in einer Firma schon mal nichts zu suchen hat.

Verfügbar ist er als .exe und .msi Installer.

 

Als zweites gibt es den Adobe Reader Classic ( Base 2015 ). Dieser bekommt zu festen Terminen Sicherheitsupdates, aber keine Featureupdates, diese gibt es nur bei neuen Hauptversionen.  Er enthält keine Bezahl- Features. Alle Updates, die quartalsweise erscheinen, sind zum Download verfügbar. Er ist per GPO administrierbar.

Damit ganz klar ein Fall für den Businesseinsatz.

Das Manko - aus einem unerfindlichen Grund gibt es ihn nur als .exe Installer. Außerdem ist wie bisher eine Katalogdatei verfügbar um ihn automatisiert bereitzustellen, dazu später mehr.

Das ganze Updatesystem ist also im wesentlichen ähnlich aufgebaut wie Microsoftupdates ab W 10 mit ihrem " SLOW" and "FAST" Ring. Die Bereitstellung vom Aufwand vergleichar mit der Anpassung von JAVA-.msi's .

 

 Gut. Los gehts. Was brauchen wir:

 

- Zunächst eine Adobe Lizenz für die Firma die es erlaubt das man deren Software verteilt. Die gibt es hier, ist per email in 1/2 h erledigt und kostenfrei.

- die richtige Datei entsprechend obigen Hinweisen, den Link bekomt man von Acrobat zugeschickt. TIP: Es exsistiert auch ein FTP Server durch den sie sich hangeln können. Die Datei hat die Form AcroRdr2015xxxxxxxxxx_MUI.exe  für die Classic Version  ( Base 2015 ).

- den Acrobat Customization Wizard DC ( ACWDC ) um eine individuelle Anpassung vornehmen zu können. Download hier.

- eine funktionierende WPP / WSUS Landschaft

-optional noch die Verbindung zum passenden Acrobat Katalog um die regelmäßigen Folgeupdates direkt importieren zu können. Dieser Katalog wird im WPP eingerichtet (Katalogverwaltung): http://fpdownload.adobe.com/arm-manifests/win/SCUP

 

Teil 1: MSI gewinnen und anpassen

Wir starten die AcroRdr2015xxxxxxxxxx_MUI.exe und warten bis zum Installationsfenster, dann ist die .exe entpackt.

Im Windows Explorer wechseln wir nach C:\ProgramData\Adobe\Setup\...\RDC\ und sollten dort unter anderem die entpackten Dateien finden.

Wir kopieren alle in das Verzeichnis welches für die Softwareverteilung verwendet wird, zB: c:\Softwareverteilung \Adobe\Acrobat DC

Dann starten wir den ACWDC, öffnen die .msi, und ändern je nach Firmen und Adminpolicity z.B. folgende Parameter:

- "Personalization Options” -> “EULA Option – Suppress Display End User License Agreement”  setzen

-“Installation Options” -> Default Viewer for PDF files: Make Reader the Default PDF viewer

-“Installation Options” -> Remove all versions of Reader

-“Installation Options” -> Enable Optimization

-“Installation Options” -> Enable Caching of installer files on local hard drive

-“Installation Options” -> Run Installation: Silenty (no Interface)

-“Installation Options” -> If reboot required at the end of installation: Suppress reboot

-“Installation Options” -> Application Languages: German (Germany)

-“Shortcuts” -> Desktopverknüpfung

-“Online Services and Features” -> Disable product Updates

-“Online Services and Features” -> Disable Upsell

-“Online Services and Features” ->Disable all services

- weitere Optionen anwählen oder abwählen je nach gusto

Zum Schluss das Ganze abspeichern, der .mst einen Namen geben der deutlich macht das sie spezifisch angepasst wurde ( Firma_AcroRead.mst).

Unsere Reader ist jetzt fertig zur Updateerstellung im WPP.

 

Teil 2: Firmen-Reader über WPP/WSUS bereitstellen

Wir starten den WPP, und wer bisher schon Acrobat Reader verteilt hat wechselt in das entsprechene Update-Verzeichnis. Alle Einsteiger wählen im Menü  Updates / Update erstellen....

- wir wählen die .msi, sowie unter weitere Dateien die erzeugte .mst sowie die Data1.cab.

-(eventuell vorsichtshalber noch den  Transformers Ordner ) aber vermutlich benötigt man den nicht

-> WEITER 

 - Hersteller: Adobe Systems, Inc. ( Das der Name genau so lauten sollte merkt man wenn man später zusätzlich noch Updates per Katalogimport einbinden möchte.)

- Produkte: Abobe Reader .

- Titel: Adobe Acrobat Reader DC MUI Classic 2015

- den Rest durchklicken, das Update wird erzeugt

- "zur Installation freigeben" des Updates für die im WSUS angelegte Mitgliedsgruppe "Adobe Reader"

 

Teil 3: spätere Updates

Neben der Hauptinstallation fallen natürlich später noch die Programmupdates und Sicherheitsupdates an. Diese sollte man sich der Bequemlichkeit halber direkt aus der oben angesprochenen Katalogdatei holen.

 

Alternativen

wer keine Lust hat die .msi zu modifizieren, für den exsistiert noch eine weitere Möglichkeit die Installation von Adobe Reader DC Classic zu beeinflussen. Adobe stellt ein .admx Template  ( ftp://ftp.adobe.com/pub/adobe/acrobat/win/Acrobat2015/misc/ ) für die Gruppenrichtlinien bereit, in diesem sind ebenfalls eine paar rudimentäre Konfigurationsoptionen enthalten.

 

Einige Anleitungen beschreiben auch ein Vorgehen mittels Verteilung von geslippstreamten Versionen. Dabei wird zunächst eine administrative Installation erstellt, diese mit den aktuellen Updates versorgt, und dann daraus ein neues Installationspaket geschnürt.  Für die Versorgung von neuen Systemen macht dies womöglich Sinn, bei bestehenden Installationen eher nicht, alleine wegen des Aufwandes und des großen entstehenden Updatepaketes.

12 Kommentare

Mi

29

Apr

2015

Varian / Agilent Spektrometer Cary mit GPIB ISA / PCI Schnittstelle und WinUV unter Windows 7 / 8.1 / 10 betreiben

Bereits in einem älteren Artikel hatte ich beschrieben wie man ein altes Spektrometersystem mit alten ISA Einsteckkarten zumindest unter Windows XP lauffähig bekommt.

 

Heute befassen wir uns im konkreten Fall damit, wie man ein Varian / Agilent Spektrometer der Cary Baureihe mit GPIB IEE 488 Schnittstelle unter modernen Betriebssystemen betreibt. Der exakte Typ spielt dazu eigentlich keine Rolle, in unserem Fall ist es ein Cary 500.

Als originale mitgeliferte Software kommt WinUV 2 zum Einsatz, sie ist für W95 , W98, und Windows NT.

Das Gerät wurde ursprünglich mit einem W98 PC ausgeliefert, die Spezifikation des Herstellers umfasst die Betriebssysteme W95 , W98, und Windows NT.

Als Schnittstellenkarte kommt Original eine ISA GBIP Adapterkarte zum Einsatz, die ursprünglich von NI ( National Instruments) stammt.

 

In der Vergangenheit gelang bereits ein Betrieb mit Windows XP. Dazu muss neben der Software WinUV 2 noch das hier dokumentierte AppPatch von Varian installiert werden. (Release 8 vom Nov 2002. Dies steht auf der Webseite leider nicht zum Download bereit, es wurde schlichtweg vergessen, und es ist nicht identisch mit dem Update für das 500i. Die entsprechende Datei lautet Cary2.zip . Kontaktieren sie mich falls sie es benötigen.

Besser wäre es sie haben die Version 2.5 oder 3, oder können sich die entsprechenden Installationen besorgen, die Version 3 ist zumindest schon offiziell für Windows XP.

Gegebenenfalls sind manuell noch Schreibrechte für den Programmordner nötig fals es zu entsprechenden Fehlermeldungen kommt.

Kommt eine NI - ISA Card zum Einsatz wird sie automatisch verwendet, es gibt keine Konfiguration, sie wird im Gerätemanager auch nicht gelistet.

 

Möchte man das Spektrometer unter W7 / W8 / W10 verwenden ist die Verwendung einer GPIB ISA-Card nicht mehr möglich. Zum einen gibt es keine Hardware die sowohl ISA Slots hat und schnell genug ist, zum anderen besitzen die Betriebsysteme keine Treiber und Unterstützung mehr für diese Schnittstelle.

Man benötigt also eine GPIB - PCI Card, oder man versucht es mit einem GPIB- USB Interface. GPIB PCI Karten sind gebraucht ab etwa 40€ zu haben. Vorzugsweise verwendet man eine Karte von NI, da hier die Unterstützung am einfachsten ist. Da die Schnittstelle jedoch genormt ist, sollte im Prinzip fast jede Karte funktionieren, vor allem wenn sie von NI ist! Man muss nicht unbedingt das eine Modell suchen das Varian empfiehlt.

 

Ich beschreibe hier einmal beispielhaft den Einsatz einer GPIB PCI Agilent (HP) 82350a . Das ist bereits ein Worst Case Szenario da es auf den ersten Blick eigentlich überhaupt keine Chanchen hat zu funktionieren.

 

Der Geschäftsbereich für die Karten wurde zwischenzeitlich an Keysight verkauft, entsprechend muss man dort forschen. Im dortigen Archiv findet sich, das der letzte Treiber der offiziell diese Karte unterstützt die Treibersuite Agilent IO Libary Suite 16.0 von 2010 ist. Die Unterstützung endet offiziell für das Betriebssystem XP, aber das schreckt uns nicht denn die Suite an sich ist auch für W7. Ich halte es durchaus für denkbar das auch neuere Suiten die nötige Unterstützung mitbringen, aber ich habe mich auf diese Version 16 beschränkt um mein Glück nicht überzustrapazieren.

 

Damit ausgerüstet erfolgte folgende Installation:

Auf einem bereits etwas betagten Dual Core PC wurde Windows 10 ( Preview) installiert.

Als nächstes wurde WinUV 2 installiert. Das funktioniert wundersamer Weise. Der Programmstart führte zunächst zu Fehlermeldungen bezüglich veralteter .dlls, aber wir sind ja auch noch nicht fertig und ignorieren das erst mal. Optimalerweise sollte man sich die letzte Version von WinUV besorgen die für das eigene Gerät spezifiziert ist. Für ein Cary 500 ist das Version WinUV 3. Leider leider hatten wir die nicht. Jedoch war Agilent, der die Gerätereihe von Varian übernommen hat, so freundlich und stellte uns die Version kostenlos als Update zur Verfügung.

Einspielen aller verfügbarer Softwarepatches für WinUV.

Einbau der Agilent PCI GPIB Karte.  

Installation der Agilent IO Libary Suite 16.0 . Die Installation lief unter Windows 10 sofort fehlerfrei durch. Die Karte wurde danach ordnungsgemäß im Gerätemanager gelistet.

Installation des Varian AppPatch. Die Software müßte dann schon mal fehlerfrei starten.

Damit WinUV über Karte korrekt mit dem Spektrometer kommunizieren kann muss die Resourcenzuweisung passen. Sowas wurde früher manuell im Gerätemanager eingestellt, unter W7 und höher empfehle ich - Finger weg. Es sollte automatisch funktionieren oder gar nicht. Statt dessen stattet man der IO Konfiguration der Karte einen Besuch ab. Dort findet sich sinngemäß die Option " Aktivierung des NI Kompartibilitätsmodus" , extra dafür vorgesehen das Software im NI Verfahren über die Karte kommunizieren kann. Dieser Modus muss bei Agilent Karten unbedingt aktiviert werden!

 

Im Anschluß sollte beim Start der Software das Spektrometer wie gewohnt erkannt und verbunden werden.

 

Zusammenfassend muss man sagen : Das ist schon irgendwie begeisternd. Ein über 15 Jahre altes Spektrometer läuft mit einer 5 Generationen späteren Betriebssystemversion mit einer Schnittstellenkarte die nie vom Hersteller spezifiziert wurde mit einem 5 Jahre alten Treiber der nur Unterstützung für das vorvorletzte Betriebssystem bietet. Und das ganze ohne einen einzigen Registry Hack oder Treibermanipulation.

 

Scheuen sie sich nicht mich zu kontaktieren wenn sie Fragen haben, oder Downloads und Treiber nicht finden! 

 

 

 

 

 

 

 

13 Kommentare

Di

21

Apr

2015

5 Punkte um deinen HMAIL Server abzusichern

Der Betrieb eines eigenen Mailservers hat seinen Reiz - sowohl für kleine und mittlere Firmen wie auhc für Privatpersonen. Jedoch hat man mit der Einrichtung und Konfiguration nicht gerade täglichzu tun, und meist kann man auch nicht den Nachbarn um Rat fragen.

Wer einen eigenen Mailserver betreibt hat auch ein schönes Stück Verantwortung, denn selbiger steht mit einem Bein im Internet, und zahlreiche dubiose Gestalten interessieren sich für die Mailserver anderer Leute.

 

Bei der Konfiguration des Hmailserer sind viele froh wenn sie es geschafft haben ihn wie gewünscht zum laufen zu bringen, und wenden sich dann anderen Aufgaben zu, dabei ist es nicht damit getan das Email funktioniert - es sollte möglichst sicher funktionieren.

 

Aus diesem Grund sehen wir uns heute ein paar Punkte an die dazu beitragen das ihr Mailserver und ihre Mails nicht völlig entblößt unterwegs sind. Zunächst müssen wir uns darüber klar werden wovor wir uns schützen wollen. Dem Mitlesen der Mails unterwegs? Der Sicherheit das nicht jeder Xbeliebige Mails verschicken kann? Von innen, und vor allem auch von außen? Dem Einschleppen von Schadsoftware via Emails?

Die nachfolgenden Punkte sind beispielhaft, und sie sind orientiert an einem bestimmten Einsatzszenario. Wer HMail anders konfiguriert hat oder andere Funktionen nutzt wird andere Lösungen benötigen und leicht abweichende Wege gehen müssen.

 

 

Punkt 1: Konfiguration Anti-Virus & Anti-Spam

- der Grund das wir das machen sollte klar sein. je eher etwas gefangen wird desto besser....

HMAILSERVER Settings/ Antivirus

bietet die Möglichkeit ClamAV oder ClamWin einzubinden. Man kann auch einen anderen externen virus Scanner wählen, allerdings ist das nur shclecht unterstützt seitens der Anbieter. Wer Schwierigkeiten mit der Einbindung hat - vor allem wenn ClamWin als Dienst laufen soll, der sollte im Forum Rat suchen, es gibt dort eine HOWTO zu dem Thema.

 

 

Punkt 2: IP Range Rules

- ganz ganz wichtig, hier legt man fest was mit eurem Hmailserver von wo wie gemacht werden darf.

 

HMAILSERVER Advanced / IP Ranges / XYZ lokal

Hier wird festgelegt was im internen, lokalen Netz erlaubt und erforderlich ist. Dies Betrifft Emails die von einem internen User zum anderen gehen und das lokale Netzt nicht verlassen.

Allow Connections: Zum senden benötigt man SMTP, zum Lesen meist IMAP oder POP3. Was man nicht nutzt - abschalten.

Other: Überprüfen wir internen Verkehr auf Antispam und Antivirus? Nun ja, sollte eigentlich nicht nötig sein, aber es kostet ja nichts - anschalten. Benötigen wir SSL/TLS authentification ? Vorzugsweise ja, allerdings gibt es immer wieder Software und Hardware die gerne Status und Alarmemails versenden und an der Authentifizierung scheitern. Für den internen Verkehr würde ich also zunächst darauf verzichten.

Allow deliveries from: Local-Local und Local Extern ist natürlich erlaubt. Das es im internen Netz Zustellungen External->Local und External->External gibt ist eher bei ungewhönlichen Scenarien der Fall. Typischer Weise erst mal abschalten.

Require SMTP authentification: Local-> Local im Prinzip nicht nötig, aber wenn es sowieso eingerichtet wird dann schadet es auch intern nicht. Local -> External auf jeden Fall erforderlich, unbedingt ! Sonst kann alles was irgendwie Zugang zum Netz bekommt einfach so emails an den Mailserver senden die dieser dann ausliefert, ohne das sich das Programm / der User / der Client irgendwie zu erkennen geben muss.

 

HMAILSERVER Advanced / IP Ranges / Internet

Der Server ist ja auch von außen erreichbar, also müssen im Prinzip die gleichen Punkte auch für die Kontaktaufnahme von außen definiert werden.

Allow Connections: SMTP sicherlich, ob IMAP und POP3 hängt vom Konfigurations- und Nutzungsscenario ab.

Other: Antispam und Antivirus und Authentification aktivieren.

Allow deliveries from: External to External ist sicher nicht in jedem Fall nötig, der Rest ist typischerweise aktiv.

 

 

Punkt 3 sichere Ports

Um ein Mindestmaß an Absicherung zu bekommen sollte man nicht den gesamten Zugang offen lassen und wenigstens mal den Ausweis kontrollieren.

Im vorliegenen Beispiel kommuniziert der HMAIL Server mit dem Provider über ein Relay mit Authentifizierung ( Benutzername/ Passwort ). Ihre individuelle Konfiguration weicht davon womöglich deutlich ab vor allem wenn sie Privatperson sind und via Pop3 vom Provider abholen.

Wir benötigen Port 25 um nach außen mit dem Mailserver des Providers zu kommunizieren. Das ist durch Benutzername / Passwort gesichert, ein Zertifikat gibt es nicht.

Wir benötigen Port 587 mit STARTTLS und einem (selbsterstellten) Zertifikat, auf diesem Port liefern die Clients / User ihre Emails am HMAILServer ein. Das Zertifikat ist im Mailclient hinterlegt, alternativ muss man einmalig eine ausnahmeregel bestätigen.

Wir benötigen Port 993 mit SSL/TLS und einem (selbsterstellten) Zertifikat, darüber läuft die gesicherte IMAP Ordnersynchronisation zwischen Clients und HMAILServer. Die Konfiguration und Zertifikat ist im Mailclient hinterlegt.

Wie die Geschichte mit den Zertifikaten und deren Verteilung läuft - dafür gibt es ebenfalls entsprechende HOWTOs  im Forum vom HMAILServer.

 

Punkt 4 Konfiguration Firewall

Neben Punkt 2 ist das wohl einer der wichtigsten um nicht zur Spamschleuder zu werden. Die individuelle Konfiguration hängt wieder davon ab wie die Mailanbindung zum Provider ausgelegt ist. Im vorliegenden Fall gilt weiterhin Kommunikation über eine Relay, alles über Port 25.

In der Firewall schaffen wir eine Regel für den eingehenden Verkehr ( WAN to LAN ).

Zum einen definieren wir das als Ziel nur der Rechner in Frage kommt auf dem der Mailserver läuft. ( IP eintragen ). Damit verhindern wir das irgendwas am Mailserver vorbeigeschummelt wird.

Zum anderen definieren wir woher etwas kommen darf. Typischerweise wäre der Eintrag "ANY", also jeder Mailserver oder Port Scanner oder Hanswurst kann versuchen auf Port 25 den Hmailserver zu kontaktieren. Wenn der Mailverkahr aber über ein Relay beim Provider geht ist das unrealistisch. Da laufen alle Emails mit der Domainendungzunächst zu ihm, und er alleine liefert sie dann über das Relay an den eigenen Server aus. Leider steht in den Vertragsunterlagen meist nicht drin, welche IPs der Provider dafür verwendet.

Also werfen wir einen Blick in die Logs des HMAILServers. dort finden wir in hmailserver_awstats.log den ganzen Mailverkehr gelistet. Absenderadresse/AbsenderIP/Zieladresse/ZielIP. Für die Mails die den HMAILServer von ausen erreichen sollte ein Muster erkennbar sein. Typischerweise verwenden Provider aus Redundanzgründen mehrere, aufeinanderfolgende IP Adresse über die sie Mails ausliefern. Diese IP / IP Bereich tragen wir als zulässige Quelle in die Firewallregel ein. Damit wird es dem Rest des Internet unmöglich auch nur irgendetwas im heimischen Netz über Port 25 zu erreichen. Es gibt nur den Tunnel Provider- Server.

 

Punkt 5 DKIM Signing / Signatur / Verschlüsselung

Hier ist manchmal der Schaden (später) größer als der Nutzen, auf jeden Fall ist der Aufwand enorm, mit Kosten verbunden, und oft schwierig zu implementieren.

Der einfachste und billigte Schritt ist wohl DKIM Signing, dies kann im Hmailserver zentral für alle einliefernden Clients aktiviert werden.

Das verbessert nicht nur die Spam Einstufung, sondern schütz auch gegen Phising, da es gefälschte Absenderadressen aufdeckt.

Zum Auftakt sollte man sich den Heise Artikel zu Gemüte führen.

 

Zu empfehlen als zweite Stufe - eine Signatur. Unternehmen benötigen dafür ein Class 2 Zertifikat für Unternehmen. Dieses ist dann Unternehmensvalidiert, nicht Personenvalidiert. Und es kostet Geld, mindestens um die 300€.

 

Die dritte Stufe - Verschlüsselung. Man benötigt ebenfalls ein Class 2 Zertifikat, und es ist ein weites Feld mit vielen Fettnäpfchen. Nur für echte Profis.

 

Wer sich so etwas mal ansehen möchte  - echte email - Paketankündigungen von DHL sind mit einer Signatur versehen - unter Thunderbird erkennbar am versiegelten Umschlag - Icon.

 

13 Kommentare

Fr

10

Apr

2015

FlexNet Server auf Windows Server 2012 konfigurieren

Zu den Installationen die man nicht so häufig durchführt zählt sicher das Aufsetzen eines Lizenzservers wie FlexLm bzw. FlexNet . Diese werden typischerweise für hausinterne Softwarelizenzierungen kostenintensiver Programme genutzt wie Origin oder CAD Programmen.

Im vorliegenden Fall sollte eine bereits betagte Origin Lizenz samt Flexlm Lizenzserver auf einem WS2012 R2 installiert werden.


Schritt 1: Lösen der Verknüpfung der Lizenz vom alten Server

Der Lizenzserver benutzt eine Lizenzdatei, in der die MAC Adresse des Servers verarbeitet ist. Je nach verwendeten Programm sind hier unterschiedliche Wege zu befolgen, aber zunächst muss die Lizenz vom alten Server gelöst werden, im Fall von Origin muss man sich beim Hersteller mit Account einloggen und  die Löschung beantragen.


Schritt 2:Lizenzfile erstellen

Auch hier differieren die Wege der Softwareanbieter, im Endeffekt geht es darum ein neues Lizenzfile zu erstellen, bei Origin wird auch dies über die Webseite abgewickelt.


Schritt 3: Lizenzserver installieren

Die Installation des alten Servers in Version 9.2 führt auf WS2012 R2 zu Problemen und Abstürzen. Über die Supportseite bei Origin fand sich in den Tiefen ein Download des aktuellen FLexNet Servers Version 11. Oberfläche und Funktionen sind nahezu identisch geblieben. Mit diesem konnte die Installation und Einrichtung erfolgreich durchgeführt werden.


Schritt 4: Lizenzserver konfigurieren

Im Installationsordner wechselt man in den Ordner  TOOLS und startet mit lmtools.exe die Konfiguration. Sofern man Netzwerklizenzen hat wählt man auf dem Tab [Service/License File] die Option "Configuration using Services".

Im Tab [Config Services] vergibt man einen treffenen Namen für den Service und trägt die korrekten Pfade für die angegeenen Dateien ein. Diese befinden sich im Installationsordner FlexNet Server / Servers . Wenn die Einträge nicht stimmen startet der LizenzServer nicht!

Man setzt Häckchen bei "Use Service" und " Start Server at Power Up"


Schritt 5: Start und Check

Wir wechseln zum Tab [Start/Stop/Reread] und starten den Server.

Troubleshouting: Wenn er nicht startet sind die häufigsten Gründe: die hinterlegten Pfade sind falsch / die Lizenzdatei ist nicht korrekt, enthält zB die falsche Mac Adresse / oder Hostnamen / der Server muss per TCPIP4 erreichbar sein

Startet der Server prüfen wir auf den Tabs [Server Diags] und [Server Status] ob alles ohne Fehler ist und plausible Angaben liefert. Diese Tabs können im Fehlerfall auch zur Diagnose zu Rate gezogen werden. Weitere Fehlerhinweise liefert die angegebene Logdatei sowie die Ereignisanzeige und die Fehlermeldung via services.msc wenn man versucht den Dienst dort zu starten.

In vielen Fällen wurde das Problem auch durch einen Serverneustart behoben.


Schritt 6: Clients verbinden

Die auf den Clients installierte Software verbindet sich bei jedem Start mit dem Server und holt sich dort ihre Lizenz. Kann sie den Server nicht ereichen, poppt das Fenster zur Lizenzierung auf. Im Fall von Origin ist dort der Hostname des Servers anzugeben. Das Feld für den TCPIP Port bleibt normalerwesie leer. Kann der Server erreicht werden erscheint eine entsprechende Meldung das eine Lizenz verwendet wird.

Im Falle von WS2008 / WS2012 ist aber eventuell auf dem Server eine Firewall aktiv. In diesem Fall kann der Client den Server standardmäßig nicht ereichen. Verschiedene Programme gehen hier unterschiedliche Wege der Verbindung. Bekannte CAD Programme benötigen zB. Portfreigaben auf 27000-27009 sowie 2080. Die Port sind dann auch an den Clients unter TCPIP im Lizenzfenster einzutragen.

Bei Origin lautet die Empfehlung jedoch die Firwall Programmspezifisch zu öffen. Also rufen wir die Firewall des Servers auf ( firewall.cpl ), und erstellen zwei eingehende Regeln. (FlexNet Server _I / FlexNet Server _II ) .

Regeltyp: Programm

Programmpfad: (Pfad zu lmgrd.exe bzw. orglab.exe )

Verbindung: Verbindung zulassen

Anwendug für : Domäne (typischerweise)

Name: sollte auf FlexNet sowie das Programm hinweisen, zB auch: FlexNET_Origin_I


An einigen Stellen liest man das Portfreigaben auch manuell per Editor im Lizenzfile vermerkt werden müssen. Zumindest im vorliegeden Fall war dies nicht erforerlich.


Fertig. Viel Erfolg!


Zu sagen ist noch das sich der Support bei solchen Geschichten nicht gerade mit Ruhm bekleckert. "Ist zu alt" und "Geht nicht" stehen im Wortschatz weit oben auf der Liste. Origin brauchte geschlagene 14 Tage nur um die alte Lizenz vom Server zu lösen. Der Origin Chat Support verwies darauf das das ja wirklich eine alte Lizenz sei, aber vergaß den Hinweis das es eine gute Idee wäre eine Installation mit dem neuen FlexNet Server vorzunehmen, und wo man selbigen finden kann. Unter Donwloads steht er nämlich nicht.

Der deutsche Support des zuständiges deutschen Softwarevertriebes war bemüht, gab den Tip mit dem neuen Server, und prüfte die Lizenzkonfiguration gegen als der Dienst nicht startete. Allerdings fehlten ihm die Werkzeuge um die komplette Einrichtung zu prüfen was ebenfalls in der Vermutung endete man könne eine so alte Lizenz nicht mit dem Lizenzserver benutzen.












0 Kommentare

Mi

01

Apr

2015

FreeCAD mit WUSUS Package Publisher und WSUS verteilen / zur optionalen Installation bereitstellen

Willkommen zur ersten Beschreibung der Verteilung des Freewareprogramms FreeCAD mittels WPP und WSUS. Verteilung von CAD Software mittels Windows Updates? Nein das ist kein Aprilscherz. Bis Version 0.13 war die Software als .msi und .exe für 32 und 64 Bit erhältlich und damit extrem einfach zu verteilen. Leider steht sie ab Version 0.14 nur noch als .exe zur Verfügung, so das man sich doch ein paar Gedanken machen muss. Das nachfolgende Beispiel behandelt exemplarisch die Verteilung der 64bit Version mit .exe Installer, für die 32 bit Version sind geringfügige Änderungen erforderlich.


Zunächst die Grundkonfigurationsseite:

mehr lesen 0 Kommentare

Do

12

Mär

2015

Umstieg von Local Update Publisher auf WSUS Package Publisher

Viele Jahre war der LUP ein treuer Mitarbeiter auf dem Server und eien große Hilfe bei der Verteilung von Software. Die diversen kleinen Blogeinträge zu dem Thema führten auch andere Interessierte an mich heran, und gerne stand ich mit Rat und Tat zur Seite wenn es um die Verteilung und Erstellung von Updates ging.

Doch nach Einführung eiens WS2012 R2 muss LUP nun abgelöst werden, der Nachfolger heißt WSUS Package Publisher (WPP). 

Das Gute dabei: wer den LUP kennt findet sich im WPP sofort zurecht. Die Installation und Zertifikateinrichtung ist identisch, und das Grundprinzip beim Erstellen von Updates auch.

Das noch Bessere: WPP kann vieeel mehr, und bringt ein paar echt coole Features mit. Sicher finde ich Zeit in Zukunft ein paar Updatebeispiele und Vorlagen hier zu liefern.

Quasi zum anfüttern möchte ich hier mal den ersten Screenshot bringen.


Wir haben hier für eine Firefox ESR Verteilung und das ausgewählte Update "Firefox 31.5 ESR" die Statusanzeige. Als Computergruppe wurde die WSUS Mitgliedsgruppe " Mozilla Firefox" gewählt, also jene Gruppe in der Firefox ESR verteilt werden soll.

Neu gegenüber dem LUP ist da zum Beispiel die ONLINE -Anzeige.

Richtig cool aber ist das verfügbare Kontextmenü. Hier kann man auf dem Client Aktualisierungen und Berichte anstoßen, die Installation auslösen, Log files einsehen oder den Neustart auslösen. Sogar das Leeren des SoftwareDistribution Ordner ist möglich um verklemmte oder falsch heruntergeladen Updates zu entfernen. Solche Feature wünschte man sich eigentlich auch für den WSUS.



mehr lesen 0 Kommentare

Mi

04

Mär

2015

Microsoft Technology Associate

Damit man sich gegenüber dem Fußvolk der Windows Benutzer rechtfertigen kann das man die richtige Person ist die man im Problemfall zu Hilfe holen sollte sollte man sich als Minimum eins der Microsoft Einsteigerzertifikate über den Tisch hängen. Der wohl leichteste Einstieg ist der Microsoft Technology Associate für Windows Operating Systems Fundamentals. 

Die Prüfung kann man im Zertifizierungscenter seines Vertrauens ablegen, man hat etwa 50 min Zeit und bekommt 36 Multiple Choice Fragen. In Deutsch, wobei, selbiges eher zweifelhafter Qualität ist. Bei vielen Begriffen wünscht man sich sie hätten sie lieber nicht übersetzt damit man versteht was gemeint ist. Wer nicht erst seit gestern mit Windows zu tun hat ist in 15 Minuten durch die Fragen durch.

Aktuell ist das Bezugssystem der Fragen Windows 7, ein paar Fragen stammen immer noch von früher.

Zum Bestehen müssen 70% der Fragen richtig sein.

Die Kosten belaufen sich auf etwa 135€.

Ich habe das ganze mal aus Spaß gemacht, und darf mich jetzt mit folgendem Logo schmücken:

 

mehr lesen 0 Kommentare

Do

19

Feb

2015

Paint.NET als optionale .msi Installation mittels Local Update Publisher & WSUS bereitstellen

Zur Verteilung von Paint.NET als optional installierbares Programm gab es schon in der Vergangenheit einen Blog-Artikel.

Diese Verteilung hatte durchaus ihren Charme, denn man konnte direkt den bereitgestellten .exe Installer verwenden um Installationen auf 32bit und 64bit Systemen zu ermöglichen. Erforderlich war natürlich das Anlegen entsprechender Regeln zur Installationskontrolle auf den Systemen.

 

Wer mit diesem Weg Probleme hat oder eine etwas spezifischere Verteilung wünscht, der kann aus der .exe einfach die enthaltenen .msi Installationen extrahieren, in etwa so wie man auch bei JAVA vorgeht.

 

Der Vorteil: die .msi sind leichter zu handhaben, denn man benötigt keine extra Regeln. Datei auswählen, Updatebeschreibung ausfüllen, durchklicken, fertig.

Der Nachteil: etwas mehr Bereitstellungsaufwand durch das vorherige entpacken und das Update ist ein paar MB größer da ungepackt.

 

TIP: Die Update-Pakete sollten bezüglich ihrer Verwendung für x86 oder x64 deutlich gekennzeichnet werden. Die User müssen selber das richtige wählen. Alternativ muss man für die Verteilung zwei Paint.Net-Gruppen erstellen, je eine für x86 und x64 Betriebsssteme.

 

Um die .msi Installer zu extrahieren führt man im Verzeichnis des .exe Installers folgende Kommandozeile aus:

 

paint.net.4.0.9.install.exe /auto /checkforupdates=0 /checkforbetas=0 /createmsi

(Die Programmversion natürlich anpassen!)

Die Checkfor... Schalter sind eigentlich nicht erforderlich da 0 die Grundeinstellung ist, aber sicher ist sicher, wer weiß schon was die nächste Version bringt.

 

Daraufhin entsteht auf dem Desktop ein Ordner mit den beiden .msi Dateien. Die Dateien sind so einsatzfähig und können direkt im WPP verwendet werden.

 

Den Dateinamen der .msi's sollte man noch die Versionsnummer hinzufügen, um Verwechslungen vorzubeugen.

 

 

 

 

 

0 Kommentare

Do

18

Dez

2014

Die richtigen Ports für Hmail Server

Dies ist nur ein Bruchteil von dem was es zum Thema Email Ports zu sagen gibt. Aber besser als gar nichts, oder?


Wie ist das nun in der Praxis mit den einzusetzenden Ports. Da gibt es 25, 465 und 587, doch welcher ist wofür und wann der Richtige ?

Nehmen wir ein Praxisbeispiel:

Man betreibt einen eigenen Hmailserver, sowie eine Anzahl Clients mit Emailprogramm wie Thunderbird. Der Hmail Server erhält seine Emails durch ein externes SMTP Relay beim Provider/ Domänenhoster. Dies ist eine nicht untypische Konstellation in mittleren Firmen. Alle Emails die von extern an die eigene Domäne adressiert sind werden erst mal zum eigenen Server in der Firma gesendet, und dort wird aussortiert, geprüft usw. ehe sie in die entsprechenden Empfängerkonten einsortiert werden.


In dieser Konstellation ist der EmailClient Thunderbird der  Mail User Agent . Hmail-Server ist der Message Submission Agent (MSA). Der Server mit dem externen SMTP Relay ist der Mail Delivery Agent oder Mail Transfer Agent 

Ein Message Submission Agent ist also dadurch gekennzeichnet das er direkten Kontakt zu einem Mail User Agent hat, im Gegensatz zu einem Mail Transfer Agent, der nur für Weiterleitungen von Server zu Server zuständig ist. Diese Rollenverteilung ist neueren Datums, die Begrifflichkeit und Rolle des MSA wurde erst hinzugefügt, früher traten Mail User Agents direkt mit  Mail Transfer Agents in Kontakt.

An diesen Aufgaben machen sich weitestgehend die verwendeten Ports fest. Allerdings herrscht weiterhin ziemliches durcheinander, denn nicht in allen Bereichen wurden entsprechende Umstellungen vorgenommen. Man trifft also weiterhin alle Nase lang auf Konfigurationen wo Port 25 benutzt wird, obwohl es sich eigentlich gar nicht um einen MSA und nicht um einen MTA handelt.

Für Mail Submission Agents ist Port 587 vorgesehen. Und zwar auf Seite des Mail User Agent, in dem Fall also zwischen Thunderbird und HmailServer. Nicht jedoch zwischen Hmail und dem externen Relayserver. Man darf sich also nicht wundern falls der Relayserver nur auf Port 25 und auf 465 erreichbar ist.


0 Kommentare

Do

18

Dez

2014

Diagnostic Problem im HMAIL Server

Anwendern des Hmail Server steht unter Utilities / Diagnostic die Möglichkeit bereit ihre Installation auf Funktionsfähigkeit zu prüfen. Dabei kann es leicht passieren das ihnen statt der beruhigenden Ansammlung grüner Punkte eine Fehlermeldung aufpoppt:


Exception from HRESULT: 0x800403E9

ExceptionType: COMException
HelpLine:
Message: Exception from HRESULT: 0x800403E9
Source: Interop.hMailServer
StackTrace: at hMailServer.DiagnosticsClass.PerformTests()
at hMailServer.Administrator.ucDiagnostics.buttonPerformTests_Click(Object sender, EventArgs e)
at System.Windows.Forms.Control.OnClick(EventArgs e)
at System.Windows.Forms.Button.OnClick(EventArgs e)
at System.Windows.Forms.Button.OnMouseUp(MouseEventArgs mevent)
at System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
at System.Windows.Forms.Control.WndProc(Message& m)
at System.Windows.Forms.ButtonBase.WndProc(Message& m)
at System.Windows.Forms.Button.WndProc(Message& m)
at System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
at System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
at System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
TargetSite: hMailServer.DiagnosticResults PerformTests()


Dies verursacht erst mal Panik, deutet es doch auf einen falsch konfigurierten Server hin. Unter Umständen kann der Grund aber recht trivial sein. Der Diagnostic Durchlauf verwendet standardmäßig mail.hmailserver.com auf Port 25.


Bei Einsatz eines externen SMTP Relay funktioniert das aber nur wenn dieser auch über Port 25 angebunden ist. Sollte unter Settings / Protocols / SMTP / Delivery of email ein Relayserver über Port 465 mit SSL/TLS konfiguriert sein erscheint obige Fehlermeldung. Die Diagnose ist nicht in der Lage das abzufangen.

Einen korrekten Diagnosedurchlauf erhält man in dem Fall nur dadurch das man vorübergehend den SMTP Relayserver auf Port 25 konfiguriert, und anschließend wieder zurückstellt.

0 Kommentare

Mi

03

Dez

2014

.EXE Verteilung von JAVA 8 ( mit Local Update Publisher )

Wie ich bereits im vorherigen Artikel ausführte, hat Oracle mit Version JAVA 8 die Regeln und Möglichkeiten der Softwareverteilung neu gemischt. Zahlreiche Optionen die bisher über die Bearbeitung der extrahierten .msi Datei gesetzt werden konnten sind weggefallen. Dies macht die bisherige Vorgehensweise zunehmend unattraktiv.

Wer JAVA über die GPO verteilt ist jedoch auf die MSI angewiesen, für andere Verteilverfahren die in die Lage sind mit .EXE Dateien umzugehen hat sich hingegen ein neuer, vereinfachter Weg eröffnet.

Die Tech Notes von JAVA weisen nun eine Tabelle mit "Configuration File Options" aus, die auch bei der Offline Installation des .exe Installers greifen.

Entsprechend ist es nur noch erforderlich im Local Update Publisher ein .EXE basiertes Update zu ersten, und die entsprechenden Konfigurationsparameter mitzugeben.

Als Prüfung der Installation habe ich darauf verzichtet auf die Registry zurückzugreifen, denn die entsprechenden Pfade sind durchweg mit kryptischen Buchstabenkolonnen gespickt die sich bei den Versionen ändern. Statt dessen habe ich ganz pragmatisch die Dateiversion der installierten java.exe abgefragt. Sofern man mit einem statischen Installationspfad arbeitet muss man da immer nur die Versionsnummer anpassen, wer dynamischen Installationspfad konfiguriert muss halt eine Ziffer mehr korrigieren bei Versionswechsel.

Im folgenden die Screenshoots der LUP Konfiguration, da sie aus der Testphase stammen sind die Updates als "Experimentell" gekennzeichnet.

Testumgebung: WS2003 R2 x64 / W7 x86 x64

 

Die wichtige Kommandozeile ( einfach kopieren und in  LUP einfügen) lautet:

INSTALL_SILENT=1 STATIC=0 AUTO_UPDATE=0 WEB_JAVA=1 WEB_JAVA_SECURITY_LEVEL=H WEB_ANALYTICS=0 EULA=0 REBOOT=0

 

Wie gut die Updates im weiteren Verlauf passen, sprich wie sauber die Installationen und Deinstallationen erfolgen wird die Zukunft zeigen. Die Defaulteinstellung auf "dynamische Installationspfade" ( die also die Versionsnummer beinhalten ) stimmt mich etwas düster.

 

Ein Hauptnachteil dieses Installationsverfahrensauf .EXE Basis sei nicht verschwiegen. Diese Updates können im LUP nicht zur Deinstallation angewiesen werden, das funktioniert nur mit .MSI basierten Installationen (und dort einwandfei). Das kann also perspektifisch viel Ärger bedeuten.

 

 

mehr lesen 15 Kommentare

Mo

01

Dez

2014

.MSI Verteilung von JAVA 8 / Umstieg von JAVA 7  ( mit Local Update Publisher )

Oracle hat im Herbst 2014 JAVA Version 8 veröffentlicht. Das dies zunächst etwas unbemerkt blieb liegt daran das die Version 7 zunächst ebenfalls weiter Updates erhält und nicht sofort automatisch auf Version 8 geupdatet wird. Das ermöglicht es, sich zunächst aus sicherer Entfernung die Kinderkrankheiten und Stolpersteine anzusehen welche die Version 8 für Installation und Verteilung mitbringt. Keine schlechte Entscheidung, denn....

Von allen Seiten erschienen in den einschlägigen Foren plötzlich Nachfragen und Beschwerden von Admins, deren gewohnte Verteilung auf einmal nicht mehr funktionierte. Mehrere Verteilungsmethoden, insbesondere Script und GPO basierte, brachen mit Fehlermeldungen ab da eine andere Ordnerstruktur vorlag.

Ich für mein Teil kann dazu nur sagen das die Verteilung mit LUP keine Probleme bereitet wenn man die Veränderungen erkannt hat , da man ja sowieso erst aus den vorhandenen Dateien ein Windows-Update erzeugt.

Oracle stellte im gleichen Atemzug sämtliche alte Supportseiten für die Verteilung von JAVA vorerst ein, was die Lage nicht gerade beruhigte. Mehrere Blogs brachten erste Infos zur Verteilung von JAVA 8, allerdings nicht immer korrekt.

 

Nun, mit etwas zeitlichem Abstand hier ein paar Punkte die man wissen sollte wenn man JAVA verteilt:

 

Mit Version 8 stellt Oracle den offiziellen Support für Windows XP ein. Das Supportende ist dabei ein "weiches" Ende, denn zum einen laufen die Updates für Version 7 noch eine Weile weiter, zum anderen bedeutet es nicht das JAVA 8 nicht mehr installiert werden kann. Oracle übernimmt nur keine Verantwortung das unter XP alle Details korrekt funktionieren, aber prinzipiell ist es installierbar.

Für Verteiler ist dies eine guter Zeitpunkt einen Schlußstrich zu ziehen. Wer noch XP Rechner supportet versorgt diese weiter mit JAVA 7 und erhöht mit dem bekannten Supportende den Wechsldruck hin zu moderneren Betriebssystemen. Im absoluten Notfall kann man immer noch einen Versuch mit JAVA 8 wagen :-)

 

Des weiteren hat Oracle den Installer umgebaut. Bisher sah das etwa wie folgt aus. Ein .EXE Installer umhüllte einen .MSI Installer der aber auch kein Saubermann war denn er band eine zusätzliche Containerdatei ein in der die eigentlichen Installationsfiles lagen. Diese Zwiebel entblättert sich etwas, der .EXE Installer umhüllt jetzt eine einzelne .MSI in der die gesamte Installation steckt. Das vermindert schon mal die Anzahl der zu verteilenden Dateien.

( Oracle bietet auch .MSI Dateien direkt an. Der MSI Enterprise JRE Installer ist nur verfügbar als Teil der kommerziellen Java SE Advanced or Java SE Suite. )

 

Öffnet man die aus der .Exe Datei gewonnene .msi Datei mit ORCA um im beliebten Propertys - Table ein paar Veränderungen vorzunehmen bemerkt man das Oracle kräftig umgebaut hat. Gleich mehrere bisher für die Verteilung relevente Schalter sind nicht mehr vorhanden. Ich gehe davon aus das es noch eine ganze Weile dauern wird bis nach und nach durchsickert mit welchen Schaltern welches Installationsverhalten erreicht werden kann. Bis dahin gilt die Empfehlung - man setze zumindest die Schalter die man bisher verwendet hat. Mehr geht nun mal nicht ohne Support von offizieller Seite. Im Notfall - wieder JAVA 7 versuchen.

 

In den ersten Versionen von JAVA 8 vollzog Oracle ein lustiges Hin und Her bezüglich des Installationspfades. So enthielt der Installationspfad zunächst keine Versionierung, diese wurde mit Version 8.25 allerdings wieder eingeführt. (%program files (x86)%/JAVA/jre1.8.0_xx/ ) Wer also auf scriptbasierte Verteilung oder Installationskontrolle setzt hatte hier einiges zu fluchen. 

 

Ein immer wiederkehrendes Problem stellt auch die Tatsache dar das Hauptversionen keine Updates sind, und die Installation von JAVA 8 eine bestehende Installation von JAVA 7 nicht in jedem Verteilungs/Installationsverfahren löscht. Wie man obsolete Versionen entfernt hängt vom verwendeten Verteilungsverfahren ab, für LUP werde ich am Ende der Anleitung darauf eingehen.

 

In vielen Fällen wird für eine Verteilung die Nutzung der extrahierten .msi Datei empfohlen, da diese eine entsprechende Modifikation ermöglicht. Es ist allerdings genauso möglich die ursprüngliche .exe Datei zur Verteilung zu verwenden. Vorraussetzung ist das die Verteilungsstruktur mit .exe Installern umgehen kann und das man nur grundlegende Schalter setzen möchte. Dies gab Stoff ffür einen weiteren Artikel zum Thema JAVA Verteilung.

 

So. Hier also das derzeitige Vorgehen für eine Verteilung auf .msi Bsis , Updatestand JAVA 8.25 ( Nov. 2014)

 

- Download des Offline Installers von Oracle

- Aufruf der Installationsdatei (entpacken), aber nicht starten der Installation

- extrahieren der .msi Datei ( Pfad unter WS2003: c:\Documents an Settings\Benutzer\Application Data\Sun\JAVA\jre1.8.0_xx\

- kopieren der Datei in das Serververzeichnis für die Softwareverteilung

- öffnen der Datei mit ORCA

- "Transform->New Transform" ( damit Änderungen nicht in der Originaldatei landen)

- In der Tabelle "Property" ändern wir

IEXPLORER 0->1 (nicht verfügbar in JAVA 8 )

MOZILLA 0->1  (nicht verfügbar in JAVA 8 )

EULA 0->1 (nicht verfügbar in JAVA 8 )

JU 1->0 (nicht verfügbar in JAVA 8 )

WEB_JAVA_ Security_level (nicht verfügbar in JAVA 8 )

JAVAUPDATE 1->0

REBOOTYESNO YES->NO

AUTOUPDATECHECK 1->0

 

Dies sind die typischsten und bekanntesten Schalter. Wie gesagt besteht die Hoffnung das weitere Funktionen diverser Schalter noch offenbar werden. Es gibt eine ziemlich lange Liste von Dingen die ich gerne deaktieren würde, von Netzwerkeinstellungen über Taskleistensysmbol bis Sicherheitsfilterung.

 

- "Transform - Generate Transform" , und vergeben für die .mst Datei einen eigenen Namen, wie: JAVA 8_25 FIRMENNAME.mst, die Datei speichern wir ebenfalls in das Verzeichnis der Softwareverteilung. Die JAVA Installation ist damit fertig zum verteilen, weiter gehts im Local Update Publisher.

- Ich gehe davon aus das im LUP bereits JAVA 7 verteilt wurde und ein Ordner ORACLE/JAVA besteht, also erstellen wir wie gewohnt unter ORACLE/JAVA Rechtsklick New Update

-wählen die .msi aus, und fügen noch als Datei die erzeugte *.mst Datei hinzu, setzen im nächsten Fenster Name und Beschreibung und was man sonst so mag.

- mehr ist nicht nötig, dann immer schön WEITER klicken bis das Update erzeugt und publiziert ist

- Jetzt wie gehabt das erzeugte Update anwählen, rechtsklick - Genehmigen, und in der zugehörigen Computergruppe die Installation genehmigen.

- Nun sollten wir uns mal um die alten JAVA 7 Updates kümmern. Sofern sie überall komplett entfernt werden sollen wählen wir nacheinander für alle unter ORACLE/JAVA vorliegenden Updates ( auch wenn sie *vermutlich* längst obsolet sind) Genehmigen - und in der entsprechenden Computergruppe Deinstallation genehmigen. Man könnte dieses "Deinstallation genehmigen" auch an übergeordneter Computergruppe für alle Clients setzen, dann erwischt man eventuell auch irgendwelche hinterrücks mit manuellen Adminrechten eingespielte JAVA- Installationen. Die Deinstallation läuft dabei wie eine ganz normales Windows Update ab, nur das während der Anzeige "Update wird installiert"

in Wirklichkeit deinstalliert wird.

Dieses LUP gestützte "globale" installationsverfahren funktioniert nur wenn alle JAVA Installationen als .msi verteilt wurden.

 

 

8 Kommentare

Mi

19

Nov

2014

OpenStreetMap ( OSM ) als Planungstool für Touren

Wer sich auf dieser und der Partnerwebseite umsieht der merkt das Reiseplanung und Navigation immer wieder eine Thema sind. In den vergangenen Jahren nutzte ich dafür GoogleMaps mit der Funktion "Eigene Karten". Dort liesen sich beliebige Marker / POIs in den Urlaubsgebieten anlegen, bestehende Google Einräge konnten direkt übernommen werden, man konnte  POIs mit Bemerkungen versehen. Außerdem konnte man direkt Fahrrouten planen und diese in den eigenen Karten als Tracks hinterlegen. Eigene Tracks konnte man mit der Maus ziehen, wobei die Route immer direkt auf der verfügbaren Straße einrastete. Auch wenn man das Gebiet nicht kannte bekam man eine genaue Vorstellung von den Entfernungen und der benötigten Fahrzeit. Tracks von anderer Quelle konnte man anzeigen oder die eigene Karte als Datei abspeichern um sie offline in der Fahrzeugnavigation verfügbar zu haben.

Seit der Umstellung von Google Maps Mitte 2014 auf My Maps gelten für das "neue, bessere" Tool andere Regeln.  Plötzlich sind meine Karten zu groß.  Grundsind nicht die 150 Ortsmarken, sondern die Tracks. Da gilt beim Import: Jeder Track eine Ebene - allerdings sind nur 5 Ebenen erlaubt.


Nun, Goggle ist ja nun sowieso nicht mein Liebling, also war das ein guter Grund sich nach Alternativen umzusehen. Das war schwerer als gedacht. Die Anforderungen:

- einen "privaten" Kartenbereich

- basierend auf OSM, wenn möglich allerdings auch Satkarten

- anlegen und abspeichern von Routen und POIs

- Webbasiert, damit von überall erreichbar

- Im/ Exportmöglichkeiten für Datenformate

- Import eigener Tracks

- routingfähige Trackplanung


Angesehen habe ich mir openroutservice , inkata maps , umap ,  QLandkarte GT , bikemap.net . Viele der Dienste sind modern und sehr gut bedienbar, nur leider besaßen sie nicht die benötigten Features.


Letztendlich überzeugt hat mich gpsies.com. Das es etwas mehr Einarbeitungszeit benötigt und hier und da nicht perfekt ist kann man verschmerzen für den phänomenalen Funktionsumfang.

0 Kommentare

Mi

12

Nov

2014

Roundcube Webmailer Update Windows Server IIS

wer schon so weit ist einen Mailserver am laufen zu haben, der trägt sich auch mit dem Gedanken an einen eigenen Webmailer, und sei es nur Unternehmensintern. Vermutlich läuft ja sowieso irgendwo ein Webserver. Das kann man ausgezeichnet als internen IT Service anbieten, den seit Mail-Clients nach und nach an Bedeutung verlieren sind die Webmailer eine interessante Alternative. Sie machen kaum Arbeit und ermöglichen es den Usern von jedem beliebigen PC aus auf ihre Firmenemails zuzugreifen, selbst wenn der eigene Arbeitsplatz PC nicht verfügbar ist.

Aus diesem Grund habe ich vor ein paar Jahren Roundcube eingerichtet. Wird nicht wirklich viel genutzt, aber macht was her wenn man sowas als Admin vorweisen kann :-).


Jedoch - wann immer ein Update ansteht bekomme ich nasse Hände. Die Gründe sind vielfältig.


- die Dokumentation ist lausig, oft für andere Betriebskonstellationen, oft nicht aktuell

- die Konfiguration des Systems wurde immer mal geändert und konnte nicht automatisch übernommen werden.

- viele Anleitungen und die automatischen Skripte sind für Linux und funktionieren unter Windows nicht

- Es hängt eine Datenbank dran, die oft ebenfalls ein Update braucht, und auch da gibt es verschiedene Varianten.


Jetzt ist es wieder soweit, Update von 1.0.2 auf 1.0.3 . Das sollte eigentlich ein Klacks sein, erstens ist es nur eine Versionsnummer, zweitens liegen ein paar wesentliche Programmänderungen mit erreichen der Version bereits 1.0.0 hinter uns.


Also:

  • Download der neuen Version roundcubemail-1.0.3.tar.gz
  • 2x entpacken mit 7-ZIP ( die Logik erschließt sich mir auch nie...)
  • Automatisches Update via Update Script fällt auf einem Windows Server aus, also manuelles UpdateWie lesen im Roundcube Verzeichnis die Datei INSTALL, treffen aber auf keine Überraschungen, wer Roundcube 1.0.2. am laufen hat ist aktuell genug. Die Aufgelisteten Webserver sind unvollständig, denn es läuft auch mit dem Windowseigenen IIS.
  • Wir lesen im Roundcube Verzeichnus die Datei UPGRADING, und soweit ich das aktuell sagen kann ist dieser Anleitung unbedingt der Vorzug zu geben vor dem Wiki bei roundcube.net.
  • aus dem neuen entpackten Verzeichnis kopieren wir in die bestehende Roundcube Installation die
    • index.php
    • den Inhalt der Ordner /bin , /SQL /program /installer
    • benenne die Dateien im Installationsverzeichnis/config um:  defaults.inc.php -> defaults.inc.php.old sowie mimetypes.inc.php -> mimetypes.inc.php.old
    • synchronisiere wenn erforderlich die verwendeten Plugins indem du die neuen aus dem entpackten Ordnern kopierst, verwende z.B. rsync. Wenn du sie einfach nur überkopierst geht die PluginKonfiguration flöten und du mußt die Plugins neu einrichten. Alternativ: lass den PluginOrdner wie er ist und kümmere dich nur dann um die Pligins wenn es in der neuen Roundcube Version Probleme mit den verwendeten Plugins gibt.
    • wir wechseln im Installationsverzeichnis nach /config/config.inc.php und setzen i nder Datei den Eintrag von false auf true : $config['enable_installer'] = true; ...damit die Konfiguration freigeschaltet wird.
    • anschließend rufen wir im Browser die Konfiguration auf: webserver/roundcubemail/installer (oder wo immer ihr ihn installiert habt)
    • Kurzes Gebet
    • Die erste Konfigurationsseite " Check enviroment" sollte keine Probleme zeigen wenn ihr die Vergängerversion 1.0.2 schon sauber am laufen hattet. Allos im grünen OK, die orangen NOT AVAILIABLE sollten egal sein, entweder es reicht ein OK in der Rubrik oder es ist optional.
    • wenn das in Ordnung ist erstellt er die Config- Datei und wechselt zu Punkt drei "Test Config"
    • Problem1:

      Check config file

      defaults.inc.php:  NOT OK(Unable to read default config file?)
      Na das wundert uns gar nicht, schließlich habeb wir ja just dieses File gerade eben laut Anweisung umbenannt. Also machen wir die umbenennung wieder rückgängig, legen aber vorsichtshalber eine Kopie an von
      defaults.inc.php . Erneuter Installer - Testlauf, Problem behoben.
    • Problem2:

      Test filetype detection

      Fileinfo/mime_content_type configuration:  NOT OK
      AAARG. Das hatte ich bereits bei der letzten Installation, und da sich das Problem nicht lösen lies hatte ich bereits einen Eintrag ins Roundcube Forum gesetzt "
      Probleme mit filetyp detection" Trotz Angabe der passenden Datei trat eine Fehlermeldung auf. Das Problem muss man im Notfall ignorieren.
    • So, auch wenn der Installer wegen obigen Problems kein fertig ! meldet - im Prinzip sollte es jetzt laufen. Erfreulicherweise musste ich  bei diesem Update nicht an die SQL Datenbank heran.




0 Kommentare

Do

11

Sep

2014

Firefox OS App " Earth Mapper - Hiking Helper"

Nein, der Einsatz ist nicht auf Bergsteiger begrenzt, Earth Mapper ist eine an vielen Punkten komfortable App für die Aufzeichnung von Tracks. Die Startseite präsentiert eine Übersicht bereits gespeicherter Tracks mit ihrem individuellen Namen, ermöglicht das Löschen und starten einer neuen Aufzeichnung. Die Trackverwaltung ist daher im aktuellem Vergleichsumfeld als vorbildlich zu bezeichnen.

Für jeden Track werden Details angezeigt, wie Zeit, Trackdauer, Distanz und ein Höhenprofil. Es ist eine Exportfunktion vorgesehen, die in der getesteten Version 0.1 nicht funktionierte. Jeder Track kann direkt auf einer KArte angezeigt werden, diese wird aber erst beim Aufruf nachgeladen, die Offline-Funktionalität ist daher in diesem Punkt stark eingeschränkt.

In der Testphase gab es einen Bug im Umgang mit dem "Simulator mode" der weitere Aufzeichnungen vereitelte.

Die App befindet sich noch in einer frühen Entwicklungsphase, zeigt aber insbesondere beim Handling mehrere Tracks gutes Potential. Um sie für den produktiven Einsatz zu empfehlen ist es allerdigns noch zu früh, vor allem mangels funktionierenden Exports.

0 Kommentare

Fr

22

Aug

2014

Firefox OS App " EverNav "

Auch Evernav vom Spezialisten Atlas CT startet im typischen Kartenfenster. DerZoom gelingt über die +/ - Buttons ebenso wie über Spreizfinger.

Am unteren Bildschirmrand führen zwei Icon zu den " Faforiten " und dem " Verlauf " dessen Notwendigkeit zunächst im Dunkeln bleibt.

Am obern Bildschirmrand findet sich oberhalb des obligatorischen Suchfensters der Zugang zu den " Einstellungen ". Hier trifft man Festlegungen zur Entfernungseinheit (Meter/Miles), dem gewünschten Routentyp, der einbeziehung von Mautpflichtigen Straßen und Verkehrsinfos und  der App- Sprache. Hier läßt sich sich ebenfalls ein Cache - Speichergrenzwert einstellen, dessen Obergrenze im Fall des ZTE Open C bei 500 MBytes lag. Es bleibt zunächst offen ob die Speichergröße System oder App-Limitiert ist.

Am linken Bildschirmrand blenden bei Bedarf zwei weitere Symbole ein. Mit dem einen kann man die Position anderen mitteilen, mit dem zweiten zentriert man typischerweise auf den aktuellen Aufenthaltsort, allerdings funktionierte dasim Test nicht.

Ebenso blieb es ein Geheimnis der App wie man ein Routing durchführt. Turn by Turn Navigation benötigt eine Dienstanmeldung via Persona. Die Verwendung ist nach einer eingeschränkten Trialperiode kostenpflichtig.

 

0 Kommentare

Fr

22

Aug

2014

 Firefos OS App " Here Maps "

Here Maps gehört mit Sicherheit zu den aktuell best entwickelten Layerbasierten GPS Apps fir FF OS. Allerdings will das nicht viel heißen, denn der Funktionsumfang ist nicht so umfangreich wie man das von den Nokia Maps kennt.

Auf der Startseite wird direkt eine Google Maps Straßenkarte für die aktuelle Position angezeigt. Zwei +/ -  Button ermöglich eine Zoomfunktion, ebenso funktioniert das Zoomen per Spreizfinger.

Ein "Green Button" Symbol läßt die Karte zur aktuellen Position springen.

Ein Layerbutton ermöglicht den Wechsel zwischene Google Maps Layern ( Karte / Sat / Bus & Bahn / Echtzeit Verkehrsinfos ). Letztere Optionen benötigen wohl ständige Internetanbindung.

Rechts oben führt das Menü zu den Optionen die im modernen Kacheldesign gestaltet sind.

Da gibt es die Ortssuche, die Standardmäßig auch auf der Kartenansicht eingeblendet ist.

Des weiteren steht eine Routenplanung zur Verfügung, mit diesem Feature hebt sich die App schon mal deutlich von der Konkurrenz ab.

Die "Sammlungen" stellen Ortsfavoriten zusammen, benötigen jedoch einen Account.

"Kartenbereich speichern" bietet die Möglichkeit einen bestimmten Kartenausschnitt lokal auf dem Gerät für spätere Benutzung abzuspeichern. Die Auswahl der Zoomlevel und die Kartengröße ist dabei aber nicht völlig frei einstellbar, ein größerer Kartenausschnitt in hohen Zoomleveln ist beispielsweise nicht möglich. Das Programm definiert 5 "Detaillevel bzw. Offline - Kartentypen", welche jeweils automatisch 4 Zoomlevel umfassen. Als weitere Einschränkung ist zu nennen das jeweils nur eine Karte lokal vorgehalten werden kann. auch hier gilt - nicht optimal, aber oft besser als die Alternativen.

0 Kommentare

Fr

22

Aug

2014

Firefos OS App " Compass + "

Das Layerlose GPS Programm besitzt ein einzelnesHauptfenster auf dem in der unteren Hälfte ein klassischer Kompass abgebildet ist. Das ist nett anzusehen, aber unsinnig, der zumindest im Stand auf den FF Handys nicht funktionieren kann. Die obere Fensterhälfte füllt sich mit den aktuellen GPS Daten im NSWO Modus. Erfreulicherweise informiert die App darüber das man sich vermutlich irgendwo auf der Erde befindet. Die  GPS Werte sind klein und hellgrau und somit schlecht ablesbar.

Für einen produktiven Einsatz sollte man sich da besser mal bei den anderen Apps umsehen.

0 Kommentare

Fr

22

Aug

2014

Firefox OS App " Where am I "

"Where am I " ist eine App mit klarem Funktionsumfang. Sie zeigt die aktuelle Position auf eine Open Street Map Karte, und bietet als Option an die Position an andere zu senden. Wer also unterwegs ständig die Welt oder die Oma über den aktuellen Standort informieren möchte ist hier gut aufgehoben. Allerdings würde man sich - wie so oft- etwas mehr Funktionalität wünschen.

Die App steht in Englisch und Spanisch zur Verfügung. Negativ auffallend sind Werbeeinblendungen.

0 Kommentare

Fr

22

Aug

2014

Firefox OS App " GpsCoordinates "

GpsCoordinate reiht sich ein in die Kategorie klassischer Layerloser GPS Apps. Die App beschränkt sich auf das Wesentlichste. Die Position wird als geographische NSWO Anzeige ausgegeben, sowie gleichzeitig nach UTM WGS 1984. Eine metrische Höhenangabe, die Genauigkeit und die Zeit sind ergänzende Angaben.

 

Es exsistieren keinerlei weitere Optionen, bezüglich der Darstellung hätte man sich größere Zahlen gewünscht, die hellgrauen Zahlen sind unter Außenbedingungen nicht optimal ablesbar.

Ein vergleichbares Produkt welches zusätzlich noch eine Geschwindigkeitsanzeige bietet und besser ablesbar ist wäre " GPS ".

0 Kommentare

Fr

22

Aug

2014

Firefox OS App " gpsDashboard "

gpsDashboard ist ein weiterer leistungsstarker Vertreter der glassischen Layerlosen GPS-Apps. Bereits auf den ersten Blick wird deutlich das es gegenüber seinen Konkurrenten mit einem erweiterten Funktionsumfang auftritt.

Das zweigeteilte Hauptfenster bietet in der oberen Hälfe Informationen zu Position und Geschwindigkeit und Höhe, in der unteren Hälfte stehen Trip- Imformationen zur Verfügung:

Zeit seit Messstart,  durchschnittliche Geschwindigkeit, und zurückgelegte Strecken.

Neben dem Hauptfenster kann das Fenster Speedometer angewählt werden welches Blick auf einen Klassischen Tacho samt zusätzlicher Digitalanzeige bietet.

 

In beiden Fenstern stehen umfangreiche detailierte Resetmöglichkeiten zur Verfügung.

Das umfangreiche Optionsmenü erlaubt die Auswahl des  Anzeigesystems ( Meter / Miles), Festlegungen zu den Regeln wie die Durchschnittsgeschwindigkeit ermittelt werden soll und Auswahl der Position nach NSW oder Grad.

Des weiteren können Optionen hinterlegt werden welche Aktionen ausgeführt werden sollen wenn man das Gerät schüttelt, ein Geschwindigkeitsalarm ist einstellbar und die Zulässige GPS Genauigkeit einstellbar.

Per "Record Keeping" können die TOP Werte Höchstgeschwindigkeit sowie max./ min Höhe abgefragt werden.

 

Sprache der App ist Englisch.


Das Hauptproblem ist das sie öfter nicht korrekt startete. Sowas kann man im Einsatzfall nicht gebrauchen.

 

gpsDashboard ist eine leistungsfähige App für den Livemodus, es exsistieren keinerlei Möglichkeiten Tripps abzuspeichern. Passende Einsatzgebiete finden sich durch das Speedometer vor allem bei Radfahrern, ansonsten kann sie aber auch bei anderen Outdoorsportaten Verwendung finden.

1 Kommentare

Fr

22

Aug

2014

Firefox OS App " GPS "

" GPS " ist ebenso wie "Remember GPS" ein Vertreter der Layerlosen Positionsbestimmung im Stile klassischer GPS Geräte. Neben Longtitude und Latitude zeigt es zusätzlich noch Höhenmeter und Geschwindigkeit. Ergänzend stellt es die Positionsdaten als Dezimalformat zur Verfügung und weist die Positionsgenauigkeit aus. Die Anzige kann per "Toggle  units" Button zwischen Meter- System und Milen System umgeschaltet werden.

Positiv ist hervorzuheben das die Angaben groß lesbar eingeblendet werden und gut abzulesen sind.

Weiterführende Möglichkeiten und Optionen werden nicht geboten, so fehlt beispielsweise die Möglichkeit Positionsdaten abzuspeichern.

Fr

22

Aug

2014

Firefox OS App "Remember GPS"

Remember GPS ist eine Karten-App, sondern zeigt die aktuelle Position Latitude und Longitude als Wert an. Die Werte kann man mit einem Kommentar versehen und als Liste abspeichern.

Weiterführende Optionen exsistieren nicht, so ist es nicht möglich das GPS Format zu ändern oder die Liste aus der App heraus zu exportieren.

Das die App in Spanisch vorliegt ist auf Grund des selbsterkärenden Funktionsumfanges  kein Problem.

 

Das denkbare Einsatzgebiet liegt in der simplen Referenzierung von Positionen, beispielsweise von markanten Wegpunkten, Fotos oder ähnlichem.

0 Kommentare

Fr

22

Aug

2014

Firefox OS App " Gps Maps "

Version 1.0

 

Gps Maps bietet einen Funktionsumfang auf Basisniveau. Mann kann sich über eine Suchleiste einen Ort anzeigen lassen, oder per Kurzzugriff den aktuellen Standort. Die Kartenansicht ist zoombar in allen Stufen die der Kartendiesnt vorsieht.

Als Layer stehen alle gängigen Quellen zur Verfügung, der Basislayer von Open Street Maps, alle Layer von Google Maps sowie die Layer von Bing Maps.

Und das wars. Es besteht weder eien Routingmöglichkeit, noch sind Tracks aufnehmbar, abspeicherbar oder ladbar, es gibt keine Möglichkeit Layer offline zu speichern oder einen Cache für die offline- Nutzung bereitzustellen.

 

Die Bedienung ist mangels Optionen simpel und flüssig, als Kritikpunkt mögen die klein geratenen Zoombuttons +/- gelten.


Wer nur gelegentliche Orientierung über sich und seine Umgebung benötigt bekommt mit der kostenlosen App eine funktionierende Basisabsicherung. 

Optional gibt es eine kostenpflichtige Version die Google Mpas HD Streetview unterstützt.

0 Kommentare

Fr

22

Aug

2014

Firefox OS APPs mit GPS im Vergleich

Firefox OS tritt an sich ein Stückchen vom Kuchen der Smartphone Betriebssysteme abzuschneiden, und das geht nicht ohne Apps. Da ich mich bereits in der Vergangenheit mit GPS Programmen für Navigation für unsere Reisen beschäftigte bietet sich hier die Gelegenheit die Entwicklung entsprechener Programme für Firefox OS im Auge zu behalten und zu vergleichen .

Neben den individuellen Besprechungen plane ich hier eine Tabelarische Übersicht der Fähigkeiten der verschiedenen Apps, mal sehen ob das was wird.....

 

Die Links in der Tabelle führen zur jeweiligen Blog-Artikel der Produktbesprechung.

 

mehr lesen 1 Kommentare

Di

19

Aug

2014

Zielgruppenadressierung auf Elementebene

Im Artikel zur zentralen Konfiguration von Firefox hatte ich offen gelassen, wie genau man die lokalen Konfigurationsfiles richtig per GPO auf die Clients verteilt und einen extra Artikel versprochen. Na dann...

 

von einer zentralen Softwarefreigabe aus müssen zwei Konfigurationsdateien verteilt werden. Zum einen die

"Firmenname_settings_lokal.js" in den Firefox Unterordner /defaults/pref , zum anderen

"Firmenname_Firefox_lokal.cfg" direkt in den Firefox Programmordner .

 

Das Problem - das Firefox Progrmmverzeichnis hat je nach Windows Version verschiedene absolute Pfade. Es exsistiert keine vordefinierte Umgebungsvariable, die sowohl unter 32 und 64 bit Betriebssystemen ab Vista und höher, wie auch noch unter Windows XP einen korrekten Pfad in das Programmverzeichnis für 32bit Softwareinstallationen definiert. Wem nicht klar ist wo das Problem so richtig liegt sollte mal hier bei Wikipdia und den Vordefinierten Umgebungsvariablen reinschauen.

 

Um dem Einrichten mehrere GPOs und der Vordefinierung und Pflege mehrerer OUs aus dem Weg zu gehen benutzen wir WMI Abfragen mit Zielgruppenadressierung auf Elementebene. Na dann wollen wir die GPO mal angehen..

 

Wir legen eine neue GPO "Firefox_Config" an, als Sicherheitsfilterung kommen zB nur die "Domänencomputer" zum Einsatz. Das ist der größte gemeinsame Nenner, hier muss jeder Admin selber wissen was er wählt.

Wir wechseln in die Eigenschaften und dann weiter nach Computerconfiguration/Windows-Einstellungen/Dateien denn diese Firefox Konfiguration betrifft alle Systeme unabhängig vom Benutzer. Bei Dateien wählen wir Rechtsklick -> Neu - Datei , und wählen im folgenden den Quellpfad auf dem zentralen Server. Nachfolgend ein Beispiel mit einer verstecken Freigabe.

 

\\SERVERNAME\Softwareverteilung$\Firmenname_settings_lokal.js

 

Als nächstes der Zielpfad, hier zunächst als Zielpfad für Installationen auf 64bit Betriebssystemen:

 

%ProgramFiles(x86)%\Mozilla Firefox\defaults\pref\Firmenname_settings_lokal.js

 

Mit der gleichen Datei legen wir dann noch eine Kopieranweisung an für 32bit Betriebssysteme.

 

\\SERVERNAME\Softwareverteilung$\Firmenname_settings_lokal.js

%ProgramFiles)%\Mozilla Firefox\defaults\pref\Firmenname_settings_lokal.js

 

Und das ganze dann nochmal für die zweite Konfigurationsdatei, so das wie schlußendlich in der GPO zum Dateien kopieren 4 Anweisungen stehen haben, für jede Datei je eine auf 32 und 64 bit Betriebssysteme.

 

Um nicht den Überblick zu verlieren benennen wir die Jobs, die Standardmäßig den Namen der zu übertragenden Datei bekommen, noch etwas um.

 

mehr lesen 0 Kommentare

Mo

11

Aug

2014

Firefox - zentrale Konfiguration im Unternehmen

Wie in zurückliegenden Artikeln bereits dargelegt kann Firefox mittels des Local Update Publisher zentral verteilt werden. Und wenn man im Unternehmensumfeld schon mal dabei ist verwendet man dafür auch gerne die ESR - Versionen.

Der zunehmende Funktionsumfang der Browser in den letzten Jahren und die Tatsache das selbst die ESR Versionen funktional nicht für Unternehmen optimiert sind führt bei vielen Administratoren zu dem Wunsch Firefox nicht nur zu verteilen sondern auch zu konfigurieren. Das betrifft zum einen administrative Konfigurationen wie Einstellungen zum Updateverhalten, aber auch Komforteinstellungen wie das Abschalten nicht relevanter Popups.

Leider kann Firefox nicht nativ per GPO konfiguriert werden. Das macht es - wie so oft und wieder mal - nötig sich mit noch weiteren Verfahren zu beschäftigen.

Die administrative Konfiguration von FF kann auf verschiedenen Wegen erfolgen....

 

* Man verwendet .adm Templates um die GPO Verwaltung in die Lage zu versetzen Firefox zu konfigurieren. Leider sind die Templates veraltet, unvollständig  und die Entwicklung wohl eingestellt. Für einen Neueinstieg würde davon abraten.

 

* Man verteilt von zentraler Stelle Konfigurationsdateien auf die Clientrechner, sei es per Script, oder GPO, oder läßt sie auf eine zentrale Konfiguration zugreifen.

 

*Man verwendet den in Enterprise Umgebungen recht beliebten CCK Wizard um sich schlußendlich zum Beispiel einen eigens konfigurierten Firefox zur Verteilung zusammenzustellen.

 

Die nachfolgenden Ausführungen gelten für eine Windowsdomäne, zum Einsatz kommt FF 31 ESR (oder höher). Die gesetzten Veränderungen kratzen nur an der obersten Schicht der Möglichkeiten und dienen einem zügigen Einstieg mit möglichst wenig Fallstricken.

Der Artikel behandelt das Verfahren mit einer Verteilung von Konfigurationsdateien auf die Clientrechner und zentraler Konfigurationsdatei. Diese ist nur ein Nice-to-have Bonus, denn in jedem Fall müssen zwei Dateien auf die Clients verteilt werden.

Der funktionale Unterschied zwischen einer lokalen und zentralen Konfigurationsdatei besteht darin das bei zentraler Konfiguration Änderungen mit dem Start einer neuen FF-Instanz wirksam werden, wohingegen lokale Konfigurationsänderungenerst mit Neuladen der GPO erfolgen ( also typischerweise Neustart ).

Aber: Wie oft ändert man schon die Konfiguration, also wäre es eigentlich egal.

 

Bei jedem Start einer neuen Instanz berücksichtigt FF automatisch Konfigurationsdateien in folgendem Installationsunterpfad: /defaults/pref 

Die dortigen Konfigurationsdateien beherrschen jedoch nicht den vollen Befehlsumfang, weshalb üblicherweise von dort auf eine weitere lokale Konfigurationsdatei verlinkt wird. Von dieser aus kann dann bei Bedarf auf eine zentrale Konfigurationsdatei zugegriffen werden.

 

Frisch ans Werk!

 

Teil 1 - die drei Dateien erzeugen. Als Ablageort bietet sich ein Ordner "Softwareverteilung" von dem ja womöglich auch schon die FF-Installation verteilt wird.

 

Auf dem Server erzeugen wir mittels Texteditor ( ANSI Speicherformat beachten ) eine Datei "Firmenname_settings_lokal.js" mit folgendem Inhalt:

 

//Umleitung zum lokalen Konfigfile, welches es ermöglicht lockPref zu benutzen und mehr Variablen zu benutzen.

pref("general.config.obscure_value", 0);
pref("general.config.filename", "Firmenname_Firefox_lokal.cfg");

 

Dann erzeugen wir mittels Texteditor ( ANSI Speicherformat beachten ) eine Datei "Firmenname_Firefox_lokal.cfg" mit folgendem Inhalt:

 


//Umleitung zum eigentlichen, zentral liegenden Konfigurationsfile
//Konfigurationen nur dort ändern, nicht hier!
lockPref("autoadmin.global_config_url","file://///Servername/Softwareverteilung$/Firmenname_Firefox_zentral.cfg");

 

Der Pfad ist ggf. anzupassen, aber ich habe hier mal ein schönes Beispiel wie die Adresse ausssieht wenn man als Quelle eine Fileablage und versteckte Freigaben verwendet.

 

Zum Schluß erzeugen wir mittels Texteditor ( ANSI Speicherformat beachten ) eine Datei "Firmenname_Firefox_zentral.cfg" mit folgendem Inhalt:

 


//Firefox Default Settings
//Zentrales Konfigurationsfle, Änderungen nur hier durchführen, jeder FF übernimmt die Einstellungen sofort mit Start einer neuen Instanz
//Auswahl durch Pö
//
// Startseite, voreingestellt aber änderbar
pref("browser.startup.homepage","http://www.google.de");
//
// Standard Browser Check
lockPref("browser.shell.checkDefaultBrowser", false);
lockPref("pref.general.disable_button.default_browser", true);
//
// Update Check deaktivieren
lockPref("app.update.enabled", false);
lockPref("app.update.auto", false);
lockPref("app.update.service.enabled", false);
//
// Proxy deaktiviert
lockPref("network.proxy.type", 0);
//
//Privacy
lockPref("privacy.donottrackheader.enabled", true);
lockPref("privacy.donottrackheader.value", 1);

// disables the request to send performance data from displaying
lockPref("toolkit.telemetry.prompted", 2);
lockPref("toolkit.telemetry.rejected", true);
lockPref("toolkit.telemetry.enabled", false);
//
// stops the 'know your rights' button from displaying on first run
pref("browser.rights.3.shown", true);
//
// Disable blinking text:
pref("browser.blink_allowed", false);
//
// Disable JS windows popping up without direct action from the user
// (as lots of porn and spam sites do):
pref("dom.disable_open_during_load", true);
//
// Syntax highlighting in View Source.
pref("view_source.syntax_highlight", true);
//
// This will stop the ‘Thanks for installing Firefox’ from showing when first launching Firefox.
pref("app.update.showInstalledUI", false);
//
// This will stop another ‘Congratulations on installing Firefox’ screen when launching Firefox.
pref("browser.startup.homepage_override.mstone", "ignore");

 

 

Ein bischen was zum Verständnis der verwendeten Befehle. Wir unterscheiden pref ( damit wird eine Konfiguration vorausgewählt, ist aber änderbar) und lockPref. Bei der Verwendung von letzterem wird die Option vorausgewählt und gesperrt (ausgegraut). Der Befehl ist Case sensitiv!, lockpref führt ohne Fehlermeldung ins Leere!

 

 

Teil 2 Die Verteilung

 

Während die Datei "Firmenname_Firefox_zentral.cfg" an Ort und Stelle verbleiben kann verteilen wir die Datei 

"Firmenname_settings_lokal.js" nach %ProgramFiles(x86)%\Mozilla Firefox\defaults\pref\Firmenname_settings_lokal.js und die Datei

"Firmenname_Firefox_lokal.cfg" nach %ProgramFiles(x86)%\Mozilla Firefox\Firmenname_Firefox_lokal.cfg

 

Hier lauert ein Fallstrick, denn die obigene Angaben sind für 64bit Systeme. Wer eine gemischte Infrastruktur hat bekommt ein Problem, denn es gibt keine globale Variable die bei 32bit und 64bit Systemen den Pfad automatisch richtig in den 32 bit Pfad setzt. Das korrekt abzufangen behandel ich in einem weiteren Artikel.

 

Die Verteilung erfolgt per GPO, und zwar kann man in diesem Fall den Pfad "Computerconfiguration/Windows-Einstellungen/Dateien" verwenden, denn diese Konfigurationsmaßnahmen sind nichts Benutzerspezifisches und gelten Computerweit.

 

 

 

5 Kommentare

Mi

23

Jul

2014

Mozilla Firefox ESR 31 - Registry Änderungen - LUP Softwareverteilung anpassen

Vor kurzem erschien das neue Long Term Relase de Firefox - die Version 31, und bescherte auch den Unternehmensnutzern die neue Firefox Optik. Wie bekannt wurde, war das ESR Projekt ursprünglich nur für Version 10 - 24 vorgesehen, wurde aber nach aktueller Lage auf unbestimmte Zeit verlängert. Die Entscheidung, ESR auch zukünftig als echten Firefox - Zweig zu führen bescherte der Installation ein paar Änderungen in der Registry. Darauf aufmerksam wurde ich als meine Versionsabfrage im Rahmen der Softwareverteilung nicht mehr korrekt funktionierte.

 

Bisher fand sich eine Angabe der Produktversion unter HKLM/SOFTWARE/(Wow6432Node)/Mozilla/Mozilla Firefox/ Current Version , und diese Variable nutzte ich. Ab sofort bekommen die ESR einen eigenen Produkteintrag unter HKLM/SOFTWARE/(Wow6432Node)/Mozilla/Mozilla Firefox ESR/ Current Version .

 

Die bisherigen Pfade bestehen fort und werden für "normale" Installationen genutzt. Wer bisher den gleichen Pfad für die Installationskontrolle im Rahmen der Softwareverwaltung nutzte muss die entsprechende Regel anpassen.

 

0 Kommentare

Mi

09

Jul

2014

Remotedesktop für Wartungen

Remotedesktop ist eine Geschichte die sowohl für Produktivbereiche wie auch für Wartungszwecke vielfältig Verwendung findet. Während es in einigen Netzwerken gar nicht ohne geht, kommt es in kleineren Netzwerken oder dem Heimbereich womöglich eher selten zum Einsatz. Oder überhaupt nicht, was die User betrifft. Dann benötigt es eigentlich nur die Administration um sich zu Wartungszwecken auf die Clients zu verbinden.

Beliest man sich über Remote Desktop in Netzwerken wird fast immer ein Telnet-Server im gleichen Atemzug genannt. Doch das muss natürlich nicht immer sein. Die Telnetdienste lassen sich auch in der kleinen Variante als "administrative Werkzeuge" installieren.

Wieviele Verbindungen möglich sind hängt vom Server/Lizenztyp ab, soweit ich mich erinnere sind es mindestens zwei, und das reicht für administrative Wartung erst mal.

 

Da man nicht allen Clients manuell eintrichtern möchte das sie Remotedesktop erlauben ( Die Standardeinstellung ist ab W7 "deaktivert"), gibt man es am besten per GPO Richtline frei.

Für WS2003 + RSAT verwende ich eine Richtline  " RemoteDesktoperlauben" die nachfolgende Einstellungen bündelt. Es handelt sich dabei zum einen um Konfigurationen für den Remote Desktop, und - was gerne nicht beschrieben wird- zum anderen um Freigaben der Windows Firewall. Denn wenn diese auf den Clients aktiv ist blockiert sie ( je nach Einstellung auch kommentarlos) die Remoteverbindung. Mit dieser Konfiguration kommt ein Admin in seinem Netzwerk von einem Clientrechner aus z.B. Remote auf den Server und jeweils einen weiteren Client. User können keine Remotedesktopverbindungen herstellen da die Remoteanmeldung nur für Admins zugelassen ist. An den Clients kann in der RemoteDesktop Verwaltung eingesehen werden wer Zugang hat. 

 

Computer Configuration -> Windows Settings -> Administrative Templates -> Network / Network Connections / Windows Firewall /Domain Profile

 

Windows Firewall: Allow ICMP exeptions-------------------------------Enabled------ ( optional, oft benötigt in Verbindung mit Client-Managment-Software)

Windows Firewall: Allow Remote Desktop------------------------------Enabled-------( aktiviert Remote Desktop auf den Clients)

Windows Firewall: Allow remote administration exception----------Enabled------ ( damit sind die User außen vor )

 

Computer Configuration -> Windows Settings -> Administrative Templates -> Windows Components-> Terminal Services

Allow users to connect remotely using Terminal Services------------Enabled------

Limit number of connections----------------------------------------------- 2--------------

 

 

 

 

 

 

 

0 Kommentare

Di

10

Jun

2014

Local Update Publisher - Adobe Softwareverteilung mittels SCUP.cab Katalog

Die großen Super - Software Verteiler Admins haben natürlich gar keine Zeit sich mit Regeln und deren Prüfung auseinanderzusetzen, und außerdem wären sie ja auch noch Schuld wenn es nicht klappt. Und deswegen gibt es gemäß den erweiterten Regeln der BOFH's für diejenigen noch was extra.

Wer genug Heu hat um sich SCE bzw. SCCM zu kaufen, für den werden für einige Produkte sogenannte Kataloge bereitgestellt, in diesen muss der Admin nur noch die gewünschte Software anklicken, und diese wird dann runtergeladen und via WSUS bereitgestellt. Nur noch genehmigen und fertig.

 

Also schauen wir uns mal an wie das geht mit dem LUP. Adobe bietet für seine Produkte entsprechenden Katalog an. ( z. B. AdobeFlashPlayerCatalog_SCUP.cab ) .

Wo man den Katalog herbekommt? Nun, im Prinzip muss man sich bei Adobe zur Produktverteilung registieren um eine Verteilungslizenz zu erhalten, und erfährt dann den Link zur Webseite wo alles bereitsteht. Oder man kennt den Link auch so, ein LogIn ist nicht erforderlich. Denn das ganze erfordert keinen Login, Adobe hat es nur gut verschachtelt und versteckt, aber im Prinzip sind die alle Dateien für jeden erreichbar.

Aber der Form halber sollte ein Admin der Adobe Produkte weiterverteilt diese Registrierung durchführen, denn das ist der lizenztechnisch vorgesehene Weg für Businesseinsatz. Zu denken gibt einem jedoch das in der Adobe - Email nur von einem Full Installer für den Reader 9 als .exe die Rede ist, und es auch sonst keine Business-brauchbaren Downloadlinks gibt. Man ist also darauf angewiesen sich selbst 

 

Unglücklicherweise gibts den Katalog beim Flash Player auf der Webseite nur für den Internet Explorer, na sowas? Öffnet man jedoch später den Katalog werden sowohl ActivX als auch Plugin Integration angeboten. Das muß man wieder mal nicht verstehen.

  • wir laden uns die Katalogimport-Datei von Adobe
  • Wir wechseln im LUP unter Updates in den Pfad wo wir die Adobe Software normalerweise verteilen
  • wir wählen "DATEI-> KATALOG IMPORTIEREN"
  • Entscheiden uns für die aktuelle Flash Version
  • ...Datei lädt herunter und wird paketiert.fertig
  • wie gewohnt für die betreffende Gruppe genehmigen und das wars.

Wirklich toll.

 

Also probieren wir das auch mal für Adobe Reader. Zunächst darf sich der Interressent erst mal durch einen Dschungel kämpfen um überhaupt zu den erforderlichen Katalogdateien vorzudringen. Die sind nämlich völlig anders organisiert wie bei Flash. Aber der Reihe nach.

  • Wir starten auf der Adobe Reader Seite
  • relativ weit unten findet sich die Rubrik "Ressourcen" mit dem Unterpunkt " IT- Ressourcen". Da wollen wir hin.
  • Unter " Dokumentation und How-Tos wechseln wir in "Acrobat Enterprice Toolkit"
  • Sie finden sich nun im Adobe  Enterprise Bereich. Allerdings habe ich den Katalog im Enterprise Download FT Server vergeblich gesucht. Statt dessen arbeitet man sich hierhin:
  • Enterprise Toolkit »Enterprise Administration Guide »11   SCCM-SCUP

 

Dort finden sich die Katalog-  .cab für die Updates des Reader 11. Was allerdings fehlt, ist der Reader 11 selber. Gibts scheinbar nicht als Katalog. Dafür wiederum einen Katalog für das Upgrade 10->11. Also entweder durchblick ich die Systematik nicht oder das ist das letzte Chaos.

 

 Wie auch immer. Man kann sagen, im Prinzip funktioniert die Sache. Allerdings ist es nicht wirklich komfortabler als wenn man vom Adobe - FTP Server sich die entsprechenden .msi und .msp selber direkt herunterlädt und im LUP organisiert.

 

Fazit:

Noch simpler gehts nun wirklich nicht mehr. Aber was bringts wenn das Verfahren für so gut wie keine Software bereitsteht. Aber schön das man weiß wies geht.

 

Betreffend meines Kenntnisstandes und der hier verwendeten Software das Katalogverfahren nutzen für:

 

  •  Adobe Flash Player
  •  Adobe Reader (beschränkt)
0 Kommentare

Di

10

Jun

2014

Local Update Publisher - optionale Verteilung von Notepad++

wie mir so auffällt habe ich zum Thema Notepad++ noch gar nichts nachgereicht. Auch dieses Programm steht in der Liste der optional als Update verteilten Software, und die Verteilung funktioniert auch sehr sauber, die Registry Einträge sind ordentlich gesetzt. Nachfolgend die Installed Rules für die Version 6.6.4. Die Installierbares Rules Regel lautet bei mir noch immer auf "mindestens XP SP3").

Geprüft auf W7 Prof 32+ 64 bit.

 

Rule
Oder Start
Registrierungs  Zeichenfolgen Wert: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Notepad++\DisplayVersion   Vergleich:Enthält   Zeichenkette:6.6.4
Registrierungs  Zeichenfolgen Wert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Notepad++\DisplayVersion   Vergleich:Enthält   Zeichenkette:6.6.4
End Or

 

 

0 Kommentare

Di

10

Jun

2014

Local Update Publisher - optionale Verteilung von 7-Zip (Update)

Das ich 7-Zip als optionales Update zur Softwareverteilung bereitstelle hatte ich hier schon beschrieben. Letztens fiel mir auf das Rechner die Software auch nach der Installation weiterhin anboten. Kein Beinbruch, aber ein Schönheitsfehler. Die Ursache dafür dürfte klar sein - die Prüfungsregel ob das Produkt installiert ist arbeitet nicht korrekt. Und tatsächlich.  7-Zip zickt herum wenn es darum geht sich ordentlich auf 64bit und 32bit Systemen zu installieren.  Und das erinnert mic hdaran das es auch schon Probleme gab bei dem Versuch das Produkt als praktisches .msi Paket zu verteilen.

 

Jedenfalls sollte man gründlich die Regeln für den Installationszustand prüfen, bei den hiesigen Installationen schlagen die x32bit OS nämlich aus der Art, die Registrie gibt keinen typischen Eitrag im Uninstall Verzeichnis her.

 

Hier mal die Insalled Rules für die Version 7-Zip 9.20

 

Rule
Oder Start
Registrierungs  Zeichenfolgen Wert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7-Zip\DisplayName   Vergleich:Enthält   Zeichenkette:9.20
Registrierungs  Zeichenfolgen Wert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{23170F69-40C1-2701-0920-000001000000}\DisplayName   Vergleich:Enthält   Zeichenkette:9.20
End Or

 

0 Kommentare

Di

27

Mai

2014

Local Update Publisher - optionale Verteilung von ImageJ

26.05.2014

Heute mal wieder etwas neues von der Verteilungsfront. Und zwar geht es um die Bereitstellung von ImageJ, ein Tool was im Forschungsumfeld gerne für alle möglichen Analysen und Veranschaulichungen verwendet wird.

Die Software wird als .exe bereitgestellt, entsprechend ist das Vorgehen erst mal identisch mit der Verteilung von Progrtammen wie Paint.Net, Irfanview usw., in vergangene Einträgen habe ich das schon mehrmals beschrieben.

Die Spezifika bei ImageJ sind:

- die umfangreichen Schalter für die Silent- Instalation: /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /SP-

- die zu verwendenden Installed Rules:

Rule
Oder Start
Registrierungs  Zeichenfolgen Wert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ImageJ_is1\DisplayName   Vergleich:Enthält   Zeichenkette:1.47
Registrierungs  Zeichenfolgen Wert: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\CurrentVersion\ImageJ_is1\DisplayName   Vergleich:Enthält   Zeichenkette:1.47
End Or

 

 

Die Installation läuft auf XP und W7 / W7 64 bit problemlos durch,

 

Esgibt jedoch ein paar ABER:

 - beim Start des Programms wird Java verwendet, und je nach individueller JAVA Konfiguration kann es sein das die Firewall um Freigabe bittet, und die kann wieder nur der Admin gewähren.

 - Für dasProgramm gibt es diverse Plugins und Erweiterungen, es steht offen, ob alle Erweiterungen mit Benutzerrechten eingebunden werden können.

     

0 Kommentare

Do

20

Feb

2014

PC bauen

Vorspiel

Selbstverständlich hat man schon des öfteren einen PC gebaut. Während ich dienstlich fast nur mit Intel- Systemen zu tun habe bin ich privat eher AMD Systemen verschrieben.

Da der Performancebedarf bei uns eher gering ist habe ich seit vielen Jahren ein Auge auf Systeme mit integrierter Grafik. Eins der ersten Systeme, welches noch heute seinen Dienst verrichtet war ein eher exotisches Sockel 939 System mit AMD Athlon 64 X2 3600+ ( so ziemlich das schnellste was es für Sockel 939 gibt, und einer der wenigen DualCore für 939 ) auf einem ASUS A8V-VM. Eins der ersten Boards die mehrere Grafikschnittstellen onboard bedienten.

Naja, wie auch immer.

 

Die CPU
Jedenfalls steht ein neuer Rechner an, und es soll diesmal ein AMD System mit APU werden, also mit CPU- internem Grafikprozessor. Im Januar 2014 stellte AMD mit einem halben Jahr Verspätung die ersten Modelle der stark überarbeiteten KAVERI Architektur vor. Allerdings waren vorläufig nur zwei A10- Modelle lieferbar, und der besonders interessante A8-7600 lies auf sich warten. Das Besondere an dem Modell ist das er moderate 65W TPD hat, und die sollen, so geht die Rede, auch noch per UEFI auf 45W TPD umschaltbar sein. Sowas gabs noch nie. Im Januar 2014 tauchte bei einem Gigabyte BIOS im Betastadium erstmals kurzzeitig eine solche Umschaltoption auf. Der A8-7600 ist somit der optimale Kandidat für ein potentes kleines kühles System. Die CPU Performance liegt ansonsten etwa im Bereich kleiner i5 Prozessoren, bei deutlich potenterer Grafikeinheit.

 

Die Lieferverzögerungen von AMD von sage und schreibe 6 Monaten sogten dafür das ich mir mit dem Bau reichlich Zeit lassen konnte. Trotzdem entschied ich mich für einen AMD A8-7600.

 

Das Mainboard

Als Sockel benötigt er FM2+. Entsprechende Boards sind seit ein paar Monaten am Markt da der Unterschied zum FM2 nur gering ist und AMD die CPU Markteinführung wie gesagt monatelang verbummelt hat. Nachdem man sich in den letzten Jahren beim PC Bau von BIG Tower über Midi Tower zu Mini Tower heruntergehangelt hat steht auch diesmal maximal ein µATX, oder erstmalig ein mITX Board auf dem Plan. Der Chipsatz sollte maximale Performance bieten, also bleiben nur AMD A88X Systeme.

Des weiteren gibt es Besonderheiten beim Thema RAM. Der A8-7600 verträgt DDR3 PC2400 Speicher, also sollte das Board entsprechend mitziehen können.

Die heißesten Kandidaten aus dem mITX Bereich die das erfüllen lauten:

  • ASRock FM2A88X-ITX+ WIFI
  • Gigabyte GA-F2A88XN-WIFI

Beide Boards bieten zusätzliches modernes WLAN im 2,4 und 5GHz Bereich bis 300 MBit/s, wobei ich das unter Praxisbedingungen mit einem Zehntel mehr als zufrieden wäre. Das Feature erspart mir die Verwendung einer PCI WLAN Einsteckkarte mit 300 MBit/s Modul und externem Antennenanschluß, Was sich positiv auf Platzbedarf, Wärmeentwicklung und Thermik ausübt.

 

Das ASRock wurde von der Ct Redaktion bevorzugt, es drohen weniger Probleme bei er Erstinbetriebnahme mit FM2+ CPU und das Lüftermanagment soll besser sein, also entschied auch ich mich für ein ASRock FM2A88X-ITX+ WIFI.

 

Die Festplatte

Unser Speicherbedarf ist eher verhalten, und außerdem steht auch noch ein NAS auf dem Plan, so das man mit einer mittleren SSD  gut hinkommen sollte. Die Auswahl lautet auf "128 GB SSD ADATA Premire Pro sp 9000", ein recht guter Kompromiss aus Leistung und Preis.

 

Der RAM

Das Sorgenkind des Bauplans. Die Kaveri- Architektur bringt nämlich Besonderheiten mit. Der IGP ( Interne Grafik Prozessor) profitiert nämlich besonders von eienr bestimmten Art von RAM-Riegel, von sogenannten Dual Rank - Modulen. Nur das diese Eigenschaft bisher bei RAM nebensächlich war und daher in den Verkaufsbeschreibungen und Datenblättern kaum auftaucht. Dazu kommt das PC-2600 Riegel derzeit praktisch nur als teurer Tuning-Speicher mit ausladenden Kühlkörpern verfügbar ist, und dies ein Problem auf dem kleinen mITX Board darstellt da kaum Platz zum CPU Kühlkörper ist. Des weiteren sind die Mehrzahl der Riegel 2x8 GB Kits oder höher. Brauch ich aber gar nicht, 2x2GB würden reichen, 2x4GB wären auch in Zukunft genug.

Das Referenzsystem von AMD arbeitet mit AMD-RAM Modulen ohne Kühlkörper, doch die sind unbezahlbar und oder nicht erhältlich.

Um die noch nie so wichtige Speicherproblematik in den Griff zu bekommen begann ASROCK Boards entsprechend zu zertifizieren und wieder entsprechende Speicherprofile für das BIOS bereitzustellen. So trägt das oben genannte FM2A88X-ITX+ das Logo "AMP 2400 READY".

 

Der CPU-Lüfter

Eigentlich meine kleinste Sorge, niedrige TPD und keine weiteren Einsteckkarten halten die Anforderungen niedrig. Sorge machen lediglich eventuelle Kühlkörper am RAM die im Weg sein könnten. Entscheidung noch offen.

 

Das Netzteil

Ebenfalls eher unproblematisch. 350 / 400W sind völlig ausreichend, die Abmessungen sollten nicht zu groß sein um auch in kleinen Gehäusen klar zu kommen.

 

Das Gehäuse

Fast alle PCs die ich baue haben keinerlei Designanspruch und stehen in einer Ecke unter dem Tisch. Ich hätte große Lust mal eine schönes System zu bauen.

Nach wochenlanger Recherche mußte ich allerdings den Wunsch zu Grabe tragen ein kleines anspechendes Gehäuse zu bekommen was sowohl einen externen 5,25'' Slot für ein Laufwerk wie auch einen externen 3,5'' Slot für einen Kartenleser enthält. USB 3 an der Front sollten selbstverständlich sein

Zur Auswahl stehen daher:

 

XIGMATEK AQUILA                       ab 75€

SILVERSTONE PRECISION PS07  ab 65€

BITFENIX PRODGY                       ab 65€

AEROCOOL DS CUBE                   ab 60€

INTER-TECH MINI ITX-901           ab 50€

COOOLER MASTER ELITE 130      ab 40€

LIAN LI PC-Q07                           ab 45€
  

 Die Entscheidung fiel für ein weißes Bitfenix Prodigy. In der Realität war das Gehäuse dann doch deutlich größer als erwartet für ein mITX System.

 

0 Kommentare

Mi

25

Dez

2013

Canon IXSUS WLAN Probleme beheben

Die Welt ist so vernetzt, ich frag mich wer das macht :-) Da hällt eine neue Knipse im Haushalt Einzug, eine Canon IXSUS 510 HS. Dieses Modell hat ebenso wie zB die 240 HS ein integriertes WLAN Modul. Praktisch , denkt man, fix im Netzwerk freigeben und dann kann man die Bilder gleich auf den PC schieben. Bis man das Handbuch liest.  Und es probiert. und scheitert. Und einen anderen Weg probiert. Und auch scheitert. Und sich fragt wie einem das als Admin überhaupt passieren kann.

Es sei erst mal dahingestellt ob man dem Durchschnittsuser zumuten kann wie im Handbuch angewiesen in den Firewalleinstellungen des PC  und der Routerkonfiguration drin rumzuwurschteln. Und wie es eine Firma wagen kann ein WLAN Gerät nur zur Bilderübertragung am liebsten mit einem eigenen Treiber und eigener Software zu versehen. Das ist ja wohl der Supergau.

An diese Stelle, nachdem 1 Stunde lang nix ging, bemühte ich das Internet. Und siehe da. Es gab reichlich Leute die das Teil ums verrecken nicht verbunden bekommen haben, selbst Profis.

Interessante Lektüre und ein paar Hinweise finden sich hier und hier gings auch nicht. Ein paar Erläuterungen fand ich hier, doch erste Lösungsätze lieferte dieser Beitrag. Der Versuch es über "WPS- Verbindung" -> " PIN Methode" zu verbinden schlug zwar ebenfalls fehl, lieferte aber nach erneutem Anlauf irgendwann einen MS-Fehlercode auf dem PC. Damit landete ich bei diesem MS Supportartikel.  Außerdem erinnerte ich mich das im WLAN Handbuch der IXUX was von wegen Mediendienst und Mediacenter stand.

Alternativ hätte man natürlich auch die Windows Ergeignisanzeige befragen können (sofern man von ihrer Exsistenz weiß), aber das ist ja sooo langweilig.....

Außerdem lagen mir folgende Hinweise vor:

- die Fritzbox hatte die Kamera erkannt und ihr eine IP zugeteilt, also im WLAN Netzwerk war sie gewissermaßen schon mal

- Der Verbindungsabbruch erfolgte immer wenn ich mich versuchte mit dem PC zu verbinden, die vorherige Verbindung im ersten Schritt mit dem Zugriffspunkt (Router) war scheinbar geglückt. Das sagte mir das es am Zugang zum PC lag, der WLAN Zugang war offensichtlich ok.

- Wenn man im WLAN war und auf der Kamera die PCs angezeigt wurden, dann war der PC komischerweise doppelt da. Das hatte eine verblüffende Ähnlichkeit mit einer Auflistung der Gerätekomponenten (leider find ich das gerade nicht wieder...), wo der PC in Verbindung mit dem Mediencenter ebenfalls 2x auftauchte, und zwar für jeden am PC eingericheten Benutzer einmal....     

Also habe ich erneut die Firewalleinstellungen geöffnet und habe Regeln für die gefundenen Einträge der Protokolle SSDP (UDP 1900) und WS-Discovery (TCP/UDP 3702) erstellt. Erst mal für alle die ich finden konnte, natürlich nur nur "privat", nicht "Domäne".

Dann WLAN-Kameraeinstellungen zurückgesetzt und ein neuer Anlauf. 

- Die Kamera sieht meine Fritzbox. ( war bisher auch so)

- WPA2 Sicherheitsschlüssel eingeben. Wird akzeptiert ( soweit war ich auch schon )

- am PC hab ich "Systemsteuerung->Geräte und Drucker-> Gerät hinzufügen" geöffnet ( keine Ahnung ob in dem Konfigurationsfall noch erforderlich, aber man sieht gut was sich so tut..)

- PC's des Netzwerks erscheinen ( soweit war ich auch schon)

- PC auswählen und hoffentlich den richtigen erwischen....

- bing! PC findet Kamera, und installiert alleine Treiber... ( nix Canon)

- Kamera erscheint im Arbeitsplatz unter "Computer", präsentiert sich mit ihrem Namen und bindet die Speicherkarte als Wechselmedium ein. ( nix Extra-Software)

- Trara!!!!!!!

 

Fazit: Also für den Normalbenutzer eine Katastrophe. Wäre ich nicht über den Fehlercode gestolpert hätte ich das nie gefunden. Und bedenklich auch das ich bisher keine Lösung in Foren gefunden habe... nur verzweifelte Nutzer.

 

In diesem Sinne - viel Glück :-)

 

Update:

einige Tage später traten wieder Probleme mit der Verbindung auf. Die Kamera verbindet sich mit dem Netzwerk, versucht sich dann mit dem PC zuverbinden, und meldet sinngemäß "Sicherheitseinstellungen falsch konfiguriert". Die probeweise Deaktivierung der Firewall ist erfolgreich, die Kamera verbindet sich. Leider habe ich noch keine Ahnung was da nun wieder das Problem ist, eigentlich sind alle in Frage kommenden Ports offen.

 

Die obige Fehlermeldung brachte mich dan darauf das der Fehler vermutlich gar nicht direkt aus der Firewall des PC kommt. Ich prüfte daraufhin die Einstellung der FritzBox und aktivierte "

Diese Einstellung hatte ich zwischenzeitlich vermutlich wieder deaktiert gehabt.

 

 

 

0 Kommentare

Di

23

Jul

2013

" Nicht identifiziertes Netzwerk " richtig konfigurieren und Namen vergeben

Hinter der Anzeige " nicht konfiguriertes Netzwerk " im  Netzwerk und Freigabecenter steht ein komplexes mehrstufiges Problem für dessen Lösung man mit ein bischen Grundwissen ausgerüstet sein sollte.

Entstehung: zu dieser Meldung kommt es in der Regel wenn Windows eine Netzwerkverbindung identifiziert aber keinen Gateway (Router) findet. Dadurch lässt sich das Netzwerk nicht identifizieren denn Windows verwendet dafür die MAC Adresse des Gateaway. In Folge bekommt das  Netzwerk die Einstufung "öffentliches Netzwerk" und damit wiederum sind weitreichende Portschließungen der Firewall verbunden. Eine Änderung von "öffentlich" auf "Arbeitzsplatz" oder "Privat" ist nicht ohne weiteres möglich.

Im Zusammenspiel mit Internetverbindungen sollte man also tunlichst als ersten Anlauf einen korrekten Gateaway einstellen.

Es ist möglich per Registry, GPO, lokale Gruppenrichtlinien usw. die Grundeinstellungen für "nicht identifizierte Netzwerke" von "öffentlich" auf " privat" zu stellen, dies behebt zwar nicht das Identifikationsproblem, gewährleistet aber zumeist eine ungehinderte Funktion auf Grund der geringeren Firewallrestriktionen. Anleitungen dazu finden sich zahlreich im Netz.  Es wird aber immer ein "nicht identifiziertes Netzwerk" bleiben.

 

Um dies zu lösen muss man dem PC unbedingt einen realen Gateway anbieten, auch wenn kein Router exsistiert.

 

Wir betrachten im folgenden Fall  mal einen Spezialfall, einen Messplatz-PC im Firmennetzwerk dessen Messsystem ebenfalls per Ethernet angebunden ist.

Der PC verfügt über zwei Netzwerkanschlüsse.

Über Anschluß 1 läuft der Zugang zum Internet via Firmennetzwerk.

Über Anschluß 2 steht eine Direktverbindung mit einem anderen Gerät. Das kann zum Beispiel auch ein NAS sein, oder ein "spezieller" PC, oder aber auch ein Messgerät oder eine Maschine die ihre Kommunikation via Ethernet abwickelt, ja sogar ein Netzwerkdrucker, wobei das etwas sinnfrei wäre.....

In diesem Fall bilden die Beteiligten " PC Ethernet Anschluß 2" und "anderes Ethernet-Gerät" ihr eigenens Mini-Netzwerk, in dem kein Router exsistiert, allen Beteiligten wird die IP manuell eingegeben.  Z.B. die .70 am Gerät und .71 an der Netzwerkkarte des PC. Außerdem wird als Gateway die korrespondierende IP eingetragen, also am PC die .70 .  Damit verwendet Windows die MAC Adresse des "anderen Ethernet-Gerätes" zur Netzwerkidentifizierung und man erhält ein ordnungsgemäßes Netzwerk das man als Arbeitsplatznetzwerk einstufen kann und dessen Namen und Symbol man ändern kann.

0 Kommentare

Mo

15

Jul

2013

PDF Creator als Serverinstallation mit Dienst laufen lassen

Die Zentralisierung von Diensten die Treiber erfordern ist eines der Ziele wenn man einen Server unterhält. Ein Job, der meist regelmäßig anfällt ist die Erzeugung von PDF's aus diversen Anwendungen.  In den letzten Jahren hat die Bedeutung von Programmen die PDFs erstellen leicht abgenommen, denn neben der Open Office Gruppe beherrscht mitlerweile auch MS Office die PDF Erstellung. Trotzdem ist es eine gute Idee einen PDF Erzeugung zur Verfügung zu stellen, so das aus praktisch jedem Programm heraus ein entsprechendes Dokument erzeugt werden kann.

Für Firmen ist die Auswahl an Freeware ohne Lizenzprobleme eher überschaubar, vor allem wenn es nicht um eine Verteilung auf die Clients sondern um einen zentralisierte Serverinstallation geht. Natürlich wäre es auch möglich ein entsprechendes Programm über die Softwareverteilung bereitzustellen.

Wir haben uns für PDF Creator entschieden. Das Programm ist sowohl für Clientinstallation wie auch für Serverinstallation vorgesehen. Leider ist die Serverinstallation nicht sonderlich ausgefeilt, auf diverse Fallstricke komme ich an den entsprechenden Stellen zu sprechen.

 

Die Serverinstallation wird während der Installation angeboten, es gibt keine separate Installationsdatei. Der Hersteller selbst gibt für die Installation eine notdürftige Hilfe.

Also los...

Wir starten die Installation, und wählen die Sprache und anschließend den Expertenmodus. 

Wir nicken die Lizenz ab und wählen die Serverinstallation aus.

Wenn wir weitere Treiber angeboten bekommen wählen wir alles was wir brauchen. Bei mir ist das z.B. noch W98 und XP. Etwas sorgen macht das mir auf dem WS 2003 keine Treiber für aktuelle Betriebssysteme angeboten werden, also nix Vista/W7/W8. Aber keine Sorge, zumindest die W7 Einbindung funktioniert trotzdem.

Bei den "ausgewählten Komponenten" wählen wir Image PDF und den Architect ab, denn wir wollen ja später nur den Druckdienst nutzen. Wir sind so freundlich und wählen das deutsche Sprachpaket dazu.

Bei den "zusätzlichen Tasks" können wir eigentlich auf Desktop Icon und Explorer Eintrag verzichten.

Und das restliche Durchgeklicke schafft man dann auch alleine....

 

So. Hier schon mal ein paar weitere Haken der Installation: Updates gibt es nicht, d.h. neue Versionen erfordern eine neue Installation. Diese wiederum verlangt am liebsten einen Neustart, ein Unding bei einer Serverinstallation.

 

Ist die Installation durchgelaufen sollte man sich den Einstellungen widmen.

0 Kommentare

Mo

11

Mär

2013

Local Update Publisher - Folgeupdates richtig genehmigen

Immer wieder tauchen Fragen auf wie man richtig mit Folgeupdates umgeht. Darunter verstehe ich Installationen die zu einer neuen Programmversion führen und nicht zu einer Parallelinstallation verschiedener Programmversionen.  Dies ist der Regelfall, egal ob Mozilla, Java oder Adobe, stets ersetzt bei Standardinstallationen die neue Version die alten Versionen.

Im LUP erzeugt man dazu zunächst im gleichen Produktordner ein neues Updatepaket, wie man es bereits bei der ersten Veröffentlichung durchgeführt hat. Bei den Regeln achtet man darauf das man ggf. die Versionsnummer des Programms anpasst.

Für Updates in msi und msp Form ist die Erstellung von Installationsregeln nicht erforderlich, die Installer prüfen selbstständig!

Es sind im Normalfall auch keine speziellen Regeln erforderlich die die bestehende Version prüfen, oder diese erst mal deinstallieren.

Sodann hat man im rechten oberen LUP Fenster ein neues Updatepaket stehen. 

Wir gehen jetzt so vor das wir zunächst das bestehende Update außer Verkehr nehmen. Das kann auf verschiedene Arten erfolgen.  Ein Rechtsklick auf das Update bietet im Kontextmenü die Optionen (Genehmigen/Überarbeiten/Erneut signieren/Verfallen/Ablehnen/Entfernen). All diese Optionen regeln den Status des Update im LUP und wirken nur indirekt auf den Client. Direkt auf die Clients wirken die Attribute im sich öffnenden Fenster "Genehmigen".

 

"Entfernen" löscht das Updatepaket aus dem LUP, diese Holzhammermethode ist nicht zu empfehlen, sie kann später zu schweren Deinstallationsproblemen führen.

 

"Ablehnen" (Verfallen) entzieht dem Update die Installationsgenehmigung, es werden keine neuen Installationen mehr ausgelöst. Es steht im LUP weiter in Bereitschaft. Kann man nutzen, allerdings verfallen damit auch alle Installationsstatus. Es ist dann nicht mehr erkennbar welche (ältere)  Version bei Clients noch auf eine Aktualisierung wartet.

 

Die "richtige" Vorgehensweise besteht darin "Genehmigen" auszuwählen und im öffnenden "Update genehmigen Fenster" für die Computergruppe das Attribut "Nicht genehmigt" zu setzen. Es werden dadurch keine neuen Installationen mehr zugelassen ( Reiter "Berichte" / Genehmigungsanzeige: Not Approved),  die Statusanzeige für die Clients listet aber weiterhin den korrekten Installationsstand für die Version.

 

Ist eine alte Programmversion schon längere Zeit obsolet und mit Sicherheit auf allen Clients ersetzt worden wird es Zeit sie aus dem System zu löschen. Dazu verwendet man wie oben bereits angesprochen den Punkt "Entfernen" aus dem Kontextmenü des Updates. Ich halte es dabei so das die letzen 5 alten Pakete noch im System stehen.

 

0 Kommentare

Mo

04

Mär

2013

Local Update Publisher - optionale Verteilung von Sumatra PDF

Sumatra PDF ist ein sehr schlanker PDF Viewer. Auf Grund einer Forennachfrage prüfte ich mal die Einbindung in LUP. Auch wenn ich das Programm auf Grund seiner verspielten Erscheinung bestenfalls als optionale Software anbieten würde möchte ich die Paketerstellung dennoch hier aufführen. Der Dank für die Anregung zu SumatraPDF geht an redryder aus dem MCSEBoard.

Also:

- Der Silent Schalter lautet /s ( Danke redryder)

- Das Programm kommt als exe daher, also habe ich nach einer manuellen Clientinstallation die Registry geprüft und bin bezüglich der Versionsnummer im Uninstall - Pfad   fündig geworden - siehe Regel

- Die Regel "Installed Rules" prüft auf x32 oder x64 System, letzteres hab ich aber mangels freiem Testsystem nicht kontrolliert.Bitte nicht die ODER Verknüpfung vergessen wenn wie hier mehrere Reglen gesetzt werden.

- wie immer dann in der zweiten Regel "Installierbares Rules"  WXP SP3 als Mindestsystem.

 

 

mehr lesen 1 Kommentare

Sa

23

Feb

2013

Local Update Publisher - Regeln definieren

in letzter Zeit finden sich immer mehr Einträge zum Local Update Publisher im Netz - und das ist gut so, denn je größer die Benutzergemeinde desto mehr Hilfe gibt es. Leider ist mir beim Durchsehen einiger HowTo Seiten und Foreneinträge aufgefallen das der Umgang mit den Installationsregeln gelegentlich falsch beschrieben wird und es viele Fragen dazu gibt. Da dies sowieso ein komplizierter Punkt ist möchte ich dem einen Blogeintrag widmen. Ein Sprachproblem ist das Regel eigentlich nicht so ganz der richtige Begriff ist, mann muss Regel eher im Sinne von Bedingung verstehen.

 

Es gibt zwei wichtige Regeln bei der Erstellung eines Paketes:

 

die Installed Rules

Dies ist die Bedingung dafür das das Produkt vorhanden (installed) ist. Wird diese Bedingung erfüllt gilt das Produkt als installiert und es wird NICHT installiert, wird die Bedingung nicht erfüllt wird installiert.  Verwendet man hier also eine Produktversionsnummer zur Prüfung muss die Nummer eingetragen werden die man installieren möchte und die nach der Installation vorhanden sein soll.

Wird auf x64 und x32 Systemen installiert sind beide Prüfpfade zu hinterlegen und entsprechend logisch zu verknüpfen.

Hier findet sich ein Beispiel.

 

die Installable Rules.

Diese Regel beschreibt die Systeme auf denen eine Installation ausgeführt werden soll anhand von verschiedenen auswählbaren Einträgen. Eine der häufigsten benutzten Regeln ist die Zuweisung anhand des Betriebssystems.

Auch wenn man auf alle Rechner installieren will, hier muss eine Regel stehen, auf keinen Fall die Installable rules frei lassen, denn das würde bedeuten das keine System die Regel erfüllt, also würde nirgends installiert werden.

 

Der Umgang mit den Regeln ist für .msi und .exe Installationen unterschiedlich. 

.msi Datei

Sofern diese nicht in irgendeinem Hinterhof zusammengebastelt wurde sondern aus guter Quelle stammt, also sagen wir mal es handelt sich um die oft verteilten Adobe Produkte Flash und Reader ist es nicht zwingend erforderlich die Reglen auszufüllen, denn die msi Installer bringen entsprechende Regelwerke bereits mit. Sie prüfen selber ihre Eignung hinsichtlich Versionsnummer und Betriebssystem.

 

.exe Datei

Hier ist das korrekte ausfüllen der Rules unabdingbar für eine korrekte Installation. In diesem Blog gibt es mehrere Beispiele für entsprechende Installationen.

 

Es ist zu beachten das die Regelwerke keine Verteilung anhand organisatorischer Gruppen durchführen können. (Jedenfals nicht ohne Tricks). Wenn sie also Software beispielsweise nur an die Rechner von Herrn Schmidt, Meier und Schulze verteilen wollen, dann sollten sie zB so vorgehen wie in Softwareverteilungsstruktur im WSUS einrichten beschrieben.

1 Kommentare

Sa

23

Feb

2013

Software deinstallieren mit Local Update Publisher LUP und WSUS

durch einen Blogkommentar wurde ich darauf aufmerksam das es oft gar nicht so einfach ist einmal im Netzwerk verteilte Software wieder los zu werden. Natürlich gibt es die Lösungen per Script oder pder Verteilergruppe bei GPO basierter Installation, aber wer Software über LUP/WSUS verteilt möchte sie auch so wieder los werden.

 

Die Optionsflags im LUP für die Updates kennen: "Installieren" , " für optionale Installation bereitstellen" , "Ablehnen" , "Verfallen" , "Entfernen". "Entfernen" meint dabei aber entfernen des Updates aus dem LUP, nicht von den Clients.

Was wir brauchen sind aber nicht die Flags für die Updates sondern die Genehmigungsflags für die Computergruppen. Diese kennen " Bereitstellen für optionale Installation" , Installation genehmigen", "Deinstallation genehmigen" sowie "Nicht genehmigt".

 

An dieser Stelle kann einmal verteilte Software auch wieder deinstalliert werden. Allerdings funktioniert das nur für .msi Pakete, nicht für Pakete die auf einer .exe basieren.

 

  Analog funktioniert das natürlich auch im WSUS. Der WSUS kennt die Option "deinstallieren" natürlich auch, allerdings ist sie nicht für alle Microsoft Updates anwendbar. Das Update selber regelt nämlich ob es ein deinstallierbares Update ist oder nicht.

 

Zunächst muss die LUP/WSUS Combo so eingestellt sein das die lokal publizierten Updates im WSUS sichtbar sind. Eine Hilfe das umzusetzen findet sich hier.

Dann stellt man das Update im LUP auf "Abgelaufen", und im WSUS stellt man es auf "deinstallieren". Viel Glück!

 

Auf den TestClients (jeweils XP / W7) konnte ich feststellen das Deinstallationen stets Vorrang haben. Wenn also eine Deinstallation und 5 Updates anliegen wird erst die Deinstallation als Update bereitgestellt, und erst wenn diese erfogt ist werden die neuen Updates  angeboten.

 

1 Kommentare

Fr

22

Feb

2013

LUP im WSUS sichtbar machen II

nachdem ich in der Vergangenheit fulminant daran gescheitert war die Softwareinstallationen des LUP im WSUS sichtbar zu machen habe ich nach einem Tipp den zweiten Anlauf gewagt. Geholfen hat mir dieser Artikel.

Vorsicht! Der Artikel enthält Fehler! Die genannten Mindestvorraussetzungen sind  nicht korrekt, die Beschreibung der Installationsregeln ist falsch, die Systematik der Auflistung im WSUS ist je nach Verteilungsstruktur ggf. unpassend! Trotzdem ist diese Anleitung allen die einen LUP aufsetzen wollen ans Herz zu legen.

 

Achtung ist geboten hinsichtlich der Anleitung wenn Updateansichten eingerichtet werden sollen! Sofern Software bestimmten Clients unabhängig ihres Betriebssystems zugewiesen werden soll, also zum Beispiel rein Arbeitsplatzspezifisch, dann ist eine Einordnung in Computergruppen eventuell sinnvoller. Bei uns trifft das auf 75% der verteilten Software zu.

 

Beispiel:

Ich verteile Thunderbird rein Mitarbeiterspezifisch auf bestimmte Clients. Nur die Büroarbeitsplätze bekommen ihn.

Im LUP  gibt es dafür die Computergruppe "Thunderbird", die ComputerGruppe wurde extra im WSUS eingerichtet und enthält die entsprechenden Rechner. Im LUP sieht man also auch beim Aufrufen der Gruppe wie der Installationsstand ist, dito im WSUS.

Würde ich nur eine Updateansicht dafür erstellen (wie im verlinkten Artikel beschrieben), würden praktisch ALLE Clients die Software haben wollen, weil alle ein Betriebssystem über XP verwenden. Die Statistik würde ständig behaupten das es noch zahlreiche Clients gibt die das Update benötigen, obwohl das gar nicht stimmt da die Installation auf eine Computergruppe beschränkt ist.  Die Kontrolle des Installationsstandes ist über die Updateansicht in dem Fall unbrauchbar.

 

 

 

 

1 Kommentare

Mo

06

Aug

2012

Clientcomputer: Systemanzeige BGInfo bei Administratorzugriff serverseitig einrichten

Admins in heterogenen Netzwerken kennen das sicher - was war das doch gleich für ein Rechner wo ich hier gerade bin? Welche Hardware? Welche IP?

Wäre cool wenn das immer alles da stehen würde - hier hilft BGInfo. Mit Hilfe der GPP wollen wir das Tool auf alle Rechner verteilen und erreichen das es nur arbeitet wenn sich ein Admin einloggt.

Dazu nutzen wir zunächst die Vorlage von Nils K. Wir kopieren die BGInfo.exe sowie die Datei fom-BGInfo.bgi auf dem Server in einen freigegebenen Ordner für Softwareverteilung.

In der GPP erstellen wir eine GPO "Admin Client Info". Wir entfernen unter Sicherheitsfilterung die "Authent. Benutzer" und wählen statt dessen z.B."Domänen-Admins", damit die Anzeige später nur greift wenn ein Admin sich anmeldet.

Rechtsklick auf die GPO, -> Bearbeiten.

Wir hangeln uns zu zu "Benutzerkonfiguration/Einstellungen/Windows Einstellungen/" und..

Erzeugen unter "Ordner" einen Ordner "BGInfo" am Ort C:\%ProgramFiles%\BGInfo . Als Aktion wählen wir "Erstellen".

Erzeugen unter "Dateien" die Verbindung zu  \\SERVERNAME\BGInfo\Bginfo.exe mit Zielort %ProgramFiles%\BGInfo\BGInfo.exe . Als Aktion wählen wir "Erstellen".

Erzeugen unter "Dateien" die Verbindung zu  \\SERVERNAME\BGInfo\fmo-Bginfo.bgi mit Zielort %ProgramFiles%\BGInfo\fmo-BGInfo.bgi . Als Aktion wählen wir "Erstellen".

Dann hangeln wir uns zu Benutzerkonfiguration-Richtlinien-Administrative Vorlagen-System-Anmelden-diese Programme bei der Benutzeranmeldung ausführen, aktivieren den Eintrag unter hinterlegen das Element:  C:\Programme\bginfo\bginfo.exe  C:\Programme\bginfo\fom-bginfo.bgi /timer:0 /nolicprompt

 

Das sollte es gewesen sein. Immer schön auf die Zugriffsrechte und Pfadnamen achten! Wenn man sich dann als Admin anmeldet bekommt man den Desktophintergrund mit diversen hilfreichen Infos garniert. Damit das auch bei Remotedesktop klappt sollte bei den Remoteoptionen "Desktophintergrund übertragen" ausgewählt werden.  Möchte man irgendwann Konfigdatei oder exe aktualisieren sollte man die Aktion von "Erstellen" auf "Ersetzen" ändern.

 

Wer möchte kann in der zu verteilenden BGInfo.exe auch als Datenbank einen UAC Pfad z.B. zu einer Excel Datei auf dem Server hinterlegen in welche dann die ganzen Clientdaten automatisch geschrieben werden, quasi als kleines automatisches Inventory.

 

Zu guter letzt nervt noch die Sicherheitsabfrage beim erstmaligen Programstart. Wie man das auch noch abstellt ist hier beschrieben.


1 Kommentare

Mo

06

Aug

2012

Dateien im Netzwerk verteilen mittels GPP unter WS 2003 / WS 2008

06.08.2012

Etwas was mittels LUP nicht so recht simpel gelingen mag ist die Verteilung von Dateien auf die Clients. Seien es Updates von Virusdatenbanken, Konfigurationsdateien oder Dokumente, ja selbst .exe Programe ohne Installation - für diese Aufgabe sind die Seit WS 2008 verfügbaren GPP gut geeignet. Unter WS 2003 muss man einen W7 Client mit installiertes RSAT bemühen. Öffnet man auf diesem dann die "Gruppenrichtlinienverwaltung" ist das Vorgehen wie folgt:

Erstellen eines neuen Gruppenrichtlinienobjekts für die Verteilung

Rechtsklick- Bearbeiten... -  Computerkonfiguration - Einstellungen - Windows Einstellungen - finden sich unter anderem Punkte wie "Dateien" und "Ordner". An diesen Stellen lassen sich Dateien aus einer Freigabe(!) auswählen die auf alle Clientrechnern verteilt werden. die Auswahl der Rechner erfolgt wie gewohnt durch eine OU.

Sollen die Dateien benutzerspezifisch verteilt werden ist neben einer passenden OU der Eintrag analoge Eintrag unter Rechtsklick- Bearbeiten... -  Benutzerkonfiguration - Einstellungen - Windows Einstellungen - zu wählen.

 

Eine Anwendung dafür findet sich im nächsten Blogeintrag.

 

1 Kommentare

Do

19

Jul

2012

Local Update Publisher - optionale Verteilung von 7-ZIP

19.07.12

Das beliebte Packprogramm 7-ZIP gehört sicher zu den typischen Programmen die man bei Bedarf bereitstellen sollte. 7-ZIP wird für 32bit Systeme sowohl als .exe wie auch als .msi bereitgestellt.

Zunächst versuchte ich die Packetierung der 32bit .msi Variante, mit den in der FAQ angegebenen Commandline Parametern: /q INSTALLDIR="C:\Program Files\7-Zip" sowie mit diversen Abwandlungen davon, doch jedes mal brach die Installation auf dem Client mit der Fehlermeldung ab das der Command Line Parameter falsch wäre. Das Forum auf 7-ZIP lieferte auch keine Erklärung.

Schlussendlich verwendete ich den 32bit .exe Installer mit dem Command Line Parameter /S , und vola! Als Prüfpfad der Installed Rule ist dabei HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstaller\7-ZIP zu empfehlen. Mangels W7 64bit Testsystem hoffe ich mal das die 32bit Version auch dort läuft, denn für 64bit gibt es wiederum nur ein .msi Paket.

 

mehr lesen 1 Kommentare

Mo

16

Jul

2012

Local Update Publisher - optionale Verteilung von IrfanView

16.07.2012

Irfanview liegt ausschließlich als .exe vor, verfügt jedoch über zahlreiche Möglichkeiten zum Anpassen der Installation. Besonderes Augenmerk ist auf die zusätzlichen Command-Line Parameter zu richten. Nachfolgend eine Standardinstallation auf Clientrechnern, Desktop Icon und Startmenüeintrag als aktiv gesetzt.

Als Installed Rule Abfrage dient der Deinstallationseintrag unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IrfanView : DisplayVersion .Zusätzlich natürlich wieder der Installable Rule Eintrag für W XP SP3 .

Mehr Infos zu den Installationsmöglichkeiten für Irfanview finden sich hier in den FAQ's.

 

mehr lesen 1 Kommentare

Mo

16

Jul

2012

Local Update Publisher - optionale Verteilung von Paint.NET

16.07.2012

Nicht jede Software braucht jeder Nutzer, daher sind einige Softwareverteilpakete bei uns optionaler Natur. Die User bekommen sie als optionale Updates angeboten und können sie mit normalen Benutzerrechten installieren.  Das funktioniert aber erst ab Windows Vista / 7.

Eins dieser Softwarepakete ist Paint.Net.

Paint.NET ist eine .exe Datei welche drei, Hardwareplattformspezifische .msi enthält. Man kann also entweder im Vorfeld ein Extraktions vornehmen ( /createMsi ) um im Anschluß zwei Varianten zu verteilen, oder man erstellt eine Verteilung für die .exe.

Die entsprechenden Einstellungen und Regeln sind nachfolgend dargestellt. Da es sich im Ursprung um eine .msi Installation handelt sollte man auch den .msi Schlüssel abfragen. Eine direkte MSI-Version- Abfrage ist mir im LUP leider nicht so recht gelungen also habe ich den Eintrag im Softwarepfad geprüft. Ähnlich wie bei Firefox und Thunderbird prüfe ich auf 32 / 64 bit System den Schlüssel und verlange mindestens ein W XP SP3.

 

Die entsprechenden Informationen über Silent - Schalter in Paint.NET finden sie hier.

mehr lesen 1 Kommentare

Mi

04

Jul

2012

Adobe Reader Verteilung im Local Update Publisher gegenüber GPO Verteilung

04.07.2012

 

Würde man Microsoft befragen bezüglich der Verteilung von Adobe Reader mittels GPO erhielte man als Antwort: " Kein Problem, der Adobe Reader wird als .msi zur Verfügung gestellt und kann einfach verteilt werden."

Befragt man einen Admin und lässt den Hinweis "Quarterly Updates" fallen bekommt man einen verbissenen Gesichtsausdruck. Der Grund dafür ist hier beschrieben. Die kleinen Sicherheitsupdates mit der dritten Ziffer werden nämlich nicht als Programm per *.msi bereitgestellt sondern nur als Updates, als *.msp. Oder halt komplett als *.exe. Die GPO kann weder noch verteilen. Dafür hat sich Adobe ein Zusatzspaß ausgedacht. Der offizielle Weg besteht darin aus der jeweils letzten verügbaren *.msi und dem aktuellen (da inkremental) *.msp Update selber eine neue *msi zu patchen. Voll schick sowas.

 

Die Verteilung dieser gepatchten *msi per LUP ist normalerweise nicht möglich wie ich erleben durfte. Grund dafür ist das Dateien im falschen Pfad gesucht werden da durch die Paketierung des LUP eine CAB Datei erzeugt wird. Ebenfalls ist es nicht möglich eine so erzeugte geslippte AIP Installation mit normalen Quater Updates weiterzuversorgen. Zu diesem Ergebnis kam auch das Forum von LUP und vermerkte dies im Wiki.

Die Verteilung muss also, oder sagen wir besser kann also ganz normal über die ursprünglichen *.msi und *.msp Files erfolgen die der LUP ebenfalls bereitstellen kann. Man stellt also sowohl das letzte *.msi bereit wie auch das aktuelle *.msp und fertig.

Nachtrag 03/2013:

Der Wechsel von einer GPO Verteilung mit geslippten Installationspaketen zu einer LUP Verteilung mit normalen *.msp Updates sollte also entweder im Rahmen eines Adobe Reader Major Updates oder aber durch vorherige Deinstallation der geslippten Installationen erfolgen.

 

Für Benutzer von leistungsfähiger Verteilsoftware womöglich ein klarer Fall und alter Hut, für Umsteiger aus der GPO Liga aber womöglich ein interessanter Anreiz. 

25 Kommentare

Di

03

Jul

2012

Softwareverteilung im LUP + WSUS Teil II: optionale Verteilung

02.07.2012

In einigen der letzten Blogeinträge ging es bereits um die Softwareverteilung per Local Update Publisher . Zwischenzeitlich wurde die Verteilung erweitert, und umfasst als verbindliche Updates:

  • Adobe Reader
  • Adobe Flash
  • Java
  • Mozilla Firefox
  • Mozilla Thunderbird

Damit werden also nicht nur .msi Pakete sondern auch .exe Installationen verteilt. Auf die dabei erforderlichen Regeln bin ich ebenfalls bereits eingegangen. Für .msi Pakete sind normalerweise keine Regeln erforderlich, sie bringen die Regel in Form eines Registryeintrages, meist unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ bereits mit. Falls man für Software keinen Eintrag unter HKLM\Software\XYZ findet ist dies auch eine gute Suchadresse.

 

Nun ermöglicht der LUP beim genehmigen der "Updates" auch die Option "Approve for optional Installation". Möchte man dies nutzen, muss man zunächst einen GPO Eintrag setzen:

Wir öffen also eine entsprechende GPO, in meinem Fall heißt sie "Windows Update Richtline" und wählen den Eintrag: Computerkonfiguration > Administrative Vorlagen > Windows Components > Windows Update > Enable recommended updates via Automatic Updates = Deaktiviert.

Dies ist erforderlich weil sonst nichts optional passiert sondern die Software sonst vorausgewählt ist und ohne Nachfrage installiert wird.

 

So. Haben wir obige GPO gesetzt werden alle wichtigen Updates und verbindlichen Softwareeinspielungen wie gehabt durchgeführt, ruft der User aber am Windows 7 Client das Windows Update auf werden ihm die optionalen Updates / Softwarepakete ebenfalls angeboten. Er kann sie dann ohne UAC Abfrage installieren. Wer schon immer einen Weg gesucht hat seinen Usern Software zur Verfügung zu stellen die sie ohne Adminrechte installieren können - trara!

 

Es gibt aber noch einen weiteren Effekt, der ebenfalls in der WSUS API so beschrieben ist, aber eigentlich keinen rechten Sinn macht. Diese optionalen Updates erscheinen ebenfalls unter "Programme und Funktionen" -> "Im Netzwerk bereitgestellte Software". An diesem Punkt ist ebenfalls eine Installation möglich, allerdings nur mit UAC Abfrage. Dies gilt für W7 und XP.

 

Bisher stelle ich auf diesem Weg Notepad++ zur Verfügung. Die Bereitstellung von 7-ZIP und Paint.NET streikt zwar noch, aber hier schon mal ein Ausblick.

mehr lesen 0 Kommentare

Di

03

Jul

2012

Windows 7 und XP Clients melden keinen Status an den WSUS Server

02.07.2012

 

Auf Grund einer angeknacksten Datenbank durfte ich die Tage den WSUS komlett neu aufsetzen, und, wir haben es geahnt, das geht nicht ohne Probleme.

Als allerallererstes: Die Deinstallation des WSUS sollte auf gar keinen Fall über die Softwareverwaltung erfolgen. Statt dessen startet man das WSUS Installationsprogramm, und sofern dieses einen bereits installierten WSUS erkennt bietet es eine Deinstallation mit verschiedenen Optionen an. Ich habe eine vollständige Deinstallation inklusive Datenbank durchgeführt.

Danach starten wir das WSUS Installationsprogramm erneut und installieren..... Sollten Rahmenbedingungen nicht stimmen meckert die Installationsroutine von alleine, z.B. wenn der IIS im 32bit statt 64bit Modus ist auf einem x64 Server.

Für die Einrichtung des Server, der Produkte und Klassen gibt es anderso umfangreiche Hinweise, ich möchte mich an dieser Stelle einem anderen, fiesen Problem widmen.

Vor einiger Zeit wurde der Windows Update Agent der auf dem Clients läuft durch ein Update aktualisiert, vermutlich samt aktuellem Zertifikat. Der WSUS weiß davon aber nach einer Neuinstallation nichts, die WSUS Installationsdatei wurde von MS bisher nicht aktualisiert, ergo verweigert er die Zusammenarbeit und die Clients können keine Statusmeldungen abliefern. Eine Inspektion des WindowsUpdate.log liefert Fehler der Art:

Digital signature on file not trusted: 0x800B0001

An diesem Punkt steht sich der WSUS auch selber im Weg, denn er kann auch keine eigenen Updates laden.

Im Microsoft Technet Forum häuften sich plötzlich Fehlermeldungen der Art: WSUS installiert - Clients melden sich nicht. Statt einer aktualisierten Installationsdatei hat MS mal wieder einen Patch dafür: KB 2720211 . Zu beachten ist das der IIS Dienst und der WSUS Dienst angehalten werden müssen. Falls man das vergisst hilft wohl auch ein Neustart des Servers.  Nach aufspielen das Patches berichten praktisch alle ( ich auch :-) ) das die Clients wieder korrekte Statusmeldungen liefern.

 

Tja, das hat mich inklusive Neueinrichtung aller Computergruppen und Neueinrichtung der Softwareverteilung mal eben 4 Tage Zeit gekostet. Es hätte nicht viel gefehlt und ich hätte wegen dem Problem schmachvoll externen Support angefordert.

2 Kommentare

Di

03

Jul

2012

Eigene Updates im WSUS sichtbar machen

28.06.2012

 

Wie bereits beschrieben verwende ich zur Softwareverteilung zwischenzeitlich den Local Update Publisher. Wenn man mit dem eigene Updates erzeugt werden sie zwar über den WSUS zur Verfügung gestellt, aber sind dort nicht sichtbar.

Im Internet ist ein Weg beschrieben wie man diese Updates sichtbar schalten kann, und natürlich musste ich das ausprobieren. Was keine gute Idee war. Das Ergebnis war das sie dann im WSUS sichtbar, im Local Update Publisher aber unsichtbar waren. Unglücklicherweise konnte ich das nicht rückgängig machen und durfte den WSUS und den LUP komplett neu aufsetzen. ARG!

Ähnliches habe ich auch als Feedback im MSCE Forum gehört, also sollte man das Ganze nur mit Vorsicht angehen.

1 Kommentare

Mi

06

Jun

2012

Local Update Publisher - Updates für 32bit und 64bit Systeme konfigurieren

06.06.2012

 

Zu den Unannehmlichkeiten der Softwareverteilung gehört die separate Behandlung von 32 bit und 64 bit Betriebssystemen von Windows. Hintergrund ist das die Registrypfade in denen die Programm- und Versionseinträge der installierten Software stehen sich unterscheiden. Wer mit .msi Dateien arbeitet hat das Problem nicht, wer .exe Dateien verteilt, zum Beispiel per Script, kann davon ein Lied singen.

Im Local Update Publisher kann man bei der Erstellung eines Updates beide Systeme berücksichtigen wenn man die "Installed Rules" korrekt konfiguriert. Man erstellt zwei Regeln.

Regel 1 umfasst den Pfad zur Software - Versionsnummer auf einem 32 bit System.

Regel 2 umfasst den Pfad zur Software - Versionsnummer auf einem 64 bit System. 

Regeln sind standardmäßig UND Verknüpft was in dem Fall eher Kontraproduktiv ist. Daher ...

markiert man beide Regeln, dabei wird der ausgegraute Button "Gruppe.." aktiv. Bei diesem wählt man dann die Boolsche Verknüpfung "OR". Damit werden die Installationsvorrausetzungen dahingehend geprüft ob in dem einen ODER dem anderen Pfad die gesuchte Versionsnummer vorhanden ist, wenn nicht wird die Installation ausgelöst.

Und natürlich sollte man noch eine Installable Rule einrichten, diese wirkt so ähnlich wie die Gruppenmitgliedschaft und prüft ob das Produkt auf diesem Rechner überhaupt installiert werden darf. Ich fordere hier einfach mal als Mindestvorrausetzung ein XP mit SP3.

 

Das nachfolgende Beispiel beschreibt die Regeln für die Verteilung von Mozilla Firefox ESR 10.0.5 in der *.exe Version:

 

Installed Rule
Begin Or
Registry SZ Value: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox\CurrentVersion   Comparison:Contains   String:10.0.5
Registry SZ Value: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox\CurrentVersion   Comparison:Contains   String:10.0.5

End Or

 

Installable Rules
Windows Version:    Comparison:Greater Than Or Equal To   :5.1    ServicePack:3.0
1 Kommentare

Mi

06

Jun

2012

Software Verteilungsstruktur im WSUS einrichten

06.06.2012

 

Im letzten Blogeintrag ging es um die Einrichtung einer Softwareverteilung mittels WSUS Server. Wer dies erfolgreich gemeistert hat muss sich fragen wie er in einer heterogenen Softwareinfrastruktur die Verteilung organisiert. In der Regel sind die Clints im WSUS nach Organisationsbereichen oder nach Betriebssystemen organisiert, nicht anhand der Benutzersoftware die zur Verfügung stehen soll. Im hiesigen Umfeld löse ich das wie folgt:

Im WSUS legen wir eine Computergruppe "Software" an, und in dieser weitere untergeordnete Computergruppen jeweils mit dem Namen der Software.

 

-Alle Computer

  -Software

    -Adobe Reader

    -Adobe Flash

    -Java

 

Der Ordner "Alle Computer" listet in der Statusansicht "Alle" den kompletten Clientpool wie er dem WSUS bekannt ist. Dort machen wir einen Rechtsklick auf den jeweiligen Rechner > Mitgliedschaft ändern....  und setzen zusätzliche Haken bei der jeweils gewünschten Softwaregruppe.

Das Ganze für jeden relevanten Rechner. Damit bekommen wir eine saubere Einsortierung der Rechner in die Softwareverwaltung, unabhängig von der Updateverwaltung. Wenn im LUP Software zur Verteilung genehmigt wird ist natürlich darauf zu achten das die Genehmigung nur für die Computergruppe erteilt wird die den entsprechenden Softwarenamen trägt.

 

Zu beachten ist, das zukünftig bei der Freigabe von Microsoft Updates nicht einfach eine sich vererbende Freigabe an höchster Stelle gesetzt wird, es würde sonst zu Dopplungen der Updatefreigabe für die Rechner kommen.

 

Im Local Update Publisher erhält man dann folgende Varianten der Installationskontrolle:

die Ansicht nach Software...

 

mehr lesen 1 Kommentare

Mi

30

Mai

2012

Softwareverteilung über WSUS - ein Blick in die Königsklasse

Die Königsklasse der Softwareverteilung läuft über spezielle Managmentsoftware die von Microsoft bereitgestellt wird. Allerdings ist das mit hohen Kosten verbunden und eigentlich nicht üblich in kleinen und mittelständigen Unternehmen.

Wem eine scriptbasierte, GPO gestützte Softwareinstallation mit Installationsfeedback noch zu altmodisch ist kann einen steinigen Weg Richtung Königsklasse einschlagen. Das Verfahren: Mit einer Zusatzsoftware ( z.B. Local Update Publisher) und geeigneten Zertifikaten kann der normale WSUS Server zur Auslieferung von eigenen Softwarepaketen und Updates verwendet werden.

Was an vielen Stellen unerwähnt bleibt sind die erforderlichen Voraussetzungen. Das Problem sind nämlich die Zertifikate. Vereinfacht gesagt: Das Ausstellen von Zertifikaten die automatisch verteilt werden können und die WSUS akzeptiert (V1 Zertifikate) beherrschen die Standard Server (WS2003 / SBS 2003) NICHT. Man benötigt Server der Enterprice oder Datacenter Klasse oder modernere Server (WS 2008 und höher). Für ältere Serversysteme (wie das von mir betreute) ist es empfehlenswerter das Zertifikat zu verwenden welches der LUP mitliefert.

 

Doch widmen wir uns zunächst der Vorbereitung.

Zunächst müssen die Zertifikatdienste auf dem WS2003 installiert werden die standardmäßig bei der Serverinstallation nicht installiert werden.
SYSTEM->SOFTWARE->WINDOWS KOMPONENTEN->
eine Anleitung dazu:
http://www.serverhowto.de/Teil-1-Einrichten-einer-Zertifizierungsstelle.63.0.html
http://www.hasslinger.com/microsoft/sites/server/dotnet/grund/erstellen_von_organisationszertifizierungsstellen.html

 

Des weiteren benötigen wir .NET 3.5 und natürlich einen WSUS Server.

 

Sehr zu empfehlen ist außerdem der Zugang zu einer Gruppenrichtlinienverwaltungskonsole für Server die neuer als WS2003 sind, also am besten installiert man die Remoteserver-Verwaltungstools für W7.

 

Dann sollte man sich erst einmal belesen über das Ausstellen und die Verteilung geeigneter Codezertifikate, und zwar hier für den Fall eines eigenen Zertifikates, aber auch hier um das LUP Zertifikat zu verwenden.

 

So, los gehts. Wir installieren LUP und verbinden uns mit dem Server. Dabei hilft uns die Anleitung im LUP-Wiki. Für mich war das das Komplizierteste von allem. Ich hatte schon im Vorfeld mit der Zertifikaterzeugung rumgespielt und war erst erfolgreich nachdem ich den LUP deinstalliert, die Konfigdateien manuell gelöscht und nochmal von vorne begonnen hatte. Wenn wir mit der Geschichte erfolgreich waren haben wir ein Zertifikat mit dem Namen "WSUS Publishers Self-signed", dessen Eigenschaften die Codesignatur umfasst.

 

Der nächste Schritt ist ebenfalls im Wiki beschrieben. Das Zertifikat muss zum einen auf dem Server selbst und zum anderen auf den Clients verbreitet werden, die beschriebene Methode "Using a GPO" funktionierte in unserem Umfeld aus XP und W7 problemlos.

 

Damit wäre das Schwierigste geschafft. Wenn sich die Rechner früher oder später auf die neue GPO Richtline aktualisiert haben und das Zertifikat verbreitet ist (mal kontrollieren), kann man mit den Updates beginnen. Zunächst versuchen wir uns an einem einfachen .msi Update, beispielsweise Adobe Flash oder Reader. Die schon bekannte Anleitung hier ist dafür perfekt. Sofern das Zertifikat in Ordnung ist und Codesignatur umfasst und auf dem WSUS Server vorhanden ist sollte das Updatepaket erfolgreich publiziert werden. Es erscheint im LUP zunächst als "Unbekannt", und braucht wie auch die normalen Windowsupdates eine Weile bis es sich über "Heruntergeladen" zu "Installiert" durchgekämpft hat. (Sofern je nach GPO Einstellungen der User das Update auch ausführt). Die Statusaktualisierung entspricht ja der normalen Aktualisierung des WSUS, und das hinkt bekanntlich immer etwas hinterher.

 

Während .msi Updates simpel sind weil mann keine Regeln erzeugen muss, sind .exe Updates anspruchsvoller. Hier findet sich eines der wenigen Beispiele dafür. Wichtig ist das man die Regeln korrekt setzt, und diese sind reichlich undurchsichtig, die deutsche Übersetzung im LUP schlichtweg katastrophal. Das erste Regelpaket "Installed Rules" beschreibt, auf welche Weise auf dem Zielclient geprüft wird ob eine Installation erforderlich ist. Typischer Weise verwendet man dafür die Abfrage der Versionsnummer der installierten Software. Da die Versionsnummer manchmal Freizeichen und Sprachversionen umfasst wähle ich die Option "Enthält Zeichenkette xyz-Versionsnummer" Wer schon Software per Script verteilt hat ist mit dem Verfahren vertraut. Das zweite Regelpaket "Installable Rules" definiert welche Eigenschaften ein Rechner vorweisen soll damit installiert wird. Also beispielsweise ob es ein W7 Rechner. Ich empfehle diese Regel zu setzen, wenigstens auf die gängige Mindestanforderung "Windows XP mit SP3". Alle anderen Reglen können erst mal übersprungen werden.

 

Nach diesen Verfahren verteile ich für den Anfang derzeit: Adobe Flash, Adobe Reader, Java 7, Firefox, Thunderbird.

 

Schwierigkeiten:

  • Etwas unerfreulich ist, das die Programmupdates, die ja oft auch Sicherheitsupdates sind, einen - je nach festgelegter GPO-Updaterichtlinie- undefinierten Installationszeitpunkt haben. Bei einer Installation per normaler GPO oder Script ist hingegen sichergestellt das die Software vor der Benutzung bei Computerstart installiert wird.
  • Ein Schönheitsfehler besteht darin das die "Softwareupdates" des LUP standardmäßig nicht in der Updateliste des WSUS auftauchen sondern nur über den LUP ihren Installationsstatus preisgeben. Dafür gibt es meines Wissens eine Löung per Eingriff in die Datenbank.

 

 

0 Kommentare

Di

15

Mai

2012

Visualisierung der scriptbasierten Softwareinstallation mittels GPO am Clientrechner

Dieser Eintrag behandelt die Möglichkeiten der Visualisierung von scriptbasierter Softwareinstallation unter W XP und W7.

 

Standardmäßig erhält der User kein Feedback wenn auf Grund von Softwareinstallationen der Windowsstart verzögert.

 

Schritt eins ist daher die Aktivierung der GPO Option "verbose vs normal status messages". Damit zeigen sowohl unter XP wie unter W7 "echte" GPO basierte Installationen während des Windowsstart an welche Software gerade installiert wird. Scriptbasierte Installationen bekommen aber unabänderbar nur die Anzeige "Script wird ausgeführt".

 

Schritt zwei ist die Aktivierung der GPO "run scrips visible", wodurch unter W XP ein CMD-Fenster erscheint in dem das Script abläuft. Unter W7 erscheint dieses Fenster zunächst nich da dort die Scripte standardmäßig asynchron ausgeführt werden.

 

Schritt drei ist daher das deaktivierien der Option "run scripts asynchron", wodurch auch unter W7 ein CMD-Fenster sichtbar wird.

 

Nun ist so ein Scriptablauf in ein paar Sekunden erledigt, unmöglich die einzelnen Zeilen zu lesen. Das Script braucht also im Fall einer tatsächlichen Installation eine Warteschleife die Zeit zum lesen schafft. So einen Befehl gibt es aber nicht, weshalb wir uns an geeigneter Stelle im Scriptablauf mit einem Trick behelfen:

 

ping /n 11 localhost >NUL

 

produziert 10 Sekunden Pause in denen sich der PC selber anpingt. Klingt komisch, ist aber elegant da keine Zusatzdateien benötigt werden.

 

So. Im Prinzip wäre der Admin jetzt zufrieden, aber der durchschnittliche moderne User bekommt Panikattacken wenn er heutzutage beim Systemstart ein Batchscript abarbeiten sieht. Besser wäre eine Messagebox, die dem User nur das nötigste mitteilt. Softwareinstallation: ProgrammXY. Und das machen wir auch ohne eine extra Datei anzulegen...

 

Echo msgbox"Intallation Programm XY",0,"Softwareinstallation" >Test.vbs

ping localhost -n 3 -w 1000 >NUL

start Test.vbs

 

Damit erzeugen wir ein temporäres File / Fenster was nach ein paar Sekunden verschwindet.  Leider gibt es keine Standardoption für ein Fenster ohne Button, so das sinnloserweise ein funktionsloser "OK" Button angezeigt wird.

 

Dummerweise wird dieses Fenster nur angezeigt wenn auch das CMD-Fenster sichtbar angezeigt wird. Soll nur das Messagefenster angezeigt werden wid es schwierig. Das Abschalten der Option "run script visible" liefert unter W XP das gewünschte Ergebns. Für W7 konnte ich nur "alles oder nichts" erreichen, entweder Script und Messagefenster oder gar keine Anzeige.

 

 

 

0 Kommentare

Mi

09

Mai

2012

Erzeugen von eigenen .msi für Firefox und Thunderbird

Es ist Halbzeit bei der ersten ESR Version von Mozilla, und  die Enttäuschung bei vielen Administratoren ist groß ist, nicht weit genug reicht ihnen die Unternehmensunterstützung, zu riskant die Gefahren durch schleichenden Sicherheitsverlust durch fehlende Features und den anstehenden großen Versionssprung um 7 Major Releases.

Doch zumindest hinsichtlich der firmeninternen Verteilung der Mozilla Produkte gab es hier echte Vortschritte. Von "gar keiner Verteilung" wurde der Firefox auf die GPO Verteilung von Frontmotion Fireox msi's gebracht. Und Thunderbird wird sogar als originale.exe verteilt, mittels GPO gestartetem Scipt und inklusive Konfigurationsdateien. Das ist - wenn es einmal läuft sogar einfacher als die reguläre GPO Verteilung und dazu noch komfortabler, es gibt nämlich log Dateien ob es geklappt hat...

 

Das Erscheinen von Mozillas halbgaren ESRs hat einige Profis bewogen die Sache selbst in die Hand zu nehmen. Und so muss ich zunächst einen wirklich wirklich guten Artikel empfehlen: "How To Create Firefox.msi" von Klaus Hartnegg

Denn auch wenn das mit der Scriptinstallation super läuft, so ein bischen wurmt mich das fehlen der .msi Pakete bei Mozilla doch, und auch das ich in der Vergangenheit an der Erstellung selbiger mittels diverser Tools gescheitert bin.

Aus obigen englischem Artikel möchte ich daher ein paar Eckpunkte hier wiedergeben.

Nschdem er dargelegt hat das er sich mit seinen Installationen auf die Majorreleases von ESR beschränkt und das er davon ausgeht das seine Ausführungen analog für Thunderbird gelten beschreibt er zunächst die Alternativen zu seinem weg der MSI Erzeugung. Und bereits diese Ausführungen deckten sich durchweg mit meiner Einschätzung und meinen Erfahrungen das macht neugierig auf mehr...

 

Das Verfahren beruht auf der Verwendung der FreewareVersion von "Advanced Installer", eines installiertem FirefoxAbbildes und der Anreicherung mit zusätzlichen Konfigurationsdateien. Sehr interressant, aber auch aufwendig. Ja, man hat danach ein msi Paket was sich normal per GPO verteilen lässt, aber der Aufwand es zu schnüren ist recht hoch, jedenfalls um ein vielfaches höher als die Scriptvariante, und man benötigt wieder erst mal ein Zusatzprogramm welches das Paket schnürt. Übrigens bekommt man damit natürlich auch wieder kein Feedback über den Installationsverlauf.

Fazit: coole Sache, aber kein Fortschritt für uns.

 

 

3 Kommentare

Sa

31

Mär

2012

ebay Kleinanzeigen - Vorsicht beim Versandkauf!

Heute gibt es aus gegebenen Anlass ein ganz anderes Thema. Ebay Kleinanzeigen . Der Anzeigenmarkt dient laut ebay lokalen Verkäufen, aber natürlich ist er bundesweit einsehbar und ich bin mir sicher das ein großer Teil der Aktionen auch über Versand abgewickelt wird. 

Für den Anzeigenmarkt gelten andere Reglen als im Auktionshaus. Wie es früher in selbigem üblich war stellt ebay nur die Plattform. An Geldtransaktionen ist ebay nicht beteiligt und weder Käufer noch Verkäufer müssen zunächst im Anzeigenteil ihren Namen,  Adresse, emailAdresse oder Telefonnummer nennen.

 

Leider hört man von allen Seiten mittlerweile das auch weniger ehrliche Anbieter die Platfom nutzen und sich erfolgreich in der Anonymität verstecken. Und nach zahllosen Jahren des Onlineeinkaufs und des ebayhandels hat es nun auch mich erwischt, vieleicht ist man im Laufe der Zeit einfach zu blauäugig geworden.

 

Ich kontaktierte via ebay Kontaktsystem den Anbieter einer Spiegelreflexkamera Canon EOS 450D. Produktbeschreibung und Bild passten zusammen, das Foto war selbstgemacht und kein Standardproduktbild. Als Verkaufsort war Schwerte angegeben. Der Preis war sehr günstig, aber nicht verdächtig billig. Der Kontakt mir dem Verkäufer M. Vogt war zügig, freundlich und problemlos, wir einigten uns das ih überweise und er mir den Geldeingang bestätigt und die Sendungsnummer sendet.

Gesagt getan. Der Kontakt lief dabei stets über das anonyme Kontaktportal von ebay Kleinanzeigen. die Bankverbindung lautet auf den gleichen Namen und es ist eine deutsche Filiale.

5 Tage später frage ich nach - keine Reaktion, 2 Tage später frage ich erneut nach - keine Reaktion, 2 Tage später erbitte ich umgehend die Sendungsnummer, sende nochmals Lieferadresse und reale Emailadresse - keine Reaktion.

Ich forsche nach. M. Vogt's gibt es natürlich mehrere, wenn der Name überhaupt stimmt. Ich suche einen der vermutlich im Norden lebt, denn die Bankleitzahl deutet auf eine Deutsche Bank Filiale im Raum Hamburg und Umbebung.  Auf ebay Kleinanzeigen finde ich ein Stellengesuch für den Raum Berlin, ein Martin Vogt, Einzelhandelskaufmann, 28 Jahre aus dem Norden sucht dort einen neuen Wirkungskreis in Berlin. Hm?

Zwischenzeitlich erkläre ich - noch immer über das anonyme ebay Kontaktsystem, das ich von einem Betrugsfall ausgehe und Strafanzeige stelle. Natürlich keine Reaktion.

Einen Tag später treffe ich - wieder auf ebay Kleinanzeigen - auf ein Inserat mit der Überschrift " Verarsche überweist nicht das geld an diesen ..." , worin jemand seine Erfahrungen beim Kauf von Kopfhörern beschreibt, ich zitiere "Überweist nix an diesen Typ der hatt mich verarscht der hatt 2 accounds hier in ebaykleinanzeigenich habe den 60€ überwiesen der nennt sich Martin Vogt und Steffens ...."

Damit ist der Fall für mich klar - Zufall ist das sicher nicht. Sämtliche angebote Artikel hatten einen unterschiedlichen "Standort", das legt den Gedanken nahe das vorsätzlich die vermeintliche Herkunft in ein falsches Bundesgebiet weisen soll.

 

Alle hier beschriebenen Inserate habe ich vorsichtshalber bei mir archiviert, sofern ich schnell genug war.

 

Sollten weitere Geschädigte auf diesen Blog stoßen können sie sich gerne bei mir melden. Bitte sichert schnellstmöglich das Inserat von ebay Kleinanzeigen und investiert die 20min für eine Anzeige!

 

Wie bereits gesagt gibt es in Deutschland natürliche mehrere Personen diesen Namens und unglücklicherweise muss ich damit rechnen das völlig Unschuldige sich hier angesprochen wähnen und mir auf das Dach steigen. Ich bitte diese um Nachsicht, leider sehe ich derzeit keinen anderen Weg die anderen potenzielle Opfer zu schützen. Und  unglücklicherweise kann man ja, trotz Namen auf der Überweisung nicht sicher sein das dieser stimmt, mit der  Plausibilitätsprüfung des Namens bei Überweisungen ist es nicht mehr weit her. Der derzeit sicherste Ansatzpunkt ist derzeit noch die Bankverbindung.

 

Die Moral von der Geschicht - traue guten Preisen nicht! Man muss ebay zu Gute halten das sie ausdrücklich darauf hinweisen das nur die direkte Ware / Geld Übergabe sicher ist. Das ich betrogen wurde muss ich leider auch meiner Gutgläubigkeit zuschreiben. Lassen sie sich wenn irgend möglich eine reale Emailadresse, Telefonnummer und eine Meldeadresse zukommen die sie weinigstens ansatzweise auf Plausibilität prüfen können. auch wenn sie nicht abholen können - fragen sie nach wo und wann sie die Ware holen können, wer Betrugsabsichten hat gibt das nicht preis und bricht den Kontakt an der Stelle ab. Wenn der Artikel günstig ist, dann invenstieren sie halt die paar Euro in eine Nachnahmelieferung!

 

Derzeit liegen, soweit mir bekannt 3 geschädigte Personen und von diesen 2 Anzeigen mit bekanntem Aktenzeichen vor. Ich kann nur alle aufrufen Anzeige zu erstatten und die Aktenzeichen mitzuteilen, so gewinnt der Fall an Volumen was der Staatsanwaltschaft hilft.

 

 

5 Kommentare

Do

08

Mär

2012

XP / Windows 7 taugliche Rechner mit ISA Schnittstelle

In der Vergangenheit hatte ich schon mal berichtet welcher Weg zu einem Rechner führt der zum einen einen antiquierten ISA Steckplatz mitbringt und zum anderen genug Performance für XP.

Wer jetzt lacht - es gibt im Forschungsbereich eine ganze Reihe hochwertiger Messtechnik die über ISA Karten angebunden ist, zum Teil benötigen die nicht mal Treiber da die Software den Bus direkt adressiert. Leider laufen solche Karten meist nur bis W98. Selbst wenn man keine Aufrüstung plant muss man als IT für den Fall eines Rechnerausfalls - was so nach 15 Jahren durchaus mal sein kann :-), Ersatzgeräte vorhalten.

Letztens bekam ich einen alten Rechner geschenkt - wie immer quasi als Bezahlung weil ich den neuen Rechner nach einem Ausfall wieder auf die Beine geholfen habe.

Ich boote: ah, PIII 1GHz. Ein Blick auf die Anschlüsse: keine Grafik onboard, kein Lan integriert.  Na das lohnt sich kaum zum Schlachten, schauen wir mal rein. Ein leerer CPU Sockel. Ein leerer Sockel ??? Wasn das für ein Teil? Der Rechner beherbergte eine Gigabyte Bord des Types GA-6VXDC7  eines der ersten günstigen und besten Boards mit Dual Sockel seiner Zeit. Allerdings war nur einer bestückt, jedoch habe ich noch ein paar P III Rechner die als Spender in Frage kommen. Das ganze war garniert mit einer damals sehr guten 60 Gb Festpatte und bemerkenswerter Weise mit 2x 512MB RAM (max 1,5 GB möglich) und einer ISA Schnittstelle, die den Rechner als "leistungsfähiges" Reservegerät predistiniert. Die Anbindung der ISA erfolgt über einen VIA Apollo Pro133A Chipsatz.

 

Ich rüstete die zweite CPU nach, tauschte das Netzteil gegen etwas leiseres und installierte XP. - Läuft. Cool. Der Gerätemanager meldet ein ACPI-Multiprocessor PC und ordnungsgemäß zwei Intel Pentium III Coppermine.

 

Na dann checken wir mal die Testberichte - und sind ernüchtert. Die Tests zu dem Board sind von 2000 und wurden unter W2000 durchgeführt. DualCore Technologie war da noch exotisch, und entsprechen lasteten weder Programme noch Benchmarks die Möglichkeiten aus.

 

Trotz allem, das Board empfiehlt sich für solche speziellen Notfälle, denn eine schnellere Basis mit ISA Schnittstelle gibt es nicht bei der Verwendung von Intel Prozessoren und XP läuft mit ordentlich Speicher und einer guten IDE Festplatte durchaus zügig.

 

 

 

15 Kommentare

Di

06

Mär

2012

Verteilung von Thunderbird in Unternehmen per GPO und Batchdatei

Bereits in der Vergangenheit hatte ich das Fehlen einer GPO kompartiblen .msi Installationsdatei für Thunderbird angesprochen. Nun, Klagen hilft nicht. In diesem Zusammenhang bin ich bereits daran gescheitert mittels Freeware Tools die Setup-EXE in eine .msi umzuwandeln und diese dann erfolgreich zu verteilen.

 

Nach Erscheinen von Thunderbird 10 mit verlängertem Support (ESR) ging ich das Problem erneut an. 

Auf der Suche nach weiteren Möglichkeiten wurde in diesem Blog erläutert wie man Firefox per Batch Skript installiert welches durch die GPO aufgerufen wird.

Softwareverteilung per Batch ist nicht gerade simpel und reich an Fallen, funktioniert aber praktisch mit fast allen .exe und liefert durch Log Dateien auch ein Feedback, was es sonst leider nicht gibt.

Die obige Beschreibung und der Code ist zunächst nur für Firefox nutzbar und muss für Thunderbird geändert werden, aber er weist den Weg. Ebenso erfolgt das Vorgehen im ursprünglichen Code unter der Prämisse möglichst viel als Script zu erledigen, wohingegen ich eine dominierende Rolle der GPO wünsche. Das äußert sich z.B. in der beschriebenen Verwendung von Dateien mit PC Listen anstatt dem Security Filtering der GPM oder einer globalen Sicherheitsgruppe des Active Directory.

 

Einem sehr guten Ansatz für die Verteilung von TB kann man hier folgen.

 

Fassen wir also die Anleitungen zusammen und wandeln sie unseren Bedürfnissen nach ab. Das heißt wir verzichten zunächst auf die Übertragung von Konfigurationseinstellungen und beschränken uns lediglich auf die Verteilung von Thunderbird ESR. 

 

  • Gegeben sei auf dem Windows-Server ein Verzeichnis zur Softwareverteilung mit versteckter Freigabe (\\servername\Softwareverteilung$\Thunderbird\)
  • In dieses kopieren wir die zu verteilende Installationsdatei ((\\servername\Softwareverteilung$\Thunderbird\Thunderbird Setup xx.x.xesr.exe)
  • Ebenfalls erstellen wir dort die Installer Batch Datei firefox-installer.bat sowie die log.txt, beides in Form einer normalen Textdatei.

Es ist sorgsam darauf zu achten das auf die Verzeichnisse ausreichende Rechte seitens des Clients bestehen, nicht nur auf NTFS Ebene sondern auch von Seiten der Freigaberechte.

Meine Variante der Batch sei hier mal wiedergegeben,  da sie in mehreren Punkten von der oben verlinkten Version abweicht, insbesondere hinsichtlich der Registryabfrage und dem Versionsvergleich. Bei einer angezielten Verteilung von Mozilla ESR Produkten muss man z.B. auch "ältere" über "neuere" Versionen installieren können.

Die ganze echo Geschichte kann man sich größtenteils sparen, die sieht der User ab W7 bei der Installation sowieso  nicht, und wenn man es unter XP doch sichtbar schaltet rennt das Ganze nicht lesbar in einem Fenster runter und der User ist total irritiert.

Die Logs sollte man eventuell in ein separates Log Verzeichnis legen in dem auch Schreibrechte bestehen.

 

REM _______________________________________________________________
REM WICHTIG! Hier die aktuelle zu verteilende Version eingeben.
REM Die Installerdatei muss so benannt sein: Thunderbird[Version].exe
set newversion=10.0.3
REM _______________________________________________________________

set wd=\\gmbu-server\Softwareverteilung$\MozillaThunderbird\
set log=\\gmbu-server\Log$\Thunderbird-Installationen-Log.txt
set instversion=99999
 
echo Thunderbird Installation wird geprueft...

for /f "tokens=3" %%a in ('reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Thunderbird" /v "CurrentVersion" ^|findstr "CurrentVersion"') do set instversion=%%a

if "%instversion%"=="%newversion%" echo %date% %time% - %computername% hat bereits Version %newversion% installiert. >> %log% & goto end

echo %date% %time% - %computername% hat die Thunderbird Installation %instversion%. >> %log%
echo %date% %time% - %computername% startet die Thunderbird Installation %newversion%. >> %log%

"%wd%\Thunderbird Setup %newversion%esr.exe" -ms
 
REM 32bit Einstellungsdateien kopieren
if exist "%programfiles%\Mozilla Thunderbird\" copy /Y "%wd%\override.ini" "%programfiles%\Mozilla Thunderbird\"
if exist "%programfiles%\Mozilla Thunderbird\" copy /Y "%wd%\mozilla.cfg" "%programfiles%\Mozilla Thunderbird\"
if exist "%programfiles%\Mozilla Thunderbird\" copy /Y "%wd%\local-settings.js" "%programfiles%\Mozilla Thunderbird\defaults\pref"
 
REM 64bit Einstellungsdateien kopieren
if exist "%ProgramFiles(x86)%\Mozilla Thunderbird\" copy /Y "%wd%\override.ini" "%ProgramFiles(x86)%\Mozilla Thunderbird\"
if exist "%ProgramFiles(x86)%\Mozilla Thunderbird\" copy /Y "%wd%\mozilla.cfg" "%ProgramFiles(x86)%\Mozilla Thunderbird\"
if exist "%ProgramFiles(x86)%\Mozilla Thunderbird\" copy /Y "%wd%\local-settings.js" "%ProgramFiles(x86)%\Mozilla Thunderbird\defaults\pref"
 
echo %date% %time% - %computername% hat die Thunderbird Installation %newversion% abgeschlossen... >> %log%

:end
::pause
endlocal

 

Hinweise:

- durch Entfernen von :: vor pause stoppt das Script nach Ablauf, und sofern man in der GPOE - Computerkonfiguration - Adm. Vorlagen - System - Scripts run Startup scripts auf VISIBLE gestellt hat kann man unter XP auch sehen ob es irgendwo hakt.

 

Weitere Optionen:

- bei Bedarf müßte noch nach normalen Versionen und ESR Versionen unterschieden werden

- Das Einbinden von Errorleveln wäre eine Überlegung wert.

 

 

  • Zur Erstellung der Verteilung öffen wir die Group Policy Managmet Console (gpmc.msc). Rechtsklick auf die Domäne und Create and Link a GPO Here...
  • Als Name vergeben wir MozillaThunderbird
  • So, jetzt weichen wir (nur für den Testrechner oder auch prinzipiell) etwas von der Norm ab. Statt im AD in einer OU eine Sicherheitsgruppe "MozillaThunderbird" zu erstellen und dort alle Computer einzuordnen benutzen wir für in der GPO den Reiter Scope / Security Filtering und sortieren dort alle Computer rein die die Verteilung betrifft (Zunächst nur einen Testrechner). Das ist wesentlich übersichtlicher da alles an einem Punkt gebündelt ist, statt das die GPO eine OU mit SG enthällt in der auch nichts weiter steht als die PCs. Dieses Vorgehen ist in unserem Fall der Softwareverteilung ok und nicht zu verallgemeinern. Wenn der IP Park einer Firma stark mit OUs strukturiert ist kann das die weniger optimale Lösung sein.
  • Rechtsklick auf die GPO und Edit..öffnet den Group Policy Object Editor der GPO.
  • in diesem Editor: Computerkonfiguration / Windows-Einstellungen / Skripts (Start/Herunterfahren) / Starten / Hinzufügen.... .....Thunderbird-Installer.bat

 

Das wars, die Installation sollte funktionieren :-) .

 

Die obige Installer-Batch-Datei wurde auf Funktionstüchtigkeit getestet in folgenden Client- Ausgangskonstellationen:

 

XP Prof SP3 ohne Thunderbird -> ok

XP Prof SP3 mit TB 9.x -> ok

W7 Prof SP1 32bit ohne Thunderbird -> ok

W7 Prof SP1 32bit mit TB 10.0.1 -> ok

 

Ich danke an dieser Stelle Hannes Schurig, dessen Script mir die Tür zur Verteilung mittels Batch Datei öffnete und der mich auf dem steinigen Weg der Anpassung begleitete.

 

---------------------------------------------------------------------------------------------------------

Eine Frage die Admins in Kürze ins Haus stehen wird ist übrigens der Umgang mit automatischen Silent Updates die in einer der anstehenden neuen TB Versionen eingeführt wird. Sicher werden einige die einfach aktivieren und froh sein das Updateproblem vom Tisch zu haben. 

 

 

 

3 Kommentare

Mo

05

Mär

2012

Frontmotion Firefox CE ESR im Test

Tolle Abkürzungen, was soll das sein? Frontmotion stellt auf Firefox basierende Browservarianten für die Netzwerkverteilung bereit. Diese dürfen nicht Mozilla heißen, und das Logo darf auch nicht verwendet werden. CE steht für "Comunity Edition", was gewissermaßen so viel bedeuten soll das die Version für Gruppenverteilung gedacht ist. Das ESR leitet sich von der originalen Firefox Vorlage ab und steht für einen verlängerten Support dieses Release.

 

Genau genommen handelt es sich um normale Firefoxversionen, die durchgeführten Anpassungen stellen jedoch einen Eingriff dar der dazu führt das das Produkt rechtlich nicht mehr Mozilla als Quelle hat. Dies ist gleichzeitig eins der größten Probleme. Der fehlende Segen von Mozilla führt bei der Installation zwangsläufig dazu das der Browser sich unter "Frontmotion Firefox" installiert und auch kein oranges Logo hat. Das ist für viele Administratoren tödlich, denn die User erwarten ein Produkt das Mozilla Firefox heißt und ein oranges Icon hat. Das Problem lässt sich auch nicht simpel aus der Welt schaffen, die Administrativen Templates sehen entsprechenden Anpassungen nicht vor.  Ein Killerkriterium ohne gleichen.

 

Die Installation dieser speziellen Variante weicht von der Verbreitung per downgeladener .msi ab, der Aufwand ist etwas höher.

- Download der FM FF xx CE ESR.msi

- wechsel zur Eingabeaufforderung: msiexec FM FF xx CE ESR.msi /a

- durchführen der administrativen Installation in das Serverlaufwerk / -rdner welches zur Softwareverteilung freigegeben wurde, z.B. C:/Softwareverteilung$/Firefox/

- dort findet sich dann eine weitere .msi sowie ein Ordner mit  Installationsdateien

- an diese Stelle downloaden wir auch die administrativen Templates von Frontmotion: firefox.adm und mozilla.adm

- wir erstellen eine Softwareverteilung wie bekannt, allerdings fügen wir im GPOM Editor dem Ordner "Administrative Vorlagen" noch die zwei .adm Dateien hinzu. 

 

tja das war es soweit, die Verteilung erfolgte ohne Probleme, allerdings sehe ich die abweichende Bezeichung und Optik in unserer Firma als nicht tragbar. 

 

1 Kommentare

Do

23

Feb

2012

Autokonfiguration von Thunderbird zum Mailserver in Unternehmen

Die wenigen Unternehmen die sich die Arbeit machen Thunderbird zu verwenden haben mit reichlich Tücken zu kämpfen. Besonders in kleinern Unternehmen mag es üblich sein Thunderbird einzeln auf den Clients zu installieren da keine .msi Dateien für eine Verteilung exsistieren.

Beim Einrichten des Programms mit Benutzerrechten ist der User dann oft nicht in der Lage die IMAP und SMTP Einstellungen exakt zu setzen.

Thunderbird verfügt zwar über eine automatische Erkennung für Servername und Ports, doch diese basiert auf der ISPD Datenbank bei Mozilla, der firmeneigene Mailserver wird da kaum drinstehen. Dort sollen nur ISP mit über 100000 Benutzer gelistet werden.

Ausnahmsweise haben die Entwickler aber mal an Firmenkunden gedacht und stellen diverse Lösungen bereit:

 

  • Konfigurationsserver mit ISP
    man setzt einen eigenen Webserver auf und schafft ein autoconfig.<domain> . Dies ist der offiziell empfohlene Weg für kleinere Unternehmen.
  • Konfigurationsdatei auf Festplatte
    das Installationsverzeichnis von Thunderbird bekommt eine Konfigurationsdatei verpasst. Die Form lautet: installdir/isp/emailaddressdomain.xml, also zum Beispiel: C:/Program Files/Mozilla/Thunderbird/isp/ihrname.de.xml . Unglücklicherweise bedeutet das das wieder mal Dateien im Netzwerk verteilt werden müssen....

Ausführliche Informationen finden sich im Mozilla Entwickler Netzwerk.

Die Erstellung der erforderlichen Konfigurationsdatei wird ebenfalls beschrieben.

 

Das ganze hat leider einen Haken. Es scheint nicht möglich zu sein die zentrale Konfigurationsdatei für den Server lokal abzulegen. Noch nicht mal auf dem lokalen Webserver. Die Adresse ist scheinbar ziemlich fest definiert auf  <http://ihreadresse.de/.well-known/autoconfig/mail/config-v1.1.xml>

 

 

 

1 Kommentare

Mi

22

Feb

2012

Die drei meistgenutzen Browser - ein Vergleich für den Unternehmenseinsatz

Stand der Erhebung: Februar 2012

 

Die Übersicht geht davon aus das außer den Browsern und dem Windows Server mit einer Domäne und dem typischens WSUS Server keine Drittsoftware verwendet wird. Ebenfalls unberücksichtigt weil in den Möglichkeiten ausufernd sei die Verwendung von Scripten zum kopieren von Profilen ect. .  Die Variante .msi's selbst zu erstellen oder via Drittsoftware über WSUS zu verteilen sei auch unberücksichtigt, da sie ebenfalls weitere Dritttsoftware benötigt.

Die Tabelle berücksichtigt Punkte die für die Unternehmensadministration eine Rolle spielen, und postuliert das für durchschnittliche Internetbenutzung die Leistungsfähigkeit aller Browser ausreichend ist.

mehr lesen 1 Kommentare

Mi

22

Feb

2012

Chrome als Standardbrowser in Unternehmen - Rahmenbetrachtungen

Natürlich rollen sich vielen Administratoren die Fingernägel hoch bei dem Gedanke ausgerechnet der Datenkrake in die Hände zu spielen und Chrome als Standardbrowser einzubinden. Jene Software die durch ihr nach Hause telefonieren und ihre unkonventionelle Installation außerhalb der Richtlinen für graue Haare sorgte.

Doch notgedrungen wird man sich die objektiven Fakten mal ansehen müssen. Chrome ist ein schlanker, moderner, schneller Browser, der sich in der Nutzerakzeptanz innerhalb kürzester Zeit weit nach vorne katapultiert hat. Zwar ist die Versorgung mit Apps nicht so umfangreich wie bei Firefox, doch das sollte im Unternehmensumfeld nicht die Rolle spielen. Die Spionagebedenken sind seit Generation 6 vom Tisch, Chrome sendet nicht mehr oder weniger Daten als andere Browser auch.

Für Unterehmensadmins besonders interressant sind folgende Punkte: bereits seit mehreren Chromegenerationen pflegt Google ein Chrome for Business - die Chrome Enterprise genannte Version. Diese kommt als .msi Paket und bringt Administrative Templates mit. Damit kann sie problemlos über GPO verteilt werden und vorkonfiguriert werden und installiert sich brav als ordnungsgemäßes Programm. Zusätzlich kommt Chrome mit eigenem PDF Betrachter und eigenem Flash. Die nervige firmenweite Verteilung von Adobe Flash Plugins kann somit unter Umständen wegfallen. Ob ein PDF Viewer noch nötig ist muss sich jeweils zeigen.

Firefox bleibt zwar Leistungstechnisch an Chrome dran und wird zukünftig auch viele von dessen Funktionen einbinden ( Silent Updates, PDF Viewer) aber die mangelnde, ungewollte und nicht absehbare Unternehmensunterstützung wird viele Verantwortliche bewegen heimlich still und leise ihre Clients zu VerChromen.

1 Kommentare

Mi

22

Feb

2012

Firefox als Standardbrowser in Unternehmen - Rahmenbetrachtungen

Bereits im letzten Artikel hatte ich angedeutet warum Thunderbird so selten in Unternehmen zu finden ist. Die Administratoren von Unternehmen können noch so viel lamentieren - Mozilla ist das egal, sie sehen eine zentrale Verteilung und Administration ihrer Produkte als individuelle Option.

Für Firefox, dessen Verbreitungsgrad und Entwicklergruppe schon immer stärker war als von Thunderbird haben sich in der Vergangenheit gelegentlich Tools zur Administration herausgebildet. Ein Ableger wird von zahlreichen Admins besoders dankend angenommen.

Frontmotion's Firefox MSI ist eine .msi Adaption des originalen Firefox, und wird seit vielen Versionen regelmäßig gepflegt. Zu Verdanken haben wir das Eric Kuo, der Softwareentwickler stellt FM FF kostenlos in zahlreichen Lokalisierungen bereit.

FM Firefox MSI ist die einfachste Variante den Feuerfuchs zu verteilen, es ist nichts weiter als der originale Firefox in .msi Gewand.

Wer Firefox nicht nur verteilen, sondern auch administrieren möchte muß zur zweiten Variante greifen: Frontmotion Firefox Community Edition (FM FF CE). Hier werden zusätzliche Administrative Templates bereitgestellt die konfiguriert und ausgerollt werden, der Aufwand steigt spürbar.

Die dritte Variante ist Frontmotion's Firefox Packager. Hier können Firefox bei der Installation bereits Erweiterungen mitgegeben werden. Man kann es dem Entwickler nicht verdenken das dafür ein Obulus fällig wird.

 

Für Admins wichtig ist die langfristige Verfügbarkeit solcher Angebote. Keiner setzt gerne auf ein Pferd das bald verhungert. So kündigte FM in der Vergangenheit bereits die Bereitstellung von Thunderbird MSI ab um sich auf Firefox zu konzentrieren. Als Mozilla den beschleunigten 6 wöchigen Releaserhytmus einführte zog FM zunächst nicht mit sondern pflegte weiter die Version 3 welche von Mozilla weiter Support bekam. Das mag zunächst irritierend erscheinen, macht aber Sinn für ein Produkt das auf zentrale Unternehmensinstallation orientiert. Zusätzlich erschienen auch die 6-Wochen-Versionen 4 bis ~ . Und zwar jeweils in 3 Varianten und zahllosen Sprachen.

Mit der Version Firefox 10 stellt Mozilla eine zusätzliche ESR Version bereit, und auch diese findet sich bei Frontmotion wieder.

Es ist daher davon auszugehen das die Versorgung seitens Frontmotion auch weiterhin gegeben ist. Zu beachten ist jedoch das die Verfügbarkeit der .msi Pakete dem Erscheinungsdatum der Mozilla-Releases oft deutlich hinterherhinkt. Das verwundert kaum, da es nach meinem Kenntnisstand eine One Man Freizeitbeschäftigung ist.

 

Über die Beziehung zwischen Frontmotion und Mozilla ist nicht viel bekannt. Zum einen scheint sich Mozilla nicht daran zu stören das der Name Firefox für installationsseitig modifizierte Versionen die teilweise kostenpflichtig sind verwendet wird. Eventuell sind sie sogar froh darüber das sich jemand des Themas annimmt und das Geschrei vor ihrer Haustür mindert.

Auf der anderen Seite gibt es keinen offiziellen Verweis von Mozilla auf Frontmotion, ein offizieller Segen würde die Akzeptanz vorsichtiger Firmenadmins deutlich steigern. Kuo wollte das Projekt sogar an Mozilla abtreten, man wurde sich aber nicht einig.Darüber sollte Mozilla noch einmal nachdenken.

 

Wie bei Thunderbird läuft Mozilla auch bei Firefox Gefahr auf das Abstellgleis zu fahren. Der Anteil der FF Nutzer sinkt, und die Mehrzahl wandert zu Chrome ab, der zwar weniger Erweiterungen bietet, aber die Nutzer scheinbar auch weniger nervt - er benutzt Silent Updates. Genau das hat Firefox in den kommenden Versionen auch vor. Doch Chrom ist bereits weiter und nimmt schon länger Firmen ins Visier, für diese gibt es offizielle .msi Versionen mit GPO Unterstützung und entsprechende Templates zur Administrierung. Die Versteifung von Mozilla auf Privatanwender könnte ein Bummerang werden, denn die meisten User schätzen es nicht privat und dienstlich mit verschiedenen Browsern unterwegs zu sein. Diese Versteifung kommt von ganz oben: ".....Firefox-Evangelist Asa Dotzler in einem amerikanischen Blog, dass Firmenkunden für Mozilla praktisch keine Rolle spielen. Firefox werde jeden Tag von Millionen Heimanwendern heruntergeladen. Enterprise-Kunden seien dagegen keine wichtige Zielgruppe, so Dotzler." Na wenn das mal gutgeht... 

 

 

1 Kommentare

Di

21

Feb

2012

Emails in Unternehmen - Webclient statt Thunderbird im Test

Emails gehören zu den sensibelsten Dingen mit denen ein Administrator zu tun hat, gilt es doch eine Vielzahl von Vorschriften im Auge zu behalten - gesetzliche wie firmenseitige. Das beginnt bei der Verfügbarkeit, erstreckt sich über Lese- und Zugriffsrechte, die  Emailsignaturen, Filterung, Trennung oder Blockade eventueller Privataccounts bis zur Archivierung.

Ein klassische, oder sagen wir eher traditionelle Lösung für Emails in Unternehmen ist die Verwendung von Outlook als Clientlösung auf den jeweiligen PC's. Früher unter POP3, seit ein paar Jahren unter IMAP.

Nun ist es aber leider kein kostenloses Vergnügen Outlook zu benutzen, man muss schon in ein Officepaket investieren. Selbst dann muss man noch den ungewissen Weg einer zentralen Installation beschreiten, und ein beachtliches Maß an Administration walten lassen. Dafür bekommt man in Verbindung mit dem entsprechenden Server ein über den eigentlichen Emaildienst hinaus weitreichendes Angebot, so weitreichend das kleine und mittlere Unternehmen eventuell auch ohne bestens zurechtkommen.

Thunderbird ist nur recht selten in Unternehmensumgebung anzutreffen: Er ist nur mit hohem Aufwand zentral verteilbar und konfigurierbar, und administrierbar eigentlich überhaupt nicht so recht.

Seit Jahren haben hingegen Email Webfrontends stetig an Qualität und Leistungsumfang gewonnen. Und wirklich fast jeder hatte damit bei seinem privaten Internetanbieter oder einem Freemailer schon zu tun, die Benutzerhemmschwelle eher niedrig.

Email Webfrontends mögen viele für unglaublich komplex, schwer und womöglich teuer umzusetzen halten, aber die Installation ist auch für Freizeitadmins durchaus realisierbar und kann sich wirklich lohnen.

Was spricht - aus Sicht der Softwareverwaltung - für und gegen den Einsatz eines Email Webfrontend statt oder ergänzend zu einer clientseitigen Lösung?

 

Vorteile

  • keinerlei Softwareinstallationen auf den Clients mehr erforderlich - aleine das ist die Sache wert
  • absolut homogene Benutzerbedienung über alle Betriebssysteme oder Versionen hinweg
  • volle administrative Kontrolle der Optionen
  • Zugriff von jedem beliebigen PC innerhalb der Firma möglich
  • mehrere Softwarelösungen als Freeware verfügbar

 

Nachteile

  • keine einfachen individuellen Lösungen für einzelne Nutzer oder Nutzergruppen
  • eigener Mailserver erforderlich
  • teilweise Datenbank erforderlich
  • Funktionsumfang nicht unbedingt auf dem Niveau ausgereifter Clientsoftware

 

Ein Teil der Nachteile relativiert sich wenn es sich wirklich vornehmlich um Emailverkehr dreht, und einige individuelle Konfigurationslösungen können meistens bereits über den Mailserver gelöst werden. Dazu sollte dieser ebenfalls über ein für die Nutzer erreichbares Webfrontend verfügen. Aber dazu in einem anderen Artikel.

 

Nachdem ich die Betrachtungen bisher eher allgemein gehalten habe hier nun die individuelle Umsetzung, entsprechend unsere Anforderungen.

 

Auf einem Windows Server 2003 SP2 64bit mit Domäne und Active Directory benutzen wir zunächst den integrierten IIS um einen Webserver bereitzustellen.

Die Firma verfügt über eine SDSL Leitung und feste IPs.

Als Mailserver kommt die auch in deutsch lokalisierte Freeware hMmailServer zum Einsatz, welcher seine Emails per Catch All vom Provider bezieht. Dieser Mailserver benötigt zur Funktion allerdings eine Datenbank, so das vorher die Installation von MSQL zu empfehlen ist. Es geht auch mit anderem als MSQL, vorrausblickend sollten wir aber nicht darauf verzichten. An dem Mailserver ist quasi in 2. Instanz nach dem Provider ein kostenloser Virenscanner integriert. Des weiteren unterstützt er Active Directory und benötigt so keine zusätzliche Anmeldung.

Bereits vor längerem erfolgte die unternehmensweite Umstellung auf IMAP, die Basis des Betriebs eines reibungslosen Webfrontends neben Clientsoftware.

In einem ersten Schritt erfolgte die Installation von PHP, was in aktuellen Versionen auf einem WS2003 64 ein paar Fallstricke bereit hält. Dies war Vorraussetzung das den Usern zunächst das Webfrontend für den Hmailserver zur Verfügung gestellt werden konnte, den Usern wird damit das Einrichten von automatischen Umleitungen, Autoresponse und ähnlichem ermöglicht.

In einem zweiten Schritt erfolgte die Installation des Email Webfrontend. Im Forenumfeld des hMailServer wird dabei gerne das Freeware - Frontend Roundcube empfohlen und wir folgten dem, aber natürlich funktionieren auch andere. Natürlich liegt auch dies in einer deutschen Lokalisierung vor. Die Installation geschieht per browserbasiertem Installationsassistenten, jedoch müssen zusätzliche separate Konfigurationen getroffen werden, denn Roundcube benötigt wie die meisten Mailfrontends eine Datenank - gut das wir schon MySQL installieren mussten.

 

Für alle hier benannten Installationen gibt es ausführliche Videoanleitungen auf Youtube, denen man im Notfall fast idiotensicher folgen kann.

 

Sofern Roundcube dann läuft stehen derzeit 2 kostenlose Designskins und etwa 3 Dutzend mehr oder weniger hilfreiche Plugins als Erweiterungen zur Verfügung, zu nennen ist hier besonders ein Kalender und die Möglichkeit des Datenimports von Kontakten.

Es exsistiert derzeit keine Anbindung an das AD, so daß bei Aufruf eine Anmeldung erforderlich ist.

 

Bemerkenswerterweise wurde der schicke Webmailer auch von wenig technikaffinen Zeitgenossinen dankend angenommen, und obwohl erst in Version 0.7 läuft er zuverässig und ohne Beschwerden. Nach unserer Einschätzung hat sich die Einrichtung absolut gelohnt, auch wenn wir ihn derzeit nur zusätzlich zu den Clientlösungen anbieten sehen wir darin perspektifisch eine interressante Alternative.

 

1 Kommentare

So

19

Feb

2012

Mozilla ESR - was'n das ?

ESR ist die Antwort von Mozilla auf das nicht enden wollende Gemaule von weiten Bereichen der Mozilla Nutzergemeinde auf den beschleunigten, 6 wöchigen Releaserhytmus der Produkte Firefox und Thunderbird. Während der Normaluser nur noch genervt mit den Schultern zuckt und die Installationen durchwinkt - oder halt den Browser wechselt, darf Mozilla zusehen wie die Marktanteile sinken. Dabei gewinnen viele den Eindruck das Mozilla zwar einen strategischen Plan hat, dieser aber die Feel&Happy Komponente außer acht lässt, was sich schon öfters gerächt hat.

Der hohe Releaserhytmus trifft einige besonders hart- Softwareadministratoren. Diese haben meist eine gewisse natürliche Affinität zu Mozillaprodukten und würden sie gerne im Firmenumfeld einsetzen, wenn sie denn nur installierbar und administrierbar wären.

Mozilla macht es einem da aber sehr schwer, und das ist der Grund warum Firefox und insbesondere Thunderbird recht selten in mittleren Firmen anzutreffen sind.

Der Wunsch eines typischen Admins sieht in etwa so aus: 

  • Er möchte eine Software die einen msi Installer mitbringt, denn nur dieser lässt sich einfach und ohne Zusatzprogramme zentral über den Windowsserver verteilen.
  • Er möchte eine Software die administrierbar ist, für die er also Verhaltensvorgaben und Grundeinstellungen direkt vom Server aus treffen kann, vorzugsweise ohne Zusatzsoftware.
  • Er möchte nicht alle 6 Wochen die Software neu installieren müssen, denn das kostet Zeit, verursacht womöglich Fehler und irritiert Nutzer die dann anrufen weil irgendetwas anders ist.

Thunderbird und Firefox erfüllen bisher nichts davon.

Kleine Firmen mit Turnschuhadmin installieren die Software womöglich dezentral und hassen das Theater alle 6 Wochen wie die Pest, oder sie haben die Produktpflege erst mal aufgegeben oder sind zur Konkurrenz.

Mittelgoße Firmen retten sich bei Firefox durch die Verwendung von Frontmotion Firefox, in der Normal oder in der Comunity Edition. Bei Thunderbird sind sie bei Version 3.6.x hängen geblieben und verweigern jede Aktualisierung solange es noch Sicherheitsupdates gibt. Und zwar vor allem auch deshalb weil es für Thunderbird keine .msi Version gibt.

Große Firmen verfügen über genug Geld und/oder Zeit, teure Software und/oder qualifizierte Administratoren das sie einen kostenpflichten Weg einschlagen der entweder fernab von Mozilla verläuft oder über Zusatzsoftware eine individuelle Verteilung und Administration von Mozilla Produkten ermöglicht.

(Liebe Admins, selbstverständlich bestätigen Ausnahmen die Regel...)

 

An diesem Punkt kommt ESR ins Spiel.

Nun, der Support für 3.6 läuft im April 2012 aus, es war die letzte Version das alten Updateverfahrens,  so das gewissermaßen Version 3.6 posthum die Ehre der ersten ESR Version zu Teil wird.

Mit Version 10 von TB und FF erschienen auch offizielle ESR Versionen, wobei ESR für Extended Support Release steht. Mit der hohen Taktrate für Neuerscheinungen sank nämlich auch der Zeitraum in dem das Produkt mit Sicherheitsupdates versorgt wurde. Die Sicherheit die man an einem Ende durch die schnellen Relaeses gewann, verlor man vermutlich durch zahlreiche veraltete Browserversionen wieder.

ESR Versionen sollen 54 Wochen, also etwas über ein Jahr mit Sicherheitsupdates versorgt werden, ohne das eine "Neuinstallation" erforderlich oder Produktänderungen vorgenommen werden. Das ist Labsal für Admins, allerdings nichts neues. Diese Methode ist allen Linux - Usern gut bekannt, schon lange gibt es dort Versionen mit verlängerter Produktpflege. An ESR Versionen, die also alle 7 normale Versionen erscheinen sind noch andere Anforderungen zu knüpfen - sie sollten keine  besonderen Neuerungen mitbringen - immerhin können eventuelle größere Probleme 1 Jahr lang nicht ausgebügelt werden. Ebenso sollte man hoffen das aus dem gleichen Grund ESR Versionen gründlicher geprüft werden, aber das gibt der 6 Wochenrhytmus dem sie entspringen nicht her.

ESR Versionen sind von Mozilla offiziell für Firmen empfohlen, können aber natürlich auch privat eingesetzt werden, was aber nicht vom Mozilla breitgetreten wird und schon gar nicht zum normalen Download angeboten wird.

Auch endet bei Mozilla an dieser Stelle die Unterstützung. Die Tür zu Firmen bleibt auch weiterhin nur einen kleinen Spalt offen, denn das sich die ESR Versionen perfekt eignen würden um diese auch gleich als .msi bereitzustellen hat anscheinend niemand gedacht.

Von einigen Seiten ist auch zu hören das Admins schwanken auf ESR zu setzen da sie nur ungern auf die zwischenzeitlich eingeführten Neuerungen verzichten. Das betrifft zumindest Firefox. Andere bezweifeln ein reibungsloses Update von ESR zu ESR da 7 Entwicklungsversionen dazwischenliegen.

Der größte Denkfehler den Softwareinstallateure von ESR begehen ist die Annahme das durch Einsatz von ESR sie nicht mehr ständig mit Administratoraufforderungen beglückt werden. Irrtum- die Sicherheitsupdates für ESR die mindestens mit jedem Release der Normalversion erscheinen bedürfen ja ebenfalls der Adminrechte. Installationsseitig spart man also rein gar keine Zeit ein.

 

Bleibt zu hoffen das wenigstens Frontmotion die Fahne hochhält und seine .msi Umsetzungen von Firefox auf die ESR Version aufbaut. Für Thunderbird sieht die Zukunft allerdings düster aus. Schon immer stiefmütterlich neben FF siedelnd hat das hohe Releasetempo ihm meiner Meinung nach immer wieder Qualitätsmängel eingebracht, inkompartibel gemeldete Ad-Ons, vor allem bei der Haupterweiterung Lightning deprimierten über mehrere Versionen hinweg. Der Druck von Webbrowsern nimmt weiter zu, Tablets und Notebook nutzen zwar gerne FF, aber dieMühe TB zu installieren sparen sich viele, die Webmailer sind mitlerweile sehr umfangreich und leitungsstark, und selbst Freemailer bieten oft ausreichend Speicherplatz.

Firmen, wo Thunderbird nie die Tür weit aufbekam, überlegen nach dem Abgesang eines kostenfreien Emailclients bei Microsoft gleich den großen Schritt zu gehen und komplett auf einen firmeninternen Webmailer umzusteigen. Viele Administratoren dürften dafür sein, warum wird aber Thema eines anderen Artikels.

 

Weitere Ausführungen zu ESR Versionen bietet das MozillaWiki.

1 Kommentare

Mo

13

Feb

2012

Eye-Fi SD-Card - wie genial ist das wirklich?

Eine Eye-Fi SD-Card ist eine äußerlich ganz normale SD Card die im inneren einen zusätzlichen Funkchip beherrbergt und via WLAN im 2.4 GHz Band mit anderen Geräten kommuniziert. Ziel ist es, aufgenommene Bilder sofort an PC oder Internet zu übertragen.

 

Die Situation

Wer viel mit ebay zu tun hat kennt das vieleicht. Fotof machen, Kamera oder SD Card an den Rechner stöpseln, hochladen. Wieder und wieder. Mal will man ein Foto machen aber die Card steckt noch im Kartenleser, mal will man die Kamera ans USB anschließen aber das Kabel rutscht hinter den Rechner oder sonstwas. Wie schön wäre es die Fotos würden nach dem Knipsen automatisch im ebay Fotoordner erscheinen.

Dachte ich mir auch und kaufte eine Eye-Fi Card.

 

Der Start

Die neue gekaufte Karte entsprach nicht dem aktuellen Modell. Laut Internet werden ältere Karten jedoch per Firmwareupgrade auf aktuellen Stand gebracht was erfreulicherweise während der Installation auch funktionierte. Leider finde ich später in der Software nirgends Angaben darüber welche Firmware installiert ist und welchem "Ey-Fi Modell" meine Karte nun entspricht.

Die Karte muss per Software auf jeden Rechner wo sie benutzt werden soll eingerichtet werden, ein einfaches Verbinden des WLAN Netzwerks reicht nicht.

Die benötigte Software ist auf der Karte enthalten. Wer die Karte in der Kamera formatiert verliert die Installationssoftware und darf sie aus dem Internet neu laden.

Überhauplt Internet. Eine Installation der Software oder zwingend erforderliche Einrichtung der Karte ist nicht ohne Internetverbindung möglich. Nun hat man zwar in der Regel eine, aber schön ist das nicht, es hat immer den faden Beigeschmack das der Hersteller sich für dinge interressiert die ihn nichts angehen. Und wer die Karte irgendwo in der Pampa an sein Notebook koppeln will - Pech gehabt.

Positiv ist zu sagen - Software und Unterstützung bekommt man in deutsch und es gibt zahlreiche Anleitungen und Erläuterungen des Herstellers. Allerdings ist das auch nötig wie wir im weiteren sehen werden.

 

Stolperstein Kamera

Vor der Verwendung sollte auch die Kamera für den Eye-Fi Einsatz fit gemacht werden. Man muss bedenken das die Übertragung - vor allem bei schlechter Verbindung, großen Dateien oder vielen Bildern, einige Zeit braucht. Schaltet sich die Kamera zwischenzeitlich wegen Untätigkeit ab ist wohl auch finito mit der Bildübertragung. Also 4GB Urlaubsbilder machen, nach Hause komen und die Eye-Fi lädt die mal schnell hoch auf den PC - ich denke eher nicht, jedenfalls nicht bei unserer Canon EOS 1000D. Damit das wenigstens im Normalfall bei 1-2 Bildern reibungslos funktioniert sollte man bei Bedarf die automatische Abschaltzeit der Kamera verlängern.

Besser sieht die Sache z.B. bei der Canon 550D/ 60D / 600D oder selbst der 1100D aus, deren Eye-Fi Unterstützung verhindert das vorzeitige Abschalten.Es ist davon auszugehen das alle modernere Canon EOS dieses Feature mit auf den Weg bekommen.

 

 

Die Einrichtung

Zunächst ist es erst mal verblüffend was sich der Hersteller alles ausgedacht hat. Die Karte kann sich mit 32 WLAN Netzwerken verbinden, neben einer Übertragung zum PC ist vor allem ein automatischer Upload zu diversen Bilderdiensten vorgesehen, natürlich wird bei Bedarf auch kostenpflichtiger Speicherplatz angeboten. Und natürlich gibt es auch Wege auf das Tablet und Smartphones. Die scheinen machmal etwas steinig zu sein, aber mir egal, Hauptsache sie kommt mit dem heimischen PC klar. Jedes Gerät auf das Bilder sollen muss zunächst die Software aufgespielt bekommen, es gibt keinen Weg mit Windows Bordmitteln.

 

Die Testumgebung

Das Ganze ist so hipp und mobil das die gutbürgerliche Vorzeigefamilie wohl nicht recht ins Benutzerraster passt. Nehmen wir ein durchschnittliches massives Eigenheim mit EG und OG. Der Router in Form einer Fritzbox steht im EG. Es gibt einen PC im EG (PC-EG) und einen im OG (PC-OG), dazwischen tummelt sich noch ein Notebook was wir erst mal vernachlässigen. Alle Geräte sind über WLAN am Router angekoppelt.

 

Stolpersteine Infrastruktur

Die Eye-Fi Card wird am OG-PC eingerichtet, die Kamera liegt daneben auf dem Schreibtisch. Einrichtung funktioniert, aber die Kamera sendet keine Bilder.  Und zwar weil die Karte im Normalmodus die Bilder an den Router im EG senden will, dieser schickt sie dann wieder hoch zu dem OG-PC. Leider schafft es die Karte mit der Sendeleistung nicht durch die massive Decke und 2 Wände. Fotografiert man im EG kommen die Fotos hingegen zügig oben an, also im Prinzip funktioniert es. Soweit, so (fast) gut.

Der Weg der Bilder ist wie folgt:

 

Eye-Fi SD-Card -> WLAN Netzwerk 1 -> Router -> WLAN Netzwerk 1-> OG-PC-> Ablageordner X

 

Nun wollen wir die Karte auch am zweiten PC einrichten. Dazu installieren wir wieder die Software - und dürfen feststellen das diese Art der Benutzung nicht vorgesehen ist. Folgende parallele Konfiguration geht also nicht:

 

SD-Card -> WLAN Netzwerk 1 -> Router -> WLAN Netzwerk -> OG-PC-> Ablageordner X

SD-Card -> WLAN Netzwerk 1 -> Router -> WLAN Netzwerk -> EG-PC-> Ablageordner Y

 

Denn wir befinden uns im gleichen WLAN Netzwerk, und da kann man nur einen PC als Speicherziel angeben. Entweder die Daten werden auf dem OG-PC gespeichert oder auf dem EG-PC, beides gleichzeitig geht so schon mal nicht. Ich könnte mir die Bilder natürlich über das Netzwerk wieder vom OG-PC laden, aber da müßte selbiger immer mit angeschaltet sein und das kanns ja nicht sein. Nun würden aber beide Benutzer gerne die Vorzüge der tollen Karte nutzen, also was tun?

 

Im Hinblick auf einen mobile Verwendung der Karte hat der Hersteller einen "Direktmodus" vorgesehen, was so ähnlich wie ein Ad-hoc Netzwerk ist. Die "Direktverbindung" beruht wohl auf einer Spezifikation der WI-FI Alliance von 2010 und ist daher noch recht unbekannt.

Ich habe vermutlich nur eine Art "Connect X2" (auf der originalen Karte steht nichts drauf....), also bietet mir die Software nur die Einrichtung der Direktverbindung an und nicht die Möglichkeit einer Ad-hoc Verbindung. Nun gut, das Verständnis des Durchschnittsbenutzers endet hier vermutlich, doch sind wir mal forsch und probieren das.

Die Karte soll also über den normalen Modus an den OG-PC senden und über den Direktmodus an den EG-PC.

 

SD-Card -> WLAN Netzwerk 1 -> Router -> WLAN Netzwerk -> OG-PC-> Ablageordner X

SD-Card -> WLAN DirektNetzwerk 2  -> EG-PC-> Ablageordner Y

 

Die Direktverbindung wird überwiegend propagiert für Geräte wie Android, IPhone usw., jedoch ist sie auch ganz klar für die Verbindung mit PC beschrieben.

Die Einrichtung gelingt scheinbar, das Netzwerk wird eingerichtet, aber nach dem Fotografieren wird das Netzwerk nicht aufgebaut und ergo nichts gesendet. Den vermutlichen Grund des Problem präsentiert die OnlineHilfe in Form eines farbigens Hinweis: Das Direktmodus-Netzwerk arbeitet nur, wenn kein anderes Netzwerk für die Eye-Fi Karte verfügbar ist. Ich müßte also im ganzen Haus die Netzwerk und Internetverbindung kappen - haha, guter Witz.

Der Direktmodus ist nicht benutzbar wenn man sich in einem weiteren der Karte bekannten Wlan-Netzwerk befindet.

 

Bliebe noch die Option zwei Netzwerke als Direktverbindung zu konfigurieren:

 

SD-Card -> WLAN DirektNetzwerk 1  -> OG-PC-> Ablageordner Y

SD-Card -> WLAN DirektNetzwerk 2  -> EG-PC-> Ablageordner Y

 

Diese Verbindungen werden sich aber auch gegenseitig ausschließen, außerdem wäre die Konsequenz jetzt schon klar: Die Bilder aus dem EG schaffen es nicht ins OG und umgekehrt, vermutlich reicht die Leistung nicht mal innerhalb der Etage durch die Räume.

 

Stolperstein Benutzer

Prinzipiell ist es ja korrekt das Bilder benutzerspezifisch abgelegt werden. dies wird erreicht in dem man den Speicherort in ein benutzerspezifisches Verzeichnis lenkt. Im Familienumkreis aber auch im kleinen Firmenumkreis mag es aber gewollt sein das der Speicherort im Bereich /Public bzw. /All Users liegt, damit jeder Benutzer des Rechners darauf zugreifen kann. Damit ist die Eye-fi software scheinbar überfordert, denn dies ist nicht vorgesehen. Die Übertragung erfolgt nur wenn jener Benutzer eingeloggt ist der die Installation und konfiguration durchgeführt hat, selbst dann wenn der Speicherort im öffentlichen Bereich liegt.

 

Lösungen 

Die Lösung wäre vermutlich ein Serverlaufwerk, eine externe Festplatte an der Fritzbox oder ein NAS, so daß die Bilder zentral für alle PCs abgelegt werden, egal ob PC an oder nicht. Nur das hat ja auch nicht gerade jeder zu Hause. 

 

Der Hersteller selber sieht die Lösung eher woanders. Im Eye-Fi Konfigurationscenter kann man natürlich den bestehenden Ziel-PC herauswerfen und den eigenen eintragen. Das ist aber ja nicht Sinn der Sache das jeder am PC erst mal prüfen muss wie die Karte gerade konfiguriert ist. Dazu kommt noch das für die hinterlegten Rechner der Speicherpfad nicht gemerkt wird und jedesmal neu eingestellt werden muss sofern er vom Standardpfad abweicht. Ehe man das alles erledigt hat hat man die Bilder auch per Card Reader übertragen.

 

Für das Problem mehrerer Benutzer an einem Computer gibt es zumindest einen Workaround in Form des Kopierens einer Konfigurationsdatei.

 

Der Support

Im Anschluß an das Theather kontaktierte ich den Support von Eye-Fi per email, shcilderte die zwei Probleme ( 2 PC in einem WLAN, 2 Benutzer auf einem Konto). Innerhalb von 48 Stunden bekam ich folgdende Antwort:

 

"Kontaktieren sie den Sandisc Support"

 

Solche Supportmeldungen sind echt eine Offenbarung, da muss man doch mal anrufen. Also ruf ich Eye-fi an, eine deutsche Festnetznummer. Keine Ahnung wo ich rauskomme ich vermutein den USA. ein deutscher Mitarbeiter freut sich offenbar mal ein bischen seine Muttersprache benutzen zu können, fragt mich nach der Farbe meiner Karte und erklärt folgendes: ich hätte keine original Eye-Fi Karte sondern eine von Sandisc, die in Europa quasi Lizenzen vertreiben würden aber die original software benutzen. Die wären qualitativ schlechter (er meinte langsamer) und würden etwa einer Eye-Fi Mobile X2 entsprechen. Er würde mir aber trotzdem mal helfen, was ich denn für ein Problem hätte.

Ich schildere Problemfall Eins. 2 PC im Wlan - Antwort: Funktioniert nicht. Ich schildere Problem zwei: 2 Benutzer an einem PC. Antwort: Geht nicht. Ich erkläre das sämtliche Konfigurationsmöglichkeiten an einem familiären Einsatzszenario vorbei führen und das nicht der rechte Weg ist wenn man vorhat mit einem Produkt die breite Masse erreichen zu wollen. Er gibt zu das die Ausrichtung ausschließlich auf Single-User abgestimmt ist. Nachdem ich durchblicken lasse das ich eine bischen von der Materie verstehe diskutieren wir gemeinsam ein paar Optionen. ( Er: als ich das letzte mal bei meinem Bruder in D war hab ich folgendes gemacht ....). Im Endeffekt läuft es auf folgendes hinaus. Um von mehreren Benutzerkonten oder PCs auf die Bilder zuzugreifen braucht man

 

A) ein entsprechendes Serverlaufwerk (im Firmenumfeld, sofern mindestens W. Prof. vorhanden, oder einen HomeServer)

B) einen NAS mit FTP Freigabe, er meinte von außen aber ich denke es geht auch intern

C) als Minimallösung eine Festplatte z.B. an der Fritzbox oder ähnlichem, sofern sie als externes Laufwerk ansprechbar ist.

 

Keiner der Lösungen ist bei mir ohne weitreichende Strukturänderungen einsetzbar.

 

Fazit

Natürlich erfüllt die Karte die Anforderungen der Nutzer in vielen Fällen. Leider aber nicht in allen, Benutzeranforderungen sind halt vielfältig. Ein selten erwähntes Plus ist das eine Datenübertragung auch an Geräte funktioniert die keinen passenden Cardreader (SDHC) besitzen.

Die simple Variante das man die SD Card im Netzwerk einfach freigibt ( so wie zB. einen Drucker der am Router hängt), die Karte pingt ins Netzwerk wenn sie neue Bilder hat,  und jeder PC der es braucht saugt sie sich runter.... das funktioniert so leider nicht.

Für solche Fälle sollte man prüfen ob eine "Eye-Fi PRO X2" mit Ad-hoc Fähigkeit die Anforderungen besser erfüllt. Die Unterschiede zwischen Ad-hoc Modus und Direktverbidung sind für viele Benutzer -mich eingeschlossen -  nebulös.

Benutzer mit mehreren Zielrechnern, sei es nun Tablett, I-Pad oder PC laufen schnell Gefahr ständig Zeit mit der erneuten Konfiguration der Karte verbringen zu müssen  da sich oft Übertragungswege gegenseitig ausschließen.

 

 

 

 

 

 

 

 

 

 

 

3 Kommentare

Do

05

Jan

2012

Olympus Ausfall Teil II

Wir erinnern uns - vor zwei Jahren ist die Outdorkamera Olympus µ 790 im Roten Meer ertrunken obwohl sie doch 3m Wasserdicht sein sollte. Nun ja, sie wurde kurz darauf durch eine Olympus µ 725 ersetzt, diese ist 5m Wasserdicht. Und tatsächlich verrichtete sie 1,5 Jahre lang recht zuverlässig ihren Dienst, wobei sie als Zweitkamera nicht wirklich strapaziert wurde und unsere Tochter sie auch nicht gerade an die Wand warf. 

Leider leider gab es zunehmend Probleme mit dem Linsenverschluß beim Einschalten. Das ist so eine kleine Edelstahlblende die bei Einschalten wegklappt. Die Mechanik gab nach und nach den Geist auf und die Kamera verweigerte die Fotos. Das war also Olympus Teil zwei, wieder mit einem ausfall der eienr wenig benutzten Outdoorkamera partou nicht passieren dürfte. Erschwerend kommt hinzu das diese Kamerageneration die exotischen Olympus PictureCard Speicherkarten verwendet, die nur unser Notebook rein aus Zufall lesen kann. Ebenfalls bemängelte die Familie das auf dem Display nichts zu erkennen ist wenn die Sonne scheint.

 

Wir brauchen also wieder eine neue Outdoorkamera für Strand, Wasser und Kind. SD Card ist diesmal Pflicht (zur Not über EinsteckAdapter), ebenso optischer Zoom, was das Angebot bereits einschränkt.Auf diese Blendenmachanik vor der Linse würden wir auch gerne verzichten, die verträgt sich nicht mit Sand und Salz.  Mindestdichtheit 5m, vorsichtshalber. Bei der Ausfallrate in der Vergangenheit weigere ich mich außerdem ein Vermögen für eine Zweitkamera auszugeben.

Aktuelle Kandidaten sind:

 

Fujifilm FinePix XP30: 5-fach optischer Zomm, GPS!!, SD/SDHC/SDXC-Card, 2,7"Display, 5m Wasserdicht

Fujifilm FinePix XP10: 5-fach optischer Zomm, SD/SDHC-Card, 2,7"Display, ??m Wasserdicht

Olympus µ 1030SW: 3-fach optischer Zoom, µSD über Adapter, 2,7"Display (verbesserter Typ II), ?m Wasserdicht

Olympus µ 1050SW: 3-fach optischer Zoom, µSD über Adapter, 2,7"Display (verbesserter Typ II), 3m Wasserdicht

Olympus µ 3000 TOUGH: 3,6-fach optischer Zoom, µSD über Adapter,  2,7" Display (Tageslichttauglicher Typ III) 3m Wasserdicht, USB-Ladung

Olympus µ 6000 TOUGH: 3,6-fach optischer Zoom, µSD über Adapter,  2,7" Display (Tageslichttauglicher Typ III) 3m Wasserdicht, USB-Ladung

Olympus µ 8000 TOUGH: 3,6-fach optischer Zoom, µSD über Adapter,  2,7" Display (Tageslichttauglicher Typ III) 10m Wasserdicht, USB-Ladung

Olympus µ 8010 TOUGH: 5-fach optischer Zoom,SD/SDHC-Card,  2,7" Display (Tageslichttauglicher Typ III) 10m Wasserdicht, USB-Ladung

0 Kommentare

Do

14

Jul

2011

Speicherplatzanzeige in Thunderbird konfigurieren

Nachdem ich gerade wieder endlos gesucht habe.....

In der Fußzeile von Thunderbird erscheint bei Ausschöpfung der Postkorbgröße ein Warnbalken der erst zu orange und dann zu rot wechselt. Dieser kann aber auch direkt konfiguriert werden um bessere Kontrolle über die Speicherauslastung zu erhalten:

 

Extras -> Einstellungen -> Erweitert -> Unterpunkt Konfiguration bearbeiten

Dadurch gelangt man nach Abnicken der Sicherheitsfrage in die Konfigurationsdatei. In der Suchzeile oben fahndet man nach " mail.quota ", und bekommt drei Treffer:

 

  • mail.quota.mainwindow_threshold.show
  • mail.quota.mainwindow_threshold.warning
  • mail.quota.mainwindow_threshold.critical

Die dazugehörigen Werte lassen sich editieren. Mit show = 0 wird immer der genaue Prozentwert angezeigt. "warning" definiert den Wert ab dem durch orangen Hintergrund gewarnt wird und "critical" die Grenze für roten Hintergrund - ab da wirds spätestens Zeit aufzuräumen.

 

Diese Speicheranzeige für IMAP Konten firmiert auch unter dem Begriff "display quota" oder mail quota".

 

Zum Aufräumen reicht es übrigens nicht die Mails in den Papierkorb zu schieben. Auch das Löschen des Papierkorbes bringt noch keine Erlösung. Erst wenn mittels Kontextmenü  die Ordner komprimiert wurden ist der Speicherplatz auch wirklich freigegeben!

2 Kommentare

So

30

Jan

2011

Das günstigste mobile Datenpaket...

Gut ein Jahr bin ich nun an einem meiner Rechnerstandorte ausschließlich mobil online.  Die Entscheidung fiel leicht: in der Straße liegt nur ein DSL 1000 welches von der Telekom zu horrenden Konditionen vermarktet wird. Doch im Dachboden empfange ich mit 50% Signalstärke E-Plus. Und da gibt es den Simyotarif mit 9,90€ für 1 GB Traffic ohne Drosselung - perfekt für mich.

Interessanter Weise ist E-Plus bei uns ziemlich stark. 1100 kbit/sek im down und 300kbit/sek um Upload sagt der Test. Das wäre glasklar HSDPA, für E-Plus recht ungewöhnlich. Und das für 9,90 im Monat- man muss auch mal Glück haben oder was.... Das Ganze ist allerdings recht mysteriös. Ausgerechnet wir hier, weit ab von jedem Ballungsraum haben das seltene E-Plus HSDPA ? Und so schnell merkt das auch keiner - die offizielle E-Plus Netzabdeckungskarte kennt nur UMTS was bei Eplus typischer Weise EDGE meint, HSDPA wird gar nicht extra ausgewiesen. Übrigens dürfte ich hier laut der Karte nur GPRS haben. Nur gut das die Praxis hier etwas abweicht :-))

 

Einziger Wehrmutztropfen ist die Stabiltät der Verbindung, was hauptsächlich daran liegt das mein Globesurfer II UMTS - WLAN Router sich regelmäßig aufhängt und nur per Hardwarereset wieder zu starten ist. Er hängt daher auf dem Dachboden an einer Funksteckdose, womit ich ihn bei nichtgebrauch auch gleich total abschalten kann.

0 Kommentare

Di

11

Jan

2011

Outdoor Navigation returns...

Nachdem ich mich bereits 2009 fit in Sachen Navigation auf Sat-Karten gemacht hatte kommt nun eine Auffrischung der Materie. Dazu habe ich die Rubrik Navigation auf der Webseite deutlich ausgebaut. Es gibt neue Programme und mehr Erfahrung. Die ist auch nötig, denn es soll ein bischen Offroad in den Oman gehen, und der ist etwas größer als Jordanien... 

1 Kommentare

Mi

27

Jan

2010

Hilfe für Altina GGM-309 USB GPS Maus unter 64 bit Vista + W 7

Der Billigempfänger leistete mir im Jordanienurlaub unter W7 RC gute Dienste. Allerdings wollte der ursprünglich für XP gedachte Treiber nicht unter W7 64 bit laufen. 

Der Hersteller Altina bietet leider gar kein Support.

Irgendwo las ich das der USB/Seriell Umsetzer um den es geht von Prolific ist.

Dort findet sich tatsächlich ein Treiber, speziell für 64bit , und speziell für diesen Chip!

Mit dem Hinweis: "For Prolific USB VID_067B&PID_2303 Only" kann man im Gerätemanager unter Treiberdetails | Eigenschaften | Hardware-ID genau diese IDs wiederfinden um sicherzustellen das man das richtige Modell hat.

 

Und es funktioniert...

0 Kommentare

Mo

18

Jan

2010

Vodafon - oh je .....

Anfang November 2009 - da im Februar 2010 unser Call&Surf Basic 2000 ausläuft sehe ich mich am Markt um. Wir benötigen ISDN Merkmale und 2 Rufnummern, sowie ein DSL 2000 aufwärts. Mein Router sagt mir das  DSL 6000 machbar wäre.

Da wir Leistungsseitig mit der Telekom zufrieden waren erkundige ich mich nach den Bedingungen für eine Verlängerung. Die Serviceberatung kommt mit mir gemeinsam zu dem Ergebnis dases das beste wäre den bisherigen Vertrag unverändert weiterlaufen zu lassen. Alles andere führt zu höheren Kosten. Und die betragen immerhin jetzt schon etwa 44€. für DSL 2000, sowie ISDN mit ein paar Freiminuten. Macht in zwei Jahren über 900 € Grundgebühr.

Das ist nicht schön. Ich wollte eigentlich etwas weniger bezahlen oder mehr Leistung fürs gleiche Geld.

 

1&1 und Co - bei uns nur als "Regio", und das wird genauso teuer wie Telekom nur ohne ISDN

Versatel - wäre top - ordentlichens ISDN, liegt auch im Ort, aber nicht bei uns in der Straße...

Vodafon - 2 Jahre kosten etwa 300€ weniger als die Telekom, dafür gibts ISDN via Voice over IP und ein DSL 6000. Klingt fair.

 

Am 04.12.2009 schreiben wir einen entspechenden Antrag samt Rufnummerportierung und faxen ihn an Vodafon.

noch 8 Wochen bis Tarifende bei Telekom

 

Am 10.12.2009 bekommen wir die Eingangsbestätigung und die Bearbeitungsnummer. Alles wäre bestens.

 

Am 18.12.2009 erscheint im Online Bearbeitungsstand die Mitteilung: " Es werden noch Daten benötigt und man wird sich mit ihnen in Verbindugn setzen"

Niemand setzte sich auch nur irgendwann mit mir in Verbindung.

noch 6 Wochen bis Tarifende Telekom

 

Am 08.01.2010 versuche ich Vodafon anzurufen. Verbringe 30 Minuten in der Warteschlleife, tippe Zahlencodes ein, werde wieder rausgeschmissen und probiere es wieder. Das fiese ist: Es gibt überhaupt keine Option für die Nachfrage zum Auftragsstand für Neukunden. Das System fragt nach einer Kundennummer die man ja noch nicht hat. Also ignoriert man so lange Eingabeaufforderugnen bis das System einen in die Warteschleife der Kundenbetreuer hängt. Jedenfalls war ich irgendwan durch.

Der Mitarbeiter erklärt mir sie hätten alles weitergeleitet, und von der Telekom eine Rückmeldung erhalten mit der keiner was anfangen kann. Er leitet es weiter um das Problem zu klären.  Von meiner Seite wäre alles richtig gemacht worden. Vor allem auch das ich den Telekom Vertrag nicht gekündigt hätte, das würde bei Cal&Surf Kunden Vodafon machen.

noch 4 Wochen bis Tarifende Telekom

 

Am 17.01.2010 das gleiche Spiel nochmal. Nach 45 Minuten in der Computermühle und 3 rauswürfen habe einen Kundenbetreuer: Ich erkläre ihm das mein Aufragsstatus weiterhin ungeklärt ist, nach über einem Monat. Und das mein Telekomvertrag eigentlich zum 04.02.2010 endet, also etwa in 2 Wochen.

Er erklärt mir das die Telekom die Bearbeitung abgewiesen hat. Und das sie es nochmal probieren. Ich frage warum ich über nichts informiert werde. "Weil wir für sie keine neuen Informationen für ihre weitere Auftragsumsetzung haben." Ich sehe das mit den Informationen anders. Frage was nun wird, vor allem falls in 14 Tagen die Telekom hier alles abschaltet. Er erklärt der Telefonanschluß würde erst mal umgeschaltet zu einem Vodafon Call irgendwas. Und DSL? Tja... man könnte als Übergang UMTs anbieten. Da ist er bei mir genau richtig. Ich erkläre ihm das ich das bereits geprüft habe, Vodafon ist hier nicht. Er vertröstet mich.

 

Die Kundenbetreuung von Vodafon ist wegen der schlechten erreichbarkeit unter aller Sau.

 

Bekomme Zustände wenn ich überlege was passiert wenn im Februar die das mit dem DSL nicht hinbekommen. Hänge in der Luft, mit Vodafon hab ich keinen Vertrag solange die den Anschalttermin nicht mitteilen. Aber bei der Telekom hat Vodafon vermutlich bereits gekündigt.  Herrenlos. Zumindest Kommunikationslos. Der Laptop PLUS UMTs die einzige Verbindung?  Die 300€ Mehrkosten der Telekom scheinen plötzlich verlockend.

 noch 2 Wochen bis Tarifende Telekom

 

 

0 Kommentare

Fr

18

Dez

2009

Fallstricke im Windows 7 Treiberupdate !

Als ich W7 64 bit installierte zeigten sich ein paar Merkwürdigkeiten:

 

Meine Tastatur mit Karteleser installierte ich mit den Treibern des Herstellers. Alls funktionierte, der Gerätemanager meckerte nichts an. Als ich das erste mal die Karte einsteckte erkannte W7 die Software erneut, versuchte Gerätetreibersoftware zu installieren ( während der Kartenleser bereits lief und benutzt wurde) und erklärte dann:

Das Gerät konnte nicht installiert werden. Der Gerätemanager meckerte ein Ausrufezeichen, obwohl das Gerät tadellos funktionierte.

 

Mein Modem installierte ich ebenfalls mit Treibern des Herstellers. Es arbeitet tadellos.

 

Als ich wegen der Geschichte mit dem Kartenleser erneut ein Treiberupdate aufrief, zeigte mit der Updatemanager das OPTIONALE UPDATES zur Verfügung stehen würden. Bei näherer Betrachtung erwiesen sich diese zwei Updates als Windows Treiber für das Modem und den Kartenleser. Nach dem ich diese dann installiert hatte herrscht endlich Ruhe. System Glücklich - ich glücklich.

 

Man sollte also bei fehlgeschlagener automatischer Herdwareinstallation unbedingt den Updatemanager auf optionale Updates prüfen!

0 Kommentare

So

13

Dez

2009

Windows 7 64 bit - ich komme!

Der Rechner kann es, das Betriebssystem kann es, die Programme kön... naja, ein paar jedenfalls.

 

Als ich auf meinem Privatrechner W7 installierte war abzusehen das eine Menge Programme auf Grund ihrer internen Verweise nicht ohne weiteres von XP auf das neue System umziehen können. Ich schaufelte zunächst die Festplatte estwas um und richtete eine leere Partition ein. Bei der Installation wählte W7 diese automatisch für sich aus, und ließ W XP unangetastet. Es richtete sogar selbstständig einen Bootmanager ein so das man W XP und W 7 relativ problemlos nebeneinander betreiben kann.

 

Für W7 wählte ich die 64 bit Variante. Wenn schon denn schon, ein paar Erfahrungen sammeln kann nicht schaden, zukünftig wird es eine immer größere Rolle spielen.

64 bit - davon hört man meist nur wenn es um die Nutzung von RAM oberhalb von 3 G geht. Aber natürlich beschleunigt das auch an anderen Ecken.

Übrigens: Damit sich Software W7 zertifiziert nennen darf muss sie auch mit 64 bit fehlerfrei laufen - aber sie muß nicht selber 64 bit Software sein.

 

Mit 64 bit Software sieht es noch immer mau aus, erst 2010 soll es verstärkt 64 bit Software populärer Programme geben.  ( Firexox 3.6, Open Office ). Thunderbird 3 liegt nur in der US-Version als 64 bit vor.

 

Wirklich sehr übel steht es um Software die von 64 bit am meisten profitieren würde - Bild und Videobearbeitung, insbesondere Freeware und preiswerte Varianten. Glücklich derjenige dem das Tool PAINT.NET ausreicht oder der gerne mit dem leistungsfähigen GIMP arbeitet. Mehr populäre 64bittige Photosoftware ist kaum bekannt.

 

Auch wenn das Gejammer der 64 bit Gemeinde noch immer groß ist - die Tatsache das nahezu alle 32 bit Software problemlos auch auf 64 bit läuft sichert zumidest die vollständige Arbeitsfähigkeit und läßt den schleichenden Einzug von 64 Bit Software verschmerzen.

 

Treiberseitig sind mitlerweile deutliche Fortschritte erkennbar.  Wer nicht noch uralte Hardware mitschleppt ( Webcam, Drucker, Scanner) der dürfte unter Windows 7 keine Probleme haben das zumindest kompartible Treiber vorhanden sind.

Mein Modem verweigerte zwar den Dienst, doch dessen Treiberunterstützung endete bei Windows XP. Für ein anderes Modell stellte der Hersteller Vista Treiber, und dieses Modem konnte ich auch unter W7 64bit ans laufen bekommen.

 

0 Kommentare

Di

27

Okt

2009

Windows 7 Family Pack - das besondere Upgrade

Bereits seit einem halben Jahr bzw. seit 3 Monaten habe ich W 7 als RC Version in Betrieb. Insbesondere als Arbeitssystem auf dem Laptop.

 

Nun ist w7 in Deutschland offiziell erschienen und wartet mit einer limited Edition auf - dem W7 Family Pack. 3 Upgradelizenzen zum Peis von einer (so in etwa). 

 

Hier ein paar nähere Informationen:

 

Geliefert wird ausschließlich die Version Home Premium.

Geliefert wird je ein Datenträger für 32bit und 64bit

Es gibt nur einen einzigen Produktkey für alle drei Lizenzen

Upgradefähig ist Vista und XP

Die Lizenzen sind für drei Rechner in einem Haushalt

 

Und jetzt noch was interessantes...

Es wird bei der Neuinstallation des W7 keine Lizenz eines XP oder Vista  Systems abgefragt. Microsoft legt damit eine deutliche laxere Lizenzkontrolle an den Tag als in der Vergangenheit und ist weniger restriktiv als viele andere Softwarehersteller.

0 Kommentare

Di

20

Okt

2009

ISA Steckplatz kontra schneller Rechner

FRÜHER .-), als das Jahrtausend noch jung war, starben die ISA Steckplätze in Rechnern aus. Ein paar überlebten in exotischen Industrieboards die es nirgends gibt und die keiner bezahlen will.

 

Grund des Aussterbens war, das der Nachfolger des Northbridge- Chipsatzes KT-133A , der KT266, kein ISA mehr beherrschte. Und das wars dann natürlich...

 

Wenig Trauer zumeist, doch immer wieder stehen professionelle PC Betreuer vor dem Problem das ein bestimmtes Gerät NUR mit dieser einen exotischen ISA Schnittstellenkarte läuft. Will man diesen Rechner aufrüsten, beispielsweise auf XP oder höher, sieht es mit der P II oder PIII Rechengeschwindigkeit etwas übel aus.

 

Und hier die Lösung:

Der Chipsatz KT-133A ist der Schlüssel. Er bildete kurzzeitig den Übergang zwischen dem KT-133 und dem KT-266 und beherrscht genau das was wir brauchen:

- er stellt eine ISA Schnittstelle bereit

- er ermöglicht CPU-FSB 200/266 MHz

 

Damit kann man auf die Jagd gehen nach einem Motherboard welches den ISA Bus auch ausgebaut hat und das so lange gepflegt wurde das es der Hersteller auch für schnellere ATHLON XP ( bis etwa 2600+) spezifiziert hat.

 

geeignete Boards wären ZB:

ABIT KT7A (-RAID)

QDI KinetiZ 7E

Gigabyte GA-7ZXC

Chaintech 7AJA2

 

0 Kommentare

Do

01

Okt

2009

gluck gluck das wars... "wasserdichte" Olympus 790 SW

wir brauchten also eine Zweitkamera. Weil man die Spiegelreflex nur ungern dem Kind in die Hand drückt. Weil man die nicht gerne mit an den Strand nimmt. Weil die nicht ins Wasser kann. Weil die nicht runterfallen darf.

Also haben wir eine Olympus 790 SW ersteigert.  18 Monate alt. Von Haus aus Wasserdicht bis 3m und Stoßfest bis 1,5m. Im Urlaubsvorfeld ein bischen im Kinderpool und im Freibad geknipst. Keine Probleme. Dann Urlaub.... am Toten Meer ( -400m, 37°C) begannen erste Displayprobleme.  Bilder im Pool aber weierhin in Ordnung.

2 Tage später - Displayausfall, die Kamera funktioniert aber trotzdem noch. Allerdings nicht mehr lange. 3 Tage später, Schnorcheln im Roten Meer - aus die Maus. Wassereinbruch in den Batterie und Kartenschacht.

 

Na toll. Ich hatte mich sowieso immer gewundert das die dieser kleinen Plastikkappe und dem bissl Gummi drunter über den Weg trauen.

 

Liebe Olympus, wenn man schon eine Outdoorkamera baut und mit Wasserdicht wirbt, dann sollte die konstruktive Gestaltung des kritischsten Bereiches, des Deckels für Karte und Batterie, etwas sorgfältiger ausfallen. Ich habe glaube ich die 5 Generation der Olympus SW, da darf das nicht vorkommen. Und ich bin keine Einzelfall. Man liest bei den SW's alle Nase lang von ausgefallenen Displays und  Wassereinbruch bei geschlossenem Deckel. Pfui!

Gerne geb ich euch noch eine Chance - vieleicht sind ja die Modelle für 5m und 10m Wassertiefe besser verarbeitet. Bei Neugeräten kann man auch zur Konkurrenz abwandern - Panasonic hat mit der FT1 ein nahezu baugleiches Modell vorgestellt.

 

EDIT

zwischenzeitlich wurde die Olympus durch eins der vorgängermodelle erstzt. dies verspricht 5m Wassertiefe..... wir werden sehen...

0 Kommentare

Sa

29

Aug

2009

go funkie

nach der erfolgreichen Implemantation der aufgerüsteten Web'n'Walk II Compact Card via PCMCIA in den Laptop  unter ausnutzung eines Prepaid Datentarifes gehe ich nun einen Schritt weiter.

Für einen weiteren PC der derzeit nur per Modem online ist habe ich einen UMTS - WLAN Router eingerichtet. Die Wahl fiel dabei auf die Web'n'Walk Box II, die alles von GPRS über EDGE bis HSDPA beherrscht und auch SIM Karten anderer Anbieter akzeptiert ( ggf. nach kostenloser Freischaltung).

Dabei sorgt die Aufstellung im Dachgeschoss für den bestmöglichen UMTS Empfang und der WLAN Router für die Datenverbindung in den Keller. Nebeneffekt: mehrere Geräte können mit einer Datenkarte surfen.

 

Bemerkenswert dabei die umfangreiche Konfiguration der BOX mit Portbehandlung, Firewall und allem pipapo.

 

0 Kommentare

Mo

10

Aug

2009

go mobile im Outdoor

demnächst gehts nach Jordanien. Dort funktioniert kein TOMTOM und auch nichts Artverwandtes. Es gibt keine digitalisierten Karten die mehr als die Hauptstraße abdecken. Nicht mal das Routing in Google Maps funktioniert. Natürlich haben wir eine Straßenkarte. Aber die Schilder sind vermutlich nicht alle in Englisch beschriftet, soweit überhaupt vorhanden.

Onlinestraßenkarten kann man dort vergessen.

 

Hm. Auf den Satellitenkarten sieht man eigentlich alles ganz gut......

Man bräuchte die Sat Bilder offline und ein GPS für die aktuelle Position...

 

Nun. Nach tagelanger Recherche zeigt sich das es nur einen Weg gibt.

 

Man benutzt Google Earth und betrachtet sich im
Vorfeld zu Hause alle Gebiete in den entsprechenden Auflösungen die einen Interessieren. GE legt dabei alle diese Bilder in einem internen Cache ab. Auf diesen greift GE zu wenn keine Internetverbindung besteht. Also zum Beispiel wenn mann irgendwo in Jordanien an einer verlassenen Kreuzung steht oder durch das Wadi Rum kurvt.

Damit hat man seine Karte. Es es existieren kleine Programme die in der Lage sind selbstständig die gewünschten Gebiete abzurastern um den Cache zu füllen, ( GE Cacher, GE Voyager). Leider hatte ich mit allen Probleme und hab es letztendlich mit Hand gemacht. Für Jordanien ist das ok, das Land ist klein und niedriger als 5km Sichthöhe braucht man nicht. Der Cache füllte sich dabei auf etwa 500 MB, 2000 MB sind die mögliche Obergrenze in GE.

 

Als zweites bracht man ein GPS. Ich habe mich für eine USB gebundene GPS Maus entschieden. Bluetooth Geräte benötigen Akkus, diese ein Ladegerät, oder eine extra Stromversorgung usw.  So zieht das GPS seine Energie aus dem Läppi-Akku und den kann ich wenn ich will ans Auto stöpseln.

Für das GPS gilt: um mit GE zusammenzuarbeiten sollte es NMEA beherrschen. Dann müßte es klappen es in GE direkt einzubinden. ( Garmin- Kompartibilitätsmodus).

Ich habe mich für ein Billigteil aus Taiwan entschieden. Altina irgendwas, 20 Kanäle. Mindestens 4 Satelliten braucht man für eine Position glaube ich. Bereits an Gebäudefenstern hatte ich öfters Probleme eine Position bestimmen. Die Genauigkeit ist auch nur mittelprächtig.Eine halbe Stunde stationärer Dauermessung erbrachte etwa 25m Drift. Für Fahrzeugnavigation ist das Teil noch akzeptabel, aber es schadet vermutlich nicht, mehr als 15 € für ein  Gerät mit 20 und mehr Kanälen auszugeben.


Google Earth GPS Realtime Modus

In der Praxis hatte ich Probleme damit eine zufriedenstellende Realtime - Anzeige mit GE Bordmitteln zu erreichen. Das GPS wurde erkannt und eingebunden, aber die Position wurde immer nur für den kurzen Moment der Datenübertragung eingebunden. Auch verstellte sich ständig die eingegebene Ansichtshöhe.

Ein andermal, bei einem Fahrzeug Track, wurde die Position korrekt mit Symbol angezeigt, jedoch war nach eine Weile Schluß mit Tracking. Vermutlich weil die Trackanzahl nur begrenzt ist.

Ein weiteres Problem - GE zoomt automatisch um immer den ganzen Track darzustellen. Irgendwann ist man so weit oben das es unbrachbar für Navigation ist.

 

Earth Bridge

Als Alternative bietet sich EARTH BRIDGE an. Das Tool bietet umfangreiche Einstellmöglichkeiten und beinhaltet gleichzeitig viele Automatismen. Das reicht soweit das beim Programmstart automatisch das GPS eingebunden wird, GE startet, und Earth Bridge im Hintergrund verschwindet. Position und Tracks werden sofort angezeigt.Das funktioniert oft tadellos.

Im Praxistest zeigten sich Schwachstellen. Mehrmals riss die Netzwerkverbindung zwischen GE und EB kurzzeitig ab und GE produzierte eine entsprechende Fehlermeldung. Nach wegklicken lief alles weiter.

Die aufgezeichten Tracks zeigten oft Lücken, dh die Tracklinie besteht aus mehreren Segmenten. ein Teil davon mag auf fehlende Sat-Verbindung zurückzuführen sein (Straßen im Tal, im Wald). Es gibt aber auch Aussetzer auf freier Strecke, wo der GE-GPS-Modus keine Probleme bereitete.

Der Autor hat das Programm angeblich bereits weiterentwickelt - leider aber nicht veröffentlicht.

 

GooPs

..ist ein weiteres beliebtes Realtime Tracking Programm. Leider ist die Free-Version mit 10Min Aufzeichnungsdauer eher unbrauchbar, man muss also wenigstens 15$ anlegen. Ansonsten sieht das Programm gut aus und wird auch regelmäßig weiterentwickelt.

 

 

Natürlich ermöglicht die Verwendung von GE es auch die bereits mit Google Maps angelegten Karten mit POIs zu importieren, so das man Hotels, Sehenswürdigkeiten, Restaurants und alles andere parart hat.

 

In der Summe bekommt man ein weltweit einsetzbares Navigationssystem das ohne teures Kartenmaterial auskommt und detailierter ist als fast alle digital erstellten Karten. Die Aktualität wird dabei jedoch vom Alter der Sat-Bilder begrenzt.

 

Ob das ganze praktisch ist, bzw. von meinem Beifahrer wahrgenommen wird, oder ob die traditionelle Papierkarte die Oberhand behalten wird- wir werden sehen.

0 Kommentare