Archiv der Kategorie: SCCM

Computer mit SSD Cache neu aufsetzen

Kommentar verfassen

Unsere neuen Laptops haben neben einer grossen Festplatte auch noch einen kleinen SSD Speicher, der als schneller Zwischenspeicher oder ExpressCache, wie Lenovo das nennt, dient. Zuerst dachte ich fälschlicherweise, dass es sich um eine Hybridplatte handelt, die wie ein Laufwerk verwendet werden kann, aber es sind wirklich 2 Laufwerke.

image

Meine OSD-Tasksequenz (OSD steht für Operating System Deployment, also für das Verteilen des Betriebssystems) ging bis jetzt aber immer von einer Festplatte aus. Diese wird zuerst formatiert und partitioniert. Danach wird das Betriebssystem darauf installiert. So wird aber die kleine SSD zu C: und Windows wird darauf installiert. Auf der grossen Festplatte hat es dann immer noch die Recovery Partition und das original installierte Windows vom Hersteller.

image

Damit das Betriebssystem auf die richtige Festplatte kommt, muss man die Festplatte mit der Datenträgernummer 1 (statt 0) korrekt formatieren.

image

Die Festplatte 0 konnte ich nicht so formatieren, dass ExpressCache danach funktioniert hätte. Am Besten lässt man sie also in der Tasksequenz einfach aus.

Damit ExpressCache funktioniert, muss man die Diskeeper Software von Lenovo herunterladen. Leider ist sie nicht bei Treiber/Software des Gerätes aufgeführt. Man findet sie unter diesem Link. Ausserdem habe ich keine Dokumentation darüber gefunden, z.B. auch keine silent parameter für die Installation. Also musste ich einen eigenen Weg finden. Bei der manuellen Installation wird ein MSI extrahiert. Dieses kann man suchen und abspeichern. Im letzten Schritt meiner Tasksequenz wird nun dieses MSI installiert:

msiexec /i ExpressCache.msi /qn /norestart

image

Gemäss den wenigen Informationen von Lenovo kann man überprüfen, ob ExpressCache funktioniert indem man in einer mit Adminrechten gestarteten Eingabeaufforderung “eccmd.exe –info“ eingibt.

image

Normalerweise bietet Lenovo zu allen Treibern und zu aller Software auch Informationen für Administratoren an. Vielleicht habe ich diese auch einfach nicht gefunden. Vielleicht gibt es auch einfach bessere Wege als meiner. In einem solchen Fall würde ich mich über Rückmeldungen freuen.

Nachtrag

Für die neue Geräte wird auch eine neue Version von ExpressCache benötigt. Lenovo bietet diese unter diesem Link an. In diesem Forumsbeitrag findet man die Silent Parameter, wobei ich immer noch das MSI verteile. Bei Problemen mit Partitionierung etc. kann auch dieser Beitrag hilfreich sein.

SCUP 2011 Zertifikat

Kommentar verfassen

SCUP steht für System Center Updates Publisher und dient dazu, Updates, die nicht von Microsoft stammen trotzdem mit der gleichen Methode wie diejenigen von Microsoft zu verteilen.

Ich habe bisher SCUP 4.5 verwendet. Scheinbar funktionieren die Updates von Adobe Reader aber mit dieser Version nicht mehr. Daher musste ich die Version SCUP 2011 installieren. Eine gute Anleitung zur Installation von SCUP 2011 findet sich hier. Nach erfolgreicher Installation (man muss noch weitere Pakete installieren auf die man aber während der Installation hingewiesen wird) ist es dann doch nicht gelungen, die Pakete zu “publishen”. Das Problem war, dass ich (wie vorgeschlagen) das Zertifikat für SCUP 4.5 weiterverwendet habe, was scheinbar nicht geht. Man muss ein neues Zertifikat generieren.

Dazu muss man “Configure WSUS and Signing Certificate” auswählen.

image

Und dann bei “Signing Certificate” “Create” auswählen.

image

Nun findet sich unter WSUS –> Zertifikate ein neues selbst erstelltes Zertifikat.

image

Dieses muss man auf dem SCCM Server (bei mir ist das der gleiche Server) in “Vertrauenswürdige Stammzertifizierungsstellen” –> “Zertifikate” und in “Vertrauenswürdige Herausgeber” –> “Zertifikate” kopieren.

image

Damit die Clients Updates aus dieser Quelle auch akzeptieren, muss das Zertifikat auch noch auf alle Clients verteilt werden. Dazu kann man es ohne privaten Schlüssel in eine CER-Datei exportieren und auf den Domänencontroller kopieren, auf dem man die Gruppenrichtlinien bearbeitet.

image

Da kann man eine Gruppenrichtlinie erstellen und das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen” über einen Rechtsklick –> “Importieren…” hinzufügen.

image

Forefront Endpoint Protection Reporting

Kommentar verfassen

Wir setzen an unserer Schule Forefront Endpoint Protection (FEP) als Virenschutzlösung ein. Dies nicht, weil ich der Ansicht bin, dass es die beste Antivirenlösung auf dem Markt ist, sondern weil der FEP-Client beim School Agreement von Microsoft bereits enthalten ist und wir uns so das Geld für eine andere Antivirenlösung sparen können.

Verwalten lässt sich FEP aber nur über SCCM (System Center Configuration Manager). Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer School Agreement eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und FEP sogar bedeutend günstiger ist, als es unsere alte Antivirenlösung war.

Nun ist aber ein “worst case” eingetroffen. Ich habe keine Meldung mehr erhalten, dass ein Virenbefall abgewehrt wurde und auch in den Berichten standen 0 infizierte/gesäuberte Systeme. Daher bin ich davon ausgegangen, dass der Virenschutz problemlos funktioniert. Dank einem Hinweis unseres ISP’s bin ich auf einen Computer aufmerksam geworden, der mit dem Zeus-Trojaner infiziert wurde. FEP hat den Trojaner erkannt und in die Quarantäne verschoben, hat also seine Hauptarbeit erledigt, ABER hat mir keine Meldung zukommen lassen, damit ich über diesen Vorfall informiert gewesen wäre.

Damit FEP seine Meldungen an SCCM melden kann, muss der “Client-Agent für die Verwaltung gewünschter Konfigurationen” aktiviert sein.

image

Der muss früher schon einmal aktiviert gewesen sein, aber ist wahrscheinlich durch ein Layer-8 Problem meinerseits mal deaktiviert worden Trauriges Smiley.

Gemäss einem Test mit EICAR funktioniert nun auch das Reporting wieder. EICAR ist eine Datei, die zu Testzwecken von allen Antivirenprodukten als Virus erkannt wird. Man muss nur die Zeichenfolge
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
in einem Texteditor als ausführbare COM Datei abspeichern, damit das Antivirenprogramm reagiert.

image

Danach bekommt man wie gewünscht eine Mail an die konfigurierte Adresse mit den Angaben zur gefundenen Malware und den ausgeführten Aktionen.

image

Werde mir also in Zukunft angewöhnen, in einem festen Zeitintervall so eine EICAR-Testdatei auszuführen, um sicherzustellen, dass das Reporting auch wirklich funktioniert.

Irfanview verteilen

Kommentar verfassen

Hinweis: Hier gibt es eine neue Anleitung für die Verteilung von Irfanview mit SCCM Current Branch.

Irfanview ist ein kleiner, schneller Bildbetrachter, mit dem man auch kleine einfache Korrekturen vornehmen kann. Ausserdem kann man damit mehrere Bilder auf einmal ändern (sogenannte Stapel- oder Batchverarbeitung). Ich habe mal für eine frühere Version eine Anleitung erstellt, die auch auf die Grundlagen von Bildern am Computer wie Speichergrösse, Dateiformate oder Auflösung eingeht.

Irfanview benötigt keine Installation, man kann einfach den Ordner mit den Programmdateien kopieren. Ausserdem könnte man Irfanview auch auf einem Server installieren und müsste dann nur eine Verknüpfung auf den Clients einrichten.
Diese beiden Wege sind meiner Meinung nach aber nicht optimal. Ich möchte das Programm lokal installieren und standardmässig alle Bildformate mit Irfanview statt mit der Windows-Fotoanzeige öffnen. Im Gegensatz zur Windows-Fotoanzeige kann man so einfach ein gescanntes oder aus dem Internet kopiertes Bild mit Irfanview zuschneiden, freistellen oder nur einen Bereich kopieren etc. ohne dazu ein zusätzliches Bildbearbeitungsprogramm zu benötigen.

Wenn man auf der Webseite von Irfanview unter FAQ’s nachsieht, findet man bei den letzten Einträgen die verschiedenen Möglichkeiten zur Verteilung von Irfanview. Man kann also unter “Download” –> “Other download sites (Mirrors)” die aktuelle deutsche Version als exe herunterladen. Ausserdem sollte man noch unter “Plugins” die Plugins als exe herunterladen.

Bei den FAQ’s sind die verschiedenen Startoptionen dokumentiert. Ausser den beiden exe’s kopiere ich noch folgende install.cmd in den gleichen Ordner:

@echo off
if exist „c:\programdata\microsoft\windows\start menu\programs\irfanview\“ rd /s /q „c:\programdata\microsoft\windows\start menu\programs\irfanview\“
%~dp0iview_setup.exe /silent /desktop=0 /thumbs=0 /group=1 /allusers=1 /assoc=1
%~dp0irfanview_plugins_setup.exe /silent
REM Return exit code to sccm
exit /B %EXIT_CODE%

image

Wie man sehen kann, habe ich die Versionshinweise bei den Dateinamen entfernt (die Anleitung wurde bis zur Version 4.38g getestet). Dies hat den Vorteil, dass ich bei einem Wechsel auf eine neue Version nicht nochmals ein neues Softwarepaket in SCCM erstellen muss, sondern einfach den Verteilungspunkt aktualisieren kann.

image

Wer keinen SCCM einsetzen kann und seine Software über Gruppenrichtlinien verteilt, kann das Skript auch ein wenig anpassen (nicht getestet):

@echo off
if exist c:\windows\irfanviewinstalled.log goto installed
\\serverfreigabe\iview_setup.exe /silent /desktop=0 /thumbs=0 /group=1 /allusers=1 /assoc=1
\\serverfreigabe\irfanview_plugins_setup.exe /silent
echo %computername%>>c:\windows\irfanviewinstalled.log
:installed

Viel Erfolg!

Nachtrag

Wenn man eine neue Version über eine alte installiert, funktioniert alles problemlos ausser, dass es nun im Startmenü zwei Einträge für Irfanview hat (die beide die neue Version starten). Dies kann man beheben, indem man vorgängig die Verknüpfung löscht. Weil ich nicht bei jeder neuen Version das Skript anpassen möchte, lösche ich gleich das ganze Menü:

image

Adobe Reader 11 verteilen

Kommentar verfassen

Nun hat Adobe auch den Customization Wizard für die Version 11 nachgeliefert, damit man die Installation vor der Verteilung anpassen kann.

Wenn man Adobe Reader im Netzwerk verteilen möchte, kann man bei Adobe um eine entsprechende Lizenz ansuchen und bekommt danach einen Link mit den entsprechenden Versionen, die man dann herunterladen kann.

Neu stellt Adobe auch direkt ein MSI auf ihren FTP-Servern zur Verfügung. Dieses konnte ich jedoch nicht mit dem Customization Wizard anpassen. Daher verwende ich weiter den Weg wie bei der alten Version. Mit folgendem Befehl kann man ein MSI aus der EXE Datei extrahieren:

AdbeRdr11001_de_DE.exe -sfx_ne -sfx_o“<somepath> \extract

image

Damit erhält man folgende Dateien:

image

Mit dem Customization Wizard nehme ich jeweils in einer virtuellen Maschine folgende Anpassungen vor:

Personalization Options: EULA Option –> Suppress display of End User License Agreement (EULA)
Installation Options: Run Installation: –> Silently; Suppress reboot
Shortcuts: Desktop –> Remove
Online and …: diverses (siehe Bild)

image

Am Schluss kann man unter “Transform” –> “Generate Transform…” z.B. als acroread.mst speichern.

Nun würde sich die neue Version einfach verteilen lassen:
msiexec /i acroread.msi TRANSFORMS=acroread.mst

So wird aber nur die Grundinstallation (z.B. 11.0) installiert, aber nicht die Updatedate (AdbeRdrUpd11010.msp), die z.B. für die Version 11.0.10 installiert werden muss. Da wir neben dem “grossen” Netzwerk auch noch das Sekretariatsnetzwerk ohne SCCM haben, kann ich nicht nur den einfachen Weg über SCUP und SCCM nehmen (siehe auch diesen Beitrag ganz unten bei “Verteilung mit SCCM”). Also erstelle ich eine administrative Installation (siehe “6.7.3 Creating an AIP” in der Dokumentation).

msiexec /a AcroRead.msi

image

image

Nun kopiere ich die Updatedatei und die MST-Datei in den neu erstellten AIP Ordner.

image

Auf der Kommandozeile wechselt man nun in dieses neue Verzeichnis und integriert nun noch das Update:

msiexec /a AcroRead.msi /p AdbeRdrUpd11001.msp

image

image

Nun kann man den ganzen Ordnerinhalt von aip auf den Server kopieren und über die Gruppenrichtlinien oder über die Befehlszeile mit SCCM installieren:
msiexec /i acroread.msi TRANSFORMS=acroread.mst

Bei einer neuen Version muss aber zuerst die alte deinstalliert werden. Dies sieht dann in einem Skript für SCCM beispielsweise so aus:

taskkill /im acrord32.exe /t /f
start /wait msiexec /x {AC76BA86-7AD7-1031-7B44-AB0000000001} /qn
cd %~dp0
msiexec /i AcroRead.msi TRANSFORMS=acroread.mst /qn
REM Return exit code to sccm
exit /B %EXIT_CODE%

image

Adobe Reader 11

Kommentar verfassen

Wollte soeben Adobe Reader 11 gemäss meiner Anleitung verteilen, aber der Adobe Customization Wizard für die Version 11 ist noch nicht verfügbar. Der alte Customization Wizard bringt eine Fehlermeldung beim Öffnen des MSI’s und wenn man das alte MST verwendet, werden die meisten Änderungen nicht übernommen. Man kann nun das MSI ohne Änderungen verteilen oder noch mit der aktuellsten 10.x Version arbeiten und bis “early November” abwarten…

image

Microsoft School Agreement

Kommentar verfassen

Beim Microsoft School Agreement ändert sich einiges.

Am besten meldet man sich auf der Seite https://shop.diractionag.ch an und wählt dann “Für meine Organisation” –> “Miete” –> “Primar-, Sekundar-, Mittel- und Berufsschulen”.

image

Auf der Primarschule bleibt es beim Alten, die Lizenzen fallen pro verwendetem PC an. Bei der Oberstufe ändert es sich aber auf eine Zählweise der angestellten Mitarbeiter (siehe http://diraction.ch/de/ueberblick). Hier muss man die “Vollzeitmitarbeiter”, die mindestens 200 Stunden pro Jahr angestellt sind melden (http://diraction.ch/de/merkmale). Von so einem Vollzeitjob träume ich auch Zwinkerndes Smiley.

Obwohl man so ja eigentlich alle Angestellten melden muss, wird es bei uns und wahrscheinlich bei allen Oberstufen günstiger. Trotz vieler Teilzeitangestellter haben wir mehr Computer als Angestellte.

Ausserdem ändern sich der Preis der RemoteDesktopServices CAL (CAL steht für Client Access License, also Zugriffslizenz). Die benötigt man, damit die Lehrkräfte von zuhause aus auf unserem RemoteDesktop Server arbeiten können. Neu bezahlt man dafür 15.- Fr. pro Jahr pro User (oder 10.- Fr. wenn man für alle User lizenziert – bei uns wird das Angebot von zuhause zu arbeiten aber nur von wenigen benutzt).

Bis jetzt habe ich System Center Configuration Manager (SCCM) für 200.- Fr. pro Jahr lizenziert. Mit SCCM bekommt man mehr Möglichkeiten, Software und Betriebssysteme zu verteilen, als das über Gruppenrichtlinien und WDS möglich ist. Ausserdem kann man mit SCCM die Antivirenlösung “Forefront Endpoint Protection” managen, die beim School Agreement für die Clients schon dabei ist. Neu kann man für 150. Fr. (Standard Version) resp. 400.- Fr. (Datacenter Version) die ganze System Center Suite einsetzen. Also auch z.B. den “Virtual Machine Manager” zur Verwaltung virtueller Server oder den “Data Protection Manager” (DPM) zur Erstellung von Backups. Es ist also definitiv Zeit für Schulen, DPM als Alternative zu anderen Backuplösungen anzusehen…

image image

image

Ich habe zwar noch nicht alles fertig gerechnet, aber es sieht so aus, wie wenn die Lizenzierung günstiger werden würde. Ausserdem bekommt man mit System Center 2012 mächtige Werkzeuge für grössere Netzwerke zu einem günstigen Preis.

Kindergarten anbinden

Kommentar verfassen

Bis jetzt hatten die Kindergärten einen normalen ADSL Anschluss. Die Kindergärtnerinnen waren lokale Administratoren auf ihren Geräten, die Geräte wurden wie private Geräte zuhause gepflegt. Über einen Zugang zum Remote Desktop Server konnten die Kindergärtnerinnen Dateien untereinander austauschen und so abspeichern, dass sie im zentralen Backup erfasst wurden.

Nun haben wir auch in den Kindergärten einen “Schulen ans Internet” Anschluss von der Swisscom. Dies ist seit einiger Zeit auch für die Kindergärten im Kanton möglich. Nun haben sie Mehrwertfunktionen wie den Content Filter der Swisscom oder Zugang zum Zeitungsarchiv Swiss Dox. Aber vor allem haben sie neu nun eine fixe IP im Bildungsnetz des Kantons (also hinter der Swisscom Firewall und offen gegenüber allen anderen Schulen im Bildungsnetz). Selbstverständlich sollte man sich noch mit einer eigenen Firewall gegenüber den anderen Schulen schützen. 

image

Für die Kindergarten habe ich mich für eine kleine ZyXEL Firewall entschieden. Damit kann man zusätzlich auch einen VPN Tunnel zum Schulnetzwerk herstellen.

image

image

image

image

Für die Site-to-Site Verbindung muss man die IP des Partners “Secure Gateway” angeben und dafür sorgen, dass Verschlüsselung etc. auf beiden Seiten zusammenpassen.

image

Wenn man nun als DNS die DNS-Server des “grossen” Netzwerks angibt, sind die Kindergärten neu wie ein Teil des internen Netzwerks und können auf alle Netzwerkfreigaben zugreifen. Ausserdem funktioniert auch die Softwareverteilung über SCCM. Bei Softwareverteilung über Gruppenrichtlinien kann man sich nicht anmelden, bis die Software installiert ist. Bei einem Paket wie z.B. dem Acrobat Reader kann das ziemlich lange dauern, wenn die Anbindung über so einen VPN Tunnel läuft. Mit SCCM kann man sich anmelden und im Hintergrund wird das Paket langsam über Bits heruntergeladen und erst installiert, wenn die Dateien angekommen sind.

Windows Essentials 2012

Kommentar verfassen

Nun gibt’s die Windows Essentials 2012 auch als Offline-Download auf Deutsch. Hier findet man ganz unten die verschiedenen Sprachversionen der Installationsdatei.

image

In unserem Netzwerk benötigen wir das Schnittprogramm MovieMaker. Bei dieser Installation kommt automatisch auch die Fotogalerie mit.

Man kann die gleichen Parameter verwenden, wie schon bei der Installation der 2011er Version:

wlsetup-all.exe /q /AppSelect:MovieMaker