NIERO@net e.K. – Corporate Blog

Ihr Weg zu strategischer SMB IT beginnt mit Managed Services

Lessons Learned: automatische (unbeaufsichtigte) Installation des Java Runtime Environment unterstützt keine UNC-Pfade im den Pfad zur Konfigurationsdatei

Aufgrund eines Fehlers in unserem Patchmanagement waren wir kürzlich gezwungen, das Java Runtime Environment mit “traditionellen” Mitteln unbeaufsichtigt auf einigen verwalteten Clients zu installieren.

Das Verfahren wird von Oracle in der Java Documentation gut beschrieben.

Sowohl das das JRE-Windows-Offlineinstallationsprogramm, als auch die Konfigurationsdatei für das Installationsprogramm haben wir auf einer administrativen Netzwerkfreigabe abgelegt.

Für die eigentliche Installation benutzen wir die folgende Syntax:

\\[DeploymentServer]\[DeploymentShare]\[jre] INSTALLCFG=\\[DeploymentServer]\[DeploymentShare]\configuration_file.txt

In unserem Test verursachte dies den folgendem Fehler:

—————————
Java-Installation nicht abgeschlossen
—————————
Java kann nicht installiert werden
In den folgenden Switches sind Fehler vorhanden:
"INSTALLCFG=\\[DeploymentServer]\[DeploymentShare]\configuration_file.txt";.
Stellen Sie sicher, dass die Befehle gültig sind, und versuchen Sie es erneut.
—————————

Auch das Tauschen der Dateiendung .txt durch .properties, bzw. .cfg führte zum gleichen Fehler.

Die Konfigurationsdatei funktionierte jedoch ordnungsgemäß auf der lokalen Maschine.

Dies ergab den Ausschlag es einmal mit einem verbundenen Netzwerklaufwerk zu probieren. Auch hier funktionierte die automatische (unbeaufsichtigte) Installation wie gewünscht.

Hieraus konnten wir nun den Schluss ziehen, dass der Pfad der Konfigurationsdatei für das Installationsprogramm einen Laufwerksbuchstaben voraussetzt und keine UNC-Pfade unterstützt.

Die Lösung war nun die unbeaufsichtigte Installation ohne Konfigurationsdatei zu parametrisieren:

\\[DeploymentServer]\[DeploymentShare]\[jre] INSTALL_SILENT=ENABLE AUTO_UPDATE=ENABLE REBOOT=DISABLE SPONSORS=DISABLE REMOVEOUTOFDATEJRES=1

Dieses Vorgehen war erfolgreich.


Aktuelles finden Sie stets auch auf der Website, oder auf Twitter.

NIERO@net e.K. versteht sich als “Solution Innovator” und “Enterprise Architect”, indem wir unser Angebot auf Management Consulting, Mobile- /Cloud-Lösungen, Geschäftsprozess-Lösungen und Managed Services verlagern. Lesen Sie unsere Corporate Statements und erfahren Sie, wofür NIERO@net e.K. steht.

Experten machen den Unterschied: Lesen Sie, weshalb die Zusammenarbeit mit einem Mitgliedsunternehmen der MSPAlliance die Wettbewerbsfähigkeit Ihres Unternehmens erhöht.

Sollten Sie aktive Unterstützung benötigen, können Sie sich jederzeit an uns wenden und nach unseren Managed Services, Managed Public Cloud Solutions, Hosted Software Services und Hosted System Services für kleine und mittelständische Unternehmen in der Metropolregion Hamburg fragen.

Unsere Aufgabe ist es, Ihnen bei der Verwaltung Ihrer Netzwerke zu helfen, damit Sie sich um Ihr Geschäft kümmern können.

Lassen Sie uns Ihnen helfen, die Methoden und Richtlinien zu entwerfen, die Ihr Unternehmen noch erfolgreicher machen.

Unser Ziel: “Enterprise Solutions and Quality for Small Business”

Unsere Kerndienste: Managed Networks – Managed Workstations – Managed Email – Managed Cloud – Managed Continuity – Managed Security – Managed Mobile – Managed Backup & Disaster Recovery

31. Mai 2017 Posted by | Lessons learned: Notes from the field | , , , , , , , , , | Kommentare deaktiviert für Lessons Learned: automatische (unbeaufsichtigte) Installation des Java Runtime Environment unterstützt keine UNC-Pfade im den Pfad zur Konfigurationsdatei

Nachlese zum letzten MPSHH-Workshop zu Windows Intune

Nun ja, ich hatte eigentlich vor hier in Kürze den Weg zu beschreiben, wie man Microsoft Office 2013 Pro Plus aus Microsoft Office 365 via Windows Intune verteilt (das war das Thema meines kleinen PowerPoint-Vortrags), aber es gibt dazu zwei detaillierte Artikel, sowie ein Whitepaper hierzu, in der Microsoft Office 365 Community:

Deploying Office 365 client applications with Windows Intune

Deploying Office 365 client applications with Windows Intune from a network share

Whitepaper: Smoother Management Of Office 365 Deployments with Windows Intune

All das bezieht sich auf die normale Windows-Installer-Version (Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool) und nicht auf die Click-To-Run-Version, für deren Anpassung das “Office Deployment Tool for Click-to-Run” zur Verfügung steht.

Mein kleiner PowerPoint-Vortrag steht in Kürze den Kollegen, die am Workshop teilnahmen, exklusiv im Contentshare zur Verfügung.

Auf alle Fälle hat sich der Samstag und die “Anfahrt auf die Dörfer” wieder gelohnt. Mit gleichgesinnten ITPros zu lernen und zu testen macht Spaß und nützt unseren Klienten!

Ich gehe – für den SMB-Bereich – sogar soweit zu sagen, dass nur diejenigen Kolleginnen und Kollegen, die an der Community teilnehmen und somit auch das Konzept einer “ITPro-Community” mittragen, diejenigen sind, die sich wirklich durch herausragende Kenntnisse am Markt differenzieren und somit den Klientinnen und Klienten den Mehrwert bieten, den sie sich wünschen und benötigen!

Wir haben vormittags auch einen sehr interessanten Exkurs zum Thema Qualitätssicherung bei der Diensterbringung gemacht. Es war sehr gut zu sehen, dass wir uns in dem Anspruch “Entweder machen wir es richtig oder gar nicht!” völlig einig waren, ebenso wie in der Tatsache, dass entsprechende Zertifizierungs-Audits, wie DIN EN ISO 9001:2008 oder die Pendants der MSPAlliance ein sehr wichtiges Alleinstellungsmerkmal, gerade, im SMB-IT-Consulting sind.

Aus diesem Grund raten wir allen Interessentinnen und Interessenten stets, dass sie einen Microsoft Small Business Specialist, oder jemanden mit äquivalenter Qualifikation, mit den entsprechenden technischen Zertifizierungen engagieren!

Schön zu sehen, dass wir uns auch einig waren, dass strukturiertes Arbeiten und eine genaue Dokumentation mit Hilfe von Checklisten ebenso für uns und die Klienten Zeit und Kosten sparen können, wie der Einsatz von RMM-Tools und proaktiven Monitoring gegenüber Break-/Fix-Unterstützung.

Wir sind uns auch einig in der Notwendigkeit von Zertifizierungen, Kompetenzen und technischen Lernens für das Wohl unserer Klienten, sowie in der Tatsache, dass Managed Services im weitesten Sinne nur dann von Wert sind, wenn sie sowohl vom Dienstanbieter, als auch vom Klienten als “Kultur” gelebt werden, was sich dann in regelmäßigen Business Review Meetings wiederspiegelt, in denen u.A. auch durch Monitoring festgestellte Trends besprochen werden.

Insgesamt sind wir wohl Alle Verfechter des Prinzips “Strategische (dynamische) IT” und das ist auch gut so.

Uns allen ist klar, das dieser Weg des hochwertigen Arbeitens für unsere Klientinnen und Klienten sein Geld kostet, der Klient aber einen langfristigen Mehrwert durch Kostenersparnis in seinem IT-Budget bekommt.

Ich komme deshalb auf dieses “Nebenthema” des Workshops zurück, weil ich eine IDC-Studie gelesen hatte, die genau dies beweist. Ich will kurz drei Dinge daraus zitieren:

  • Geld zu sparen kostet Geld — Während diese Studie einen klaren Nutzen und eine messbare Investitionsrendite zeigt, ist für viele Unternehmen der Investitionsaufwand viel leichter zu identifizieren und zu messen als die Senkung der Betriebskosten.
  • Zu Recht tritt Microsoft für die Standardisierung ein, da damit ein einheitlicheres Konzept für das System- und Anwendungsmanagement sowie Einstellungs- und Konfigurations-Management möglich wird. Dadurch können die Supportmitarbeiter ihre Erfahrungen auf ein einzelnes Produkt konzentrieren.
  • Die Kosten können mit älteren PCs und Betriebssystemen in die Höhe schnellen. In dieser Studie wurde festgestellt, dass die kombinierten IT-Arbeitskosten und Benutzerproduktivitätskosten pro PC vom zweiten bis zum fünften Jahr um 73% steigen.

Zurück zum Thema der Überschrift!

Die zwei Artikel von Microsoft sind detailliert genug, weshalb ich mich hier auf ein paar Dinge konzentriere, die wir zusammen gelernt haben.

1. Wir haben zur Anpassung unserer Installation das OCT (auf deutsch: OAT) verwendet.

Sprich, nach dem Schritt “MicrosoftOffice.exe /extract:<path>” wird der im OCT-Download vorhandene Ordner “admin” in die extrahierte Office-Installation eingefügt.

Von dort aus kann man und mit dem Befehl “setup.exe /admin” das OCT starten.

In dem geöffneten Fenster entscheidet man sich zwischen einem bestehenden MSP-File und der Anlage eines Neuen und stellt hiernach seine Einstellungen zusammen.

oct2

 oct3

Bei den Sicherheitsrichtlinien hier, weist Microsoft mit Recht darauf hin, dass OCT-Anpassungen nicht Gruppenrichtlinien ersetzen, sondern diese wie Preferences arbeiten. Sprich: Der Benutzer kann nach dem ersten Start alles ändern.

Zum Ende speichert man seine Anpassungen als msp-File uns packt dieses in den Ordner “Updates” der extrahierten Installation.

That´s it. Das Ganze ist selbsterklärend.

Weiterlesen

20. März 2013 Posted by | Microsoft Cloud, Small Business Consulting (Arbeitsethik) | , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Nachlese zum letzten MPSHH-Workshop zu Windows Intune

Verteilen von EMET via Gruppenrichtlinien

Die aktuelle 0-Day-Lücke im Internet Explorer bringt uns zu der Frage, wie man EMETv3 mangels SCCM via Group Policies verteilt.

Das Benutzerhandbuch von EMET beschreibt nur einen kleinen Teil des Weges:

EMET 3.0 comes with group policy support. When you install EMET, EMET.admx and EMET.adml files are also installed to the “Deployment\Group Policy Files” folder. These files can then be copied onto \Windows\PolicyDefinitions and \Windows\PolicyDefinitions\en-US folders respectively. Once this is done, EMET system and application mitigation settings can be configured via Group Policy.

There are three sets of policies that EMET exposes. Below is a description of each. More information can be found at the policy editor for each policy.
1. System Mitigations: Named ASLR, DEP and SEHOP, these policies are used to configure system mitigations. Please note that modifying system mitigation settings may require a reboot to be effective.
2. Default Protection Profiles: There are three: Internet Explorer, Office applications and other popular software. Protection Profiles are pre-configured EMET settings that cover common home and enterprise software. Apply these policies to enable them.
3. Application Settings: This leads to a freeform editor where you can configure any additional applications not part of the default protection profiles. The syntax is application executable name followed by an optional list of mitigations you don’t want to enable. If you don’t specify any mitigation, all seven EMET application mitigations will be enabled.

Once you enable EMET Group Policies, they will be written out to the registry at HKLM \SOFTWARE\Policies\Microsoft\EMET. To make them effective in EMET, you have to run the following command using the EMET Command Line Tool.

EMET_Conf –refresh

Please note that when you apply a Group Policy in Windows, there is often a short delay before Group Policy writes them out to the registry.
You can run this command separately, at startup or at logon time according to your deployment strategy.
To view the Group Policy controlled EMET settings, run the following command using the EMET Command Line Tool.

EMET_Conf –list

The settings controlled by Group Policy start with the ‘>’ character. In this example, we have 2 settings and the Internet Explorer one has been configured by Group Policy, while the program.exe setting has been configured either through the EMET Graphical User Interface or the EMET Command Line Tool.

It is important to note that the settings configured via Group Policy take precedence over the settings configured locally using the EMET GUI or the EMET Command Line Tool. Also, Group Policy controlled settings can only be modified or deleted via Group Policy. For example, running

EMET_Conf –delete_all

in the situation above would only delete the program.exe settings, and leave Internet Explorer settings intact.”

Wir haben aber sicherlich mehrere Computer auf denen wir EMET installieren wollen und – wie man oben sieht – müssen wir zur Übernahme des vorher konfigurierten EMET-GPO ein “EMET_Conf –refresh” auf jeder Maschine ausführen. Genau das ist die Krux.

Die Lösung ist – neben einem Startskript – das kleine Tool psexec von Sysinternals. Mark erklärt in einem Artikel die Benutzung.

Angemerkt sei hier, das “EMET-Conf –refresh” als Administrator ausgeführt werden muss.

Welche Schritte haben wir nun?

1. Herunterladen von EMET

2. Installation von EMET auf einem Referenzcomputer

3. Konfiguration des EMET-GPO:

Diese befinden sich – wie oben geschrieben – im Ordner /EMET/Deployment/Group Policy Files und müssen in den Ordner /Windows/PolicyDefinitions kopiert oder besser in einen Central Store unter sysvol.

EMET GPO

Weiterlesen

21. September 2012 Posted by | Lessons learned: Notes from the field | , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Verteilen von EMET via Gruppenrichtlinien