Verschiebung von VM in ActiveDirectory OU scheitert

Eine der Stärken von VDI Lösungen ist die schnelle Bereitstellung von VMs und deren automatische Registrierung im ActiveDirectory. Der hier beschriebene Fall bezieht sich auf ZeroClient VMs (ehemals Panologic), trifft aber auch auf andere Lösungen wie VMware Horizon View, oder Citrix XenDesktop zu.

Autodeployment

Erstellt man VMs mittels Autodeploy, kann man diese dabei in eine entsprechende OU des Active-Directory verschieben lassen. Im Fall einer Panologic Umgebung funktionierte dies lange Zeit problemlos. Nach Neugestaltung der OU wurden VMs aber nicht mehr in der richtigen OU abgelegt, sondern landeten in der OU “Computers”. Grund hierfür waren fehlende Rechte auf die OU für das Dienstkonto, welches die Verteilung erledigt.

PanoOUPermission01Folgende Rechte müssen gesetzt werden:

PanoOUPermission02Wird die Verteilung im Kontext des Domänen Admins ausgeführt (nicht empfohlen), so tritt das Problen natürlich nicht zu Tage. Hier wurde korrekterweise ein eigenständiges Dienstkonto für den Panomanager verwendet. Dieses hatte aber keine Berechtigung zur Objekterstellung in der Ziel-OU.

ZeroClient: Warnmeldung beim Einschalten

Beim Einschalten eines Zeroclients erscheint häufig die Meldung, daß die Sitzung unerwartet getrennt wurde. Das ist für den Anwender verwirrend, da dieser sehr wahrscheinlich seine Sitzung ordentlich getrennt hatte.

Man kann diese Meldung verhindern, indem man am ZeroClient Controller (ZCC) eine kleine Änderung vornimmt.

Es muss ein Parameter in der server.xml verändert werden.

/opt/atto/broker/conf/server.xml
<Parameter name="trueclient.show.orphan.message" value="false">

(Default Value “true”)

 

Office 2013 Setup vs. Pano DirectService

PanoDirect Service stört Installation von Microsoft Office 2013 auf Windows7

Manchmal möchte man nur eine Kleinigkeit verändern (meistens verbessern) und endet in einem Scherbenhaufen. That’s IT. 🙂

So passierte es kürzlich, als ich das Template einer Zero-Client Umgebung anpassen wollte. Die Aufgabe war einfach: Microsoft Office 2010 deinstallieren und danach Office 2013 installieren. Kurz nach dem Start des 2013 Setups wurde ich mit dieser Fehlermeldung konfrontiert:

Microsoft Setup Bootstrapper funktioniert nicht mehr

PanoBootstrapper01

Wer ist der Täter?

Das kann zunächst viele Gründe haben und man vermutet ein beschädigtes Template, ein defektes ISO, störende Fremdsoftware, VDI Optimierungen oder ähnliches. Ich habe daher eine neues Template erstellt (Neuinstallation Windows7 x64 sp1 de). Es wurden alle Microsoft Patches (Dezember 2012) installiert.

An dieser Stelle leistete ein Snapshot gute Dienste. Zunächst versuchte ich Office 2013 direkt in das frische Windows zu installieren. Das gelang ohne Probleme. [zurück zum Snapshot] Danach installierte ich die Panotools (PanoDirect Service 6.0.1) und versuchte erneut eine Office Installation und endete im oben beschriebenen Fehler. Folglich gibt es ein Problem zwischen PanoDirect Service und Office 2013.

Troubleshooting

Einstellungen der VM:

  • Windows 7 x64 Enterprise deutsch sp1
  • alle Microsoft Patches installiert
  • VMware Tools installiert 9.0.0 782409
  • Keine Domäne, keine Gruppenrichtlinien (WORKGROUP)
  • kein Virenscanner
  • keine VDI Optimierung
  • keine weitere Software

Ich nutzte den Snapshot und wiederholte die Prozedur mit mehreren Versionen von PanoDirect Service und Office 2013. Alle schlugen fehl.

  • PanoDirect 6.0.1 25582 – Fehler
  • PanoDirect 6.0.2 26366 – Fehler
  • PanoDirect 6.5.beta2 – Fehler

Auch ein Wechsel des Office Builds brachte keinen Erfolg.

  • Microsoft Office 2013 ProPlus x86 Build 1134027 – Fehler
  • Microsoft Office 2013 ProPlus x86 Build 1149743 – Fehler
  • Microsoft Office 2013 ProPlus x64 Build 1149743 – Fehler

Dienst anhalten – ohne Erfolg

Einfach den PanoDirect Service anhalten hilft in diesem Fall leider nicht.

Office 2010

Mit Office 2010 gab es dagegen keinerlei Probleme bei der Installation, auch wenn PanoDirect bereits installiert ist.

Workaround

Ich mag dieses Wort nicht. Es deutet immer auf eine unbefriedigende Lösung, aber immerhin auf eine funktionale.

Installiert man zuerst Microsoft Office 2013 und danach PanoDirect Service, funktioniert alles. Falls PanoDirect bereits installiert ist, kann man diesen Dienst entfernen, Office installieren und anschließend PanoDirect wieder installieren. Auch dieser Weg ist praktikabel.

Installiert, aber ohne Funktion

Dann funktioniert zwar die Installation, aber nach Installation des PanoDirect Service lässt sich keine Komponente von Office 2013 starten.

PanoBootstrapper02
Folglich muß von einer generellen Unverträglichkeit zwischen Office 2013 und den Panologic Tools ausgegangen werde. Die Nachforschungen laufen. Ich werde berichten, falls es hierfür neue Erkenntnisse geben sollte.

ZeroClient: Firewall Regeln für DirectService im Domänenprofil

Einer meiner letzten Artikel beschäftigte sich mit der Abschaltung der Windows Firewall im Domänenprofil bei der Ableitung von der VM Vorlage. Die Abschaltung ist nicht unbedingt die Methode der Wahl, wenn im Unternehmen entsprechende Sicherheitsvorgaben festgelegt sind. In gleicher Weise lassen sich aber gezielt Firewall Ports öffnen. „ZeroClient: Firewall Regeln für DirectService im Domänenprofil“ weiterlesen