PUSH über SubDepot Server möglich?

[iwan]

Wir haben Empirum 2005 PFP in einer W2K3 Umgebung mit mehreren Windows-Domänen, Subnetzen etc im Einsatz.

Folgendes Szenario:
Subnetz 1 : Emp-MasterServer+DB-Server
| Firewall |
Subnetz 2: SubDepotServer+PXE-Dienst+Clients

Wenn man einen PUSH in einer Emprium MMC absetzt, kommt das "sent PUSH" vom MasterServer (laut DebugView), der kann/darf aber die Clients in Subnetz 2 nicht erreichen (Failed to send push to Client:..)
.
Ist es möglich, die Konfiguration so zu ändern, dass das "sent PUSH" für die Clients in Subnetz 2 vom SubDepotServer in Subnetz 2 kommt?

Das gleiche Problem tritt auch beim Versuch einen Agenten aus der Agent-Verteilung auszurollen.

Sonst läuft alles korrekt.

[Hendrik_Ambrosius]

PUSH: Den Activation-Dienst auf dem SubDepot-Server installieren.

Agent-Verteilung: Eine Empirum Management Console auf dem Subdepot-Server installieren und von dort per Fernsteuerung die Agents pushen. Damit die Agenten-Dateien nicht immer vom Master geholt werden kann man auch das configurator\user-Directory lokal kopieren und dann den Pfad in der Datenbank anpassen:

Options\DistMSourcePath
von: \\server\configurator$\user
zu: c:\empirum\configurator\user

[S.Beckmann]

Wir haben ein ähnliches Problem. Wir haben aber sicher mehrere Subnetze, welche alle durch eine Firewall geschützt sind. Ausserdem werden die unterschiedlichen Netze nicht geroutet werden können. Es wird nie eine direkte Verbindung zwischen Empirumserver und dem Client geben, nur eine Kommunikation über den Depot- Server. Mit PXE funktioniert das ohne Probleme. Nur ein WoL oder ein PUSH wird so nie gehen.

Gibt es hier eine Idee? Denn ich denke in eine solche Richtung geht es doch?! Es sollte wie mit dem PXE- Dienst möglich sein, den WoL und das PUSH auf die Depot- Server zu verteilen? Die Depotserver sieht den Masterserver, die Clients den Depotserver. Und so ist dann alles machbar, was eine solche Netzwerktopologie erschwert.

Gibt es für das eine Idee? Ich kann doch nicht auf jedem Depot den Activation- Dienst installieren? Und wenn doch, was ist alles zu tun?

[Hendrik_Ambrosius]

Es wird bei der nächsten Empirum Agent Generation die Möglichkeit geben, dass die Clients per http-Abfrage checken ob Verteilaufträge anstehen. Da dies noch weniger Netzlast als die herkömmliche DDC-Abfrage verursacht wäre dies vielleicht eine gute Alternative.

[S.Beckmann]

Löst aber unser Problem noch nicht ganz! WoL und Push würde immer noch nicht gehen... Den das Problem ist das Magic- Paket für WoL und UDP für Push...

Ausserdem sollte man diese drei Dienste skalieren können, so ala DNS.

Beispiele:
-----------
Der KundeA hat mehrere Standorte. Am dem StandortA sind noch die Standorte B und C angeschlossen.

PXE:
Dammit ich die Last reduzieren kann, wäre es doch genial, wenn der PXE- Dienst auf dem DepotServer im StandortC den Depotserver im StandortA anfragen würde, und der DepotServer im SatndortA dann den MasterServer beim Dienstleister fragen würde, und dann das Feedback geben könnte. Ev. einen kleinen lokalen Cache, der mit einem Interwall konfiguriert werden könnte...

WoL:
Auf den DepotServer sind WoL- Dienste installiert, welche in regelmässigen Abständen beim nächsten übergeordneten DepotServer oder im StandortA dann den MasterServer, nachfragen.

Push:
Auf den DepotServer sind Push- Dienste installiert, welche in regelmässigen Abständen beim nächsten übergeordneten DepotServer oder im StandortA dann den MasterServer, nachfragen.

Ich rede hier nicht primär vom Agenten, und ich glaube iwan auch nicht. Uns geht es mehr darum, dass wir sehr komplexe Netze haben, mit Firewals, und z.T. auch Netze die sich einander auf keinen Fall sehen dürfen, zu mindest bei uns.

[Hendrik_Ambrosius]

Ich meinte damit nur, dass man den Polling-Intervall ERHEBLICH kürzer setzen kann und damit einen Quasi-Realtime-Push hat.

Die Kaskadierung wie von Ihnen beschrieben halte ich für kritisch, weil dieses Durchreichen von Informationen wahrscheinlich zu lange dauert. Gerade bei PXE, wo es auf ein paar Sekunden beim Booten ankommt ob der PC das Setup fortsetzt oder mit "Partition nicht gefunden" hängen bleibt.

WOL könnte gehen, ist aber bei entsprechender Switch-Konfiguration (Remote-Port) nicht notwendig.

Push: Könnte Sinn machen.

[S.Beckmann]

PXE:
Desshalb auch der Idee mit dem Cache. Wir müssen eine Lösung haben, um mehrere PXE- Server in einem entfernten, und nicht von uns sichtbaren Netz zu betreiben. Wir haben genau einen Server der wie ein Proxy funktioniert...

WOL:
Wie ist das zu verstehen. Kenne mich da wohl noch nicht genug aus . Kann man diesen Remote- Port benutzen, auch wenn eine Firewall dazwischen ist und die Netze nicht geroutet werden?

Push:
Sehr schön, schon mal einen Punkt erledigt

[Hendrik_Ambrosius]

PXE: d.h. der remote Proxy-Service wickelt den gesamten Bootprozess bis nach dem zweiten Reboot selbständig ab und gibt dann nur eine Message ganz zum Schluss an die Datenbank? Wäre sicherlich möglich. Rege ich mal an.

WOL: Genau. Man könnte, bei entsprechender Konfiguration, sogar PCs über das Internet aufwecken.

Push: Werde ich anregen - aber ob es dann umgesetzt wird hängt von vielen weiteren Faktoren ab.

[drmark]

Hallo miteinander,

wir sind dabei, einen Subdepot-Server in unserer DMZ aufzusetzen. Dabei bin ich auf diesen Thread gestoßen, weil wir gerade vor dem Problem stehen, den Advanced Agent auf die in der DMZ angeschlossenen PCs zu bekommen.
Hat sich in dieser Hinsicht in den letzten 4 Jahren etwas weiterentwickelt? Kann man einen "Agent Push" in der EMC im LAN absetzen, den dann der Subdepot-Server in der DMZ ausführt?

Vielen Dank und Gruß

Mark

[Hendrik_Ambrosius]

Nein, da hat sich nichts geändert.
Wie wäre ein Rollout via Gruppenrichtlinie/Login-Script?
Optional habe noch Scripts liegen die das via PSEXEC auf Basis von PC-Namen oder Ip-Adressen machen - müßten aber wohl angepasst und überarbeitet werden.

[drmark]

Hallo Herr Ambrosius,

herzlichen Dank für die Antwort.
Wir kriegen das dann selbst hin.

Beste Grüße

MM