In einem aktuellen Projekt soll eine neue Remote Desktop-Umgebung aufgebaut werden, die an eine AD-Emulation von Novell angebunden wird. Diese „Domain Services for Windows“ stellen ein AD auf Basis des 2003er-Standards bereit, das über SLES11 OES2 betrieben wird.
Im Projekt gibt es 3 Domain-Controller, die bei genauerer Betrachtung auch sehr fragwürdig agieren. Das sysvol wird in diesem Szenario per msdfs/samba von den ADCs jeweils auf den PDC verlinkt. Eine Ausfallsicherheit ist damit trotz der mehrfachen DCs nicht gegeben. Mit dieser Einschränkung können wir im Projekt umgehen. Zusätzlich wird auf den Session Hosts (Windows 2012 R2) auch noch der Novell Client benötigt, der Zugriffe auf die Freigaben innerhalb der NSS-Volumes ermöglicht.
Einfach ausgedrückt, es soll eine RD-Umgebung mit Novell eDirectory + DSfW aufgebaut werden, auf der logischerweise auch ein Zugriff auf die Novell-Netzfreigaben möglich sein soll.
Bei ersten Tests fiel auf, dass die Gruppenrichtlinien bei Anmeldung in nicht nachvollziehbarer Weise nicht erreichbar waren. Nach weiterer Analyse stellte sich heraus, dass der DFS-Link für sysvol nicht korrekt funktionierte. Werden alle ADCs abgeschaltet ist sysvol aber zuverlässig erreichbar. Zu diesem Fall wurde der Novell Support hinzugezogen, die Odyssee nahm ihren Lauf…
Nach mehreren Tagen Wartezeit und viel Analyse bekamen wir die Rückmeldung von Novell Engineering, dass diese Konstellation nicht unterstützt wird. DSfW + Novell Client sei nicht für Server, sondern nur für Workstations freigegeben. Ein Workaround bzw. ein Lösungsansatz wurde nicht geliefert.
Wie schon häufig bei Novell-Produkten stellt sich mir die Frage, warum gute Ansätze nicht komplett durchdacht werden. Schon mehrmals konnten augenscheinlich gute Lösungen nicht implementiert werden, weil ein Produkt fehlerhaft ist oder nicht wie vorgesehen funktioniert. Der bisherige Höhepunkt ist mit diesem Projekt erreicht, das Fazit: man kann keine RD-Lösung in einer totalen Novell-Umgebung aufbauen.
Schade, die Möglichkeit per DSfW ein eDirectory als AD zu nutzen klang verlockend. Bei der anstehenden Reorganisation der Netzfreigaben wird mit Sicherheit darüber nachgedacht werden, ob man nicht mit „herkömmlichen“ NT-Rechten die bestehende Struktur abbilden kann.
Verstehe ich nicht warum man das DsfW einrichtet und dann auf die nss volumen per Novell Client zugreifen will?
Wir haben das ganze seit mehreren Jahren erfolgreich am laufen und auch bei Kunden im Einsatz ohne nennenswerte Probleme!
Zudem ist der Novell (Micro Focus) Support super man braucht halt einen Support Vertrag! Aber ohne den bekommt man bei Microsoft auch keine Antwort! Wir haben vor kurzem einen call gehabt der innerhalb von 2 Stunden erledigt war!
Wir werden weiterhin diese Produkte anbieten da sie äuserst Stabil sind!
Sehr geehrter Herr Knill,
vielen Dank für Ihr Feedback. Gerne möchte ich auf einige Punkte eingehen. Zugriff auf NSS war im Konzept notwendig, um weiterhin Netware-Volumes von alten 6.5ern einzubinden. Zudem kann die Rechtemodellierung, die unter NSS zugegebenermaßen auch mit OES deutlich flexibler ist als ReFS oder NTFS, nur über den Novell Client genutzt werden. Es spricht also einiges dafür, NSS auch in moderner DSfW-Architektur zu nutzen. Das Problem war hier nicht NSS, sondern die Inbetriebnahme auf RDSH Version 2012 R2. Das ganze kombiniert mit Hochverfügbarkeit und Clusterkonfigurationen über verschiedene Plattformen und Standorte hinweg war weder funktionell, stabil noch performant. Vom Kompatibilitätsaspekt zu beispielsweise GP+WMI-Filter oder SSO per AD FS für Azure und O365 ganz zu schweigen.
Natürlich bestehen Support-Verträge mit MicroFocus und wir stehen auch häufig in Kontakt mit Engineering. Allerdings sind meine Erfahrungen hier auch eher durchwachsen. Gut unterstützt wird z.B. meistens ZENworks und GroupWise, bei Vibe, IDM und DSfW oder auch den Sync-Engines können durchaus mehrere Tage vergehen, bis der SR überhaupt angenommen wird.
Letztendlich ist meine Message in diesem Blog Post die Erkenntnis, dass ein evtl. brauchbarer Lösungsansatz in komplexen modernen Szenarien auf Grund schlechter Umsetzung des Herstellers nicht einsetzbar ist. Ich spreche natürlich niemandem ab, diese Produkte einzusetzen.
VG, Daniel Kaeppeler