Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Antworten
abruening
Beiträge: 15
Registriert: 06 Feb 2019, 15:34

Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von abruening »

Habe gerade auf meiner Windows-VM ein Upgrade von OPSI-Client-Agent ausgeführt. Wir verwenden das zugekaufte WAN-Modul, ich habe die Installation darüber gestartet.Weiß nicht, ob das selbe Resultat auch ohne WAN-Modul möglich ist, war jedenfalls nicht als Administrator angemeldet.

Während der Installation konnte der Installer VC++ 2019 nicht finden und öffnete einen Dialog, in dem ein neuer Pfad eingegeben werden kann. Mittel Durchsuchen-Dialog kann daraus cmd.exe als nt-autorität/system ausgeführt werden.

Bild
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von Jan.Schmidt »

Hi,

das ist aber maximal unschön...!

(auch das deine Frage / Hinweis so versteckt und unbeantwortet ist)

Kannst du das bitte nochmal nachvollziehen?

Ich verstehe folgendes:
Du nutzt das Wan Modul und schreibst es war keiner als Admin angemeldet.
DUch schreibst auch was vonNetzwerkproblem.

Wenn du das Wan Modul benutzt, dann ist da eh niemand angemeldet - außer du hast zwar das Wan Modul aktiv, aber ein on demand von irgendwo angestossen.

Soweit so egal, weil das Problem ja eigentlich woanders herkommt.

Im OPSI Client Paket liegt eine exe, die wird gestartet - die will aber ein msi und sucht die.

Leider hab ich grad keinen frischen Rechner ohne vc-redist /opsi client. Es kann nur so sein, dass die exe das msi entpackt - aber das kann ich nicht nachvollziehen.
Ohne das nachvollziehen zu können, kann man aber auch keine Änderung am script vornehmen, die "dein" Problem vorher abfängt.
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von ueluekmen »

Hi,

diesen Thread hat anscheinend noch keiner wahrgenommen. Wir gehen der Sache gerne nach. Kannst du kurz noch was über die verwendete opsi-client-agent Version sagen? Dann mache ich ein internes Ticket auf.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
abruening
Beiträge: 15
Registriert: 06 Feb 2019, 15:34

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von abruening »

ueluekmen hat geschrieben:Hi,

diesen Thread hat anscheinend noch keiner wahrgenommen. Wir gehen der Sache gerne nach. Kannst du kurz noch was über die verwendete opsi-client-agent Version sagen? Dann mache ich ein internes Ticket auf.
Das war die zu der Zeit aktuelle Stable-Version, denke mal 4.1.1.30 oder die davor.
abruening
Beiträge: 15
Registriert: 06 Feb 2019, 15:34

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von abruening »

Jan.Schmidt hat geschrieben:(auch das deine Frage / Hinweis so versteckt und unbeantwortet ist)
Ich habe nach einer Mailadresse o. Ä. für Sicherheitshinweise gesucht, aber nur das Forum gefunden.
Jan.Schmidt hat geschrieben:Wenn du das Wan Modul benutzt, dann ist da eh niemand angemeldet - außer du hast zwar das Wan Modul aktiv, aber ein on demand von irgendwo angestossen.
Genau, in dem Fall habe ich das über den Notifier gemacht, der Nutzer hat aber keine Admin-Rechte.
Jan.Schmidt hat geschrieben:Leider hab ich grad keinen frischen Rechner ohne vc-redist /opsi client. Es kann nur so sein, dass die exe das msi entpackt - aber das kann ich nicht nachvollziehen.
Ohne das nachvollziehen zu können, kann man aber auch keine Änderung am script vornehmen, die "dein" Problem vorher abfängt.
Ins Blaue würde ich raten, dass das Problem darin besteht, dass MSI oder EXE nicht Silent aufgerufen werden, sondern ein GUI anzeigen dürfen. Daher der Splashscreen und dann, als mein VPN kurz weg war, auch der Öffnen-Dialog, über den ich ausbrechen konnte. Würde dann auch ohne WAN-Modul klappen, wenn jemand im rechten Moment den Stecker zieht.
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von ThomasT »

Hallo zusammen,

ich habe das gerade versucht mit einer VM nachzuvollziehen. Leider ist mir das nicht gelungen.
Ich habe den Opsi-Client-Agent 4.1.1.32-1 benutzt.
Dabei habe ich den OPSI-Client-Agent Cachen lassen, dann bei Reboot-Aufforderung den "Stecker" getrennt und rebootet. Daraufhin installiert er ganz normal den Opsi-Client-Agent vom Cache aus. Es hängt also nicht am WAN-Modus, wie du schon vermutet hast

Die zugrunde liegende Ursache ist, dass der Installer mit NT-Authority\System ausgeführt wird und einen Dialog anzeigt, sollte dieser nicht unterbunden sein.
Wenn man während dem Ausführen eines On-Demand Events willkürlich das Netzwerkkabel zieht, dann geht einem tatsächlich leider so einiges kaputt. In der Tat hilft gerade dann das WAN-Modul, da hier durch das Caching sichergestellt wird, dass die benötigten Dateien vollständig da sind.
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von Jan.Schmidt »

ob mit oder ohne gui ist da das Problem nicht.
Im einen Fall kannst du aubrechen/ Sicherheitstechnisch extrem ungut im anderen Fall würde der installer gnadenlos warten bis zum Sankt Nimmerleinstag.

"Auch" wenn ich bei den DFN Paketen immer dazu geraten habe, "schaut, ob ein WAN Modul aktiv ist - bevor Ihr die Daten auf den Client kippt" und weil das OPSI CLient Paket extrem klein ist - würde ich dazu raten, das der client egal wo und wie der läuft immer seine Hilfswerkzeuge auf den Client kopiert und die installation dann lokal ausführt.
abruening
Beiträge: 15
Registriert: 06 Feb 2019, 15:34

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von abruening »

Habe den Fehler jetzt noch mal bekommen, dieses Mal gab es, soweit ich es sehen kann, kein Netzwerkproblem. Der Pfad in dem nach "vcRuntimeMinimum_x64.msi" gesucht wird ist

Code: Alles auswählen

C:\ProgramData\Package Cache\{7DC387B8-E6A2-480C-8EF9-A6E51AE81C19}v14.24.28127\packages\vcRuntimeMinimum_amd64\
Benutzeravatar
n.doerrer
uib-Team
Beiträge: 267
Registriert: 23 Okt 2020, 16:11

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von n.doerrer »

Hallo,

vielen Dank für die Meldung. Das Problem wird im 4.2-Zweig behoben (ist 4.1 kompatibel).
abruening
Beiträge: 15
Registriert: 06 Feb 2019, 15:34

Re: Netzwerkproblem währen Update von Client-Agent erlaubt Zugriff auf CMD als System

Beitrag von abruening »

Das vcredist-Problem ist auf meiner Test-VM leider bei den letzten beiden Updates noch mal aufgetreten. Nichts besonderes im Log.
opsi_root.png
opsi_root.png (104.93 KiB) 1210 mal betrachtet

Code: Alles auswählen

(1285)    [6] [2021-12-20 11:16:32.612] [opsi-client-agent] ~~~~~~~ Start Sub ~~~~~~~  Sub_install_vcredist
(1286)    [5] [2021-12-20 11:16:32.614] [opsi-client-agent] comment: Installing vcredist
(1287)    [5] [2021-12-20 11:16:32.614] [opsi-client-agent] message Installing vcredist
(1288)    [6] [2021-12-20 11:16:32.617] [opsi-client-agent] DisableWow64FsRedirection succeeded
(1289)    [5] [2021-12-20 11:16:32.619] [opsi-client-agent] ShellCall Executing: "C:\WINDOWS\system32\\cmd.exe" /C ""b:\opsi-client-agent\files\vcredist\VC_redist.x86.exe" /install /passive /norestart"
(1290)    [6] [2021-12-20 11:17:26.168] [opsi-client-agent] ExitCode 0
(1291)    [7] [2021-12-20 11:17:26.168] [opsi-client-agent] output:
(1292)    [7] [2021-12-20 11:17:26.168] [opsi-client-agent] --------------
(1293)    [7] [2021-12-20 11:17:26.168] [opsi-client-agent] 
(1294)    [6] [2021-12-20 11:17:26.168] [opsi-client-agent] RevertWow64FsRedirection succeeded
(1295)    [6] [2021-12-20 11:17:26.174] [opsi-client-agent] If
(1296)    [7] [2021-12-20 11:17:26.183] [opsi-client-agent]   GetSystemType = "64 Bit System"   <<< result true
(1297)    [6] [2021-12-20 11:17:26.183] [opsi-client-agent]   (GetSystemType = "64 Bit System")   <<< result true
(1298)    [6] [2021-12-20 11:17:26.183] [opsi-client-agent] Then
(1299)    [6] [2021-12-20 11:17:26.184] [opsi-client-agent]   DisableWow64FsRedirection succeeded
(1300)    [5] [2021-12-20 11:17:26.196] [opsi-client-agent]   ShellCall Executing: "C:\WINDOWS\system32\\cmd.exe" /C ""b:\opsi-client-agent\files\vcredist\VC_redist.x64.exe" /install /passive /norestart"
(1301)    [6] [2021-12-20 11:24:04.387] [opsi-client-agent]   ExitCode 1603
(1302)    [7] [2021-12-20 11:24:04.388] [opsi-client-agent]   output:
(1303)    [7] [2021-12-20 11:24:04.388] [opsi-client-agent]   --------------
(1304)    [7] [2021-12-20 11:24:04.388] [opsi-client-agent]   
(1305)    [6] [2021-12-20 11:24:04.388] [opsi-client-agent]   RevertWow64FsRedirection succeeded
(1306)    [6] [2021-12-20 11:24:04.391] [opsi-client-agent] EndIf
(1307)    [6] [2021-12-20 11:24:04.394] [opsi-client-agent] 
(1308)    [6] [2021-12-20 11:24:04.394] [opsi-client-agent] ~~~~~~~ End Sub   ~~~~~~~  Sub_install_vcredist
Antworten