Seite 2 von 5

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 09 Sep 2016, 16:33
von mdecker
Update: Auf einem zweiten Testrechner lässt sich das Problem auch nicht durch Deintallation/Neuinstallation des Agent beheben. Das Problem bleibt das gleiche. Weitere Logs werden ebenfalls nicht geschrieben. Nur der Loginblocker loggt einen Timeout.

Aus irgendeinem Grund scheint Port 4441 geöffnet zu werden, ohne dass wirklich eine Anwendung dahinter hängt...

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 10 Sep 2016, 01:38
von hennoa
mdecker hat geschrieben:Update: Auf einem zweiten Testrechner lässt sich das Problem auch nicht durch Deintallation/Neuinstallation des Agent beheben. Das Problem bleibt das gleiche. Weitere Logs werden ebenfalls nicht geschrieben. Nur der Loginblocker loggt einen Timeout.

Aus irgendeinem Grund scheint Port 4441 geöffnet zu werden, ohne dass wirklich eine Anwendung dahinter hängt...
Hast du mal versucht den Agent per Remote deploy vom Server aus zu bestücken? Das hat bei mir geholfen und den Client wieder funktionsfähig gemacht. Allerdings muss die Zertifikat Prüfung für den Client deaktiviert sein, sonst bleibt er doch wieder hängen.

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 08:52
von ueluekmen
Hi,
mdecker hat geschrieben:Wenn ihr das nicht ohne Support-Vertrag lösen wollt
das ist etwas falsch ausgedrückt. Es gibt kein Problem welches wir nicht lösen wollen. Es gibt aber Probleme, die sind schwer hier im freien Support zu lösen.
hennoa hat geschrieben:bei einem Paketupdate die Zertifikate einfach mal eben ausgetauscht werden
Werden Sie normalerweise auch nicht. Deshalb gehen wir der Sache auch nach. Das kam jetzt zum ersten mal vor, dass anscheinend beim Update die Zertifikate erneuert wurden. Normalerweise ist das kein Verhalten, was wir beobachtet haben. Normalerweise wird das Zertifikat nur erstellt, wenn es nicht existiert oder manuell neu erstellt wird. Da auch keine Prüfung drin ist, die darauf reagieren würde, wenn das Cert abgelaufen ist, verstehen wir im moment auch nicht, warum das Cert zum Teil neu erstellt wurde. Es wurde auch nicht bei jedem neu erstellt.
hennoa hat geschrieben:Über WAN wäre es für mich ein no-go.
Über WAN ist auch nur verify_server_cert_by_ca zu empfehlen und nicht das einfache verify_server_cert. Das Verfahren ist auch nicht so anfällig, wie das einfache verify_server_cert.

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 10:14
von hennoa
Ok soweit so gut und verstanden.

Jetzt sind wir aber was das Problem des "Hängens" angeht nur teilweise weitergekommen. Es ist klar, dass es irgendwie mit der Option verify_server_cert zusammenhängen muss. Schaltet man die Option aus, funktioniert es.

Das Zertifikat ist auch gültig, wenn auch wie in meinem Fall selbst signiert. Ist hier vielleicht der Fehler zu suchen? Wobei ein Zertifikatsfehler ja dann nicht zum Stillstand des Client führen sollte, war ja auch nach der Erneuerung der Zertifikate mit dem alten Client auch nicht so.

Kann ich das Client log irgendwie noch detaillierter gestalten / einstellen? Vielleicht sieht man ja doch noch eine aussagekräftige Fehlermeldung?

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 10:29
von mdecker
Welche Zertifikate werden denn deiner Meinung nach ausgetauscht? Ich konnte das jetzt noch nicht beobachten.

verify_server_cert auszuschalten hat in der Tat funktioniert: Die Verbindung mit dem Server klappt danach. Der Server pusht dann halt wieder verify_server_cert = True, weil ich das so konfiguriert habe und beim nächten Start ist es wieder kaputt.

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 10:33
von hennoa
mdecker hat geschrieben:Welche Zertifikate werden denn deiner Meinung nach ausgetauscht? Ich konnte das jetzt noch nicht beobachten.

verify_server_cert auszuschalten hat in der Tat funktioniert: Die Verbindung mit dem Server klappt danach. Der Server pusht dann halt wieder verify_server_cert = True, weil ich das so konfiguriert habe und beim nächten Start ist es wieder kaputt.
Es gibt ja für Opsi nur das Opsi eigene Zertifikat, entweder selbst signiert über den integrierten Assistenten oder manuell eingestetzt, weil man ein Zertifiakt von einer echten CA einsetzt.

Das Zertifikat liegt unter /etc/opsi/opsiconfd.pem

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 10:50
von mdecker
hennoa hat geschrieben: Es gibt ja für Opsi nur das Opsi eigene Zertifikat, entweder selbst signiert über den integrierten Assistenten oder manuell eingestetzt, weil man ein Zertifiakt von einer echten CA einsetzt.

Das Zertifikat liegt unter /etc/opsi/opsiconfd.pem
Du meinst also das Server-Zertifikat ist beim Update auf 4.0.7 erneuert worden? Das ist bei mir definitiv nicht passiert. Allerdings war mein Zertifiakt schon ewig abgelaufen, was den Client aber nie gestört hat (und ich es demzufolge auch nicht bemerkt habe). Mit 4.0.7 gab es dann auch mit dem alten Client Validierungsfehler. Auf meinen Client-Rechnern habe ich dann entsprechend das gespeicherte Zertifikat zurückgesetzt, womit alle 4.0.6er-Agenten wieder lauffähig waren. Ich sehe da keinen offensichtlichen Zusammenhang zu den Hängern des neuen Client-Agent.

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 11:14
von hennoa
mdecker hat geschrieben:
hennoa hat geschrieben: Es gibt ja für Opsi nur das Opsi eigene Zertifikat, entweder selbst signiert über den integrierten Assistenten oder manuell eingestetzt, weil man ein Zertifiakt von einer echten CA einsetzt.

Das Zertifikat liegt unter /etc/opsi/opsiconfd.pem
Du meinst also das Server-Zertifikat ist beim Update auf 4.0.7 erneuert worden? Das ist bei mir definitiv nicht passiert. Allerdings war mein Zertifiakt schon ewig abgelaufen, was den Client aber nie gestört hat (und ich es demzufolge auch nicht bemerkt habe). Mit 4.0.7 gab es dann auch mit dem alten Client Validierungsfehler. Auf meinen Client-Rechnern habe ich dann entsprechend das gespeicherte Zertifikat zurückgesetzt, womit alle 4.0.6er-Agenten wieder lauffähig waren. Ich sehe da keinen offensichtlichen Zusammenhang zu den Hängern des neuen Client-Agent.
Das war auch so nicht gemeint. Ich kann mir vorstellen, dass an der Validierung gearbeitet wurde und daher die Idee, ob es vielleicht an einem selbstsignierten Zertifikat mit den neuen Agent liegt. Ich habe allerdings auch kein öffentliches Zertifikat für mein System mit dem ich es testen könnte.

Was den Austausch des Zertifikats am Server angeht so wurde ja bereits bestätigt, dass dieses Verhalten schon beobachtet wurde, aber nicht immer und bei jedem sondern eben nur vereinzelt. Gut Schwamm drüber, sofern es nicht wieder vorkommt.

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 12 Sep 2016, 13:20
von mdecker
Ok, ist dann vielleicht ein eigenes Problem. Aber ich habe den Verdacht, dass das Verhalten des Client-Agent 4.0.7 auch wirklich rein auf der Client-Seite ist...

Re: opsi-client-agent 4.0.7 hängt sich auf

Verfasst: 14 Sep 2016, 09:58
von n.wenselowski
Hi,
hennoa hat geschrieben:Kann ich das Client log irgendwie noch detaillierter gestalten / einstellen? Vielleicht sieht man ja doch noch eine aussagekräftige Fehlermeldung?
Du kannst das Loglevel des Clients erhöhen. Mit Level 8 sieht man hier fast alles (außer Passwörter).
Die Verification findet startet auf Clientseite, wo ein zufälliger Text mit den Daten aus dem Cert verschlüsselt und an den Server gesendet werden. Dieser entschlüsselt und schickt dann den Text wieder zurück an den Client.

Was ich mich frage ist welche Konstellation ihn hier dermaßen lahmlegt, dass er sich aufhängt.
Da hier Umbauten gemacht wurden haben wir verschiedene Zertifikats-Konstellationen getestet. Wenn ihr die Zertifikate selbst erstellt, wie macht ihr das?


Gruß

Niko