einmalig temporäres Profil nach Installation von Paketen bei Win 8.1

[feltel]

Ich hab hier ein etwas kniffeliges Problem, bei dem ich nicht so recht weiß, wo ich ansetzen kann. Ich habe unser bestehendes Netz mit einem OPSI-Server erweitert und auf die Client-Maschinen den OPSI-Client installiert. Soweit alles schick. Rolle ich jetzt irgendein Paket auf eine Windows 8.1-Maschine aus, und im Anschluss meldet sich dann ein User an, so erhält er die Meldung, das die Anmeldung mit einem temporären Profil erfolgte, so als wäre sein Userprofil kaputt. Loggt er sich aus und wieder ein, dann ist alles wieder wie gewohnt, und er hat sein Profil, seine Files und Einstellungen. Das ganze passiert seltsamerweise nur auf den 8.1-Kisten; auf Windows 7-Maschinen konnte ich das bisher nicht beobachten.

Im Eventlog wird folgender Fehler geloggt:

Die Registrierung konnte nicht geladen werden. Dieses Problem wird oft durch zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht.

Details - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
for C:\Users\max.mustermann\ntuser.dat

Die Event-ID ist die 1508 von der Quelle User Profile Service. Danach kommen noch die Event-IDs 1509 ""C:\Users\max.mustermann\ntuser.dat" konnte nicht geladen werden.", die ID 1502, 1515 und 1511, die sich alle auf den besagten Umstand beziehen.

Es scheint auch egal zu sein, welches Paket ich ausrolle. In diesem Fall hier war es Firefox. Ich habe schonmal testweise nach der Installation die Kiste heruntergefahren (via shutdownwanted), und den User dann die Maschine anschalten lassen. Auch dann tritt der Fehler auf, also kann es mMn auch kein Programm/Service sein, der die Datei offen hält. Die Benutzer gab es vor dem OPSI-Rollout schon auf den Maschinen.

In einem zweiten, völlig separaten Netz, was schon etwas länger läuft, habe ich ebenfalls Windows 8.1-Maschinen. Dort tritt der Fehler nicht auf. Der einzige Unterschied ist, das dort bevor überhaupt jemand mit dem Maschinen in Berührung kam der OPSI-Client schon drauf war, da er direkt nach der Systeminstallation als erstes installiert wurde.

Hier mal ein paar technische Details zu meinem Setup:
- aktueller OPSI-Server auf einer Debian Wheezy-Installation in einer ESXI-VM
- OPSI und Clients hängen im selben LAN und IP-Subnetz
- Windows 8.1 Pro x64, voll durchgepatcht, keine Hersteller-Vorinstallation, sondern saubere Installation von OEM-Datenträger
- Windows Server 2012-Domäne
- Windows 8.1-Quickstart-Funktion per GPO deaktiviert, OPSI-Client kommt also bei jedem Systemstart hoch
- Avira Professional als Antiviren-Software
- keine Drittanbieter-Tools, die sich irgendwie in den Login-Prozess reinhängen (Smartcard-Logins z.B.)

Ein von mir gebautes Beispiel-OPSI-Paket kann ich bei Bedarf bereitstellen.

Vielleicht hat einer eine Idee, was das sein könnte, und wo man ansetzen kann.

[n.wenselowski]

Hallo,

angenommen, dass es nicht am Paket liegt: meine erste Idee wäre zu überprüfen wie sich das System verhält, wenn der Antivirus runter geschmissen wurde.
Die zweite Idee wäre dann zu prüfen, wie es aussieht, wenn das System noch nicht die Domain gejoint hat.

Verändert sich das Verhalten damit?

In dem Zusammenhang ist auch interessant welche Version des opsi-client-agent auf dem System läuft. Ich würde mindestens eine 4.0.5 empfehlen.


Gruß

Niko

[feltel]

Hallo Niko,
vielen Dank für das Feedback. Ich werde (da sowieso bei einigen ein VLC-Update ansteht) mal auf ein zwei Maschinen das Avira runternehmen und dann testen. Avira läuft hier auf schon seit Jahren und solcherlei Effekte hatte ich bisher nie. Aber Versuch macht Klug. Ich berichte.

Appropos Domainjoin. Installationsablauf war bisher immer so: Windows-Installation, automatischer Domainjoin per autounattended.xml-Funktionalität, Software händisch installieren, Zieluser meldet sich an.

Bei den Bestandsmaschinen kam jetzt halt noch hintendran die OPSI-Client-Agent-Installation. Bei zukünftigen Maschinen fällt der Punkt Software händisch installieren weg und wird ersetzt durch die OPSI-Client-Agent-Installation.

OPSI und auch der Client-Agent sind in der aktuellsten Version

Code: Alles auswählen

feltel@nova:~$ apt-cache policy opsi-depotserver
opsi-depotserver:
  Installed: 4.0.5.11-1
  Candidate: 4.0.5.11-1
  Version table:
 *** 4.0.5.11-1 0
        500 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_7.0/ ./ Packages
        100 /var/lib/dpkg/status

bzw. beim Agent 4.0.5.2-2 installiert.