[SOLVED] Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

[SOLVED] Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von g.burck »

Moin,

in einer weitgehend funktionierenden opsi Umgebung:

1x opsi Steuerungs und depotserver
1x opsi depot Server

ca. 50 Clients Rechner aus verschiedenen AD Domänen. Sowohl Win7 wie WIN10 Clients.

Die Opsi Sever sind in keiner Domäne, die administrativen Konten sind synchron gehalten.

Ich installiere über den net use Befehl mit anschließendem Ausführen des service_setup Scripts. Dies läuft auch zum großen Teil Problemlos.
Es gibt aber immer wieder Clients, da möchte der net use Befehl schon das Passwort. Gebe ich dieses ein, installiert sich der opsi Client auch. Allerdings klappt dann die Verteilung von SW nicht. Der Client kann sich nicht mit der SMB Freigabe verbinden,...

Code: Alles auswählen

(1259)    [5] [Feb 23 11:42:59] [ opsiclientd                   ] rpc setStatusMessage: Setting status message to 'Failed to process action requests: Failed to mount '\\10.0.1.24\opsi_depot': (86, 'WNetAddConnection2', 'Das angegebene Netzwerkkennwort ist falsch.')'   (ControlServer.pyo|541)
(1261)    [3] [Feb 23 11:42:59] [ action_processor_starter.exe  ] Failed to process action requests: Failed to mount '\\10.0.1.24\opsi_depot': (86, 'WNetAddConnection2', 'Das angegebene Netzwerkkennwort ist falsch.')   (action_processor_starter.py|128)
(1264)    [5] [Feb 23 11:43:00] [ control server                ] Authorization request from ph-pc012.peiker-holding.de@127.0.0.1 (application: opsi jsonrpc module version 4.0.7.62)   (ControlServer.pyo|162)
Das habe ich bei evtl. 10% der Rechnern, also rund eine Handvoll. Sind alles WIN10 Geräte. Es ist sogar so, dass die teilweise Baugleich sind (Dell Desktops).

Ich habe auch schon mal einen der Rechner aus dem AD geworfen und wieder hinzugefügt. Ebenso beim opsi rausgeworfen und den Client deinstalliert,...

Ich kann zwischen den funtionierenden und den nicht funktionierenden Clients keinen Unterschied erkennen,...

Evtl. gibt es Eurerseits eine Idee?

Grüße

Gregor
Zuletzt geändert von g.burck am 17 Nov 2020, 13:39, insgesamt 1-mal geändert.
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
l.gremme
Beiträge: 51
Registriert: 27 Okt 2016, 09:08

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von l.gremme »

Hallo Gregor,

welche OPSI-Version hast du im Einsatz?
Ist der Server aktuell (inkl. Client-Agent)?
Wie sieht die Infrastruktur zwischen Client und Server aus, wird dort geroutet über eine Firewall?
Probier mal in einer CMD/Powershell (als Admin ausführen), ob du dort den Share mounten kannst. OPSI arbeitet die Skripte immer als System32 ab.
Was ist die IP 10.0.1.24? Du hast zwei OPSI-Server.
Welche Linuxversion setzt du für einen OPSI-Server ein?

VG Lars
g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von g.burck »

Moin,

OPSI Server:

debian 9 GNU/Linux
opsi 4.1.1.58

Der Server wird regelmäßig aktualisiert. Die IP 10.0.1.24 gehört diesem Server. Es gibt noch einen Depotserver in einerm anderen Netzwerk.

Der client agent ist aktuell 4.1.0.0-22, nach dem letztem Server Update stände noch 4.1.0.0-22 zur Verfügung.
Zwischen LAN und Servernetz ist eine FW zwischengeschaltet. Ich denke, ich habe die wesentlichen Ports offen. Alle anderen Clients aus dem LAN laufen ja auch,...

Das Problem dürfte auch nicht im opsi liegen, es muss ein Problem der CIFS Anmeldung des Clients auf die SMB Freigabe sein.
Der Unterschied zu anderen Clients ist, das bei diesem bestimmt beim net use Befehl das Benutzerpasswort abgefragt wird.
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
l.gremme
Beiträge: 51
Registriert: 27 Okt 2016, 09:08

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von l.gremme »

Guten Abend,

es gibt noch einen neuere Version des Client-Agents 4.1.0.0-24 (2018-12-05 11:18).

In Windows 10 wurde SMBv1 abgeschaltet. Das kann händisch unter Programme und Funktionen aktiviert werden (sollte normalerweise nicht die Ursache sein, unsichere Variante).
Melde dich als Admin auf den Clients an. Unter Windows 10 kannst du nach CMD suchen, einen Rechtsklick für "ausführen als Administrator" auswählen. Hast du dort die Möglichkeit, mithilfe von net use den OPSI-Share unter Angabe von Credentials zu mounten?

Was zeigt dir der Client-Agent für eine Fehlermeldung in der Maske zum installieren? Normalerweise sollte der installierte Client-Agent über einen eigenen Schlüssel zur Authentifizierung verfügen, sodass er sich zum opsi_depot verbinden kann.

Ich gehe davon aus, du hast keine Maskierung in der Firewall an. Könntest du testweise für eine Client-IP mal eine Any-Regel um Server freigeben und testen, ob der Fehler weiterhin besteht?

Könnte vielleicht das Profil deines Admin-Users defekt sein und die Verbindung verweigern? Ich habe vor kurzem so einen Rechner gehabt.

VG Lars
g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von g.burck »

Moin,
l.gremme hat geschrieben: es gibt noch einen neuere Version des Client-Agents 4.1.0.0-24 (2018-12-05 11:18).
Tschuldigung, war ein Tippfehler meinerseits. Habe hier natürlich auch,...
Es ist mir aber auch schon aufgefallen, warum wird bei der Installation nicht automatisch der neuste Client genommen,...
l.gremme hat geschrieben: In Windows 10 wurde SMBv1 abgeschaltet. Das kann händisch unter Programme und Funktionen aktiviert werden (sollte normalerweise nicht die Ursache sein, unsichere Variante).
Darüber habe ich auch schon nachgedacht, da aber alle anderen Clients kein Problem haben, sich mit dem Server zu verbinden,...
Trotzdem werde ich es probieren.
l.gremme hat geschrieben: Melde dich als Admin auf den Clients an. Unter Windows 10 kannst du nach CMD suchen, einen Rechtsklick für "ausführen als Administrator" auswählen. Hast du dort die Möglichkeit, mithilfe von net use den OPSI-Share unter Angabe von Credentials zu mounten?
Genauso installiere ich die opsi Clients momentan. Anmeldung als Admin, cmd als Administrator ausführen, per net use die Freigabe einbinden, danach den service_setup.cmd ausführen. Gernau da kommt bei diesen (wenigen Clients) die Abfrage nach dem Passwort.
l.gremme hat geschrieben: Was zeigt dir der Client-Agent für eine Fehlermeldung in der Maske zum installieren? Normalerweise sollte der installierte Client-Agent über einen eigenen Schlüssel zur Authentifizierung verfügen, sodass er sich zum opsi_depot verbinden kann.
Wenn ich mich zusätzlich authentifiziert habe, bringt die Client Installation keine Fehlermeldung. Erst wenn ich eine Aktion ausführe, da kann sich der Rechner wieder nicht mit dem Share verbinden,...
l.gremme hat geschrieben: Ich gehe davon aus, du hast keine Maskierung in der Firewall an. Könntest du testweise für eine Client-IP mal eine Any-Regel um Server freigeben und testen, ob der Fehler weiterhin besteht?
Auch das werde ich noch einmal testen, aber auch hier: bei anderen Clients habe ich das Problem nicht,...
l.gremme hat geschrieben: Könnte vielleicht das Profil deines Admin-Users defekt sein und die Verbindung verweigern? Ich habe vor kurzem so einen Rechner gehabt.
Guter Tipp, werde ich testen.

Abschließend: Es ist sicher kein opsi Problem. Sondern definitiv ein Problem beim Zugriff auf die samba Freigabe.
Ich teste wenn ich Zeit dafür finde die Tipps mal durch und berichte. Natürlich wäre evtl. einfach eine Neuinstallation einfacher, aber manchmal interessiert mich die eigentliche Ursache ;-)

Ich habe auch schon mal die lokale AVG Endpoint Protection runtergeschmissen, die Windows FW ausgeschaltet etc.
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von g.burck »

l.gremme hat geschrieben: In Windows 10 wurde SMBv1 abgeschaltet. Das kann händisch unter Programme und Funktionen aktiviert werden (sollte normalerweise nicht die Ursache sein, unsichere Variante).
SMBv1 aktiviert, neustart, keine Änderung
l.gremme hat geschrieben: Könnte vielleicht das Profil deines Admin-Users defekt sein und die Verbindung verweigern? Ich habe vor kurzem so einen Rechner gehabt.
Profil gelöscht keine Änderung
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von g.burck »

l.gremme hat geschrieben: Ich gehe davon aus, du hast keine Maskierung in der Firewall an. Könntest du testweise für eine Client-IP mal eine Any-Regel um Server freigeben und testen, ob der Fehler weiterhin besteht?
auch dieser Test schlug fehl,...
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
l.gremme
Beiträge: 51
Registriert: 27 Okt 2016, 09:08

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von l.gremme »

Guten Abend,
Handbuch hat geschrieben:Absicherung der Shares über verschlüsselte Passwörter
Um dem opsi-client-agent ein Zugriff auf die Authentifizierungsdaten zu ermöglichen, wird für jeden Client bei seiner Erzeugung in opsi ein spezifischer Schlüssel (opsi-host-Schlüssel) erzeugt. Dieser Schlüssel wird zum einen (beim file-Backend) in der Datei /etc/opsi/pckeys abgelegt und zum anderen dem PC bei der Reinstallation übergeben. Der übergebene Schlüssel wird im Rahmen der der Installation des opsi-client-agent in der Datei c:\program files\opsi.org\opsi-client-agent\opsiclientd\opsiclientd.conf so abgelegt, dass nur Administratoren Zugriff darauf haben. Ebenso hat auf dem opsi-server nur root und Mitglieder der Gruppe opsiadmin Zugriff auf die Datei /etc/opsi/pckeys. Auf diese Weise verfügt jeder PC über einen Schlüssel, der nur dem PC und dem opsi-server bekannt ist und der gegenüber dem Zugriff durch normale Anwender geschützt ist. Mit diesem Schlüssel wird das aktuelle Passwort des system users pcpatch auf dem opsi-server verschlüsselt und im Backend abgelegt. Dieses verschlüsselte Passwort wird vom Client bei jeder Aktivierung des opsi-client-agent neu gelesen, so dass eine Änderung des pcpatch Passwortes jederzeit möglich ist und der Client auf verschlüsseltem Wege das veränderte Passwort erfährt.
Quelle: https://download.uib.de/opsi4.1/documen ... l-backends (Kapitel 5.6)
@uib: Bitte im Kapitel 7.4 Authentifizierung des Clients beim Server" ergänzen, ggf. reicht ein Verweis.

Teile der Recherche stammen aus: viewtopic.php?f=7&t=10939 (zweiter Beitrag von ThomasT)

Probier mal das Passwort des Benutzers pcpatch neu zu setzen (auf dem OPSI-Server) und am Server auf die SMB-Freigaben zuzugreifen (normaler Benutzer). Dann können wir den Samba-Server ausschließen. Wenn das funktioniert, prüfe bitte die Keys zwischen Client und Server? Ich vermute ein Schlüsselproblem zwischen Client und Server, da dort das Passwort des pcpatch ausgelesen wird (siehe Zitat oben). In der Doku gibt es die Möglichkeit das Passwort von pcpatch täglich per Cron-Job zu ändern.
Weitere Infos gibt es im Handbuch im Kapitel 7 - Security

Wurden die Clients im configed umbenannt? Dann muss auf den Clients ebenfalls eine Datei angepasst werden, dort ist der Schlüssel mit FQND abgelegt.

Ansonsten wäre ich jetzt an dem Zeitpunkt eines Backups mit anschließender Neuinstallation zum Testen.

VG Lars
l.gremme
Beiträge: 51
Registriert: 27 Okt 2016, 09:08

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von l.gremme »

Als allerletzte Möglichkeit biete ich noch die Namensauflösung: https://download.uib.de/opsi4.1/documen ... resolution

Mehr Ideen habe ich nicht mehr.
AlBit
Beiträge: 8
Registriert: 15 Jul 2019, 10:49

Re: Clients lassen sich manchmal nicht registrieren - Netzkennwort ist falsch

Beitrag von AlBit »

Und? Woran lag's?
Antworten