Gelöst: Win10 & opsi-deploy-client-agent

Antworten
rbroda
Beiträge: 23
Registriert: 24 Jul 2017, 15:26

Gelöst: Win10 & opsi-deploy-client-agent

Beitrag von rbroda »

Hallo Zusammen,

habe leider das Problem, dass ich den OPSI-Agent nicht auf meine WIndows 10 (1607) Maschinen verteilen kann, jedoch auf Windows 7 Clients funktioniert dies.
Folgender Befehl wird von mir ausgeführt:

Code: Alles auswählen

/var/lib/opsi/depot/opsi-client-agent# ./opsi-deploy-client-agent -u Administrator -p ******** -c client01.xxx.local
Als Fehlermeldung kommt das hier:

Code: Alles auswählen

Deployment to 'client01.xxx.local' failed: Failed to execute command on host u'client01.xxx.local': winexe error: Command '/usr/bin/winexe -U 'Administrator%*** confidential ***' //client01.xxx.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'' failed (1):
ERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED
Habe schon vieles probiert:
- Winexe ausgetauscht (neuste Verion ist installiert)
- neustes opsi-client-agent Paket installiert
- auf dem Client alle Sicherheitseinstellungen deaktiviert

Hat jemand noch eine Idee? Ich komme leider nicht weiter.
Von Hand möchte ich den Agent nicht installieren, da wir einige Rechner im Netz haben.
Zuletzt geändert von rbroda am 25 Jul 2017, 13:37, insgesamt 1-mal geändert.
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: Win10 & opsi-deploy-client-agent

Beitrag von uncle_scrooge »

Firewall wirklich deaktiviert?
Administrator-Account aktiv? Double check!
Eventlogs flöhen. Da muß zum Verbindungsversuch was stehen.
rbroda
Beiträge: 23
Registriert: 24 Jul 2017, 15:26

Re: Win10 & opsi-deploy-client-agent

Beitrag von rbroda »

Habe alles auf dem Windows Client geprüft. Firewall ist aus, Administrator ist aktiv, habe auch mit einem anderen Benutzer dies probiert mit Administratorrechten. Auf dem Windows Client finde ich keine Eventlogs.


Hier Logs zur Installation von opsi-client-agent:

Code: Alles auswählen

/var/lib/opsi/depot/opsi-client-agent# ./opsi-deploy-client-agent -u Administrator -p ******** -c client01.xxx.local *vv
Logs:

Code: Alles auswählen

Deploying to Windows.Deploying to Windows.
* BackendManager is creating BackendDispatcher
Backend context was set to <BackendManager()>
Loading dispatch config file '/etc/opsi/backendManager/dispatch.conf'
Loading backend config '/etc/opsi/backends/opsipxeconfd.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Loading backend config '/etc/opsi/backends/file.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Loading backend config '/etc/opsi/backends/mysql.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Verifying modules file signature
Modules file signature verified (customer: opsivm basic license)
* BackendManager is creating ExtendedConfigDataBackend
Setting context to backend <ExtendedConfigDataBackend(configDataBackend=<BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>)>
Got hostId client01.xxxl.local
Starting deployment to host u'client01.xxxl.local'
Querying for ip address of host u'client01.xxxl.local'
Getting host u'client01.xxxl.local' by name
Got ip address '172.28.6.35' from syscall
Pinging host '172.28.6.35' ...
Executing: ping -q -c2 172.28.6.35
Using encoding 'UTF-8'
Host 172.28.6.35 is up
Testing winexe
Executing: /usr/bin/winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: /usr/bin/winexe -U 'Administrator%*** confidential ***' //client01.xxxl.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Winexe failure Exception(u'Command \'/usr/bin/winexe -U \'Administrator%*** confidential ***\' //client01.xxxl.local \'cmd.exe /C "del /s /q c:\\tmp\\opsi-client-agent_inst && rmdir /s /q c:\\tmp\\opsi-client-agent_inst || echo not found"\'\' failed (1):\nERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED',), retrying
Executing: /usr/bin/winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: /usr/bin/winexe -U 'Administrator%*** confidential ***' //client01.xxxl.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: Win10 & opsi-deploy-client-agent

Beitrag von uncle_scrooge »

>>Auf dem Windows Client finde ich keine Eventlogs.
Sorry, auf deutschsprachigen Systemen nennt sich das Ereignisanzeige.
rbroda
Beiträge: 23
Registriert: 24 Jul 2017, 15:26

Re: Win10 & opsi-deploy-client-agent

Beitrag von rbroda »

Ich weiß natürlich was Sie meinen. Dacahte nur, dass es nicht mit protokolloert wird, auf dem Windows System.
Habe jetzt noch mal geschaut. Gestern war es schon ziemlich spät und die F5 Taste wurde nicht gedrückt. Folgendes wird zum Zeitpunkt unter Ereignisse/Security protokolliert:

Code: Alles auswählen

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         25.07.2017 07:05:27
Ereignis-ID:   4624
Aufgabenkategorie:Anmelden
Ebene:         Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer:      Nicht zutreffend
Computer:      client01.xxx.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		NULL SID
	Kontoname:		-
	Kontodomäne:		-
	Anmelde-ID:		0x0

Anmeldeinformationen:
	Anmeldetyp:		3
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Nein

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		client01.xxx.local\Administrator
	Kontoname:		Administrator
	Kontodomäne:		client01.xxx.local
	Anmelde-ID:		0x686F14
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x0
	Prozessname:		-

Netzwerkinformationen:
	Arbeitsstationsname:	SRV-000
	Quellnetzwerkadresse:	172.28.1.200
	Quellport:		41368

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		NtLmSsp 
	Authentifizierungspaket:	NTLM
	Übertragene Dienste:	-
	Paketname (nur NTLM):	NTLM V1
	Schlüssellänge:		128

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Code: Alles auswählen

Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		client01.xxx.local\Administrator
	Kontoname:		Administrator
	Kontodomäne:		DV-VM011
	Anmelde-ID:		0x686F52

Berechtigungen:		SeSecurityPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeTakeOwnershipPrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeLoadDriverPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege

Code: Alles auswählen

Ein Konto wurde abgemeldet.

Antragsteller:
	Sicherheits-ID:		client01.xxx.local\Administrator
	Kontoname:		Administrator
	Kontodomäne:		DV-VM011
	Anmelde-ID:		0x686F52

Anmeldetyp:			3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: Win10 & opsi-deploy-client-agent

Beitrag von uncle_scrooge »

Hm. Der Benutzer kommt durch, darf aber nicht. UAC?
Als Schuß ins Blaue:

Code: Alles auswählen

To disable UAC remote restrictions, follow these steps:

    Click Start, click Run, type regedit, and then press ENTER.
    Locate and then click the following registry subkey:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    If the LocalAccountTokenFilterPolicy registry entry does not exist, follow these steps:
        On the Edit menu, point to
        New, and then click DWORD Value.
        Type
        LocalAccountTokenFilterPolicy, and then press ENTER.
    Right-click LocalAccountTokenFilterPolicy, and then click
    Modify.
    In the Value data box, type
    1, and then click OK.
    Exit Registry Editor.
https://support.microsoft.com/en-us/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows
Und noch einmal probieren.
rbroda
Beiträge: 23
Registriert: 24 Jul 2017, 15:26

Re: Win10 & opsi-deploy-client-agent

Beitrag von rbroda »

@uncle_scrooge: Du bist ein Schatz!
Es fehlte tatsächlich der Schlüsseleintrag LocalAccountTokenFilterPolicy.
Vielen Dank! Funktioniert!
Antworten