NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von pandel »

Hi!

Bis dato habe ich unsere opsi-client-agents immer remote verteilt, zwar mit meinem oPB, habe es aber gerade auch nochmal mit der offiziellen Funktion aus dem opsi-configed probiert. Das läuft nicht mehr :shock: und ich verstehe nicht, warum. Folgende Meldungen türmen sich auf...

root@opsi-server:/tmp# /var/lib/opsi/depot/opsi-client-agent/opsi-deploy-client-agent -u 'Administrator' -p 'ihmseinkennwort' -c -x -v -r client.rechner --use-fqdn
Modules file signature verified (customer: Unser Kundenname)
Starting deployment to host u'client.rechner'
Querying for ip address of host u'client.rechner'
Got ip address '10.5.4.3' from syscall
Pinging host '10.5.4.3' ...
Host 10.5.4.3 is up
Testing winexe
Patching config.ini
Copying installation files
Command '/usr/bin/winexe -U 'Administrator%*** confidential ***' //client.rechner 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst"'' failed (1):
Das System kann die angegebene Datei nicht finden.
Deployment to 'client.rechner' failed: Command '/usr/bin/smbclient //client.rechner/c$ -U 'Administrator%*** confidential ***' -c 'prompt; recurse; md tmp; cd tmp; md opsi-client-agent_inst; cd opsi-client-agent_inst; mput files; mput utils; cd files\opsi\cfg; lcd /tmp; put 6KXxzOvUxA_config.ini config.ini; exit;'' failed (1):
WARNING: The "syslog" option is deprecated
session setup failed: NT_STATUS_LOGON_FAILURE
Namen und IPs sind anonymisiert...

Kann mir einer sagen, was ich prüfen könnte? Hat sich irgendwie das deploy Script geändert oder so? An der Grundinstallation unserer Maschinen hat sich nämlich definitiv nichts geändert...

Lieber Gruß
Holger
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von uncle_scrooge »

Ich habe hier opsi-client-agent in Version 4.0.7.24-2. Und da hat das deploy script einen time stamp vom 03.04.2017.
Wenn Du nicht mit testing/experimental spielst, sollte sich seitdem nichts geändert haben.

Erster Anlaufpunkt für mich wäre das Event-Log des betroffenen Clients.
Spannend wäre auch, seit wann das nicht mehr funktioniert. (Wenn Du den agent per Skript verteilst, gehe ich davon aus, daß die OS-Installation anderweitig passiert. Sind da weitere Updates mit reingelaufen?)

Und noch ein Schuß ins Blaue: Der Name des Clients ist wie lang (ohne domain)?
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von pandel »

Nope, ich nutze nur den stable branch. Seit wann das nicht mehr geht, kann ich nicht sagen, sooo oft machen wir keine Clients neu. Und unsere Clientbezeichner sind seit Äonen immer genau gleich lang... also daran liegt es definitiv nicht.

Das Event-Log ist noch ein Hinweis, danke! Da werde ich mal auf die Suche gehen, allerdings erst beim nächsten Client :lol: ;)
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von n.wenselowski »

Hi,

was hat der Ziel-Client für ein OS?


Gruß

Niko

Code: Alles auswählen

import OPSI
rbroda
Beiträge: 23
Registriert: 24 Jul 2017, 15:26

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von rbroda »

Geht bei mir auch nicht mehr.
Wollte das Projekt OPSI ab heute nochmal ins Rollen bringen, und seit heute geht die Verteilung an Win 7 x64 Clients auch nicht mehr.
Vor 4 Monate funktionierte noch alles.
Win 10 1709 geht ja auch nicht, aber dazu haben wir ja schon ein Post offen.

Ubuntu 16.04.4 LTS
OPSI Version: 4.0.7.5.22 (2017/04/26)
OPSI-Client-Agent-Version: 4.0.7.24.-3
Winexe Version: 4.0.0alphall-GIT-UNKNOWN (1.00.1-1)

Bekommte die gleiche Fehlermeldung wie der Kollege.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von pandel »

Also... es liegt an der Art, wie der smbclient im Script aufgerufen wird, jedenfalls bei uns.

Wenn ich es an der Kommandzeile mal per Hand wie im Script nachstelle, passiert folgendes:

Code: Alles auswählen

root@depot:/tmp# smbclient //clientid.local/C$ -U 'local_admin%p@assw0rd' -c 'prompt; dir'
WARNING: The "syslog" option is deprecated
session setup failed: NT_STATUS_LOGON_FAILURE
Ergänze ich aber den Befehl um "-W clientid" (clientd=NetBios Name der Maschine weil wegen LOKALER Admin), passiert das:

Code: Alles auswählen

root@depot:/tmp# smbclient //clientid.local/C$ -U 'local_admin%p@assw0rd' -W clientid -c 'prompt; dir'
WARNING: The "syslog" option is deprecated
Domain=[PB] OS=[Windows 7 Professional 7601 Service Pack 1] Server=[Windows 7 Professional 6.1]
  $Recycle.Bin                      DHS        0  Fri Feb 23 14:02:55 2018
  Daten                               D        0  Thu Feb 22 13:58:47 2018
  Deploy                              D        0  Thu Feb 22 13:56:26 2018
  Documents and Settings            DHS        0  Tue Jul 14 07:08:56 2009
  ....
Evtl. muss da mal was im deploy Skript geändert werden...

Lieber Gruß
Holger
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von pandel »

So... im opsi-client-agent-deploy Script ab Zeile 418 (im try: block) den Teil mit "-W {host}" ergänzt:

Konkret geändert ist die "cmd =" Zeile...

Code: Alles auswählen

	try:
                                logger.notice(u"Copying installation files")
                                cmd = u"{smbclient} //{address}/c$ -U '{credentials}' -W {host} -c 'prompt; recurse; md tmp; cd tmp; md opsi-client-agent_inst; cd opsi-client-agent_inst; mput files; mput utils; cd files\\opsi\\cfg; lcd /tmp; put {config} config.ini; exit;'".format(
                                        smbclient=which('smbclient'),
                                        address=self.networkAddress,
                                        credentials=self.username + '%' + self.password.replace("'", "'\"'\"'"),
                                        host=self.host,
                                        config=configIniName
                                )
                                execute(cmd)
Es reicht (zumindest hier), wenn der TCP/IP FQDN hinter -W steht. Damit ließ sich der Client Agent remote installieren...

Ich weiß nicht, ob das eine generelle Lösung sein könnte, aber vielleicht hilft es ja dem ein oder anderen.

Lieber Gruß
Holger
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von uncle_scrooge »

Bemerkenswert.
-W gibt ja eigentlich 'nur' den workgroup name mit.

Spannend wäre Deine SAMBA-Version.
Bei mir dümpelt noch auf einem CEntOS 6 eine Version 3.6.23 rum. Und damit funktioniert es gegen einen Win7-Client auch ohne -W.
Ich meine mich dunkel zu erinnern, daß mit aktuelleren SAMBA-Versionen der smbclient die 'workgroup' in den übergebenen credentials nicht mehr honoriert. Und auf den Eintrag in der smb.conf zugreift.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: NT_STATUS_LOGON_FAILURE bei Ferninstallation opsi-client-agent

Beitrag von pandel »

Ich nutze die opsi vm, da gibt dpkg -l Version "4.3.11+dfsg-0ubuntu0.16.04.12" an...
Antworten