Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von pandel »

Hallo zusammen!

(Ich weiss, das Thema wurde schon woanders besprochen, aber ich muss das nochmal neu aufs Tablett legen, weil sich da mit keiner neueren Version des opsi-client-agent eine Verbesserung ergeben hat.)

Seit opsi 4.2 haben wir das Problem, dass sich der Client Agent nicht mehr sauber im ersten Anlauf installieren lässt.

Die Installation beginnt, läuft aber bei dem Aufruf

Code: Alles auswählen

ShellCall('"'+ $BaseDir$ + '\opsiclientd_bin\opsiclientd.exe" setup --client-id "' + $ClientId$ + '" --service-address "' + $ServiceAddress$ + '" --service-username "' + $ServiceUsername$ + '" --service-password "' + $ServicePassword$ + '"')
vor einen Fehler, den ich nur leider nicht identifizieren kann.

Im Log steht an der Stelle:

Code: Alles auswählen

[5] [2022-05-05 10:48:29.369] [opsi-client-agent] comment: Run opsiclientd setup
[6] [2022-05-05 10:48:29.369] [opsi-client-agent] DisableWow64FsRedirection succeeded
[5] [2022-05-05 10:48:29.369] [opsi-client-agent] ShellCall Executing: "C:\Windows\system32\\cmd.exe" /C ""C:\Program Files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin\opsiclientd.exe" setup --client-id "<clientfqdn>" --service-address "https://10.YYY.XX.237:4447" --service-username "<clientfqdn>" --service-password "***(confidential)***""
[6] [2022-05-05 10:48:32.391] [opsi-client-agent] ExitCode 1
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] output:
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] --------------
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.659] [                                        ] Running opsiclientd setup   (setup.py:427)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.659] [                                        ] Trying to read config from file: 'C:\Program Files (x86)\opsi.org\opsi-client-agent\opsiclientd\opsiclientd.conf'   (Config.py:485)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config global.host_id   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config global.opsi_host_key   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config config_service.url   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config depot_server.depot_id   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config depot_server.url   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config depot_server.drive   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.664] [                                        ] Refusing to set empty value config event_default.depot_protocol   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:30.665] [                                        ] Refusing to set empty value config depot_server.master_depot_id   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.665] [                                        ] Config read   (Config.py:514)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.665] [                                        ] Connecting to 'https://10.YYY.XX.237:4447' as '<clientfqdn>'   (setup.py:282)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.911] [                                        ] Getting config from service   (Config.py:797)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.985] [                                        ] Got config from service   (Config.py:846)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:30.995] [                                        ] Config file 'C:\Program Files (x86)\opsi.org\opsi-client-agent\opsiclientd\opsiclientd.conf' written   (Config.py:575)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:31.035] [                                        ] Installing windows service   (setup.py:217)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:31.068] [                                        ] Fetching tls server certificate from config service   (setup.py:96)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:31.068] [                                        ] Trying to read config from file: 'C:\Program Files (x86)\opsi.org\opsi-client-agent\opsiclientd\opsiclientd.conf'   (Config.py:485)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:31.075] [                                        ] Refusing to set empty value config depot_server.url   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [4] [2022-05-05 10:48:31.075] [                                        ] Refusing to set empty value config depot_server.master_depot_id   (Config.py:384)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:31.076] [                                        ] Config read   (Config.py:514)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:31.863] [                                        ] Cleanup registry uninstall information   (setup.py:305)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:31.864] [                                        ] Configure Windows firewall   (setup.py:183)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] 
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] Keine Regeln stimmen mit den angegebenen Kriterien überein.
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] 
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] OK.
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] 
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:32.304] [                                        ] Creating opsi shutdown install policy   (setup.py:347)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] [5] [2022-05-05 10:48:32.312] [                                        ] Setup completed with 0 errors   (setup.py:468)
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] Installing service opsiclientd
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] Service installed
[7] [2022-05-05 10:48:32.392] [opsi-client-agent] 
[6] [2022-05-05 10:48:32.392] [opsi-client-agent] RevertWow64FsRedirection succeeded
[6] [2022-05-05 10:48:32.393] [opsi-client-agent] If
[7] [2022-05-05 10:48:32.395] [opsi-client-agent]   GetLastExitcode = "0"   <<< result false
[6] [2022-05-05 10:48:32.395] [opsi-client-agent]   not(GetLastExitcode = "0")   <<< result true
[6] [2022-05-05 10:48:32.395] [opsi-client-agent] Then
[3] [2022-05-05 10:48:32.395] [opsi-client-agent]   Error: opsiclientd setup failed
[2] [2022-05-05 10:48:32.395] [opsi-client-agent]   Error level set to fatal
[6] [2022-05-05 10:48:32.395] [opsi-client-agent]   Process aborted
[6] [2022-05-05 10:48:32.395] [opsi-client-agent] 
[6] [2022-05-05 10:48:32.395] [opsi-client-agent] ~~~~~~~ End Sub   ~~~~~~~  Sub_install_opsiclientd
[6] [2022-05-05 10:48:32.395] [opsi-client-agent] 
[6] [2022-05-05 10:48:32.395] [opsi-client-agent] Process aborted
[1] [2022-05-05 10:48:32.396] [opsi-client-agent] ___________________
[1] [2022-05-05 10:48:32.396] [opsi-client-agent] script finished: failed
Erstaunlicherweise wird aber
- der Client am Konfigserver angelegt
- das Log zurück an den Server geschrieben
- der Produktstatus von opsi-winst auf success und von opsi-client-agent auf failed gesetzt

D.h. im Grunde hat alles geklappt, nur der ShellCall versteht da was falsch.

Da wir AppLocker im Einsatz haben, habe ich auch mal das WIndows Eventlog gecheckt. Dort taucht zum Zeitpunkt der Installation ein Powershell Skript auf, was vor die Pumpe läuft, weil es aus dem Temp Ordner des angemeldeten Users ausgeführt werden soll, was bei uns AUCH FÜR ADMINS verboten ist.

Könnte es sein, dass der opsiclientd Installationsvorgang da irgendeinen Test vollzieht, der nicht sauber laufen konnte?


Jedenfalls, wenn ich jetzt im opsi-configed bei diesem Client den opsi-client-agent nochmals auf setup setze und die Kiste boote, installiert er den Client tatsächlich selbstständig erneut und danach ist alles fein.

Ich versteh's nicht...

Gruß
Holger
dotdle
Beiträge: 14
Registriert: 01 Jul 2021, 14:23

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von dotdle »

Hallo Holger,

habt Ihr sonst irgendwie noch eine Antivirenlösung, die da etwas blocken könnte?
Wir müssen bei Updates des Clients immer entsprechende OPSI-Binaries Whitelisten, damit die Installation erfolgreich druchläuft.

VG
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von pandel »

Hi!

Ja haben wir - Symantec Endpoint Protection. Das bekommen wir allerdings über unser RZ zentral und haben nicht wirklich Möglichkeiten da einzugreifen.

Aber merkwürdig ist doch schon, dass man das im Grunde einfach 2x laufen lassen muss, damit alles gut ist. Wenn ich da irgendwelche Binaries freigeben müsste, sollte es doch eigentlich dauerhaft NICHT gehen, solange ich nix freigegeben habe.

Ich bleibe ja momentan bei der Powershell Theorie. Zumindest, solange sich von uib niemand dagegen äußert :mrgreen:

Gruß
Holger
dotdle
Beiträge: 14
Registriert: 01 Jul 2021, 14:23

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von dotdle »

Naja, dazu würde ich mal ganz klar sagen: "Es kommt darauf an." ;) Wenn Symantec erstmal die Hashes bzw. die neuen Dateien von OPSI überprüft und dann als sicher einstuft, dann könnten die generell als "sicher" durchgehen. Unsere Antiviren-Lösung prüft auch bei neuen Hashes erstmal und entweder geben wir sie selbst in die Whitelist oder die werden generell vom Anbieter als unbedenklich eingestuft.
Benutzeravatar
n.doerrer
uib-Team
Beiträge: 267
Registriert: 23 Okt 2020, 16:11

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von n.doerrer »

Hallo,

so ganz verstehe ich nicht, was hier schiefläuft.
Ja, das setup des opsiclientd nutzt powershell. Um welche Version des opsi-client-agent handelt es sich denn? An dieser Ecke hat sich in den letzten Monaten etwas geändert (jetzt auch möglich trotz Powershell ExecutionPolicy Allsigned). Möglicherweise besteht das Problem mit der aktuellen stable Version nicht mehr, weil hier nicht mit Aufruf von Skripten aus %TEMP% gearbeitet wird, sondern mit an powershell übergebenen text-streams.

Es ist durchaus plausibel, dass die opsi-client-agent Installation manuell (als lokaler oder Domänen-Admin) scheitert, aber ausreichend weit kommt, sodass eine erneute Installation im service-Kontext dann möglich ist (die dann als SYSTEM läuft).
Insofern finde ich die Theorie von pandel dazu gut, aber Antivirenprogramme sollte man als Problemquelle auch nie ausschließen.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von pandel »

n.doerrer hat geschrieben: 18 Mai 2022, 10:32 Ja, das setup des opsiclientd nutzt powershell. Um welche Version des opsi-client-agent handelt es sich denn? An dieser Ecke hat sich in den letzten Monaten etwas geändert (jetzt auch möglich trotz Powershell ExecutionPolicy Allsigned). Möglicherweise besteht das Problem mit der aktuellen stable Version nicht mehr, weil hier nicht mit Aufruf von Skripten aus %TEMP% gearbeitet wird, sondern mit an powershell übergebenen text-streams.
Bei meiner letzten Äußerung dazu war es Paketversion opsi-client-agent 4.2.0.25-1.

Ich kann bzgl. Antivirensoftware nur sagen, dass ich in keinem Protokoll etwas dazu gefunden habe. Allerdings eben im AppLocker Log dieses merkwürdige, unerlaubte Powershellskript - es ist ja nur eine Vermutung gewesen, aber zumindest die Beste, die ich hatte...
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von Jan.Schmidt »

Hallo Holger,

kannst du ein paar Daten zum Ablauf liefern?

Liesst sich so, als ob du von irgendwo vorbereitete verseppelte Rechner bekommst und die dann veropsifizierst?
Hast du mal ne VM "ohne" aufgesetzt?

Wir bauen die Kisten mit OPSI und der OPSI Client installiert danach den Symandreck.
Und wenn der installiert ist zieht der sich selber seine Updates vom Sepplmanager und seine Konfig.

Das könnte auch dein Weg werden, wenn dir der Lieferant vom SeppL den installer gibt.
Achso und wenn - du mußt die Installer exe mit 7zip entpacken Win10 mag (mochte? mal??) den eingepackten Installer nicht, aber ausgepackt läuft die.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von pandel »

Moin Jan!

Der Ablauf ist einfach:
- wir bekommen nackte Kisten von unserem Hardwarelieferanten
- in unserem RZ-eigenen Softwaretool generieren wir eine neue Konfig (die einiges an Software, Patchen, etc. beinhaltet)
- die Kiste bootet via PXE (auch hier zwingend der vom RZ) und wird installiert
- wenn fertig (inkl. autom. AD Einbindung und Grundkonfig. via GPO, etc.) schieben wir den opsi-client-agent und alles weitere, was wir individuell benötigen, nach

Das Verfahren, der Ablauf und der Inhalt der vom RZ bereitgestellten Komponenten ist absolut nicht verhandelbar ;), es geht nur so.

Gruß
Holger
Jan.Schmidt
Beiträge: 439
Registriert: 08 Jul 2017, 12:02

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von Jan.Schmidt »

Salue Holger,

das bedeutet, du hast das Passwort vom Seppl Symantrick nicht ?
Wenn doch, damit kannst du den temporär ausschalten.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: Fehler bei opsi-client-agent Installation - Client danach so "halb" installiert

Beitrag von pandel »

Jan.Schmidt hat geschrieben: 10 Aug 2022, 21:17 Salue Holger,

das bedeutet, du hast das Passwort vom Seppl Symantrick nicht ?
Wenn doch, damit kannst du den temporär ausschalten.
Ich bin mir nicht sicher, was du mit Seppl Symantrick meinst, aber wenn die Symantec Endpoint Protection damit gemeint ist, dann nein. Falls du da nähere Infos zu hast, schreib doch mal direkt an holger dot pandel at googlemail dot com. Ich schätze, wir kommen beruflich aus der selben Brause und dann könnte die Info wirklich seeeehr hilfreich sein ;)
Antworten