opsi-deploy-client-agent - Could not open DCOM connection

Benutzeravatar
n.doerrer
uib-Team
Beiträge: 267
Registriert: 23 Okt 2020, 16:11

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von n.doerrer »

Ja, erst mit opsi-deploy-client-agent 4.2.0.22 (enthalten in opsi-client-agent >=4.2.0.38-1) nutzen wir DCOM. Vorher winexesvc.

Möglicherweise hängt das Problem mit diesem registry key zusammen:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
sollte auf 1 stehen (was aber eigentlich standard ist, glaube ich).

Vielleicht sieht man im windows event log etwas?

Eigentlich hätte ich ja auf firewall getippt, aber wenn die aus ist, scheint das Problem ja noch woanders zu liegen. Ansonsten müssen in der windows-firewall diese Punkte freigegeben werden:
- Datei-und-Druckerfreigabe
- Windows-Verwaltungsinstrumentalisierung (WMI)
g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von g.burck »

Moin,

den Key habe ich gesetzt, er war nicht vorhanden.
Die Dateifreigabe (und auch ICMP) mache ich vor der Installation immer auf, sonst kann sich der Deploy Agent ja nicht vrebinden.

WMI habe ich, nachdem ich die FW wieder eingeschaltet eingehend freigegeben.

Eine Änderung des Verhaltens kann ich nicht feststellen.

In den Windows logs sehe ich zum Zeitpunkt des versuchten Deployment einen Eintrag bei Sicherheit, Überwachung erfolgreich, also nichts Aussagekräftiges.
Bei den anderen Events habe ich zum Zeitpunkt der Ausführung keinen Eintrag.

Grüße

Gregor
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
Benutzeravatar
n.doerrer
uib-Team
Beiträge: 267
Registriert: 23 Okt 2020, 16:11

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von n.doerrer »

Moin,

ich habe den Fehler nicht reproduzieren können und werde erstmal nicht mehr Aufwand in das Thema stecken - tut mir Leid.
Im Fall eines Support-Vertrags könnten wir uns noch länger und tiefer mit dem Problem befassen ;)

Ich habe eben die Dokumentation zum neuen opsi-deploy-client-agent auf den aktuellen Stand gebracht.
https://docs.opsi.org/opsi-docs-de/4.2/ ... psi-deploy
g.burck
Beiträge: 199
Registriert: 23 Mai 2018, 16:44

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von g.burck »

Dank Dir.

Ich werde die Liste noch einmal durchgehen.

Grüße

Gregor
opsi config editor Version 4.1.9.8.5 (2021/04/12)

opsiconfd 4.2.0.286
LordTerri
Beiträge: 10
Registriert: 22 Jul 2021, 18:08

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von LordTerri »

Guten Morgen zusammen!
@ g.burck, die Installation funktioniert bei mir auch nicht über einen Domänenbenutzer!

Mit einem lokalen Adminkonto funktioniert die Installation einwandfrei. DIe Rechner bei uns erfüllen alle Anforderungen für die Installation vom Client Agenten die auf der Doku Seite vorgegeben sind... Evtl gibts allgemein probleme mit der Benutzung von Domänen Accounts?

Wie dem auch sei, wenn LAPS bei euch in der Firma ausgerollt ist, gibts auch kein großes Sicherheitsrisiko wenn man die lokalen Adminkontos benutzt.
LordTerri
Beiträge: 10
Registriert: 22 Jul 2021, 18:08

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von LordTerri »

Bei uns is das Problem das warum auch immer das Backslash nicht mehr funtkioniert bzw. übergeben wird wenn man in der Configed den Agent verteilen will. Bei Opsi Client Deploy Skript direkt auf dem Server tritt der gleiche Fehler auf.

Nun werden die Client Agent Installation mittels BENUTZERNAME@DOMAIN.DE nun ausgeführt, dennd as funktioniert
Benutzeravatar
n.doerrer
uib-Team
Beiträge: 267
Registriert: 23 Okt 2020, 16:11

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von n.doerrer »

Eigentlich muss beides funktionieren. Bei den Backslashes ist wichtig, dass der Backslash gedoppelt wird, da sonst die shell das als escape wegschneidet.
-u <DOMAIN>\\<USER>
Im Fall von shell-problematischen Sonderzeichen kann man das Ganze in Anführungszeichen setzen: -u "<DOMAIN>\\<USER>"

-u <USER>@<DOMAIN FQDN>
ist auch möglich.
LordTerri
Beiträge: 10
Registriert: 22 Jul 2021, 18:08

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von LordTerri »

Danke für die Nachricht!
Ja mit Doppel Backslash funktioniert es, danke! War mir neu, damals hat es immer mit \/ funktioniert xD
Valentino-46
Beiträge: 280
Registriert: 05 Aug 2011, 14:24

Re: opsi-deploy-client-agent - Could not open DCOM connection

Beitrag von Valentino-46 »

Guten Tag zusammen,
ich habe auch das Problem den OPSI per commandline via deploy client zu verteilen.
Gleich vorweg: Die Sicherheitsfeatures die wir dazu deaktivieren müssen sind uns aber die Verteilung auf diesem Wege nicht Wert, ihr bietet ja noch andere Installationsvarianten.

1. Protected Users funktionieren nicht, dh man kann mit einem lokalen LAPS Admin Account arbeiten um dieses Problem zu lösen.
2. LocalAccountTokenFilterPolicy steht bei uns definitiv nicht auf 1 und das ist auch nicht der Standard. Der Registry Wert deaktiviert ja die Remote UAC und diese ist ein Sicherheitsfeature von Windows und diese zu deaktivieren ist doch ein deutlicher Eingriff in die Sicherheit der Systeme, nur für diesen Moment der Installation des Client Agents. Default ist übrigens, dass der Eintrag gar nicht da ist also 0.

Ich wollte aber dennoch eben auch auf die Protected User ansprechen, da die oft für Probleme sorgen weil sie eben auch wesentlich mehr Sicherheit im Unternehmen bringen.
Viele Grüße,
Valentino
Antworten