Ja, erst mit opsi-deploy-client-agent 4.2.0.22 (enthalten in opsi-client-agent >=4.2.0.38-1) nutzen wir DCOM. Vorher winexesvc.
Möglicherweise hängt das Problem mit diesem registry key zusammen:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
sollte auf 1 stehen (was aber eigentlich standard ist, glaube ich).
Vielleicht sieht man im windows event log etwas?
Eigentlich hätte ich ja auf firewall getippt, aber wenn die aus ist, scheint das Problem ja noch woanders zu liegen. Ansonsten müssen in der windows-firewall diese Punkte freigegeben werden:
- Datei-und-Druckerfreigabe
- Windows-Verwaltungsinstrumentalisierung (WMI)
opsi-deploy-client-agent - Could not open DCOM connection
Re: opsi-deploy-client-agent - Could not open DCOM connection
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: opsi-deploy-client-agent - Could not open DCOM connection
Moin,
den Key habe ich gesetzt, er war nicht vorhanden.
Die Dateifreigabe (und auch ICMP) mache ich vor der Installation immer auf, sonst kann sich der Deploy Agent ja nicht vrebinden.
WMI habe ich, nachdem ich die FW wieder eingeschaltet eingehend freigegeben.
Eine Änderung des Verhaltens kann ich nicht feststellen.
In den Windows logs sehe ich zum Zeitpunkt des versuchten Deployment einen Eintrag bei Sicherheit, Überwachung erfolgreich, also nichts Aussagekräftiges.
Bei den anderen Events habe ich zum Zeitpunkt der Ausführung keinen Eintrag.
Grüße
Gregor
den Key habe ich gesetzt, er war nicht vorhanden.
Die Dateifreigabe (und auch ICMP) mache ich vor der Installation immer auf, sonst kann sich der Deploy Agent ja nicht vrebinden.
WMI habe ich, nachdem ich die FW wieder eingeschaltet eingehend freigegeben.
Eine Änderung des Verhaltens kann ich nicht feststellen.
In den Windows logs sehe ich zum Zeitpunkt des versuchten Deployment einen Eintrag bei Sicherheit, Überwachung erfolgreich, also nichts Aussagekräftiges.
Bei den anderen Events habe ich zum Zeitpunkt der Ausführung keinen Eintrag.
Grüße
Gregor
opsi config editor Version 4.1.9.8.5 (2021/04/12)
opsiconfd 4.2.0.286
opsiconfd 4.2.0.286
Re: opsi-deploy-client-agent - Could not open DCOM connection
Moin,
ich habe den Fehler nicht reproduzieren können und werde erstmal nicht mehr Aufwand in das Thema stecken - tut mir Leid.
Im Fall eines Support-Vertrags könnten wir uns noch länger und tiefer mit dem Problem befassen
Ich habe eben die Dokumentation zum neuen opsi-deploy-client-agent auf den aktuellen Stand gebracht.
https://docs.opsi.org/opsi-docs-de/4.2/ ... psi-deploy
ich habe den Fehler nicht reproduzieren können und werde erstmal nicht mehr Aufwand in das Thema stecken - tut mir Leid.
Im Fall eines Support-Vertrags könnten wir uns noch länger und tiefer mit dem Problem befassen
Ich habe eben die Dokumentation zum neuen opsi-deploy-client-agent auf den aktuellen Stand gebracht.
https://docs.opsi.org/opsi-docs-de/4.2/ ... psi-deploy
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: opsi-deploy-client-agent - Could not open DCOM connection
Dank Dir.
Ich werde die Liste noch einmal durchgehen.
Grüße
Gregor
Ich werde die Liste noch einmal durchgehen.
Grüße
Gregor
opsi config editor Version 4.1.9.8.5 (2021/04/12)
opsiconfd 4.2.0.286
opsiconfd 4.2.0.286
Re: opsi-deploy-client-agent - Could not open DCOM connection
Guten Morgen zusammen!
@ g.burck, die Installation funktioniert bei mir auch nicht über einen Domänenbenutzer!
Mit einem lokalen Adminkonto funktioniert die Installation einwandfrei. DIe Rechner bei uns erfüllen alle Anforderungen für die Installation vom Client Agenten die auf der Doku Seite vorgegeben sind... Evtl gibts allgemein probleme mit der Benutzung von Domänen Accounts?
Wie dem auch sei, wenn LAPS bei euch in der Firma ausgerollt ist, gibts auch kein großes Sicherheitsrisiko wenn man die lokalen Adminkontos benutzt.
@ g.burck, die Installation funktioniert bei mir auch nicht über einen Domänenbenutzer!
Mit einem lokalen Adminkonto funktioniert die Installation einwandfrei. DIe Rechner bei uns erfüllen alle Anforderungen für die Installation vom Client Agenten die auf der Doku Seite vorgegeben sind... Evtl gibts allgemein probleme mit der Benutzung von Domänen Accounts?
Wie dem auch sei, wenn LAPS bei euch in der Firma ausgerollt ist, gibts auch kein großes Sicherheitsrisiko wenn man die lokalen Adminkontos benutzt.
Re: opsi-deploy-client-agent - Could not open DCOM connection
Bei uns is das Problem das warum auch immer das Backslash nicht mehr funtkioniert bzw. übergeben wird wenn man in der Configed den Agent verteilen will. Bei Opsi Client Deploy Skript direkt auf dem Server tritt der gleiche Fehler auf.
Nun werden die Client Agent Installation mittels BENUTZERNAME@DOMAIN.DE nun ausgeführt, dennd as funktioniert
Nun werden die Client Agent Installation mittels BENUTZERNAME@DOMAIN.DE nun ausgeführt, dennd as funktioniert
Re: opsi-deploy-client-agent - Could not open DCOM connection
Eigentlich muss beides funktionieren. Bei den Backslashes ist wichtig, dass der Backslash gedoppelt wird, da sonst die shell das als escape wegschneidet.
-u <DOMAIN>\\<USER>
Im Fall von shell-problematischen Sonderzeichen kann man das Ganze in Anführungszeichen setzen: -u "<DOMAIN>\\<USER>"
-u <USER>@<DOMAIN FQDN>
ist auch möglich.
-u <DOMAIN>\\<USER>
Im Fall von shell-problematischen Sonderzeichen kann man das Ganze in Anführungszeichen setzen: -u "<DOMAIN>\\<USER>"
-u <USER>@<DOMAIN FQDN>
ist auch möglich.
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: opsi-deploy-client-agent - Could not open DCOM connection
Danke für die Nachricht!
Ja mit Doppel Backslash funktioniert es, danke! War mir neu, damals hat es immer mit \/ funktioniert xD
Ja mit Doppel Backslash funktioniert es, danke! War mir neu, damals hat es immer mit \/ funktioniert xD
-
Valentino-46
- Beiträge: 284
- Registriert: 05 Aug 2011, 14:24
Re: opsi-deploy-client-agent - Could not open DCOM connection
Guten Tag zusammen,
ich habe auch das Problem den OPSI per commandline via deploy client zu verteilen.
Gleich vorweg: Die Sicherheitsfeatures die wir dazu deaktivieren müssen sind uns aber die Verteilung auf diesem Wege nicht Wert, ihr bietet ja noch andere Installationsvarianten.
1. Protected Users funktionieren nicht, dh man kann mit einem lokalen LAPS Admin Account arbeiten um dieses Problem zu lösen.
2. LocalAccountTokenFilterPolicy steht bei uns definitiv nicht auf 1 und das ist auch nicht der Standard. Der Registry Wert deaktiviert ja die Remote UAC und diese ist ein Sicherheitsfeature von Windows und diese zu deaktivieren ist doch ein deutlicher Eingriff in die Sicherheit der Systeme, nur für diesen Moment der Installation des Client Agents. Default ist übrigens, dass der Eintrag gar nicht da ist also 0.
Ich wollte aber dennoch eben auch auf die Protected User ansprechen, da die oft für Probleme sorgen weil sie eben auch wesentlich mehr Sicherheit im Unternehmen bringen.
Viele Grüße,
Valentino
ich habe auch das Problem den OPSI per commandline via deploy client zu verteilen.
Gleich vorweg: Die Sicherheitsfeatures die wir dazu deaktivieren müssen sind uns aber die Verteilung auf diesem Wege nicht Wert, ihr bietet ja noch andere Installationsvarianten.
1. Protected Users funktionieren nicht, dh man kann mit einem lokalen LAPS Admin Account arbeiten um dieses Problem zu lösen.
2. LocalAccountTokenFilterPolicy steht bei uns definitiv nicht auf 1 und das ist auch nicht der Standard. Der Registry Wert deaktiviert ja die Remote UAC und diese ist ein Sicherheitsfeature von Windows und diese zu deaktivieren ist doch ein deutlicher Eingriff in die Sicherheit der Systeme, nur für diesen Moment der Installation des Client Agents. Default ist übrigens, dass der Eintrag gar nicht da ist also 0.
Ich wollte aber dennoch eben auch auf die Protected User ansprechen, da die oft für Probleme sorgen weil sie eben auch wesentlich mehr Sicherheit im Unternehmen bringen.
Viele Grüße,
Valentino