forum.opsi.org

Wir haben seit kurzem auf 2 unserer Server das Problem, dass sie keine OPSI Updates mehr installieren können. Der OPSI Dialog zeigt

Verbindung zu Config-Server 'https://192.168.11.64:4447' fehlgeschlagen
....
Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte.

Interessant ist, dass es sich bei den beiden Servern um unsere Domänen Controller handelt. Alle anderen Clients / Server haben keine Probleme.
OS in beiden Fällen Windows Server 2012 R2.

Eine Neuinstallation per service_setup.cmd habe ich bereits versucht.

Ich wollte eigentlich die opsiclientd.log hier anhängen, aber das Forum erzählt mir, "Das Kontingent für Dateianhänge ist bereits vollständig ausgenutzt." Die Datei wäre 128kB groß.

Hallo,

bitte das Log nochmal hochladen, sollte jetzt gehen.
Kann von den Maschinen denn im Browser die URL aufgerufen werden?

Ja, die URL kann aufgerufen werden. Auch von den beiden betroffenen Servern.
Allerdings erscheint eine Sicherheitswarnung wegen eines ungültigen Zertifikats.

Das Log hänge ich hier an.

Hallo, hat hier keiner eine Idee?

WolleKette hat geschrieben: ↑17 Aug 2021, 11:17 Hallo, hat hier keiner eine Idee?

Leider nein,du wirst da schon alleine raufkommen müssen. hier antworten nur Ahnungslose

Interessant ist, dass es sich bei den beiden Servern um unsere Domänen Controller handelt.

OK OPSI auf nem Terminalserver ist ja hybsch, aber auf nem DC ???
Badest Du deine Hände in Spülmittel? - Nein das ist Perwoll Tilly

Wir haben seit kurzem auf 2 unserer Server das Problem

Seit kurzem und vorher haben wir vielleicht einen Patch installiert, der die DCs absichert ???

Ich hoffe der WInk links und rechts mit dem Zaunpfal hat geholfen.

Tante Edith shreibt dir: Nein NICHT den Patch deinstallieren, das andere Teil.

Ich liebe es, wenn in Computer Foren die Antworten in Rätselform geschrieben sind. Das hat sowas von Geocaching. Und es hilft vor allem ungemein weiter.

Vielen Dank für den Beitrag.

PS: Ich würde mal behaupten, wenn ein OPSI Client Agent auf einem DC ein Sicherheitsproblem darstellt, dann hat man sowieso ein Problem mit der Sicherheit in der Domäne.

Ich würde darauf tippen, dass ein Virenscanner / Firewall die Verbindung vom opsiclientd auf https://192.168.11.64:4447/rpc blockiert.

WolleKette hat geschrieben: ↑18 Aug 2021, 11:52 Ich liebe es, wenn in Computer Foren die Antworten in Rätselform geschrieben sind. Das hat sowas von Geocaching. Und es hilft vor allem ungemein weiter.

Und ich mag es wenn jemand "weiß das keiner" schreibt

Also so ein DC, der wird üblicherweise 1* alle 30 Tage durchgestartet, wegen M$ Patchday.
Ohne Neustart keine Softwareverteilung auf der Maschine. Außer das machst du ondemand - was auch nicht hybscher ist.

Ich weiß nicht, welche Pakete du auf deinem DC installierst, aber außer Notepad ++ fällt mir aber kein gemeinsamer Vielfacher von DC & Otto Normalo Client ein.

Ich würde darauf tippen, dass ein Virenscanner / Firewall die Verbindung vom opsiclientd auf https://192.168.11.64:4447/rpc blockiert.

Virenscanner läuft auf den DC's keiner und ich glaube auch nicht, dass es an der Firewall liegt. Hab sie auch schon mal probeweise deaktiviert. Außerdem lief es vor 3, 4 Wochen noch.

Im Log macht mich auch folgende Zeile stutzig:

[6] [2021-08-18 17:39:36.212] [service connection ] Failed to connect to config server 'https://192.168.11.64:4447/rpc': HTTPSConnectionPool(host='192.168.11.64', port=4447): Max retries exceeded with url: /rpc (Caused by ProxyError('Cannot connect to proxy.', NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x065C22F0>: Failed to establish a new connection: [WinError 10061] No connection could be made because the target machine actively refused it'))) (OpsiService.py:384)

Speziell das >>>No connection could be made because the target machine actively refused it<<<

Ein tcpdump auf dem OPSI Server zeigt auch, dass bei einem on_demand schon eine gewisse Kommunikation statt findet. Nur eben deutlich weniger als bei einem anderen Client.


@Jan.Schmidt

Ich weiß nicht, welche Pakete du auf deinem DC installierst, aber außer Notepad ++ fällt mir aber kein gemeinsamer Vielfacher von DC & Otto Normalo Client ein.

Du spielst hier auf die Standardpakete von uib an. Die haben wir zwar auch, aber es gibt bei uns annähernd nichts, was nicht per OPSI installiert wird. Wenn ich eine Software auf mehr als einem Rechner installieren muss, dann mache ich das per OPSI. Das betrifft auch interne, selbst entwickelte Software, wovon wir reichlich haben, oder eine Sammlung von Kommandozeilenprogrammen, die einfach per Copy-Deployment verteilt wird.
Und somit gibt's auch vieles, was auch auf Servern Sinn macht. Klar kann man das auch anders machen, aber OPSI ist eben bequem wenn man ihn sowieso schon hat.

Hi,

ich spiele auf garnix an.
Und ich baue sogar Pakete "für Clients" die nur einmal auf diesem einen Client gebraucht werden.

Aber an deiner Stelle würde ich mal die Zeile da für uns nichtswissende genauer erklären:

Cannot connect to proxy