Seite 1 von 1
Gelöst: Win10 & opsi-deploy-client-agent
Verfasst: 24 Jul 2017, 15:37
von rbroda
Hallo Zusammen,
habe leider das Problem, dass ich den OPSI-Agent nicht auf meine WIndows 10 (1607) Maschinen verteilen kann, jedoch auf Windows 7 Clients funktioniert dies.
Folgender Befehl wird von mir ausgeführt:
Code: Alles auswählen
/var/lib/opsi/depot/opsi-client-agent# ./opsi-deploy-client-agent -u Administrator -p ******** -c client01.xxx.local
Als Fehlermeldung kommt das hier:
Code: Alles auswählen
Deployment to 'client01.xxx.local' failed: Failed to execute command on host u'client01.xxx.local': winexe error: Command '/usr/bin/winexe -U 'Administrator%*** confidential ***' //client01.xxx.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'' failed (1):
ERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED
Habe schon vieles probiert:
- Winexe ausgetauscht (neuste Verion ist installiert)
- neustes opsi-client-agent Paket installiert
- auf dem Client alle Sicherheitseinstellungen deaktiviert
Hat jemand noch eine Idee? Ich komme leider nicht weiter.
Von Hand möchte ich den Agent nicht installieren, da wir einige Rechner im Netz haben.
Re: Win10 & opsi-deploy-client-agent
Verfasst: 24 Jul 2017, 18:43
von uncle_scrooge
Firewall wirklich deaktiviert?
Administrator-Account aktiv? Double check!
Eventlogs flöhen. Da muß zum Verbindungsversuch was stehen.
Re: Win10 & opsi-deploy-client-agent
Verfasst: 24 Jul 2017, 21:02
von rbroda
Habe alles auf dem Windows Client geprüft. Firewall ist aus, Administrator ist aktiv, habe auch mit einem anderen Benutzer dies probiert mit Administratorrechten. Auf dem Windows Client finde ich keine Eventlogs.
Hier Logs zur Installation von opsi-client-agent:
Code: Alles auswählen
/var/lib/opsi/depot/opsi-client-agent# ./opsi-deploy-client-agent -u Administrator -p ******** -c client01.xxx.local *vv
Logs:
Code: Alles auswählen
Deploying to Windows.Deploying to Windows.
* BackendManager is creating BackendDispatcher
Backend context was set to <BackendManager()>
Loading dispatch config file '/etc/opsi/backendManager/dispatch.conf'
Loading backend config '/etc/opsi/backends/opsipxeconfd.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Loading backend config '/etc/opsi/backends/file.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Loading backend config '/etc/opsi/backends/mysql.conf'
Backend context was set to <BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>
Verifying modules file signature
Modules file signature verified (customer: opsivm basic license)
* BackendManager is creating ExtendedConfigDataBackend
Setting context to backend <ExtendedConfigDataBackend(configDataBackend=<BackendDispatcher(dispatchConfigFile=u'/etc/opsi/backendManager/dispatch.conf', context=<BackendManager()>)>)>
Got hostId client01.xxxl.local
Starting deployment to host u'client01.xxxl.local'
Querying for ip address of host u'client01.xxxl.local'
Getting host u'client01.xxxl.local' by name
Got ip address '172.28.6.35' from syscall
Pinging host '172.28.6.35' ...
Executing: ping -q -c2 172.28.6.35
Using encoding 'UTF-8'
Host 172.28.6.35 is up
Testing winexe
Executing: /usr/bin/winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: /usr/bin/winexe -U 'Administrator%*** confidential ***' //client01.xxxl.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Winexe failure Exception(u'Command \'/usr/bin/winexe -U \'Administrator%*** confidential ***\' //client01.xxxl.local \'cmd.exe /C "del /s /q c:\\tmp\\opsi-client-agent_inst && rmdir /s /q c:\\tmp\\opsi-client-agent_inst || echo not found"\'\' failed (1):\nERROR: Failed to install service winexesvc - NT_STATUS_ACCESS_DENIED',), retrying
Executing: /usr/bin/winexe -V
Using encoding 'UTF-8'
Winexe Version: Version 4.0.0alpha11-GIT-UNKNOWN
Executing: /usr/bin/winexe -U 'Administrator%*** confidential ***' //client01.xxxl.local 'cmd.exe /C "del /s /q c:\tmp\opsi-client-agent_inst && rmdir /s /q c:\tmp\opsi-client-agent_inst || echo not found"'
Using encoding 'UTF-8'
Re: Win10 & opsi-deploy-client-agent
Verfasst: 25 Jul 2017, 06:42
von uncle_scrooge
>>Auf dem Windows Client finde ich keine Eventlogs.
Sorry, auf deutschsprachigen Systemen nennt sich das Ereignisanzeige.
Re: Win10 & opsi-deploy-client-agent
Verfasst: 25 Jul 2017, 07:14
von rbroda
Ich weiß natürlich was Sie meinen. Dacahte nur, dass es nicht mit protokolloert wird, auf dem Windows System.
Habe jetzt noch mal geschaut. Gestern war es schon ziemlich spät und die F5 Taste wurde nicht gedrückt. Folgendes wird zum Zeitpunkt unter Ereignisse/Security protokolliert:
Code: Alles auswählen
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 25.07.2017 07:05:27
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: client01.xxx.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldeinformationen:
Anmeldetyp: 3
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Nein
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: client01.xxx.local\Administrator
Kontoname: Administrator
Kontodomäne: client01.xxx.local
Anmelde-ID: 0x686F14
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname: SRV-000
Quellnetzwerkadresse: 172.28.1.200
Quellport: 41368
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): NTLM V1
Schlüssellänge: 128
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Code: Alles auswählen
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: client01.xxx.local\Administrator
Kontoname: Administrator
Kontodomäne: DV-VM011
Anmelde-ID: 0x686F52
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Code: Alles auswählen
Ein Konto wurde abgemeldet.
Antragsteller:
Sicherheits-ID: client01.xxx.local\Administrator
Kontoname: Administrator
Kontodomäne: DV-VM011
Anmelde-ID: 0x686F52
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Re: Win10 & opsi-deploy-client-agent
Verfasst: 25 Jul 2017, 13:08
von uncle_scrooge
Hm. Der Benutzer kommt durch, darf aber nicht. UAC?
Als Schuß ins Blaue:
Code: Alles auswählen
To disable UAC remote restrictions, follow these steps:
Click Start, click Run, type regedit, and then press ENTER.
Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
If the LocalAccountTokenFilterPolicy registry entry does not exist, follow these steps:
On the Edit menu, point to
New, and then click DWORD Value.
Type
LocalAccountTokenFilterPolicy, and then press ENTER.
Right-click LocalAccountTokenFilterPolicy, and then click
Modify.
In the Value data box, type
1, and then click OK.
Exit Registry Editor.
https://support.microsoft.com/en-us/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows
Und noch einmal probieren.
Re: Win10 & opsi-deploy-client-agent
Verfasst: 25 Jul 2017, 13:36
von rbroda
@uncle_scrooge: Du bist ein Schatz!
Es fehlte tatsächlich der Schlüsseleintrag LocalAccountTokenFilterPolicy.
Vielen Dank! Funktioniert!