Agentverteilung geht nicht

Moderatoren: MVogt, moderators

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Agentverteilung geht nicht

Beitrag von hwk06 » 13. Sep 2007, 19:38

Hallo Zusammen,

habe riesen Probleme mit der Agentverteilung. Wir haben 4 Domänen. In einer steht der Empirum Master und in den andern 3 die Depots. Vertrauensstellung usw. ist alles eingerichtet.
Alles was nicht funktioniert ist die Verteilung des Agents, wo er Zugriff verweigert, überlappender E/A usw. ausgibt. Alle Passwörter versucht. Auf den Depot Servern installiert er die Agents, nur auf den Clients nicht.
In einer Domäne habe ich die Agent.exe dann lokal auf den Rechnern ausgeführt. Dienste werden installiert. In einer anderen Domäne werden nicht mal bei lokaler Ausführung die Dienste installiert.

Hab hier im Forum auch schon Tips gefunden, die aber nichts gebracht haben. Er will den Agent nicht installieren. Dienste sind alle gestartet. admin$ funktioniert usw. usw. Alles da, aber er will nicht <sniff>

Hat jemand ne Info?!

Vielen Dank

Björn
have you tried turning it off and on again ;-)

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7537
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Beitrag von Hendrik_Ambrosius » 13. Sep 2007, 21:02

Mit welchem User startet denn der Empirum Agent?
Ich würde in solchen Umgebungen "local system" nehmen - das geht immer.
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 13. Sep 2007, 22:03

Ja, das habe ich auch versucht. Hab nen Agent erstellt mit local system als Account und in lokal auf einem PC installiert. Wieder kein Agent Service installiert :( In der andern Domäne, in der es funktioniert hat, habe ich den Domänenadmin in der Agent Config. Dort wurde alles installiert.

Alles, was remote ist, geht nicht und in der einen Domäne funktioniert es nicht mal, lokal zu installieren <verzweifel>

Schon mal Danke

Björn
have you tried turning it off and on again ;-)

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7537
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Beitrag von Hendrik_Ambrosius » 13. Sep 2007, 22:32

Dann müssen irgendwelche Gruppenrichtlinien aktiv sein, die das verhindern.
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 14. Sep 2007, 18:13

Ok, werde das mal checken. War heut nicht im Geschäft. Ist echt komisch.

Danke

Björn
have you tried turning it off and on again ;-)

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 24. Okt 2007, 18:06

Hallo Hendrik,

ich muss Sie nochmals belästigen bezüglich des Agent Problems. Bin endlich mal wieder vor Ort und hätte 2 Dinge, die mir aufgefallen sind.

1. DNS Problem. 4 Domänen. Alle separate Gesamtstruktur, jedoch hat jede zur Domäne, in der der Empirum Master steht, eine Vertrauensstellung. DNS habe ich jeweils aus der Empirum Master Domäne eine sekundäre Zone mit der jeweiligen Schuldomäne erstellt. Vice versa in jeder Schuldomäne eine sek. Zone für die des Empirum Masters. Funktioniert und DNS Einträge werden abgeglichen.

Problem: Ich habe drei Agent Konfigurationen. Für jede Schuldomäne eine. Um einen PC zu einer Gruppe hinzuzufügen, kann ich die Schuldomäne nicht hinzufügen, also füge ich den PC manuell hinzu. Also Rechtsklick und Computer einfügen. Dort trage ich den Computer ein, die Domäne z.B. schulung.de und den Haken bei Domäne. Will ich den Agent jetzt pushen, findet er den PC nicht. DNS-Auflösung funktioniert nur bei z.B. ping pc1.schulung.de, nicht aber ping pc1 und genau deshalb findet Empirum den PC nicht. Trotz dass ich die Domäne angebe und den Haken setze, versucht er die Auflösung des Namens nicht inkl. Domäne.

Ich muss zusätzlich in der Empirum Master Domäne im DNS einen A-Eintrag mit dem Namen des PC´s der anderen Domäne machen, damit er auch gefunden wird.

Geht das auch, ohne später für jeden PC noch einen separaten Eintrag zu machen?

2. DNS Name habe ich jetzt zur Stammdomäne hinzugefügt, sodass der PC gefunden wird. Jetzt gibt es den Rechtsklick auf die Gruppenkonfiguration -> Kennwörter... Egal, wie ich dort Kennwörter eintrage, bekomme ich Zugriff verweigert. Habe es versucht mit:

(Domänenbenutzer) schulung\administrator + kennwort
(lokaler Admin jew. Domäne) administrator + kennwort

Jedes Mal Zugriff verweigert. Ich nehme den Domänenadmin der jeweiligen Domain. Wenn ich die agentschul1.exe direkt vom Depotserver ausführe, wird der Dienst installiert und läuft. Rechtemässig müßte es funktionieren. In der Agentconfig steht auch der Domänenadmin drin.

Was muss ich bei Kennwörter... für die jeweilige Domain eingeben?

Steh da "etwas" auf dem Schlauch...

Vielen Dank

Gruss

Björn
have you tried turning it off and on again ;-)

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 24. Okt 2007, 19:41

PS: Kann es auch sein, dass, wenn ich den lokalen Admin der jeweiligen Domäne versuche, er Zugriff verweigert bringt, weil das Passwort Sonderzeichen wie Komma enthält?

Dieses Problem hatten wir auch bei Neuinstallation von Rechnern, als wir das lokale Adminpasswort vergeben haben. Er hat es nie geschafft, den PC fertig zu installieren, weil die Anmeldung nicht geklappt hat. Bis wir da mal drauf kamen :-)

Der Domadmin sollte aber zumindest funktionieren. Keine Sonderzeichen...

Danke und Gruss
have you tried turning it off and on again ;-)

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7537
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Beitrag von Hendrik_Ambrosius » 24. Okt 2007, 21:32

Zu 1: Nein, der PC muss nur mit seinem Namen anpingbar sein, ohne vollen DNS-Namen. Ein Hostfile könnte helfen. Oder das Verteilen des Agenten z.B. per Login-Script statt RPC-Push.
Zu 2: Geht denn ein "net use" auf admin$ des remote-PCs mit dem Account? Sonst einfach Verteilung per Login-Script.
Kennwörter eingeben: Naja, das gültige Kennwort eben.
Sonderzeichen sollten OK sein - wenn wir hier nicht über arabische oder chinesische Zeichen sprechen - das habe ich noch nicht getestet ;-)
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 24. Okt 2007, 23:14

Falsch geraten, es war japanisch ;-)

zu 1. Unser DNS löst die Namen von der Domain des Empirum Masters in die andere Domain aber nur mit vollqualif. Domainnamen auf. Wollte eigentlich ungern nen extra Hostfile pflegen oder die Namen im DNS Baum des Empirum Masters manuell nochmal einpflegen.

zu 2. admin$ sollte gehen. Versuch es aber erst nochmal, bevor ich hier was Falsches sage. Hab in nem anderen Thread gelesen, dass der Admin nicht genommen werden sollte bei "überlappender E/A...." Sollte aber eigentlich nicht so sein oder? Wir haben im Verwaltungsnetz auch den Admin drin und es funkt bestens.

Zum Loginskript. Auf das wird es hinauslaufen, aber so ist es halt. Man will den Dingen immer auf den Grund gehen, damit man glücklich und zufrieden abends in Bett kann :P

Schönen Gruss und ein Lob an Sie...Tag und Nacht für seine User da.

Support --> Matrix42 --> TOP

Björn
have you tried turning it off and on again ;-)

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7537
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Beitrag von Hendrik_Ambrosius » 25. Okt 2007, 05:50

zu 1: Dann geht kein Agent-Push per RPC.
zu 2: Können wir dann sowieso vergessen (siehe 1). Login-Script ist aber eh viel einfacher. Am besten mit dem FDN-Bulli-Creator, der baut einen Wrapper um die agennt.exe herum, so dass sie automatisch mit den richtigen Admin-Rechten gestartet wird. Bei Interesse bitte EMail an mich.

Lob: Vielen Dank :-)
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Benutzeravatar
Hendrik_Ambrosius
Moderator
Moderator
Beiträge: 7537
Registriert: 13. Dez 2004, 23:10
Wohnort: Adendorf/Lüneburg

Beitrag von Hendrik_Ambrosius » 25. Okt 2007, 08:44

Habe das Tool auch noch mal hier abgelegt:
http://hyperupload.com/download/0211a02 ... p.exe.html
Wenn der Download nicht klappen sollte -> EMail.
Hendrik Ambrosius / Senior Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 AG | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com

Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 AG or of the support team.

Viper9000
Beiträge: 307
Registriert: 13. Okt 2005, 20:44
Kontaktdaten:

Beitrag von Viper9000 » 25. Okt 2007, 10:02

Hallo Björn,

ich will mich vergewissern, ob ich deine Umgebung richtig verstanden habe.

Dom1: Hauptdomäne mit EmpirumMaster
Dom2: Schulungsdomäne 1 mit Depot
Dom3: Schulungsdomäne 2 mit Depot
Dom4: Schulungsdomäne 3 mit Depot

Ist das so korrekt?

zu 1: Deine DNS Server arbeiten aus meiner Sicht absolut korrekt. Sie müssen mit dem FQDN antworten, weil die Möglichkeit bestände, dass in jeder DNS Zone ein Computer mit gleichem PC-Namen aber unterschiedlicher Domäne Bsp. PC1.Hauptdomaene.de und pc1.schulungdomaene1.de. Eine Auflösung nur mit PC Namen ist auch kein DNS sondern NetBIOS (WINS) oder NetBIOS over TCP/IP. Wenn der Empirum Agent für den RPC Call nur einen PC Namen erwartet, dann funktioniert dies nicht domänenübergreifend mit Push. Mit einer Host-Datei würde ich überhaupt nicht anfangen, weil diese manuell gepflegt werden muss und den DNS-Server aushebelt. Außerdem läufst du da in das gleiche Problem mit gleichen PC-Namen in unterschiedlichen Domänen. Also die Variante per Startup-Skript=Per Maschine (nicht Logon-Skript=per User) wäre eine Alternative. Wenn du es per Logon Skript machst muss der User wieder die Rechte haben. Also wäre per Startup Skript definitiv besser. Aus meiner Sicht besser wäre die Verteilung des Agents via MSI und damit per GPO Softwareverteilung. Dazu habe ich den Agent immer als MSI gebaut und sauber die Dienste via MSI Installer Dienst installiert und konfiguriert. Beide Verfahren haben den positiven Effekt, dass der Agent nur auf den Systemen installiert wird, die Mitglied der Domäne sind. D.h. unberechtigte sperrt man aus.

zu 2: Rechte: Der lokale User eines PCs kann keine Rechte auf dem Empirum-Share haben, sofern nicht Everyone READ gesetzt ist. Der jeweilige Installuser muss min. lesende Rechte auf das Depotshare haben. Bitte prüfe, ob auch wirklich auf den jeweiligen Depotserver zugegriffen wird oder doch auf den Hauptserver - sprich überprüfe die Umgebungsvariable %Empirumserver% auf dem Client. Problem lokale Installation der Dienste: Hier würde ich mal Eventlog, Debugview usw. bemühen, vielleicht sieht man dann mehr. Zur Fehlereingrenzung des Rechte Problems würde ich systematisch alle Rechte überprüfen.

1. Install User = lokale Adminrechte
2. Install User = lesende Rechte auf das Depotshare


Wie holst du deine PCs in die Empirum Datenbank aus den verschiedenen Domänen? Via LDAP-Sync?

Gruß Viper

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 25. Okt 2007, 10:34

Vielen, vielen Dank für die Infos!

@Hendrik Ich werde auf Ihre Hinweise hören und bin grad am Erstellen des Loginskriptes. Sende Ihnen gleich mal noch ne Mail. Download funktioniert nicht. Datei 0Byte...

@Viper 1. Ja, das mit DNS wusste ich. Mir ging es darum, ob Empirum den PC erreicht, indem ich beim PC hinzufügen Domäne und Haken setze. Dachte eigentlich, dass er den PC dann auch versucht mit vollqualifiziertem Domänennamen zu erreichen.
2. Berechtigungen habe ich noch nicht geändert. Sind alle noch auf Standard. Also jeder "fast" alles :-) Daran sollte es nicht liegen. Habe es ja auch mit Domänenadmin versucht, doch dasselbe. Werde aber nachher gleich nochmal schauen.

Zu PC´s in Datenbank. Über PXE Boot. Werden in Depotserver geschrieben und zum Empirum Master abgeglichen. Dort konfiguriere ich dann jeden PC einzeln mit IP usw.

Zum Schluss:

IHR HABT MICH ÜBERREDET :) Werde ein Loginskript erstellen.

Vielen Dank Euch Beiden!

Björn
have you tried turning it off and on again ;-)

Viper9000
Beiträge: 307
Registriert: 13. Okt 2005, 20:44
Kontaktdaten:

Beitrag von Viper9000 » 25. Okt 2007, 10:51

Hi,

@Login-Skript: Meinst du damit jetzt ein Skript per Computer oder per User in der Gruppenrichtlinie. Wenn du es per Computer meinst, dann heißt es korrekterweise Startup-Script.

@PCs in Datenbank: Wenn du es mit dem LDAP-SyncDienst machst, dann kannst du automatisch alle Computerkonten der jeweiligen Domäne in die Datenbank pumpen. Man kann genau festlegen, welche OU (oder Baum) in der jeweiligen Domäne mit welcher Konfigurationsgruppe synchronisiert wird. Vorteil du nimmst nur die PCs welche in der Domäne wirklich existieren und zweitens ist dein Haken Domäne gleich aktiviert und es steht die Domäne gleich drin aus der der PC stammt. Wenn du nun noch die MAC in einem Attribut im AD hinterlegst und mit abgleichst, dann ist diese auch gleich drin. Bootet so ein Rechner dann das erste Mal am Netz, dann wird auch gleich der Haken PC fähig gesetzt.

Gruß Viper

Benutzeravatar
hwk06
Beiträge: 406
Registriert: 31. Mai 2007, 15:54
Wohnort: Freiburg
Kontaktdaten:

Beitrag von hwk06 » 25. Okt 2007, 11:27

@LoginSkript Ich frage im Skript einfach nach der Variable %computername% ab. Wenn sie übereinstimmt, wird das Skript ausgeführt. Dann ist es egal, ob User oder Computer.

@PCs in Datenbank Das ist mal ne neue Info, die ich so nicht wußte. Leider werde ich das hinten anstellen müssen. Ist aber ein sehr interessanter Ansatz, den ich mit Sicherheit noch umsetzen werde. LDAP haben wir bisher noch nicht aktiviert.

Vielen Dank für die Info...Wieder was Neues gelernt...

Gruss

Björn
have you tried turning it off and on again ;-)

Antworten

Zurück zu „Software Management“

Wer ist online?

Mitglieder in diesem Forum: Majestic-12 [Bot] und 1 Gast