Hitsch 0 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 Hallo zusammen Ich möchte zwei MSI-Pakete über eine GPO an bestimmte Computer verteilen. > Dazu habe ich eine neue OU = 'X' erstellt und einen Testrechner in diese OU verschoben. Die OU (X) befindet sich innerhalb einer anderen OU "Y", wo sich die anderen Rechner befinden. > In der Gruppenrichtlinienverwaltung habe ich dieser OU (X) dann eine neue GPO zugewiesen mit einem Softwarepaket (Anhang 1.jpg) > Der Share, auf welchem sich das MSI-Paket befindet, hat eine Berechtigung für den Testrechner erhalten. (siehe Anhang 2.jpg) Der Share ist ein qnap-NAS mit direkter Anbindung an die lokale Domäne Ich führe nun ein 'gpupdate /force' auf dem Testrechner per cmd (als Administrator) durch und starte den Rechner neu. Nun sollte ja eigentlich das MSI installiert werden, bevor der Anmeldebildschirm kommt? Das klappt leider nicht. Im Eventlog des Testrechners ist kein Eintrag mit "MSInstaller" mit allfälligen Fehler zu finden. Es gibt es keine GPO-Fehler, die auf ein Problem hinweisen... Danke für die Hilfe! Gruss Hitsch Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 Hallo, wurde mal geschaut, ob das GPO wirkt mit gpresult /h gpreport.html oder rsop.msc Ist die MSI wirklich eine unter System ausführbare? Ich habe schon nur unter Benutzer ausführbare MSI erlebt, konnte das denn auch mit einem MSI-Editor anzeigen. Zitieren Link zu diesem Kommentar
Hitsch 0 Geschrieben 14. Mai 2014 Autor Melden Teilen Geschrieben 14. Mai 2014 Hi, Ja in der Zusammenfassung von gpresult ist die GPO unter "Angewendete Gruppenrichtlinienobjekte" aufgelistet. Beim "Komponentenstatus" sind alle Einträge auf erfolgreich. Das MSI entpackt diverse Programmdateien (dll's, pnl's, exe, ini, etc.) unter C:\Progra~2\ [Verzeichnis xy] und führt einige vbs-Scripts aus. Das MSI selber läuft problemlos durch, wenn man es manuell startet. Was meinst Du mit "eine unter System ausführbare"? Das MSI verlangt keine Interaktionen von einem Benutzer. Folgende Computerkonfigurationen sind ausserdem definiert: Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 Wenn Du die Installation an Computer verteilst, brauchen auf die Computer Zugriff auf die Installations-Freigabe. Wie sollen sie sonst das MSI abrufen können? Leider hast Du da ja alles zensiert, da ist nicht ersichtlich, ob die das dürfen. Tipp: Trage die Gruppe der Domänencomputer in die Freigabe- und NTFS-Berechtigungen mit ein, wenn sowas wie Jeder oder Authentifizierte Benutzer da nicht drin sind. Du solltest in der Ereignisanzeige auch entsprechende Hinweise darauf finden. Hast Du da schonmal reingeschaut? Have fun!Daniel Zitieren Link zu diesem Kommentar
Hitsch 0 Geschrieben 14. Mai 2014 Autor Melden Teilen Geschrieben 14. Mai 2014 Hallo Daniel Ja in der Ereignisanzeige steht leider kein einziger Hinweis auf ein Zugriffsproblem, oder dass eine GPO nicht sauber angewendet werden konnte. Ich habe den betroffenen Testrechner für diesen Share-Folger berechtigt, sieht man im Anhang 2 oben. Ich habe nun die Gruppe Domänencomputer berechtigt (Lesen, Ausführen) und versuche nochmals... Hat leider noch nicht funktioniert. > Der Share ist nun folgendermassen berechtigt (Anhanf 04.jpg). Zudem habe ich noch "Jeder" hinzugefügt, der Zugriff sollte also von überall her möglich sein > In Bild 05.jpg sieht man nun noch ein wenig mehr wie es berechtigt ist... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 (bearbeitet) Was meinst Du mit "eine unter System ausführbare"? Das MSI verlangt keine Interaktionen von einem Benutzer. Ich habe MSI erlebt, die funktionierten in der Computerconfiguration nicht, nur in der Benutzerkonfiguarion. Mit einem MSI-Editor konnte ich das dann nachschauen, es wurde so angezeigt. Nun ist die Frage, woher kommt diese MSI, ist es eine selbstgebaute? bearbeitet 14. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Hitsch 0 Geschrieben 14. Mai 2014 Autor Melden Teilen Geschrieben 14. Mai 2014 Ja genau, die MSI wurde selber mit dem AdvancedInstaller erstellt. Sie ist ein wenig gross (1.1 GB), aber sollte ja kein Problem sein oder? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 (bearbeitet) Es ist also eine selbst erstellte? Nun, dann sollte man den Erstellungsprozess mal anschauen, ob es da eine Wahlmöglichkeit Computerkonfiguarion, Benutzerkonfiguaration. Falls es einen Editor gibt, dann sollte ein Nachscahuen auch damit möglich sein. Ob die Grösse eine Rolle spielt? Ich kann es nicht sagen. Nochmal die Frage, ob in der Computerkonfiguration etwas geschieht oder nicht, wird da entpackt, Verzeichnis erstellt? Oder geschieht das nur in händischer Ausführung? Ist es vorstellbar, das eine Ausführung des MSI-Setup es einen Stop gibt, auf eine Eingabe gewartet wird? Oder ob der Installationsprozess zu lange dauert und in einen Timeout läuft? Ob man versucht das mit dem Prozessmonitor mal anschauen? bearbeitet 14. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 Aktivere die Einstellung: Immer auf das Netzwerk warten. Anschließend vorsichtshalber zweimal booten. BTW: Mit MSI + GPO möchte ich an dieser Stelle nicht mehr arbeiten. Lieber den WSUS Package Publisher in Kombination mit dem WSUS nutzen. Hier findest Du ein paar HowTos zu de Thema: http://wsus.de/lup Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 14. Mai 2014 Melden Teilen Geschrieben 14. Mai 2014 Welches OS hat denn der "bestimmte Computer"? Wenn das nicht Windows 8 ist, sollte Dir das AppMgmtDebugLog helfen... http://technet.microsoft.com/en-us/library/cc775423%28v=ws.10%29.aspx (In Windows 8 und neuer ist das leider kaputt und protokolliert nichts mehr...) Zitieren Link zu diesem Kommentar
Hitsch 0 Geschrieben 15. Mai 2014 Autor Melden Teilen Geschrieben 15. Mai 2014 Ich habe nun mit dem LUP für WSUS begonnen.Habe alles nach Anleitung eingerichtet, auch das Zertifikat hinzugefügt. Nun meldet er aber immer den Fehler "ungültige anweisungs-ausnahme das paket konnte nicht veröffentlicht werden". Die verification des signed certificate sei gescheitert. GPResult zeigt mir aber die Zertifikate auf meiner Wsus-Maschine an... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 15. Mai 2014 Melden Teilen Geschrieben 15. Mai 2014 Ich habe nun mit dem LUP für WSUS begonnen. Zukunftssicherer ist der WPP, der LUP läuft nicht auf W2012 und höher, der WPP wird ständig weiterentwickelt. Habe alles nach Anleitung eingerichtet, auch das Zertifikat hinzugefügt. Nun meldet er aber immer den Fehler "ungültige anweisungs-ausnahme das paket konnte nicht veröffentlicht werden". Die verification des signed certificate sei gescheitert. GPResult zeigt mir aber die Zertifikate auf meiner Wsus-Maschine an... In der WSUS-FAQ No. 44 findest Du exakte Hinweis auf die Versionsnummer des WSUS. Bitte beachte unbedingt auch den Ausleseort der Versionsnummer. http://www.wsus.de/faq http://www.wsus.de/images/wsus-version.png WSUS 3.0 (SP2) + KB2720211: Build 3.2.7600.251 WSUS 3.0 (SP2) + KB2734608: Build 3.2.7600.256 WSUS 3.0 (SP2) + KB2828185: Build 3.2.7600.262 Wenn Du das BUILD .262 erreicht hast, dann bitte erneut ein Zertifikat auf dem WSUS vom WPP erzeugen lassen. Das Update erneut publishen und auch das neue Zertifikat per GPO ausrollen. Jetzt nochmal probieren. BTW: Wenn Du auf einem W7 Client die WSUS-Konsole installiert hast, mußt Du unbedingt den Client auch updaten! Zitieren Link zu diesem Kommentar
Hitsch 0 Geschrieben 16. Mai 2014 Autor Melden Teilen Geschrieben 16. Mai 2014 (bearbeitet) Moin So nun hab ich auch den LUP beerdigt, die aus LUP generierten Zertifikate in der GPO entfernt. Danach habe ich die gesamte Installation und Konfigurationdes des WPP exakt nach der folgenden Anleitung durchgespielt: http://www.wsus.de/index.php?page=289 > Die Zertifikate sind an der richtigen Stelle abgelegt, per MMC kontrolliert (siehe Bild01.jpg)> In der GPO habe ich die entsprechenden Zertifikate importiert bei "Vertrauenswürtige Stammzertifizierungsstellen" und "Vertrauenswürdige Herausgeber"> Der gpresult-Bericht zeigt das auch (siehe Bild02.jpg)> Das MSI liegt auf einem Share, welcher für "Jeder" mit Lese-Rechte versehen ist> Beim Starten des WPP kommt keine Meldung, dass das Zertifikat nicht korrekt installiert wäreDas Update Creation Wizard startet, im Status erscheint "CreateCab: [software].msi", dann ca. 20min später (da das MSI ca. 1.1 GB gross ist) erscheint im Status "PublishPackage: [software].msi". Weitere Sekunden später erscheint dann trotzdem der Fehler:Verification of file signature failed for file:\\ [WSUS-Server] \ UpdateServicesPackages\e0fbcc55-dc74-411f-..._3.cabWas mache ich noch falsch?Gibt es ggf. noch Flags in der GPO, die umkonfiguiert werden müssen?Die Zertifikate habe ich noch nicht auf die OU's der Rechner verteilt, die GPO ist nur auf die OU verteilt, worin der WSUS-Server und auch der Domaincontroller liegt.Gruss Hitsch Folgende WSUS-Version habe ich im Einsatz:3.2.7600.251 Update: Komischerweise hat das Publishen nun mit einem anderen MSI, das einen Patch auf die Vollversion der Software darstellt, funktioniert.Somit funktioniert das Publishen also grundsätzlich - und die Suche nach einer Konfigurationsänderung / -problem mit dem AdvancedInstaller beginnt...Oder kennt jemand ein Tool, mit dem man das MSI auf seine Tauglichkeit für die WSUS-Verteilung via WPP prüfen kann? bearbeitet 16. Mai 2014 von Hitsch Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 16. Mai 2014 Melden Teilen Geschrieben 16. Mai 2014 Das Update Creation Wizard startet, im Status erscheint "CreateCab: [software].msi", dann ca. 20min später (da das MSI ca. 1.1 GB gross ist) erscheint im Status "PublishPackage: [software].msi". Weitere Sekunden später erscheint dann trotzdem der Fehler: Verification of file signature failed for file: \\ [WSUS-Server] \ UpdateServicesPackages\e0fbcc55-dc74-411f-..._3.cab Was mache ich noch falsch? Leg das MSI bitte zum Test auf einen lokalen Pfad und versuche es erneut. Bekommst Du dort die gleiche Fehlermeldung solltest Du auf der Site vom WPP ein Ticket eröffnen, der Entwickler ist sehr fleißig in dieser Hinsicht: https://wsuspackagepublisher.codeplex.com/workitem/list/basic Folgende WSUS-Version habe ich im Einsatz: 3.2.7600.251 Unbedingt zuerst vollständig auf die Version .262 updaten, das habe ich doch schon geschrieben. Weshalb machst Du das nicht? Zitieren Link zu diesem Kommentar
Hitsch 0 Geschrieben 16. Mai 2014 Autor Melden Teilen Geschrieben 16. Mai 2014 (bearbeitet) Weisst du auch, wie ich zu dieser Version 3.2.7600.262 komme? Ich hab die KB's von Microsoft bis anhin irgendwie vergeblich durchsucht oder ich bin unfähig :suspect: Habs gefunden, WSUS.de FAQ -> Frage 44 stehts drin ;) Update:Ich habe nun dieses Ding hier geladen: http://www.microsoft.com/de-ch/download/details.aspx?id=38429 Er will es aber nicht installieren und bringt den Fehler: Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Ein Programm, das im Rahmen der Installation ausgeführt wurde, wurde nicht erfolgreich abgeschlossen. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Mein System:Windows Server 2008 R2 SP1 x64.Folgenden Fehler habe ich im Eventlog gefunden: Produkt: Windows Server Update Services 3.0 SP2 -- Fehler 1722. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Ein Programm, das im Rahmen der Installation ausgeführt wurde, wurde nicht erfolgreich abgeschlossen. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: ExConfigureDb, Pfad: C:\Windows\Installer\MSI19F7.tmp, Befehl: -S DELTA202\SQLEXPRESS -F SUSDB -i "c:\Program Files\Update Services\Database\CreateDatabase.sql;c:\Program Files\Update Services\Database\mwus_database_schema.sql;c:\Program Files\Update Services\Database\ServerSync.sql;c:\Program Files\Update Services\Database\ClientWebService.sql;c:\Program Files\Update Services\Database\Setup.sql;c:\Program Files\Update Services\Database\Reporting.sql;c:\Program Files\Update Services\Database\ReportingSummarization.sql;c:\Program Files\Update Services\Database\ReportingRollup.sql;c:\Program Files\Update Services\Database\AdminAPI.sql;c:\Program Files\Update Services\Database\popdb.sql;c:\Program Files\Update Services\Database\EvtNamespaceImport.sql;c:\Program Files\Update Services\Database\SqlSettings.sql;c:\Program Files\Update Services\Database\Inventory.sql;c:\Program Files\Update Services\Database\PublicViews.sql" -l "C:\Users\cleadmin\AppData\Local\Temp\MWusCa.log" Hinweis:Ich habe die SUS-DB nicht standardmässig eingerichtet, sondern die DB in einer vorhanden SQL-Instanz auf einem anderen Server (DELTA202\SQLEXPRESS) eingerichtet. Hatte bis anhin ja auch nie Probleme mit dem Deployen von Updates mit dieser DB...Ich hab das Update natürlich auch "als Administrator" ausgeführt. bearbeitet 16. Mai 2014 von Hitsch Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.