Zum Inhalt wechseln


Foto

MSI-Installation über GPO zieht nicht

Active Directory

  • Bitte melde dich an um zu Antworten
48 Antworten in diesem Thema

#1 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 14. Mai 2014 - 12:11

Hallo zusammen

 

Ich möchte zwei MSI-Pakete über eine GPO an bestimmte Computer verteilen.

 

> Dazu habe ich eine neue OU = 'X' erstellt und einen Testrechner in diese OU verschoben. Die OU (X) befindet sich innerhalb einer anderen OU "Y", wo sich die anderen Rechner befinden.

> In der Gruppenrichtlinienverwaltung habe ich dieser OU (X) dann eine neue GPO zugewiesen mit einem Softwarepaket (Anhang 1.jpg)

> Der Share, auf welchem sich das MSI-Paket befindet, hat eine Berechtigung für den Testrechner erhalten. (siehe Anhang 2.jpg) Der Share ist ein qnap-NAS mit direkter Anbindung an die lokale Domäne

 

Ich führe nun ein 'gpupdate /force' auf dem Testrechner per cmd (als Administrator) durch und starte den Rechner neu.

 

Nun sollte ja eigentlich das MSI installiert werden, bevor der Anmeldebildschirm kommt? Das klappt leider nicht.

Im Eventlog des Testrechners ist kein Eintrag mit "MSInstaller" mit allfälligen Fehler zu finden. Es gibt es keine GPO-Fehler, die auf ein Problem hinweisen...

 

Danke für die Hilfe!

 

Gruss

Hitsch

Angehängte Dateien

  • Angehängte Datei  01.jpg   68,46K   19 Mal heruntergeladen
  • Angehängte Datei  02.jpg   36,48K   19 Mal heruntergeladen


#2 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 14. Mai 2014 - 12:39

Hallo,

 

wurde mal geschaut, ob das GPO wirkt mit

 

gpresult /h gpreport.html

 

oder

 

rsop.msc

 

Ist die MSI wirklich eine unter System ausführbare? Ich habe schon nur unter Benutzer ausführbare MSI erlebt, konnte das denn auch mit einem MSI-Editor anzeigen.


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#3 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 14. Mai 2014 - 13:05

Hi,

 

Ja in der Zusammenfassung von gpresult ist die GPO unter "Angewendete Gruppenrichtlinienobjekte" aufgelistet.

 

Beim "Komponentenstatus" sind alle Einträge auf erfolgreich.

 

Das MSI entpackt diverse Programmdateien (dll's, pnl's, exe, ini, etc.) unter C:\Progra~2\ [Verzeichnis xy] und führt einige vbs-Scripts aus. Das MSI selber läuft problemlos durch, wenn man es manuell startet.

 

Was meinst Du mit "eine unter System ausführbare"?

Das MSI verlangt keine Interaktionen von einem Benutzer.

 

Folgende Computerkonfigurationen sind ausserdem definiert:

 

 

 

 

Angehängte Dateien

  • Angehängte Datei  03.jpg   78,32K   8 Mal heruntergeladen


#4 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 14. Mai 2014 - 13:32

Wenn Du die Installation an Computer verteilst, brauchen auf die Computer Zugriff auf die Installations-Freigabe. Wie sollen sie sonst das MSI abrufen können? Leider hast Du da ja alles zensiert, da ist nicht ersichtlich, ob die das dürfen. Tipp: Trage die Gruppe der Domänencomputer in die Freigabe- und NTFS-Berechtigungen mit ein, wenn sowas wie Jeder oder Authentifizierte Benutzer da nicht drin sind.

 

Du solltest in der Ereignisanzeige auch entsprechende Hinweise darauf finden. Hast Du da schonmal reingeschaut?

 

Have fun!
Daniel


.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#5 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 14. Mai 2014 - 13:55

Hallo Daniel

 

Ja in der Ereignisanzeige steht leider kein einziger Hinweis auf ein Zugriffsproblem, oder dass eine GPO nicht sauber angewendet werden konnte.

 

Ich habe den betroffenen Testrechner für diesen Share-Folger berechtigt, sieht man im Anhang 2 oben.

Ich habe nun die Gruppe Domänencomputer berechtigt (Lesen, Ausführen) und versuche nochmals...

 

 

 

 



Hat leider noch nicht funktioniert.

 

> Der Share ist nun folgendermassen berechtigt (Anhanf 04.jpg). Zudem habe ich noch "Jeder" hinzugefügt, der Zugriff sollte also von überall her möglich sein

> In Bild 05.jpg sieht man nun noch ein wenig mehr wie es berechtigt ist...
 

Angehängte Dateien

  • Angehängte Datei  04.jpg   21,76K   8 Mal heruntergeladen
  • Angehängte Datei  05.jpg   92,5K   13 Mal heruntergeladen


#6 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 14. Mai 2014 - 14:07

Was meinst Du mit "eine unter System ausführbare"?

Das MSI verlangt keine Interaktionen von einem Benutzer.

 

Ich habe MSI erlebt, die funktionierten in der Computerconfiguration nicht, nur in der Benutzerkonfiguarion. Mit einem MSI-Editor konnte ich das dann nachschauen, es wurde so angezeigt.

 

Nun ist die Frage, woher kommt diese MSI, ist es eine selbstgebaute?


Bearbeitet von lefg, 14. Mai 2014 - 14:17.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#7 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 14. Mai 2014 - 14:09

Ja genau, die MSI wurde selber mit dem AdvancedInstaller erstellt. Sie ist ein wenig gross (1.1 GB), aber sollte ja kein Problem sein oder?



#8 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 14. Mai 2014 - 14:18

Es ist also eine selbst erstellte? Nun, dann sollte man den Erstellungsprozess mal anschauen, ob es da eine Wahlmöglichkeit Computerkonfiguarion, Benutzerkonfiguaration. Falls es einen Editor gibt, dann sollte ein Nachscahuen auch damit möglich sein.

 

Ob die Grösse eine Rolle spielt? Ich kann es nicht sagen.

 

Nochmal die Frage, ob in der Computerkonfiguration etwas geschieht oder nicht, wird da entpackt, Verzeichnis erstellt? Oder geschieht das nur in händischer Ausführung?

 

Ist es vorstellbar, das eine Ausführung des MSI-Setup es einen Stop gibt, auf eine Eingabe gewartet wird?

 

Oder ob der Installationsprozess zu lange dauert und in einen Timeout läuft?

 

Ob man versucht das mit dem Prozessmonitor mal anschauen?


Bearbeitet von lefg, 14. Mai 2014 - 14:29.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#9 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 14. Mai 2014 - 14:30

Aktivere die Einstellung: Immer auf das Netzwerk warten. Anschließend vorsichtshalber zweimal booten.

BTW: Mit MSI + GPO möchte ich an dieser Stelle nicht mehr arbeiten. Lieber den WSUS Package Publisher in Kombination mit dem WSUS nutzen. Hier findest Du ein paar HowTos zu de Thema: http://wsus.de/lup
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#10 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 14. Mai 2014 - 20:50

Welches OS hat denn der "bestimmte Computer"? Wenn das nicht Windows 8 ist, sollte Dir das AppMgmtDebugLog helfen...

http://technet.micro...3(v=ws.10).aspx

(In Windows 8 und neuer ist das leider kaputt und protokolliert nichts mehr...)


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#11 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 15. Mai 2014 - 12:56

Ich habe nun mit dem LUP für WSUS begonnen.
Habe alles nach Anleitung eingerichtet, auch das Zertifikat hinzugefügt. Nun meldet er aber immer den Fehler "ungültige anweisungs-ausnahme das paket konnte nicht veröffentlicht werden". Die verification des signed certificate sei gescheitert. GPResult zeigt mir aber die Zertifikate auf meiner Wsus-Maschine an...

 



#12 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 15. Mai 2014 - 13:03

Ich habe nun mit dem LUP für WSUS begonnen.


Zukunftssicherer ist der WPP, der LUP läuft nicht auf W2012 und höher, der WPP wird ständig weiterentwickelt.

Habe alles nach Anleitung eingerichtet, auch das Zertifikat hinzugefügt. Nun meldet er aber immer den Fehler "ungültige anweisungs-ausnahme das paket konnte nicht veröffentlicht werden". Die verification des signed certificate sei gescheitert. GPResult zeigt mir aber die Zertifikate auf meiner Wsus-Maschine an...


In der WSUS-FAQ No. 44 findest Du exakte Hinweis auf die Versionsnummer des WSUS. Bitte beachte unbedingt auch den Ausleseort der Versionsnummer. http://www.wsus.de/faq

http://www.wsus.de/i...sus-version.png

WSUS 3.0 (SP2) + KB2720211: Build 3.2.7600.251
WSUS 3.0 (SP2) + KB2734608: Build 3.2.7600.256
WSUS 3.0 (SP2) + KB2828185: Build 3.2.7600.262

Wenn Du das BUILD .262 erreicht hast, dann bitte erneut ein Zertifikat auf dem WSUS vom WPP erzeugen lassen. Das Update erneut publishen und auch das neue Zertifikat per GPO ausrollen. Jetzt nochmal probieren.

BTW: Wenn Du auf einem W7 Client die WSUS-Konsole installiert hast, mußt Du unbedingt den Client auch updaten!
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#13 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 16. Mai 2014 - 08:14

Moin

 

So nun hab ich auch den LUP beerdigt, die aus LUP generierten Zertifikate in der GPO entfernt.

Danach habe ich die gesamte Installation und Konfigurationdes des WPP exakt nach der folgenden Anleitung durchgespielt: http://www.wsus.de/index.php?page=289

 

> Die Zertifikate sind an der richtigen Stelle abgelegt, per MMC kontrolliert (siehe Bild01.jpg)
> In der GPO habe ich die entsprechenden Zertifikate importiert bei "Vertrauenswürtige Stammzertifizierungsstellen" und "Vertrauenswürdige Herausgeber"
> Der gpresult-Bericht zeigt das auch (siehe Bild02.jpg)
> Das MSI liegt auf einem Share, welcher für "Jeder" mit Lese-Rechte versehen ist
> Beim Starten des WPP kommt keine Meldung, dass das Zertifikat nicht korrekt installiert wäre

Das Update Creation Wizard startet, im Status erscheint "CreateCab: [Software].msi", dann ca. 20min später (da das MSI ca. 1.1 GB gross ist) erscheint im Status "PublishPackage: [Software].msi". Weitere Sekunden später erscheint dann trotzdem der Fehler:

Verification of file signature failed for file:
\\ [WSUS-Server] \ UpdateServicesPackages\e0fbcc55-dc74-411f-..._3.cab


Was mache ich noch falsch?
Gibt es ggf. noch Flags in der GPO, die umkonfiguiert werden müssen?
Die Zertifikate habe ich noch nicht auf die OU's der Rechner verteilt, die GPO ist nur auf die OU verteilt, worin der WSUS-Server und auch der Domaincontroller liegt.

Gruss

Hitsch



Folgende WSUS-Version habe ich im Einsatz:
3.2.7600.251



Update:

 

Komischerweise hat das Publishen nun mit einem anderen MSI, das einen Patch auf die Vollversion der Software darstellt, funktioniert.
Somit funktioniert das Publishen also grundsätzlich - und die Suche nach einer Konfigurationsänderung / -problem mit dem AdvancedInstaller beginnt...

Oder kennt jemand ein Tool, mit dem man das MSI auf seine Tauglichkeit für die WSUS-Verteilung via WPP prüfen kann?

Angehängte Dateien


Bearbeitet von Hitsch, 16. Mai 2014 - 07:52.


#14 Sunny61

Sunny61

    Expert Member

  • 22.249 Beiträge

 

Geschrieben 16. Mai 2014 - 08:44

Das Update Creation Wizard startet, im Status erscheint "CreateCab: [Software].msi", dann ca. 20min später (da das MSI ca. 1.1 GB gross ist) erscheint im Status "PublishPackage: [Software].msi". Weitere Sekunden später erscheint dann trotzdem der Fehler:

Verification of file signature failed for file:
\\ [WSUS-Server] \ UpdateServicesPackages\e0fbcc55-dc74-411f-..._3.cab


Was mache ich noch falsch?


Leg das MSI bitte zum Test auf einen lokalen Pfad und versuche es erneut. Bekommst Du dort die gleiche Fehlermeldung solltest Du auf der Site vom WPP ein Ticket eröffnen, der Entwickler ist sehr fleißig in dieser Hinsicht: https://wsuspackagep...item/list/basic

Folgende WSUS-Version habe ich im Einsatz:
3.2.7600.251


Unbedingt zuerst vollständig auf die Version .262 updaten, das habe ich doch schon geschrieben. Weshalb machst Du das nicht?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#15 Hitsch

Hitsch

    Newbie

  • 38 Beiträge

 

Geschrieben 16. Mai 2014 - 11:16

Weisst du auch, wie ich zu dieser Version 3.2.7600.262 komme?

Ich hab die KB's von Microsoft bis anhin irgendwie vergeblich durchsucht oder ich bin unfähig :suspect:

 

 

Habs gefunden, WSUS.de FAQ -> Frage 44 stehts drin ;)

 

 

 

 

Update:
Ich habe nun dieses Ding hier geladen:

 

 

http://www.microsoft...s.aspx?id=38429

 

Er will es aber nicht installieren und bringt den Fehler:

Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Ein Programm, das im Rahmen der Installation ausgeführt wurde, wurde nicht erfolgreich abgeschlossen. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets.


Mein System:
Windows Server 2008 R2 SP1 x64.


Folgenden Fehler habe ich im Eventlog gefunden:

Produkt: Windows Server Update Services 3.0 SP2 -- Fehler 1722. Es liegt ein dieses Windows Installer-Paket betreffendes Problem vor. Ein Programm, das im Rahmen der Installation ausgeführt wurde, wurde nicht erfolgreich abgeschlossen. Wenden Sie sich an das Supportpersonal oder den Hersteller des Pakets. Aktion: ExConfigureDb, Pfad: C:\Windows\Installer\MSI19F7.tmp, Befehl: -S DELTA202\SQLEXPRESS -F SUSDB -i "c:\Program Files\Update Services\Database\CreateDatabase.sql;c:\Program Files\Update Services\Database\mwus_database_schema.sql;c:\Program Files\Update Services\Database\ServerSync.sql;c:\Program Files\Update Services\Database\ClientWebService.sql;c:\Program Files\Update Services\Database\Setup.sql;c:\Program Files\Update Services\Database\Reporting.sql;c:\Program Files\Update Services\Database\ReportingSummarization.sql;c:\Program Files\Update Services\Database\ReportingRollup.sql;c:\Program Files\Update Services\Database\AdminAPI.sql;c:\Program Files\Update Services\Database\popdb.sql;c:\Program Files\Update Services\Database\EvtNamespaceImport.sql;c:\Program Files\Update Services\Database\SqlSettings.sql;c:\Program Files\Update Services\Database\Inventory.sql;c:\Program Files\Update Services\Database\PublicViews.sql" -l "C:\Users\cleadmin\AppData\Local\Temp\MWusCa.log" 

 



Hinweis:
Ich habe die SUS-DB nicht standardmässig eingerichtet, sondern die DB in einer vorhanden SQL-Instanz auf einem anderen Server (DELTA202\SQLEXPRESS) eingerichtet. Hatte bis anhin ja auch nie Probleme mit dem Deployen von Updates mit dieser DB...

Ich hab das Update natürlich auch "als Administrator" ausgeführt.


Bearbeitet von Hitsch, 16. Mai 2014 - 11:21.




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory