Seite 1 von 1
Problem mit HTTPS? PC wird nicht erkannt
Veröffentlicht: 5. Juli 2018 - 14:17 Uhr
von jojo57
Hallo, ich installiere den WAPT-Agenten mit waptdeploy, sowohl mit einem Anmeldeskript als auch mit einer Gruppenrichtlinie. Auf den meisten PCs funktioniert es einwandfrei, aber auf etwa zehn (von ca. 80) schlägt die Installation fehl. Zur Klarstellung: Die Gruppenrichtlinie ist eine Computer-Gruppenrichtlinie (und verfügt daher über Administratorrechte), und das Anmeldeskript verwendet ein AutoIt-Skript, das ihm ebenfalls lokale Administratorrechte gewährt (dies funktionierte einwandfrei mit WAPT 1.3 und daher auch hier für die überwiegende Mehrheit mit WAPT 1.5). Hier die Fehlermeldung: (Ich habe meine Domäne durch xxxx ersetzt) ----------------------------------------------------------------------------------------------- Erforderliche WAPT-Version: erzwingen Pfad zum WAPT-Agenten: C:\Windows\TEMP\waptagent.exe Wget new waptagent from
https://wapt2.xxxx.local/wapt/waptagent.exe Versuch,
https://wapt2.xxxx.local/wapt/waptagent.exe zu erreichen ... Erreichbar, Download läuft ... Fertig. Bereinigung... Es ist eine unbehandelte Ausnahme aufgetreten (Zeile $00416608): EFOpenError: Die Datei "C:\Windows\TEMP\waptagent.exe" konnte nicht geöffnet werden. (Zeile $00416608 $004164B0 $00440216 $004047C9) ----------------------------------------------------------------------------------------------- Das Anmeldeskript (als Administrator) : \\Server\NETLOGON\waptdeploy.exe --hash=my_hash --minversion=1.5.1.23 --wait=15 --waptsetupurl=
https://wapt2.xxxx.local/wapt/waptagent.exe ----------------------------------------------------------------------------------------------- Nach einiger Recherche stellte ich fest, dass es funktioniert, wenn ich die Adresse für wapturl als http statt als https eingebe. Dies entspricht dem Fehler: Die Datei "C:\Windows\TEMP\waptagent.exe" konnte nicht geöffnet werden. Waptdeploy konnte Waptagent anscheinend nicht per HTTPS vom Wapt-Server herunterladen. Ich vermute, dass auf einigen PCs ein Zertifikat fehlt, habe aber keine spezifischen Zertifikate bereitgestellt. Sollte ich das (per Gruppenrichtlinie?) nachholen? Wenn ja, welches Zertifikat und wo? Und warum funktioniert es auf den meisten PCs, aber nicht auf allen? Dieses Problem ist sehr störend, und ich möchte ungern weiterhin HTTP verwenden, da dies in einer zukünftigen Wapt-Version möglicherweise nicht mehr funktioniert (und ich bin mir nicht sicher, ob es auf allen PCs per HTTP funktionieren wird; ich teste es gerade...). Danke.
Betreff: Problem mit HTTPS? PC wird nicht erkannt
Veröffentlicht: 5. Juli 2018 - 17:36 Uhr
von dcardon
Hallo jojo57,
jojo57 schrieb: ↑5. Juli 2018 - 14:17 Uhr Hallo, ich installiere den WAPT-Agenten mit waptdeploy mithilfe eines Anmeldeskripts und einer Gruppenrichtlinie. Auf den meisten PCs funktioniert die Installation einwandfrei, aber auf etwa zehn (von ca. 80) schlägt sie fehl. Ich möchte klarstellen, dass es sich bei der Gruppenrichtlinie um eine Computer-Gruppenrichtlinie handelt (und sie daher Administratorrechte besitzt) und dass die Anmeldung über ein AutoIt-Skript erfolgt, das diesem ebenfalls lokale Administratorrechte gewährt (dies funktionierte mit WAPT 1.3 einwandfrei und daher auch hier für die überwiegende Mehrheit mit WAPT 1.5). Hier ist die Fehlermeldung: (Ich habe meine Domäne durch xxxx ersetzt) ----------------------------------------------------------------------------------------------- Erforderliche WAPT-Version: erzwingen Pfad zum Wapt-Agenten: C:\Windows\TEMP\waptagent.exe Wget new waptagent from
https://wapt2.xxxx.local/wapt/waptagent.exe Versuch,
https://wapt2.xxxx.local/wapt/waptagent.exe zu erreichen ... Erreichbar, Download läuft... Fertig. Bereinigung... Es ist eine unbehandelte Ausnahme aufgetreten (Zeile $00416608): EFOpenError: Die Datei "C:\Windows\TEMP\waptagent.exe" konnte nicht geöffnet werden. (Zeile $00416608 $004164B0 $00440216 $004047C9) ----------------------------------------------------------------------------------------------- Das Anmeldeskript (als Administrator) : \\Server\NETLOGON\waptdeploy.exe --hash=my_hash --minversion=1.5.1.23 --wait=15 --waptsetupurl=
https://wapt2.xxxx.local/wapt/waptagent.exe ----------------------------------------------------------------------------------------------- Nach einiger Recherche stellte ich fest, dass es funktioniert, wenn ich die Adresse für wapturl als http statt als https eingebe. Dies entspricht dem Fehler: Die Datei "C:\Windows\TEMP\waptagent.exe" konnte nicht geöffnet werden. Waptdeploy konnte Waptagent anscheinend nicht per HTTPS vom Wapt-Server herunterladen. Ich vermute, dass auf einigen PCs ein Zertifikat fehlt, habe aber keine spezifischen Zertifikate bereitgestellt. Sollte ich das (per Gruppenrichtlinie?) nachholen? Wenn ja, welches Zertifikat und wo? Und warum funktioniert es auf den meisten PCs, aber nicht auf allen? Dieses Problem ist sehr störend, und ich möchte ungern weiterhin HTTP verwenden, da dies in einer zukünftigen Wapt-Version möglicherweise nicht mehr funktioniert (und ich bin mir nicht sicher, ob es auf allen PCs per HTTP funktionieren wird; ich teste es gerade...). Danke.
Den Protokollen zufolge scheint der Downloadvorgang keine Probleme zu verursachen. Haben Sie überprüft, ob Ihre Antivirensoftware die Datei vor der Ausführung gelöscht hat?
Aufrichtig,
Denis
Betreff: Problem mit HTTPS? PC wird nicht erkannt
Veröffentlicht: 6. Juli 2018 - 9:51 Uhr
von jojo57
Hallo,
ja, ich habe nachgesehen, und das Antivirenprogramm hat nichts gelöscht. Außerdem hätte es vermutlich auch die per HTTP heruntergeladene Datei gelöscht. Wir haben auf allen Arbeitsstationen dasselbe Antivirenprogramm (Firmenversion mit Agent) installiert, warum betrifft es also manche und andere nicht? Ich vermute ein Zertifikatsproblem, kann aber die Ursache nicht finden.
Ich habe allerdings von WAPT 1.3 auf WAPT 1.5 migriert (ich habe einen komplett neuen Server mit WAPT 1.5 und einem neuen Präfix installiert), und das könnte der Grund sein. In WAPT 1.3 befand sich der WAPT-Ordner direkt unter C:, jetzt ist er in „Programme (x86)“. Das könnte auch ein Hinweis sein. Seit der Umstellung auf HTTP (vor zwei Tagen) haben sich 12 PCs korrekt in der WAPT-Konsole registriert. Ich würde das Problem aber gerne beheben, da sich möglicherweise noch einige PCs nicht registrieren (oder sich mit einer zukünftigen Version nicht registrieren werden).
Betreff: Problem mit HTTPS? PC wird nicht erkannt
Veröffentlicht: 6. Juli 2018 - 11:47 Uhr
von jojo57
Ich habe es gerade auf meinem Rechner mit
`wapt-get enable-check-certificate`
und folgende Antwort erhalten:
Serverzertifikat: C:\wapt\ssl\server\wapt2.xxxx.local.crt
SCHWERWIEGENDER FEHLER: Ausnahme: Der allgemeine Name des Zertifikats (wapt2.xxxx.local) stimmt nicht
mit dem Server-Hostnamen (wapt2.xxxx.local) überein, Abbruch.
Meine Konsole funktioniert jedoch einwandfrei und die PCs verbinden sich.
Wie bereits erwähnt, ist Wapt auf einigen PCs (seit Version 1.3) in C:\wapt und auf anderen (neueren) in C:\Programme (x86\wapt) installiert. Besteht da ein Zusammenhang?
Ich persönlich musste in C:\wapt bleiben, da sonst die Paketkompilierung fehlschlug.
Kurz gesagt: Mein Zertifikat scheint gültig zu sein, trotzdem gibt es ein Problem.
Ich kann aber nicht alles auf allen PCs neu installieren.
Danke
Betreff: Problem mit HTTPS? PC wird nicht erkannt
Veröffentlicht: 6. Juli 2018 - 18:29 Uhr
von Sfonteneau
Mir scheint, dass waptdeploy die Windows-API zum Herunterladen verwendet.
Wenn der Wapt-Server mit einem selbstsignierten Zertifikat konfiguriert ist, sollte Windows ihn erkennen.
Andernfalls müssen Sie "--waptsetupurl=
http://wapt2.xxxx.local/wapt/waptagent.exe"
, um den Download über HTTP anzugeben.
PS: Der Download über HTTP ist risikofrei, da waptdeploy einen Hash benötigt.
Noch ein Hinweis: Standardmäßig lädt waptdeploy anscheinend über HTTP herunter, es sei denn, ein Wapt-Server ist bereits installiert. In diesem Fall verwendet Wapt die URL aus der wapt-get.ini, eine HTTPS-URL.
Generell ist es vorzuziehen, "--waptsetupurl=" hinzuzufügen.