Page 1 sur 1

Problème avec le https ? Pc non reconnus

Publié : 05 juil. 2018 - 14:17
par jojo57
Bonjour,

Je déploie l'agent wapt avec waptdeploy, à la fois avec un logonscript et une GPO.

Cela se passe très bien pour la majorité des pc, mais pour une dizaine (sur 80 environ) ça ne s'installe pas.
Je précise que la GPO est bien une GPO ordinateur (donc avec les droits admin) et que le logon passe par un script autoit qui lui donne aussi les droit d'administrateur local (cela fonctionnait parfaitement avec wapt 1.3 et donc ici pour la grand majorité avec wapt 1.5)
Voila l'erreur: (j'ai remplacé mon domaine par xxxx)
-----------------------------------------------------------------------------------------------
WAPT required version: force
Wapt agent path: C:\Windows\TEMP\waptagent.exe
Wget new waptagent from https://wapt2.xxxx.local/wapt/waptagent.exe
Trying to reach https://wapt2.xxxx.local/wapt/waptagent.exe...
Reachable, downloading...
Done.
Cleanup...
An unhandled exception occurred at $00416608:
EFOpenError: Unable to open file "C:\Windows\TEMP\waptagent.exe"
$00416608
$004164B0
$00440216
$004047C9
-----------------------------------------------------------------------------------------------
Le logon script (en admin)

\\Serveur\NETLOGON\waptdeploy.exe --hash=mon_hash --minversion=1.5.1.23 --wait=15 --waptsetupurl=https://wapt2.xxxx.local/wapt/waptagent.exe
-----------------------------------------------------------------------------------------------

Après pas mal de recherches j'ai remarqué que si je rentre l'adresse en http et pas en httpS pour wapturl ça passe.
Et ça correspond à l'erreur: Unable to open file "C:\Windows\TEMP\waptagent.exe"
Waptdeploy n'a visiblement pas pu télécharger waptagent sur le serveur wapt en https

Je suppose qu'il manque un certificat sur quelques pc, mais je n'ai déployé aucun certificat particulier, faut il le faire (en GPO ?) et quel certificat et ou ? Et pourquoi cela fonctionne sur la majorité et pas sur certains ??

Ce problème est très pénalisant et je préfère ne pas rester eh http car dans une version suivante de wapt ça ne fonctionnera peut être plus (et je ne suis pas que que cela fonctionne sur tous les pc en http, je teste...)

Merci

Re: Problème avec le https ? Pc non reconnus

Publié : 05 juil. 2018 - 17:36
par dcardon
Bonjour jojo57,
jojo57 a écrit : 05 juil. 2018 - 14:17 Bonjour,

Je déploie l'agent wapt avec waptdeploy, à la fois avec un logonscript et une GPO.

Cela se passe très bien pour la majorité des pc, mais pour une dizaine (sur 80 environ) ça ne s'installe pas.
Je précise que la GPO est bien une GPO ordinateur (donc avec les droits admin) et que le logon passe par un script autoit qui lui donne aussi les droit d'administrateur local (cela fonctionnait parfaitement avec wapt 1.3 et donc ici pour la grand majorité avec wapt 1.5)
Voila l'erreur: (j'ai remplacé mon domaine par xxxx)
-----------------------------------------------------------------------------------------------
WAPT required version: force
Wapt agent path: C:\Windows\TEMP\waptagent.exe
Wget new waptagent from https://wapt2.xxxx.local/wapt/waptagent.exe
Trying to reach https://wapt2.xxxx.local/wapt/waptagent.exe...
Reachable, downloading...
Done.
Cleanup...
An unhandled exception occurred at $00416608:
EFOpenError: Unable to open file "C:\Windows\TEMP\waptagent.exe"
$00416608
$004164B0
$00440216
$004047C9
-----------------------------------------------------------------------------------------------
Le logon script (en admin)

\\Serveur\NETLOGON\waptdeploy.exe --hash=mon_hash --minversion=1.5.1.23 --wait=15 --waptsetupurl=https://wapt2.xxxx.local/wapt/waptagent.exe
-----------------------------------------------------------------------------------------------

Après pas mal de recherches j'ai remarqué que si je rentre l'adresse en http et pas en httpS pour wapturl ça passe.
Et ça correspond à l'erreur: Unable to open file "C:\Windows\TEMP\waptagent.exe"
Waptdeploy n'a visiblement pas pu télécharger waptagent sur le serveur wapt en https

Je suppose qu'il manque un certificat sur quelques pc, mais je n'ai déployé aucun certificat particulier, faut il le faire (en GPO ?) et quel certificat et ou ? Et pourquoi cela fonctionne sur la majorité et pas sur certains ??

Ce problème est très pénalisant et je préfère ne pas rester eh http car dans une version suivante de wapt ça ne fonctionnera peut être plus (et je ne suis pas que que cela fonctionne sur tous les pc en http, je teste...)

Merci
La partie téléchargement ne semble pas poser de problème d'après les logs. Est ce que vous avez vérifié si l'antivirus n'a pas supprimé le fichier avant son exécution?

Cordialement,

Denis

Re: Problème avec le https ? Pc non reconnus

Publié : 06 juil. 2018 - 09:51
par jojo57
Bonjour,

Oui j'ai vérifié et l'anti-virus n'a rien effacé, d'ailleurs si il l'avait fait, je pense qu'il aurait aussi supprimé le fiché téléchargé en http. Et nous avons le même anti-virus (entreprise, avec un agent) sur tous les postes, donc pourquoi certains et pas d'autres ? Je suppose que c'est un problème de certificat mais je ne vois pas ou ?
Par contre j'ai migré de wapt 1.3 en wapt 1.5 (j'ai installé un serveur totalement nouveau en wapt 1.5, avec un nouveau préfixe) et cela vient peut être de la . En wapt 1.3 le dossier wapt était directement sous c: et maintenant il est dans programs files(x86) c'est peut être aussi une piste ? Depuis que je passe en http (2 jours) 12 pc sont bien remontés dans la console wapt. Mais je préfèrerais régler ce problème car j'ai peut être encore des pc qui ne remontent pas (ou ne remonteront plus avec une future version ?)

Re: Problème avec le https ? Pc non reconnus

Publié : 06 juil. 2018 - 11:47
par jojo57
Je viens de tester sur mon poste avec
wapt-get enable-check-certificate

la réponse c'est ça:

Server certificate : C:\wapt\ssl\server\wapt2.xxxx.local.crt
FATAL ERROR : Exception: Common name of certificate (wapt2.xxxx.local) does no
t match server hostname (wapt2.xxxx.local), aborting

Pourtant ma console fonctionne bien et les pc remontent.
MAIS comme je disais plus haut, certains pc sont installés avec wapt dans c:\wapt (depuis la v 1.3) et certains autres (plus récents) dans c:\program files(x86\wapt Un rapport ?

Pour ma part j'ai été obligé de rester dans c:\wapt car sinon la compilation des paquets échouait.
Bref mon certificat semble bon et pourtant il ya un souci.
Je ne peux pas tout réinstaller tous les pc pourtant.

Merci

Re: Problème avec le https ? Pc non reconnus

Publié : 06 juil. 2018 - 18:29
par sfonteneau
Il me semble que waptdeploy utilise l'api windows pour le téléchargement.

Si le serveur wapt est configuré avec un auto-signé, windows doit connaitre le certificat.

Sinon, il faut ajouter "--waptsetupurl=http://wapt2.xxxx.local/wapt/waptagent.exe"

Pour préciser qu'on veut le télécharger en http

PS : Aucun risque pour le téléchargement en http car waptdeploy demande un hash

Autre remarque, il me semble que par défaut waptdeploy télécharge en http sauf si un wapt est déjà installé. Dans ce cas wapt prendra l'url du wapt-get.ini et donc une url en https ;)

Généralement il est préférable d'ajouter --waptsetupurl=