Acmp und LTSC (Windows 10)

Feedback und Verbesserungsvorschläge zu ACMP
Antworten
keppner02
Beiträge: 11
Registriert: So Mär 11, 2012 3:11 pm

Hallo zusammen,
gibt es Erfahrungen bei der Ausbringung des Agenten auf LTSC?
Ich habe bisher mit LTSB 2015 gearbeitet und hatte keinerlei Problem bei ausgeschalteteer Firewall auf den Clients den Agenten auszubringen.
Leider funktioniert das bei LTSC bisher nicht, die Clients werden von ACMP angezeigt und es wird bestätigt dass eine Installation möglich sei, dies funktioniert dann aber nicht - Fehlermeldung Netzwerkpfad nicht erreichbar.
Ich habe versucht in Viren- und Bedrohungschutz und ebnso unter Firewall und Netzwerkschutz alles aus zu schalten, aber es will einfach nicht (...vermutlich habe ich den richtigen Schalter noch nicht gefunden - MS ist im Verstecken schon klasse! :roll: ).
Bei einem von LTSB 2015 geupgradeten LTSC hat es auf anhieb funktioniert. (Ebenso wie bei der Enterpriseversion von W10 1809)
Wäre toll wenn jemand helfen kann.

Danke im Voraus
twahl
Beiträge: 366
Registriert: Mo Mär 03, 2014 11:21 am

Hallo,

uns sind eigentlich keine besonderen Probleme mit Windows 10 LTSC bekannt, eventuell ist kein Zugriff auf die Netzwerkfreigaben möglich.
Da könnte man einmal schauen ob man auf dem Client SMB1 aktiviert oder dem Server beibringt eine neuere Variante zu nutzen.
Mit freundlichen Grüßen,

Tobias Wahl
Aagon GmbH
keppner02
Beiträge: 11
Registriert: So Mär 11, 2012 3:11 pm

Hallo Herr Wahl,

danke erst mal für die schenlle Antwort.
Tatsächlich ist smb1 beim geupgradeten ltsc (von ltsb) aktiviert, beim installierten nicht.
Leider hat das aktivieren dann aber doch nichts gebracht, Installation ist nicht möglich.

Haben Sie vielleicht noch eine Idee?

Schönen Gruß

A. Keppner
twahl
Beiträge: 366
Registriert: Mo Mär 03, 2014 11:21 am

Hallo,

es kann einmal getestet werden ob vom ACMP Server aus, mit dem für die Agenteninstallation genutzten Benutzer, ein Zugriff auf die admin$ Freigabe möglich ist.
Der Benutzer sollte idealerweise in FQDN Schreibweise Benutzer@domain.local angegeben werden.
Mit freundlichen Grüßen,

Tobias Wahl
Aagon GmbH
keppner02
Beiträge: 11
Registriert: So Mär 11, 2012 3:11 pm

Hallo Herr Wahl,
danke nochmals für die Info, das geht schon mal in die richtige Richtung, tatsächlich schaffe ich es nicht mehr auf den Rechner zu zu greifen.
Scheinbar hat es etwas mit Sysprep zu tun vor Sysprep funktioniert das Ausbringen, danach nicht mehr. Ich werde wohl einen neuen Master erstellen müssen.
Vorerst habe ich mir damit beholfen einen Rechner vor sysprep zu verwenden, vermutlich muss ich da noch etwas Zeit investieren herauszufinden wo der Fehler tatsächlich liegt.

Vielen Dank jedenfalls für die Informationen

A Keppner
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Herr Keppner,

generalisieren Sie das Image vor dem Aufzeichnen? Nicht, dass die SID mehrfach vorhanden ist und sich die Hosts so gegenseitig den Domaintrust streitig machen.
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
keppner02
Beiträge: 11
Registriert: So Mär 11, 2012 3:11 pm

Hallo Herr Zoller,
danke für den Hinweis.
Ja ich führe in der Regel Sysprep aus, auch wenn wir bei ACMP das Kriterium für die eindeutige Identifikation von SID auf Computername umgestellt haben.
Auf MS-Domänenebene, habe ich mir sagen lassen, spielt eine identische SID wohl keine Rolle mehr, da beim Zutritt zur Domäne eine Domänensid generiert wird.

@ Tobias Wahl
Mein Problem mit dem Zugriff auf die Rechner hat sich tatsächlich als LTSC-Problem herausgestellt. MS ist wohl der Meinung C$-Freigaben bei LTSC nicht benötigt werden. Aus diesem Grund werden diese Bei LTSC nach einem gewissen Zeitraum abgestellt. Scheint klar auch der Versuch zu sein den Kunden LTSC wenig schmackhaft zu halten.

Zur Ausbringung des Clients von ACMP kann ich mir damit behelfen, dass ich IPV4 in der Netzwerkeinstellung kurz komplett ausschalte (Haken weg:-) und gleich wieder an. Damit ist Die Freigabe vorerst wieder erreichbar. Zum Betrieb von ACMP ist die Freigabe dann nicht mehr nötig. SMB1 kann ebenfalls deaktiviert bleiben.

Vielleicht hat jemand eine Idee wie man die Freigabe dauerhaft erreichbar machen kann? Ich konnte bisher keine Lösung finden und muss nun auf den relativ bequemen Weg, hier und dort auch per C$ nach dem Rechten zu sehen, verzichten. Ich möchte in jedem Fall vermeiden möchte eine andere Enterprise oder Pro Version von Windows 10 zu verwenden, wenn es nicht aus irgendeinem anderen Grund sein muss. Bei Enterprise und Professional tritt der Effekt nicht auf.

Schönen Gruß
Alexander Keppner
Dennis Koch
Beiträge: 501
Registriert: Di Nov 20, 2012 4:03 pm

Hallo Herr Keppner,

bei Windows 10 wurde der Remotezugriff für den Builtin-Admin gesperrt. Falls Sie mit einen lokalen Admin darauf zugreifen können Sie einen Registry Key erstellen.
https://www.businessnewsdaily.com/11017 ... hares.html

Bzgl. der SID fand ich den Blogbeitrag von Mark Russinovich, Ersteller vom Tool NewSID, sehr interessant :D
https://blogs.technet.microsoft.com/mar ... p-matters/
Mit freundlichen Grüßen / Best regards

Dennis Koch
Aagon GmbH
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Herr Keppner,

wenn es sich nur auf C$ und admin$ bezieht, könnte man ggf. noch mit psexec arbeiten, das nutzt meines wissens nach IPC$ (was hoffentlich nicht abgeschaltet wird). Darüber könnte man dann vielleicht die launcher.exe der ACMP-Freigabe aufrufen.
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
keppner02
Beiträge: 11
Registriert: So Mär 11, 2012 3:11 pm

Hallo zusammen,

@ Dennis Koch
* Die Artikel bezüglich Remoteadmin (lokaler Admin) hatte ich auch schon gefunden und geprüft - es handelt sich aber bei dem Problem um ein anderes. Acmp greift bei uns per Domänenadminberechtigung zu und die dürfte nicht eingeschränkt sein.
https://support.microsoft.com/en-us/hel ... in-windows :Domain user accounts (Active Directory user account)
A user who has a domain user account logs on remotely to a Windows Vista computer. And, the domain user is a member of the Administrators group. In this case, the domain user will run with a full administrator access token on the remote computer, and UAC will not be in effect.


* Die gute alte Zeit als newsid noch genügte.... :(
Allerdings hatte ich ja festgestellt, dass das Verbindungsproblem tatsächlich auch nichts mit Sysprep zu tun hatte. Nur das Abschalten der administrativen Freigaben fällt halt erst nach dem Duplizieren auf, dann wenn Acmp ausgebracht wird.
Da wir unser Masterimage auf verschiedene Hardware ausbringen möchte ich trotz der guten Hardwareerkennung bei Windows 10 nicht auf die Miniinstallation nach Sysprep verzichten.

@ Niklas Gottschalk
* Danke für den Hinweis, psexec wäre eventuell eine Möglichkeit, aber da ich die Rechner sowieso alle hier in der Werkstatt voab einrichte kann ich das Ausbringen des ACMP Clients auch bei "aktivierter" Administrativer Freigabe (IPv4 kurzzeitig de- und aktivieren) gut bewerkstelligen. Entfernte Clients gibt es bei uns nicht. Ich denke ich kann damit leben, bis sich MS etwas anderes neues einfallen lässt, uns LTSC unschmackhaft zu machen :roll:

* Um Usern mal schnell etwas auf den Desktop unter zu schieben werde ich bei Gelegenheit dann halt mal ein Packet erstellen das das bewerkstelligt. Im Zweifel, meint mein Chef, man könnte auch mal zu den Benutzern hingehen. :lol:

Schönen Gruß und vielen Dank für die Anregungen,
Alexander Keppner
Antworten