locked
Win7 installiert Applikation per GPO nicht! Nur ein Rechner! Alle anderen installieren das!?! RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    Ich habe einen Rechner der sich sehr seltsam verhält beim Installieren (zuweisen) von MSI Paketen via GPO.

    In unserer Domain sind mehrere Win7 x64 Rechner + Win XP.

    Nun habe ich mehrere MSI Pakete. Beispiel: Flash Player Active X.msi was man wunderbar per GPO verteilen kann. Funktioniert bei allen Rechner in der Domain.

    Dann habe ich noch ein Adobe Reader 10 MSI (10.1.6 aktuell), das ich update wenn die Patches rauskommen. Die Installation funktioniert bei fast allen Rechnern (XP, 7) außer bei einem Windows 7 x64. Der Rechner weigert sich das MSI Paket zu installieren.

    Komischerweise findet man auch nichts in der Ereignisanzeige (oder ich suche nicht richtig). Wenn ich versuche das MSI mit angemeldetem Benutzer zu installieren, bekomme ich eine Fehlermeldung das der Herausgeber nicht verifiziert werden kann.

    Das brachte mich auf eine Idee. Ich habe also das gleiche auf einem anderen Rechner versucht zu installieren. Und siehe da keine Fehlermeldung. Zuerst dachte ich das die Signaturen kaputt sind (was ja auch sein muss, da es ein gepatchtes MSI ist, also verändert).

    Also nachgesehen. Die Signatur vom Adobe Flash ist ok (es ist ein Reiter Digitale Signatur vorhanden in den Eigenschaften). Bei dem gepatchten Adobe Reader nicht! War klar.

    Dann dachte ich an den IE und seine Zonen. Aber auf allen Rechnern sind die ZoneMaps gleich eingestellt. An Microsoft patchen kann es auch nicht liegen der Rechner ist auf dem aktuellen Stand, genau wie andere Rechner.

    Ach ja in eine andere OU ohne GPO's hab ich den auch schon verschoben. Ebenso wieder zurück, und dann wurden wieder alle MSI's bis auf das von Adobe Reader installiert. Selbst das alte 10.1.5 wurde nicht installiert.

    Jemand eine Idee, wo ich noch nachsehen kann?

    Als letztes Mittel image ich den Rechner einfach. Aber wenn es nur eine kleine Einstellung ist...

    ---------------------------------------------------------
    Gruß Thomas Voß

    Mittwoch, 20. Februar 2013 16:05

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    1. GPResult /h report.html (in einer Admin-Commandline): Wendet der
    Rechner die GPO überhaupt an?
    2. %windir%\Temp\msi*.log - eines davon gehört zu dem Adobe Reader
    (möglicherweise ;-)
    3. AppMgmg Debug Logging (per Regkey) und Installer Logging (per GPO -
    gpsearch.cloudapp.net) aktivieren
     
    Wenn Du mehr Infos brauchst, einfach melden.
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 20. Februar 2013 19:10
  • Question
    Anmelden
    0
    Anmelden

    Am 20.02.2013 schrieb Thomas Voß:

    Komischerweise findet man auch nichts in der Ereignisanzeige (oder ich suche nicht richtig). Wenn ich versuche das MSI mit angemeldetem Benutzer zu installieren, bekomme ich eine Fehlermeldung das der/Herausgeber nicht verifiziert werden kann./

    Ist dieses Update installiert?
    http://patch-info.de/artikel/2013/01/03/1476 Prüfe das in der Registry
    des Client manuell nach.

    Du kannst darüber nachdenken, diese solche Updates über den LUP/WSUS
    bereitzustellen. Ist schnell eingerichtet und funktioniert
    zuverlässig. http://wsus.de/lup

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 20. Februar 2013 19:24
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    Ist dieses Update installiert?

    http://patch-info.de/artikel/2013/01/03/1476 Prüfe das in der Registry
    des Client manuell nach.

    Du kannst darüber nachdenken, diese solche Updates über den LUP/WSUS
    bereitzustellen. Ist schnell eingerichtet und funktioniert
    zuverlässig. http://wsus.de/lup

    "Leider" ist dieses Update installiert ( Registry nachgesehen ) auf meinem Rechner und auf diesem Rechner sind die Einstellungen in der Registry gleich. Da alle Rechner auch immer alle Updates über unseren WSUS bekommen sollten die Patches die drauf sind "eigentlich" gleich sein. Das mit dem LUP werde ich aber weiterverfolgen, da es wirklich einige Patches gibt die nicht per WSUS verteilt werden oder aber eben eigene.

    Im Übrigen eine gute HowTo über LUP!

    ---------------------------------------------------------
    Gruß Thomas Voß

    Donnerstag, 21. Februar 2013 08:21
  • Question
    Anmelden
    0
    Anmelden

    Hall Martin,

    1. GPResult /h report.html (in einer Admin-Commandline): Wendet der
    Rechner die GPO überhaupt an?

    Bei mir bekomme ich nur einen Fehler bei der Ausgabe der HTML Datei. Das ist im Moment ein Problem, ich denke es liegt an alten GPOs die uralte ADM's in sich haben, kann mich aber auch irren (Wenn du einen Tipp hast, immer gern ;-) ). Aber ich habe die XML Datei. Da steht drin das die GPO angewendet wird: 

    -<gpo>
<name>Software Adobe Reader 10.1.6</name>
 -<path>
<identifier xmlns="http://www.microsoft.com/GroupPolicy/Types">{2CE6E860-A930-44E5-B267-4B810E08BB7C}</identifier>
 <domain xmlns="http://www.microsoft.com/GroupPolicy/Types">OURDOMAIN</domain>
 </path>
 <versiondirectory>6</versiondirectory>
 <versionsysvol>6</versionsysvol>
 <enabled>true</enabled>
 <isvalid>true</isvalid>
 <filterallowed>true</filterallowed>
 <accessdenied>false</accessdenied>
 -<link>
 <sompath>OURDOMAIN/Domain Computers</sompath>
 <somorder>5</somorder>
 <appliedorder>3</appliedorder>
 <linkorder>8</linkorder>
 <enabled>true</enabled>
 <nooverride>false</nooverride>
 </link>
</gpo>
    2. %windir%\Temp\msi*.log - eines davon gehört zu dem Adobe Reader
    (möglicherweise ;-)

    Leider nicht. Keine MSI*.log sonst würde denke ich was im Ereignisprotokoll drin stehen...

    3. AppMgmg Debug Logging (per Regkey) und Installer Logging (per GPO -
     
    Wenn Du mehr Infos brauchst, einfach melden.

    Ja bitte.

    Eine andere Idee die mir gekommen ist, war das der Rechner nicht auf das Netzwerk wartet, aber das synchrone starten und auf Netzwerk warten ist eingeschaltet. Es wird ja auch die andere Software installiert.

    ---------------------------------------------------------
    Gruß Thomas Voß

    Donnerstag, 21. Februar 2013 08:47
  • Question
    Anmelden
    1
    Anmelden
    Am 21.02.2013 09:47, schrieb Thomas Voß:
    >
    >     3. AppMgmg Debug Logging (per Regkey) und Installer Logging (per
    >     GPO -
    >     gpsearch.cloudapp.net <http://gpsearch.cloudapp.net>) aktivieren
    >     Wenn Du mehr Infos brauchst, einfach melden.
    >
    > Ja bitte.
    >
     
    Aktivier das Installer Logging gemäß http://gpsearch.azurewebsites.net/#1985
    (der Link oben war ein Gedächtnisproblem, früher hieß es
    gps.cloudapp.net :p)
    Dann schalte noch das AppMgmt Logging ein:
     
    Und dann schau mal in den Ergebnissen, was da so zu Deinem Reader zu
    finden ist...
     
    mfg Martin
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 21. Februar 2013 11:35
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin,

    nachdem ich nun endlich das Logging eingeschaltet bekommen habe (Das Verzeichnis "%windir%\debug\usermode" muss da sein, sonst nutzt keine Debug Einstellung. Die Datei kann halt nicht erstellt werden, wenn kein Verzeichnis da ist :-( ).

    Ich weiß nun warum das Paket auf dem Rechner nicht installiert wird:

    -------

    CSTORE: Der abgerufene Paket Adobe Flash Player 11.6.602.168 ActiveX wird überprüft.
    CSTORE: Der abgerufene Paket Adobe Flash Player 11.6.602.168 Plugin wird überprüft.
    CSTORE: Der abgerufene Paket Adobe Reader X (10.1.6) - Deutsch wird überprüft.
    CSTORE: Das Paket wird übersprungen, da das Attribut localeID fehlt.
    CSTORE: Der abgerufene Paket Adobe Reader X (10.1.6) - Deutsch wird überprüft.

    -------

    Nicht wundern warum das Adobe Reader Paket 2 mal drin vorkommt. Der mit dem localeID fehlt ist der der von allen anderen Installiert wird, der zweite war ein Test. In diesem zweiten Test habe ich unter Eigenschaften->Bereitstellung von Software->Erweitert "Sprache beim Bereitstellen dieses Paketes ignorieren" angeklickt.

    Was mich nun zu der Frage bringt, warum haben dann alle anderen das Installiert?

    Dann habe ich mal nachgesehen welche Region und Sprache eingestellt ist. Auf meinem Rechner ist als Gebietsschema Deutsch eingestellt. Bei dem Rechner auf dem die Installation nicht funktioniert ist: Englisch (USA) eingestellt. Unter Willkommensseite und neue Benutzerkonten ist ebenfalls zwar Sprache Deutsch aber Standort etc. English (USA) drin.

    Habe das nun gerade gerückt und der Reader wird installiert. Wie komisch ist das denn? Und auch noch dazu kein Eintrag im Eventlog. Alle Rechner kamen von einem Image. Und die Benutzer haben keine Rechte um das umzustellen.

    Jetzt noch eine Frage, kann ich das Gebietsschema per GPO fest einstellen?

    Gruß Thomas Voß

    Donnerstag, 21. Februar 2013 13:55
  • Question
    Anmelden
    0
    Anmelden
    Am 21.02.2013 14:55, schrieb Thomas Voß:
    > Jetzt noch eine Frage, kann ich das Gebietsschema per GPO fest einstellen?
     
    User Locale geht per Group Policy Preferences. MSI wird aber in SYSTEM
    installiert, da wirst Registry frickeln müssen ;-) Google findet was dazu.
     
    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Donnerstag, 21. Februar 2013 14:32
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 25. Februar 2013 09:02
  • Question
    Anmelden
    0
    Anmelden

    Hallo Raul,

    ich habe nun einfach die Auswahl der Region per GPO auf DE beschränkt. Ich weiß das es nicht die richtige Lösung ist, und es damit nicht gesetzt wird, aber im Moment habe ich einfach keine Zeit dem nachzugehen. Ich bin froh das ich nun weiß warum der Reader nicht installiert wurde. Habe mir in meinem Login-Script nun ein Logging mit eingebaut der Locale ausgibt. Und schaue hier ab und wann rein.

    Vielleicht baue ich das Script noch dahingehen um, das es eine Mail sendet, wenn Locale nicht de_DE ist.

    Gruß Thomas Voß

    Montag, 25. Februar 2013 10:16