praegune kellaaeg 16.06.2024 17:42:18
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
friik1
HV Guru
liitunud: 18.06.2004
|
11.08.2008 17:59:00
Office 2007 Standard Est deployment Vista Business SP1 Est masinatele üle Group Policy ebaõnnestub |
|
|
GPO, millele liidetud Standard.WW kaustas olev MSI. Sai proovitud ka Enterprise versiooni, sama kala.
config.xml fail
<Configuration Product="Standard">
<PIDKEY Value="XXXXXXXXXXXXXXXXXXXXXXXXX" />
<Display Level="None" SuppressModal="Yes" AcceptEula="Yes" />
<AddLanguage Id="ET-EE" ShellTransform="Yes" />
</Configuration> |
Ragistab hoolega ning ebaõnnestub.
MSI logimine parameetritega voicewarmupx annab veateateks
DcaCacheUser: Error: LIS: Failed to cache download "{90120000-0012-0000-0000-0000000FF1CE}-C" resource "ose.exe". HResult: 0x80070017. |
Install õnnestub probleemideta Windows XP SP2/SP3 ja 2008 x64 masinate peal. Masinad on samas OUs.
Imaged ja installerid on pärit Volume Licensingust.
Share (Everybody - Full access) ja NTFS (domain computer - read & execute) õigused on paigas.
|
|
tagasi üles |
|
|
Angrist
HV kasutaja
liitunud: 23.09.2004
|
12.08.2008 00:15:23
|
|
|
Mis policy kylge sa ta panid, user või computer ?
Niipalju kui ma san aru siis ta ei suuda share pealt installi ajutisi faile lokaalsesse masinasse kirjutada.
Muidugi kui sul on ainult read and Execute ning ta ei suuda ei masinasse ega ka share peale oma faile lahti pakkida siis on selge ju.
|
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
12.08.2008 19:03:03
|
|
|
Angrist kirjutas: |
Mis policy kylge sa ta panid, user või computer ?
Niipalju kui ma san aru siis ta ei suuda share pealt installi ajutisi faile lokaalsesse masinasse kirjutada.
Muidugi kui sul on ainult read and Execute ning ta ei suuda ei masinasse ega ka share peale oma faile lahti pakkida siis on selge ju. |
Computer ikka, Office 2007 ei toeta User deploymenti.
Share küljes on otse loomulikult read & execute, ega paigaldusprogramm ei tohi ju ennast muuta. Samast share'st läheb samade õigustega käima veel posu MSI'sid, mis korralikult käituvad.
LIS idee ongi kogu kraam C:\MSOCache alla sikutada ning siis alles reaalne paigaldus käima lüüa. GPO käib aga SYSTEM kontekstis ning lokaalse ligipääsuga ei tohiks mingeid probleeme olla. MSI logi näitab kah, et asi jookseb SYSTEM all.
Kui kõrvalt C$ pealt jälgida, siis tehakse peaaegu kogu paigaldus ära ja alles siis tehakse rollback.
MSI logi näitab, et OSE on vahepeal juba käivitatud.
Kui otse setup.exe käima tõmmata config.xml parameetritega, on kõik korras.
Mitu päeva juba pead murdnud, kui homseks õhtuks korda ei saa, läheb StartUp scriptiga peale. Jääb unmanaged, aga vähemalt on korras.
Edit:
Loobusin ja paigaldasin dokumentatsioonist pärit startup scriptiga.
|
|
tagasi üles |
|
|
SKG
HV Ihaldatuim Poissmees
liitunud: 27.01.2003
|
12.08.2008 19:44:12
|
|
|
veakood 0x80070017 viitaks nagu vigasele installikale või siis ei ole see MSOCache folderis olev päris 100% terviklik
http://www.google.ee/search?hl=et&q=0x80070017&btnG=Google+otsing&lr=
just a guess...
_________________ 17/1/2023, Scart: "Selle sajandi senise möödunud aja üks suuremaid skandaale on hetkel lahti rullumas..." |
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
12.08.2008 20:14:30
|
|
|
Jepp, aga loogikavastane, kuidas MSOCache alla jõuab MSI kaudu vigane fail. Startup scriptiga töötas kõik korralikult.
|
|
tagasi üles |
|
|
SKG
HV Ihaldatuim Poissmees
liitunud: 27.01.2003
|
12.08.2008 20:22:00
|
|
|
mõnes mõttes küll jah... aga minu kogemus jälle näitab, et mitmed installikad ei taha millegipärast Vista all töötada kui need üle võrgu käivitada. draiverid näiteks. aga noh, see selleks. igatahes sa leidsid lahenduse oma probleemile
_________________ 17/1/2023, Scart: "Selle sajandi senise möödunud aja üks suuremaid skandaale on hetkel lahti rullumas..." |
|
tagasi üles |
|
|
Angrist
HV kasutaja
liitunud: 23.09.2004
|
15.08.2008 04:10:32
|
|
|
Järelikult on sul ikka mingi userite accessi kamm.
|
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
15.08.2008 10:07:08
|
|
|
Angrist kirjutas: |
Järelikult on sul ikka mingi userite accessi kamm. |
Kust otsast? Mitte-Vista masinad paigaldavad korralikult, startup scriptiga, mis jookseb samas kasutajakontekstis, on kõik korras.
Kliendi pool võibolla, aga SYSTEM saab praktiliselt igale poole kirjutada.
|
|
tagasi üles |
|
|
UrmasL
HV kasutaja
liitunud: 18.06.2003
|
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
15.08.2008 18:13:52
|
|
|
Nähtud, see käib veidi teise asja kohta kah.
Igaks juhuks proovisin Vista Enterprise EN-US'ga, sama kala. Integreerisin ET-EE keelepaketi, sama kala.
|
|
tagasi üles |
|
|
Angrist
HV kasutaja
liitunud: 23.09.2004
|
16.08.2008 01:06:38
|
|
|
Systemil pole accessi võrgu sharedele ja võrgu kontodele, mis aga sinu kasutajapuhul on, systemi kasutajakonto access piirdub lokalse masinaga, vahel tahavad installikad cashida ennast sinnaamasse directoryse kuskohast neid installitakse.
Everybody access on alates 2003 SRV-st mitte päris everyone vaid naca vähem kui everyone. Mismoodi Vista Everybody accessi käitleb ma ei oska ütelda, ilmselt kuidagi teist moodi, häbi tunnistada aga pole siiamaani vistat puutunud .
Samas kui sa selle probla lahendatud said, siis pole antud momendil mõtet vist edasi arutleda.
|
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
17.08.2008 14:50:37
|
|
|
SYSTEM domeeni masinate puhul = Domain Computers grupp. Teised MSI installikad käivad sharede kallal ju samas kasutajakontekstis ehk SYSTEM!
Installikad cachevad päritolukausta...? Kus on selle asja loogika, siis ei saaks ma ju plaadi pealt kah paigaldada?
Office installikad cachevad ennast vist 2000'st saadik C:\ alla.
Share puhul on everybody everybody, reaalselt piirab õigusi NTFS. Samas pole ma kunagi kuulnud, et NTFS puhul everybody midagi vähem oleks kui everybody. Vistat ei huvita everybody, kuna turvat käsitleb ikkagi server.
Lahendust otseselt pole, ainult halb workaround.
|
|
tagasi üles |
|
|
Angrist
HV kasutaja
liitunud: 23.09.2004
|
20.08.2008 06:45:22
|
|
|
Systemina ei käi ykski asi share kallal.
On olemas domaini kasutajad ehk domain users/computers
Ja on olemas lokaalsed kasutajad, System on lokaalne kasutaja ning üle võrgu sharedele saab üldiselt pikki näppe.
Everyone kautajagrupp hõlmas vanasti ka anonymoust, iusri ja kõiki kõiki kasutajid ning keda tuvastada ei suudetud see käis everyone alla.
Alates 2003 serverist on loogika teine. Everyone ei ole enam päris Eeveryone.
5nda põlvkonna windowsides on see kellel on õigust installida progesid või mitte, ära määratud polictytega. Kuidas sul 5nda põlvkonna policyd( ma eeldan et on 2003) jooksevad 6nda põlkonna kliendi otsa, ma ei tea.
Sul on 3 turvat, 1. turva on share üigused, 2. turva on ntfs õigused 3. turva on kasutaja õigused kliendi masinas.
|
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
20.08.2008 22:30:55
|
|
|
tsitaat: |
Systemina ei käi ykski asi share kallal. |
Domeeni masina konto ongi sisuliselt System, ta kasutab domeeni masina õigusi lihtsalt. Ükski programm ei jookse ju masina konto kasutajakontekstis, kõik ikka System. Msiexec jookseb System all - GPO Software installation ei tohiks sinu loogika järgi üldse töötada.
tsitaat: |
Everyone kautajagrupp hõlmas vanasti ka anonymoust, iusri ja kõiki kõiki kasutajid ning keda tuvastada ei suudetud see käis everyone alla.
Alates 2003 serverist on loogika teine. Everyone ei ole enam päris Eeveryone. |
Ei ole päris everyone? Minu praktikas on everyone ikka veel everyone. Kui everyone, saab iga mats ligi, va kui talle pole teise kirjega deny antud. IUSR kohta ei oska kommenteerida, kuna pole IIS väga palju kasutanud. Mingeid praktilisi näiteid või dokumentatsiooni?
tsitaat: |
5nda põlvkonna windowsides on see kellel on õigust installida progesid või mitte, ära määratud polictytega. Kuidas sul 5nda põlvkonna policyd( ma eeldan et on 2003) jooksevad 6nda põlkonna kliendi otsa, ma ei tea.
|
Seega pole aasta enne 2008 release olnud üldse võimalik Vistat toetada? GPO Software Installation on 2000'st saadik üsna muutumatu olnud, Vista/2008 all pole kah erilisi muudatusi. Ja 5nda põlvkonna poliitikad 6nda otsas ei oma vahet. Kui antakse ette võõras GPO, ignoreeritakse, kui on mittetoetatud, ignoreeritakse. No problemo. GP't laiendatakse ja kui ma ei eksi, pandi 2003'le kah hunnik laiendusi juurde Vista jaoks. Domeenis on üks 2008 DC, seega on schema uuendatud.
tsitaat: |
Sul on 3 turvat, 1. turva on share üigused, 2. turva on ntfs õigused 3. turva on kasutaja õigused kliendi masinas. |
Jepp, aga kohalikku turvat pole olnud vajadust näppida (va password policy), istub rahulikult Default Domain Policy peal.
Share õigusi näppida on suht mõttetu, peale FAT->NTFS üleminekut pole selleks reaalset vajadust.
BTW, kuulsin ühelt teiselt adminilt sarnasest murest. MSI logi pole siiski näinud.
|
|
tagasi üles |
|
|
Angrist
HV kasutaja
liitunud: 23.09.2004
|
23.08.2008 01:25:05
|
|
|
[quote]Systemina ei käi ykski asi share kallal.
Domeeni masina konto ongi sisuliselt System, ta kasutab domeeni masina õigusi lihtsalt. Ükski programm ei jookse ju masina konto kasutajakontekstis, kõik ikka System. Msiexec jookseb System all - GPO Software installation ei tohiks sinu loogika järgi üldse töötada.
[/quote]
http://support.microsoft.com/kb/120929
Selle koha pealt on sul suht õigus et system suht sama mis computername, aga sisiki mitte päris
http://technet.microsoft.com/en-us/library/bb680595.aspx
System/computername syncamise vahe vist oli mingi kuu aega vms, aga see vist ei ole selle teemaga seotud.
Aga oluline vahe mis on on, see et systemi accounti sa ei saa policytesse kirjutada.
[quote]
[quote]Everyone kautajagrupp hõlmas vanasti ka anonymoust, iusri ja kõiki kõiki kasutajid ning keda tuvastada ei suudetud see käis everyone alla.
Alates 2003 serverist on loogika teine. Everyone ei ole enam päris Eeveryone. [/quote]
Ei ole päris everyone? Minu praktikas on everyone ikka veel everyone. Kui everyone, saab iga mats ligi, va kui talle pole teise kirjega deny antud. IUSR kohta ei oska kommenteerida, kuna pole IIS väga palju kasutanud. Mingeid praktilisi näiteid või dokumentatsiooni?[quote]
5nda põlvkonna windowsides on see kellel on õigust installida progesid või mitte, ära määratud polictytega. Kuidas sul 5nda põlvkonna policyd( ma eeldan et on 2003) jooksevad 6nda põlkonna kliendi otsa, ma ei tea.
[/quote]
Seega pole aasta enne 2008 release olnud üldse võimalik Vistat toetada? GPO Software Installation on 2000'st saadik üsna muutumatu olnud, Vista/2008 all pole kah erilisi muudatusi. Ja 5nda põlvkonna poliitikad 6nda otsas ei oma vahet. Kui antakse ette võõras GPO, ignoreeritakse, kui on mittetoetatud, ignoreeritakse. No problemo. GP't laiendatakse ja kui ma ei eksi, pandi 2003'le kah hunnik laiendusi juurde Vista jaoks. Domeenis on üks 2008 DC, seega on schema uuendatud.
[/quote]
Praktiline vahe on see, et enne 2003 läksid everyone share peale ja keegi ei kysinud mitte midagi Nüüd küsitakse, et kes sa oled.
http://support.microsoft.com/kb/278259
Iusrid on anonymous jaoks.
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/9ad4a5f5-57b5-4c46-9993-7cfe57232443.mspx?mfr=true
Windows 2000 ongi 5. põlvkonna windows. NT4 oli 4. ja XP on 5.1 algselt ideega expansion pack
Kunagi ammu kui vista välja tuli oli sellega mingi mega ikaldus ja praktiliselt ükski GPO ei funkand korralikult, ei tea mis peale SP1te on saanud. No näed sinu mure puhul ju omab vahet, sest Vista all ju asi ei tööta
küsimus ei ole Schemas vms, vaid lihtsalt kas setting A mis tähendas XP jaoks A tähendab ka vista jaoks A või hoopis B. Sest niipalju kui microsofti mehed on rääkinud siis on nad turvlisuse selles läti kanas täitsa ümber ehitanud.
Aga anna teada kui ikalduse üles leiad
|
|
tagasi üles |
|
|
friik1
HV Guru
liitunud: 18.06.2004
|
18.09.2008 14:25:38
|
|
|
Asi on veel müstilisem ja katki nüüd.
Vista peal setup.exe käivitades setup crashib ühegi küsimuseta. UAC õigusi nõudes on näha, et rakendus on "unknown publisher". Kui faili atribuute vaadata, on ikoon olemas, digiallkirjad olemas ning Publisher kenasti kirjas.
Kui ma teisest puust või lokaalselt setupi käivitan, on mõnikord okei. Teise puu all mõtlen ka \\server \\server.domeen asemel. Kui võrgupuust kopeerida lokaalseks, on ikka katki. Kui VLK'st tõmmatud image lahti pakkida, on okei. Kui VLK'st tulnud image võrku saata, on teistel arvutitel ikka katki.
Lühidalt kui korra on setup korralikult käivitunud, käivitub ta igalt poolt korralikult. Aga peale WDS'ist installilt tulekut pole veel setupi käivitatud ning asi on katki.
Justkui kohtleks Vista setup.exe't mingil kummalisel viisil teistmoodi...
Täielik müstika...
Homme proovin workaroundi, et MSOCache WIMi sisse panna, et ta ei peaks puhverdama ning äkki siis MSI paigaldus õnnestub...
EDIT:
Viga leitud vist! 2003->2008 upgrade oli vist midagi võrgunduse juures katki teinud. Kõrval jooksev 2k8 x64 tööjaama peal serveerib paketti kenasti. Peaks proovima nüüd SMB2 kinni keerata ja tulemusi jälgida.
EDIT2: eile lõpetas server Vistale absoluutselt MSI'de pakkumise, lisaks hangub roaming profiles laadimine printerite määramise juures. Vista saab kinga kuni uute serverite püsti ajamiseni.
|
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|