Проблема с "тихим" обновлением версии через SCCM

B

bob237

Member
Добрый день!
Бьюсь и не могу победить проблему: Если запускаю обновление версии IP-Client'а локально - проблем нет. Но как только запуск осуществляется средствами SCCM на удалённой машине - половина устройств завершают обновление с ошибкой.
Получил проблему на стенде: Стартую с версии 4.3, обновляюсь 4.6.17.
После перезагрузки картинка следующая: "Программа не прошла проверку целостности! Переустановите программу!"
В файле c:\Program Files\Amicon\Client FPSU-IP\Filehash\AmiFlt.lst следующий текст:

Проверка хеша на "Ip-client ndis intermediate driver for WinXP x86"
Файл "C:\WINDOWS\SYSTEM32\DRIVERS\AmiImFlt.sys"
Хеш 950A2F4160C09723CA6ED21024CF28242FB486AC9D64745B575B7F2EC9AFB5E8
Ошибка FPSUHash: Невозможно открыть файл для подсчета хеша

Естественно в папке DRIVERS этого файла нет.
Дал полные права на эту папку пользователю, под которым запускается обновление - результат тот-же.
Куда ещё думать?
 

Вложения

  • err_Ami.rar
    709.4 KB · Просмотры: 7
<r>Добрый день!

Для начала нужны данные утилиты CliDiag сразу после неудачной установки. <URL url="https://amicon.ru/download/CliDiag.zip"><s></s>CliDiag<e></e></URL>
Также нужна информация о том, с какими ключами запускается установщик, если они есть?
Из-под какого пользователя sccm запускает установку, наверное, system или local system?</r>
 
Результат работы CliDiag.exe прилагаю (единственно, что пришлось сразу после запуска перейти из под рабочего пользователя в администратора).
Запуск осуществляется c правами администратора (см. прилагаемый SCCM.jpg) из VB-скрипта:
Const cmdAMI = "AmiVPN_4_6_17_for_Windows.exe /S /R /LT"
...
res = oShell.Run (cmdAMI, 0, True)
...
Переменная res получает значение 1.

Пользователей в системе два (кроме встроенных): "администратор" и "пользователь".
 

Вложения

  • CliDiagn.zip
    93.6 KB · Просмотры: 3
  • SCCM.jpg
    81.9 KB · Просмотры: 0
В результате анализа логов можно сказать следующее: отличий при установке клиента 4.3 и 4.6.17 через sccm нет. Везде одна и та же ошибка - неправильная подпись драйверов.
Проблема воспроизводится только на одном терминале? Если да, то проблема в машине, а не в sccm.
 
<r>Я гружу задание через SCCM и получаю отрицательный результат (как вы говорите неправильная подпись), затем <B><s></s><U><s></s>этот же<e></e></U><e></e></B> файл (который только-что загрузил) запускаю вручную - и всё хорошо.
Кто проверяет подпись? Откуда берутся драйвера - из установочного файла (AmiVPN_4_6_17_for_Windows.exe)?
Если хэш установочно файла совпадает с заданным, как могут не совпадать подписи?
Или в этом режиме берутся уже существующие в системе драйвера?</r>
 
Драйверы берутся из дистрибутива установки. Подпись на них проверяет Windows, считает ее неподходящей для такого типа использования.
Так это только на одном терминале, Вы так и не ответили?
 
Я пробовал на 10 устройствах. 6 из них завалились. При этом 2 из 4 успешных стоят в местах, где ФПСУ-IP не является обязательным (территория организации и трафик шифруется общим ФПСУ площадки). Т.е. ФПСУ-IP точно стоят, но данные могут (конечно можно выяснить точно, но стоит ли?) идти мимо и утверждать, что там всё прошло успешно не могу.
Могу сказать по другому: софт на устройства мы ставим образами. Так вот я взял образ от одного из типовых устройств, где точно проблема была, и поставил его на наше тестовое устройство. Теперь с него и снимаю результаты. Соответственно считаю, что как минимум все машины с таким образом будут вести себя точно также.
 
Попробуйте установить наш сертификат в систему. Отправлен в личку.
 
<r>Результат тот-же. Правда при установке сертификата пароль не запрашивался. <E>:?:</E>
Картинку прилагаю.</r>
 

Вложения

  • cert.JPG
    cert.JPG
    56.8 KB · Просмотры: 0
В таком случае для понимания проблемы нам необходим образ системы и инструмент sccm.
 
Попытаюсь подключить Microsoft. Если что-либо получиться - сообщу.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху