alletun
Goto Top

kein Zugriff auf administrative Freigabe C über Sophos Enterprise Console

Ich habe auf dem Domänenserver W2k3 die Sophos EC installiert mit dem Zweck AV-Clients auf Domänen-Clients WnXp zu pushen und als UpdateDB.
Blöderweise kommt immer die Meldung beim ersten Initialisieren eines neuen zu bespielenden Rechners in etwa - kein Zugriff auf administrative Freigabe C$ möglich. ( Dabei gebe ich am beim Wizard eigentlich ein Administratorkonto an welcher die nötigen Rechte hat)
Wenn ich nun aber mit dem Administratorkonto am Client direkt anmelde,angemeldet bleibe und dann nochmals über Server diesen beschieße klappt es wunderbar.
Updaten funktioniert dann auch problemlos mit jedem Konto sich der Client die selber zieht.

Wo ist das der Hacken? Irgendein Dienst der nicht läuft? Domänenkonten sind lokal gespeichert ( nicht serverbasiert )

Content-ID: 26995

Url: https://administrator.de/contentid/26995

Ausgedruckt am: 23.11.2024 um 00:11 Uhr

cykes
cykes 27.02.2006 um 18:02:42 Uhr
Goto Top
Hi,

dazu wäre gut zu wissen, welches OS auf dem Client läuft?
Sollte es Windows XP sein, überprüg mal ob unter Systemstuerung->Ordneroptionen
die "Einfachen Dateifreigaben" ausgeschaltet sind. dann sollte möglichst auf dem Client auch
keine windowseigene oder sonstige Firewall aktiv sein, bzw. die passenden Ports sollten freigeben sein.
Das steht übrigens alles auch in der Dokumentation face-wink
Ausserdem sollte auf dem Client sowohl der Taskplaner- als auch der Remote-Registry
Dienst laufen.

Gruss

cykes

[EDIT] Und das Konto, was Du zum Installieren verwendest, sollte Domänen-Adminrechte haben.
alletuN
alletuN 27.02.2006 um 18:36:14 Uhr
Goto Top
hab ich geschrieben auf "Domänen-Clients mit WnXp"
Einfache Dateifreigabe ist selbstredend deaktiviert. Keine Firewall.
Konto ist natürlich ein Domainadmin. Das ist selbst ohne Dokumentation klar ;)
Kannst du Remote-Registry Dienst genauer spezifizieren?

Gruss

alletuN
cykes
cykes 27.02.2006 um 19:04:45 Uhr
Goto Top
Der Dienst heisst auf Deutsch "Remote Registrierung" der muss auch laufen.
Aber wichtiger ist eigentlich der Taskplaner Dienst, da er sonst die Installation
nicht anstossen kann. Darauf muss der Admin auch remote Zugriff haben und Tasks
auf dem Client einrichten dürfen.
alletuN
alletuN 27.02.2006 um 21:26:53 Uhr
Goto Top
Hmm läuft beides/lief beides bereits zum Ausführzeitpunkt
cykes
cykes 27.02.2006 um 21:38:02 Uhr
Goto Top
Hast Du auch remote Zugriff auf den Taskplaner auf dem Client?
Kannst Du testen, in dem Du über die Netzwerkumgebung auf den Client gehst in das
verzeichnis "Geplante Tasks" und darin über Rechtsklick versuchst einen neuen geplanten
Task zu erstellen.

Du kannst auch mal testen, ob die Admin Freigabe existiert, indem Du vom Server
bei Start->Ausführen mal \\ClientName\C$ eintippst...

Desweiteren kannst Du mal die Sachen aus diesem Sophos KB Artikel überprüfen:
http://www.sophos.com/support/knowledgebase/article/2606.html

Gruss

cykes
alletuN
alletuN 27.02.2006 um 23:54:40 Uhr
Goto Top
Danke für schnelle Hilfe. =) Ich werde es morgen testen
alletuN
alletuN 02.03.2006 um 16:31:21 Uhr
Goto Top
Ok getestet. taskplaner ist zugreifbar. die C$ Freigabe existiert.
Daran liegt es also auch nicht.
cykes
cykes 02.03.2006 um 20:01:28 Uhr
Goto Top
Hi,

ok, kannst Du bitte mal die Fehlernummer raussuchen, müsste bei einem
Doppelklick auf den Client, wo es nicht geklappt hat, in dem anhgezigten Log
eigentlich aufgeführt werden.

Eine Library hast Du aber schon erstellt, oder?

Gruß

cykes
alletuN
alletuN 03.03.2006 um 01:00:11 Uhr
Goto Top
Natürlich. Sonst könnt ich erst gar nicht AV Client pushen bzw updaten. ( Oder meinst du etwas anderes? Ich schau morgen die Nummer an. Ich kann mich erinnern dass da stand kein zugriff auf C$ Freigabe wegen fehlender Benutzerrechte.
Welches Konto muss eigentlich die nötigen Rechte haben? der Domänenadministrator oder
SophosAdministrator?
cykes
cykes 03.03.2006 um 05:36:03 Uhr
Goto Top
Hi,

wenn Du EML/EC auf dem Server installierst, solltest Du als Admin angemeldet sein
(warst Du vermutlich auch) oder zumindest als Mitglied der Domänen-Admin Gruppe.

Zum (Push)Installieren musst Du auch ein Domänen-Admin Konto nehmen,
da Du sonst keine Rechte hast, einen geplanten Task auf dem remote Client
zu installieren (sprich im Wizard zum Schutz von Computer muss ein
Domänen-Adminkonto eingegeben werden, am besten mit Username = [Domäne]\[Benutzer]
und das zugehörige [Passwort], also der Benutzer in der "alten" NT4 Schreibweise).
Das gleiche gilt beim Suchen nach neuen Clients.

In der Update Richtlinie für die Gruppe, in der der Client dann liegt, kannst Du auch ein Konto
mit weniger Rechten benutzen, dass muss nur (mindestens) Leserechte auf die Zentrale
Freigabe \\[Server]\Interchk\ESXP haben, damit AutoUpdate funktioniert.

Und auf dem Client sollte halt der Server Dienst, Computer Browser Dienst,
Remote Registrierungs Dienst und der Taskplaner Dienst laufen.
Bei XP Clients halt Firewall aus oder Ports freigeben, damit der Sophos Client (bzw. RMS)
mit dem Server kommunizieren kann. Und die einfachen Dateifreigaben müssen bei XP
ausgeschaltet sein. Das war's eigentlich,w as man beachten muss ...

Gruss

cykes


[EDIT] Notfalls ruf einfach beim Sophos Support an, wenn Du vor dem Rechner sitzt,
ist ja ne Festnetznummer und keine 0180/0900 für teures Geld, die sind sehr kompetent
und freundlich ....
alletuN
alletuN 21.03.2006 um 11:51:42 Uhr
Goto Top
flutscht jetzt wieder alles. Danke für rasche Hilfestellungen
cykes
cykes 21.03.2006 um 23:50:40 Uhr
Goto Top
Und wpran lag's nun genau? face-wink
alletuN
alletuN 23.03.2006 um 17:08:34 Uhr
Goto Top
Tja ich hoffte diese Frage kommt nicht auf face-smile. einzig und allein meine Schuld... Flasch umgesetzt
cykes
cykes 23.03.2006 um 17:17:16 Uhr
Goto Top
nun weiß ich genau so viel, wie vorher face-wink