Sonntag, 13. Oktober 2019

VAMT-Fehler bei Proxy activate

Bei VAMT kommt es hin und wieder zu Fehlern, sobald man nach der Key-Installation Diese über "Proxy activate" bei Microsoft aktivieren möchte:

1) “VAMT reported that the response from the activation server did not match the request”
Dieser Fehler taucht seit VAMT 2 (u.A. auch in der paedML Linux 5.1) immer wieder auf. Hier erwartet der MS-Aktivierungsserver eine andere Regionaleinstellung von der anfragenden Station (hier die AdminVM).

Damals wie heute hilft es, die Regionaleinstellung in der Systemsteuerung der AdminVM zu manipulieren:

Bei 3) tauscht man das Komma gegen einen Punkt und bei 4) den Punkt gegen eine Leerstelle aus. Danach ist dieser Fehler behoben und die Geräte können aktiviert werden.


2) "The request failed with http status 417:Expectation Failed"
Dieser sehr seltene Fehler wird vom Squid verursacht, wenn es bei der HSTS-Kommunikation (HTTP Strict Tansport Security) zu einem Fehler kommt.
Lösen lässt sich das Problem, indem man die Zeile

ignore_expect_100 on

in die Datei /etc/squid/squid.conf auf dem paedML Server schreibt und den Squid dann neustartet.

Donnerstag, 26. September 2019

Microsoft 365 mit per Powershell mit Zugangsdaten versorgen

Wenn man seinen Schülerinnen und Schülerin über einen Rahmenvertrag eine Office 365 Lizenz geben möchte muss dies über die Azure-Cloud erfolgen. Hier sammle ich die Befehle die zum Hochladen der Benutzerdaten benutze.

Die folgenden Befehle sind KEIN SKRIPT! Die Befehle sollten einzeln ausgeführt werden und einzelne Teile gegebenenfalls angepasst werden.


Modul installieren
Install-Module MSOnline

zu Cloud verbinden
Connect-MsolService

Modul aktivieren
Import-Module MSOnline

Zum Auflisten aller Befehle:
Get-Command -Module MSOnline

Zum Auslesen der verfügbaren Lizenzen:
Get-MsolAccountSku
Kopieren Sie die gewünschte Lizenz, sie muss später beim Benutzer anlegen mitgegeben werden.

Alle User in der Cloud löschen (VORSICHT! ALLE User außer dem Admin werden gelöscht!)
Get-MsolUser -all | Remove-MsolUser -Force





Ließt die CSV Datei der paedML Importliste aus
$users=Import-Csv -Path 'H:\paedml_import_liste.csv'

Die Importierten Daten haben die Attribute Klasse, Vorname, Nachname, Benutzername und Passwort. Sie können nun für jeden User in der Liste eine Aktion ausführen lassen. Im Beispiel wird für jeden User der Vorname ausgegeben.

foreach($user in $users){    Write-Host $user.Vorname}
Die Azure-Cloud Benötigt für New-MsolUser (Neuer User anlegen)
-UserPrincipalName 
 Der Loginname mit Domäne z.B. vname.nname@meineschule.onmicrosoft.com
-DisplayName 
 Der angezeigte Name
-FirstName -LastName 
 Vor- und Nachname (eventuell nicht unbedingt benötigt?)
-Password
Das Passwort darf den Benutzernamen NICHT enthalten!
-ForceChangePassword $true 
Der User muss das Passwort beim ersten Login ändern, $false falls nicht
-Department 
Die passende Lizenz, welche mit  Get-MsolAccountSku ausgelesen wurde 
-LicenseAssignment *****schule:OFFICESUBSCRIPTION_STUDENT 

Microsoft verlangt einen Ländercode beim Zuweisen der Lizenz
-UsageLocation de

In der Abteilung kann die Klasse abgelegt werden.

Für meine Schule habe ich die Parameter wie folgt gesetzt:

New-MsolUser -UserPrincipalName "$($as.Benutzername).365@****schule.de" -DisplayName "$($as.Vorname) $($as.Nachname)" -FirstName $as.Vorname -LastName $as.Nachname -Password "$($as.Klasse)-Office!" -ForceChangePassword $true -Department $as.Klasse -LicenseAssignment ****schule:OFFICESUBSCRIPTION_STUDENT -UsageLocation de

Das Passwort ist nicht sehr sicher, aber kann von den Lehrern gut kommuniziert werden.
Es sieht bei uns dann so aus "SGGG13-1-Office!"

Das Anlegen komplett:
$users=Import-Csv -Path 'H:\paedml_import_liste.csv'
foreach($user in $users){    New-MsolUser -UserPrincipalName          "$($user.Benutzername).365@****schule.de" -DisplayName "$($user.Vorname) $($user.Nachname)" -FirstName $user.Vorname -LastName $user.Nachname -Password "$($user.Klasse)-Office!" -ForceChangePassword $true -Department $user.Klasse -LicenseAssignment ****schule:OFFICESUBSCRIPTION_STUDENT -UsageLocation de
}

Die User werden nun angelegt und die Lizenz zugewiesen.



Sonntag, 23. Juni 2019

Fehlende Gruppenrichtlinien für Windows Update & Store

Aktualisierung Juni 2021:
Eine Offizielle Version dieser Richtlinie wird nicht erscheinen, da dies alle Updates für Windows generell abdreht. Ich (J. Albani) werde sie in meiner Schule so nicht umsetzen sondern die Zwangsupdates zulassen und dann gegebenenfalls Nacharbeiten durchführen. Für die Windows 10 Version 2004 gibt es eine Anleitung von Herrn Rosenfelder bei der paedML Hotline. 

Anmerkung: Die Einstellungen zu den Updates wurden bisher durch das Opsi-Produkt config-win10 durchgeführt. Da Microsoft vergangene Woche (Ende Juni 2019) ihre Updatepolitik für Windows 10 änderte, kann es sein, dass diese Einstellungen nun nicht mehr ausreichend sind. Das LMZ wird die hier vorgeschlagenen Richtlinien prüfen und gegebenenfalls offizielle Richtlinien veröffentlichen. Bis dahin ist die Verwendung dieses Blog Eintrages ohne Gewähr.
Johannes Albani


In der paedML Linux 7.1 fehlen nach aktuellem Stand wichtige Gruppenrichtlinien, um Windows Update richtig zu kontrollieren.
Ohne diese Gruppenrichtlinien verbinden sich alle PCs an der paedML vorbei zum Windows Update-Server bei Microsoft und lassen womöglich die komplette Internetverbindung einbrechen.

Gut nachvollzogen werden kann dies in der access.log des Squidmoduls auf dem paedML Server.

Insgesamt betrifft es bei Windows 10 folgende Module:

- Insider Preview
- Microsoft Store
- Windows Defender Antivirus, bzw. dessen Definitionsupdates
- Windows Update

Der Windows Defender Antivirus sollte natürlich nur deaktiviert werden, sofern ein anderes Anti-Virenprogramm zum Einsatz kommt.

Folgende Gruppenrichtlinien unterbinden alle betroffene Verbindungen zu Microsoft:

Donnerstag, 2. Mai 2019

Installationsprobleme älterer Hardwareklassen in OPSI 4.1

Das Bootimage des OPSI 4.1, basierend auf Ubuntu 18.04, hat ein Problem bei der Installation von älteren Hardwareklassen, festgestellt an HP Elite 8200 PCs.

Hier kommt es beim Ausführen der opsi-local-image-Produkte sporadisch zum Fehler "Login failed: getrandom() initialization failed. (_ssl.c:726)".

Die Abhilfe dagegen:

1) Per putty auf die "abgestürzten" Geräte verbinden, Benutzer: root Passwort: linux123
2) /usr/sbin/rngd -b -r /dev/urandom -o /dev/random eingeben
3) master.py eingeben

Danach läuft das oli-Produkt weiter.

Je nach Situation müssen obige Befehle pro oli-Produkt ausgeführt werden, bei einer Windows-Installation dementsprechend ein Mal für -prepare und ein Mal für -win10x64.

Die Befehle werden mit dem nächsten Bootimage-Release integriert, aktuell befindet sich dieses Bootimage noch im testing-Repository.

Quelle: https://forum.opsi.org/viewtopic.php?f=25&t=10931



Maximale Länge der Rechnernamen

Durch Zufall bin ich letztens auf einen Fehler in der Windows-Installation in Bezug auf die maximale Länge der Rechnernamen gestoßen.

Sobald der Rechnername mehr, als 14 Zeichen hat, endet die Windows-Installation in einem Problem mit der unattend.xml-Datei.



Der Fehler kommt allerdings erst kurz bevor die eigentliche Windows-Installation endet und in die Installation des OPSI-Client-Agent übergeht. Das heißt, je nach Rechnergeschwindigkeit sind bis dahin schon 30 bis 45 Minuten vergangen, was dann etwas ärgerlich ist.

Dokumentiert wurde das Problem bei UIB hier schon vor einiger Zeit https://forum.uib.de/viewtopic.php?f=7&t=1243&sid=6f365afb81aaabfd24e07014d28dd9d0&start=10

Powershell und Windows-Images

Zur Zeit beschäftige ich mich etwas mehr mit Windows Images. Zum einen, weil ich das OPS-VHD Produkt teste und auch schon einsetze (und noch mehr damit geplant habe, mehr dazu hoffentlich in kürze), zum anderen, weil beim opsi-local-image-wim-capture immer wieder Fehlermeldungen erscheinen, wenn das Windows etwas länger eingeschaltet war, bevor es gecaptured wurde. Diesen Problemen versuchen wir auch auf die Schliche zu kommen.

Hier ersteinmal eine Sammlung praktischer Powershell Befehle für die Images:
Ach ja, man muss die Powershell als Administrator ausführen um mit Images arbeiten zu können!
Get-WindowsImage -ImagePath \\backup\opsi_depot_rw\opsi-local-image-win10-x64-capture\installfiles\install.wim
gibt die verschiedenen Images des Capture-Produkts aus. Der Pfad kann an die verschiedenen Capture Produkte angepasst werden. 

Um eine Version von Windows aus dem Installer zu entfernen könnt ihr mit dem vorigen Befehl die Indes Nummer des Zieles herausfinden, mit 
Remove-WindowsImage -ImagePath \\backup\opsi_depot_rw\opsi-local-image-win10-x64-capture\installfiles\install.wim -Index 3 -CheckIntegrity
kann man z.B. das Image an Stelle 3 löschen. 
(Dies dauert ein paar Minuten)

Wenn man aus einer Sammlung von Windows Installationsdateien ein Image aus dem Verbund exportieren wollt geht das mit:
Export-WindowsImage -SourceImagePath  \\backup\opsi_depot_rw\opsi-local-image-win10-x64-capture\installfiles\install.wim -SourceIndex 1 -DestinationImagePath  \\backup\opsi_depot_rw\opsi-local-image-win10-x64-capture\installfiles\export.wim
Um das Exportierte Image (index 1) in eine andere Wim Datei zu verschieben muss das exportierte Image in einen Ordner (Hier C:\winmount) gemountet werden. 
Mount-WindowsImage -ImagePath \\backup\opsi_depot_rw\opsi-local-image-win10-x64-capture\installfiles\export.wim -ReadOnly -Index 1 -Path C:\winmount
Danach kann es zu einer anderen install.wim hinzugefügt werden. 
Add-WindowsImage -ImagePath \\backup\opsi_depot_rw\opsi-local-image-win10-x64-capture\installfiles\install.wim -CapturePath C:\winmount -Name "Name_des_neuen_Images"

Dienstag, 12. Februar 2019

paedML Linux 7.1

Hallo!
Das Update der paedML Linux für Version 7.1 steht in den Startlöchern. Es werden vor allem viele Detailverbesserungen enthalten sein, z.B. das Single Sign-On für die Schulkonsole.

Nach dem Update werden ein paar Tricks meines Blogs jedoch obsolet:

  1. die Anmeldung als Administrator funktioniert nur noch mit paedml-linux\Administrator, die Abkürzungen. z.B. p\Administrator werden nicht mehr klappen.
     
  2. Der im Blog beschriebene Trick mit dem Ausblenden des Opsi-Statusfensters muss rückgängig gemacht werden. Das paedml-login Opsi-Paket ersetzt viele der Login-Skripte (Icons kopieren, Informationen über Benutzer anzeigen usw. ) Diese werden von diesem Opsi-Statusfenster aufgerufen.
    Falls Sie meine Änderungen durchgeführt haben, setzen Sie für die Clients und das Depot "Host-Parameter" --> "opsiclientd" -->"opsiclientd.event.user_login.active" wieder auf "true" und rollen Sie den client-agent neu aus, wie in der Anleitung ausführlich beschrieben wurde.
     
  3. Einige meiner Druckeranmelde Tipps und Tricks wurden im Update umgesetzt. Zur Verteilung können Sie nun zusätzlich und optional die Gruppenrichtlinie paedMLL_Druckerverbinden nutzen. Dazu müssen Sie im Ordner \\backup\opsi_depot_rw\update71 das Powershell-Skript DruckerGPO.ps1 ausführen. Dadurch wird eine Gruppenrichtlinie mit ihrer aktuellen Druckerkonfiguration erzeugt. Sobald Sie Änderungen an den Drucker-Zuordnungen durchführen, muss das Skript erneut gestartet werden, damit die Richtlinie aktualisiert wird.
    Ich empfehle für Schüler und Lehrer jeweils eine Verknüpfung "Drucker reparieren" anzulegen, welche ein gpupdate durchführt. Dadurch können die Benutzer bei Bedarf die Drucker neu installieren lassen.
    Rechtsklick auf dem Desktop --> Neu --> Verknüpfung
    Als Pfad wählen Sie C:\Windows\System32\gpupdate.exe, als Icon können Sie in der Standardbibliothek SHELL32.dll ein passendes Icon auswählen. 
    Verteilen können Sie dieses Icon über aproflehrer und aprofschueler.
  4. Bei der paedML-Linux 7.1 wurde die Anmeldung überarbeitet. Es kann nach dem Update jedoch passieren, dass nicht der Standard-Hintergrund geladen wird. Für diesen Fall können Sie folgenden Skript verwenden. Es löscht abweichende Hintergrundbilder aus den Ordnern der SuS:

    $sus = Get-ChildItem "\\server\Home-Verzeichnisse Schueler\"
    foreach( $s in $sus){
        if (Test-Path  "\\server\Home-Verzeichnisse Schueler\$s\AppData\Microsoft\Windows\Themes\TranscodedWallpaper" ){
            if(
            ((Get-Item "\\server\Home-Verzeichnisse Schueler\$s\AppData\Microsoft\Windows\Themes\TranscodedWallpaper").Length -gt 240000) -or ((Get-Item "\\server\Home-Verzeichnisse Schueler\$s\AppData\Microsoft\Windows\Themes\TranscodedWallpaper").Length -le 220000)){
                Remove-Item –path "\\server\Home-Verzeichnisse Schueler\$s\AppData\Microsoft\Windows\Themes" –recurse
                write-host "Der Schüleraccount von $s wurde bereinigt." -ForegroundColor Green
            }
        }
    }
  5. Der Samba Bug, der das Verwenden des Klassenorder _klassen verhinderte, ist mit der paedML Linux 7.1 natürlich behoben. D.h. meine Anleitung  für einen Ersatz ist damit praktisch obsolet. 

                    Weitere Änderungen werde ich hier im Artikel aufführen.