Mit Windows 8 hat sich in GPOs scheinbar wenig geändert - zumindest kamen kaum grundlegend neue Funktionen dazu. Lediglich die Sicherheitseinstellungen sind erweitert worden, um z.B. DNSSEC und DirectAccess besser zu unterstützen.
Trotzdem hat MS es geschafft, in einigen Bereichen - teilweise in uralten Funktionen - neue Fehler einzubauen. Einer dieser Bereiche ist die Softwareinstallation mit Gruppenrichtlinien (MSI-Verteilung, auch als AppMgmt bezeichnet). Und der Fehler ist folgender:
Wenn wir eine MSI-Datei mit GPOs verteilen und die Installation funktioniert, dann ist alles gut. Funktioniert sie nicht, benötigen wir allerdings Protokolle, in denen wir nach Fehlern suchen können. Für AppMgmt benötigen wir sogar gleich mehrere Protokolle, da hier drei Komponenten zusammenwirken:
- Group Policy-Verarbeitung (also das GPO Eventlog und ggf. das GPSVC Debug Logging)
- AppMgmt-Verarbeitung, also das Ermitteln und Auswerten der zu installierenden MSI-Pakete - das Logging hierfür muss allerdings zuerst aktiviert werden
- Die eigentliche Installation der MSI-Pakete (Windows-Installer) - auch hier muss das Logging zuerst aktiviert bzw. passend konfiguriert werden
Setzten wir AppMgmtDebugLevel=0x4B (andere Quellen sagen 0xF7 oder 0x9B, ist aber egal, da das nur einen Bitmaske ist - 0xFFFFFFFF würde auch gehen) und installieren eine MSI-Datei mit GPOs, dann wird die Protokolldatei %windir%\usermode\appmgmt.log nicht erstellt. Entfernen wir dann die MSI-Datei aus dem GPO, dann wird plötzlich eine Datei erstellt - aber die enthält für jede GPO-Verarbeitung genau einen einzigen Eintrag, nämlich einen Zeitstempel:
05-07 19:03:28:054
05-07 20:39:31:727
05-07 22:19:36:728
05-07 23:57:41:073
05-08 01:45:46:129
05-08 03:15:50:317
05-08 05:06:54:839
05-08 06:49:58:543
05-08 08:29:04:912
Das hilft uns natürlich in keinster Weise weiter, wenn wir Fehlersuche betreiben wollen. Dieses Verhalten wurde von MS zwischenzeitlich als Bug bestätigt und für Windows 8.1 wird es möglicherweise behoben. Ob es für Windows 8 jemals einen Fix geben wird, ist derzeit nicht bekannt.
Die einzige Möglichkeit für uns ist damit: Wir benötigen einen Computer mit Windows 7, auf dem das gleiche Verhalten auftritt, das wir analysieren wollen. Hier können wir dann wie gewohnt das AppMgmt-Logging aktivieren.
Happy MSI-Deployment! :-))
No comments:
Post a Comment