ich bräuchte ein wenig Hilfe bei der Ermittlung des Fehlers in meinem Fall.
Wir haben Agenten , die mit dem Root- und Intermediate-Zertifikat, verteilt werden,
damit die Verbindung zum Master gesichert funktioniert. Das klappt auch einwandfrei und Updates können gezogen werden. Die Zertifikate sind auch Up-to-Date.
Jetzt kommt aber der Fehler, den wir uns nicht erklären können:
Vor knapp 2 Wochen fing es an, dass wir auf einmal Agenten-Meldungen bekamen, dass kein gültiges Zertifikat beim Update-Request gefunden wurde. Wir haben alles kontrolliert, aber sowohl die Verbindung zum Master, als auch alle Zertifikate (Server & Client seitig) sind gültig und in Ordnung.
Sofern man das Update Client-seitig erzwingt, werden ebenfalls die gleichen Zertifikate gezogen und erneut gespeichert. Bei einigen Servern tritt der Fehler dann nach 1-2 Tagen erneut auf, bei anderen nicht mehr.
Kann uns wer sagen, wo hier das Problem liegen kann? Wir sind langsam etwas ratlos und genervt, dass wir ständig überall das Updaten der Clients erzwingen müssen, obwohl dies eigentlich automatisch klappen sollte.
Zudem verwirrend ist es auch, dass es nur einen Bruchteil aller unserer Clients betrifft, aus unterschiedlichen Netzen.
Falls jemand das Szenario kennt oder uns mit Fachwissen Informationen geben kann, wäre ich sehr dankbar. Ich bin gerade ratlos.
Die Meldung “No valid signature” hat aber eigentlich nix mit den Zertifikaten des Webservers zu tun.
Dies bezieht sich auf die Agent Signatur wurde hier etwas geändert?
Nein, hier wurde nichts verändert.
Zum Signieren der Agenten benutzen wir immer noch das selbe Key-Zertifikat.
Wie gesagt, es wurde von uns aus nichts am System geändert, wodurch wir uns das erklären könnten.
Habe sicherheitshalber die Agenten alle neu signiert, aber gäbe es Probleme mit der Signatur, müssten ja alle Clients betroffen sein.
Daher sind wir ja verwundert. Es sind nur einige wenige und nicht alle.
ja haben wir. Die meisten Agenten laufen ohne Probleme bei einem manuellen Versuch durch,
daher sind wir verwirrt. Mehr Informationen konnten wir leider auch nicht erhalten bisher, außer das er angeblich mit der Signatur Probleme hat:
Signature #1 is invalid.
ERROR No valid signature found.
Das ist halt leider der einzige Output den wir erhalten, obwohl alle Agenten Pakete erfolgreich signiert sind und auch keine Fehlermeldung bei der Agent Bakery existiert.
Was halt verwunderlich ist, ist dass der Agent nach der erzwungenen Installation zumeist keine Probleme mehr hat.
Grob umgeschlagen haben auch nur ca. 2% aller unserer Agenten dieses Problem. Es betrifft sowohl Windows als auch Linux-Server.
EDIT: Bevor jemand fragt, der richtige Update-Server ist auch hinterlegt. Also ein fremder Check_MK Master Server ist hier auch nicht der schuldige.
Nicht auf unserem Master.
Und alle Probleme mit den Viren-Scanner wurden bereits getilgt, da hier früher immer die cmk-update-agent gesperrt wurde, bzw. deren Kopie.
Die Fehlermeldung kommt ja vor dem Herunterladen des Agenten, daher ist es angeblich Serverseitig,
aber hier findet man auch keine Fehler.
Aber danke an alle, die sich gemeldet haben. Schätze, dass ist dann ein Sonderfall, von dem noch keiner gehört hat.
Der Fehler ist nicht Serverseitig - @ChristianM hat schon die gleiche Idee wie ich, die Config Datei welche die validen Signaturen enthält hat ein Problem in Euren Systemen. Ein manuelles Updates welches zwangsweise ausgeführt wird ignoriert dieses Datei und installiert wieder die neue Version vom gerade installierten Agenten.
Ich würde auch einfach mal schauen wenn das Problem wieder da ist wie die Agent Config Datei auf dem betroffenen System ausschaut und diese mit einem OK System vergleichen.
Der Fehler taucht halt immer wieder sporadisch auf, daher ist uns die Quelle des Problems nicht bekannt.
Wie kommt es überhaupt dazu. Das wäre gut zu wissen ;D
Wir haben eine Softwareverteilung aktiv, allerdings nicht in bezug auf Check_MK oder die Dateien von Check_MK.
Vorallem, wenn die Signatur falsch wäre, dürfte der Agent sich doch generell nicht mehr alleine davon erholen, da er ja ein “Update” niemals verifizieren kann. Dennoch verschwinden diese Fehler teils von alleine.
Das Problem tritt leider immer noch auf, trotz signierter Agent und gültiger Zertifikate.
Wir können leider nicht nachvollziehen, wie dies Zustande kommt, da die Fehler sporadisch auftauchen und dann wieder teils von alleine verschwinden.
Verwunderlich ist auch, dass ca. nur <2% betroffen sind aller Check_MK angebundener Server, über alle Slaves verteilt, in unterschiedlichen Netzen, mit unterschiedlichen OS-Systemen.
Das Problem müsste man sich genau in dem Moment anschauen wenn es an einem System auftritt.
Wichtig wären dann halt in dem Moment die Config Files des Agent Updaters. Bei der Version 1.5 ist das Update Log noch nicht ganz so umfangreich wie 1.6 da weiß ich nicht wie viel man sieht.
Bei dem Manuellen Test geht es dann wieder auch wenn nur ein “cmk-update-agent -v” ausgeführt wird?
Auf so einem Host welcher gerade den Fehler hat.
Bevor ich bei einem fehlerhaften Host den Updater manuell ausführe würde ich einfach das Config Verzeichnis des Agenten wegsichern, Updater ausführen und wenn der dann ohne Fehler durchläuft einfach mal ein Diff mit dem gesicherten Verzeichnis ob alles identisch ist.