Anleitungen

Installation des Servers
Computer hinzufügen
Agent-Installation
Umzug des Servers auf anderen Computer
Software Setup-Parameter herausfinden

Installation des Servers

Download

Das Setup kann unter https://config-hub.de/downloads heruntergeladen werden.

Setup

Für das Setup wird ein Login benötigt:

Komponenten-Auswahl

Anschließend können die Komponenten ausgewählt werden:

Server-Einstellungen

Kunden -Nummer und -Name: Diese Informationen dienen aktuell nur zur Identifikation der Installation
Admin-Passwort: Hier wird das Windows-Passwort vom Administrator abgefragt. Dieses Passwort wird für die Installation des Agents (Dienst) an den Computern benötigt

Admin-Einstellungen

Wird der Admin installiert, wird das Verzeichnis C:\ProgramData\ConfigHub\Admin freigegeben (Freigabe-Name ConfigHubAdmin$) und es kann eine UNC-Pfad-Verknüpfung auf dem Desktop abgelegt werden:

Zusammenfassung

Beim Klick auf Installieren starten die Setups:

Installations-Fortschritt

Installations-Abschluss

Der Admin sollte einmalig gestartet werden (Login wird nicht benötigt), damit die Server-IP-Adresse konfiguriert wird

Computer hinzufügen

Möglichkeit 1: Netzwerk-Scan

Unter Computer / Übersicht lässt sich der Netzwerk-Scan über den Button "NW-Scan" öffnen:

Der Scan startet automatisch beim 1. Aufruf. Nach dem Abschluss des Scans können alle gefundenen Computer oder einzelne Computer hinzugefügt werden:

Möglichkeit 2: Computer einzeln hinzufügen

Unter Computer / Übersicht lässt sich über den Button "Computer hinzufügen" ein einzelner Computer hinzuzufügen:

Es wird eine IP-Adresse oder ein Hostname benötigt:

Agent-Installation

Die Agent-Installation wird für hinzugefügte Computer automatisch versucht

CMD-Skript für Voraussetzungen 2, 3 und 4:

:: Ping zulassen
netsh advfirewall firewall add rule name="Ping ICMPv4 zulassen" protocol=icmpv4:8,any dir=in action=allow

:: c$-Freigabe zulassen (damit das Setup kopiert werden kann)
netsh advfirewall firewall set rule name="Datei- und Druckerfreigabe (SMB eingehend)" new enable=yes

:: Remote-WMI erlauben (damit das Setup ausgeführt werden kann)
netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes

:: UAC-Beschränkung aufheben (in Arbeitsgruppen benötigt, falls die UAC aktiv ist)
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Voraussetzung 1: Gültiger Windows-Login

Damit das Agent-Setup zum Computer kopiert und remote ausgeführt werden kann, benötigt der ConfigHub unter Organisation einen gültigen Windows-Login, welcher über lokale Administratoren-Rechte verfügt.

Voraussetzung 2: Ping ist möglich

Der Ping sollte zu Computern möglich sein (außer dies ist explizit nicht erwünscht - hierfür gibt es die Server-Einstellung "Ping zu Agents ist erlaubt").

Details zum Ping

Überprüfung

Über eine Eingabeaufforderung den Befehl ping [IP-Adresse] -4 ausführen

Windows-Defender-Firewall

Die entsprechende Windows-Defender-Firewall-Regel heißt "Kernnetzwerkdiagnose - ICMP-Echoanforderung (ICMPv4 eingehend)" und ist standardmäßig deaktiviert.

Leider kann die Firewall-Regel über folgenden CMD-Befehl (erfordert Admin-Rechte) nicht immer aktiviert werden (da sie unter dem Namen nicht immer gefunden wird):

netsh advfirewall firewall set rule name="Kernnetzwerkdiagnose - ICMP-Echoanforderung (ICMPv4 eingehend)" new enable=yes

Voraussetzung 3: c$-Freigabe ist erreichbar

Die c$-Freigabe (SMB Port 445) muss erreichbar sein, damit das Setup über die c$-Freigabe (nach C:\ProgramData\ConfigHub\Agent) kopiert werden kann.

Details zur c$-Freigabe

Überprüfung

Der Zugriff kann getestet werden, ob die c$-Freigabe über den Windows-Explorer geöffnet werden kann.
Hierbei muss einer der Windows-Logins aus der ConfigHub Organisation verwendet werden.

Windows-Defender-Firewall

Die entsprechende Windows-Defender-Firewall heißt "Datei- und Druckerfreigabe (SMB eingehend)" und ist standardmäßig deaktiviert.

Die Firewall-Regel kann über folgenden CMD-Befehl (erfordert Admin-Rechte) aktiviert werden:

netsh advfirewall firewall set rule name="Datei- und Druckerfreigabe (SMB eingehend)" new enable=yes

Voraussetzung 4: Setup lässt sich remote ausführen

Damit das Setup remote gestartet werden kann, muss entweder

Remote-WMI (Port 135) erreichbar sein
oder die Admin$ - Freigabe für PsExec erreichbar sein

Bei aktiver Benutzerkontensteuerung (UAC)

Damit das Setup über die WMI (Windows Management Instrumentation) oder PsExec ausgeführt werden, muss bei aktiver Benutzerkontensteuerung folgender Registry-Wert gesetzt werden, damit der Zugriff auf die WMI oder die Admin$-Freigabe gewährt wird:

Registry-Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Registry-Wertname: LocalAccountTokenFilterPolicy
Registry-Werttyp: DWORD
Registry-Wert: 1

Es kann folgender CMD-Befehl (mit Admin-Rechten) ausgeführt werden (überschreiben mit ja bestätigen):

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1

Alternativ kann auch eine .reg-Datei mit folgendem Inhalt ausgeführt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001

Einstellungen für WMI (Windows Management Instrumentation)

Windows-Defender-Firewall

Die entsprechenden Windows-Defender-Firewall heißen "Windows-Verwaltungsinstrumentation (DCOM eingehend)" und "Windows-Verwaltungsinstrumentation (WMI eingehend)". Diese sind standardmäßig deaktiviert.

Die Firewall-Regeln können über folgenden CMD-Befehl (erfordert Admin-Rechte) aktiviert werden:

netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes

Alternative: Agent-Setup manuell ausführen

Das Setup kann auch manuell ausgeführt werden.

Der ConfigHub Server lädt die aktuelle Version nach C:\Programdata\ConfigHub\Server\Downloads herunter.

Umzug des Servers auf anderen Computer

Beim Umzug auf einen anderen Server müssen folgende Schritte befolgt werden:

Export der vorhandenen Datenbank

Unter Einstellungen / Server-Datenbank / Exportieren kann die Datenbank exportiert und entschlüsselt werden:

Die Kennwörter werden in der exportierten Datenbank entschlüsselt gespeichert (sind als Klartext lesbar)

Setup am neuen Server

Liegt die exportierte Datenbank neben dem ConfigHub.Setup, wird diese vom Setup kopiert und die Konfiguration bei der Installation wird übersprungen:

Bereinigungen

Die exportierte Datenbank (z.B. neben dem Setup liegend) muss in jedem Fall gelöscht werden, da in dieser die Kennwörter im Klartext lesbar sind
Der ConfigHub.Server sollte auf dem alten Computer deinstalliert werden

Software Setup-Parameter herausfinden

Um Software silent installieren zu können, werden Aufrufparameter benötigt. Diese sind je nach verwendeter Setup-Software unterschiedlich.

Setup-Software identifizieren

Zunächst muss man herausfinden, welche Setup-Software verwendet wird. Hierzu bietet es sich an, das %temp%-Verzeichnis zu leeren und das Setup zunächst normal zu starten.

Beim Inno-Setup werden im %temp%-Verzeichnis Ordner mit Namen "is-[...].tmp" angelegt.

Inno-Setup

Vollständige Liste aller Setup-Aufrufparameter: https://jrsoftware.org/ishelp/index.php?topic=consts

Für normale Silent-Installationen reichen normalerweise folgende Parameter aus:

/VERYSILENT /NOCANCEL /NORESTART /SUPPRESSMSGBOXES

Möchte man innerhalb des Setups z.B. Komponenten auswählen, kann das Setup eine inf-Datei generieren:

/SAVEINF="C:\InnoSetup.inf"

Aus dieser Datei kann ausgelesen werden, welche zusätzlichen Parameter gesetzt werden können.

MSI-Setups

Vollständige Liste aller Setup-Aufrufparameter: https://learn.microsoft.com/en-us/windows/win32/msi/standard-installer-command-line-options

Für normale Silent-Installationen reichen normalerweise folgende Parameter aus:

/quiet /norestart

Möchte man innerhalb des Setups z.B. Komponenten auswählen oder den Zielpfad anpassen, kann eine Datei erstellt werden, die beim Setup alle Parameter aufführt:

/lp! c:\msi-parameter.txt

InstallShield-Setups

Es kann eine Silent-Setup-Datei mit folgendem Befehl erstellt werden:

setup.exe /r /f1"C:\setup.iss"

Diese kann anschließend zur Silent-Installation mit folgendem Befehl verwendet werden:

setup.exe /s /f1"C:\setup.iss"