14 Antworten Neueste Antwort am 05.01.2017 17:38 von frank.pfeiffer

    netzweite Aktualisierung - AV Dienst stoppen

    frank.pfeiffer Einsteiger

      Hallo Zusammen,

       

      erst einmal ein frohes Neues.

       

      ich habe bei einem Mandanten ein Problem. Die netzweite Aktualisierung scheitert immer daran, dass auf den drei Arbeitsplatz PCs AVIRA als Virenscanner läuft. Momentan kann ich das nur lösen, wenn ich vor Ort bin, mich als Admin an den Arbeitsplätzen anmelde und Avira manuell deaktiviere. Das hat dann zur Folrge, dass der Update-Manager keinen Neustart macht und als Admin loslegt.

       

      Leider Gottes ist Mandant runde 100 Kilometer weg und ich kann aus der Ferne auf den Datev Server zugreifen, so dass es eigentlich recht bequem sein könnte.

       

      Nun die Frage: Kann ich irgendwie vor der eigentlichen Installation und nach dem automatischen Anmelden als Admin eine Batch Datei aufrufen, die den Avira Dienst stoppt? Hat da jemand eine Idee?

       

      Viele Grüße aus Mainz

        Alle Antworten
        • 1. Re: netzweite Aktualisierung - AV Dienst stoppen
          seidel Beginner

          Evtl. den AVIRA mit rechter Maus / als Admin starten ?

          • 2. Re: netzweite Aktualisierung - AV Dienst stoppen
            frank.pfeiffer Einsteiger

            Das nutzt leider nichts. Meistens sind normale User angemeldet, die vom Update-Manager abgemeldet werden. Dann wird in aller Regel der PC neu gestartet und als Admin weitergearbeitet (die Anmeldedaten kann hinterlegen). Während des Neustarts wird natürlich der Avira Dienst wieder mit einem Systemkonto gestartet, was manche Aktionen bei der Datev Installation verhindert.

             

            Der Dienst auf dem Arbeitsplatz müsste per Batch gestoppt werden können. Das wäre extrem einfach, wenn Datev einen Batch aufrufen könnte, bevor die eigentliche Installation beginnt.

            • 3. Re: netzweite Aktualisierung - AV Dienst stoppen
              ulli.preuss Aufsteiger

              Hallo,

               

              vielleicht hilft Ihnen psexec. Ist ein Bestandteil der pstools von Microsoft, die früher von Mark Russinovich als Sysinternals angeboten wurden. Damit können Sie eine Eingabeaufforderung als SYSTEM starten.

               

              Wenn Sie psexec mit dem net-Befehl kombinieren, sollte das Starten/Stoppen von Diensten kein Problem sein.

               

              Viele Grüße

              • 4. Re: netzweite Aktualisierung - AV Dienst stoppen
                frank.pfeiffer Einsteiger

                Hallo,

                 

                das Tool kenne ich, macht aber nicht das, was ich denke, was es tun sollte. Die Initiative für den Stop und Start des Dienstes kann nur vom Update Manager ausgehen. Die einzelnen Schritte wären:

                 

                1. Arbeitsplatz neu starten
                2. als Admin anmelden und Sperrbildschirm anzeigen
                3. Avira Dienst stoppen
                4. Datev Software installieren
                5. Avira Dienst wieder starten
                6. als Admin abmelden und Bildschirm wieder freigeben

                 

                Der Avira Dienst muss neu gestartet werden, damit das System nicht ungeschützt ist. Alternativ könnte auch ein Neustart erfolgen, damit alles wieder gestartet wird.

                 

                Einfach eine Batchdatei aufrufen mit "net stop Avira Dienst" würde völlig reichen.

                • 5. Re: netzweite Aktualisierung - AV Dienst stoppen
                  seidel Beginner

                  Wenn das in einer Domäne ist:

                  Installadmin Benutzer erstellen

                  Anmeldescript mit Deaktivierung AVIRA

                  Abmeldescript mit Aktivierung AVIRA

                  Datevupdate mit Installadmin starten

                  • 6. Re: netzweite Aktualisierung - AV Dienst stoppen
                    frank.pfeiffer Einsteiger

                    Das wäre ein Ansatz, hat aber den Nachteil, dass das System nicht nur während der Installation ungeschützt (und gesperrt) wäre, sondern auch immer dann, wenn sich der Admin wegen anderer Arbeiten anmeldet.

                     

                    Das könnte man umgehen, wenn ein spezieller Datev Admin Account angelegt würde. Das ist heute leider noch nicht so, weil der Mandant die IT selbst betreut und mich nur für Datev anheuert.

                    • 7. Re: netzweite Aktualisierung - AV Dienst stoppen
                      Martin Kolberg Erfahrener

                      Können Sie nicht per RDP (Remotedektop) vom Server auf alle Clients zugreifen?

                      Entweder wake up on LAN aktivieren, oder irgend jemand vor Ort muß die Geräte einschalten.

                      • 8. Re: netzweite Aktualisierung - AV Dienst stoppen
                        jan Aufsteiger

                        Wenn sich ein Virenscanner "mal einfach so" per Script beenden ließe, was würden dann die bösen Jungs wohl als erstes in die Maleware einbauen?

                         

                        Hier hilft vermutlich nur ein Antivirus Client der zentral vom Server verwaltet wird und dann eben vor der Installation für die Clients deaktiviert und nach der Installation aktiviert wird.

                         

                        Evtl. lässt sich das auch in Kleinstarbeit aufdröseln und per Ausnahmen im Avira umschiffen. Oder die DATEV APLs auf Viwas umstellen?

                         

                        Je nachdem wie die restliche IT aussieht ggfs. Terminaldienste in Betracht ziehen. Sind wesentlich einfacher remote zu verwalten

                        • 9. Re: netzweite Aktualisierung - AV Dienst stoppen
                          frank.pfeiffer Einsteiger

                          Das Problem ist, dass es sich so einfach per Script machen lässt. Man muss halt nur wissen, wie der Dienst heißt und Admin Rechte haben. Das ist der Grund, warum diese Dienste oft kryptische Namen haben und nicht so einfach zu erkennen sind.

                           

                          Andereseits macht die Datev mit Viwas genau das. Viwas wird bei den entsprechenden, kritischen Zugriffen ausgeklinkt und das System ist in dieser Phase nicht mehr geschützt. Deshalb ja der Sperrbildschirm, damit nicht während dieser Zeit ein User sein Unwesen treiben kann.

                           

                          WTS wäre mir auch lieber, aber da habe ich bei diesem Mandanten leider keine Chance. Ansonsten betreue ich eigentlich nur WTS in reinen Datev Umgebungen und da ist Viwas kein Thema. Aber der Mandant hat sich nun mal so entschieden.

                          • 10. Re: netzweite Aktualisierung - AV Dienst stoppen
                            jan Aufsteiger

                            Dann würde ich mit dem Kunden nochmals über RDS reden oder mich per Teamviewer / RDP / wie auch immer auf die PCs hangeln und von Hand updaten.

                             

                            3 PCs und Server könnte man ja nahezu schon gleichzeitig updaten.

                            • 11. Re: netzweite Aktualisierung - AV Dienst stoppen
                              frank.pfeiffer Einsteiger

                              Ja schon. Das ist im Prinzip kein großer Akt, nur leider jedesmal 100 Kilometer ein Weg. In Mainz kann ich die Kanzlei von zuhause aus betreuen und für die paar Arbeitsplätze sitze ich 1,5 Stunden für einen Weg im Auto.

                               

                              Man wird halt faul.

                              • 12. Re: netzweite Aktualisierung - AV Dienst stoppen
                                ichauch Erfahrener

                                Moin,

                                 

                                ein paar grundsätzliche Überlegungen:

                                 

                                1. DATEV bietet in der Installation eine Möglichkeit den Benutzer zur Installation zuzuweisen -> siehe Hinweis auf Sperrbildschirm. Was spricht dagegen, auf den 3 Systemen diesen mit Adminrechten zu versehen oder einen speziellen Installationsuser (mit Zuordnungen in der Nuko) einzurichten?
                                2. Da es bei AVIRA bestimmt eine Möglichkeit gibt, den Virenscanner für Installationen auszuschalten, wird es auch Schnittstellen für Scripte geben. In der Hilfe oder den FAQs wird das mit Sicherheit beschrieben. Ob das nun user- oder tokenbasiert stattfindet sollte sich klären lassen. Falls nicht sollte über einen anderen Virenscanner nachgedacht werden.
                                3. Die Scripte werden dann über eine lokale mit dem DATEV Installationsuser verknüpfte GPO bei der Anmeldung zugewiesen. Bei Abmeldung ein weiteres Script zum Starten des Virenscanners.

                                 

                                Während der DATEV Installation arbeitet der User ohnehin nicht am PC, ein Risiko ohne Virenprogramm in der Zeit wäre wohl zu vernachlässigen.

                                 

                                Gruß

                                KP

                                • 13. Re: netzweite Aktualisierung - AV Dienst stoppen
                                  jan Aufsteiger
                                  Leider Gottes ist Mandant runde 100 Kilometer weg und ich kann aus der Ferne auf den Datev Server zugreifen, so dass es eigentlich recht bequem sein könnte.

                                  Warum dann nicht den Server als "Jump Host" nehmen und wie Martin Kolberg (und ich) vorschlagen per RDP weiter auf den Client?

                                   

                                  Oder eben auf den Clients auch Teamviewer o.ä. installieren. Oder direkt einen VPN Router zur Fernwartung zum Kunden und per RDP auf Server und Clients?

                                  • 14. Re: netzweite Aktualisierung - AV Dienst stoppen
                                    frank.pfeiffer Einsteiger

                                    So mache ich es ja zur Zeit auch, aber die netzweite Aktulisierung funktioniert so nicht wirklich oder nur mit Krücken. Bei jedem Neustart des Arbeitsplatzes fliegt natürlich auch die RDP Session ab. Das würde mit TeamViewer auch passieren.

                                     

                                    Ich habe dort leider keinerlei Einfluss auf die Kontiguration, GPOs, User-Anlage oder sonst etwas. Das macht alles ein selbsternannter Admin, der zig-Mal an der Datev Installation gescheitert ist und den Datev Server deshalb nicht mehr anfassen darf. Ich kann auch nicht einfach einen TeamViewer Server auf den Arbeitsplätzen installieren. Es ist halt nicht so einfach.

                                     

                                    Deswegen hatte ich gehofft, dass man bei der netzweiten Aktualisierung etwas einbauen kann, was das vereinfacht und man das alles vom Datev Server aus starten und überwachen kann.