ces 2 processus sont toujours bloqués :
- Capture d’écran 2026-03-19 100913.jpg (51.8 Kio) Consulté 3641 fois
Problème déploiement waptagent
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
-
Renaud Villet
- Messages : 30
- Inscription : 23 janv. 2020 - 14:12
et pour info, la désactivation de l'AV ne corrige pas le pb
ces 2 processus sont toujours bloqués :
ces 2 processus sont toujours bloqués :
-
Renaud Villet
- Messages : 30
- Inscription : 23 janv. 2020 - 14:12
En fait mon collègue a créé un ticket pour ce pb (https://espaceclient.tranquil.it/support/2601197) ! 
Pour le moment nous avons contourné le pb en remettant l'ancien agent (en version2.6.1.17472), et ça fonctionne
Pour le moment nous avons contourné le pb en remettant l'ancien agent (en version2.6.1.17472), et ça fonctionne
Bonjour à tous,
Même problème ici, le déploiement du nouvel agent via GPO ne fonctionne pas.
On a essayé avec les options -- force, en enlevant le check minimum de version sur le script, rien n'y fait.
Ce n'est pas l'antivirus, les exceptions sont bien ajoutées.
Lorsqu'on lance l'agent "à la main" sur la poste, ça fonctionne.
Version 2.6.17765 et mes collègues me disent qu'il y avait déjà un problème avec la version antérieure.
On attend un correctif, je reçois 50 machines cette semaine
Cordialement.
Même problème ici, le déploiement du nouvel agent via GPO ne fonctionne pas.
On a essayé avec les options -- force, en enlevant le check minimum de version sur le script, rien n'y fait.
Ce n'est pas l'antivirus, les exceptions sont bien ajoutées.
Lorsqu'on lance l'agent "à la main" sur la poste, ça fonctionne.
Version 2.6.17765 et mes collègues me disent qu'il y avait déjà un problème avec la version antérieure.
On attend un correctif, je reçois 50 machines cette semaine
Cordialement.
Je n'arrive pas à reproduire pour l'instant le problème.
Il y a eu pas mal de changements, liés à la sécurité depuis la version 2.6.1.17472.
Comme contournement, il lest possible d'utiliser le waptdeploy.exe de la version 2.6.1.17472 avec un waptagent.exe en dernière version
si le problème se situe dans waptdeploy.
Idéalement, il faudrait avoir du log de l'exécution (ou non) de la GPO qui lance waptdeploy avec le contenu de la sortie standard
Serait-il possible de modifier la GPO de la sorte :
- ajouter une redirection des la sortie standard de waptdeploy vers un log
-> Script GPO : cmd.exe
-> Argument GPO : /C " ... " >> c:\windows\temp\waptdeploy.log"
- ajouter du log pour l'installation de l'agent avec l'argument --setupargs="/LOG=c:\windows\temp\waptagent.log"
ça doit ressembler à
Après forçage de la GPO (gpupdate /force) et redémarrage de la machine, quel est le contenu des deux fichiers
c:\windows\temp\waptdeploy.log
et
c:\windows\temp\waptagent.log
Pour info: changements de waptdeploy
* Chemins explicites dans le manifest pour les DLLs potentiellement utilisées par waptdeploy (pour éviter le DLL Hikacking)
* utilisation du répertoire <wapt>\private\tmp si il existe pour le téléchargement de "waptagent.exe"
* attente pendant au plus "--wait minutes" de l'arrêt des process 'waptagent.exe','waptsetup.exe','waptagent.tmp','waptsetup.tmp' avant de lancer l'installation de waptagent.exe. Si au bout du délai, ils ne se sont pas arrêtés, on les arrête de façon forcée.
* on attend l'arrêt des tâches en cours du service wapt pendant au plus 10 minutes avant de l'arrêter
Il y a eu pas mal de changements, liés à la sécurité depuis la version 2.6.1.17472.
Comme contournement, il lest possible d'utiliser le waptdeploy.exe de la version 2.6.1.17472 avec un waptagent.exe en dernière version
si le problème se situe dans waptdeploy.
Idéalement, il faudrait avoir du log de l'exécution (ou non) de la GPO qui lance waptdeploy avec le contenu de la sortie standard
Serait-il possible de modifier la GPO de la sorte :
- ajouter une redirection des la sortie standard de waptdeploy vers un log
-> Script GPO : cmd.exe
-> Argument GPO : /C " ... " >> c:\windows\temp\waptdeploy.log"
- ajouter du log pour l'installation de l'agent avec l'argument --setupargs="/LOG=c:\windows\temp\waptagent.log"
ça doit ressembler à
Code : Tout sélectionner
Script: c:\windows\system32\cmd.exe
Arg : /C ""\\mondomaine.lan\SysVol\asfrance.lan\Policies\{DE7ED1A0-C08D-4B2E-943E-610900D31082}\Machine\Scripts\Startup\waptdeploy.exe" --hash=2158caca675e986041ebf924d2ac09b1b5731dc3bba6c78be990097717596465 --minversion=2.7.0.18651 --wait=15 --waptsetupurl=http://wapt.mondomaine.lan/api/v3/get_waptagent_exe/{{ip}}/waptagent.exe --setupargs="/LOG=c:\windows\temp\waptagent.log"" >> c:\windows\temp\waptdeploy.log
c:\windows\temp\waptdeploy.log
et
c:\windows\temp\waptagent.log
Pour info: changements de waptdeploy
* Chemins explicites dans le manifest pour les DLLs potentiellement utilisées par waptdeploy (pour éviter le DLL Hikacking)
Code : Tout sélectionner
<file name="version.dll" loadFrom="%SystemRoot%\system32\version.dll" />
<file name="secur32.dll" loadFrom="%SystemRoot%\system32\secur32.dll" />
<file name="cryptsp.dll" loadFrom="%SystemRoot%\system32\cryptsp.dll" />
<file name="credssp.dll" loadFrom="%SystemRoot%\system32\credssp.dll" />
<file name="ncrypt.dll" loadFrom="%SystemRoot%\system32\ncrypt.dll" />
<file name="dnsapi.dll" loadFrom="%SystemRoot%\system32\dnsapi.dll" />
<file name="iphlpapi.dll" loadFrom="%SystemRoot%\system32\iphlpapi.dll" />
<file name="winnsi.dll" loadFrom="%SystemRoot%\system32\winnsi.dll" />
<file name="rasadhlp.dll" loadFrom="%SystemRoot%\system32\rasadhlp.dll" />
<file name="swdrm.dll" loadFrom="%SystemRoot%\system32\swdrm.dll" />
<file name="advapi32.dll" loadFrom="%SystemRoot%\system32\advapi32.dll" />
<file name="crypt32.dll" loadFrom="%SystemRoot%\system32\crypt32.dll" />
<file name="kernel32.dll" loadFrom="%SystemRoot%\system32\kernel32.dll" />
<file name="wldap32.dll" loadFrom="%SystemRoot%\system32\wldap32.dll" />
<file name="ws2_32.dll" loadFrom="%SystemRoot%\system32\ws2_32.dll" />* attente pendant au plus "--wait minutes" de l'arrêt des process 'waptagent.exe','waptsetup.exe','waptagent.tmp','waptsetup.tmp' avant de lancer l'installation de waptagent.exe. Si au bout du délai, ils ne se sont pas arrêtés, on les arrête de façon forcée.
* on attend l'arrêt des tâches en cours du service wapt pendant au plus 10 minutes avant de l'arrêter
Tranquil IT
Bonjour,
vous pouvez installer l'agent avec les paramètres "/VERYSILENT /MERGETASKS=useWaptServer" via un script par GPO en attendant.
Normalement, le message doit apparaitre qu'une fois au premier démarrage si l'option "Installer le paquet waptupgrade dès que l'agent le voit" est cochée ou qu'au pire il s'installe uniquement à l'arret de la machine.
Les seuls ordinateurs qui me posent problème sont ceux sans le paquet waptupgrade, absent de ma console ou avec l'agent non fonctionnel.
J'ai 100% des clients dans la console avec l'agent à jours malgré ce bug.
vous pouvez installer l'agent avec les paramètres "/VERYSILENT /MERGETASKS=useWaptServer" via un script par GPO en attendant.
Normalement, le message doit apparaitre qu'une fois au premier démarrage si l'option "Installer le paquet waptupgrade dès que l'agent le voit" est cochée ou qu'au pire il s'installe uniquement à l'arret de la machine.
Les seuls ordinateurs qui me posent problème sont ceux sans le paquet waptupgrade, absent de ma console ou avec l'agent non fonctionnel.
J'ai 100% des clients dans la console avec l'agent à jours malgré ce bug.
le déploiement initial par GPO fonctionne en lançant waptdeploy via un "cmd.exe /C " ...""
la raison de la régression du comportement sur certains parcs n'est pas encore connue...
la raison de la régression du comportement sur certains parcs n'est pas encore connue...
Code : Tout sélectionner
Script : c:\windows\system32\cmd.exe
Arguments : /C ""<chemin>\waptdeploy.exe" --hash=0731eee77445637c17c97f88cd5a53f0d39fac54549b9c3276b91b9195f57c16 --minversion=2.6.1.17765 --wait=15 --waptsetupurl=https://wapt.testdeploy.lan//api/v3/get_waptagent_exe/{{ip}}/waptagent.exe "
Exemple de l'argument (à adapter) :
/C ""\\testdeploy.lan\sysvol\testdeploy.lan\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup\waptdeploy.exe" --hash=0731eee77445637c17c97f88cd5a53f0d39fac54549b9c3276b91b9195f57c16 --minversion=2.6.1.17765 --wait=15 --waptsetupurl=https://wapt.testdeploy.lan//api/v3/get_waptagent_exe/{{ip}}/waptagent.exe "
Tranquil IT
le waptagent.exe en dernière version (2.6.1.17765) est flagué à tord comme trojan par un antivirus : WithSecure (
Trojan.TR/Crypt.XPACK.Gen3 ) mais c'est un autre problème que celui de waptdeploy mais pas waptsetup.exe (https://www.virustotal.com/gui/file/592 ... 37e083b088)
Trojan.TR/Crypt.XPACK.Gen3 ) mais c'est un autre problème que celui de waptdeploy mais pas waptsetup.exe (https://www.virustotal.com/gui/file/592 ... 37e083b088)
Tranquil IT
Bonjour,
Je rebondis sur le flag à tord de waptagent.exe
Je suppose donc que c'est normal que le waptexit.exe issu du waptagent.exe 2.6.1.17787 a sa signature tagée comme menace également et qu'on peut whitelister safement ?
Check depuis VirusTotal
waptexit.exe :
Avast
FileRepMalware [Misc]
AVG
FileRepMalware [Misc]
Avira (no cloud)
TR/Crypt.XPACK.Gen3
DeepInstinct
MALICIOUS
Google
Detected
Ikarus
Trojan.Crypt
Sophos
Mal/Generic-S
Symantec
Trojan.Gen.MBT
Trellix ENS
Artemis!691222F8E96B
WithSecure
Trojan.TR/Crypt.XPACK.Gen3
Merci
Je rebondis sur le flag à tord de waptagent.exe
Je suppose donc que c'est normal que le waptexit.exe issu du waptagent.exe 2.6.1.17787 a sa signature tagée comme menace également et qu'on peut whitelister safement ?
Check depuis VirusTotal
waptexit.exe :
Avast
FileRepMalware [Misc]
AVG
FileRepMalware [Misc]
Avira (no cloud)
TR/Crypt.XPACK.Gen3
DeepInstinct
MALICIOUS
Detected
Ikarus
Trojan.Crypt
Sophos
Mal/Generic-S
Symantec
Trojan.Gen.MBT
Trellix ENS
Artemis!691222F8E96B
WithSecure
Trojan.TR/Crypt.XPACK.Gen3
Merci
-
dcardon
- Expert WAPT
- Messages : 1915
- Inscription : 18 juin 2014 - 09:58
- Localisation : Saint Sébastien sur Loire
- Contact :
Bonjour Kévin,
les anti-virus ne sont pas toujours très intelligents malheureusement... On est entrain de faire des petites modifications pour éviter de triggerer des faux-positifs. Par exemple, denier changement testé : ne pas compresser la table des caractères Unicode. En effet quand il y a du code à forte entropie (ce qui est le cas de code compressé), certains antivirus estiment que c'est du code chiffré/obfusqué qui peut cacher du code malveillant...
Le truc bizarre c'est que le même binaire waptexit en 64bit [1] est très bien vu sur VirusTotal [2]... Alors que c'est exactement le même code, juste la target de compilation qui est différente... (historiquement l'agent wapt windows est en 32bit, mais on compte bientôt le passer en 64bit par défaut, donc on compile tout sur les deux targets par défaut, même si le waptsetup.exe est encore 32bit only pour l'instant).
C'est dur la vie...
A savoir : la signature de nos binaires est faite dans la chaine de build avec une HSM hardware (avec clef privé généré localement sur le HSM hardware et non exportable), donc si c'est bien signé, ça sort bien de notre chaine de build.
Pour la petite histoire, il y a quelques années on avait du changé l'icône par défaut de l'application FPC/Lazarus (petite patte de chat), car c'était flaggé comme suspicieux, car il y a un jour qqun a écrit un virus avec ce langage...
Le mieux c'est que vous fassiez une nouvelle soumission à votre éditeur d'antivirus pour demander une ré-évaluation.
Denis
[1] https://wapt.tranquil.it/releases/wapt- ... ptexit.exe
[2] https://www.virustotal.com/gui/file/7eb ... d02d421503
les anti-virus ne sont pas toujours très intelligents malheureusement... On est entrain de faire des petites modifications pour éviter de triggerer des faux-positifs. Par exemple, denier changement testé : ne pas compresser la table des caractères Unicode. En effet quand il y a du code à forte entropie (ce qui est le cas de code compressé), certains antivirus estiment que c'est du code chiffré/obfusqué qui peut cacher du code malveillant...
Le truc bizarre c'est que le même binaire waptexit en 64bit [1] est très bien vu sur VirusTotal [2]... Alors que c'est exactement le même code, juste la target de compilation qui est différente... (historiquement l'agent wapt windows est en 32bit, mais on compte bientôt le passer en 64bit par défaut, donc on compile tout sur les deux targets par défaut, même si le waptsetup.exe est encore 32bit only pour l'instant).
C'est dur la vie...
A savoir : la signature de nos binaires est faite dans la chaine de build avec une HSM hardware (avec clef privé généré localement sur le HSM hardware et non exportable), donc si c'est bien signé, ça sort bien de notre chaine de build.
Pour la petite histoire, il y a quelques années on avait du changé l'icône par défaut de l'application FPC/Lazarus (petite patte de chat), car c'était flaggé comme suspicieux, car il y a un jour qqun a écrit un virus avec ce langage...
Le mieux c'est que vous fassiez une nouvelle soumission à votre éditeur d'antivirus pour demander une ré-évaluation.
Denis
[1] https://wapt.tranquil.it/releases/wapt- ... ptexit.exe
[2] https://www.virustotal.com/gui/file/7eb ... d02d421503
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
