Марионетка не применение конфигурации, но возвратов без ошибки
Проверьте на следующее
- Можно ли работать
certutil -ping -config "cadnsname\CA logical name"от затронутых хостов. - У кого есть полномочия Запросить сертификаты в CA (кто-то изменял Аутентифицируемых Пользователей на Пользователей домена)?
Взгляд на Полномочия DCOM гарантировать, чтобы у Аутентифицируемых Пользователей были корректные полномочия в Приблизительно Полномочия DCOM на CA для Службы сертификации группа Доступа DCOM:
Уровень Прав доступа-> Локальный Доступ - Позволяет, Удаленный доступ - Позволяют уровень Полномочий Запуска и Активации->, Удаленный Запуск - Позволяет, Удаленная Активация - Позволяют
Для получения дополнительной информации можно обратиться к ниже URL для поиска и устранения неисправностей.
вам, вероятно, следует переименовать manifest / init.pp в manifest / site.pp, поскольку это то, что вы настроили в puppet.conf
Является ли my.fqdn на самом деле именем подписанного сертификата, которое ведущее устройство знает агента? Похоже, что имя сертификата может не соответствовать определению вашего узла, и поэтому он игнорирует разделы узла.
Вы можете попробовать принудительно указать имя, сообщаемое агентом, чтобы увидеть, помогает ли это:
puppet agent --test - server my.fqdn --report --certname my.fqdn
Мне интересно, понимает ли ваш марионеточный сервер, что вашим клиентом должен быть my.fqdn. Измените узел my.fqdn на узел по умолчанию и посмотрите, получите ли вы файл.
Вы поместили эту директиву в свой узел puppet.conf в раздел [агент] (и перезапустили)? report = true
Я не знаю, так ли это на вашем сайте, но мне нужно pluginsync = true, поэтому что некоторая конфигурация марионетки будет работать. Без него внутри /etc/puppet/puppet.conf на узле запуск марионетки не завершится неудачно, но не будет делать всего того, что я ожидал (например, с использованием file_line).
Я вижу, вы поместили его на мастер puppet.conf, но проверьте, есть ли он на узле.