Installazione Sophos Connect 2.0 tramite GPO

Il 16 settembre 2020 è stata annunciata la versione 2.0 di Sophos Connect il client per instaurare connessioni VPN SSL. Putroppo oltre alle varie funzionalità e correzioni apportate rispetto alla versione precedent 1.2 ha anche introdotto un issue che impedisce l’istallazione del pacchetto msi su un gran numero di infrastrutture Active Directory.

La versione 1.2 di Sophos Connect non aveva questo issue e l’installazione tramite GPO poteva essere eseguita seguendo le indicazioni della KB-000038630 – Sophos XG Firewall: How to deploy Sophos Connect via Group Policy Object (GPO).

Se si prova a pubblicare tramite GPO il pacchetto del clinet Sophos Connect 2.0 ovvero il SophosConnect_2.0_(IPsec_and_SSLVPN).msi l’installazione sui client non verrà eseguita e andando ad analizzare il log dell’installazione (a riguardo si veda il mio post Log installazione software tramite Group Policy) non verranno segnalati errori ma come si può notare dal seguente estratto del log il pacchetto viene installato in lingua cinese:

MSI (c) (E4:DC) [09:42:57:537]: Executing op: Header(Signature=1397708873,Version=500,Timestamp=1368739079,LangId=1028,Platform=0,ScriptType=3,ScriptMajorVersion=21,ScriptMinorVersion=4,ScriptAttributes=0)
MSI (c) (E4:DC) [09:42:57:537]: Executing op: ProductInfo(ProductKey={A8E393E5-94C5-495A-A616-964078E9BD5D},ProductName=Sophos Connect,PackageName=SophosConnect_2.0_(IPsec_and_SSLVPN).msi,Language=1028,Version=33554466,Assignment=1,ObsoleteArg=0,ProductIcon=icon.ico,,PackageCode={C62FE202-58FD-4C8F-AA2D-A6216DE60E36},,,InstanceType=0,LUASetting=0,RemoteURTInstalls=0,ProductDeploymentFlags=3)
MSI (c) (E4:DC) [09:42:57:537]: Executing op: DialogInfo(Type=0,Argument=1028)
MSI (c) (E4:DC) [09:42:57:537]: Executing op: DialogInfo(Type=1,Argument=Sophos Connect)
MSI (c) (E4:DC) [09:42:57:537]: Executing op: RollbackInfo(,RollbackAction=Rollback,RollbackDescription=正在復原動作:,RollbackTemplate=[1],CleanupAction=RollbackCleanup,CleanupDescription=正在移除備份檔案,CleanupTemplate=檔案: [1])
MSI (c) (E4:DC) [09:42:57:537]: Executing op: ActionStart(Name=CreateShortcuts,Description=建立捷徑,Template=捷徑: [1])
MSI (c) (E4:DC) [09:42:57:537]: Executing op: IconCreate(Icon=icon.ico,Data=BinaryData)
MSI (c) (E4:DC) [09:42:57:537]: Scheduling file ‘C:\Windows\Installer\{A8E393E5-94C5-495A-A616-964078E9BD5D}\icon.ico’ for deletion during post-install cleanup (not post-reboot).
MSI (c) (E4:DC) [09:42:57:537]: Executing op: ActionStart(Name=PublishFeatures,Description=發佈產品功能,Template=功能: [1])
MSI (c) (E4:DC) [09:42:57:537]: Executing op: FeaturePublish(Feature=ProductFeature,,Absent=0,)
MSI (c) (E4:DC) [09:42:57:537]: Executing op: ActionStart(Name=PublishProduct,Description=正在發佈產品資訊,)
MSI (c) (E4:DC) [09:42:57:537]: Executing op: CleanupConfigData()
MSI (c) (E4:DC) [09:42:57:537]: Executing op: ProductPublish(PackageKey={C62FE202-58FD-4C8F-AA2D-A6216DE60E36})

Infatti Language=1028 identica che viene utilizzato il Cinese tradizionale (a riguardo si veda /LCID (devenv.exe) oppure https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-lcid/a9eac961-e77d-41a6-90a5-ce1a8b0cdb9c ricordano che 1028 in decimale corrisponde a 0x0404 in esadecimale), questo significa che se il client non è in grado di gestire tale idioma il pacchetto d’installazione annullerà l’installazione.

Al momento il supporto Sophos dopo aver analizzato il problema ha suggerito di modificare tramite orca, l’editor di pacchetti d’installazione di Microsoft, il pacchetto per rimuovere la lingua cinese, questo tipo di approccio era stato discusso nei forum Microsoft al seguente Adding a software policy shows package as wrong language?:

“Download a bit of software called Orca. Just google for Orca MSI Editor. You should get plenty of hits.
You can open the MSI with it, under view –> Summary Information go to the Languages input field and remove all but 1033. Okay and save. Pretty simple!”

Per una guida su questo tipo di modifica tramite Orca su unn pacchetto msi è possibile vedere il seguente articolo di TrendMicro che aveva avuto un issue simile Arabic language appears when deploying the Worry-Free Business Security Services (WFBS-SVC) MSI agent via Global Policy Management:

Quindi per modicare l’msi occorre seguire i seguenti passaggi:

  1. Scaricare e installare Orca disponibile tramite il Windows SDK Components for Windows Installer Developers (a riguardo si vedano Orca.exe – Win32 apps | Microsoft Docs e  Windows SDK Components for Windows Installer Developers inoltre il solo msi di Orca è stato reso disponibile al seguente ORCA MSI Editor Standalone Download).
  2. Aprire tramite Orca il pacchetto d’installazione SophosConnect_2.0_(IPsec_and_SSLVPN).msi.
  3. Quindi aprire View > Summary Information
  4. Nella sezione Languages rimuovere tutti linguaggi lasciando solo English (1033)
  5. Selezionare OK
  6. Distribure il pacchetto d’installazione così modificato.

Ovviamete questo è un workaroud nell’attesa che Sophos risolva in tempi speriamo rapidi l’issue anche perchè non avrebbe senso che i clienti debbano mettere mano all’msi per risolvere un issue noto al supporto.