hertie
Goto Top

Clients melden sich nicht am WSUS an und Probleme beim Download

Guten Morgen zusammen,

ich habe einen Problem in einer von zwei Windows-Domänen-Umgebungen, in denen ich aktuell versuche je einen WSUS aufzusetzen.

Folgende Rahmenbedingungen:
Standort A:
  • Windows Server 2012 R2 Standard (DC) (\\StandortAS00001\)
  • ca. 45 Windows 7 Clients (kein Upgrade möglich wg. Anwendersoftware) (\\StandortAC00001\ ff.)
  • weitere Windows-Server, z.B. 2008 R2 und 2012 R2 als DM
  • WSUS 6.3.9600.18694

Standort B:
  • Windows Server 2008 R2 Standard (DC) (\\StandortBS00001\)
  • ca. 20 Windows 7 Clients (\\StandortBC00001\ ff.)
  • WSUS 3.2.7600.274

Am Standort B habe ich WSUS 3.2 installiert und nach anfänglichen kleineren Schwierigkeiten auf die aktuellste Version hochgezogen;
den internen Update-Pfad habe ich per Gruppenrichtlinie zusammen mit ein paar weiteren Einstellungen veröffentlich und wenige Minuten später hat sich auch direkt der erste PC angemeldet.
Nach über zwei Wochen läuft dieser WSUS fast* problemlos und alle PCs melden sich brav alle paar Tage, laden Updates herunter und installieren diese.

Nun habe ich diese Konfiguration auf dem Server 2012 vom Standort A ebenfalls versucht aufzubauen. Aus Gründen von Speicherplatz und allgemeiner Auslastung habe ich mich dafür entschieden den WSUS auf dem DC zu installieren.
WSUS-Rolle (und zugehörigen Features) installiert, WSUS konfiguriert und initialisiert - der Server steht und wartet darauf, dass sich die Clients bei ihm melden.
Hier musste ich nun zuerst die admx-Files herunterladen und installieren, anschließend habe ich die Gruppenrichtlinie sinngemäß wie im Standort B erstellt und den internen Update-Pfad eingetragen.
Heute, über eine Woche später, hat sich die Einstellung aber noch nicht bewährt und keiner der PCs hat sich am WSUS gemeldet, alle ziehen ihre Updates nach wie vor direkt von MS aus dem Internet.
Ich habe alle mir bekannten und möglichen Einstellungen kontrolliert und verglichen mit der Konfiguration vom Standort B.

Unterschiede sind die Version des WSUS und IIS, ansonsten ist die Konfiguration (soweit ich das nachvollziehen kann) genau gleich!

Ich habe dann weiter getestet und geprüft, in der GPO mal den FQDN eingetragen, mal die IP eingetragen, alles ohne Erfolg.

Der WSUS am Standort B macht leider auch noch ein kleines Problem. Trotz Freigabe sämtlicher Win-Update-URLs im Proxy können die "Softwarelizenzverträge" zum Genehmigen des "Windows-Tool zum entfernen bösartiger Software" nicht heruntergeladen werden.
Als Fehler kommt immer die gleiche Meldung in der Ereignisanzeige:
Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: Die Dateigröße wurde vom Server nicht zurückgegeben. Möglicherweise enthält die URL dynamischen Inhalt. Der Inhaltslängenheader ist in der Server-HTTP-Antwort nicht verfügbar.
Quelldatei: /msdownload/update/v5/eula/msrt2008-eula-cht-2fa40806-8609-43de-8930-ea966c558acf.txt Zieldatei: e:\WSUS\WsusContent\2C\D181F4B7B6E042E67C8320BA922C92B33E2C2F2C.txt.
Hier gibt es in einem anderen Thread den Hinweis darauf, dass die WSUS-Version zu alt ist. Ich habe die Version 3.2.7600.274 installiert, welche laut wsus.de die aktuellste ist. Netzwerkseitig kann ich in keiner Log einen Hinweis darauf finden, dass etwas geblockt, gedroppt oder abgelehnt wird.

In keinem der alten Threads zum Thema WSUS und in keinem der zuhauf zu findenden Guides habe ich einen Hinweis gefunden, was ich falsch machen könnte.

Könnt ihr mir weiter helfen, was ich beim einen oder beim anderen Problem noch prüfen kann!?

Vielen Dank im Voraus,
der Hertie

Content-ID: 351379

Url: https://administrator.de/forum/clients-melden-sich-nicht-am-wsus-an-und-probleme-beim-download-351379.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

Meierjo
Meierjo 11.10.2017 aktualisiert um 10:44:33 Uhr
Goto Top
Hallo

Heute, über eine Woche später, hat sich die Einstellung aber noch nicht bewährt und keiner der PCs hat sich am WSUS gemeldet, alle ziehen ihre Updates nach wie vor direkt von MS aus dem Internet.
Ziehen die Clients denn die GPO überhaupt?

Ich habe dann weiter getestet und geprüft, in der GPO mal den FQDN eingetragen, mal die IP eingetragen, alles ohne Erfolg.
Du hast aber schon den Port (normalerweise :8530) zusätzlich zum FQDN angegeben, oder?
wsus

Testweise mal versucht, die Firewall zu deaktivieren?

Gruss
sabines
sabines 11.10.2017 um 11:13:49 Uhr
Goto Top
Moin,

prüf' mal bitte, ob die Clients am Standort A den WSUS überhaupt erreichen können.

Gruss
sabines
sabines 11.10.2017 um 11:18:45 Uhr
Goto Top
Zitat von @Hertie:

Der WSUS am Standort B macht leider auch noch ein kleines Problem. Trotz Freigabe sämtlicher Win-Update-URLs im Proxy können die "Softwarelizenzverträge" zum Genehmigen des "Windows-Tool zum entfernen bösartiger Software" nicht heruntergeladen werden.
Als Fehler kommt immer die gleiche Meldung in der Ereignisanzeige:
Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: Die Dateigröße wurde vom Server nicht zurückgegeben. Möglicherweise enthält die URL dynamischen Inhalt.

Moin,

welche FW/Proxy nutzt Du?
Versuche hier mal den Server testweise im Proxy als Ausnahme zu definieren bzw. schau in den Logs welche IP/URL geblockt wird und gebe die dann frei.

Gruss
Hertie
Hertie 11.10.2017 aktualisiert um 11:58:30 Uhr
Goto Top
Hallo Meierjo,

danke für den Hinweis die Verteilung der GPO zu prüfen. Den Port hatte ich bereits angegeben.
Ja, sie kam an den Clients an. Eine Prüfung mit GPResult ergab aber, dass in der Default Domain Policy hier bereits Einstellungen vorgenommen wurden, die widersprüchlich sind zu den neuen Einstellungen, die explizit auf den WSUS-Server verweisen. Offensichtlich hat die Default Domain Policy hier Vorrang.
Ich habe die Policy entsprechend angepasst und prompt greift auch die neue WSUS-Regel und die ersten PCs melden sich bereits beim Server.


Hallo sabines,

ich verwende eine SecurePoint UTM, deren Administration ich gerade noch erlerne. Ich habe sämtliche WSUS-relevanten URLs in die Whitelist eingetragen, der Fehler bleibt leider bestehen.
^[^:]*:[^\.]*\.windowsupdate\.microsoft\.com/
^[^:]*:
[^\.]*\.update\.microsoft\.com/
^[^:]*:windowsupdate\.microsoft\.com/
^[^:]*:
[^\.]*\.windowsupdate\.com/
^[^:]*:download\.microsoft\.com/
^[^:]*:
[^\.]*\.download\.windowsupdate\.com/
^[^:]*://wustat\.windows\.com/

Weiter ist der Proxy bereits so eingerichtet, dass sämtlicher Verkehr vom Server vorbei geleitet wird (soweit ich das bisher nachvollziehen kann).
Wie bereits geschrieben wird laut den Logs nichts verboten, was vom Server ausgeht. Aber ich werde dem diese Woche mit dem Support nochmal nachgehen.

Danke schon mal.