41
Computer finden den neuen WSUS nicht
Hallo. habe gerade in ner Umgebung gesehen, dass Workstations keine Updates bekommen. Wie ich erfahren habe, hatte ein anderer Server früher die Rolle des WSUS und nun seit 3 Monaten ein anderer Server. Dort finde ich aber keine Computer unter alle computer, ist ein 2012R2
Wenn ich mir den Pfad im rsop anschaue, stimmt der Pfad https://server:8531
Ist auch so imm IIS... http ist 8530 und https ist 8531.
Die Windows FW lässt auch alles zu und per Telnet komme ich auch auf beide Ports.
Habe dann mal geschaut wer der alte WSUS war (2008R2) und gesehen, dass dort die Computer gelistet waren, der Dienst aber gestoppt war. Habe dann mal alle Computer rausgelöscht (keine Ahnung ob das nötig war) und versucht die Rolle zu deinstallieren, weil ich dachte, dass es vll daran liegt. Bekomme dann leider einen Hinweis, dass ein Laufwerk fehlt und kurze Zeit später einen schwerwiegenden Fehler mit Code 0x80070643. Kann es also nicht abschließen.
Wo könnte ich noch ansetzen?
Wenn ich mir den Pfad im rsop anschaue, stimmt der Pfad https://server:8531
Ist auch so imm IIS... http ist 8530 und https ist 8531.
Die Windows FW lässt auch alles zu und per Telnet komme ich auch auf beide Ports.
Habe dann mal geschaut wer der alte WSUS war (2008R2) und gesehen, dass dort die Computer gelistet waren, der Dienst aber gestoppt war. Habe dann mal alle Computer rausgelöscht (keine Ahnung ob das nötig war) und versucht die Rolle zu deinstallieren, weil ich dachte, dass es vll daran liegt. Bekomme dann leider einen Hinweis, dass ein Laufwerk fehlt und kurze Zeit später einen schwerwiegenden Fehler mit Code 0x80070643. Kann es also nicht abschließen.
Wo könnte ich noch ansetzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334043
Url: https://administrator.de/contentid/334043
Ausgedruckt am: 25.11.2024 um 05:11 Uhr
41 Kommentare
Neuester Kommentar
Hi
Bei den GPOs ! Die PCs bekommen per GPO den WSUS Server mitgeteilt https://server:8531. Stimmen die einträge in den GPOs ?
Auf den PCs kann man in der Registrierung nachschauen welcher WSUS eingetragen ist. Stimmt der Eintrag ?
Die Verarbeitungsreihenfolge der GPOs kontrollieren wenn in der Default Domain Policy zb. der Update eintrag Deaktiviert ist wird der Server nicht übertragen und somit erscheint kein client.
Nach dem Ändern immer beim client auf Updates prüfen damit dieser sich auch am Server im WSUS sofort einträgt.
PS: Der Alte WSUS ist egal der könnte auch laufen wäre das Egal !
LG
Bei den GPOs ! Die PCs bekommen per GPO den WSUS Server mitgeteilt https://server:8531. Stimmen die einträge in den GPOs ?
Auf den PCs kann man in der Registrierung nachschauen welcher WSUS eingetragen ist. Stimmt der Eintrag ?
Die Verarbeitungsreihenfolge der GPOs kontrollieren wenn in der Default Domain Policy zb. der Update eintrag Deaktiviert ist wird der Server nicht übertragen und somit erscheint kein client.
Nach dem Ändern immer beim client auf Updates prüfen damit dieser sich auch am Server im WSUS sofort einträgt.
PS: Der Alte WSUS ist egal der könnte auch laufen wäre das Egal !
LG
Hey,
was steht in der REG von den Clients?
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
Die Gruppenrichtlinie wurden damals auch angepasst? Nicht das du einen Zahlendreher o.Ä. in der IP hast?
DNS kann den Servernamen auflösen? Du kannst auch nur die IP angeben im Pfad.
Mit dem HTTP-Port mal versucht?
Viele Grüße
was steht in der REG von den Clients?
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
Die Gruppenrichtlinie wurden damals auch angepasst? Nicht das du einen Zahlendreher o.Ä. in der IP hast?
DNS kann den Servernamen auflösen? Du kannst auch nur die IP angeben im Pfad.
Mit dem HTTP-Port mal versucht?
Viele Grüße
In der Registry war noch der alte eingetragen....!
In der OU der Computer war ein Objekt, was den richtigen Pfad eingetragen hatte. Auf oberster Eben habe ich eine Update Services Cleint Computer Policy angepasst, dort war der Pfad leer. Ich warte ab was passiert. Danke schonmal...
In der OU der Computer war ein Objekt, was den richtigen Pfad eingetragen hatte. Auf oberster Eben habe ich eine Update Services Cleint Computer Policy angepasst, dort war der Pfad leer. Ich warte ab was passiert. Danke schonmal...
So.. Habe mir die Update Services Client Computer Policy nochmal angeschaut. Ich denke, es hat nicht gegriffen, da dort nur ausgewählte computer in der Sicherheitsfilterung waren. Kann ich da nicht einfach aut. Benutz reinsetzen? Stehe da echt auf dem Schlauch. Das war früher ein WSUS.
Oder sollte ich unter SBSComputer im dem Standardpfad ne WSUS Policy eintragen und die dann erzwingen?
Oder sollte ich unter SBSComputer im dem Standardpfad ne WSUS Policy eintragen und die dann erzwingen?
So.. Habe mir die Update Services Client Computer Policy nochmal angeschaut.
Sind dort nur Richtlinien für die Zuweisung vom WSUS und Installationszeitpunkt etc.?
Bei der Sicherheitsfilterung machst du die Auth. Benutzer rein, und verknüpfst diese mit deiner OU, in der die Computer enthalten sind.
Hi
Ja Du kannst hier aut. Benutzer eintragen. Dann zieht die GPO für alle Objekte (Benutzer und Computer) in dieser OU.
Erzwingen würde ich die GPO nicht das würde bedeuten du veränderst die Verarbeitungsreihenfolge und egal was zb. in der Default Domain Policy steht die erzwungen GPO zieht. Das macht man normal nicht die Default Domain Policy sollte die höhere Ebene sein.
Meiner Meinung nach. Gehen tut natürlich alles.
LG Andy
Ja Du kannst hier aut. Benutzer eintragen. Dann zieht die GPO für alle Objekte (Benutzer und Computer) in dieser OU.
Erzwingen würde ich die GPO nicht das würde bedeuten du veränderst die Verarbeitungsreihenfolge und egal was zb. in der Default Domain Policy steht die erzwungen GPO zieht. Das macht man normal nicht die Default Domain Policy sollte die höhere Ebene sein.
Meiner Meinung nach. Gehen tut natürlich alles.
LG Andy
Hallo. Alles klar. Ich lösche das alte Objekt unter SBSComputer mal.
Das Objekt "Update Service Client Computer" bearbeite ich und schmeiße alle Rechner aus der Sicherheitsfilterung und Delegierung. In Sicherheitsfilterung setze ich dann die Auth. Computer und unter Delegierung die DomainComputer. Dann verknüpfe ich es mit o.a. OU SBS Computer. Muss noch etwas unter Delegierung stehen? (habe das wegen dem MS Patch MS16-072 vom letzten Jahr noch nicht ganz auf dem Schirm).
Das Objekt "Update Service Client Computer" bearbeite ich und schmeiße alle Rechner aus der Sicherheitsfilterung und Delegierung. In Sicherheitsfilterung setze ich dann die Auth. Computer und unter Delegierung die DomainComputer. Dann verknüpfe ich es mit o.a. OU SBS Computer. Muss noch etwas unter Delegierung stehen? (habe das wegen dem MS Patch MS16-072 vom letzten Jahr noch nicht ganz auf dem Schirm).
Hi
Ne das wars da muss nicht mehr stehen. Wenn die GPO auf der OU Verknüpft ist muss die dann ziehen.
Wenn du dann gpupdate /force ausführst auf einem Client. Muss unter
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
der Richtige WSUS stehen.
LG Andy
Ne das wars da muss nicht mehr stehen. Wenn die GPO auf der OU Verknüpft ist muss die dann ziehen.
Wenn du dann gpupdate /force ausführst auf einem Client. Muss unter
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
der Richtige WSUS stehen.
LG Andy
HI Andy, Ja prima. Gestern Abend hatte ich es mal gestestet, in dem ich explizit den Computer in die Sicherheitsfilterung genommen hatte. Dann hat er auch den WSUS angezeigt. Als ich ihn wieder wegnahm, zeigte er mir allerdings wieder den alten. Bedeutet das eigentlich, dass irgendwo noch ein Eintrag vom alten WSUS war?
Ich frag mich eh, warum die die ganzen Computer manuell hinzugefügt haben, also den Sinn habe ich nicht verstanden.... Muss die jetzt alle einzeln entfernen.
Übrigens schonmal danke an Euch !
Ich frag mich eh, warum die die ganzen Computer manuell hinzugefügt haben, also den Sinn habe ich nicht verstanden.... Muss die jetzt alle einzeln entfernen.
Übrigens schonmal danke an Euch !
Hi
Einen Sinn dahinter das man alle PCs manuell hinzufügt gibt es nicht , ausser man betreibt mehrere WSUS Server mit unterschiedlichen Einstellungen. im Normalfall ist das Blödsinn.
Ich würde alle aus der Sicherheitsfilterung entfernen und die Auth. benutzer hinzufügen. Dann passt das.
Sobald die GPO zieht melden sich alle am neuen WSUS an. Ich nehme an das wenn die GPO am client nicht mehr zieht das er dann die alten Einstellungen verwendet möglicherweise gibt es hier noch irgendwo ein GPO oder eine Einstellung die auf den alten WSUS zeigt ?
Bitte Gerne wenn noch Fragen auftauchen einfach wieder melden.
LG
Einen Sinn dahinter das man alle PCs manuell hinzufügt gibt es nicht , ausser man betreibt mehrere WSUS Server mit unterschiedlichen Einstellungen. im Normalfall ist das Blödsinn.
Ich würde alle aus der Sicherheitsfilterung entfernen und die Auth. benutzer hinzufügen. Dann passt das.
Sobald die GPO zieht melden sich alle am neuen WSUS an. Ich nehme an das wenn die GPO am client nicht mehr zieht das er dann die alten Einstellungen verwendet möglicherweise gibt es hier noch irgendwo ein GPO oder eine Einstellung die auf den alten WSUS zeigt ?
Bitte Gerne wenn noch Fragen auftauchen einfach wieder melden.
LG
Hi. So... die Server werden nun angezeigt. Die Ws leider noch nicht. Ich musste auch auf 8530 ausweichen beim Server. Aber ich gebe den Computer noch Zeit bis morgen früh ;) melde mich dann....
Die PCs kommen nun. Vielen Dank. An der Server OU sieht auch alle gut aus, die Computer OU ist aber wirklich verbaut hier. Hier sind noch alte SBS GPOs, die auch erzwungen werden und das muss ich mir mal in Ruhe anschauen. Habe den WSUS einfach da mit rangehangen, dass muss ich aber noch überarbeiten. Für das auf die Schnelle zu machen fehlt mir die Erfahrung
Ich hoffe, es kommt jetzt nicht zu nem Chaos, weil seit November hier keine Updates gelaufen sind ^^ Habe nur Definitoinsupdates, Sicherheitsupdates und wichtige Updates ausgewählt.
Ich hoffe, es kommt jetzt nicht zu nem Chaos, weil seit November hier keine Updates gelaufen sind ^^ Habe nur Definitoinsupdates, Sicherheitsupdates und wichtige Updates ausgewählt.
Ja, lass den WSUS erstmal ein paar Tage laufen, dann hast du keine Probleme.
Seit November ist ja noch ganz human^^
Einfach alles mal in Ruhe durchgehen, neues Konzept ausarbeiten, und alles schön sauber dokumentieren.
Viel Erfolg!
Seit November ist ja noch ganz human^^
Einfach alles mal in Ruhe durchgehen, neues Konzept ausarbeiten, und alles schön sauber dokumentieren.
Viel Erfolg!
Ja danke. Kurze Frage... Wenn das steht installiert/nicht zutreffend 99%, aber trotzdem zeigt er mir 119 an (siehe Bild)....
Hi
Dann fehlern bei 1% also einem PC 199 Updates
LG Andy
Dann fehlern bei 1% also einem PC 199 Updates
LG Andy
Bedeutet das, dass der heute Abend, bzw. morgen nach der Synchronisation heute Nacht, hier 119, bzw. bei anderen sogar 300 Updates drüberbügelt? .... ohje...
Nein das bedeutet er möchte 119 Updates heruntergeladen und möchte die auf dem einen PC installiern bzw.
Eine Genehmigung für die Installation.
LG
Eine Genehmigung für die Installation.
LG
Habe das glaube auf automatische Genehmigung.
Aber er wird dann hier wirklich 119 Updates installieren?
Aber er wird dann hier wirklich 119 Updates installieren?
Hi
Du hast alle Updates automatisch genehmigt ? Egal on Sicherheitsupdate, Wichtiges update, servicepack usw. ? Das würde ich nicht machen. Das bedeutet du bekommst alle windows 10 build Updates sofort automatisch genehmingt und nervst deine User mit der Installation die schonmal ein paar stunden dauern kann ?
ja er wird 119 updates installieren es kannsein das 50 Updates schon durch andere ersetzt wurden und dann nicht mehr nötig sind aber grundsätzlich ja.
LG
Du hast alle Updates automatisch genehmigt ? Egal on Sicherheitsupdate, Wichtiges update, servicepack usw. ? Das würde ich nicht machen. Das bedeutet du bekommst alle windows 10 build Updates sofort automatisch genehmingt und nervst deine User mit der Installation die schonmal ein paar stunden dauern kann ?
ja er wird 119 updates installieren es kannsein das 50 Updates schon durch andere ersetzt wurden und dann nicht mehr nötig sind aber grundsätzlich ja.
LG
Ich habe nur Definitionsupdates, Sicherheitsupdates und Wichtige Updates klassifiziert. Win10 clients gibt es nicht, alles WIN7 SP1 NB oder WS.
Werde das mit Genehmigung doch mal wohl besser machen. Sind die, die jetzt in der Pipeline sind, quasi schon "genehmigt"?
Werde das mit Genehmigung doch mal wohl besser machen. Sind die, die jetzt in der Pipeline sind, quasi schon "genehmigt"?
So ist die Einstellung jetzt... gehen dann die genannten Updates durch, ja?
Ich würde die Updates immer erst min. einen Monat später einspielen bzw. manuell genehmigen.
Es gab ja schon des öfteren Probleme mit Updates, das musst du aber selber wissen.
Es gab ja schon des öfteren Probleme mit Updates, das musst du aber selber wissen.
Ich würde es ja machen, wenn ich den Überblick hätte. Da sind aber jetzt über 10.000 in der Pipeline. Also ich weiß nicht, wie ich den Anfang schaffen soll. Ich müsste ja zumindest einmal alle genehmigen. Ich habe mal eine Bereinigung am laufen, und habe eingestellt, das abgelaufen rausgenommen werden... Oder wie macht ihr das beim ersten mal un sovielen Updates?
Lass den WSUS mal ein paar Tage laufen, der fängt sich schon.
Hatte damals das gleiche Problem, auf den Clients wird nur installiert, was halt fehlt.
Hatte damals das gleiche Problem, auf den Clients wird nur installiert, was halt fehlt.
Hi
Seh ich auch so einfach mal Laufen lassen. Die Automatische Genehmigung ist OK so. Kannst du ja immer noch ändern wenn notwendig.
Ich habe bei meinen kunden überall Firewalls stehen und ein Traffic shaping für die MS Updates konfiguriert so kann mir der WSUS nicht das Internet zu machen.
Ist auch ohne WSUS bei 5 PCs nicht schlecht
!
LG
Seh ich auch so einfach mal Laufen lassen. Die Automatische Genehmigung ist OK so. Kannst du ja immer noch ändern wenn notwendig.
Ich habe bei meinen kunden überall Firewalls stehen und ein Traffic shaping für die MS Updates konfiguriert so kann mir der WSUS nicht das Internet zu machen.
Ist auch ohne WSUS bei 5 PCs nicht schlecht
!LG
also... im großen und ganzen ist es nicht schlecht gelaufen, außer lange Bootzeiten.. Aber ich habe noch ca 10 Clients, bei denen habe ich immense Probleme. Die Meldung ist
ungefähr : Fehler beim Konfigurieren der Windows-Updates. Änderungen werden zurücksetzen. Schalten Sie den Computer nicht aus.
Und das jeden Morgen Quasi. Wie komme ich jetzt dahinter, was das Problem ist? Oder sollte ich an diesen mal einfach so ein Update Pack installieren?
ungefähr : Fehler beim Konfigurieren der Windows-Updates. Änderungen werden zurücksetzen. Schalten Sie den Computer nicht aus.
Und das jeden Morgen Quasi. Wie komme ich jetzt dahinter, was das Problem ist? Oder sollte ich an diesen mal einfach so ein Update Pack installieren?
Hi
Bei deinen Clients schlägt die installation eines Updates fehl. Am besten ins evenlog schauen welches Update das Problem ist und welche Fehlermeldung ausgegeben wird.
LG
Bei deinen Clients schlägt die installation eines Updates fehl. Am besten ins evenlog schauen welches Update das Problem ist und welche Fehlermeldung ausgegeben wird.
LG
Meinst Du, die Fehler im WSUS? Bin gerade am überlegen, ob man es im eventlog sieht, welches Updates das ist... Ich muss mal suchen heute Mittag. Thx.
Ne keine Fehler im WSUS ! Auf einem Client im Eventlog siehst du was bei der Update installation nicht passt ( Event ID und Fehler )
Wenn du das weisst kann man nach dem Fehler googeln und schaun ob man dazu schon etwas findet.
LG
Wenn du das weisst kann man nach dem Fehler googeln und schaun ob man dazu schon etwas findet.
LG
Der Fehler sagt :
Fehlerbucket , Typ 0
Ereignisname: CbsPackageServicingFailure2
Antwort: Nicht verfügbar
CAB-Datei-ID: 0
Und das für jedes fehlgeschlagene Update, insgesamt ca 50 mal ein sfc /scannow und sfcfix.exe versuchen?
Fehlerbucket , Typ 0
Ereignisname: CbsPackageServicingFailure2
Antwort: Nicht verfügbar
CAB-Datei-ID: 0
Und das für jedes fehlgeschlagene Update, insgesamt ca 50 mal ein sfc /scannow und sfcfix.exe versuchen?
Hi
Ich würde da nicht lange fackeln und die Heruntergeladenen Updates löschen und Windows Update alles neu machen lassen.
Hier gibts eine kleine Anleitung dazu.
http://www.thewindowsclub.com/software-distribution-folder-in-windows
Es muss der Software Distribution Ordner gelöscht werden dieser wird dann automatisch neu erstellt.
LG
Ich würde da nicht lange fackeln und die Heruntergeladenen Updates löschen und Windows Update alles neu machen lassen.
Hier gibts eine kleine Anleitung dazu.
http://www.thewindowsclub.com/software-distribution-folder-in-windows
Es muss der Software Distribution Ordner gelöscht werden dieser wird dann automatisch neu erstellt.
LG
Hat super funktioniert (!)... Habe die Updates manuell installiert dann..
Hi
Schön !
LG
Schön !
LG
... kannst Du mir evtl. noch sagen, wo ich einstelle, wann die Updates installiert werden? Also ich hätte es gerne, dass es 2 Wochen nach dem Ausbringen gemacht/genehmigt wird. Ich finde halt nur die Einstellung, um welche Uhrzeit...
Also automatisch würde ich es nicht machen, lieber bewusst die Updates freigeben im WSUS, und vorher nochmal hier im Forum schauen, ob es nicht evtl. Probleme geben kann.
Zitat von @PizzaPepperoni:
... kannst Du mir evtl. noch sagen, wo ich einstelle, wann die Updates installiert werden? Also ich hätte es gerne, dass es 2 Wochen nach dem Ausbringen gemacht/genehmigt wird. Ich finde halt nur die Einstellung, um welche Uhrzeit...
... kannst Du mir evtl. noch sagen, wo ich einstelle, wann die Updates installiert werden? Also ich hätte es gerne, dass es 2 Wochen nach dem Ausbringen gemacht/genehmigt wird. Ich finde halt nur die Einstellung, um welche Uhrzeit...
Hi
Über die GPOs kann man die Optionen definieren wann der Server Updates Herunterladen bzw. installieren soll.
Ob man das aber nach Release Datum steuern kann weiss ich nicht. Aber manuell kann man das steuern.
LG
Hi. Wollte mal fragen, wie ich denn rausbekommen kann, welche Computer ein bestimmtes Update nicht haben. Habe wegen dem aktuellen Wanna cry mal nach 17-010 gesucht. Und dort haben 2 Computer nen Fehler und 4 nicht installiert. Wo sehe ich denn, welche das sind?
Hi
Wenn du das update suchst und dir einen Bericht erstellen lässt kann man dort auf Computer klicken und man sieht die PCs dann.
Zumindest ist das bei mir so. Damit hatte ich noch nie Probleme.
LG
Wenn du das update suchst und dir einen Bericht erstellen lässt kann man dort auf Computer klicken und man sieht die PCs dann.
Zumindest ist das bei mir so. Damit hatte ich noch nie Probleme.
LG
hmm. ok. Vll mache ich auch einen Fehler. Ich suche erstmal bei MS nach MS17-010. Scrolle dann hier runter auf WIN7 :
https://technet.microsoft.com/de-de/library/security/ms17-010.aspx?
Dann nehme ich 4012212 und 4012215 und suche bei Updates im WSUS danach. (ist dann auch ne andere MSRC-Nummer (MS17-008)
Dann öffne ich Windows 7 für x64-basierte Systeme und sehe im Updatenbericht, dass das Update noch für 4 Computer erforderlich ist.
Da kann ich aber nirgends drauf drücken... Hast Du nen Rat für mich?
https://technet.microsoft.com/de-de/library/security/ms17-010.aspx?
Dann nehme ich 4012212 und 4012215 und suche bei Updates im WSUS danach. (ist dann auch ne andere MSRC-Nummer (MS17-008)
Dann öffne ich Windows 7 für x64-basierte Systeme und sehe im Updatenbericht, dass das Update noch für 4 Computer erforderlich ist.
Da kann ich aber nirgends drauf drücken... Hast Du nen Rat für mich?
Hi
Also bei mir gibt es beim bericht oben einen Pfeil zum weiterblättern ( 3 Seiten )
Auf der Zweiten seite stehen dann die PCs die das Update benötigen.
LG
Also bei mir gibt es beim bericht oben einen Pfeil zum weiterblättern ( 3 Seiten )
Auf der Zweiten seite stehen dann die PCs die das Update benötigen.
LG
Vll haben wir verschiedene Versionen (?).. Also ich habe mal Berichtsansicht Detail genommen. Dann werden mir alle Rechner aufgelistet und bei 3 steht Status "Heruntergeladen" und einmal "nicht installier". Danke, das wars dann !
