pizzapepperoni
Goto Top

Computer finden den neuen WSUS nicht

Hallo. habe gerade in ner Umgebung gesehen, dass Workstations keine Updates bekommen. Wie ich erfahren habe, hatte ein anderer Server früher die Rolle des WSUS und nun seit 3 Monaten ein anderer Server. Dort finde ich aber keine Computer unter alle computer, ist ein 2012R2
Wenn ich mir den Pfad im rsop anschaue, stimmt der Pfad https://server:8531
Ist auch so imm IIS... http ist 8530 und https ist 8531.
Die Windows FW lässt auch alles zu und per Telnet komme ich auch auf beide Ports.
Habe dann mal geschaut wer der alte WSUS war (2008R2) und gesehen, dass dort die Computer gelistet waren, der Dienst aber gestoppt war. Habe dann mal alle Computer rausgelöscht (keine Ahnung ob das nötig war) und versucht die Rolle zu deinstallieren, weil ich dachte, dass es vll daran liegt. Bekomme dann leider einen Hinweis, dass ein Laufwerk fehlt und kurze Zeit später einen schwerwiegenden Fehler mit Code 0x80070643. Kann es also nicht abschließen.
Wo könnte ich noch ansetzen?

Content-ID: 334043

Url: https://administrator.de/contentid/334043

Ausgedruckt am: 08.11.2024 um 10:11 Uhr

Ausserwoeger
Ausserwoeger 04.04.2017 aktualisiert um 16:25:23 Uhr
Goto Top
Hi

Bei den GPOs ! Die PCs bekommen per GPO den WSUS Server mitgeteilt https://server:8531. Stimmen die einträge in den GPOs ?
Auf den PCs kann man in der Registrierung nachschauen welcher WSUS eingetragen ist. Stimmt der Eintrag ?

Die Verarbeitungsreihenfolge der GPOs kontrollieren wenn in der Default Domain Policy zb. der Update eintrag Deaktiviert ist wird der Server nicht übertragen und somit erscheint kein client.
Nach dem Ändern immer beim client auf Updates prüfen damit dieser sich auch am Server im WSUS sofort einträgt.

PS: Der Alte WSUS ist egal der könnte auch laufen wäre das Egal !

LG
wuurian
wuurian 04.04.2017 um 16:26:41 Uhr
Goto Top
Hey,

was steht in der REG von den Clients?

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

Die Gruppenrichtlinie wurden damals auch angepasst? Nicht das du einen Zahlendreher o.Ä. in der IP hast?

DNS kann den Servernamen auflösen? Du kannst auch nur die IP angeben im Pfad.

Mit dem HTTP-Port mal versucht?

Viele Grüße
PizzaPepperoni
PizzaPepperoni 04.04.2017 um 16:43:08 Uhr
Goto Top
In der Registry war noch der alte eingetragen....!
In der OU der Computer war ein Objekt, was den richtigen Pfad eingetragen hatte. Auf oberster Eben habe ich eine Update Services Cleint Computer Policy angepasst, dort war der Pfad leer. Ich warte ab was passiert. Danke schonmal...
PizzaPepperoni
PizzaPepperoni 04.04.2017 um 20:45:20 Uhr
Goto Top
So.. Habe mir die Update Services Client Computer Policy nochmal angeschaut. Ich denke, es hat nicht gegriffen, da dort nur ausgewählte computer in der Sicherheitsfilterung waren. Kann ich da nicht einfach aut. Benutz reinsetzen? Stehe da echt auf dem Schlauch. Das war früher ein WSUS.
Oder sollte ich unter SBSComputer im dem Standardpfad ne WSUS Policy eintragen und die dann erzwingen?
wuurian
Lösung wuurian 04.04.2017 um 21:32:25 Uhr
Goto Top
So.. Habe mir die Update Services Client Computer Policy nochmal angeschaut.

Sind dort nur Richtlinien für die Zuweisung vom WSUS und Installationszeitpunkt etc.?


Bei der Sicherheitsfilterung machst du die Auth. Benutzer rein, und verknüpfst diese mit deiner OU, in der die Computer enthalten sind.
Ausserwoeger
Ausserwoeger 05.04.2017 aktualisiert um 08:30:04 Uhr
Goto Top
Hi

Ja Du kannst hier aut. Benutzer eintragen. Dann zieht die GPO für alle Objekte (Benutzer und Computer) in dieser OU.

Erzwingen würde ich die GPO nicht das würde bedeuten du veränderst die Verarbeitungsreihenfolge und egal was zb. in der Default Domain Policy steht die erzwungen GPO zieht. Das macht man normal nicht die Default Domain Policy sollte die höhere Ebene sein.

Meiner Meinung nach. Gehen tut natürlich alles.

LG Andy
PizzaPepperoni
PizzaPepperoni 05.04.2017 aktualisiert um 08:42:06 Uhr
Goto Top
Hallo. Alles klar. Ich lösche das alte Objekt unter SBSComputer mal.
Das Objekt "Update Service Client Computer" bearbeite ich und schmeiße alle Rechner aus der Sicherheitsfilterung und Delegierung. In Sicherheitsfilterung setze ich dann die Auth. Computer und unter Delegierung die DomainComputer. Dann verknüpfe ich es mit o.a. OU SBS Computer. Muss noch etwas unter Delegierung stehen? (habe das wegen dem MS Patch MS16-072 vom letzten Jahr noch nicht ganz auf dem Schirm).
Ausserwoeger
Ausserwoeger 05.04.2017 um 08:44:13 Uhr
Goto Top
Hi

Ne das wars da muss nicht mehr stehen. Wenn die GPO auf der OU Verknüpft ist muss die dann ziehen.

Wenn du dann gpupdate /force ausführst auf einem Client. Muss unter

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

der Richtige WSUS stehen.

LG Andy
PizzaPepperoni
PizzaPepperoni 05.04.2017 um 08:49:20 Uhr
Goto Top
HI Andy, Ja prima. Gestern Abend hatte ich es mal gestestet, in dem ich explizit den Computer in die Sicherheitsfilterung genommen hatte. Dann hat er auch den WSUS angezeigt. Als ich ihn wieder wegnahm, zeigte er mir allerdings wieder den alten. Bedeutet das eigentlich, dass irgendwo noch ein Eintrag vom alten WSUS war?
Ich frag mich eh, warum die die ganzen Computer manuell hinzugefügt haben, also den Sinn habe ich nicht verstanden.... Muss die jetzt alle einzeln entfernen.
Übrigens schonmal danke an Euch !
Ausserwoeger
Lösung Ausserwoeger 05.04.2017 um 15:14:18 Uhr
Goto Top
Hi

Einen Sinn dahinter das man alle PCs manuell hinzufügt gibt es nicht , ausser man betreibt mehrere WSUS Server mit unterschiedlichen Einstellungen. im Normalfall ist das Blödsinn.

Ich würde alle aus der Sicherheitsfilterung entfernen und die Auth. benutzer hinzufügen. Dann passt das.

Sobald die GPO zieht melden sich alle am neuen WSUS an. Ich nehme an das wenn die GPO am client nicht mehr zieht das er dann die alten Einstellungen verwendet möglicherweise gibt es hier noch irgendwo ein GPO oder eine Einstellung die auf den alten WSUS zeigt ?

Bitte Gerne wenn noch Fragen auftauchen einfach wieder melden.

LG
PizzaPepperoni
PizzaPepperoni 05.04.2017 um 20:35:28 Uhr
Goto Top
Hi. So... die Server werden nun angezeigt. Die Ws leider noch nicht. Ich musste auch auf 8530 ausweichen beim Server. Aber ich gebe den Computer noch Zeit bis morgen früh ;) melde mich dann....
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 11:09:05 Uhr
Goto Top
Die PCs kommen nun. Vielen Dank. An der Server OU sieht auch alle gut aus, die Computer OU ist aber wirklich verbaut hier. Hier sind noch alte SBS GPOs, die auch erzwungen werden und das muss ich mir mal in Ruhe anschauen. Habe den WSUS einfach da mit rangehangen, dass muss ich aber noch überarbeiten. Für das auf die Schnelle zu machen fehlt mir die Erfahrung
Ich hoffe, es kommt jetzt nicht zu nem Chaos, weil seit November hier keine Updates gelaufen sind ^^ Habe nur Definitoinsupdates, Sicherheitsupdates und wichtige Updates ausgewählt.
wuurian
wuurian 06.04.2017 um 11:11:33 Uhr
Goto Top
Ja, lass den WSUS erstmal ein paar Tage laufen, dann hast du keine Probleme.

Seit November ist ja noch ganz human^^

Einfach alles mal in Ruhe durchgehen, neues Konzept ausarbeiten, und alles schön sauber dokumentieren.

Viel Erfolg!
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 11:38:35 Uhr
Goto Top
Ja danke. Kurze Frage... Wenn das steht installiert/nicht zutreffend 99%, aber trotzdem zeigt er mir 119 an (siehe Bild)....
2017-04-06 11_38_02-ernbackup - teamviewer
Ausserwoeger
Ausserwoeger 06.04.2017 um 11:46:30 Uhr
Goto Top
Hi

Dann fehlern bei 1% also einem PC 199 Updates

LG Andy
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 11:52:10 Uhr
Goto Top
Bedeutet das, dass der heute Abend, bzw. morgen nach der Synchronisation heute Nacht, hier 119, bzw. bei anderen sogar 300 Updates drüberbügelt? .... ohje...
Ausserwoeger
Ausserwoeger 06.04.2017 aktualisiert um 11:55:39 Uhr
Goto Top
Nein das bedeutet er möchte 119 Updates heruntergeladen und möchte die auf dem einen PC installiern bzw.

Eine Genehmigung für die Installation.

LG
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 12:00:14 Uhr
Goto Top
Habe das glaube auf automatische Genehmigung.
Aber er wird dann hier wirklich 119 Updates installieren?
Ausserwoeger
Ausserwoeger 06.04.2017 um 12:12:18 Uhr
Goto Top
Hi

Du hast alle Updates automatisch genehmigt ? Egal on Sicherheitsupdate, Wichtiges update, servicepack usw. ? Das würde ich nicht machen. Das bedeutet du bekommst alle windows 10 build Updates sofort automatisch genehmingt und nervst deine User mit der Installation die schonmal ein paar stunden dauern kann ?

ja er wird 119 updates installieren es kannsein das 50 Updates schon durch andere ersetzt wurden und dann nicht mehr nötig sind aber grundsätzlich ja.

LG
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 13:14:53 Uhr
Goto Top
Ich habe nur Definitionsupdates, Sicherheitsupdates und Wichtige Updates klassifiziert. Win10 clients gibt es nicht, alles WIN7 SP1 NB oder WS.
Werde das mit Genehmigung doch mal wohl besser machen. Sind die, die jetzt in der Pipeline sind, quasi schon "genehmigt"?
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 13:18:21 Uhr
Goto Top
So ist die Einstellung jetzt... gehen dann die genannten Updates durch, ja?
2017-04-06 13_17_32-ernbackup - teamviewer
wuurian
wuurian 06.04.2017 um 13:24:46 Uhr
Goto Top
Ich würde die Updates immer erst min. einen Monat später einspielen bzw. manuell genehmigen.

Es gab ja schon des öfteren Probleme mit Updates, das musst du aber selber wissen.
PizzaPepperoni
PizzaPepperoni 06.04.2017 um 13:59:59 Uhr
Goto Top
Ich würde es ja machen, wenn ich den Überblick hätte. Da sind aber jetzt über 10.000 in der Pipeline. Also ich weiß nicht, wie ich den Anfang schaffen soll. Ich müsste ja zumindest einmal alle genehmigen. Ich habe mal eine Bereinigung am laufen, und habe eingestellt, das abgelaufen rausgenommen werden... Oder wie macht ihr das beim ersten mal un sovielen Updates?
wuurian
wuurian 06.04.2017 um 14:19:24 Uhr
Goto Top
Lass den WSUS mal ein paar Tage laufen, der fängt sich schon.

Hatte damals das gleiche Problem, auf den Clients wird nur installiert, was halt fehlt.
Ausserwoeger
Ausserwoeger 06.04.2017 um 14:45:12 Uhr
Goto Top
Hi

Seh ich auch so einfach mal Laufen lassen. Die Automatische Genehmigung ist OK so. Kannst du ja immer noch ändern wenn notwendig.

Ich habe bei meinen kunden überall Firewalls stehen und ein Traffic shaping für die MS Updates konfiguriert so kann mir der WSUS nicht das Internet zu machen.

Ist auch ohne WSUS bei 5 PCs nicht schlecht face-smile !

LG
PizzaPepperoni
PizzaPepperoni 19.04.2017 um 20:12:39 Uhr
Goto Top
also... im großen und ganzen ist es nicht schlecht gelaufen, außer lange Bootzeiten.. Aber ich habe noch ca 10 Clients, bei denen habe ich immense Probleme. Die Meldung ist
ungefähr : Fehler beim Konfigurieren der Windows-Updates. Änderungen werden zurücksetzen. Schalten Sie den Computer nicht aus.
Und das jeden Morgen Quasi. Wie komme ich jetzt dahinter, was das Problem ist? Oder sollte ich an diesen mal einfach so ein Update Pack installieren?
Ausserwoeger
Ausserwoeger 20.04.2017 um 07:44:36 Uhr
Goto Top
Hi

Bei deinen Clients schlägt die installation eines Updates fehl. Am besten ins evenlog schauen welches Update das Problem ist und welche Fehlermeldung ausgegeben wird.

LG
PizzaPepperoni
PizzaPepperoni 20.04.2017 um 08:05:16 Uhr
Goto Top
Meinst Du, die Fehler im WSUS? Bin gerade am überlegen, ob man es im eventlog sieht, welches Updates das ist... Ich muss mal suchen heute Mittag. Thx.
Ausserwoeger
Ausserwoeger 20.04.2017 um 09:02:00 Uhr
Goto Top
Ne keine Fehler im WSUS ! Auf einem Client im Eventlog siehst du was bei der Update installation nicht passt ( Event ID und Fehler )

Wenn du das weisst kann man nach dem Fehler googeln und schaun ob man dazu schon etwas findet.

LG
PizzaPepperoni
PizzaPepperoni 20.04.2017 um 14:05:26 Uhr
Goto Top
Der Fehler sagt :

Fehlerbucket , Typ 0
Ereignisname: CbsPackageServicingFailure2
Antwort: Nicht verfügbar
CAB-Datei-ID: 0

Und das für jedes fehlgeschlagene Update, insgesamt ca 50 mal ein sfc /scannow und sfcfix.exe versuchen?
Ausserwoeger
Ausserwoeger 24.04.2017 um 08:42:46 Uhr
Goto Top
Hi

Ich würde da nicht lange fackeln und die Heruntergeladenen Updates löschen und Windows Update alles neu machen lassen.

Hier gibts eine kleine Anleitung dazu.

http://www.thewindowsclub.com/software-distribution-folder-in-windows

Es muss der Software Distribution Ordner gelöscht werden dieser wird dann automatisch neu erstellt.

LG
PizzaPepperoni
PizzaPepperoni 24.04.2017 um 15:07:38 Uhr
Goto Top
Hat super funktioniert (!)... Habe die Updates manuell installiert dann..
Ausserwoeger
Lösung Ausserwoeger 24.04.2017 um 15:12:16 Uhr
Goto Top
Hi

Schön !

LG
PizzaPepperoni
PizzaPepperoni 28.04.2017 um 09:02:28 Uhr
Goto Top
... kannst Du mir evtl. noch sagen, wo ich einstelle, wann die Updates installiert werden? Also ich hätte es gerne, dass es 2 Wochen nach dem Ausbringen gemacht/genehmigt wird. Ich finde halt nur die Einstellung, um welche Uhrzeit...
wuurian
wuurian 28.04.2017 um 09:18:29 Uhr
Goto Top
Also automatisch würde ich es nicht machen, lieber bewusst die Updates freigeben im WSUS, und vorher nochmal hier im Forum schauen, ob es nicht evtl. Probleme geben kann.
Ausserwoeger
Ausserwoeger 02.05.2017 um 07:55:05 Uhr
Goto Top
Zitat von @PizzaPepperoni:

... kannst Du mir evtl. noch sagen, wo ich einstelle, wann die Updates installiert werden? Also ich hätte es gerne, dass es 2 Wochen nach dem Ausbringen gemacht/genehmigt wird. Ich finde halt nur die Einstellung, um welche Uhrzeit...


Hi

Über die GPOs kann man die Optionen definieren wann der Server Updates Herunterladen bzw. installieren soll.

Ob man das aber nach Release Datum steuern kann weiss ich nicht. Aber manuell kann man das steuern.

LG
PizzaPepperoni
PizzaPepperoni 14.05.2017 um 16:36:06 Uhr
Goto Top
Hi. Wollte mal fragen, wie ich denn rausbekommen kann, welche Computer ein bestimmtes Update nicht haben. Habe wegen dem aktuellen Wanna cry mal nach 17-010 gesucht. Und dort haben 2 Computer nen Fehler und 4 nicht installiert. Wo sehe ich denn, welche das sind?
Ausserwoeger
Ausserwoeger 15.05.2017 um 07:58:15 Uhr
Goto Top
Hi

Wenn du das update suchst und dir einen Bericht erstellen lässt kann man dort auf Computer klicken und man sieht die PCs dann.
Zumindest ist das bei mir so. Damit hatte ich noch nie Probleme.

LG
PizzaPepperoni
PizzaPepperoni 15.05.2017 um 09:07:52 Uhr
Goto Top
hmm. ok. Vll mache ich auch einen Fehler. Ich suche erstmal bei MS nach MS17-010. Scrolle dann hier runter auf WIN7 :
https://technet.microsoft.com/de-de/library/security/ms17-010.aspx?
Dann nehme ich 4012212 und 4012215 und suche bei Updates im WSUS danach. (ist dann auch ne andere MSRC-Nummer (MS17-008)
Dann öffne ich Windows 7 für x64-basierte Systeme und sehe im Updatenbericht, dass das Update noch für 4 Computer erforderlich ist.
Da kann ich aber nirgends drauf drücken... Hast Du nen Rat für mich?
wsw
Ausserwoeger
Ausserwoeger 15.05.2017 um 09:15:31 Uhr
Goto Top
Hi

Also bei mir gibt es beim bericht oben einen Pfeil zum weiterblättern ( 3 Seiten )
Auf der Zweiten seite stehen dann die PCs die das Update benötigen.

LG
PizzaPepperoni
PizzaPepperoni 15.05.2017 aktualisiert um 10:53:34 Uhr
Goto Top
Vll haben wir verschiedene Versionen (?).. Also ich habe mal Berichtsansicht Detail genommen. Dann werden mir alle Rechner aufgelistet und bei 3 steht Status "Heruntergeladen" und einmal "nicht installier". Danke, das wars dann !