21
Gruppenrichtlinien richtig angewendet
Hallo,
ich bin gerade dabei eine VM-Testumgebung aufzubauen:
1 Host mit Windows 2016 Hyper-V-Server und 3 VMs mit je Windows 2016-Server.
Die VMs habe ich wie folgt installiert und eingerichtet:
1. VM: AD DS, DNS, Gruppenrichtlinienverwaltung
2. VM: IIS, WSUS
3. VM: SQL-Express für WSUS-DB
Unter "AD-Benutzer und -Computer" habe ich eine OU erstellt, die die VM 2 und 3 (Typ: Computer) beinhaltet.
Alles läuft soweit (fast)
Jetzt versuche ich, dass die VMs sich mit dem WSUS zu verbinden - über die GPOs. GPO erstellt und der OU zugewiesen. Unter Sicherheitsfilterung habe ich die 2 Computer hinzugefügt und "Authentifizierte Benutzer" war vorher schon da.
Da das nicht funktioniert, habe ich versucht eine andere GPO einzurichten. --> "Datei-Explorer mit minimiertem Menüband starten". Nur um zu überprüfen, ob die GPOs angenommen werden. Leider auch ohne Erfolg.
Wenn ich auf der OU ein Gruppenrichtlinienupdate durchführe, erscheint auf der jeweiligen VM nach einiger Zeit ein CMD-Fenster, in dem gpupdate ausgeführt wird.
Mit sehe ich, dass der interne Pfad auf http://vm-server-1:8530 zeigt.
Unter Systemsteuerung/Updates wird mir aber nicht angezeigt, dass die Update von meiner Organisation verwaltet wird.
Hat jemand einen Tipp, wo ich den Fehler finden könnte?
Ich hoffe, dass ich oben alles wichtige reingeschrieben habe. Wenn nicht, "schreien"...
Ich bin für jeden Tipp dankbar.
Gruß
Michael
EDIT: oben ist ein vertipper: richtig ist: http://vm-server-2:8530 zeigt.
ich bin gerade dabei eine VM-Testumgebung aufzubauen:
1 Host mit Windows 2016 Hyper-V-Server und 3 VMs mit je Windows 2016-Server.
Die VMs habe ich wie folgt installiert und eingerichtet:
1. VM: AD DS, DNS, Gruppenrichtlinienverwaltung
2. VM: IIS, WSUS
3. VM: SQL-Express für WSUS-DB
Unter "AD-Benutzer und -Computer" habe ich eine OU erstellt, die die VM 2 und 3 (Typ: Computer) beinhaltet.
Alles läuft soweit (fast)
Jetzt versuche ich, dass die VMs sich mit dem WSUS zu verbinden - über die GPOs. GPO erstellt und der OU zugewiesen. Unter Sicherheitsfilterung habe ich die 2 Computer hinzugefügt und "Authentifizierte Benutzer" war vorher schon da.
Da das nicht funktioniert, habe ich versucht eine andere GPO einzurichten. --> "Datei-Explorer mit minimiertem Menüband starten". Nur um zu überprüfen, ob die GPOs angenommen werden. Leider auch ohne Erfolg.
Wenn ich auf der OU ein Gruppenrichtlinienupdate durchführe, erscheint auf der jeweiligen VM nach einiger Zeit ein CMD-Fenster, in dem gpupdate ausgeführt wird.
Mit
gpresult /h info.htmUnter Systemsteuerung/Updates wird mir aber nicht angezeigt, dass die Update von meiner Organisation verwaltet wird.
Hat jemand einen Tipp, wo ich den Fehler finden könnte?
Ich hoffe, dass ich oben alles wichtige reingeschrieben habe. Wenn nicht, "schreien"...
Ich bin für jeden Tipp dankbar.
Gruß
Michael
EDIT: oben ist ein vertipper: richtig ist: http://vm-server-2:8530 zeigt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 422101
Url: https://administrator.de/contentid/422101
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
21 Kommentare
Neuester Kommentar
Moin,
früher musste die WSUS DB auf dem selben Server wie der WSUS installiert sein, kann sein, dass das nicht mehr so ist.
Wie sieht denn die vollständige GPO für den WSUS aus? Verweisst Du überhaupt auf die VM 2?
Gruss
früher musste die WSUS DB auf dem selben Server wie der WSUS installiert sein, kann sein, dass das nicht mehr so ist.
Wie sieht denn die vollständige GPO für den WSUS aus? Verweisst Du überhaupt auf die VM 2?
Gruss
Zitat von @sabines:
Moin,
früher musste die WSUS DB auf dem selben Server wie der WSUS installiert sein, kann sein, dass das nicht mehr so ist.
Wie sieht denn die vollständige GPO für den WSUS aus? Verweisst Du überhaupt auf die VM 2?
Gruss
sorry, ich hatte mich oben verschrieben. http://vm-server-2:8530 wäre richtig.Moin,
früher musste die WSUS DB auf dem selben Server wie der WSUS installiert sein, kann sein, dass das nicht mehr so ist.
Wie sieht denn die vollständige GPO für den WSUS aus? Verweisst Du überhaupt auf die VM 2?
Gruss
Aber selbst meine GPO "Datei-Explorer mit minimiertem Menüband starten" funktioniert nicht. Das Band ist immer noch offen und nicht mionimiert.
Hi.
Auf Server 2016 v1607 ist diese Einblendung "dass die Update von meiner Organisation verwaltet wird" gar nicht vorhanden.
Teste einfach einmal, ob Du Updates erhältst.
Mittels wuinstall kannst Du den verwendeten Server auch auf der Kommandozeile sichtbar machen.
->Runterladen: https://web.archive.org/web/20151227002916/http://www.hs2n.at/component/ ...
->Kommando: wuinstall /search
Auf Server 2016 v1607 ist diese Einblendung "dass die Update von meiner Organisation verwaltet wird" gar nicht vorhanden.
Teste einfach einmal, ob Du Updates erhältst.
Mittels wuinstall kannst Du den verwendeten Server auch auf der Kommandozeile sichtbar machen.
->Runterladen: https://web.archive.org/web/20151227002916/http://www.hs2n.at/component/ ...
->Kommando: wuinstall /search
Zitat von @DerWoWusste:
Hi.
Auf Server 2016 v1607 ist diese Einblendung "dass die Update von meiner Organisation verwaltet wird" gar nicht vorhanden.
ah, wusste ich nicht. Hatte mir das aus einem anderen Netz auf einem Win10-Rechner abgeguckt.Hi.
Auf Server 2016 v1607 ist diese Einblendung "dass die Update von meiner Organisation verwaltet wird" gar nicht vorhanden.
Teste einfach einmal, ob Du Updates erhältst.
Mittels wuinstall kannst Du den verwendeten Server auch auf der Kommandozeile sichtbar machen.
->Runterladen: https://web.archive.org/web/20151227002916/http://www.hs2n.at/component/ ...
->Kommando: wuinstall /search
Danke, sieht gut aus. Das Tool läuft gerade auf der 3ten VM und auf der 2ten habe beim W3WP.EXE-Prozess Auslastung.Mittels wuinstall kannst Du den verwendeten Server auch auf der Kommandozeile sichtbar machen.
->Runterladen: https://web.archive.org/web/20151227002916/http://www.hs2n.at/component/ ...
->Kommando: wuinstall /search
Hallo,
pack doch die VMs in eine OU "VMs" und verknüpfe die GPO mit dieser OU. Dann brauchst du keinen WMI-Filter bzw. kannst den Filter auf "Authentifizierte Benutzer" stehen lassen. Wenn in der OU Computer nur die VMs sind, kannst dir das natürlich sparen, aber versuche trotzdem beim WMI-Filter mal nur "Authentifizierte Benutzer".
Öffne mal auf den Maschinen eine Powershell-Sitzung und gibt folgendes ein:
Im Idealfall dürfte da nur bei "Windows Server Update Service" der Wert "true" stehen.
Gruß NV
pack doch die VMs in eine OU "VMs" und verknüpfe die GPO mit dieser OU. Dann brauchst du keinen WMI-Filter bzw. kannst den Filter auf "Authentifizierte Benutzer" stehen lassen. Wenn in der OU Computer nur die VMs sind, kannst dir das natürlich sparen, aber versuche trotzdem beim WMI-Filter mal nur "Authentifizierte Benutzer".
Öffne mal auf den Maschinen eine Powershell-Sitzung und gibt folgendes ein:
$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
$MUSM.Services | select Name, IsDefaultAUServiceIm Idealfall dürfte da nur bei "Windows Server Update Service" der Wert "true" stehen.
Gruß NV
wuinstall /install
installiert übrigens. /search ist nur zum "Test" und sucht lediglich.
installiert übrigens. /search ist nur zum "Test" und sucht lediglich.
Zitat von @DerWoWusste:
wuinstall /install
installiert übrigens. /search ist nur zum "Test" und sucht lediglich.
Leider hat es doch nicht funktioniert.wuinstall /install
installiert übrigens. /search ist nur zum "Test" und sucht lediglich.
Sie sieht das Ergebnis aus:
Ich habe mal die "normale" Update-Suchfunktion (VM3)getestet. Da kommt es aber auch zu einer Fehlermeldung. 0x8024401c
Da auf dem WSUS-Server (VM2) die W3WP.EXE zw. 70-90% CPU-Auslastung hat, muss ja irgendeine Kommunikation statt finden...
Auch auf der VM3, wo ja die SQL-DB liegt, kommuniziert SQLSERVER.EXE.
Da auf dem WSUS-Server (VM2) die W3WP.EXE zw. 70-90% CPU-Auslastung hat, muss ja irgendeine Kommunikation statt finden...
Auch auf der VM3, wo ja die SQL-DB liegt, kommuniziert SQLSERVER.EXE.
Das Problem muss am WSUS liegen. Hatte ich so noch nie, keine Ahnung.
Viel verkehrt zu machen gibt es hier nun wirklich nicht.
Viel verkehrt zu machen gibt es hier nun wirklich nicht.
Zitat von @DerWoWusste:
Das Problem muss am WSUS liegen. Hatte ich so noch nie, keine Ahnung.
Viel verkehrt zu machen gibt es hier nun wirklich nicht.
Das vermute ich auch mal.Das Problem muss am WSUS liegen. Hatte ich so noch nie, keine Ahnung.
Viel verkehrt zu machen gibt es hier nun wirklich nicht.
Was mir auf der WSUS_Konsole lokal auffällt, dass dieser Computer als IP-Adresse ::1 hat - obwohl IPv6 nicht aktiv ist. Ist das normal oder kann da schon ein Problem geben?
Das hatte ich mich auch schon gefragt, warum beim WSUS-Server in dessen Konsole er als einzige Maschine mit einer IPv6-Adresse angezeigt wird.
Vielleicht hilft dir das WSUS Diagnose-Tool von SolarWinds weiter:
SolarWinds Diagnose WSUS
Gruß NV
Vielleicht hilft dir das WSUS Diagnose-Tool von SolarWinds weiter:
SolarWinds Diagnose WSUS
Gruß NV
Danke, werde das Tool mal installieren - nachdem ich .NET 3.5 installiert habe...
Was mir auf der WSUS_Konsole lokal auffällt, dass dieser Computer als IP-Adresse ::1 hat
Keine Ahnung, ob das normal ist - hier auf unserem WSUS (2012 R2) ist das nicht so notiert. Denke aber nicht, dass es ein Problem ist.In jedem Fall: kümmere dich auch um https. http ist nicht empfohlen, weil Angreifer sich so als WSUS ausgeben könnten und Clients Malware unterschieben könnten.
Siehe https://jackstromberg.com/2013/11/enabling-ssl-on-windows-server-update- ...
Zitat von @DerWoWusste:
In jedem Fall: kümmere dich auch um https. http ist nicht empfohlen, weil Angreifer sich so als WSUS ausgeben könnten und Clients Malware unterschieben könnten.
Siehe https://jackstromberg.com/2013/11/enabling-ssl-on-windows-server-update- ...
Jepp, will ich später machen. Aber erstmal das Problem lösen...Was mir auf der WSUS_Konsole lokal auffällt, dass dieser Computer als IP-Adresse ::1 hat
Keine Ahnung, ob das normal ist - hier auf unserem WSUS (2012 R2) ist das nicht so notiert. Denke aber nicht, dass es ein Problem ist.In jedem Fall: kümmere dich auch um https. http ist nicht empfohlen, weil Angreifer sich so als WSUS ausgeben könnten und Clients Malware unterschieben könnten.
Siehe https://jackstromberg.com/2013/11/enabling-ssl-on-windows-server-update- ...
Zitat von @NixVerstehen:
Das hatte ich mich auch schon gefragt, warum beim WSUS-Server in dessen Konsole er als einzige Maschine mit einer IPv6-Adresse angezeigt wird.
Vielleicht hilft dir das WSUS Diagnose-Tool von SolarWinds weiter:
SolarWinds Diagnose WSUS
Gruß NV
Hier das Ergebnis.Das hatte ich mich auch schon gefragt, warum beim WSUS-Server in dessen Konsole er als einzige Maschine mit einer IPv6-Adresse angezeigt wird.
Vielleicht hilft dir das WSUS Diagnose-Tool von SolarWinds weiter:
SolarWinds Diagnose WSUS
Gruß NV
Hier mal ein Link zum Entwickler des Tools:
Solarwinds Error Explanation
Offenbar sind die beiden unteren Fehler "forbidden" und "not found" unter bestimmten Voraussetzungen ignorierbar.
Der oberste Error:Timeout kam bei mir, als ich den internen Link auf https://wsus:8531 gesetzt hatte. Warum weiß ich aber nicht, ggf. wegen fehlendem Zertifikat auf dem IIS.
Sieht bei mir so aus und funktioniert trotz der beiden Fehler.
Solarwinds Error Explanation
Offenbar sind die beiden unteren Fehler "forbidden" und "not found" unter bestimmten Voraussetzungen ignorierbar.
Der oberste Error:Timeout kam bei mir, als ich den internen Link auf https://wsus:8531 gesetzt hatte. Warum weiß ich aber nicht, ggf. wegen fehlendem Zertifikat auf dem IIS.
Sieht bei mir so aus und funktioniert trotz der beiden Fehler.
Danke für den Tipp. Ich muss mich mal mit dem Timeout beschäftigen - aktuell aber leider keine Zeit.
Aber schon interressant, wie der Test-Aufbau sich entwickelt.
Ich werde das spätere Ergebnis hier noch posten.
Gruß
Aber schon interressant, wie der Test-Aufbau sich entwickelt.
Ich werde das spätere Ergebnis hier noch posten.
Gruß
Zitat von @NixVerstehen:
Hier mal ein Link zum Entwickler des Tools:
Solarwinds Error Explanation
Offenbar sind die beiden unteren Fehler "forbidden" und "not found" unter bestimmten Voraussetzungen ignorierbar.
Der oberste Error:Timeout kam bei mir, als ich den internen Link auf https://wsus:8531 gesetzt hatte. Warum weiß ich aber nicht, ggf. wegen fehlendem Zertifikat auf dem IIS.
Sieht bei mir so aus und funktioniert trotz der beiden Fehler.
Bei mir sieht es jetzt auch so aus. Auf beiden Seiten die Firewall auf OFF gestellt (obwohl ich mir fast sicher bin, dass ich das zuvor auch mal getestet hatte...) und die Punkte mit den xyz.asmx ist OK.Hier mal ein Link zum Entwickler des Tools:
Solarwinds Error Explanation
Offenbar sind die beiden unteren Fehler "forbidden" und "not found" unter bestimmten Voraussetzungen ignorierbar.
Der oberste Error:Timeout kam bei mir, als ich den internen Link auf https://wsus:8531 gesetzt hatte. Warum weiß ich aber nicht, ggf. wegen fehlendem Zertifikat auf dem IIS.
Sieht bei mir so aus und funktioniert trotz der beiden Fehler.
Leider bekomme ich immer noch ein Timeout. So, der aktuell Stand... werde mal weiter suchen...
Guten Morgen,
einen 2016-Server mit ADDS,DNS und WSUS - mit WID - installieren brachte auch nichts. Nachdem ich folgenden Link gefunden habe, sieht es jetzt so aus, dass es funktioniert. KB4039396 installiert und ASP.NET-Timeout angepasst. Ich werde demnächst eine VM testen, wo ich nur ASP.NET-Timeout anpasse. Ggfl. lag es dann an diesem Punkt.
einen 2016-Server mit ADDS,DNS und WSUS - mit WID - installieren brachte auch nichts. Nachdem ich folgenden Link gefunden habe, sieht es jetzt so aus, dass es funktioniert. KB4039396 installiert und ASP.NET-Timeout angepasst. Ich werde demnächst eine VM testen, wo ich nur ASP.NET-Timeout anpasse. Ggfl. lag es dann an diesem Punkt.
Nachdem ich wieder das Problem hatte, habe ich noch folgendes gefunden : LINK
Aktuell funktioniert dieser "Trick".
Aktuell funktioniert dieser "Trick".
