mist
Goto Top

Gruppenrichtlinien richtig angewendet

Hallo,

ich bin gerade dabei eine VM-Testumgebung aufzubauen:
1 Host mit Windows 2016 Hyper-V-Server und 3 VMs mit je Windows 2016-Server.

Die VMs habe ich wie folgt installiert und eingerichtet:
1. VM: AD DS, DNS, Gruppenrichtlinienverwaltung
2. VM: IIS, WSUS
3. VM: SQL-Express für WSUS-DB

Unter "AD-Benutzer und -Computer" habe ich eine OU erstellt, die die VM 2 und 3 (Typ: Computer) beinhaltet.

Alles läuft soweit (fast)

Jetzt versuche ich, dass die VMs sich mit dem WSUS zu verbinden - über die GPOs. GPO erstellt und der OU zugewiesen. Unter Sicherheitsfilterung habe ich die 2 Computer hinzugefügt und "Authentifizierte Benutzer" war vorher schon da.
Da das nicht funktioniert, habe ich versucht eine andere GPO einzurichten. --> "Datei-Explorer mit minimiertem Menüband starten". Nur um zu überprüfen, ob die GPOs angenommen werden. Leider auch ohne Erfolg.
Wenn ich auf der OU ein Gruppenrichtlinienupdate durchführe, erscheint auf der jeweiligen VM nach einiger Zeit ein CMD-Fenster, in dem gpupdate ausgeführt wird.
Mit
gpresult /h info.htm
sehe ich, dass der interne Pfad auf http://vm-server-1:8530 zeigt.

Unter Systemsteuerung/Updates wird mir aber nicht angezeigt, dass die Update von meiner Organisation verwaltet wird.

Hat jemand einen Tipp, wo ich den Fehler finden könnte?
Ich hoffe, dass ich oben alles wichtige reingeschrieben habe. Wenn nicht, "schreien"... face-wink

Ich bin für jeden Tipp dankbar.
Gruß
Michael

EDIT: oben ist ein vertipper: richtig ist: http://vm-server-2:8530 zeigt.

Content-ID: 422101

Url: https://administrator.de/forum/gruppenrichtlinien-richtig-angewendet-422101.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

sabines
sabines 26.02.2019 um 12:59:06 Uhr
Goto Top
Moin,

früher musste die WSUS DB auf dem selben Server wie der WSUS installiert sein, kann sein, dass das nicht mehr so ist.
Wie sieht denn die vollständige GPO für den WSUS aus? Verweisst Du überhaupt auf die VM 2?

Gruss
MiSt
MiSt 26.02.2019 um 13:03:51 Uhr
Goto Top
Zitat von @sabines:

Moin,

früher musste die WSUS DB auf dem selben Server wie der WSUS installiert sein, kann sein, dass das nicht mehr so ist.
Wie sieht denn die vollständige GPO für den WSUS aus? Verweisst Du überhaupt auf die VM 2?

Gruss
sorry, ich hatte mich oben verschrieben. http://vm-server-2:8530 wäre richtig.
Aber selbst meine GPO "Datei-Explorer mit minimiertem Menüband starten" funktioniert nicht. Das Band ist immer noch offen und nicht mionimiert.
DerWoWusste
DerWoWusste 26.02.2019 um 13:11:33 Uhr
Goto Top
Hi.

Auf Server 2016 v1607 ist diese Einblendung "dass die Update von meiner Organisation verwaltet wird" gar nicht vorhanden.
Teste einfach einmal, ob Du Updates erhältst.
Mittels wuinstall kannst Du den verwendeten Server auch auf der Kommandozeile sichtbar machen.
->Runterladen: https://web.archive.org/web/20151227002916/http://www.hs2n.at/component/ ...
->Kommando: wuinstall /search
MiSt
MiSt 26.02.2019 um 13:40:34 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Auf Server 2016 v1607 ist diese Einblendung "dass die Update von meiner Organisation verwaltet wird" gar nicht vorhanden.
ah, wusste ich nicht. Hatte mir das aus einem anderen Netz auf einem Win10-Rechner abgeguckt.
Teste einfach einmal, ob Du Updates erhältst.
Mittels wuinstall kannst Du den verwendeten Server auch auf der Kommandozeile sichtbar machen.
->Runterladen: https://web.archive.org/web/20151227002916/http://www.hs2n.at/component/ ...
->Kommando: wuinstall /search
Danke, sieht gut aus. Das Tool läuft gerade auf der 3ten VM und auf der 2ten habe beim W3WP.EXE-Prozess Auslastung.
NixVerstehen
Lösung NixVerstehen 26.02.2019 um 13:48:22 Uhr
Goto Top
Hallo,

pack doch die VMs in eine OU "VMs" und verknüpfe die GPO mit dieser OU. Dann brauchst du keinen WMI-Filter bzw. kannst den Filter auf "Authentifizierte Benutzer" stehen lassen. Wenn in der OU Computer nur die VMs sind, kannst dir das natürlich sparen, aber versuche trotzdem beim WMI-Filter mal nur "Authentifizierte Benutzer".

Öffne mal auf den Maschinen eine Powershell-Sitzung und gibt folgendes ein:

$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"  
$MUSM.Services | select Name, IsDefaultAUService

Im Idealfall dürfte da nur bei "Windows Server Update Service" der Wert "true" stehen.


Gruß NV
DerWoWusste
DerWoWusste 26.02.2019 um 14:27:03 Uhr
Goto Top
wuinstall /install
installiert übrigens. /search ist nur zum "Test" und sucht lediglich.
MiSt
MiSt 26.02.2019 um 14:42:58 Uhr
Goto Top
Zitat von @DerWoWusste:

wuinstall /install
installiert übrigens. /search ist nur zum "Test" und sucht lediglich.
Leider hat es doch nicht funktioniert.
2019-02-26_14h36_15
MiSt
MiSt 26.02.2019 um 14:47:08 Uhr
Goto Top
Sie sieht das Ergebnis aus:
2019-02-26_14h45_20
MiSt
MiSt 26.02.2019 um 14:59:39 Uhr
Goto Top
Ich habe mal die "normale" Update-Suchfunktion (VM3)getestet. Da kommt es aber auch zu einer Fehlermeldung. 0x8024401c
Da auf dem WSUS-Server (VM2) die W3WP.EXE zw. 70-90% CPU-Auslastung hat, muss ja irgendeine Kommunikation statt finden...

Auch auf der VM3, wo ja die SQL-DB liegt, kommuniziert SQLSERVER.EXE.
DerWoWusste
DerWoWusste 26.02.2019 um 15:02:46 Uhr
Goto Top
Das Problem muss am WSUS liegen. Hatte ich so noch nie, keine Ahnung.
Viel verkehrt zu machen gibt es hier nun wirklich nicht.
MiSt
MiSt 26.02.2019 um 15:14:48 Uhr
Goto Top
Zitat von @DerWoWusste:

Das Problem muss am WSUS liegen. Hatte ich so noch nie, keine Ahnung.
Viel verkehrt zu machen gibt es hier nun wirklich nicht.
Das vermute ich auch mal.
Was mir auf der WSUS_Konsole lokal auffällt, dass dieser Computer als IP-Adresse ::1 hat - obwohl IPv6 nicht aktiv ist. Ist das normal oder kann da schon ein Problem geben?
NixVerstehen
NixVerstehen 26.02.2019 um 15:25:30 Uhr
Goto Top
Das hatte ich mich auch schon gefragt, warum beim WSUS-Server in dessen Konsole er als einzige Maschine mit einer IPv6-Adresse angezeigt wird.

Vielleicht hilft dir das WSUS Diagnose-Tool von SolarWinds weiter:

SolarWinds Diagnose WSUS

Gruß NV
MiSt
MiSt 26.02.2019 um 15:37:55 Uhr
Goto Top
Danke, werde das Tool mal installieren - nachdem ich .NET 3.5 installiert habe...
DerWoWusste
DerWoWusste 26.02.2019 aktualisiert um 15:38:35 Uhr
Goto Top
Was mir auf der WSUS_Konsole lokal auffällt, dass dieser Computer als IP-Adresse ::1 hat
Keine Ahnung, ob das normal ist - hier auf unserem WSUS (2012 R2) ist das nicht so notiert. Denke aber nicht, dass es ein Problem ist.

In jedem Fall: kümmere dich auch um https. http ist nicht empfohlen, weil Angreifer sich so als WSUS ausgeben könnten und Clients Malware unterschieben könnten.
Siehe https://jackstromberg.com/2013/11/enabling-ssl-on-windows-server-update- ...
MiSt
MiSt 26.02.2019 um 15:52:06 Uhr
Goto Top
Zitat von @DerWoWusste:

Was mir auf der WSUS_Konsole lokal auffällt, dass dieser Computer als IP-Adresse ::1 hat
Keine Ahnung, ob das normal ist - hier auf unserem WSUS (2012 R2) ist das nicht so notiert. Denke aber nicht, dass es ein Problem ist.

In jedem Fall: kümmere dich auch um https. http ist nicht empfohlen, weil Angreifer sich so als WSUS ausgeben könnten und Clients Malware unterschieben könnten.
Siehe https://jackstromberg.com/2013/11/enabling-ssl-on-windows-server-update- ...
Jepp, will ich später machen. Aber erstmal das Problem lösen...
MiSt
MiSt 26.02.2019 um 15:58:06 Uhr
Goto Top
Zitat von @NixVerstehen:

Das hatte ich mich auch schon gefragt, warum beim WSUS-Server in dessen Konsole er als einzige Maschine mit einer IPv6-Adresse angezeigt wird.

Vielleicht hilft dir das WSUS Diagnose-Tool von SolarWinds weiter:

SolarWinds Diagnose WSUS

Gruß NV
Hier das Ergebnis.
2019-02-26_15h56_30
2019-02-26_15h56_30
NixVerstehen
NixVerstehen 26.02.2019 um 17:35:16 Uhr
Goto Top
Hier mal ein Link zum Entwickler des Tools:

Solarwinds Error Explanation

Offenbar sind die beiden unteren Fehler "forbidden" und "not found" unter bestimmten Voraussetzungen ignorierbar.
Der oberste Error:Timeout kam bei mir, als ich den internen Link auf https://wsus:8531 gesetzt hatte. Warum weiß ich aber nicht, ggf. wegen fehlendem Zertifikat auf dem IIS.

Sieht bei mir so aus und funktioniert trotz der beiden Fehler.

sw_diag_wsus
MiSt
MiSt 01.03.2019 um 07:08:08 Uhr
Goto Top
Danke für den Tipp. Ich muss mich mal mit dem Timeout beschäftigen - aktuell aber leider keine Zeit.
Aber schon interressant, wie der Test-Aufbau sich entwickelt.
Ich werde das spätere Ergebnis hier noch posten.

Gruß
MiSt
MiSt 01.03.2019 um 11:11:08 Uhr
Goto Top
Zitat von @NixVerstehen:

Hier mal ein Link zum Entwickler des Tools:

Solarwinds Error Explanation

Offenbar sind die beiden unteren Fehler "forbidden" und "not found" unter bestimmten Voraussetzungen ignorierbar.
Der oberste Error:Timeout kam bei mir, als ich den internen Link auf https://wsus:8531 gesetzt hatte. Warum weiß ich aber nicht, ggf. wegen fehlendem Zertifikat auf dem IIS.

Sieht bei mir so aus und funktioniert trotz der beiden Fehler.

sw_diag_wsus
Bei mir sieht es jetzt auch so aus. Auf beiden Seiten die Firewall auf OFF gestellt (obwohl ich mir fast sicher bin, dass ich das zuvor auch mal getestet hatte...) und die Punkte mit den xyz.asmx ist OK.
Leider bekomme ich immer noch ein Timeout. So, der aktuell Stand... werde mal weiter suchen...
MiSt
MiSt 06.03.2019 aktualisiert um 10:49:26 Uhr
Goto Top
Guten Morgen,

einen 2016-Server mit ADDS,DNS und WSUS - mit WID - installieren brachte auch nichts. Nachdem ich folgenden Link gefunden habe, sieht es jetzt so aus, dass es funktioniert. KB4039396 installiert und ASP.NET-Timeout angepasst. Ich werde demnächst eine VM testen, wo ich nur ASP.NET-Timeout anpasse. Ggfl. lag es dann an diesem Punkt.
MiSt
MiSt 11.03.2019 um 09:12:49 Uhr
Goto Top
Nachdem ich wieder das Problem hatte, habe ich noch folgendes gefunden : LINK
Aktuell funktioniert dieser "Trick".