MSU per GPO installieren klappt nicht

Moin,

ich möchte ein Windows-Update per GPO verteilen, Hintergrund ist dieser:
https://administrator.de/forum/juli-patchday-keine-win10-updates-mehr-vo ...

Was ich also gemacht habe:
- Update KB5004237 manuell heruntergeladen
- Update auf ein Share gelegt und Berechtigungen geprüft / angepasst
- Die Skriptdatei update-manuell.bat erstellt, damit ich erst einmal sehen kann, was passiert, wusa.exe bewusst ohne /quiet - Parameter
- Auf dem DC im Ordner \\domaene.com\SYSVOL\domaene.com\scripts die Datei update-manuell.bat abgelegt
- GPO erstellt unter Computerkonfiguration --> Richtlinien --> Windows-Einstellungen --> Skripts --> Start
- GPO mit Test-OU(s) verknüpft
- Rechner aus Test-OU neu gestartet

Resultat:
Nach dem Rechnerneustart passiert... Nichts. Zumindest nichts, was ich sehen kann. Öffne ich den Taskmanager, läuft der Hintergrundprozess "Eigenständiges Windowsupdate-Installationsprogramm". Wie schön, aber warum als Hintergrundprozess? Wäre ja OK gewesen, wenn ich wusa mit /quiet ausgeführt hätte. Und so steht der Prozess da eine Stunde, zwei Stunden, und weiter passiert nichts. In meine geplante Log-Datei wird ebenfalls nichts geschrieben.

Nächster Test, den Rechner aus der OU genommen und die Zeile
in die Eingabeaufforderung gekippt. Läuft, Update in 10 Minuten inkl. Neustart erledigt.
Testweise die Variablen %wd% und %log% durch komplette Pfadnamen ersetzt, funktioniert auch nicht.

Gruß

Content-Key: 1060701607

Url: https://administrator.de/contentid/1060701607

Ausgedruckt am: 24.07.2021 um 14:07 Uhr

Mitglied: Delta9
Lösung Delta9 20.07.2021 um 17:02:38 Uhr
Goto Top
Hi,
meine Vermutung:
Der GPO / Computerkonfigurations- Teil wird im Kontext des Computerkontos ausgeführt. Warscheinlich fehlen dadurch die Rechte auf den Share, wie sind die denn eingestellt?

Gruß
Mitglied: DerWoWusste
Lösung DerWoWusste 20.07.2021 um 21:15:34 Uhr
Goto Top
Wie schön, aber warum als Hintergrundprozess?
Ja, weil Du es so eingestellt hast. Startskripts laufen nie interaktiv. Pack das /quiet hinzu und alles wird gut.
Oder /quiet /norestart
Mitglied: Coreknabe
Coreknabe 22.07.2021 um 12:45:06 Uhr
Goto Top
Danke Euch beiden, hat geholfen! Während meiner Testorgie war ich der Meinung, dass es auch interaktiv geklappt hatte, was aber nicht der Fall war. Die Freigabe lag auf unserer Synology, wahrscheinlich kann ich dort das Systemkonto nicht passend hinterlegen. Jetzt habe ich den Freigabeordner direkt auf den DC gelegt, läuft. Wenn jemand so etwas nachmacht, daran denken, dass die Update-Datei nicht von jedem verändert werden darf, um zu verhindern, dass den Usern manipulierte Dateien untergejuxt werden...

@DWW
Noch eine Frage, bei der Kombi Notebook + WLAN klappt das nicht, weil
https://administrator.de/forum/windows-ad-gpo-startup-script-600120.html

Du gibst da ja auch einige Tipps, weißt Du noch, welchen Ihr umgesetzt hattet?
Mitglied: Coreknabe
Coreknabe 22.07.2021 um 13:00:29 Uhr
Goto Top
Und noch vergessen, wir sind scheinbar nicht die Einzigen mit diesem Problem, s. Beitrag von @tstuttgart:
https://www.wsus.de/cgi-bin/yabb/YaBB.pl?num=1626424282

Beruhigt mich ein klein wenig :-) face-smile
Mitglied: DerWoWusste
DerWoWusste 22.07.2021 um 13:12:59 Uhr
Goto Top
Ich verteile sowas nicht mehr per Startskript, sondern nur noch per "immediate Task" per GPO, das erschlägt es auch für WLAN und andere Netzwerklangsamstarter.
Mitglied: Coreknabe
Coreknabe 22.07.2021 um 13:15:32 Uhr
Goto Top
OK, danke Dir vielmals!

Case closed, evtl. melde ich mich im August wieder ;-) face-wink
Mitglied: DerWoWusste
DerWoWusste 22.07.2021 aktualisiert um 13:21:18 Uhr
Goto Top
Und nicht vergessen, solltest Du bei der Notation
ver | findstr 19043.1110 || wusa.exe %wd%\windows10.0-kb5004237-x64_9a7c569f5656d99533e9e945e8063251758ce4c0.msu /quiet /norestart bleiben, müssen die Clients einen Neustart machen. Ein normales Runterfahren reicht nicht.
Immediate Tasks würde ich hier so einstellen, dass sie einmal und nie wieder deployed werden, sonst läuft das Skript ja immer wieder und stellt dann irgendwann fest "hey, die Version ist jetzt höher als die angesagte, dann starte ich mal wusa" :-) face-smile
Mitglied: Coreknabe
Coreknabe 22.07.2021 um 13:45:43 Uhr
Goto Top
Schon berücksichtigt, das mit dem Neustart habe ich schon selbst erfahren, was zunächst für komplette Verwirrung sorgte. Da half die dunkle Erinnerung (Jeder Reboot tut gut :-) face-smile).

Danke noch mal!
Heiß diskutierte Beiträge
general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 12 StundenFrageBenchmarks31 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
UniFi Switch 16 mit VLANnewbie1Vor 1 TagFrageRouter & Routing16 Kommentare

Hallo Forenmitglieder, VLAN Problem mit Switch UniFi US-16-150W-EU. Auf dem UniFi-Controller (als Software auf meiner Synology-NAS) habe ich VLAN's erstellt. Auf dem Switch habe ich ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...