rgarcia
Goto Top

Probleme nach WSUS Speicherpfad Umzug

Hallo liebe Gemeinde,

ich stehe zurzeit vor folgendem Problem:

Auf unserem WSUS Server ist der Speicherplatz knapp geworden.
Somit habe ich über die wsusutil.exe mit dem movecontent Befehl die UpdateDateien auf einen anderen W2k3 Server ("Daten-Server") verschoben.
Diesen habe ich vorher als Netzlaufwerk gemappt.
Laut logfile ist der Umzug problemlos und erfolgreich durchgelaufen.

Nun erhalte ich jedoch ununterbrochen Fehlermeldungen vom WSUS Dienst im Log File.
Diese lauten wie folgt:

Content file download failed. Reason: File cert verification failure. Source File: /msdownload/update/v3-19990518/cabpool/windowsxp-kb936357-x86-express-enu_9a5c70737192ec67554c3d53672c8f1983fa16a6.cab Destination File: C:\Program Files\Update Services\LogFiles\WSusTemp\9A5C70737192EC67554C3D53672C8F1983FA16A6.cab.

Nach einem Blick in die SoftwareDistribution.log ist mir folgender Fehler aufgefallen:

2011-11-11 16:03:09.153 UTC Error WsusService.14 ContentSyncAgent.ProcessBITSNotificationQueue Downloaded file C:\Program Files\Update Services\LogFiles\WSusTemp\149B47925E50E71C74D500866D64E72D5C3AD07C.exe caught exception at VerifyFile: System.UnauthorizedAccessException: Access to the path '\\"daten-server"\wsus\WsusContent\7C\149B47925E50E71C74D500866D64E72D5C3AD07C.exe' is denied.

Es scheint als ob der WSUS Server nicht versucht über das Netzlaufwerk Mapping auf den neuen Speicherpfad zuzugreifen sondern den direkten Zugriff (UNC) probiert.
Der WSUS Dienst an sich startet mit folgender Berechtigung NT AUTHORITY\NetworkService.
Diesen jedoch kann ich keine Berechtigung auf den Daten-Server geben, da es sich ja um einen Lokalen Account handelt.

Wie ist es nun wenn ich einen Domain User erstelle, welcher zum starten des WSUS Dienstes verwendet wird und Zugriff auf den Daten-Server Pfad erhält. Muss ich dann in den GPO für die WSUS Clients irgendetwas ändern? Geht das überhaupt so wie ich mir das vorstelle? Oder gibt es auch eine andere ggf. bessere Lösung?

Content-ID: 176139

Url: https://administrator.de/contentid/176139

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

60730
60730 11.11.2011 um 17:49:36 Uhr
Goto Top
moin,


gaaaaaanz ehrlich?

  • Schau dir die Gruppen an und schreib dir die auf.
  • das gleiche mit von dir abgewählten Patchen.
  • Überprüfe, wie die Clients in die jeweiligen Gruppen gekommen sind und merk dir das
  • Hau den Wsus in die Tonne
  • Mach den neu - und zwar so, dass der seine DB und seine Patche selber intern verwaltet
  • Und zwar auf eine eigene separate Partition!
  • Hänge einen frischen Client rein, der die Patche braucht, die deine anderen Clients auch minimal brauchen.
  • Lass den übernacht die Patche ziehen
  • Überprüfe die nicht abgesegneten Patche
  • Sorg dafür, dass die neuen Clients automatisch da hinkommen, wo Sie hingehören
  • bau dir ein Script/nehm ein Monitorsoftware, die dich warnt - wenn der Speicher voll läuft (2 GB frei minimum) -denn wenn die einmal vollgelaufen ist - kannst du den WSUS zu 85.9% wieder in die Tonne treten.
  • Fettich

Man kann den retten, aber das kostet im Zweifel mehr Zeit
"Rumspielen" an den Rechten - bringt nix.

Das "einzige", was ich sonst noch sehen würde, wäre per ISCSI die externe Quelle intern zur Verfügung zu stellen.

Aber auch das ist...........


gruß
DerWoWusste
DerWoWusste 12.11.2011 um 17:42:19 Uhr
Goto Top
Noch eine Anregung zu dem Satz
NT AUTHORITY\NetworkService. Diesen jedoch kann ich keine Berechtigung auf den Daten-Server geben, da es sich ja um einen Lokalen Account handelt
http://msdn.microsoft.com/en-us/library/ff647402.aspx - lies mal die Summary. Geht schon.
rgarcia
rgarcia 14.11.2011 um 16:55:00 Uhr
Goto Top
Danke hab den Server nun wie von Dir vorgeschlagen neu aufgesetzt.
War wohl die einfachste und schnellste Lösung.