Probleme nach WSUS Speicherpfad Umzug
Hallo liebe Gemeinde,
ich stehe zurzeit vor folgendem Problem:
Auf unserem WSUS Server ist der Speicherplatz knapp geworden.
Somit habe ich über die wsusutil.exe mit dem movecontent Befehl die UpdateDateien auf einen anderen W2k3 Server ("Daten-Server") verschoben.
Diesen habe ich vorher als Netzlaufwerk gemappt.
Laut logfile ist der Umzug problemlos und erfolgreich durchgelaufen.
Nun erhalte ich jedoch ununterbrochen Fehlermeldungen vom WSUS Dienst im Log File.
Diese lauten wie folgt:
Content file download failed. Reason: File cert verification failure. Source File: /msdownload/update/v3-19990518/cabpool/windowsxp-kb936357-x86-express-enu_9a5c70737192ec67554c3d53672c8f1983fa16a6.cab Destination File: C:\Program Files\Update Services\LogFiles\WSusTemp\9A5C70737192EC67554C3D53672C8F1983FA16A6.cab.
Nach einem Blick in die SoftwareDistribution.log ist mir folgender Fehler aufgefallen:
2011-11-11 16:03:09.153 UTC Error WsusService.14 ContentSyncAgent.ProcessBITSNotificationQueue Downloaded file C:\Program Files\Update Services\LogFiles\WSusTemp\149B47925E50E71C74D500866D64E72D5C3AD07C.exe caught exception at VerifyFile: System.UnauthorizedAccessException: Access to the path '\\"daten-server"\wsus\WsusContent\7C\149B47925E50E71C74D500866D64E72D5C3AD07C.exe' is denied.
Es scheint als ob der WSUS Server nicht versucht über das Netzlaufwerk Mapping auf den neuen Speicherpfad zuzugreifen sondern den direkten Zugriff (UNC) probiert.
Der WSUS Dienst an sich startet mit folgender Berechtigung NT AUTHORITY\NetworkService.
Diesen jedoch kann ich keine Berechtigung auf den Daten-Server geben, da es sich ja um einen Lokalen Account handelt.
Wie ist es nun wenn ich einen Domain User erstelle, welcher zum starten des WSUS Dienstes verwendet wird und Zugriff auf den Daten-Server Pfad erhält. Muss ich dann in den GPO für die WSUS Clients irgendetwas ändern? Geht das überhaupt so wie ich mir das vorstelle? Oder gibt es auch eine andere ggf. bessere Lösung?
ich stehe zurzeit vor folgendem Problem:
Auf unserem WSUS Server ist der Speicherplatz knapp geworden.
Somit habe ich über die wsusutil.exe mit dem movecontent Befehl die UpdateDateien auf einen anderen W2k3 Server ("Daten-Server") verschoben.
Diesen habe ich vorher als Netzlaufwerk gemappt.
Laut logfile ist der Umzug problemlos und erfolgreich durchgelaufen.
Nun erhalte ich jedoch ununterbrochen Fehlermeldungen vom WSUS Dienst im Log File.
Diese lauten wie folgt:
Content file download failed. Reason: File cert verification failure. Source File: /msdownload/update/v3-19990518/cabpool/windowsxp-kb936357-x86-express-enu_9a5c70737192ec67554c3d53672c8f1983fa16a6.cab Destination File: C:\Program Files\Update Services\LogFiles\WSusTemp\9A5C70737192EC67554C3D53672C8F1983FA16A6.cab.
Nach einem Blick in die SoftwareDistribution.log ist mir folgender Fehler aufgefallen:
2011-11-11 16:03:09.153 UTC Error WsusService.14 ContentSyncAgent.ProcessBITSNotificationQueue Downloaded file C:\Program Files\Update Services\LogFiles\WSusTemp\149B47925E50E71C74D500866D64E72D5C3AD07C.exe caught exception at VerifyFile: System.UnauthorizedAccessException: Access to the path '\\"daten-server"\wsus\WsusContent\7C\149B47925E50E71C74D500866D64E72D5C3AD07C.exe' is denied.
Es scheint als ob der WSUS Server nicht versucht über das Netzlaufwerk Mapping auf den neuen Speicherpfad zuzugreifen sondern den direkten Zugriff (UNC) probiert.
Der WSUS Dienst an sich startet mit folgender Berechtigung NT AUTHORITY\NetworkService.
Diesen jedoch kann ich keine Berechtigung auf den Daten-Server geben, da es sich ja um einen Lokalen Account handelt.
Wie ist es nun wenn ich einen Domain User erstelle, welcher zum starten des WSUS Dienstes verwendet wird und Zugriff auf den Daten-Server Pfad erhält. Muss ich dann in den GPO für die WSUS Clients irgendetwas ändern? Geht das überhaupt so wie ich mir das vorstelle? Oder gibt es auch eine andere ggf. bessere Lösung?
Please also mark the comments that contributed to the solution of the article
Content-ID: 176139
Url: https://administrator.de/contentid/176139
Printed on: October 13, 2024 at 10:10 o'clock
3 Comments
Latest comment
moin,
gaaaaaanz ehrlich?
Man kann den retten, aber das kostet im Zweifel mehr Zeit
"Rumspielen" an den Rechten - bringt nix.
Das "einzige", was ich sonst noch sehen würde, wäre per ISCSI die externe Quelle intern zur Verfügung zu stellen.
Aber auch das ist...........
gruß
gaaaaaanz ehrlich?
- Schau dir die Gruppen an und schreib dir die auf.
- das gleiche mit von dir abgewählten Patchen.
- Überprüfe, wie die Clients in die jeweiligen Gruppen gekommen sind und merk dir das
- Hau den Wsus in die Tonne
- Mach den neu - und zwar so, dass der seine DB und seine Patche selber intern verwaltet
- Und zwar auf eine eigene separate Partition!
- Hänge einen frischen Client rein, der die Patche braucht, die deine anderen Clients auch minimal brauchen.
- Lass den übernacht die Patche ziehen
- Überprüfe die nicht abgesegneten Patche
- Sorg dafür, dass die neuen Clients automatisch da hinkommen, wo Sie hingehören
- bau dir ein Script/nehm ein Monitorsoftware, die dich warnt - wenn der Speicher voll läuft (2 GB frei minimum) -denn wenn die einmal vollgelaufen ist - kannst du den WSUS zu 85.9% wieder in die Tonne treten.
- Fettich
Man kann den retten, aber das kostet im Zweifel mehr Zeit
"Rumspielen" an den Rechten - bringt nix.
Das "einzige", was ich sonst noch sehen würde, wäre per ISCSI die externe Quelle intern zur Verfügung zu stellen.
Aber auch das ist...........
gruß
Noch eine Anregung zu dem Satz
NT AUTHORITY\NetworkService. Diesen jedoch kann ich keine Berechtigung auf den Daten-Server geben, da es sich ja um einen Lokalen Account handelt
http://msdn.microsoft.com/en-us/library/ff647402.aspx - lies mal die Summary. Geht schon.