Updatessuche mit WSUS-Client geht nach W10-Update 1809 nicht ohne INet

pedant
Goto Top
Hallo liebe Kollegen,

auf einigen Maschinen führte ich heute das W10-Herbstupdate (1809) aus.
Das funktioniert bisher soweit problemlos.

Einer der geupdateten Rechner hat keinen Internetzugang und soll auch keinen haben. (Default-Gateway-Eintrag leer gelassen)
Vor dem Update lud er es sich vom WSUS und installierte es.
Nach dem Update kommt beim erneuten Updatesuchen diese Meldung:

Error encountered
We couldn't check for updates, becaus you aren't connected to the internet. Make sure you have a cdata or Wi-Fi connection and try again.


Wenn ich ein Gateway eintrage, also Internetzugang herstelle, sucht er anstandslos auf meinem WSUS im Lan und meldet er sei aktuell.
Im WSUS sehe ich dann auch die entsprechenden Kontakt- und Reporteinträge.

Die Konfiguration auf WSUS ist clientseitig auf allen Rechnern per Reg-Datei eingerichtet.
Mit den daraus resultierenden Einstellungen funktioniert der WSUS-Zugriff meiner Clients schon sehr lange.
Die Regdatei erneut zu importieren und den Rechner neuzustarten änderte auch nichts.

Testweise habe ich beim fraglichen Client die Windowsfirewall ausgeschaltet, was aber keine erkennbare Änderung brachte.

Die anderen Rechner, die ohnehin Internetzugang haben, haben diesen Kummer nicht.

Hat jemand eine Idee dazu?

Gruß Frank

Content-Key: 388393

Url: https://administrator.de/contentid/388393

Ausgedruckt am: 10.08.2022 um 17:08 Uhr

Mitglied: nEmEsIs
nEmEsIs 03.10.2018 um 17:25:28 Uhr
Goto Top
Hi

Da du die WSUS Einstellungen ja per reg machst was hast du den dort als Alternativen DownloadServer festlegen hinterlegt ?

Per GPO sieht das so aus
0b3161f5-7a30-40ba-9961-49cb4624b636

Mit freundlichen Grüßen Nemesis
Mitglied: Looser27
Looser27 03.10.2018 um 19:31:50 Uhr
Goto Top
Du solltest in der GPO alle drei Einträge auf den WSUS zeigen lassen.
Mitglied: Pedant
Pedant 03.10.2018 um 19:36:52 Uhr
Goto Top
Hallo Nemesis,

danke für Deinen Beitrag.

Zitat von @nEmEsIs:
...was hast du denn dort als Alternativen DownloadServer festlegen hinterlegt?
bisher nichts

Die Reg-Entsprechung von Alternativen DownloadServer festlegen wäre laut Google das hier:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"UpdateServiceUrlAlternate"="http://AndererWSUS:8530"


Ich habe meine Regdatei jetzt um diesen Wert ergänzt und mangels alternativen WSUS, den normalen WSUS angegeben, allerdings statt des Hostnamens dessen IP verwendet, damit die beiden Einträge nicht identisch sind.

Beispiel:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://MeinWSUS:8530"
"WUStatusServer"="http://MeinWSUS:8530"
"UpdateServiceUrlAlternate"="http://10.20.30.40:8530"


Diesen Eintrag nutze ich ebenfalls:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001


Den fraglichen Rechner habe ich nach dem erneuten Reg-Import neugestartet.
Eine Besserung im Sinne meiner Ausgangsfrage hat die Änderung leider nicht erbracht.
Wieso er also seit dem Update, beim Updatesuchen darüber jammert, dass er keine Internetverbindung hat, die er für WSUS ohnehin nicht nutzen soll, bleibt mir unklar.

Gruß Frank
Mitglied: Pedant
Pedant 03.10.2018 aktualisiert um 19:49:20 Uhr
Goto Top
Hallo Looser27,

Zitat von @Looser27:
Du solltest in der GPO alle drei Einträge auf den WSUS zeigen lassen.

Testweise habe ich statt der IP auch beim dritten Eintrag (per Regdatei) den Hostnamen eingesetzt, also alle drei Einträge identisch gehalten und den Rechner neugestartet.
Leider keine Besserung.

Hat denn einer von Euch schon 1809 clientseitig in Einsatz und meinen erwähnten Kummer nicht?

Gruß Frank
Mitglied: Looser27
Looser27 03.10.2018 um 20:46:48 Uhr
Goto Top
Hat denn einer von Euch schon 1809 clientseitig in Einsatz

Natürlich nicht. Ist noch viel zu früh dafür. Das Upgrade ist auch erst seit 2 Tagen raus.

Damit warte ich noch min. bis Ende des Jahres
Mitglied: Spirit-of-Eli
Spirit-of-Eli 03.10.2018 um 22:35:41 Uhr
Goto Top
Moin,

ich stelle das morgen auf nem Testclient nach.
Allerdings dann über die GPO Konfig und nicht über die manuellen Reg-Einträge.

Ich werde berichten.

Gruß
Spirit
Mitglied: nEmEsIs
nEmEsIs 04.10.2018 um 07:05:24 Uhr
Goto Top
Hi

Schau mal auf meinem Bild zwei Punkte unten darunter das zu konfigurieren Bzgl Windows Updates aus dem Internet auf deaktiviert

Mit freundlichen Grüßen Nemesis
Mitglied: Pedant
Pedant 04.10.2018 um 10:43:43 Uhr
Goto Top
Hallo,

Zitat von @nEmEsIs:
Schau mal auf meinem Bild zwei Punkte unten darunter das zu konfigurieren Bzgl Windows Updates aus dem Internet auf deaktiviert

Keine Verbindungen mit Windows Update-Internetadressen herstellen entspricht dem Reg-Eintrag
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001

Diesen Eintrag nutze ich bereits.

Zitat von @Spirit-of-Eli:
ich stelle das morgen auf nem Testclient nach.
...
Ich werde berichten.
Danke, ich bin gespannt.

Gruß Frank
Mitglied: Spirit-of-Eli
Spirit-of-Eli 06.10.2018 aktualisiert um 11:02:26 Uhr
Goto Top
Das Update lief ohne Verbindung nach Extern durch.

Allerdings startet die VM seid dem Update nicht mehr. Also auch totaler Mukrs.
Mitglied: Pedant
Pedant 06.10.2018 um 11:43:36 Uhr
Goto Top
Hallo Spirit,

danke für's Ausprobieren und Berichten.

Zitat von @Spirit-of-Eli:
Das Update lief ohne Verbindung nach Extern durch.
Das war bei meinem fraglichen Rechner auch so, denn er hat keine Internetanbindung.

Mein "Kummer" ist, dass er nach dem Update ohne Internetanbindung keine Verbindung zum lokalen WSUS aufbauen kann, also weder Updates suchen noch Reports abgeben kann.
Beim Updatessuchen kommt seither die eingangs zitierte Fehlermeldung.

Ich habe testweise bei einem anderen Rechner (mit 1809) den Gatewayeintrag gelöscht und auch er kann dann keine Verbindung zum WSUS aufbauen bis ich das Gateway wieder eintrage.
Es scheint also ein generelles Problem zu sein.

Zitat von @Spirit-of-Eli:
Allerdings startet die VM seid dem Update nicht mehr. Also auch totaler Mukrs.
Ich gehe davon aus, dass die VM Dein Testclient ist.
Wenn die VM nicht mehr startet, kannst Du leider nicht nachprüfen, ob sie denselben "Kummer" hätte.
Das ist Schade, aber so ist es eben.

Es bleibt offen, ob es ein Bug in 1809 ist oder ob meine bisher gut funktionierende WSUS-Client-Konfiguration für 1809 ungenügend ist.

Gruß Frank
Mitglied: 137289
137289 06.10.2018 aktualisiert um 12:03:27 Uhr
Goto Top
Einer der geupdateten Rechner hat keinen Internetzugang und soll auch keinen haben. (Default-Gateway-Eintrag leer gelassen)
Deaktiviere stattdessen auf dem Router das Forwarding für den Client in andere Netze als dem lokalen. Damit klappt das hier problemlos.
Mitglied: Pedant
Pedant 06.10.2018 um 12:31:58 Uhr
Goto Top
Hallo speedlink,

Zitat von @137289:
Deaktiviere stattdessen auf dem Router das Forwarding für den Client in andere Netze als dem lokalen. Damit klappt das hier problemlos.
Was klappt damit problemlos?
Das Updateziehen vom lokalen WSUS auch mit 1809 als Client?

Wenn Du lediglich die Unterbindung des Internetzugangs meinst, dann danke für den Tipp.
Für mich ist es aber einfacher und zweckmäßiger den Gatewayeintrag leer zu lassen, statt den Router umzukonfigurieren.

Gruß Frank
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 06.10.2018 um 12:39:47 Uhr
Goto Top
Die VM startet nach einiger Zeit doch.
Report an den WSUS ist auch durch gelaufen.

Jetzt habe ich allerdings kein mit dem KMS Key aktiviertes System mehr.
Dies ist selbst mit Internet nicht zu aktivieren.

Kurz zum Aufbau. Ich habe das GW nicht raus genommen aber die Verbindung nach extern am Router gesperrt.
Mitglied: Pedant
Pedant 06.10.2018 um 12:59:22 Uhr
Goto Top
Hallo Spirit,

darf ich Dich um einen weiteren Test bitten?

1. Updates suchen lassen mit am Router gesperrter Verbindung nach extern.
(Erfolg oder Fehlermeldung)

2. Updates suchen lassen mit leerem Gateway-Eintrag
(Erfolg oder Fehlermeldung)

Es würde mich wirklich überraschen wenn das in Bezug auf die lokale Verbindung zum WSUS einen Unterschied macht.

Gruß Frank
Mitglied: 137289
Lösung 137289 06.10.2018 aktualisiert um 13:03:27 Uhr
Goto Top
Zitat von @Pedant:
Was klappt damit problemlos?
Das Updateziehen vom lokalen WSUS auch mit 1809 als Client?
Ja klar. Ohne GW Eintrag geht's hier auch nicht, jedoch mit GW aber am Router deaktiviertem Forwarding für den Kandidaten schon.
Mitglied: Pedant
Pedant 07.10.2018 um 11:17:08 Uhr
Goto Top
Hallo speedlink,

Zitat von @137289:
Ohne GW Eintrag geht's hier auch nicht, jedoch mit GW aber am Router deaktiviertem Forwarding für den Kandidaten schon.

Danke für die Info.
Sie irritiert mich allerdings sehr.

Statt am Router Änderungen vorzunehmen, habe ich soeben bei dem fraglichen WSUS-Client als Gateway die IP eines lokalen Servers eingetragen, der seinerseits auch keinen Internetzugang hat (kein Gatewayeintrag).
Das Updatesuchen funktioniert daraufhin einwandfrei.
Es spielt dabei auch keine Rolle, ob ich das Netzwerk des WSUS-Clients als Public oder Private deklariere.
(Die Windows-Firewall des WSUS-Clients ist aktiviert.)

Frage 1:
Was bitte ist der entscheidende Unterschied zwischen kein Internet wegen keinem Gateway und kein Internet wegen eines nutzlosen Gateways?

Frage 2:
Was spiel ein Gateway für ein Rolle bei einer Lan-Verbindung zum lokalen WSUS?

Mir kommt es so vor als sei der WSUS-Client einfach nur beleidigt, wenn er kein Gateway hat und verweigert schmollend seine Arbeit.

Ich markiere den Thread als gelöst, auch wenn ich nicht verstanden habe warum sich das Problem so lösen oder zumindest umgehen lässt.

Gruß Frank
Mitglied: 137289
137289 07.10.2018 aktualisiert um 12:41:08 Uhr
Goto Top
Zitat von @Pedant:
Statt am Router Änderungen vorzunehmen, habe ich soeben bei dem fraglichen WSUS-Client als Gateway die IP eines lokalen Servers eingetragen, der seinerseits auch keinen Internetzugang hat (kein Gatewayeintrag).
Das Updatesuchen funktioniert daraufhin einwandfrei.
Genau, ohne GW Eintrag spielt die NLA verrückt wie du gerade bemerkst.
https://www.msxfaq.de/netzwerk/grundlagen/network_location_awareness.htm
Es spielt dabei auch keine Rolle, ob ich das Netzwerk des WSUS-Clients als Public oder Private deklariere.
(Die Windows-Firewall des WSUS-Clients ist aktiviert.)
Die NLA braucht einen GW Eintrag, egal ob das ein Router oder Dummy Host ist.
Frage 1:
Was bitte ist der entscheidende Unterschied zwischen kein Internet wegen keinem Gateway und kein Internet wegen eines nutzlosen Gateways?
Die NLA.
Frage 2:
Was spiel ein Gateway für ein Rolle bei einer Lan-Verbindung zum lokalen WSUS?
Ohne MAC eines GWs hängt die NLA in der Luft und Windows stellt sich stumm. Da hängen außer des Netzwerkprofils und der Firewall auch noch andere Prozesse mit dran.

Find ich sowieso eine schlechte Lösung, denn ohne GW kann man auch kein lokales Routen zu anderen lokalen Subnetzen mehr machen ohne am Client statische Routen zu setzen.
Es gibt noch andere Probleme wenn am Client kein GW gesetzt ist, hab ich schon einige Software gesehen die dann nicht will.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 07.10.2018 um 12:53:17 Uhr
Goto Top
Zitat von @137289:

Find ich sowieso eine schlechte Lösung, denn ohne GW kann man auch kein lokales Routen zu anderen lokalen Subnetzen mehr machen ohne am Client statische Routen zu setzen.

Es ist durchaus üblich auch in isolierten netzen ohne Gateway zu arbeiten. Es ist eher ein unding, zwingend ein gatewy vorauszusetzen, selbst wenn es ein dummy-gateway sein sollte.

Es gibt noch andere Probleme wenn am Client kein GW gesetzt ist, hab ich schon einige Software gesehen die dann nicht will.

Schlampige fehelerhafte Programmierer! Das muß man denen um die nase hauen!

lks
Mitglied: Pedant
Pedant 07.10.2018 um 12:59:44 Uhr
Goto Top
Hallo speedlink,

danke für Deine Erläuterungen.
NLA = Network Location Awareness Service Provider

Zitat von @137289:
...ohne GW Eintrag spielt die NLA verrückt wie du gerade bemerkst.
Bis Version 1803 war das zumindest in Bezug auf WSUS-Client nicht so oder es blieb unbemerkt und ohne diesbezüglichen Funktionseinfluss.

Nunja, egal, ich habe jetzt eine Lösung und eine Erklärung, wobei die Erklärung eher nach einem hausgemachten Windowsproblem klingt, als nach einer generellen TCP/IP-Funktionsweise.

Gruß und Dank
Frank
Mitglied: 137289
137289 07.10.2018 aktualisiert um 13:04:58 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Schlampige fehelerhafte Programmierer! Das muß man denen um die nase hauen!
Dann musst du MS die Nase amputieren face-smile, bei denen fehlen sowieso schon etliche Körperteile.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.10.2018 um 15:40:02 Uhr
Goto Top
NLA lässt sich auch umbiegen und auch der Download der Text Datei ändern.
Mitglied: 137289
137289 07.10.2018 um 16:31:49 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

NLA lässt sich auch umbiegen und auch der Download der Text Datei ändern.
Sicher, aber das ist nur ein kleiner Teil der NLA nämlich die des Network Status Indicator, NLA besteht aber aus mehr als das.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 07.10.2018 um 17:05:30 Uhr
Goto Top
Zitat von @137289:

Zitat von @Spirit-of-Eli:

NLA lässt sich auch umbiegen und auch der Download der Text Datei ändern.
Sicher, aber das ist nur ein kleiner Teil der NLA nämlich die des Network Status Indicator, NLA besteht aber aus mehr als das.

So ein Akt ist das jetzt auch nicht und das umzubiegen funktioniert.
Gerade bei den Anwendungen die rumzicken.