18
Warum gibt es keine Clients bei WSUS (Windows Server Update Service)? (gelöst)
Hallo Administratoren,
nach Installation von WSUS bleibt die Liste der Computer leer obwohl der WSUS-Rechner in der GPO eingetragen wurde.
Sämtliche Lösungsvorschläge wie z.B. Port ändern etc. brachten keine Änderung.
ClientDiag bringt folgende Meldung auf dem Client:
Checking Connection to WSUS/SUS Server
AU does not habe Policy Set
AU does not habe Policy Set
UseWuServer is diabled . . . . . . . . . . . . . . . . FAIL
nach Installation von WSUS bleibt die Liste der Computer leer obwohl der WSUS-Rechner in der GPO eingetragen wurde.
Sämtliche Lösungsvorschläge wie z.B. Port ändern etc. brachten keine Änderung.
ClientDiag bringt folgende Meldung auf dem Client:
Checking Connection to WSUS/SUS Server
AU does not habe Policy Set
AU does not habe Policy Set
UseWuServer is diabled . . . . . . . . . . . . . . . . FAIL
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186992
Url: https://administrator.de/contentid/186992
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
18 Kommentare
Neuester Kommentar
ich würde mal sagen - deine GPO zieht nicht... Denn wenn die Clients den Wsus ansprechen tauchen die auch in der Liste (unassigned computers iirc) auf.
Seltsam, wieso wird die GPO nicht gezogen?
Habe sie an sämtlichen Orten erstellt (müssen also gezogen werden) und die Updateeinstellungen so eingetragen, wie in allen Anleitungen steht.
Trotzdem gibt es leider keine Veränderung obwohl mit "gpupdate" die GPOs immer aktualisiert wurden.
ClientDiag meldet unverändert:
Checking Connection to WSUS/SUS Server
AU does not habe Policy Set
AU does not habe Policy Set
UseWuServer is diabled . . . . . . . . . . . . . . . . FAIL
Habe sie an sämtlichen Orten erstellt (müssen also gezogen werden) und die Updateeinstellungen so eingetragen, wie in allen Anleitungen steht.
Trotzdem gibt es leider keine Veränderung obwohl mit "gpupdate" die GPOs immer aktualisiert wurden.
ClientDiag meldet unverändert:
Checking Connection to WSUS/SUS Server
AU does not habe Policy Set
AU does not habe Policy Set
UseWuServer is diabled . . . . . . . . . . . . . . . . FAIL
Moin.
ClientDiag brauchst Du nicht. Wenn Du am Client gpresult ausführst, siehst Du, ob die GPO angewendet wurde. Wenn ja, führst Du als nächste rsop.msc aus und schaust, ob die Einstellungen auch umgesetzt wurden. Wurden diese umgesetzt, dann schau, ob er Updates suchen kann. Findet und installiert er welche, wird er auch kurz nach einem Neustart am WSUS zu sehen sein.
ClientDiag brauchst Du nicht. Wenn Du am Client gpresult ausführst, siehst Du, ob die GPO angewendet wurde. Wenn ja, führst Du als nächste rsop.msc aus und schaust, ob die Einstellungen auch umgesetzt wurden. Wurden diese umgesetzt, dann schau, ob er Updates suchen kann. Findet und installiert er welche, wird er auch kurz nach einem Neustart am WSUS zu sehen sein.
danke für die Infos. Habe es nochmal überprüft:
Mit "gpresult" sieht man dass die GPO angewendet wird, bei "rsop.msc" fehlen jedoch die neu gesetzten Einstellungen. Was nun?
Mit "gpresult" sieht man dass die GPO angewendet wird, bei "rsop.msc" fehlen jedoch die neu gesetzten Einstellungen. Was nun?
In rsop sollte stehen, warum nicht angewendet (zum Beispiel wegen enforce einer anderen). Wurde die GPO wirklich auf das Computerobjekt angewendet - steht also bei gpresult, dass die Übernahme im Computerbereich stattfand?
ok, die Einstellungen in rsop.msc stimmen und wurden übernommen.
Aber wie lassen sie nun die Clients auch anzeigen?
Was ist mit "Computerbereich" bei gpresult gemeint?
Aber wie lassen sie nun die Clients auch anzeigen?
Was ist mit "Computerbereich" bei gpresult gemeint?
Bei gpresult werden GPOs für den Rechner und GPOs für den Computer unterschieden.
Aber wie lassen sie nun die Clients auch anzeigen?
Du kannst am Client ein Reporting forcieren: wuauclt /reportnow
ok, I see.
hier gibt gpresult nur die "BENUTZEREINSTELLUNGEN" aus, es scheint also doch ein Problem mit der GPO zu sein.
Verstehe allerdings nicht warum die Computer-GPO ignoriert wird.
Der Eventlog zeigt auch nichts an außer die ID 13051: Kein Clientcomputer hat jemals eine Verbindung mit dem Server hergestellt.
hier gibt gpresult nur die "BENUTZEREINSTELLUNGEN" aus, es scheint also doch ein Problem mit der GPO zu sein.
Verstehe allerdings nicht warum die Computer-GPO ignoriert wird.
Der Eventlog zeigt auch nichts an außer die ID 13051: Kein Clientcomputer hat jemals eine Verbindung mit dem Server hergestellt.
gpresult lässt nicht-Admins (und ebensowenig Admins, die nicht-elevated sind) nur die Benutzereinstellungen sehen. Im Gegensatz zu rsop.msc fordert gpresult nicht automatisch UAC elevation an. Somit muss auf Vista/Win7 die Shell, aus der Du gpresult startest, schon mittels Rechtsklick ->"ausführen als Administrator" gestartet werden, damit auch die Computereinstellungen gezeigt werden.
Rsop hat angezeigt, dass übernommen wurde, somit ist es kein GPO-Problem.
Schau nach einem wuauclt /detectnow /reportnow doch mal einfach in das lokale windowsupdate.log am Client, das sollte weiterhelfen.
Rsop hat angezeigt, dass übernommen wurde, somit ist es kein GPO-Problem.
Schau nach einem wuauclt /detectnow /reportnow doch mal einfach in das lokale windowsupdate.log am Client, das sollte weiterhelfen.
Danke, das ist auf jeden Fall eine wichtige Info.
Daraus wird ersichtlich dass die Computer-GPO nicht übernommen wird.
Und es ist völlig egal welche Einstellungen am DC in der Gruppenrichtlinienverwaltung getroffen werden, keine Änderung. Das ist mir völlig unverständlich und das testen ist sehr zeitaufwendig da jedes mal neu in der Domäne aufs neue angemeldet werden muss..
Sogar wenn die WSUS-GPO an Nr.1 steht wird sie ignoriert,
siehe
Daraus wird ersichtlich dass die Computer-GPO nicht übernommen wird.
Und es ist völlig egal welche Einstellungen am DC in der Gruppenrichtlinienverwaltung getroffen werden, keine Änderung. Das ist mir völlig unverständlich und das testen ist sehr zeitaufwendig da jedes mal neu in der Domäne aufs neue angemeldet werden muss..
Sogar wenn die WSUS-GPO an Nr.1 steht wird sie ignoriert,
siehe
Du beschreibst fü meinen Geschmack konfus: was genau haben rsop und gpresult angezeigt, dass Du nun als Ergebnis angibts "Daraus wird ersichtlich dass die Computer-GPO nicht übernommen wird"?
Ich frage, weil rsop doch gar keinen Benutzerteil mit Windows Update Optionen anzeigen kann, in welchem der WSUS-Server genannt würde - diese Option ist in den Userpolicies nicht enthalten, nur in den Computerpolicies.
Klär das mal auf. Und Screenshots? Wo denn?
Ich frage, weil rsop doch gar keinen Benutzerteil mit Windows Update Optionen anzeigen kann, in welchem der WSUS-Server genannt würde - diese Option ist in den Userpolicies nicht enthalten, nur in den Computerpolicies.
Klär das mal auf. Und Screenshots? Wo denn?
sorry keine Absicht etwas nicht deutlich zu formulieren.
gpresult zeigt als übernommene GPO:
COMPUTEREINSTELLUNGEN - Angewendete GPOs:
Default Domain Policy
Richtlinie der lokalen Gruppe
BENUTZEREINSTELLUNGEN
Default Domain Policy
an. Wird die GPS namens "WSUS-GPO" zur Domain hinzufügt kommt bei der Domainanmeldung:
Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto..
EVENT ID 5723
Die Sitzung konnte vom Computer "PC-01" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "PC-01$" entsprechend dem angegebenen Computer enthält.
USER ACTION
Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zurzeit nicht geachtet werden muss. Wenn dies ein schreibgeschützter Domänencontroller ist und "PC-01$" das legitime Computerkonto für den Computer "PC-01" ist, dann sollte "PC-01" für diesen Standort für die Zwischenspeicherung gewählt werden, falls erforderlich, oder gewährleisten Sie die Konnektivität mit einem Domänencontroller, der die Anforderung bearbeiten kann (z.B. ein beschreibbarer Domänencontroller). Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden:
)
Erst nach deaktivieren der Richtlinie ist überhaupt der Login wieder möglich.
rsop.msc zeigt unter Computerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Windows Update die aktivierten Stati an.
gpresult zeigt als übernommene GPO:
COMPUTEREINSTELLUNGEN - Angewendete GPOs:
Default Domain Policy
Richtlinie der lokalen Gruppe
BENUTZEREINSTELLUNGEN
Default Domain Policy
an. Wird die GPS namens "WSUS-GPO" zur Domain hinzufügt kommt bei der Domainanmeldung:
Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto..
EVENT ID 5723
Die Sitzung konnte vom Computer "PC-01" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "PC-01$" entsprechend dem angegebenen Computer enthält.
USER ACTION
Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zurzeit nicht geachtet werden muss. Wenn dies ein schreibgeschützter Domänencontroller ist und "PC-01$" das legitime Computerkonto für den Computer "PC-01" ist, dann sollte "PC-01" für diesen Standort für die Zwischenspeicherung gewählt werden, falls erforderlich, oder gewährleisten Sie die Konnektivität mit einem Domänencontroller, der die Anforderung bearbeiten kann (z.B. ein beschreibbarer Domänencontroller). Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden:
)
Erst nach deaktivieren der Richtlinie ist überhaupt der Login wieder möglich.
rsop.msc zeigt unter Computerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Windows Update die aktivierten Stati an.
Wg. Screenshots: keine da. Welcher "erste Beitrag"? Dieser komplette Thread enthält bislang keine.
Mach bitte mal ganz versöhnlich folgendes: Stell am Client über seinen lokalen Gruppenrichtlinieneditor gpedit.msc den WSUS als Updateverteiler ein. Dann starte den Updatedienst am Client neu (meinetwegen auch den ganzen Client) und schau im Clientlog (windowsupdate.log im Systemverzeichnis) nach der Zeile http://DeinWSUSServer und dann gib mal die Ergebnisse wieder.
Mach bitte mal ganz versöhnlich folgendes: Stell am Client über seinen lokalen Gruppenrichtlinieneditor gpedit.msc den WSUS als Updateverteiler ein. Dann starte den Updatedienst am Client neu (meinetwegen auch den ganzen Client) und schau im Clientlog (windowsupdate.log im Systemverzeichnis) nach der Zeile http://DeinWSUSServer und dann gib mal die Ergebnisse wieder.
Ohje was für ein Log.. das File hat 5721 Zeilen !! Viele Warnungen und Fehler, z.B.:
Agent WARNING: Failed to get deployment data from data store, error 80248007
WARNING: SelfUpdate check failed to download package information, error = 0x80072EFD
FATAL: SelfUpdate check failed, err = 0x80072EFD
Sowas löst ein Experte wahrscheinlich in 5min, aber ich komme hier nicht mehr weiter.
Agent WARNING: Failed to get deployment data from data store, error 80248007
WARNING: SelfUpdate check failed to download package information, error = 0x80072EFD
FATAL: SelfUpdate check failed, err = 0x80072EFD
Sowas löst ein Experte wahrscheinlich in 5min, aber ich komme hier nicht mehr weiter.
Tut mir Leid, aber so langsam verliere ich die Lust auf dieses Problem. Sowas löst (bzw. beurteilt) man in 5 Minuten, wenn man alle Details gleich hätte. Also: was hast Du erreicht?
Ok es hat geklappt. Habe die neue GPO direkt in die OU getan, was den Nachteil hat dass auch Administratoren die WSUS-GPO anwenden (obwohl beim Administrator das Recht "Gruppenrichtlinie übernehmen" auf verweigert gestellt ist).
Nun werden auch die Clients auch in WSUS angezeigt, aber mit merkwürdigen Stati:
Updates mit Fehlern: 0
Updates erforderlich: 0
Updates installiert/nicht zutreffend: 0
Updates ohne Status: 5617
LG
fx
Nun werden auch die Clients auch in WSUS angezeigt, aber mit merkwürdigen Stati:
Updates mit Fehlern: 0
Updates erforderlich: 0
Updates installiert/nicht zutreffend: 0
Updates ohne Status: 5617
LG
fx
Zu Deinen Stati kann ich nichts sagen, da Du nicht beschreibst, ob für eben diese Computer schon Updates freigegeben sind, eine Detection stattfand, eine Installation UND anschließendes Reporting stattfand.
Zu Deinem Verständnisproblem mit den GPOs: das ist eine Computerrichtlinie, die gilt nicht für Nutzer. Es ist somit egal, ob Du Admins die Übernahme verweigerst.
Zu Deinem Verständnisproblem mit den GPOs: das ist eine Computerrichtlinie, die gilt nicht für Nutzer. Es ist somit egal, ob Du Admins die Übernahme verweigerst.
Alles klar, dank dir für die Infos!
LG
fx
LG
fx
