fxsession
Goto Top

Warum gibt es keine Clients bei WSUS (Windows Server Update Service)? (gelöst)

Hallo Administratoren,

nach Installation von WSUS bleibt die Liste der Computer leer obwohl der WSUS-Rechner in der GPO eingetragen wurde.


Sämtliche Lösungsvorschläge wie z.B. Port ändern etc. brachten keine Änderung.


ClientDiag bringt folgende Meldung auf dem Client:

Checking Connection to WSUS/SUS Server
AU does not habe Policy Set
AU does not habe Policy Set
UseWuServer is diabled . . . . . . . . . . . . . . . . FAIL

08751e662d1e5d1813029994e4afa9bb

Content-ID: 186992

Url: https://administrator.de/forum/warum-gibt-es-keine-clients-bei-wsus-windows-server-update-service-geloest-186992.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

maretz
maretz 25.06.2012 um 12:21:49 Uhr
Goto Top
ich würde mal sagen - deine GPO zieht nicht... Denn wenn die Clients den Wsus ansprechen tauchen die auch in der Liste (unassigned computers iirc) auf.
fxsession
fxsession 25.06.2012 aktualisiert um 13:36:26 Uhr
Goto Top
Seltsam, wieso wird die GPO nicht gezogen?

Habe sie an sämtlichen Orten erstellt (müssen also gezogen werden) und die Updateeinstellungen so eingetragen, wie in allen Anleitungen steht.

Trotzdem gibt es leider keine Veränderung obwohl mit "gpupdate" die GPOs immer aktualisiert wurden.


ClientDiag meldet unverändert:

Checking Connection to WSUS/SUS Server
AU does not habe Policy Set
AU does not habe Policy Set
UseWuServer is diabled . . . . . . . . . . . . . . . . FAIL
DerWoWusste
DerWoWusste 25.06.2012 um 13:36:06 Uhr
Goto Top
Moin.
ClientDiag brauchst Du nicht. Wenn Du am Client gpresult ausführst, siehst Du, ob die GPO angewendet wurde. Wenn ja, führst Du als nächste rsop.msc aus und schaust, ob die Einstellungen auch umgesetzt wurden. Wurden diese umgesetzt, dann schau, ob er Updates suchen kann. Findet und installiert er welche, wird er auch kurz nach einem Neustart am WSUS zu sehen sein.
fxsession
fxsession 25.06.2012 aktualisiert um 14:46:33 Uhr
Goto Top
danke für die Infos. Habe es nochmal überprüft:

Mit "gpresult" sieht man dass die GPO angewendet wird, bei "rsop.msc" fehlen jedoch die neu gesetzten Einstellungen. Was nun?
DerWoWusste
DerWoWusste 25.06.2012 um 14:57:50 Uhr
Goto Top
In rsop sollte stehen, warum nicht angewendet (zum Beispiel wegen enforce einer anderen). Wurde die GPO wirklich auf das Computerobjekt angewendet - steht also bei gpresult, dass die Übernahme im Computerbereich stattfand?
fxsession
fxsession 29.06.2012 um 13:44:17 Uhr
Goto Top
ok, die Einstellungen in rsop.msc stimmen und wurden übernommen.

Aber wie lassen sie nun die Clients auch anzeigen?


Was ist mit "Computerbereich" bei gpresult gemeint?
DerWoWusste
DerWoWusste 29.06.2012 um 13:58:20 Uhr
Goto Top
Bei gpresult werden GPOs für den Rechner und GPOs für den Computer unterschieden.
Aber wie lassen sie nun die Clients auch anzeigen?
Du kannst am Client ein Reporting forcieren: wuauclt /reportnow
fxsession
fxsession 29.06.2012 um 14:58:05 Uhr
Goto Top
ok, I see.

hier gibt gpresult nur die "BENUTZEREINSTELLUNGEN" aus, es scheint also doch ein Problem mit der GPO zu sein.

Verstehe allerdings nicht warum die Computer-GPO ignoriert wird.


Der Eventlog zeigt auch nichts an außer die ID 13051: Kein Clientcomputer hat jemals eine Verbindung mit dem Server hergestellt.
DerWoWusste
DerWoWusste 29.06.2012 aktualisiert um 15:12:58 Uhr
Goto Top
gpresult lässt nicht-Admins (und ebensowenig Admins, die nicht-elevated sind) nur die Benutzereinstellungen sehen. Im Gegensatz zu rsop.msc fordert gpresult nicht automatisch UAC elevation an. Somit muss auf Vista/Win7 die Shell, aus der Du gpresult startest, schon mittels Rechtsklick ->"ausführen als Administrator" gestartet werden, damit auch die Computereinstellungen gezeigt werden.
Rsop hat angezeigt, dass übernommen wurde, somit ist es kein GPO-Problem.

Schau nach einem wuauclt /detectnow /reportnow doch mal einfach in das lokale windowsupdate.log am Client, das sollte weiterhelfen.
fxsession
fxsession 29.06.2012 aktualisiert um 16:13:24 Uhr
Goto Top
Danke, das ist auf jeden Fall eine wichtige Info.

Daraus wird ersichtlich dass die Computer-GPO nicht übernommen wird.

Und es ist völlig egal welche Einstellungen am DC in der Gruppenrichtlinienverwaltung getroffen werden, keine Änderung. Das ist mir völlig unverständlich und das testen ist sehr zeitaufwendig da jedes mal neu in der Domäne aufs neue angemeldet werden muss..


Sogar wenn die WSUS-GPO an Nr.1 steht wird sie ignoriert,

siehe
91e70f4c32b2cf315d3a76be0b364004
DerWoWusste
DerWoWusste 29.06.2012 um 15:52:36 Uhr
Goto Top
Du beschreibst fü meinen Geschmack konfus: was genau haben rsop und gpresult angezeigt, dass Du nun als Ergebnis angibts "Daraus wird ersichtlich dass die Computer-GPO nicht übernommen wird"?
Ich frage, weil rsop doch gar keinen Benutzerteil mit Windows Update Optionen anzeigen kann, in welchem der WSUS-Server genannt würde - diese Option ist in den Userpolicies nicht enthalten, nur in den Computerpolicies.

Klär das mal auf. Und Screenshots? Wo denn?
fxsession
fxsession 29.06.2012 aktualisiert um 16:13:03 Uhr
Goto Top
sorry keine Absicht etwas nicht deutlich zu formulieren.


gpresult zeigt als übernommene GPO:

COMPUTEREINSTELLUNGEN - Angewendete GPOs:
Default Domain Policy
Richtlinie der lokalen Gruppe

BENUTZEREINSTELLUNGEN
Default Domain Policy

an. Wird die GPS namens "WSUS-GPO" zur Domain hinzufügt kommt bei der Domainanmeldung:

Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto..

EVENT ID 5723
Die Sitzung konnte vom Computer "PC-01" nicht eingerichtet werden, da die Sicherheitsdatenbank kein Vertrauenskonto "PC-01$" entsprechend dem angegebenen Computer enthält.

USER ACTION
Wenn dieses Ereignis das erste Mal für den angegebenen Computer vorkommt, ist das eventuell ein vorübergehendes Problem, auf das zurzeit nicht geachtet werden muss. Wenn dies ein schreibgeschützter Domänencontroller ist und "PC-01$" das legitime Computerkonto für den Computer "PC-01" ist, dann sollte "PC-01" für diesen Standort für die Zwischenspeicherung gewählt werden, falls erforderlich, oder gewährleisten Sie die Konnektivität mit einem Domänencontroller, der die Anforderung bearbeiten kann (z.B. ein beschreibbarer Domänencontroller). Andernfalls kann dieses Problem anhand der folgenden Schritte gelöst werden:
)


Erst nach deaktivieren der Richtlinie ist überhaupt der Login wieder möglich.


rsop.msc zeigt unter Computerkonfiguration->Administrative Vorlagen->Windows-Komponenten->Windows Update die aktivierten Stati an.
DerWoWusste
DerWoWusste 29.06.2012 aktualisiert um 16:11:30 Uhr
Goto Top
Wg. Screenshots: keine da. Welcher "erste Beitrag"? Dieser komplette Thread enthält bislang keine.
Mach bitte mal ganz versöhnlich folgendes: Stell am Client über seinen lokalen Gruppenrichtlinieneditor gpedit.msc den WSUS als Updateverteiler ein. Dann starte den Updatedienst am Client neu (meinetwegen auch den ganzen Client) und schau im Clientlog (windowsupdate.log im Systemverzeichnis) nach der Zeile http://DeinWSUSServer und dann gib mal die Ergebnisse wieder.
fxsession
fxsession 29.06.2012, aktualisiert am 02.07.2012 um 09:33:23 Uhr
Goto Top
Ohje was für ein Log.. das File hat 5721 Zeilen !! Viele Warnungen und Fehler, z.B.:

Agent WARNING: Failed to get deployment data from data store, error 80248007
WARNING: SelfUpdate check failed to download package information, error = 0x80072EFD
FATAL: SelfUpdate check failed, err = 0x80072EFD

Sowas löst ein Experte wahrscheinlich in 5min, aber ich komme hier nicht mehr weiter.
DerWoWusste
DerWoWusste 29.06.2012 um 16:42:31 Uhr
Goto Top
Tut mir Leid, aber so langsam verliere ich die Lust auf dieses Problem. Sowas löst (bzw. beurteilt) man in 5 Minuten, wenn man alle Details gleich hätte. Also: was hast Du erreicht?
fxsession
fxsession 03.07.2012 um 12:42:21 Uhr
Goto Top
Ok es hat geklappt. Habe die neue GPO direkt in die OU getan, was den Nachteil hat dass auch Administratoren die WSUS-GPO anwenden (obwohl beim Administrator das Recht "Gruppenrichtlinie übernehmen" auf verweigert gestellt ist).

Nun werden auch die Clients auch in WSUS angezeigt, aber mit merkwürdigen Stati:

Updates mit Fehlern: 0
Updates erforderlich: 0
Updates installiert/nicht zutreffend: 0
Updates ohne Status: 5617


LG
fx
DerWoWusste
DerWoWusste 03.07.2012 um 13:13:39 Uhr
Goto Top
Zu Deinen Stati kann ich nichts sagen, da Du nicht beschreibst, ob für eben diese Computer schon Updates freigegeben sind, eine Detection stattfand, eine Installation UND anschließendes Reporting stattfand.

Zu Deinem Verständnisproblem mit den GPOs: das ist eine Computerrichtlinie, die gilt nicht für Nutzer. Es ist somit egal, ob Du Admins die Übernahme verweigerst.
fxsession
fxsession 03.07.2012 um 13:20:38 Uhr
Goto Top
Alles klar, dank dir für die Infos!

LG
fx