tuxhunt3r
Goto Top

WSUS 3.0 - Mehr als 6000 Updates müssen genehmigt werden

Hallo ans Forum

Ich habe auf meinem Privatserver (2k3 Enterprise mit SP2) WSUS 3.0 installiert.
Leider habe ich die Synchronisierung gestartet, bevor ich per GPO die Clients konfiguriert habe.

Offenbar hat es für meine ausgewählten Produkte alle Updates heruntergeladen, die jemals erschienen sind, als da wären vorallem Windows XP, 2003 Server, Vista und Office 2003 und Office 2007. Nun warten ungefähr 6200 Updates darauf, von mir genehmigt zu werden. Die Clients sind im Moment aber alle aktuell (ausser den Vista-Kisten, die haben das aktuelle Bitdefender-Update noch nicht drauf), sie wurden von mir vorher immer per Hand aktualisiert.

Ich habe aber weder Lust noch Zeit, mich durch alle 6200 Updates zu wühlen, um zu entscheiden, welche genehmigt werden müssen. Kann WSUS nicht automatisch auslesen, welche Updates auf den per GPO konfigurierten Clients drauf sind und welche nicht? Was soll ich tun?

Oder anders gefragt: Wenn ich jetzt alle >6000 Updates löschen würde, würden dann bei einer erneuten Synchronisation nur die Updates von M$ gezogen, die noch nicht auf den konfigurierten Clients installiert habe?

Herzlichen Dank im Voraus.

Edit:

Die GPOs auf den Clients sind aktuell, habe auf allen Clients gpupdate /force durchgeführt

Content-Key: 77365

Url: https://administrator.de/contentid/77365

Printed on: June 21, 2024 at 21:06 o'clock

Member: geTuemII
geTuemII Jan 06, 2008 at 19:11:27 (UTC)
Goto Top
Hallo Hunt3r,

du hattest noch keinen WSUS, oder? Das Prinzip funktioniert so: in die DB des WSUS werden alle verfügbaren Update-Infos geladen. Das passiert bei der Syncronisation. Die eigentlichen Updaes werden aber erst geladen, sobald sie benötigt werden. Warte also, bis alle Clients am Server angemeldet sind und sieh dann, welche Updates wirklich benötigt werden. Die kannst du dann genehmigen. Im Punkt Optionen --> Assistent zur Serverbereinigung kannst du später nicht mehr benötigte Updatedateien löschen.

geTuemII
Member: TuXHunt3R
TuXHunt3R Jan 06, 2008 at 21:41:37 (UTC)
Goto Top
du hattest noch keinen WSUS, oder?

Nein, hatte ich tatsächlich nicht. Hat mans gemerkt? face-smile

OK, werds testen. Gebe morgen oder übermorgen Feedback.


Edit:
Warte also, bis alle Clients am Server angemeldet sind
Sollten eigentlich sein, habe die GPOs gesetzt und auf allen Kisten die Gruppenrichtlinien aktualisiert.

Wie gesagt, werds morgen anschauen.
Member: TuXHunt3R
TuXHunt3R Jan 07, 2008 at 21:12:11 (UTC)
Goto Top
So, habe im Moment das Problem, dass bei "Computer" schlicht und ergreifend keine Computer angezeigt werden. Nicht mal in den "Nicht zugewiesenen Computern" befinden sich irgendwelche Computer (habe bei allen Ansichten den Filter auf "Alle" gestellt und die Ansicht aktualisiert). Nicht ein Computer befindet sich in einer der von mir erstellten Computergruppen. Habe auf allen Clients nochmals GPUPDATE /FORCE durchgeführt --> Keine Änderung.

Die Clients wurden im AD nach OS in Gruppen unterteilt und per GPO die Konfiguration vorgenommen (siehe WSUS-Helpfileeintrag "Einrichten von Clientcomputern").

Die Clientseitige Zuordnung über Gruppenrichtlinien wurde ebenfalls aktiviert (siehe WSUSHelpfileeintrag "Aktivieren der Clientseitigen Zuordnung über Gruppenrichtlinien").

Computergruppen wurden mit dem jeweils gleichen Gruppennamen wie der jeweilige Container im AD erstellt (siehe WSUS Helpfileeintrag "Erstellen einer Computergruppe")

Als Methode zum Zuweisen von Computern zu Computergruppen wurde "Gruppenrichtlinie oder Registrierungseinstellungen auf Computern verwenden" ausgewählt (siehe WSUS Helpfileeintrag "Angeben der Methode zum Zuweisen von Computern zu Computergruppen")

Trotzdem ist kein einziger Computer in der WSUS Konsole sichtbar. Ich werd langsam wahnsinnig! Was soll ich tun?

PS: Der WSUS wurde auf dem Primären Domänencontroller installiert. Hat das einen Einfluss?

Edit:

HIIIIIIIIIIIIILLLFFFFEEEEEEEEEEEEEEE!
Member: geTuemII
geTuemII Jan 07, 2008 at 22:02:45 (UTC)
Goto Top
Also mal langsam:

1. Computergruppen im WSUS angelegt
2. WSUS auf "Gruppen aus Gruppenrichtlinie übernehmen" eingestellt
3. in der GPO Cleintseitige Zuordnung" aktiviert und den jeweiligen (im WSUS eingetragenen) Gruppennamen angegeben
4. gpupdate /force am Client
5. wuauclt.exe /resetauthorization /detectnow am Client (startet die Meldung am WSUS händisch und setzt die Gruppeneinstellungen bzw. die Authorisierung des Clients auf dem WSUS zurück)

Falls das alles nichts bringt: überprüfen, ob die GPO am Client überhaupt greift.

geTuemII
Member: TuXHunt3R
TuXHunt3R Jan 07, 2008 at 22:43:18 (UTC)
Goto Top
OK, erstmal herzlichen Dank für alles.


1. Computergruppen im WSUS angelegt
Gemacht, aber noch keine Computer drin, da ja keine angezeigt werden.

WSUS auf "Gruppen aus Gruppenrichtlinie übernehmen" eingestellt
Unter Optionen -> Computer den Radio Button bei "Gruppenrichtlinien oder Registrierungseinstellungen auf Computern verwenden" gesetzt

in der GPO Cleintseitige Zuordnung" aktiviert und den jeweiligen (im WSUS eingetragenen) Gruppennamen angegeben

OK, war nur auf dem WSUS-Server drin. Per GPO korrigiert

gpupdate /force am Client

An jedem Client ausgeführt

wuauclt.exe /resetauthorization /detectnow

Auf jedem Client durchgeführt


Falls das alles nichts bringt: überprüfen, ob die GPO am Client überhaupt greift.

OK, GPO greift offensichtlich nicht. Hast du eine Idee, an was das liegen könnte? Sie wird einfach nicht aktualisiert. Klar, notfalls könnte ich das Ganze ohne GPO machen (sind ja nur 4 Clients), aber das kann ja nicht die Lösung für ein Geschäftsumfeld sein (ausserdem will ich was lernen).
Member: geTuemII
geTuemII Jan 07, 2008 at 23:40:36 (UTC)
Goto Top
Hallo Hunt3r,

OK, GPO greift offensichtlich nicht.
ist das eine Vermutung oder hast du es überprüft?

Hast du eine Idee, an was das liegen könnte?
Teste mal, was am Client ankommt: Start --> Ausführen --> mmc --> Datei --> Snap-In hinzufügen --> Hinzufügen --> Richtlinienergebnissatz --> Hinzufügen --> Schließen --> OK --> Rechte Maus --> Ergebnissatz generieren

In der Struktur siehst du nun, aus welcher Richtlinie die aktuell gültige Einstellung kommt.

geTuemII
Member: TuXHunt3R
TuXHunt3R Jan 08, 2008 at 08:53:32 (UTC)
Goto Top
OK, GPO greift offensichtlich nicht.
ist das eine Vermutung oder hast du es überprüft?
Habe auf zwei Clients gpedit.msc geöffnet und unter Administrative Vorlagen -> Windows Komponenten -> Windows Update nachgeschaut, wie die Konfiguration aussieht. Dort war überall noch "Nicht konfiguriert" drin.

Teste mal, was am Client ankommt: Start --> Ausführen --> mmc --> Datei --> Snap-In hinzufügen --> Hinzufügen --> Richtlinienergebnissatz --> Hinzufügen --> Schließen --> OK --> Rechte Maus --> Ergebnissatz generieren
Werd ich über die Mittagspause testen. Gebe dir dann Feedback
Member: TuXHunt3R
TuXHunt3R Jan 09, 2008 at 19:54:55 (UTC)
Goto Top
Teste mal, was am Client ankommt: Start --> Ausführen --> mmc --> Datei --> Snap-In hinzufügen --> Hinzufügen --> Richtlinienergebnissatz --> Hinzufügen --> Schließen --> OK --> Rechte Maus --> Ergebnissatz generieren

OK, habe bei meinem 2. Windows 2003 Server (nicht WSUS, sollte aber auch per WSUS aktualisiert werden, also auch ein WSUS-Client) und beim Vista-Client je einen Ergebnissatz generiert. Bei beiden sind folgende Gruppenrichtlinien drin, bei beiden steht als GPO Name der Name der auf dem DC definierten GPO-Namen drin, es kommt also vom DC:

- Automatische Updates konfigurieren
- Clientseitige Zielzuordnung aktivieren
- Internen Pfad für den Microsoft Update Dienst angeben

Hier noch den WSUS Summary von letzter Nacht, den mir die Email-Benachrichtigung von WSUS geschickt hat:
Status as of Wednesday, January 09, 2008 4:01 AM (GMT)
This e-mail message summarizes the status of the Update Services Server named SERVER02.

Computer Status
Computer Group	Computers Needing Updates	Computers with Errors
Unassigned Computers	0	0
Clients_XP	0	0
Server_2003	0	0
All Computers	0	0
Clients_Vista	0	0


Updates Status
Critical and security updates approved:	4
Critical and security updates needed:	0
Critical and security updates with errors:
	0

Non-critical and non-security updates approved:	0
Non-critical and non-security updates needed:	0
Non-critical and non-security updates with errors:	0


Synchronization Status
Last synchronization:	Monday, January 07, 2008 9:23 PM
Last synchronization result:	Succeeded
Next synchronization:	Manual

Offenbar sind die GPOs bei sowohl bei der Vista-Kiste als auch bei dem 2. 2003-Server angekommen. Die WSUS-Computergruppen sind aber immer noch leer, auch die "Nicht zugewiesenen Computer". Was jetzt?

Edit:

Habe soeben bei den beiden XP-Clients den Richtliniensatz generiert. Bei beiden sind die drei oben genannten GPOs drin, es hat also auch hier offensichtlich geklappt. Allerdings sind auch diese 2 Clients nicht in den WSUS-Computergruppen zu finden.

Zusammenfassend: Die 3 oben genannten GPOs sind auf allen Clients drauf, allerdings sind die WSUS-Computergruppen immer noch leer.
Member: geTuemII
geTuemII Jan 09, 2008 at 21:15:00 (UTC)
Goto Top
Hast den WSUS auf die Standardwebsite konfiguriert oder eine weitere Website erzeugt? Oder anders gefragt: was steht im Bereich Internet Updatepfad in der GPO?

Für die Standardwebsite: http://servername/, für eine extra Website http://servername:8530/ (der Port wird IMHO von der Installationsroutine vorgeschlagen). Ansonsten kannst du den Port auch in der IIS-Konfiguration nachsehen.

geTuemII
Member: TuXHunt3R
TuXHunt3R Jan 09, 2008 at 21:25:51 (UTC)
Goto Top
Im Moment bringt er mir einen HTTP 403 forbidden zurück (hab es so konfiguriert, dass es über Port 8530 läuft, da auf dem IIS bereits mein Intranet läuft). Einen Moment......
Member: TuXHunt3R
TuXHunt3R Jan 09, 2008 at 21:32:40 (UTC)
Goto Top
Im IIS sind momentan 2 Websiten drin. Mein Intranet und die WSUS-Administration. Über Port 80 erreiche ich normal mein Intranet, aber über Port 8530 kommt nur der "HTTP 403 forbidden - The website declined to show this webpage" zurück.

Edit:
Ich arbeite überall mit demselben Account und habe überall Administratorenrechte (ich weiss, Sicherheitstechnisch absoluter Blödsinn)
Member: geTuemII
geTuemII Jan 09, 2008 at 21:53:13 (UTC)
Goto Top
Der Eintrag http://servername:8530/ gehört in die GPO in den Bereich Internen Pfad für den Microsoft Update Dienst angeben in beide Eingabefenster (Internet Pfad zum Ermitten von Updates und Intranetserver für die Statistiken). Steht das dort?

Danach das komplette Procedere nochmal (gpupdate und wuauclt).

geTuemII
Member: TuXHunt3R
TuXHunt3R Jan 09, 2008, updated at Oct 18, 2012 at 16:35:17 (UTC)
Goto Top
Mein Gott bin ich dämlich!
Das hätte mir auch einfallen können!

Ist nun überall drin, gpupdate und wuauclt auf allen Clients ausgeführt (Gott sei dank gibt es XCMD: XCMD.EXE - Remote-CMD-Tool für Windows)

Computer sind nun schön in den richtigen WSUS-Computergruppen aufgelistet.

Herzlichen Dank für deine Hilfe, ich werds nie vergessen face-smile

Ich probier nun mal, ob ich mit dem WSUS klarkomme. Ich setz den Beitrag noch nicht auf "Gelöst", evt. habe ich noch Fragen.
Member: geTuemII
geTuemII Jan 09, 2008 at 22:26:55 (UTC)
Goto Top
Mein Gott bin ich dämlich!
Das hast du jetzt gesagt....

Ich probier nun mal, ob ich mit dem WSUS klarkomme.
Wird schon werden, der 3er ist deutlich Adminfreundlicher als die alten Versionen face-smile

Ich setz den Beitrag noch nicht auf "Gelöst", evt. habe ich noch Fragen.
Ok, solange du es nachher nicht vergißt.

Maximale Erfolge wünscht
das geTuemII