16
WSUS Updates über psexec anstoßen
Liebe KollegInnen,
Ich bin gerade dabei die WSUS Updates im Netzwerk umzustellen. Bisher wurde per GPO festgelegt, dass die WIN 7 Clients die Updates beim Systemstart vom WSUS (auf Server 2012R2) ziehen und beim Herunterfahren des Clients installieren, was problemlos funktioniert. Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen. Nun habe ich geplant, ein Wartungsfenster in der Nacht einzuführen: die PCs werden per WOL gestartet und der Task-Planer am Server startet den Update Vorgang per Batch und psexec am Client. Die Log-Dateien am Client zeigen auch, dass die Updates gesucht bzw. gefunden werden, aber sie werden nicht installiert. Führe ich lokal als Admin am Client in der CMD ein "wuauclt /updatenow" aus, starten diese sofort. Ich habe unterschiedliche Befehle getestet, aber keiner bewirkt, dass die Updates sofort starten, unter anderem folgende:
psexec \\testrechner -s -i wuauclt.exe /resetauthorization /detectnow /updatenow
psexec \\testrechner -s -i -u [lokaler Admin oder Domänenadmin] -p [Passwort] wuauclt.exe /updatenow
psexec \\testrechner -s -i cmd /c wuauclt.exe /updatenow
Kann es sein, dass die GPO Einstellungen hier auch Rolle spielen oder passt der Befehl einfach nicht? Ich würde mich über einen Tipp zum Troubleshooting freuen! Eine Lösung wäre natürlich, die Clients per WOL zu starten und per GPO die automatische Installation zu diesem Zeitpunkt zu starten, aber ich würde gerne verstehen, was ich falsch mache!
LG Martin
Ich bin gerade dabei die WSUS Updates im Netzwerk umzustellen. Bisher wurde per GPO festgelegt, dass die WIN 7 Clients die Updates beim Systemstart vom WSUS (auf Server 2012R2) ziehen und beim Herunterfahren des Clients installieren, was problemlos funktioniert. Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen. Nun habe ich geplant, ein Wartungsfenster in der Nacht einzuführen: die PCs werden per WOL gestartet und der Task-Planer am Server startet den Update Vorgang per Batch und psexec am Client. Die Log-Dateien am Client zeigen auch, dass die Updates gesucht bzw. gefunden werden, aber sie werden nicht installiert. Führe ich lokal als Admin am Client in der CMD ein "wuauclt /updatenow" aus, starten diese sofort. Ich habe unterschiedliche Befehle getestet, aber keiner bewirkt, dass die Updates sofort starten, unter anderem folgende:
psexec \\testrechner -s -i wuauclt.exe /resetauthorization /detectnow /updatenow
psexec \\testrechner -s -i -u [lokaler Admin oder Domänenadmin] -p [Passwort] wuauclt.exe /updatenow
psexec \\testrechner -s -i cmd /c wuauclt.exe /updatenow
Kann es sein, dass die GPO Einstellungen hier auch Rolle spielen oder passt der Befehl einfach nicht? Ich würde mich über einen Tipp zum Troubleshooting freuen! Eine Lösung wäre natürlich, die Clients per WOL zu starten und per GPO die automatische Installation zu diesem Zeitpunkt zu starten, aber ich würde gerne verstehen, was ich falsch mache!
LG Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306691
Url: https://administrator.de/contentid/306691
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
16 Kommentare
Neuester Kommentar
Hi,
Ich versuche mal einen Lösungsansatz außerhalb des OS:
Es gibt doch so Master-Slave Steckdosen. Warum setzt du den PC nicht als MASTER ein und den Verstärker als Slave.
Ist der PC aus und zieht er kaum noch Strom, müsste die Slave-Steckdose "Totgeschaltet" werden.
Alternativ eine Merfachsteckdosenleiste einsetzen, bei der es meherer Schalter gibt:
Master-Slave-Leiste
Leiste mit Mehrfachen Schaltern
Insgesamt löst du dadurch auch das Problem, dass die PCs nicht während der Updates ausgeschaltet werden.
Alternativ gibst du im WSUS ein Stichtag mit (Nachts 3Uhr) um 1:30 fährst du deine Clients per WOL hoch und um 03:00 Uhr werden die Clients dan Zwangsgeupdated.
Gruß
em-pie
Ich versuche mal einen Lösungsansatz außerhalb des OS:
Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen.
Es gibt doch so Master-Slave Steckdosen. Warum setzt du den PC nicht als MASTER ein und den Verstärker als Slave.
Ist der PC aus und zieht er kaum noch Strom, müsste die Slave-Steckdose "Totgeschaltet" werden.
Alternativ eine Merfachsteckdosenleiste einsetzen, bei der es meherer Schalter gibt:
Master-Slave-Leiste
Leiste mit Mehrfachen Schaltern
Insgesamt löst du dadurch auch das Problem, dass die PCs nicht während der Updates ausgeschaltet werden.
Alternativ gibst du im WSUS ein Stichtag mit (Nachts 3Uhr) um 1:30 fährst du deine Clients per WOL hoch und um 03:00 Uhr werden die Clients dan Zwangsgeupdated.
Gruß
em-pie
Danke für den Vorschlag, aber das lässt sich leider nicht realisieren, weil auch andere Geräte an der Leiste hängen, die unabhängig vom PC funktionieren müssen. Konkret geht es um Klassen- und Schulungsräume, wo auch DVD-Player bzw. Overheads uä. angesteckt sind. Warum ein Architekt hier eine Steckdose plant, ist mir ein Rätsel...
Die Lösung mit dem Zwangsupdate ist mir - wie oben beschrieben - bekannt, aber ich würde einfach gerne verstehen, wie man es mit psexec umsetzen könnte bzw. wissen, was ich falsch mache.
LG
Die Lösung mit dem Zwangsupdate ist mir - wie oben beschrieben - bekannt, aber ich würde einfach gerne verstehen, wie man es mit psexec umsetzen könnte bzw. wissen, was ich falsch mache.
LG
Hallo,
auch hier gibt es eine Lösung: Master-Slave mit permanent geschalteten Anschlüssen.
LG
auch hier gibt es eine Lösung: Master-Slave mit permanent geschalteten Anschlüssen.
LG
OK, nachvollziehbar...
Aber eine Gegenfrage habe ich noch:
wie willst du die Clients per WOL hochfahren, wenn der PC kein Strom hat, da der Schalter in der Steckdosenleiste auf "Aus" geschaltet wurde um den Versträker auszuschalten?
Das Problem besteht ja weiterhin, es sei denn, du arbeitest mit zwei Steckdosenleisten, eine mit Schalter und eine ohne. Die ohne kommt vor die mit Schalter. An der mit den Verstärker, an die ohne alles andere Eqiupment.
Oder du setzt ne Zeitschaltuhr davor: Um 19 Uhr aus, um 07:00 Uhr wieder Strom an.
Ansonsten bin ich dann leider raus. Die PS ist nicht ganz mein Themengebiet -.-
Aber eine Gegenfrage habe ich noch:
wie willst du die Clients per WOL hochfahren, wenn der PC kein Strom hat, da der Schalter in der Steckdosenleiste auf "Aus" geschaltet wurde um den Versträker auszuschalten?
Das Problem besteht ja weiterhin, es sei denn, du arbeitest mit zwei Steckdosenleisten, eine mit Schalter und eine ohne. Die ohne kommt vor die mit Schalter. An der mit den Verstärker, an die ohne alles andere Eqiupment.
Oder du setzt ne Zeitschaltuhr davor: Um 19 Uhr aus, um 07:00 Uhr wieder Strom an.
Ansonsten bin ich dann leider raus. Die PS ist nicht ganz mein Themengebiet -.-
Nachtrag:
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Ja, das stimmt natürlich, das ist unlogisch! Ich hätte vielleicht dazusagen sollen, dass das nur 20 von etwa 150 Rechnern betrifft! Die Stromproblematik lässt sich vermutlich mit der Masters-Slave Schaltung lösen, das muss ich mir gleich anschauen, aber mich würde trotzdem interessieren wie der Vorgang korrekt per psexec angestoßen werden kann. Danke für die Vorschläge!
Unabhängig vom eigentlichen Problem sollte hier dringend mal über WDS, Provisioning oÄ nachgedacht werden. Löst die Problematik mit kaputtem Windows, Updates und mehr...
Die Clients wurden alle per WDS installiert, inwiefern das mein Problem löst, ist mir nicht klar.
LG
LG
Pflege die Updates am Masterimage und Rolle dieses aus?!
Inwiefern hilft das beim Patchen der bereits ausgerollten Clients? Die WDS Install-Images werden ja gepflegt, aber wie das den WSUS ablösen soll, ist mir nicht klar. Teste gerade WUInstall in Kombination mit psexec, das scheint das gewünsche Ergebnis zu liefern! WUInstall
Läuft 1A...zur Info, falls es wen interessiert, wie ich es gelöst habe:
psexec in System32 Ordner, WUInstall auf Netzwerkshare mit Leserechten für Clients, per Taskplaner Rechner per WOL starten (dazu verwende ich rw.exe), Timeout in die Batch, WUInstall starten mit "psexec \\Rechnername -c -s -accepteula -u domain\domain-administrator -p Admin-Passwort \\Pfad_zur_Freigabe\wuinstall.exe /install" und mit Shutdown herunterfahren.
LG und Danke für den Tipp mit dem Master/Slave Verteiler!
psexec in System32 Ordner, WUInstall auf Netzwerkshare mit Leserechten für Clients, per Taskplaner Rechner per WOL starten (dazu verwende ich rw.exe), Timeout in die Batch, WUInstall starten mit "psexec \\Rechnername -c -s -accepteula -u domain\domain-administrator -p Admin-Passwort \\Pfad_zur_Freigabe\wuinstall.exe /install" und mit Shutdown herunterfahren.
LG und Danke für den Tipp mit dem Master/Slave Verteiler!
Freut mich, dass es nu klappt.
Ein Sicherheitstipp:
Nimm dafür nicht den Domain-admin. Du schreibst in dein Script sein Pwd in Klartext. Ein leichtes für Angreifer, deine Systeme zu kompromitieren, wenn die die CMD finden...
Ein Sicherheitstipp:
Nimm dafür nicht den Domain-admin. Du schreibst in dein Script sein Pwd in Klartext. Ein leichtes für Angreifer, deine Systeme zu kompromitieren, wenn die die CMD finden...
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Hi,
zumindest ein wenig verschleiern geht mit der Powershell. "SecureString" ist hier das Suchwort.
Ansonsten ein "richtiges" Programm (exe) mit einer Hochsprache.
Gruß
Ankh
Zitat von @wisebeer:
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Über das interne Systemkonto kannst du den Task nicht anstossen?
Grüsse
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Löse es doch so
Dann brauchst du nicht für jeden Client extra die psexec ausführen, sondern die erledigen das von selbst.
Via GPO kannst du dann den Task vom Systemkonto ausführen lassen. Sollte klappen...
Zitat von @em-pie:
Nachtrag:
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Nachtrag:
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Löse es doch so
Dann brauchst du nicht für jeden Client extra die psexec ausführen, sondern die erledigen das von selbst.
Via GPO kannst du dann den Task vom Systemkonto ausführen lassen. Sollte klappen...
