wisebeer
Goto Top

WSUS Updates über psexec anstoßen

Liebe KollegInnen,

Ich bin gerade dabei die WSUS Updates im Netzwerk umzustellen. Bisher wurde per GPO festgelegt, dass die WIN 7 Clients die Updates beim Systemstart vom WSUS (auf Server 2012R2) ziehen und beim Herunterfahren des Clients installieren, was problemlos funktioniert. Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen. Nun habe ich geplant, ein Wartungsfenster in der Nacht einzuführen: die PCs werden per WOL gestartet und der Task-Planer am Server startet den Update Vorgang per Batch und psexec am Client. Die Log-Dateien am Client zeigen auch, dass die Updates gesucht bzw. gefunden werden, aber sie werden nicht installiert. Führe ich lokal als Admin am Client in der CMD ein "wuauclt /updatenow" aus, starten diese sofort. Ich habe unterschiedliche Befehle getestet, aber keiner bewirkt, dass die Updates sofort starten, unter anderem folgende:

psexec \\testrechner -s -i wuauclt.exe /resetauthorization /detectnow /updatenow
psexec \\testrechner -s -i -u [lokaler Admin oder Domänenadmin] -p [Passwort] wuauclt.exe /updatenow
psexec \\testrechner -s -i cmd /c wuauclt.exe /updatenow

Kann es sein, dass die GPO Einstellungen hier auch Rolle spielen oder passt der Befehl einfach nicht? Ich würde mich über einen Tipp zum Troubleshooting freuen! Eine Lösung wäre natürlich, die Clients per WOL zu starten und per GPO die automatische Installation zu diesem Zeitpunkt zu starten, aber ich würde gerne verstehen, was ich falsch mache!

LG Martin

Content-ID: 306691

Url: https://administrator.de/forum/wsus-updates-ueber-psexec-anstossen-306691.html

Ausgedruckt am: 26.12.2024 um 05:12 Uhr

em-pie
em-pie 09.06.2016 um 21:36:25 Uhr
Goto Top
Hi,

Ich versuche mal einen Lösungsansatz außerhalb des OS:

Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen.

Es gibt doch so Master-Slave Steckdosen. Warum setzt du den PC nicht als MASTER ein und den Verstärker als Slave.
Ist der PC aus und zieht er kaum noch Strom, müsste die Slave-Steckdose "Totgeschaltet" werden.

Alternativ eine Merfachsteckdosenleiste einsetzen, bei der es meherer Schalter gibt:

Master-Slave-Leiste
Leiste mit Mehrfachen Schaltern

Insgesamt löst du dadurch auch das Problem, dass die PCs nicht während der Updates ausgeschaltet werden.

Alternativ gibst du im WSUS ein Stichtag mit (Nachts 3Uhr) um 1:30 fährst du deine Clients per WOL hoch und um 03:00 Uhr werden die Clients dan Zwangsgeupdated.

Gruß
em-pie
wisebeer
wisebeer 09.06.2016 um 21:46:26 Uhr
Goto Top
Danke für den Vorschlag, aber das lässt sich leider nicht realisieren, weil auch andere Geräte an der Leiste hängen, die unabhängig vom PC funktionieren müssen. Konkret geht es um Klassen- und Schulungsräume, wo auch DVD-Player bzw. Overheads uä. angesteckt sind. Warum ein Architekt hier eine Steckdose plant, ist mir ein Rätsel...

Die Lösung mit dem Zwangsupdate ist mir - wie oben beschrieben - bekannt, aber ich würde einfach gerne verstehen, wie man es mit psexec umsetzen könnte bzw. wissen, was ich falsch mache.

LG
chrisiweber
chrisiweber 09.06.2016 um 21:55:54 Uhr
Goto Top
Hallo,

auch hier gibt es eine Lösung: Master-Slave mit permanent geschalteten Anschlüssen.

LG
em-pie
em-pie 09.06.2016 aktualisiert um 21:56:31 Uhr
Goto Top
OK, nachvollziehbar...

Aber eine Gegenfrage habe ich noch:
wie willst du die Clients per WOL hochfahren, wenn der PC kein Strom hat, da der Schalter in der Steckdosenleiste auf "Aus" geschaltet wurde um den Versträker auszuschalten?
Das Problem besteht ja weiterhin, es sei denn, du arbeitest mit zwei Steckdosenleisten, eine mit Schalter und eine ohne. Die ohne kommt vor die mit Schalter. An der mit den Verstärker, an die ohne alles andere Eqiupment.

Oder du setzt ne Zeitschaltuhr davor: Um 19 Uhr aus, um 07:00 Uhr wieder Strom an.

Ansonsten bin ich dann leider raus. Die PS ist nicht ganz mein Themengebiet -.-
em-pie
em-pie 09.06.2016 aktualisiert um 21:59:24 Uhr
Goto Top
Nachtrag:

Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.

Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
wisebeer
wisebeer 09.06.2016 um 22:01:39 Uhr
Goto Top
Ja, das stimmt natürlich, das ist unlogisch! Ich hätte vielleicht dazusagen sollen, dass das nur 20 von etwa 150 Rechnern betrifft! Die Stromproblematik lässt sich vermutlich mit der Masters-Slave Schaltung lösen, das muss ich mir gleich anschauen, aber mich würde trotzdem interessieren wie der Vorgang korrekt per psexec angestoßen werden kann. Danke für die Vorschläge!
SeaStorm
SeaStorm 09.06.2016 um 22:15:08 Uhr
Goto Top
Unabhängig vom eigentlichen Problem sollte hier dringend mal über WDS, Provisioning oÄ nachgedacht werden. Löst die Problematik mit kaputtem Windows, Updates und mehr...
wisebeer
wisebeer 09.06.2016 um 22:19:26 Uhr
Goto Top
Die Clients wurden alle per WDS installiert, inwiefern das mein Problem löst, ist mir nicht klar.

LG
SeaStorm
SeaStorm 09.06.2016 um 22:28:17 Uhr
Goto Top
Pflege die Updates am Masterimage und Rolle dieses aus?!
wisebeer
wisebeer 09.06.2016 um 22:35:10 Uhr
Goto Top
Inwiefern hilft das beim Patchen der bereits ausgerollten Clients? Die WDS Install-Images werden ja gepflegt, aber wie das den WSUS ablösen soll, ist mir nicht klar. Teste gerade WUInstall in Kombination mit psexec, das scheint das gewünsche Ergebnis zu liefern! WUInstall
wisebeer
wisebeer 09.06.2016 um 23:20:00 Uhr
Goto Top
Läuft 1A...zur Info, falls es wen interessiert, wie ich es gelöst habe:

psexec in System32 Ordner, WUInstall auf Netzwerkshare mit Leserechten für Clients, per Taskplaner Rechner per WOL starten (dazu verwende ich rw.exe), Timeout in die Batch, WUInstall starten mit "psexec \\Rechnername -c -s -accepteula -u domain\domain-administrator -p Admin-Passwort \\Pfad_zur_Freigabe\wuinstall.exe /install" und mit Shutdown herunterfahren.

LG und Danke für den Tipp mit dem Master/Slave Verteiler!
em-pie
em-pie 09.06.2016 um 23:25:46 Uhr
Goto Top
Freut mich, dass es nu klappt.

Ein Sicherheitstipp:
Nimm dafür nicht den Domain-admin. Du schreibst in dein Script sein Pwd in Klartext. Ein leichtes für Angreifer, deine Systeme zu kompromitieren, wenn die die CMD finden...
wisebeer
wisebeer 10.06.2016 um 06:39:40 Uhr
Goto Top
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
AnkhMorpork
AnkhMorpork 10.06.2016 um 07:50:34 Uhr
Goto Top
Zitat von @wisebeer:

Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?

Hi,

zumindest ein wenig verschleiern geht mit der Powershell. "SecureString" ist hier das Suchwort.

Ansonsten ein "richtiges" Programm (exe) mit einer Hochsprache.

Gruß

Ankh
KMUlife
KMUlife 10.06.2016 um 08:41:02 Uhr
Goto Top
Zitat von @wisebeer:

Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?

Über das interne Systemkonto kannst du den Task nicht anstossen?
Grüsse
em-pie
Lösung em-pie 10.06.2016 um 09:21:43 Uhr
Goto Top
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?

Zitat von @em-pie:

Nachtrag:

Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.

Geplante Tasks lassen sich via GPO verteilen:
Google-Suche

Löse es doch so
Dann brauchst du nicht für jeden Client extra die psexec ausführen, sondern die erledigen das von selbst.
Via GPO kannst du dann den Task vom Systemkonto ausführen lassen. Sollte klappen...