WSUS Updates über psexec anstoßen
Liebe KollegInnen,
Ich bin gerade dabei die WSUS Updates im Netzwerk umzustellen. Bisher wurde per GPO festgelegt, dass die WIN 7 Clients die Updates beim Systemstart vom WSUS (auf Server 2012R2) ziehen und beim Herunterfahren des Clients installieren, was problemlos funktioniert. Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen. Nun habe ich geplant, ein Wartungsfenster in der Nacht einzuführen: die PCs werden per WOL gestartet und der Task-Planer am Server startet den Update Vorgang per Batch und psexec am Client. Die Log-Dateien am Client zeigen auch, dass die Updates gesucht bzw. gefunden werden, aber sie werden nicht installiert. Führe ich lokal als Admin am Client in der CMD ein "wuauclt /updatenow" aus, starten diese sofort. Ich habe unterschiedliche Befehle getestet, aber keiner bewirkt, dass die Updates sofort starten, unter anderem folgende:
psexec \\testrechner -s -i wuauclt.exe /resetauthorization /detectnow /updatenow
psexec \\testrechner -s -i -u [lokaler Admin oder Domänenadmin] -p [Passwort] wuauclt.exe /updatenow
psexec \\testrechner -s -i cmd /c wuauclt.exe /updatenow
Kann es sein, dass die GPO Einstellungen hier auch Rolle spielen oder passt der Befehl einfach nicht? Ich würde mich über einen Tipp zum Troubleshooting freuen! Eine Lösung wäre natürlich, die Clients per WOL zu starten und per GPO die automatische Installation zu diesem Zeitpunkt zu starten, aber ich würde gerne verstehen, was ich falsch mache!
LG Martin
Ich bin gerade dabei die WSUS Updates im Netzwerk umzustellen. Bisher wurde per GPO festgelegt, dass die WIN 7 Clients die Updates beim Systemstart vom WSUS (auf Server 2012R2) ziehen und beim Herunterfahren des Clients installieren, was problemlos funktioniert. Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen. Nun habe ich geplant, ein Wartungsfenster in der Nacht einzuführen: die PCs werden per WOL gestartet und der Task-Planer am Server startet den Update Vorgang per Batch und psexec am Client. Die Log-Dateien am Client zeigen auch, dass die Updates gesucht bzw. gefunden werden, aber sie werden nicht installiert. Führe ich lokal als Admin am Client in der CMD ein "wuauclt /updatenow" aus, starten diese sofort. Ich habe unterschiedliche Befehle getestet, aber keiner bewirkt, dass die Updates sofort starten, unter anderem folgende:
psexec \\testrechner -s -i wuauclt.exe /resetauthorization /detectnow /updatenow
psexec \\testrechner -s -i -u [lokaler Admin oder Domänenadmin] -p [Passwort] wuauclt.exe /updatenow
psexec \\testrechner -s -i cmd /c wuauclt.exe /updatenow
Kann es sein, dass die GPO Einstellungen hier auch Rolle spielen oder passt der Befehl einfach nicht? Ich würde mich über einen Tipp zum Troubleshooting freuen! Eine Lösung wäre natürlich, die Clients per WOL zu starten und per GPO die automatische Installation zu diesem Zeitpunkt zu starten, aber ich würde gerne verstehen, was ich falsch mache!
LG Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306691
Url: https://administrator.de/forum/wsus-updates-ueber-psexec-anstossen-306691.html
Ausgedruckt am: 26.12.2024 um 05:12 Uhr
16 Kommentare
Neuester Kommentar
Hi,
Ich versuche mal einen Lösungsansatz außerhalb des OS:
Es gibt doch so Master-Slave Steckdosen. Warum setzt du den PC nicht als MASTER ein und den Verstärker als Slave.
Ist der PC aus und zieht er kaum noch Strom, müsste die Slave-Steckdose "Totgeschaltet" werden.
Alternativ eine Merfachsteckdosenleiste einsetzen, bei der es meherer Schalter gibt:
Master-Slave-Leiste
Leiste mit Mehrfachen Schaltern
Insgesamt löst du dadurch auch das Problem, dass die PCs nicht während der Updates ausgeschaltet werden.
Alternativ gibst du im WSUS ein Stichtag mit (Nachts 3Uhr) um 1:30 fährst du deine Clients per WOL hoch und um 03:00 Uhr werden die Clients dan Zwangsgeupdated.
Gruß
em-pie
Ich versuche mal einen Lösungsansatz außerhalb des OS:
Da immer wieder Nutzer den Bildschirm ausschalten und dann den Verteilerstecker, an dem der PC hängt, ausschalten ohne auf den Shutdown zu warten, habe ich immer wieder mit defekten Betriebssystemen zu tun. Da an der Verteilerleiste auch ein Verstärker hängt, der ausgeschaltet werden muss, weil er sonst überhitzt, und nur eine Steckdose zur Verfügung steht, lässt sich das aufgrund der unglücklichen baulichen Restriktionen nicht anders lösen.
Es gibt doch so Master-Slave Steckdosen. Warum setzt du den PC nicht als MASTER ein und den Verstärker als Slave.
Ist der PC aus und zieht er kaum noch Strom, müsste die Slave-Steckdose "Totgeschaltet" werden.
Alternativ eine Merfachsteckdosenleiste einsetzen, bei der es meherer Schalter gibt:
Master-Slave-Leiste
Leiste mit Mehrfachen Schaltern
Insgesamt löst du dadurch auch das Problem, dass die PCs nicht während der Updates ausgeschaltet werden.
Alternativ gibst du im WSUS ein Stichtag mit (Nachts 3Uhr) um 1:30 fährst du deine Clients per WOL hoch und um 03:00 Uhr werden die Clients dan Zwangsgeupdated.
Gruß
em-pie
OK, nachvollziehbar...
Aber eine Gegenfrage habe ich noch:
wie willst du die Clients per WOL hochfahren, wenn der PC kein Strom hat, da der Schalter in der Steckdosenleiste auf "Aus" geschaltet wurde um den Versträker auszuschalten?
Das Problem besteht ja weiterhin, es sei denn, du arbeitest mit zwei Steckdosenleisten, eine mit Schalter und eine ohne. Die ohne kommt vor die mit Schalter. An der mit den Verstärker, an die ohne alles andere Eqiupment.
Oder du setzt ne Zeitschaltuhr davor: Um 19 Uhr aus, um 07:00 Uhr wieder Strom an.
Ansonsten bin ich dann leider raus. Die PS ist nicht ganz mein Themengebiet -.-
Aber eine Gegenfrage habe ich noch:
wie willst du die Clients per WOL hochfahren, wenn der PC kein Strom hat, da der Schalter in der Steckdosenleiste auf "Aus" geschaltet wurde um den Versträker auszuschalten?
Das Problem besteht ja weiterhin, es sei denn, du arbeitest mit zwei Steckdosenleisten, eine mit Schalter und eine ohne. Die ohne kommt vor die mit Schalter. An der mit den Verstärker, an die ohne alles andere Eqiupment.
Oder du setzt ne Zeitschaltuhr davor: Um 19 Uhr aus, um 07:00 Uhr wieder Strom an.
Ansonsten bin ich dann leider raus. Die PS ist nicht ganz mein Themengebiet -.-
Nachtrag:
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Hi,
zumindest ein wenig verschleiern geht mit der Powershell. "SecureString" ist hier das Suchwort.
Ansonsten ein "richtiges" Programm (exe) mit einer Hochsprache.
Gruß
Ankh
Zitat von @wisebeer:
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Über das interne Systemkonto kannst du den Task nicht anstossen?
Grüsse
Stimmt, leider geht das nur mit einem Account mit Admin-Rechten am Client, das heißt ich kann stattdessen nur den lokalen nehmen oder ich lege einen neuen an. Die Klartextübertragung empfinde ich auch als Problem, aber wie umgehen?
Löse es doch so
Dann brauchst du nicht für jeden Client extra die psexec ausführen, sondern die erledigen das von selbst.
Via GPO kannst du dann den Task vom Systemkonto ausführen lassen. Sollte klappen...
Zitat von @em-pie:
Nachtrag:
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Nachtrag:
Alternative zum PSEXEC:
speichere die Befehle wuauclt.exe /updatenow in eine cmd und führe die cmd nachts um 03:15 per geplantem Task aus.
Geplante Tasks lassen sich via GPO verteilen:
Google-Suche
Löse es doch so
Dann brauchst du nicht für jeden Client extra die psexec ausführen, sondern die erledigen das von selbst.
Via GPO kannst du dann den Task vom Systemkonto ausführen lassen. Sollte klappen...