unbekannternr1
Goto Top

WSUS Windows 10 Funktionsupdate nur Online möglich

Hallo,
da ich bereits alle Suchanbieter befragt habe und jetzt irgendwie nicht mehr weiter komme bräuchte mal ein Paar Ideen.

Zur Umgebung: Normale Domain schon älter aber funktionell. Alle Server die in der Domain was zu sagen haben sind 2012 oder schon neuer. Clients sind teils windows 10 teils noch win7. WICHTIG es ist alles ist per se Offline! Eine der wenigen Ausnahmen ist z.b. der WSUS der per HTTP-Proxy seine Updates direkt von MS bezieht. Surfen an der Clients findet nur über eine Citrix Lösung statt.


Zur Situation:
Ich versuche mit WSUS auf Server 2019 Frisch installiert, das Funktionsupdate 1909 oder 1903 auf Windows 10 Clients 1809 zu installieren. Nachdem der Server alle Updates (600GB ) Runtergeladen hat, funktionieren normale Updates auch Problemfrei. NetFramework ServiceStack etc. wurde bereits auf Clients von diesem Server installiert.
Nur diese verdammten Upgrades lassen sich nicht installieren, und landen immer im Fehler "0x80070057 Der leider völlig nixsagend ist. Oder im Fehler 0x80070003 Der auf das Download Problem hinweist.

Am IIS des WSUS habe ich bereits beide Einstellungen des MIME Types für .esd versucht die da wärem: "application/vnd.ms-cab-compressed application/octet-stream"

Am allen Clients kann man beobachten das die WindowsUpdateBox.exe heruntergeladen wird aber eben nicht die ESD File. Nach lagen hin und her konnte ich einen Client updaten und zwar folgendermaßen:
Virtuelle Maschine normal in der Domain gleiches Subnetz wie der WSUS und eine zweite Netzwerkkarte mit der default route und plain internet. Danach war es möglich das Update zu installieren. Im Netzwerktraffic konnte ich sehen das er die ESD File dann auch mit 300+Mbit von dem WSUS gezogen hat installation hat dann auch funktioniert. Also definitiv vom WSUS denn internet ist deutlich langsamer. Nach zurücksetzen auf einen Snapshot vor dem Update konnte ich das allerdings nicht wiederholen, zumindest nicht ohne die freie Internetverbindung. Selbst wenn ich den Proxy Server in dem Client System eintrage macht er das Update nicht.

Und nach dieser Erkenntnis bin auf diesen Threat gestoßen Link Wo der Kollege offensichtlich das gleiche Problem hat. Aber keine Lösung.
Und ja, ich wollte dort antworten aber zurzeit kann man wohl keine Technet Profile anlegen habe alles Probiert er nimmt es einfach nicht, Danke an Microshit dafür! Daher mein Post hier.

Ein ähnliches Problem wird hier wohl keiner haben. Aber hat jemand vielleicht Lust das mal nachzustellen? ggf. jemand der gerade Clients upgraded und mal einem das Internet abklemmen mag?
Oder wo finde ich ggf. genauere Logs für den Windowsupdateclient? Ereignisanzeige und SoftwareDistribution\ReportingEvents.txt sind ja doch recht dünn für so ein Problem.
Kann ich für den IIS irgendwo Debugging aktivieren um schauen ob dort irgendwo das Problem liegt?

Und wer bis hier hin gelesen hat schon mal vielen Dank dafür !

PS: Die GPO "Keine Verbindungen mit Windows Update-Internetadressen herstellen " habe ich Aktiviert hat nichts geholfen. Und den Ordner SoftwareDistribution zu löschen braucht auch keiner vorschlagen das habe ich heute schon öfter getan.

Content-ID: 556524

Url: https://administrator.de/contentid/556524

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

NordicMike
NordicMike 11.03.2020 um 22:09:38 Uhr
Goto Top
Lehne das Update mal ab, führe den Wizards zur Bereinigung durch und genehmige dann das Update wieder. Mit etwas Glück...
DerWoWusste
Lösung DerWoWusste 12.03.2020 um 08:41:07 Uhr
Goto Top
Moin.

Ich würde von den Featureupdates via WSUS Abstand nehmen.
Das Vorgehen ist evtl. unsicher (es deaktiviert Bitlocker, sofern im Einsatz) und ebenso ist es nicht so zuverlässig wie versprochen, aber das merkst Du ja gerade schon selbst.

Ich verteile Featureupdates 1x jährlich an einem Wochenende per geplantem Task (Skript). Das funktioniert 100% und ich habe die volle Kontrolle. Wenn Dich das überzeugt, kann ich beschreiben, wie das geht, es ist sehr einfach.
UnbekannterNR1
UnbekannterNR1 12.03.2020 um 09:00:00 Uhr
Goto Top
Lehne das Update mal ab, führe den Wizards zur Bereinigung durch und genehmige dann das Update wieder. Mit etwas Glück...

Habe ich gemacht keine besserung.


Zitat von @DerWoWusste:
Ich würde von den Featureupdates via WSUS Abstand nehmen.
Das Vorgehen ist evtl. unsicher (es deaktiviert Bitlocker, sofern im Einsatz) und ebenso ist es nicht so zuverlässig wie versprochen, aber das merkst Du ja gerade schon selbst.

Ohh mist das mit dem Bitlocker habe ich gar nicht bedacht, und da wir auch Laptops betreiben ist das tatsächlich ein nogo.


Ich verteile Featureupdates 1x jährlich an einem Wochenende per geplantem Task (Skript). Das funktioniert 100% und ich habe die volle Kontrolle. Wenn Dich das überzeugt, kann ich beschreiben, wie das geht, es ist sehr einfach.

Basierend auf den neuen Informationen würde ich mich über eine Übersicht/Anleitung auf jeden Fall sehr freuen face-smile Vielleicht sogar ein Wissensbetrag? Das wird mit dem Upgrades müssen ja immer mehr Admins irgendwie Regeln.
DerWoWusste
Lösung DerWoWusste 12.03.2020 um 09:03:02 Uhr
Goto Top
TheAggy
TheAggy 12.03.2020 um 15:27:40 Uhr
Goto Top
Moin unbekannterNR1,

da ich vor 2 Wochen vor genau dem gleichen Problem mit gleichen Fehlercodes hatte, teile ich dir mal meine Erfahrungen mit.
Vielleicht hilft es ja noch den ein oder anderem.

Soweit ich feststellen konnte liegt dieser Fehler irgendwie an den dynamischen Updates beim Windows 10 Upgrade wo Microsoft mit Version 1903 etwas geändert hat weshalb es nicht funktioniert. Hier ein Link wo dies ein wenig erklärt wird: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-benefits- ...


Das Manuelle Upgrade über Stick oder ISO funktioniert allerdings wieder einwandfrei.

Da ich aber auch in der Vergangenheit schon häufiger Probleme mit dem WSUS und Windows 10 Upgrade hatte, den Rotz weggehauen und mache das Ganze jetzt auch ähnlich wie DerWoWusste.

Ohne Internetverbindung klappt das ganze leider nicht über WSUS. Bei Clients mit Internetverbindung könnte es noch sein, das der WinHTTP Proxy resetet werden muss. Habe ich allerdings nicht getestet.
UnbekannterNR1
UnbekannterNR1 13.03.2020 um 16:01:20 Uhr
Goto Top
1. Erstmal schön das ich nicht allein bin und anderen das auch aufgefallen ist face-smile
2. Ich mache das jetzt auch ähnlich wie DerWoWusste allein das mit dem Bitlocker war ein guter Hinweis. Wäre halt blöd wenn ein Upgrade ein Laptop trifft wenn es gerade auf Dienstreise irgendwo ist, am besten noch in einem Schurkenstaat.

Trotzdem traurig das MS sich in diese Richtung entwickelt. Erst gibt es die RSAT Tools nur noch mit Onlinezwang jetzt das Upgrade, sowas nervt mich.