WSUS wird von Clients ignoriert

doskias
Goto Top
Moin zusammen,

ich stehe hier derzeit vor einem kleinen Problem. Offenbar ignorieren unsere Windows 10 Clients den WSUS-Server seit einigen Wochen. Aufgefallen ist dies zuerst vor etwa 4 bis 8 Wochen und ich komme dem Grund nicht auf die Schliche. Erstmal die Fakten, was uns dazu veranlasst dies zu vermuten:

Gestern haben sich einige Clients gemeldet, da sie Updates installieren wollen:
update

Dieses Update ist für den entsprechenden Rechner im WSUS jedoch nicht freigegeben. Dies zeigt die Auswertung des WSUS-Protokolls
update wsus

Wir haben einige Clients im Netzwerk, die Windows 10 betreiben, aber nicht in der Domäne sind (warum spiel keine Rolle). Diese Clients laden die Updates sofort runter und installieren, unabhängig vom WSUS. Das sich die Windows 10 Clients die Updates von dort holen:
peering

Mir ist bewusst, dass ich den WSUS umgehen kann, wenn dieser keine Updates anzeigt und manuell Online nach Updates suchen kann. Dies ist auf diesem Rechner aber nicht geschehen. Bei einem Anwender würde ich der Aussage prinzipiell erstmal misstrauen, aber es sind Test und Admin-Rechner betroffen, bei denen definitiv nicht manuell nach Updates gesucht wurde. Der Download wurde nicht vom User initiiert und geschah im Hintergrund. Dies zeigt auch die Downloadstatistik der entsprechenden Rechner:
update statistik

Da die WSUS-Konfiguration im ganzen nicht auf ansehnliche Screenshots passt, hier einmal kurz abgetippt, welche GPOs aktiviert sind und in dem Bereich meiner Meinung nach relevant sind. Nicht relevant ist unter anderem die Option "Erneut zum Neustart für geplante Installation auffordern". Wenn rückfragen zu einer bestimmten Einstellung sind, kurz nachfragen:
  • Übermittlungsoptimierung: Downloadmodus Einfach (99)
  • automatische Updates: autom. herunterladen und installieren, täglich um 10:00 Uhr
  • Clientseitige Zuordnung aktiviert
  • Interner Pfad für den Microsoft Updatedienst angeben: Interner Updatedienst ist angegeben mit http://name:port. Der gleiche Server wird für die Statistik verwendet. Die Statistik funktioniert und wird gepflegt. Server und Port müssen also korrekt sein. Selbst wenn nicht dürfte die Konfiguration nicht auf das Internet zurückfallen, sondern einfach keine Updates finden.
  • Suchhäufigkeit: stündlich
  • Zielversion: Windows 10, 21H2

Bei der Fehlersuche habe ich keinen Protokolleintrag ausfindig machen können, die auf ein Verbindungsproblem zum WSUS-Server hindeutet. Auch der Eintrag unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate entspricht dem erwarteten Einstellungen der oben beschriebenen GPO.

Also.. jemand einen Tipp, wie ich die Clients wieder dazu bekomme ausschließlich den WSUS zu nutzen? In Anbetracht der Katastrophen, die MS in den letzten Updates verbockt hat, wollen wir die Updates nicht blind und gutgläubig installiert bekommen.

Gruß
Doskias

Nachtrag, weil Vergessen: GPRESULT zeigt, dass die von der GPO erwarteten Einträge angewendet werden und es keine weitere GPO gibt, die die erwarteten Werte überschreibt.

Content-Key: 2545744004

Url: https://administrator.de/contentid/2545744004

Ausgedruckt am: 10.08.2022 um 16:08 Uhr

Mitglied: TheToxic
Lösung TheToxic 20.04.2022 um 12:45:02 Uhr
Goto Top
Hi,

lass die mal ein Windows-Update Log auf dem Client erstellen und schau dir das mal an.
Wahrscheinlich werden hier bei dir etliche Fehler aufgezeigt die dir weiter helfen können.

  • PowerShell als Administrator öffnen.
  • Den Befehl Get-WindowsUpdateLog eingeben und starten.
  • Auf dem Desktop wird nun die WindowsUpdate.log angelegt

Wann haben sich die Clients laut WSUS das letzte mal gemeldet bzw. einen Statusbericht erzeugt?

Gruß
Mitglied: Doskias
Doskias 20.04.2022 um 13:54:07 Uhr
Goto Top
Ich fang mal hinten an:
Wann haben sich die Clients laut WSUS das letzte mal gemeldet bzw. einen Statusbericht erzeugt?
Da brauch ich mir glücklicherweise keinen Kopf mehr drum machen. Ich habe ein Skript geschrieben, welches im Monitoring Alarm gibt, wenn ein Online-Rechner sich länger als 48 Stunden nicht am WSUS gemeldet hat. Sprich: Ich lese die WSUS-Logs aus, ermittle den Last-Report-Timestamp und prüfe dann ob der Rechner online ist. Ist er online und der Timestamp ist älter als 48 Stunden, dann gibt es eine Warnung. Passiert selten, derzeit nicht der fall. habe dennoch einmal händisch nachgeschaut, mit dem Ergebnis, dass 8 Rechner sich länger als 36 Stunden nicht am WSUS gemeldet habe. habe die Rechner mal verglichen und kann diese mit den Abwesenden Kollegen als korrekt bestätigen. Also Statusberichte sind alle von heute bei den Kollegen die heute da sind.


lass die mal ein Windows-Update Log auf dem Client erstellen und schau dir das mal an.
Wahrscheinlich werden hier bei dir etliche Fehler aufgezeigt die dir weiter helfen können.

  • PowerShell als Administrator öffnen.
  • Den Befehl Get-WindowsUpdateLog eingeben und starten.
  • Auf dem Desktop wird nun die WindowsUpdate.log angelegt

Hab den Befehl ausgeführt und erspare euch jetzt 25.000 Zeilen Protokolle. Ich weiß nicht genau wonach ich an der Stelle in dem Protokoll suchen soll, aber ich folgendes gefunden:


Ist in meinen Augen unkritisch. Dann hab ich allerdings folgdendes gefunde:

So wie ich es verstehe holt er sich an der Stelle einen Token vom MS-Server. Aber kurz vorher finde ich auch:

Also so wie ich das Protokoll lese findet er ja den WSUS-Server? Hast du vielleicht noch irgendeinen Tipp, nach welcher spezifischen ID ich Ausschau halten könnte/sollte?

Gruß
Doskias
Mitglied: TheToxic
TheToxic 20.04.2022 um 14:45:44 Uhr
Goto Top
Im Log kann ich dir leider keine genaue ID nennen. Muss man immer individuell lesen und verstehen

Was sagt das Eventlog eines betroffenen Clients?

Ereignisanzeige ->Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> WindowsUpdateClient

Kommen hier Fehler oder findet er updates? z.B. "Es wurden 1 Updates gefunden."
Mitglied: em-pie
Lösung em-pie 20.04.2022 um 14:53:58 Uhr
Goto Top
Moin,

schmeiß exemplarisch mal den Client aus dem WSUS raus und lass ihn sich anschließend neu am WSUS registrieren.

Ich hatte das auch mal eine Weile, allerdings bei Servern.
IMHO ist nicht der WSUS-Client das Problem, sondernd er WSUS selbst.
Mitglied: Doskias
Doskias 20.04.2022 um 15:06:02 Uhr
Goto Top
Zitat von @TheToxic:
Im Log kann ich dir leider keine genaue ID nennen. Muss man immer individuell lesen und verstehen
Schade face-smile

Was sagt das Eventlog eines betroffenen Clients?
Ereignisanzeige ->Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> WindowsUpdateClient
Wie ich Eingangs schon sagte finden sich dort keine Fehler. Zumindest kürzlich nicht. ich habe allerdings am 10.03 in einem Zeitraum von 40 Minuten 18 Update-Fehlermeldungen. Kann natürlich Zufall sein, aber etwa Anfang März sind die Probleme zum ersten mal aufgefallen. Allerdings nicht an diesem Client.

Kommen hier Fehler oder findet er updates? z.B. "Es wurden 1 Updates gefunden."
Ansonsten finde ich (für heute) nur Einträge mit 0 Updates, bzw. mit 7 Updates. Wobei heute keines installiert wurde und auch keins ausstehend ist. Auf dem WSUS würden derzeit 6 Updates für diesen Client ausstehen... Passt alles nicht so recht.

Zitat von @em-pie:
schmeiß exemplarisch mal den Client aus dem WSUS raus und lass ihn sich anschließend neu am WSUS registrieren.
Werde ich mal machen.

Ich hatte das auch mal eine Weile, allerdings bei Servern.
Danke für den Hinweis. Hab es exemplarisch an einem Server jetzt überprüft und konnte es dort ebenfalls feststellen.

IMHO ist nicht der WSUS-Client das Problem, sondernd er WSUS selbst.
Mal wieder face-smile

Gruß und Dank soweit
Doskias
Mitglied: CH3COOH
Lösung CH3COOH 20.04.2022 um 19:19:35 Uhr
Goto Top
Nabend,
kannst du mal deine Konfigurierten Gruppenrichtlinien bzw. die Registry-Schlüssel zur Verfügung stellen?

Deine Konfiguration mischt, so wie ich das sehe, Windows Update for Business (WUfB) und Windows Server Update Services (WSUS). Nimm die Zielversion in den GPO Einstellungen raus. Danach hast du über den WSUS die volle Kontrolle.

Eventuell noch die Thematik des DualScann mal beachten:
https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-bu ...

Gruß
Mitglied: Doskias
Doskias 20.04.2022, aktualisiert am 21.04.2022 um 08:01:59 Uhr
Goto Top
N'abend

Zitat von @CH3COOH:
Nabend,
kannst du mal deine Konfigurierten Gruppenrichtlinien bzw. die Registry-Schlüssel zur Verfügung stellen?
Welcher Wert fehlt dir? Wie ich oben geschrieben habe, sind Screenshots der GPO sehr unübersichtlich. Sag mir genau welche Einstellung du vermutest und ich liefere die Info. Hier allerdings 3 oder 4 Bilder der GPO Konfiguration zu posten, die überwiegend nichts damit zu tun hat (Thema Neustart, etc.) halte ich nicht für zielführend,

Deine Konfiguration mischt, so wie ich das sehe, Windows Update for Business (WUfB) und Windows Server Update Services (WSUS). Nimm die Zielversion in den GPO Einstellungen raus.
Das spielt nichts zur Sache, so wie ich es sehe. Wenn du schon Wolfgang Sommergut als Referenz nimmst, dann bitte auch andere Postings von ihm:
https://www.windowspro.de/wolfgang-sommergut/update-windows-11-gruppenri ...
Die Info aus dem Link hat seit Oktober hervorragend funktioniert und tritt seit März vereinzelt auf und auch in den WSUS-Gruppen, wo sie nicht konfiguriert ist. Es kann also damit nicht wirklich was zu tun haben.

Eventuell noch die Thematik des DualScann mal beachten:
https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-bu ...
Irrelevant in meinen Augen. Das vierte Bild zeigt deutlich, dass der ganze durch die Updates verursachte Traffic im Hintergrund lief und nicht durch den User initiiert wurde, was wie beschrieben auch auf meinem Testrechnern nicht gemacht wurde, da ich da nicht drauf klicke. Hätte ein anderer User oder Kollege das Update manuell gestartet, dann wäre der Wert Traffic vom Benutzer initiiert nicht mehr N/A, sondern hätte einen Wert.
Dies habe ich vorhin an einem nicht betroffenen Client überprüft.

Ich habe mir auch @em-pie Vorschlag angeschaut und einige Clients aus dem WSUS entfernt. Ob das geholfen hat, kann ich erst beim nächsten veröffentlichten Update sagen. Beim nächsten Update via WSUS müsste ja der Wert vom Cache-Server von 0,00 % steigen und die 100% von Microsoft um genau diesen Wert reduziert werden. Da ist dann jetzt erstmal warten angesagt bzw. Ein PS-Skript entwickeln, welches mir alle Rechner nennt, die nicht zu 100% vom WSUS laden, da hier ja dann etwas nicht stimmt.

Gruß
Doskias

Bearbeitungsgrund: Nächtliche Rechtschreibkatastrophe korrigiert face-wink
Mitglied: kgborn
Lösung kgborn 21.04.2022 um 00:16:25 Uhr
Goto Top
Nur zur Ergänzung - ich hatte kürzlich einen Beitrag zum Thema. Neben Dual Scan und WUfB können auch GPOs zum Konflikt führen. Beachtet auch die Nutzerkommentare - vielleicht hilfts.

Falle: Windows-Clients installieren Updates am WSUS vorbei
Mitglied: Doskias
Doskias 21.04.2022 um 08:00:33 Uhr
Goto Top
Danke für die ganzen Tipps. Ich habe jetzt "erstmal" folgendes gemacht:

  • Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird: aktiviert

  • Zielversion des Funktionsupdates: deaktiviert
Auch wenn ich dies bislang wie oben ausgeschlossen habe, da es von Oktober bis März mit dieser Einstellung lief, habe ich die Option jetzt wieder deaktiviert. Grund ist dabei nicht die Aussage, dass es den WSUS aushebelt, denn das hat es wie gesagt anfangs nicht getan, sondern vielmehr die Tatsache, dass wenn die obere Richtlinie greift, ja auch keine andere als im WSUS freigegebene Zielversion vorhanden ist.

In dem Artikel bzw. Link wird noch empfohlen die Richtlinie Do not connect to any Windows Update Internet locations zu aktivieren. Hat damit jemand Erfahrung? Ich hatte die Richtlinie einmal aktiviert, bis ich festgestellt habe, dass die MS-Store Apps sich dann keine Updates mehr ziehen (steht ja auch in der Beschreibung) bzw. der Store nicht verfügbar ist. Das mag jetzt in erster Linie nicht sonderlich relevant erscheinen, hat aber bei uns dazu geführt, dass die Apps wie der Taschenrechner oder Ausscheiden und Skizzieren nicht mehr verwendet werden konnten, da diese halt aus dem Store stammen.

Ich glaube jetzt werde ich das erstmal so lassen und eine Zeitlang beobachten.

Gruß
Doskias
Mitglied: Doskias
Doskias 26.04.2022 um 16:25:41 Uhr
Goto Top
So... mit der letzten Konfigurationsänderung aus dem letzten Posts, wird der WSUS jetzt nicht mehr ignoriert. Es bleibt mir dabei allerdings ei Rätsel, wieso der Schlüssel Zielversion des Funktionsupdates der für das Verhalten verantwortlich ist, bis März fehlerfrei funktioniert hat und erst seit März dieses Verhalten an den Tag legt.

Gruß
Doskias