Keine Statusreports nach WSUS Package Publisher Einrichtung

[NorbertFe 1.799]

Liegt es auch in Vertrauenswürdige Stammzertifizierungsstellen?

[Sunny61 773]

Berichten denn alle Clients/Server nicht mehr zum WSUS oder nur vereinzelte? Kannst Du es an etwas fest machen? Fehlerhafte Clients z.B. nur vom 3. Stock oder EG ist damit gemeint.

[wsusnoob 0]

Liegt es auch in Vertrauenswürdige Stammzertifizierungsstellen?

 

Nein, das Zertifikat wurde über die eigene Zertifizierungsstelle erstellt. Laut Doku reicht es in diesem Fall, wenn das Zertifikat nur unter Vertrauenswürdige Herausgeber vorhanden ist.

 

 

Berichten denn alle Clients/Server nicht mehr zum WSUS oder nur vereinzelte? Kannst Du es an etwas fest machen? Fehlerhafte Clients z.B. nur vom 3. Stock oder EG ist damit gemeint.

 

Es handelt sich um alle Clients, die Updates normalerweise aus dem Internet ziehen und nicht direkt von unserem Server. Diese Clients stehen in allen Niederlassungen verteilt.

Die Clients hier im Haus kriegen die Updates direkt von unserem Server. Diese geben auch noch Statusberichte ab; die Externen machen das nicht mehr.

Es ist also so, dass wir 2 Server haben: Der eine gibt den Clients bekannt, welche Updates denn aus dem Internet heruntergeladen werden sollen bzw. freigegeben sind (externe Clients) - der andere lädt sie sich direkt runter und verteilt diese (interne Clients).

Für die Externen wurden noch nie Updates, die vom WPP letztendlich kamen, freigegeben. Nur für interne Clients und dann auch nur die, die Mitglied in meiner WPP Test OU sind.

[Sunny61 773]

Na da ist ja schon mal etwas. Sind die 'externen' Clients in eurem Netzwerk? Gehen die über einen Proxy/Firewall von euch raus? Wenn ja, ist das verwendete Netz in dem sich der WSUS befindet, als Ausnahme im IE/Proxy definiert? Wurde so eine Firewall/Proxy umkonfiguriert? Wenn es bis zu einem bestimmten Zeitpunkt funktioniert hat, muss es an Teilen eurer Infrastruktur liegen.

 

Weshalb holen die nicht die Updates von deinem WSUS? Den BITS, der Dienst ist für den Transport der Bits und Bytes vom WSUS zum Client zuständig, kannst Du konfigurieren. D.h. Du kannst einschränken wie viel Bits/Sekunde sich der Client an Bandbreite nehmen darf. wsus.de/bits Diese Einstellung muss auf die Clients wirken!

 

Du kannst auch in den Niederlassungen auf den Servern einen WSUS konfigurieren und den die Updates für die Clients zur Verfügung stellen lassen. Auch den BITS von diesen Außenstellen WSUS-Servern kannst Du per GPO konfigurieren.

[wsusnoob 0]

Na da ist ja schon mal etwas. Sind die 'externen' Clients in eurem Netzwerk? [...]

 

Jepp, alle Clients sind im gleichen Netzwerk. Proxy gibts und der WSUS + Windows Update Client sind als Ausnahmen definiert. Zu dem Zeitpunkt wurde nichts an den Konfigurationen verändert.

 

 

Weshalb holen die nicht die Updates von deinem WSUS? [...]

 

Wurde damals so festgelegt, weil viele Mitarbeiter Notebooks verwenden und bspw. Zuhause über die eigene Leitung (und VPN) das Herunterladen von Updates zuverlässiger und schneller war / ist. 

 

 

Du kannst auch in den Niederlassungen auf den Servern [...]

 

Früher hatten unsere Niederlassungen eigene Server, aber mittlerweile steht alles hier im Haus.

[NorbertFe 1.799]

Wenn die Clients nicht vom WSUS versorgt werden, wie soll dann das Reporting funktionieren? AFAIR war das immer nur zusammen möglich.

[Sunny61 773]

Jepp, alle Clients sind im gleichen Netzwerk. Proxy gibts und der WSUS + Windows Update Client sind als Ausnahmen definiert. Zu dem Zeitpunkt wurde nichts an den Konfigurationen verändert.

Wie steht der WSUS als Ausnahme drin? Name oder IP? Und was meinst Du mit dem Windows Update Client? Prüf auf dem WSUS in der Firewall ob denn auch Clients aus den anderen Netzwerksegmenten auf den WSUS zugreifen dürfen. Kannst Du den WSUS von den Clients aus anpingen? Kannst Du von einem Client aus den WSUS per SMB-Freigabe erreichen? \\DeinWSUS\c$ [ENTER].

 

 

Wurde damals so festgelegt, weil viele Mitarbeiter Notebooks verwenden und bspw. Zuhause über die eigene Leitung (und VPN) das Herunterladen von Updates zuverlässiger und schneller war / ist.

Also betrifft es auch richtig 'externe' Geräte und nicht nur interne. Schau dir die Sache mit dem BITS an, das rentiert sich auf jeden Fall.

 

 

Wenn die Clients nicht vom WSUS versorgt werden, wie soll dann das Reporting funktionieren? AFAIR war das immer nur zusammen möglich.

Die Freigaben holen sich die Clients vom WSUS, die Dateien holen sie sich von MS. Bei einem zweiten WSUS kannst Du das ja in den Optionen konfigurieren, kennst Du ganz bestimmt. ;)

bearbeitet 18. August 2016 von Sunny61

[wsusnoob 0]

Wie steht der WSUS als Ausnahme drin? Name oder IP? Und was meinst Du mit dem Windows Update Client? Prüf auf dem WSUS in der Firewall ob denn auch Clients aus den anderen Netzwerksegmenten auf den WSUS zugreifen dürfen. Kannst Du den WSUS von den Clients aus anpingen? Kannst Du von einem Client aus den WSUS per SMB-Freigabe erreichen? \\DeinWSUS\c$ [ENTER].

 

Werde ich mal genauer nachprüfen und wahrscheinlich morgen nochmal Bescheid geben. Das "Windows Update Client" kannst du streichen, meinte WSUS allgemein

 

 

Also betrifft es auch richtig 'externe' Geräte und nicht nur interne. Schau dir die Sache mit dem BITS an, das rentiert sich auf jeden Fall.

 

Okay, werde mir dann mal anschauen und bei uns ansprechen, sobald der Albtraum hier vorbei ist.

 

 

 Die Freigaben holen sich die Clients vom WSUS, die Dateien holen sie sich von MS. Bei einem zweiten WSUS kannst Du das ja in den Optionen konfigurieren, kennst Du ganz bestimmt. ;)

 

Genau so isses.

[wsusnoob 0]

Sämtlicher Traffic, der Windows Update als Bezeichnung beinhaltet, wird durchgelassen. Ich habe mir einen Client rausgepickt der in einem anderen Segment liegt. Er kann auch nach wie vor den WSUS anpingen und auch die administrative Freigabe funktioniert.

Ich werde den Server nachher mal neu aufsetzen und schauen, wie es danach aussieht.

bearbeitet 19. August 2016 von wsusnoob

[Sunny61 773]

Sämtlicher Traffic, der Windows Update als Bezeichnung beinhaltet, wird durchgelassen.

Und alles andere wird bockiert?

 

Ich habe mir einen Client rausgepickt der in einem anderen Segment liegt. Er kann auch nach wie vor den WSUS anpingen und auch die administrative Freigabe funktioniert.

Und der Client kann auch die WSUS-Freigaben auf dem WSUS erreichen?

[wsusnoob 0]

Alles andere muss sich jedenfalls für den Proxy authentifizieren. Der WSUS (u.a) ist da die Ausnahme.

 

Kann jetzt ein kleines Statusupdate abgeben: Hab erstmal nur den WSUS an sich zurückgesetzt mit einer Anleitung unter https://social.technet.microsoft.com/Forums/office/en-US/0119f29b-729e-469d-85b4-7d1e547ebe2d/how-to-completely-remove-wsus-on-windows-2012-r2?forum=winserverwsus

 

 

To re-install WSUS with a clean database ie no previous configuration;

Run Windows Powershell as Administrator and use the following commands:

Uninstall-WindowsFeature -Name UpdateServices,Windows-Internal-Database -Restart

Post restart, delete EVERYTHING in the "C:\Windows\WID" (for Win 2012 r2) folder, then run the following command to re-install WSUS:

Install-WindowsFeature UpdateServices -Restart 

 

 

Zwar läuft noch die Erstsynchronisierung und die Gruppen werden noch nicht korrekt angezeigt, aber die Clients geben wieder nach und nach Statusberichte ab. Mal schauen wie es aussieht, wenn er komplett fertig ist.