pentel

ja wird ja später auch so gemacht nur beim ersten mal möchte ich es halt morgend manuell machen ... bei über 100 updates die benötigt werden weiß ich nicht ob das vllt. mal ein paar minuten braucht.

würde das klappen? wäre echt net wenns nochmal ein kurzes statement geben würde ;)

ok danke :)

aaaber wenn er dann um 12 uhr die updates installiert und nichts neustartet macht er das doch beim nächsten systemstart oder?

weil das wäre nicht ganz so in meinem sinne... wenn dann um 14 uhr ein mitarbeiter auf die idee kommt den rechner neuzustarten installiert und konfiguriert der die updates doch dann oder wann passiert das?

Werden sie auch, du mußt nur ein paar mal den Befehl ausführen:

wuauclt /detectnow (5-10x)

wuauclt /reportnow (2-3x)

Und mit NETSTAT kannst Du kontrollieren, ob der Client eine HTTP-Verbindung zum WSUS aufgebaut hat. Will er dann immer noch nicht, hilft die Brechstange:

net stop wuauserv

rd /s /q %windir%\SoftwareDistribution

net start wuauserv

wuauclt /resetauthorization /detectnow

wuauclt /detectnow (5-10x)

wuauclt /reportnow (2-3x)

 

Spätestens jetzt sollte sich der Client innerhalb von 5 Minuten beim WSUS melden und einen aktuellen Report abliefern.

uh danke das ja super

hilft mir das nur für den report oder auch fürs updates ziehen?

ich möchte nämlich die richtlinien etwas ändern und einmal morgens um 6 alle computer mit den updates versorgen ohne das jmd. gestört wird.

kann ich das mit den befehlen auch machen das er mitbekommt das sich die richtlinien geändert haben und er diese auch nutzt?

gruß pentel

ach die 22 stunden sind ja kein problem dachte halt wie gesagt nur, dass das durch detectnow irgendwie umgangen wird ;)

jetzt hat es auf einmal funktioniert denke mal das hat was mit diesen 22 stunden zu tun die default eingestellt sind.

dachte erst nicht das es daran liegt weil ich mal manuell über "ausführen" nach updates gesucht hab dies aber nicht ging :/

jetzt geht es aufjedenfall erstmal ;)

so jetzt hab ich den fehler vllt. im log gefunden:

2008-11-20	09:05:27	1764	6a8	Agent	***********  Agent: Initializing global settings cache  ***********
2008-11-20	09:05:27	1764	6a8	Agent	  * WSUS server: http://server:8530
2008-11-20	09:05:27	1764	6a8	Agent	  * WSUS status server: http://server:8530
2008-11-20	09:05:27	1764	6a8	Agent	  * Target group: (Unassigned Computers)

da hat der ja als gruppe die unassigned computer drin jedoch ist er auf dem wsus server in die gruppe test verschoben worden. was ist denn da falsch gelaufen?

und zudem funktioniert nicht mehr das war so gemeint das wsus ja automatisch auf allen computern den win installer und bits installiert hat das heißt für mich das es irgendwie mal funktioniert hat ;)

Dir ist klar, daß der WSUS 2.0 im Frühjahr 2009 aus dem Support fällt? Und ab dann gibts vermutlich auch keine Updates mehr für den 2er.

 

 

 

Kommt die GPO auf den Rechnern an? RSOP.MSC auf einem XP-Client ausführen. Ist die GPO auch auf die OU verlinkt, in der sich die Computerkonten befinden? Findest Du in der Registry auf den Clients Einträge zum WSUS? HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate und darunter. Auf welchem Port wurde der WSUS installiert? 80 oer 8530?

so die computer tauchen jetzt im server auf. der server hat auch allen client computern den windows installer und bits installiert. jetzt habe ich eine gruppe angelegt (test) der computer in dieser gruppe soll updates erhalten jedoch funktioniert dies nun nicht mehr.

hab auch schon gpupdate /force und wuauclt /detectnow mehrfach versucht aber es tut sich nichts :(

GPO ist auf die OU verlinkt.

einträge in der registry sind vorhanden.

wurde auf port 8053 installiert.

gruß pentel

Hallo !

 

Schau dir mal folgenden Link an: WSUS.DE | HowTo

 

Gruß

 

BTW: Dieser Beitrag wäre besser im Backoffice-Forum aufgehoben :-)

schön und gut nur leider ist das nichts neues ich habe sicher fast jedes deutsch und englischsprachige how to wsus installation gelesen und trotzdem steht da zu dem problem nicht wirklich etwas drin.

im active directory ist alles richtig eingestellt und trotzdem registrieren sich die clients nicht.

falls das hier der falsche bereich ist kann manns ja verschieben ;)

hallo,

ich hab wsus 2.0 auf einem win2kserver laufen und alles eingestellt. Auch die gpo usw.

jedoch tauchen die rechner aus dem active directory nicht im wsus server unter computer auf? was hab ich vergessen oder evtl. falsch gemacht?

danke.

dann kann ich das mit den berechtigungen gepflegt weglassen?

is für wsus muss der .exe halt die rechte geben und bin mir nun nicht sicher ob das damit geht oder irgendwas anderes gemeint ist wo ich gerade nicht dran denke.

To recover from this error, you must manually grant Read and Execute permissions to %windir%\Microsoft.net\Framework\V1.1.4322\Csc.exe. 

Einfach mit diesem Fenster (natürlich dann mit Berechtigung zum ändern)?

oder denk ich da zu simpel?

gruß pentel

 

 

 

Der WSUS lädt die EXE-Dateien von den MS-Servern runter, und legt sie ins Content ab. Dort müssen die Clients die auch abholen können, ansonsten gibts keine aktuellen Clients.

also muss die erweiterung .exe aktiviert sein?

ist dies ein sicherheitsrisiko?

danke schonmal

edit: gelöst

You don't need to install it if you have an internal Firewall protecting your servers from the network.

von

http://www.msexchange.org/articles/IIS-Lockdown-Tool-Secure-Exchange-Installations.html

WSUS 2.0 SP1 ist bald "End of Life":

 

WSUS Life Cycle and Road Map FAQ

 

 

 

 

Ob der dann noch die Updates bei MS "ziehen" kann. ist nicht garantiert.

 

-Zahni

ja das der support nur bis ende april läuft ist nicht so ein problem vllt. gibts bis dahin hier mal einen neuen server ;) .

nur irgendwie find ich dort auch nichts was meine frage zu der .exe problematik beantwortet :/

gruß

 

URLSCAN soll bei W2K hauptsächlich verhindern, dass EXE-Dateien vom IIS lokal gestartet werden, falls die Konfig. vom IIS nicht korrekt ist. Allerdings müssen vom WSUS u.U. auch mal EXE-Dateien runtergeladen werden.

 

Da aber der aktuelle WSUS eh nicht mehr unter W2K läuft, ist das eigentlich egal. Der IIS 6 + 7 sind per default korrekt konfiguriert. Zumindest beim WSUS kann man ganz gut auf URLSCAN verzichten.

 

-Zahni

ich werde die wsus version verwenden die noch unter win2k läuft weil ich keine andere möglichkeit habe.

ist die dort genutzte IIS version auch richtig konfiguriert?

mich macht es halt nur stutzig das es in der anleitung so erklärt ist aber irgendwie fühl ich mich nicht ganz wohl dabei die *.exe zu erlauben.

kann man das evtl. auch später wieder abschalten und es läuft immernoch alles?

gruß pentel

Hi in der WSUS installations anleitung für win2k steht folgendes im bereich IIS Lockdown Tool:

Urlscan.ini ändern um *.exe Anfragen zu bearbeiten
\WINNT\System32\Inetserv\Urlscan
Remove ".exe" from the [DenyExtensions] section

dann ist es doch quasi erlaubt .exe dateien auszuführen oder nicht?

gibt es eine möglichkeit die nur lokal zuzulassen oder stellt es gar kein risiko da?

gruß pentel