ChrisRa

In der Praxis wohl in den meisten Unternehmen machbar. Es braucht ja nur eine LAN-Dose und einen nicht gesperrten Bildschirm. Ist allerdings die Frage, was es einem bringt, einem Client einen BSOD zu verpassen.

Siehe News: https://www.heise.de/security/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html

Da bricht jede Menge ab. Unter anderem die beiden: Der Dienst "Windows Update" wurde unerwartet beendet. Dienst "Update Orchestrator Service für Windows Update" wurde unerwartet beendet. Du meinst kb3194798, richtig? Danach läuft wieder alles. Einziger Ausweg, auf allen Clients das kb3194798 manuell zu installieren? :cry:

Ich habe noch ein Ärgernis. :-) Ich habe auf frisch installieren Clients (Windows 10 Build 1607 Build 14393.0) das Problem, dass die Downloads der Updates nach einer gewissen Zeit abbrechen. In dem konkreten Fall nun bei 34%. Der Windows Update Dienst stoppt (was ja scheinbar auch normal zu sein scheint) und alles steht. Ohne Fehlermeldung. Windows Update Log sagt in den letzten Zeilen: 2017.02.02 13:45:29.1195589 1928 6612 DownloadManager Queueing update {C3AFD167-A2FA-46D8-BF90-38E633EA58E0}.200 for download handler request generation. 2017.02.02 13:45:29.1383525 1928 6612 DownloadManager Queueing update {D3164C64-2AE4-49E8-982B-6FEF6A2EA2BC}.200 for download handler request generation. 2017.02.02 13:45:29.1619800 1928 6612 DownloadManager Queueing update {9F327267-3E98-4145-BFF1-297599F09698}.201 for download handler request generation. 2017.02.02 13:45:29.2134586 1928 6612 Shared Effective power state: AC 2017.02.02 13:45:29.2134634 1928 6612 Agent Released network PDC reference for callId {F996AF32-F46D-4EEF-9CC8-724B402AAE68}; ActivationID: 1146 2017.02.02 13:45:29.2134726 1928 6612 Agent Obtained a network PDC reference for callID {F996AF32-F46D-4EEF-9CC8-724B402AAE68} with No-Progress-Timeout set to 4294967295; ActivationID: 1150. 2017.02.02 13:45:29.2137405 1928 4912 Agent WU client calls back to download call {F996AF32-F46D-4EEF-9CC8-724B402AAE68} with code Call progress and error 0 ReportingEvents sagt: {BE0A2A2F-0F8B-469C-868D-34738E72727E} 2017-02-02 13:44:48:439+0100 1 147 [AGENT_DETECTION_FINISHED] 101 {00000000-0000-0000-0000-000000000000} 0 0 UpdateOrchestrator Success Software Synchronization Windows Update Client successfully detected 72 updates. {561D5113-1C0D-4FC0-9731-BEC3653B2637} 2017-02-02 13:44:48:452+0100 1 156 [AGENT_STATUS_30] 101 {00000000-0000-0000-0000-000000000000} 0 0 UpdateOrchestrator Success Pre-Deployment Check Reporting client status. Die Updates sind hauptsächlich für Office 2013. Das löschen des SoftwareDestribution Ordners bringt manchmal was. Manchmal auch nicht. Ich weiß gerade nicht so genau, wo ich weiter troubleshooten soll. BTW: Der WSUS ist nun auf 34GB, Danke!

Es hat funktioniert. War wohl wieder zu ungeduldig... :rolleyes:

Ja, das habe ich gerade schon geprüft. Ich habe das MSI auch noch einmal heruntergeladen und den ProductCode verglichen.(Diesen: ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/de_DE/AdbeRdr11000_de_DE.msi) Außerdem habe ich das MSP zum Update 11.0.19 auch einmal manuell im WPP angelegt. Auch das MSP hatte ich vom FTP von Adobe. Der Status der Clients im WPP lautet "Nicht verfügbar". SoftwareDistribution habe ich auch schon einmal gelöscht.

Hat bisher alles super geklappt. Ich habe den WSUS nun neu aufgesetzt. Er synct gerade noch. Nebenbei habe ich den WPP neu installiert und eingerichtet. Das Adobe 11.0 habe ich bereits als .msi verteilt und es kommt auch an. Nun habe ich das Update aus dem Katalog (nur das 11.0.19) freigegeben. Die Clients ziehen sich dies allerdings nicht. Ich habe mal die Regeln aus dem Adobe 11.0 Paket angehangen. So hatte es sonst immer funktioniert. Bei dem .msp aus dem Updatekatalog brauche ich ja keine Regeln definieren. Die sind ja bereits enthalten, richtig?

Das hilft mir sehr weiter! So langsam schließt sich der Kreis. Und wie handhabt der WSUS die abgelaufenen Updates? Also Updates, die durch andere ersetzt wurden? Werden diese bei der Serverbereinigung automatisch abgeleht und anschließend gelöscht? Oder muss man da auch noch manuell eingreifen?

Woran erkenne ich, welche Updates die Clients anfordern? Warte ich nach dem Patchday einfach, bis sich ein paar Clients gemeldet haben und ich diese unter dem Punkt "Computer, die dieses Update anfordern" auftauchen? Und bei einer Neuinstallation eines WSUS kann man doch unmöglich die zig tausende Updates für die ganzen Clientbetriebssysteme, Office Suits etc. manuell freigeben? Da sitzt man ja eine Woche vor dem Wsus. Geschweige denn, um dann noch heraus zu finden, welches Update welches ersetzt etc. pp. Ich finde es wirklich kompliziert, die Mechanik der Windows Updates und des WSUS komplett zu verstehen. Ich möchte das Thema allerdings verstehen. Deswegen nerve ich hier so rum. Ich bin euch dankbar für eure Geduld. Ich will hier wirklich niemandem auf den Leim gehen.

Was hat das denn mit trollen zu tun? Meine Theorie ist folgende: Ich habe am WSUS die Produkte aktiviert, die ich im Netz im Einsatz habe (SQL-Server, Windows 7, Windows 10, Server 2012 R2, Office 2013 und Office 2016). Mit den Klassifizierungen Definitionsupdate, Service Packs, Sicherheitsupdates, Update Rollups und Wichtige Updates. Außerdem die Sprache Deutsch. Diese Updates kann ich doch ohne weiteres automatisch genehmigen lassen. Manuell würde ich es ja auch tun, da ich diese Produkte in meiner Umgebung im Einsatz habe. Ich hatte allerdings die Treiber auch mit in der automatischen Genehmigungsregel und denke, dass dies das Problem war. Ich habe die Treiber nun aus dem Wsus raus genommen und abgelehnt. Nun warte ich 30 Tage und schaue mir den Speicher noch einmal an. Außerdem werde ich Dienstags nun die Updates manuell genehmigen. Vielleicht erkenne ich ja einen Unterschied. Ich will hier niemanden ärgern.

Ich habe nur Office 2013, Office 2016, SQL 2014, SQL2016, Windows 10, Windows 7 und Server 2012R2 drin. Außerdem die Treiberpakete. Könnten die das verursachen? Die hatte ich nämlich auch mit in der Genehmigungsregel. Ansonsten nur Sicherheitsupdates und Wichtige Updates. Edit: Sprache nur Deutsch.

Hab den WSUS nun neu aufgesetzt. Lande aber trotzdem noch bei 339GB. Keine Ahnung, was ich falsch mache... Oder anders gesagt: Keine Ahnung, wie ihr den auf 90GB bekommt. :)

Ich wollte nur noch einmal sicher gehen, dass mit "Content" der Ordner "WsusContent" gemeint ist. Entschuldige.

Ich frage lieber immer zwei mal. :D Danke!

Sowas habe ich gesucht! :-) Kann ich also einfach den Inhalt im "WsusContent" löschen und anschließend das wsusutil mit dem Parameter /reset ausführen?

Ja, das ist mir klar. Ich möchte den WSUS eigentlich nur vom belegten Speicherplatz bereinigen. Und das natürlich möglichst schnell. Geht mir sonst zu sehr auf die Leitungen.

Okay, jetzt habe ich die Theorie vom Wizzard verstanden. Kann man das irgendwie beschleunigen? Da sind sogar noch Server 2003 Updates dabei. Die Produkte waren fast alle angehakt.

Ich habe noch unheimlich viele abgelehnte Updates im Wsus. Er löscht diese allerdings nicht bei der Bereinigung. Wie kann das sein?

Ja, der wurde wirklich selten ausgeführt. Das Script baue ich ein. Er stürzt allerdings immer noch ab. Selbst wenn ich nur den obersten Punkt auswähle. Einfach hartnäckig weiter versuchen?

Das werde ich mal durcharbeiten. Danke! :-) Ich werde von meinem Erfolg oder Misserfolg berichten. Ja, habe ich. Der Bereinigungsassistent ist aber scheinbar immer abgestürzt, wenn ich alle angewählt hatte, wie in dem Artikel von Norbert beschrieben wird. Ich führe jetzt erstmal jede Option einzeln durch.

Ich habe mal die Klassifizierungen angepasst und eine Bereinigung durchgeführt. Sind leider immer noch 380GB. Kann ich irgendwie herausfinden, wo die her kommen? Wie kommt ihr denn auf 90GB?

Moin zusammen, ich habe an entfernten Standorten WSUS-Replikatserver aufgebaut. Kann man die Erstsynchronisation auch via Datenträger erledigen? 400GB über eine WAN-Strecke ist nicht so toll. Grüße und herzlichen Dank!

Ich habe gestern noch eine Nachtschicht eingelegt. Ich hatte wohl einen Flüchtigkeitsfehler. Lag doch am DNS. Die Software ist auf einen Server in eine neue Domäne gezogen. Das mit der Hosts hat geklappt. Danke für eure Tipps!

ODBC habe ich vorhin mal angelegt. Hat leider nichts gebracht. Ich habe Procmon vorhin mal mitlaufen lassen. Die Anwendung scheint doch über DNS zu gehen. Hab DNS wieder umgebogen. Habe allerdings Hinweise auf Verschlüsselung gefunden. Könnte wohl doch ein komplizierteres Problem werden? Folgende Dinge: C:\Windows\SysWOW64\mskeyprotect.dll C:\Windows\SysWOW64\ncrypt.dll HKLM\System\CurrentControlSet\Control\Cryptography\Providers C:\Windows\SysWOW64\ncryptsslp.dll Es sind 10.500 Ereignisse im Procmon zustande gekommen. Ich kriege daraus irgendwie nix vernünftiges zusammengereimt.

DNS habe ich nur über die lokale Hosts gemacht. Ist aber schon wieder zurückgestellt. Das habe ich noch nicht. Ich würde erstmal einen Weg über den Client vorziehen. Wenn es denn möglich ist.