wsusnoob

Alles andere muss sich jedenfalls für den Proxy authentifizieren. Der WSUS (u.a) ist da die Ausnahme.

Kann jetzt ein kleines Statusupdate abgeben: Hab erstmal nur den WSUS an sich zurückgesetzt mit einer Anleitung unter https://social.technet.microsoft.com/Forums/office/en-US/0119f29b-729e-469d-85b4-7d1e547ebe2d/how-to-completely-remove-wsus-on-windows-2012-r2?forum=winserverwsus

 

To re-install WSUS with a clean database ie no previous configuration;

Run Windows Powershell as Administrator and use the following commands:

Uninstall-WindowsFeature -Name UpdateServices,Windows-Internal-Database -Restart

Post restart, delete EVERYTHING in the "C:\Windows\WID" (for Win 2012 r2) folder, then run the following command to re-install WSUS:

Install-WindowsFeature UpdateServices -Restart 

 

Zwar läuft noch die Erstsynchronisierung und die Gruppen werden noch nicht korrekt angezeigt, aber die Clients geben wieder nach und nach Statusberichte ab. Mal schauen wie es aussieht, wenn er komplett fertig ist.

Sämtlicher Traffic, der Windows Update als Bezeichnung beinhaltet, wird durchgelassen. Ich habe mir einen Client rausgepickt der in einem anderen Segment liegt. Er kann auch nach wie vor den WSUS anpingen und auch die administrative Freigabe funktioniert.

Ich werde den Server nachher mal neu aufsetzen und schauen, wie es danach aussieht.

Wie steht der WSUS als Ausnahme drin? Name oder IP? Und was meinst Du mit dem Windows Update Client? Prüf auf dem WSUS in der Firewall ob denn auch Clients aus den anderen Netzwerksegmenten auf den WSUS zugreifen dürfen. Kannst Du den WSUS von den Clients aus anpingen? Kannst Du von einem Client aus den WSUS per SMB-Freigabe erreichen? \\DeinWSUS\c$ [ENTER].

Werde ich mal genauer nachprüfen und wahrscheinlich morgen nochmal Bescheid geben. Das "Windows Update Client" kannst du streichen, meinte WSUS allgemein

Also betrifft es auch richtig 'externe' Geräte und nicht nur interne. Schau dir die Sache mit dem BITS an, das rentiert sich auf jeden Fall.

Okay, werde mir dann mal anschauen und bei uns ansprechen, sobald der Albtraum hier vorbei ist.

 Die Freigaben holen sich die Clients vom WSUS, die Dateien holen sie sich von MS. Bei einem zweiten WSUS kannst Du das ja in den Optionen konfigurieren, kennst Du ganz bestimmt. ;)

Genau so isses.

Na da ist ja schon mal etwas. Sind die 'externen' Clients in eurem Netzwerk? [...]

Jepp, alle Clients sind im gleichen Netzwerk. Proxy gibts und der WSUS + Windows Update Client sind als Ausnahmen definiert. Zu dem Zeitpunkt wurde nichts an den Konfigurationen verändert.

Weshalb holen die nicht die Updates von deinem WSUS? [...]

Wurde damals so festgelegt, weil viele Mitarbeiter Notebooks verwenden und bspw. Zuhause über die eigene Leitung (und VPN) das Herunterladen von Updates zuverlässiger und schneller war / ist. 

Du kannst auch in den Niederlassungen auf den Servern [...]

Früher hatten unsere Niederlassungen eigene Server, aber mittlerweile steht alles hier im Haus.

Liegt es auch in Vertrauenswürdige Stammzertifizierungsstellen?

Nein, das Zertifikat wurde über die eigene Zertifizierungsstelle erstellt. Laut Doku reicht es in diesem Fall, wenn das Zertifikat nur unter Vertrauenswürdige Herausgeber vorhanden ist.

Berichten denn alle Clients/Server nicht mehr zum WSUS oder nur vereinzelte? Kannst Du es an etwas fest machen? Fehlerhafte Clients z.B. nur vom 3. Stock oder EG ist damit gemeint.

Es handelt sich um alle Clients, die Updates normalerweise aus dem Internet ziehen und nicht direkt von unserem Server. Diese Clients stehen in allen Niederlassungen verteilt.

Die Clients hier im Haus kriegen die Updates direkt von unserem Server. Diese geben auch noch Statusberichte ab; die Externen machen das nicht mehr.

Es ist also so, dass wir 2 Server haben: Der eine gibt den Clients bekannt, welche Updates denn aus dem Internet heruntergeladen werden sollen bzw. freigegeben sind (externe Clients) - der andere lädt sie sich direkt runter und verteilt diese (interne Clients).

Für die Externen wurden noch nie Updates, die vom WPP letztendlich kamen, freigegeben. Nur für interne Clients und dann auch nur die, die Mitglied in meiner WPP Test OU sind.

Das fehlerhafte Update (also KB3148812) war vorher nicht installiert, KB3159706 habe ich trotzdem mal installiert und danach noch die Schritte von https://support.microsoft.com/en-us/kb/3159706 befolgt.

Das Zertifikat wurde auf alle Clients verteilt und liegt auch unter "Vertrauenswürdige Herausgeber". Die Einstellung mit den signierten Updates aus dem Intranet ist ebenfalls bei den Clients und Servern gesetzt.

Über Nacht tat sich nichts...

Tut mir leid, wenn ich das nicht hier angegeben habe. Bin noch bei deinen Vorschlägen am probieren. Deshalb habe ich in der Zwischenzeit mal den anderen Post in Englisch verfasst, um eventuell mehr Input zu bekommen. Wie gesagt, ich melde mich nochmal wenns Ergebnisse gibt.

So, bin jetzt alle Sachen durchgegangen: Mehrmals die Serverbereinigung durchgeführt, auf einem Client den Windows Update Dienst gestoppt, den SoftwareDistribution Ordner gelöscht, den Dienst wieder gestartet und detectnow + reportnow gemacht - alles über die Kommandozeile als Admin. Leider kommt nichts bzw. es wird nichts übermittelt.

Wenn ich manuell nach Updates auf dem Client suche, kriege ich auch dort den Fehler mit dem Code 8024400E raus.  :(

Danke für die Vorschläge - dann lasse ich die Serverbereinigung erstmal durchlaufen (welcher wohl ein paar Stunden braucht).

Eingestellt sind aktuell lt. Kollege 4 Stunden.

Die Sache mit dem Client werde ich ausprobieren, sobald die Bereinigung durch ist. Ich melde mich, wenn es Neuigkeiten gibt.

Will der WSUS noch etwas downloaden?

Nein, steht auf Null.

Wie genau hast Du was im WPP gelöscht?

Im linken Teil des WPP, unter Updates, hab ich das jeweilige Update ausgewählt. Dann ein Rechtsklick auf den Updatetitel und auf "Löschen" (siehe Bild).

Naja, dachte mir "wenn's dem geholfen hat, warum nicht auch mir". :D 

War aber leider nix - nichts verbessert aber auch nix verschlimmert.

Ach sorry, ganz vergessen - es handelt sich um den Build 6.3.9600.18228 (OS ist also Windows Server 2012 R2 Standard).

Das mit dem Update freigeben und ablehnen war ein gescheiterter Versuch, die Sache zu beheben. Wurde jedenfalls auf einer Seite vorgeschlagen mit einem ähnlichen Fehler wie bei mir. 

Die gelöschten Updates (waren vielleicht 1 oder 2, die anderen sind noch da im WPP) waren letztendlich nur Tests um zu sehen, ob sie mir in der Test-OU angezeigt wurden. Habe die dann kurz danach wieder entfernt.

Hallo zusammen,

mittlerweile habe ich mit dem WSUS Package Publisher erfolgreich Updates auf meinem Testsystem installieren können. 

Das blöde ist jetzt nur, dass ich eine OU habe, in welcher die rund 150 Computer keine Statusreports mehr senden. Die letzten sind von vor der Installation und Benutzung des WSUS PP.

WindowsUpdate Log eines Clients (mit dem wahrscheinlichen interessanten Teil):

2016-08-16	07:00:49:371	 572	1344	PT	WARNING: Cached cookie has expired or new PID is available
2016-08-16	07:00:49:371	 572	1344	PT	Initializing simple targeting cookie, clientId = 5874a2e0-8020-43d3-ba92-b7b22b3df2de, target group = NL Clients Windows 7, DNS name = 013218wi7.ads.europart.net
2016-08-16	07:00:49:371	 572	1344	PT	  Server URL = http://wsus01:8530/SimpleAuthWebService/SimpleAuth.asmx
2016-08-16	07:00:49:496	 572	1344	PT	WARNING: GetCookie failure, error = 0x8024400D, soap client error = 7, soap error code = 300, HTTP status code = 200
2016-08-16	07:00:49:496	 572	1344	PT	WARNING: SOAP Fault: 0x00012c
2016-08-16	07:00:49:496	 572	1344	PT	WARNING:     faultstring:Fault occurred
2016-08-16	07:00:49:496	 572	1344	PT	WARNING:     ErrorCode:ConfigChanged(2)
2016-08-16	07:00:49:496	 572	1344	PT	WARNING:     Message:(null)
2016-08-16	07:00:49:496	 572	1344	PT	WARNING:     Method:"http://www.microsoft.com/SoftwareDistribution/Server/ClientWebService/GetCookie"
2016-08-16	07:00:49:496	 572	1344	PT	WARNING:     ID:1988f633-1433-498a-b674-04fb31398c87
2016-08-16	07:00:49:543	 572	1344	PT	WARNING: Cached cookie has expired or new PID is available
2016-08-16	07:00:49:543	 572	1344	PT	Initializing simple targeting cookie, clientId = 5874a2e0-8020-43d3-ba92-b7b22b3df2de, target group = NL Clients Windows 7, DNS name = 013218wi7.ads.europart.net
2016-08-16	07:00:49:543	 572	1344	PT	  Server URL = http://wsus01:8530/SimpleAuthWebService/SimpleAuth.asmx
2016-08-16	07:01:08:100	 572	1344	Agent	WARNING: Failed to evaluate Superseded rule, updateId = {8FB961A9-DB99-4FC6-B7A8-6487B0670B33}.3, hr = 8024E003
2016-08-16	07:01:29:995	 572	1344	PT	+++++++++++  PT: Synchronizing extended update info  +++++++++++
2016-08-16	07:01:29:995	 572	1344	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = http://wsus01:8530/ClientWebService/client.asmx
2016-08-16	07:01:30:057	 572	1344	PT	WARNING: GetExtendedUpdateInfo failure, error = 0x8024400E, soap client error = 7, soap error code = 400, HTTP status code = 200
2016-08-16	07:01:30:057	 572	1344	PT	WARNING: SOAP Fault: 0x000190
2016-08-16	07:01:30:057	 572	1344	PT	WARNING:     faultstring:Fault occurred
2016-08-16	07:01:30:057	 572	1344	PT	WARNING:     ErrorCode:InternalServerError(5)
2016-08-16	07:01:30:057	 572	1344	PT	WARNING:     Message:(null)
2016-08-16	07:01:30:057	 572	1344	PT	WARNING:     Method:"http://www.microsoft.com/SoftwareDistribution/Server/ClientWebService/GetExtendedUpdateInfo"
2016-08-16	07:01:30:057	 572	1344	PT	WARNING:     ID:2d17ebcc-d388-4eb5-baa6-9c88920fb8eb
2016-08-16	07:01:30:057	 572	1344	PT	WARNING: PTError: 0x8024400e
2016-08-16	07:01:30:057	 572	1344	PT	WARNING: GetExtendedUpdateInfo_WithRecovery: 0x8024400e
2016-08-16	07:01:30:057	 572	1344	PT	WARNING: Sync of Extended Info: 0x8024400e
2016-08-16	07:01:30:057	 572	1344	PT	WARNING: SyncServerUpdatesInternal failed : 0x8024400e
2016-08-16	07:01:30:073	 572	1344	Agent	  * WARNING: Exit code = 0x8024400E
2016-08-16	07:01:30:073	 572	1344	Agent	*********
2016-08-16	07:01:30:073	 572	1344	Agent	**  END  **  Agent: Finding updates [CallerId = AutomaticUpdates]
2016-08-16	07:01:30:073	 572	1344	Agent	*************
2016-08-16	07:01:30:073	 572	1344	Agent	WARNING: WU client failed Searching for update with error 0x8024400e
2016-08-16	07:01:30:073	 572	a40	AU	>>##  RESUMED  ## AU: Search for updates [CallId = {8D739C7B-44F3-4E42-A8A3-659FF19F1F6E}]
2016-08-16	07:01:30:073	 572	a40	AU	  # WARNING: Search callback failed, result = 0x8024400E
2016-08-16	07:01:30:073	 572	a40	AU	  # WARNING: Failed to find updates with error code 8024400E
2016-08-16	07:01:30:073	 572	a40	AU	#########
2016-08-16	07:01:30:073	 572	a40	AU	##  END  ##  AU: Search for updates [CallId = {8D739C7B-44F3-4E42-A8A3-659FF19F1F6E}]
2016-08-16	07:01:30:073	 572	a40	AU	#############

So ähnlich sieht das auch bei den anderen Clients aus.

SoftwareDistribution Log vom WSUS Server:

2016-08-16 06:48:12.877 UTC	Warning	w3wp.38	SoapUtilities.CreateException	ThrowException: actor = http://wsus01:8530/ClientWebService/client.asmx, ID=a8fc058d-2de3-4691-8aee-0904b05974c6, ErrorCode=InternalServerError, Message=, Client=22b5e3d3-b10d-49cc-94a4-97bb241c5570
2016-08-16 06:50:42.221 UTC	Error	w3wp.13	ClientImplementation.GetExtendedUpdateInfo	System.ArgumentException: The database does not contain a URL for the file 7E1786094E4CA9EA156CAECDB91FAF8D3E387146.
Parametername: fileDigests

Ich habe bisher versucht, alle selbst erstellten Updates freizugeben und dann wieder direkt abzulehnen - leider brachte das nichts. Leider sind auch nicht alle ursprünglich erstellten Updates im WSUS PP drin, weil ich auch welche daraus gelöscht habe.

Das erscheint mir alles sehr komisch. Für diese spezielle OU habe ich nie die WSUS PP Updates freigegeben - dafür hab ich ja meine Test-OU. Es ist aber trotzdem die einzige, welche keine Statusreports hergibt.

EDIT: Es sind doch mehrere OUs, aber diese ist die größte bzw. wichtigste.

Hat jemand eine Idee, was ich machen könnte?

Vorab vielen Dank für eure Vorschläge!

Viele Grüße

wsusnoob

Alles klar, scheint ja doch etwas komplizierter zu sein mit Java. Danke für den Link.

Mit den selbst erstellten Updates bin ich weitergekommen und hab die Lösung gefunden. Anscheinend MUSS man irgendwelche Regeln definieren, damit das Update auch ausgerollt wird. Leer geht wohl nicht. The more you know...

Jetzt fühle ich mich ziemlich dämlich. War mir sicher, dass auf den Clients noch ältere Versionen vor 2.2.2 drauf waren... Naja, danke hierfür schonmal :)

Bezüglich den selbst erstellten Sachen: Da stehe ich noch auf dem Schlauch. Hab da 2 Sachen - einmal ein Java Update und einmal Thunderbird (Packagetype: Application). Regeln gibts da keine. Testweise hab ich mal Java 6 installiert, Thunderbird war vorher nicht installiert.

Ich habe als Beispiel mal einen Screenshot mit den Updateregeln für VLC beigefügt, jedoch sind die für die anderen Pakete vom Aufbau her gleich. Bei meinem selbst erstellten Update habe ich keine Regeln erstellt.

Update schon installiert?:

Kann Update installiert werden?:

Hallo zusammen,

vorab: Wie mein Nutzername es schon verrät, bin ich noch recht neu in Sachen WSUS und Co. unterwegs. Für dämliche Fragen / Antworten will ich mich vorher entschuldigen...

Ich wollte auf unserem WSUS Server (Windows Server 2012 R2) mal den WSUS Package Publisher ausprobieren. Das Einrichten hat auch soweit geklappt.

Nun wollte ich mal ein paar Deployments für eine Testgruppe / OU ausprobieren. Hab da einmal selber ein Paket erstellt (mit einer .exe) und auch alternativ einen fertigen trial Katalog von einem Anbieter importiert (enthält 7-zip, notepad++, VLC player, Foxit Reader).

Jetzt ist es so, dass die Updates alle auch in der WSUS Konsole erscheinen, aber nach dem Freigeben für die Testgruppe / OU nichts kommt. Es fordern Clients aus anderen Gruppen die Updates an, aber leider niemand in meiner Testgruppe. Von den Gruppenrichtlinien her hab ich darauf geachtet, dass es da keine größeren Unterschiede zu den normalen Gruppen gibt.

Im WindowsUpdate.log konnte ich nichts finden was darauf schließen würde, dass etwas faul wäre.

Im WSUS Package Publisher stehen die Packages auf "Nicht verfügbar" (Testgruppe -> Testclient -> Bericht)

Neben einem Neustart des WSUS-Servers habe ich auch den lokalen Windows Update Dienst auf den Testclients neugestartet, jedoch ohne Erfolg.

Hab das Forum hier auch nach möglichen Lösungen durchgewühlt aber nichts gefunden, was dem hier entsprechen könnte.

Hat jemand eine Idee, was ich noch machen muss?

Vorab vielen Dank für eure Vorschläge :)

Viele Grüße

wsusnoob