Jump to content

WSUS-Client meldet sich, aber installiert nichts

Muffel

Von Muffel
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Muffel Experienced

Muffel   11

Geschrieben
Geschrieben

Hallo!

 

Ein ganz frisch installierter XP-Client meldet sich ordnungsgemäß beim WSUS 3, will sich aber nicht die Updates holen. Er sagt dem WSUS dass er 146 Updates haben will, aber er installiert kein einziges. Am Client wird auch nirgendwo das gelbe Schildchen rechts unten angezeigt, welches sonst auf irgendwelche Updates hinweist. Die GPOs sind ordentlich drin, AU ist automatisch gestartet, die Gruppenzuordnungen udn Genehmigungen passen.

 

Ich sehe als Ursache den Windows Installer 3.1 für Windows XP. Den möchte der Client gern haben und er scheint auch die Voraussstzung für alle Updates zu sein. Das ****e ist nur, dass WSUS meint, dass das Service Pack 2 für Windows Server 2003 diesen Installer ersetzt. Siehe grüne Markierungen in: http://img184.imageshack.us/img184/4145/zwischenablage03yn5.gif WSUS denkt, dass er keinen Windows Installer 3.1 für XP zu installieren braucht, weil dieses Update von Servicepack 2 für Windows Server 2003 ersetzt wird. Das ist doch totaler Unsinn!

 

Wie kan ich den XP-Client dazu bringen, den Installer 3.1 zu installieren, ohne dass ich zu dem Rechner gehen muss. Denn zukünftig sollen die Updates bei allen Rechnern funktionieren, ohne dass manuelle Eingriffe notwendig wären.

Link zu diesem Kommentar
nightflight71 Community Regular

nightflight71   10

Geschrieben
Geschrieben

Ich gehe mal davon aus, das du das Update auch genehmigt hast. In meinem WSUS 3.0 wird der Windows Installer 3.1 nicht von einem anderen Update ersetzt, allerdings ist der noch in einer Testumgebung und ohne die Server 2003 Updates.

 

Auf jeden Fall solltest du prüfen, wie dein WSUS mit ersetzten und abgelaufenen Updates umgeht, sollte die Einstellung sein, das ersetzte Updates entfernt werden, wird es schon echt haarig.

 

Zusätzlich solltest du an dem entsprechenden XP-PC die WindowsUpdate.log überprüfen, ist meistens sehr aufschlussreich, wenn es um Fehler bei Updates geht.

 

Ich hoffe das es kein Fehler von Microsoft ist, und wenn doch hoffentlich wird der korrigiert und der Windows Installer 3.1 wieder als einzelnes Update zu Verfügung gestellt, denn der ist wichtige Voraussetzung für die Clients für die Kommunikation mit dem WSUS 3.0

 

Für mich habe ich schon überlegt, ob ich nicht 2 verschiedene WSUS Server einsetze, um die Clients und Server getrennt mit Updates zu versorgen, da man bei Servern i.d.R. eh anders mit den Updates umgeht (Wartungszeitfenster)

Link zu diesem Kommentar
Muffel Experienced

Muffel   11

Geschrieben
  • Autor
Geschrieben
Für mich habe ich schon überlegt, ob ich nicht 2 verschiedene WSUS Server einsetze, um die Clients und Server getrennt mit Updates zu versorgen, da man bei Servern i.d.R. eh anders mit den Updates umgeht (Wartungszeitfenster)

 

Da reicht ein WSUS-Server. Du definierst einfach zwei Gruppen und legst unterschiedliche Timeouts für die Updates für die Gruppen fest.

 

Aber das ist auch gar nicht nötig. Du sagst einfach die Updates sind für alle am übernächsten Sonntag um 1:00 Uhr fällig (Gehnehmigung -> eine Woche -> Datum anpassen). So mache ich das immer wenn die Monatsupdates kommen. Alle beteiligten Rechner holen sich dann die Updates und beim Shutdown, oder auf User-Wunsch auch manuell, werden sie installiert. Wer es bis zum übernächsten Sonntag nicht gemacht hat bekommt sie reingeprügelt. Bei mir booten so alle Server Sonntag morgen um 1:00 Uhr durch und ich kümmer mich um gar nichts. User, die nicht aktualisiert haben und dann am Montag Morgen kommen, erhalten ein paar Minuten nach dem Frühstart ein Fenster, dass 30 Minuten wegen des Neustarts runterzählt, dann erfolgt der Zwangsboot.

 

Werden neue Rechner ins Netz aufgenommen erhalten die alle alten Updates zwangsverpasst, ob sie wollen oder nicht.

Link zu diesem Kommentar
Muffel Experienced

Muffel   11

Geschrieben
  • Autor
Geschrieben
Wie sehen denn die GPO's aus?

 

Relativ brutal, soll heißen alles eingestellt auf maximalen Admin-Komfort mit allen Nötigungen die es gibt.

 

Ich muss mir jetzt doch mal diesen einen XP-Rechner anschauen, denn ein zweiter XP-Rechner in der virtuellen Testumgebung hat soeben (gleiche OU im AD) nach einem "WUAUCLT /RESET... /DETECTNOW" auch den Windows Installer 3.1 geholt und installiert. Ohne das "WUAUCLT /RESET... /DETECTNOW" wollte der aber auch nicht anfangen, obwohl er schon seit über einem Tag "rumsteht".

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben
I

Für mich habe ich schon überlegt, ob ich nicht 2 verschiedene WSUS Server einsetze, um die Clients und Server getrennt mit Updates zu versorgen, da man bei Servern i.d.R. eh anders mit den Updates umgeht (Wartungszeitfenster)

 

Sorry, das ist ****sinn. Das regelt man mit verschiedenen GPO's, eine für Server und eine für Workstations.

Link zu diesem Kommentar
Muffel Experienced

Muffel   11

Geschrieben
  • Autor
Geschrieben
Sorry, das ist ****sinn. Das regelt man mit verschiedenen GPO's, eine für Server und eine für Workstations.

 

Ich merke an dieser Stelle mal an, dass mich als WSUS-Admin die GPO-Einstellungen herzlich wenig interessieren. Es reicht aus, wenn man per GPO dem WSUS-Client erklärt, dass er sich bei einem bestimmten WSUS-Server melden soll. Alle anderen Einstellungen sind zwar nett, aber die höchste Macht bin ich als WSUS-Server-Admin. Dem WSUS-Server ist es vollkommen egal, ob die Updates laut GPO "nur" heruntergeladen werden sollen oder ob die Updates nachts um 3 stattfinden sollen. Wenn ich am WSUS-Server festlege, dass das Update KB987654 am 29.12.2007 um 18:00 Uhr fällig ist, dann wird der WSUS-Client es auch spätestens zu dieser Zeit installieren und ggf. auch ein paar Minuten später booten. Die wenigsten WSUS-Admins wissen das, weil die meisten nur mit terminlosen Genehmigungen am WSUS-Server arbeiten.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben
Ich merke an dieser Stelle mal an, dass mich als WSUS-Admin die GPO-Einstellungen herzlich wenig interessieren. Es reicht aus, wenn man per GPO dem WSUS-Client erklärt, dass er sich bei einem bestimmten WSUS-Server melden soll. Alle anderen Einstellungen sind zwar nett, aber die höchste Macht bin ich als WSUS-Server-Admin.

 

ACK.

 

Dem WSUS-Server ist es vollkommen egal, ob die Updates laut GPO "nur" heruntergeladen werden sollen oder ob die Updates nachts um 3 stattfinden sollen. Wenn ich am WSUS-Server festlege, dass das Update KB987654 am 29.12.2007 um 18:00 Uhr fällig ist, dann wird der WSUS-Client es auch spätestens zu dieser Zeit installieren und ggf. auch ein paar Minuten später booten. Die wenigsten WSUS-Admins wissen das, weil die meisten nur mit terminlosen Genehmigungen am WSUS-Server arbeiten.

 

Auch ACK.

 

Mir ging es aber um die Aussage, daß 2 WSUS-Server installiert werden sollen, um unterschiedliche Einstellungen an die Clients/Server zu verteilen.

 

Ich dachte eher an den Unterschied zwischen Server + Client. Option 4 für die Clients, Option 3 ist mein persönlicher Favorit für die Server. Damit steuere ich die Installation und den Reboot selbst, bei meinen wenigen Servern kann ich da noch selbst Hand anlegen.

Link zu diesem Kommentar
Muffel Experienced

Muffel   11

Geschrieben
  • Autor
Geschrieben
@Muffel

 

Ja meist ist das so der Fall, weil die "Terminierung" als nicht ganz so wichtig angesehen wird !

 

Wie installiert ein User ohne lokale Adminrechte ein Sicherheitsupdate vom WSUS, wenn er es vom WSUS nicht per Timeout reingeprügelt bekommt? Geht das beim Shutdown? Ich habe diese ganzen Einstellungen zwar ausprobiert, aber das war noch zu WSUS 2.0 Zeiten.

 

Ich dachte eher an den Unterschied zwischen Server + Client. Option 4 für die Clients, Option 3 ist mein persönlicher Favorit für die Server.

 

Schön dass du gerade selbst festgestellt hast, dass du dafür maximal zwei Gruppenrichtlinien an getrennten OUs brauchst, aber keinesfalls zwei WSUS-Server!

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben
Wie installiert ein User ohne lokale Adminrechte ein Sicherheitsupdate vom WSUS, wenn er es vom WSUS nicht per Timeout reingeprügelt bekommt? Geht das beim Shutdown? Ich habe diese ganzen Einstellungen zwar ausprobiert, aber das war noch zu WSUS 2.0 Zeiten.

 

Die Option 4 mit Uhrzeit reicht völlig aus. Das ging sogar schon beim SUS 1.0. ;)

 

Schön dass du gerade selbst festgestellt hast, dass du dafür maximal zwei Gruppenrichtlinien an getrennten OUs brauchst, aber keinesfalls zwei WSUS-Server!

 

Ich weiß das schon lange, Du hast mich vermutlich mit nighflight71 verwechselt. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...