reinerk 10 Posted June 18, 2008 Report Share Posted June 18, 2008 Hallo an die Gemeinde, förmlich "über Nacht" hat sich der WSUS auf einem Server 2003 "verabschiedet: Ich wurde darauf aufmerksam, da im Systemprotokoll Event-ID's 12002, 12022, 12032, 12042, 12052, 13042 auftauchen. EventID.Net und Microsoft "befragt", aber leider keine brauchbaren Lösungen für dieses Problem gefunden. WSUS deinstalliert und neu installiert : keine Besserung IIS deinstalliert und neu installiert : ebenfalls negativ Dann ist mir im Systemprotokoll des Servers aber aufgefallen, dass dem Konto IUSR_Server der Zugriff verweigert wurde ( Aufruferbenutzername "Netzwerkdienst" ) Die lokale Gruppe im AD "IIS_WPG" enthält nur ein Mitglied , nämlich den IUSR. Es fehlen "Dienst" , "System" und "Netzwerkdienst", und ich denke, da liegt das Problem. Aber wie bekomme ich die jetzt in diese lokale Domänengruppe ? Quote Link to comment
Sunny61 811 Posted June 18, 2008 Report Share Posted June 18, 2008 Hallo an die Gemeinde,förmlich "über Nacht" hat sich der WSUS auf einem Server 2003 "verabschiedet: Ich wurde darauf aufmerksam, da im Systemprotokoll Event-ID's 12002, 12022, 12032, 12042, 12052, 13042 auftauchen. Ui, kann ich den Server haben? Ich wollte schon immer mal einen zauberserver haben. ;) SCNR! :) Irgendeinen Grund muß und wird es auch dafür geben. Wurde ein Update von 3.0 auf 3.0 SP1 gemacht? 13042 sagt aus, daß Selfupdate nicht funktioniert. Dafür gibts nicht viele Fehlerquellen. EventID.Net und Microsoft "befragt", aber leider keine brauchbaren Lösungen für dieses Problem gefunden. WSUS deinstalliert und neu installiert : keine Besserung IIS deinstalliert und neu installiert : ebenfalls negativ Dann ist mir im Systemprotokoll des Servers aber aufgefallen, dass dem Konto IUSR_Server der Zugriff verweigert wurde ( Aufruferbenutzername "Netzwerkdienst" ) Unter diesem Konto "Netzwerkdienst" läuft normalerweise der Dienst Update Services. Die lokale Gruppe im AD "IIS_WPG" enthält nur ein Mitglied , nämlich den IUSR. Es fehlen "Dienst" , "System" und "Netzwerkdienst", und ich denke, da liegt das Problem. Aber wie bekomme ich die jetzt in diese lokale Domänengruppe ? Glaub ich nicht, daß es daran liegt. Kontrollier doch lieber mal die NTFS-Berechtigungen gem. diesen Dokumenten: Appendix D: Permissions on WSUS Directories and Registry Keys Appendix C: IIS Settings for Web Services Aber bitte Schritt für Schritt, nichts auslassen! Kontakten die Clients den WSUS noch? Oder gibts Fehlermeldungen in der WindowsUpdate.log? Quote Link to comment
reinerk 10 Posted June 19, 2008 Author Report Share Posted June 19, 2008 ....Irgendeinen Grund muß und wird es auch dafür geben... .... Kontrollier doch lieber mal die NTFS-Berechtigungen gem. diesen Dokumenten: ----------------------------------------------------------------- Aber bitte Schritt für Schritt, nichts auslassen! ok, war ein Stück Arbeit, das alles abzuchecken Ergebnis : alles so wie es sein soll. Das ist es ja eben, daß es sozusagen aus "heiterem Himmel nicht mehr funktioniert. Das Update auf WSUS 3SP1 wurde gleich nach dem Erscheinen durchgeführt und lief problemlos. Alle NTFS Berechtigungen sind ok, alle Einstellungen f. die virtuellen Verzeichnisse im IIS ebenfalls. Ich glaube doch bald, daß es an dieser Gruppenmitgliedschaft in der Gruppe "IIS_WPG" liegt : Bei mir läuft ebenfalls der WSUS in der genau gleichen Konfiguration (selbst die Verzeichnisnamen sind identisch) und auf meinem Server sind eben in dieser Gruppe IIS_WPG die Mitglieder "Dienst" "System" und "Netzwerkdienst" automatisch bei der Installation vom IIS hinzugefügt worden. Auf diesem Problemserver fehlen die..und lassen sich ja auch nicht hinzufügen. Irgendwie geht es jetzt nicht weiter. Quote Link to comment
Sunny61 811 Posted June 19, 2008 Report Share Posted June 19, 2008 ok, war ein Stück Arbeit, das alles abzucheckenErgebnis : alles so wie es sein soll. Das glaub ich dir. Mein Hinweis war aber nicht unbegründet. Wir hatten hier schon mal einen Thread dazu, da war im IIS an einer Stelle ein Häkchen zu viel. ;) Das ist es ja eben, daß es sozusagen aus "heiterem Himmel nicht mehr funktioniert. Hmm, sehr misteriös. Das Update auf WSUS 3SP1 wurde gleich nach dem Erscheinen durchgeführt und lief problemlos. Gut. Ich glaube doch bald, daß es an dieser Gruppenmitgliedschaft in der Gruppe "IIS_WPG" liegt : Bei mir läuft ebenfalls der WSUS in der genau gleichen Konfiguration (selbst die Verzeichnisnamen sind identisch) und auf meinem Server sind eben in dieser Gruppe IIS_WPG die Mitglieder "Dienst" "System" und "Netzwerkdienst" automatisch bei der Installation vom IIS hinzugefügt worden. Auf diesem Problemserver fehlen die..und lassen sich ja auch nicht hinzufügen. Irgendwie geht es jetzt nicht weiter. Doch die lassen sich hinzufügen. Du mußt den lokalen Computer auswählen, dann gehts. Habs grade gemacht. ;) Quote Link to comment
reinerk 10 Posted June 19, 2008 Author Report Share Posted June 19, 2008 Doch die lassen sich hinzufügen. Du mußt den lokalen Computer auswählen, dann gehts. Habs grade gemacht. ;) :confused: ..auf einem DC ? ..im AD Benutzer und Computer ? Quote Link to comment
Sunny61 811 Posted June 19, 2008 Report Share Posted June 19, 2008 :confused:..auf einem DC ? Hab ich was überlesen? Ich hab nix von einem DC in diesem Thread gelesen. :confused: ..im AD Benutzer und Computer ? Gib doch einfach mal NETZWERKDIENST ein und klick auf Namen überprüfen. Ich habs auf meinem DC gerade nachvollzogen. Gibts und geht. Mein WSUS läuft auf einem Memberserver, daher zuerst der Hinweis auf lokale Konten. ;) Kann es sein, daß der Server vorher mit installiertem WSUS ein Member war und dann einfach zum DC promoted wurde? Quote Link to comment
reinerk 10 Posted June 19, 2008 Author Report Share Posted June 19, 2008 Hab ich was überlesen? Ich hab nix von einem DC in diesem Thread gelesen. :confused:Kann es sein, daß der Server vorher mit installiertem WSUS ein Member war und dann einfach zum DC promoted wurde? ..hab vergessen den DC zu erwähnen. Nein die Kiste ist von Anfang an ein DC un der WSUS kam erst später rauf. "Netzwerkdienst" gibt's nicht zum hinzufügen. habe es auch schon mit ADSiEdit versucht, ohne Erfolg Quote Link to comment
Sunny61 811 Posted June 19, 2008 Report Share Posted June 19, 2008 ..hab vergessen den DC zu erwähnen.Nein die Kiste ist von Anfang an ein DC un der WSUS kam erst später rauf. OK, dann ist es ja gut. ;) "Netzwerkdienst" gibt's nicht zum hinzufügen. habe es auch schon mit ADSiEdit versucht, ohne Erfolg Auf einem Ordner oder Freigabe kannst Du aber den NETZWERKDIENST hinzufügen, oder geht das da auch nicht? Quote Link to comment
reinerk 10 Posted June 19, 2008 Author Report Share Posted June 19, 2008 Auf einem Ordner oder Freigabe kannst Du aber den NETZWERKDIENST hinzufügen, oder geht das da auch nicht? ja das klappt, aber im AD Benutzer&Computer fehlen unter "ForeignSecurityPrincipals" 2 SID's : 1-5-18 und 1-5-6 also Dienst und System will ich sie hinzufügen, ist "diese Gruppe bereits vorhanden" au mann, ich denke das AD ist hier "verbogen". Habs anders herum probiert : Netzwerkdienst als "Mitglied von" : IIS_WPG aber ebenso erfolglos : "AD Fehler: Ein neues Mitglied konnte nicht zu einer lokalen Gruppe hinzugefügt werden, da das Mitglied den falschen Kontentyp aufweist" Quote Link to comment
Sunny61 811 Posted June 19, 2008 Report Share Posted June 19, 2008 ja das klappt,aber im AD Benutzer&Computer fehlen unter "ForeignSecurityPrincipals" 2 SID's : 1-5-18 und 1-5-6 also Dienst und System will ich sie hinzufügen, ist "diese Gruppe bereits vorhanden" au mann, ich denke das AD ist hier "verbogen". Wenn dem wirklich so ist, dann solltest Du aber im Eventlog vom DC noch ein andere Fehler finden. Hast Du mehrere DCs? In Sachen AD bin ich kein Spezialist, da muß ich passen. Habs anders herum probiert : Netzwerkdienst als "Mitglied von" : IIS_WPG aber ebenso erfolglos : "AD Fehler: Ein neues Mitglied konnte nicht zu einer lokalen Gruppe hinzugefügt werden, da das Mitglied den falschen Kontentyp aufweist" Sorry, ich kann dir hier nicht mehr weiterhelfen. Quote Link to comment
reinerk 10 Posted June 19, 2008 Author Report Share Posted June 19, 2008 Sorry, ich kann dir hier nicht mehr weiterhelfen. schon ok, zu diesem Problem gibt's seit 2007 unzählige Beiträge, aber geholfen wurde da nicht so richtig. Scheint die AD Datenbank im A... zu sein Das Ganze sollte mit einer Verzeichnisdienstwiederherstellung klappen ( sicher bin ich da nicht ). Danke Dir nochmals für deine Mühe Quote Link to comment
Sunny61 811 Posted June 19, 2008 Report Share Posted June 19, 2008 Danke Dir nochmals für deine Mühe Bitte, gern geschehen. Bitte berichte doch, wie es gelaufen ist, die Lösung ist evtl. für spätere Anfragen auch noch interessant. Ich drück dir die Daumen. ;) Quote Link to comment
reinerk 10 Posted June 19, 2008 Author Report Share Posted June 19, 2008 ...Bitte berichte doch, wie es gelaufen ist, die Lösung ist evtl. für spätere Anfragen auch noch interessant. Ich drück dir die Daumen. ;) ..worauf Du Dich verlassen kannst !! Quote Link to comment
reinerk 10 Posted June 20, 2008 Author Report Share Posted June 20, 2008 ..@Sunny61 Es ist "vollbracht" Zum Glück war auf dem Server noch ein "SystemState-Backup" Verzeichniswiederherstellung gestartet...Backup zurück Alles wieder in bester Ordnung ! In der Tat war das AD irgendwie "verbogen" Mit ADSIEdit oder anderen ( zB von Sysinternals) AD-Tools kann man ja nun mal nichts bekennen, wenn die Datenbank online ist. Quote Link to comment
Sunny61 811 Posted June 21, 2008 Report Share Posted June 21, 2008 Es ist "vollbracht" Zum Glück war auf dem Server noch ein "SystemState-Backup" Verzeichniswiederherstellung gestartet...Backup zurück Alles wieder in bester Ordnung ! Super, freut mich für dich und Danke für die Rückmeldung. ;) In der Tat war das AD irgendwie "verbogen" Mit ADSIEdit oder anderen ( zB von Sysinternals) AD-Tools kann man ja nun mal nichts bekennen, wenn die Datenbank online ist. Jetzt solltest Du nur noch die Ursache für das "verbiegen" finden. AV-Scanner? HDD-Probleme? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.