jm12 10 Geschrieben 22. April 2010 Melden Teilen Geschrieben 22. April 2010 Hallo Leute, habe einen quasi jungfräulichen SBS 2008 R2 Premium, also vor kürzester Zeit erst aufgesetzt. Keine besonderen Einstellungen vorgenommen, alles weitgehend dem automatisierten Installationsprozess überlassen. Alles funktioniert ansonsten auch bestens (also alle regulären Funktionen/Services einschließlich Exchange). Die WSUS-Konsole zeigt, dass auch die Synchronisierung solide funktioniert - es werden Dutzende Updates gezeigt. Auch in der SBS-Konsole werden für die Clients rückständige Updates angezeigt. Soweit, sogut ... Es findet aber keine Install der Updates statt. Wenn ich auf dem DC manuell eine Suche nach Updates anschubse, dann bekomme ich die Info "Windows ist auf dem neusten Stand" :( Das kann aber definitiv nicht sein. Wenn ich das manuell (wuauclt /detectnow) auf einem Client anschiebe, dann seh ich, dass der Server erkannt wird, dass der Port stimmt aber erhalte direkt danach die folgende Zeile WARNING: Failed to evaluate Installed rule, updateId = {BFE5B177-A086-47A0-B102-097E4FA1F807}.102, hr = 8024E001 Sowohl Default Website/Selfupdate (also Port 80) als auch WSUS-Verwaltung/Selfupdate (also Port 8530) zeigen auf den Pfad "C:\Program Files\Update Services\Selfupdate". Fazit: Weder auf einem beliebigen Client im Netz noch auf einem Server werden die Updates installiert. Die Liste in der WSUS-Konsole enthält aber alle Geräte und selbst die Details zu den Geräten (Hersteller, BS etc.) werden korrekt angezeigt. RSOP auf einem Client zeigt auch die erwarteten, aus der GP resultierenden Parameter (Host, Port, Zeitpunkt der Ausführung). Wo also kann hier der Fehler liegen? Hat jemand etwas vergleichbares beobachtet oder einen Tipp für mich? Dank vorab und Gruss Juergen Zitieren Link zu diesem Kommentar
jm12 10 Geschrieben 23. April 2010 Autor Melden Teilen Geschrieben 23. April 2010 Hat echt keiner einen Hinweis für mich :( Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 23. April 2010 Melden Teilen Geschrieben 23. April 2010 Hallo Bei der Meldung handelt es sich um eine Warnung und keinen Fehler - siehe u.a. hier Failed to evaluate Installed rule, updateId = {A901C1BD-989C-45C6-8DA0-8DDE8DBB69E0}.103, hr = 8024E001 Hast du am WSUS selbst etwas angepasst? LG Günther Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 23. April 2010 Melden Teilen Geschrieben 23. April 2010 Hast du denn die Updates auch zur Installation freigegeben? Zitieren Link zu diesem Kommentar
jm12 10 Geschrieben 24. April 2010 Autor Melden Teilen Geschrieben 24. April 2010 Hi Günther, hi Tesso, erstmal Dank für Euer Feedback. @Günther Ne - hab garnix angepaßt. Install. einfach durchlaufen lassen. Hatte nach dem ersten Blick ja (wie bereits beschrieben) auch nicht den EIndruck, dass was klemmt. Notwendige Updates wurden bei den Geräten jeweils korrekt angezeigt. @Tesso Es ist so, dass der WSUS im SBS die sowieso nach eigenen Regeln freigibt. Insbesondere für die Server. Aber auch das hab ich natürlich als erstes geprüft, als nix losging. Sowohl für die Server als auch für die Clients stehen die Mehrzahl der Updates auf dem Status "Genehmigung = Installieren" aber "Status=Nicht installiert", wenn ich den "Detallierten Updatestatusbericht" aufrufe. Auch in der Ereignisanzeige für die Rolle WSUS gibt es keine Fehler. Die Snchronisierung schlägt ab und zu mal fehl, aber keinerlei Hinweis auf die Geräte. Aber vielleicht werden hier ja auch tatsächlich nur Ereignisse des WSUS geloggt, der für sich betrachtet ja offenbar seinen Dienst tut. @Günther Kann es sein, dass irgendeine Einstellung beim automatischen Erzeugen der Policies (vorrangig Update Services Common Settings Policy) daneben gegangen ist?! Oder dass es noch einer zusätzlichen Einstellung dort bedurft hätte? Nach dem, was ich mir bisher so erlesen habe, wurde meines Erachtens alles erfaßt und auch beim RSOP so abgebildet - aber das sind im Wesentlichen naürlich nur die Parameter zum Server (also Hostname), zum Port und zum Zeitpunkt, zu dem die Updates durchgeführt werden sollen. Kann da noch etwas fehlen? Was mich am meisten wundert, ist, dass selbst auf dem DC, wo also auch der WSUS läuft, keine Updates gefunden werden. Das macht doch den Eindruck, als ob der garnicht mit dem WSUS kommuniziert - oder?! Auf dem DC steht unter Ereignisanzeige/Anwendungs- und Dienstprotokolle/Microsoft/WindowsUpdateClient alle 30 Minuten ein Eintrag "Es wurden 0 Updates gefunden." ... :confused: Gruss Juergen Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 24. April 2010 Melden Teilen Geschrieben 24. April 2010 @Günther Ne - hab garnix angepaßt. Install. einfach durchlaufen lassen. Hatte nach dem ersten Blick ja (wie bereits beschrieben) auch nicht den EIndruck, dass was klemmt. Notwendige Updates wurden bei den Geräten jeweils korrekt angezeigt. Schau im IIS nach ob der WSUS auf Port 8530 installiert ist. Ebenfalls muß es eine Virtuelle Site Selfupdate auf Port 80 geben. Die muß ins Dateisystem %programfiles%\Update Services\Selfupdate zeigen. Weiter muß es im Dateisystem auch ein paar Freigaben vom WSUS geben. WSUSContent und WSUSTemp sollten es sein. @Tesso Es ist so, dass der WSUS im SBS die sowieso nach eigenen Regeln freigibt. Insbesondere für die Server. Hmm, kann ich mir zwar nicht vorstellen, aber möglich ist alles. Dazu sollte es dann Regeln geben, die findet man in der WSUS-Konsole in den Optionen. Aber auch das hab ich natürlich als erstes geprüft, als nix losging. Sowohl für die Server als auch für die Clients stehen die Mehrzahl der Updates auf dem Status "Genehmigung = Installieren" aber "Status=Nicht installiert", wenn ich den "Detallierten Updatestatusbericht" aufrufe. Was sagt die Startseite vom WSUS? Downloadstatus ist wichtig. http://www.grurili.de/Bilder/WSUS3_27.gif Auch in der Ereignisanzeige für die Rolle WSUS gibt es keine Fehler. Die Snchronisierung schlägt ab und zu mal fehl, aber keinerlei Hinweis auf die Geräte. Aber vielleicht werden hier ja auch tatsächlich nur Ereignisse des WSUS geloggt, der für sich betrachtet ja offenbar seinen Dienst tut. Natürlich werden im Log vom SBS keine Fehler von den Clients protokolliert. @Günther Kann es sein, dass irgendeine Einstellung beim automatischen Erzeugen der Policies (vorrangig Update Services Common Settings Policy) daneben gegangen ist?! Oder dass es noch einer zusätzlichen Einstellung dort bedurft hätte? Das siehst Du gleich selbst. In der Registry auf dem SBS und auf den Clients solltest Du so einen Eintrag finden: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate Steht der SBS richtig mit Port 8530 drin? Nach dem, was ich mir bisher so erlesen habe, wurde meines Erachtens alles erfaßt und auch beim RSOP so abgebildet - aber das sind im Wesentlichen naürlich nur die Parameter zum Server (also Hostname), zum Port und zum Zeitpunkt, zu dem die Updates durchgeführt werden sollen. Kann da noch etwas fehlen? So eine GPO kann schon mehr beinhalten. http://www.wsus.de/images/WSUSGPO.png Was mich am meisten wundert, ist, dass selbst auf dem DC, wo also auch der WSUS läuft, keine Updates gefunden werden. Das macht doch den Eindruck, als ob der garnicht mit dem WSUS kommuniziert - oder?! Auf dem DC steht unter Ereignisanzeige/Anwendungs- und Dienstprotokolle/Microsoft/WindowsUpdateClient alle 30 Minuten ein Eintrag "Es wurden 0 Updates gefunden." ... :confused: Kontrollier die o.g. Einstellungen in der Registry. Sind sie vorhanden, dann mußt Du kontrollieren ob die Updates auch für die Gruppen im WSUS freigegeben sind, in denen die Server und Clients Mitglied sind. Zitieren Link zu diesem Kommentar
jm12 10 Geschrieben 24. April 2010 Autor Melden Teilen Geschrieben 24. April 2010 hi sunny61, Dank für Deine umfangreiche Hilfe!! ich gehe es mal der Reihenfolge nach durch. Schau im IIS nach ob der WSUS auf Port 8530 installiert ist ja, das ist der Fall; kommt ja (wie beschrieben) auch per GPO so beim Client an Ebenfalls muß es eine Virtuelle Site Selfupdate auf Port 80 gebenwie in meinem ersten Post beschrieben: Sowohl Default Website/Selfupdate (also Port 80) als auch WSUS-Verwaltung/Selfupdate (also Port 8530) zeigen auf den Pfad "C:\Program Files\Update Services\Selfupdate" Weiter muß es im Dateisystem auch ein paar Freigaben vom WSUS gebenEs gibt eine Freigabe "UpdateServicesPackages", "WsusContent" und "WSUSTemp" Hmm, kann ich mir zwar nicht vorstellen, aber möglich ist allesIch hab das mehr oder weniger daraus geschlossen, dass es Dutzende Updates gab, die bereits mit einer Freigabe zum Installieren aufgeführt werden, obschon ich da manuell noch nichts gemacht hatte - also direkt nach den ersten erfolgreichen Synchronisierungen. Ist ein SBS - da funktioniert ja einiges nach anderen Regeln ... Was sagt die Startseite vom WSUS? Downloadstatus ist wichtigHmm - liegt hier der Hase im Pfeffer?? Da steht bei mir: "Updates die Dateien erfordern: 3.227" und weiter "0,00 MB von 30.239 MB heruntergeladen". Unter Serverstatistik steht ferner "Genehmigte Updates: 3.226". Ich hatt mich bei einer ersten Fehlersuche (vielleicht leichtfertig) davon ablenken lassen, dass die Datenbak des SUS eine Größe von 2,7 GB anzeigt und bin daher davon ausgegangen, dass er die erkannten Updates auch bereits heruntergeladen hat. Hätte da also was anderes stehen sollen?? Was mir jedoch immer noch nicht einleuchtet ist, dass bei erfolgreicher Abfrage des WSUS trotzdem die Info ankommen müßte, dass es notwendige (und freigegebene) Updates gibt ... Das siehst Du gleich selbst. In der Registry auf dem SBS und auf den Clients solltest Du so einen Eintrag finden:Das ist sowohl bei einem beliebigen Client als auch beim DC der Fall. So eine GPO kann schon mehr beinhaltenDas ist bei mir auch der Fall - insofern war meine vorherige Beschreibung etwas unpräzise. Allerdings sind bei mir keine Vorgaben in den Richtlinien bezüglich "Sicherheitseinstellungen/Systemdienste". In der "Update Services Common Settings Policy" gibt es nur die Dinge, die in dem von Dir verlinkten Bild auch unter "Windows Komponenten/Windows Update" stehen Und last but not least hab ich noch einmal geprüft, ob die Geräte auch zu den passenden Gruppen gehören - auch das ist der Fall. Alle Server sind der Servergruppe und alle Clients (XP) in der Computergruppe ... Danke und Gruss Juergen Zitieren Link zu diesem Kommentar
jm12 10 Geschrieben 24. April 2010 Autor Melden Teilen Geschrieben 24. April 2010 Hi sunny, im Nachgang noch ein Gedanke: Wenn die bei mir in der GPO nicht aufgefüphrten EInstellungen zum BITS nicht in Ordnung wären, würde das jeweilige Gerät ja aber auch keine Updates bei MS finden, downloaden und installieren - oder?! Das tun sie aber. Wenn ich dem Server z.B. sage, er soll nicht beim WSUS sondern "online" suchen, dann findet der auf Anhieb dutzende Updates ... gruss Juergen Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 24. April 2010 Melden Teilen Geschrieben 24. April 2010 Hallo. Schau zur genauen Konfiguration hier nach - Repair Windows Server Update Services Und halte dich genau daran - jede Abweichung von der sogenannten "green" Konfiguration wirkt sich negativ auf die WSUS Steuerung in der SBS Console aus - LG Günther Zitieren Link zu diesem Kommentar
jm12 10 Geschrieben 25. April 2010 Autor Melden Teilen Geschrieben 25. April 2010 Hi GuentherH, hi sunny61, hi all ... nochmals Dank für Eure Unterstützung und die ausführlichen Hinweise. Die waren ganz sicher alle gut, aber die Lösung war viel trivialer. Aber das ist ausschließlich meine Schuld!! Ich habe vor dem DC einen Proxy zu stehen. Auf dem Proxy gibt es eigentlich eine Regel, dass "MS" immer am Proxy vorbeigeht. Die Regel hat ja offenbar bei der Synchronisierung auch gezogen. Aber eben bei dem durch den WSUS initiierten Download nicht. Verstehe ich zwar nicht, weil bei einem direkten Aufruf der MS-Download-Website keine Probleme auftraten ... aber egal. Vielleicht ist die Site einfach eine andere ... wer weiß ... Ich habe also im WSUS unter Proxy die regulären Parameter eingetragen, die ich sonst für die Browser via GPO verteile und die für einen Inet-Zugang auf einem Client erforderlich sind - und prompt lief der WSUS los und downloadete. :cool: Und kaum hatte er die ersten paar GB gedownloaded machte es auf den Servern und den Clients überall "DingDong ... es stehen neue Updates bereits ...". Oh man ... manchmal denkt man doch an das selbstverständlichste wirklich erst zuletzt ... Nochmals Dank an alle!! Thread kann somit auf "erledigt" gesetzt werden. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 25. April 2010 Melden Teilen Geschrieben 25. April 2010 Hallo. Fein, das es jetzt klappt. Aber dieser Thread ist wieder einmal der Beweis wir wichtig es für den TO ist seine Umgebung genau zu beschreiben. LG Günther Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 im Nachgang noch ein Gedanke: Wenn die bei mir in der GPO nicht aufgefüphrten EInstellungen zum BITS nicht in Ordnung wären, würde das jeweilige Gerät ja aber auch keine Updates bei MS finden, downloaden und installieren - oder?! Das tun sie aber. Wenn ich dem Server z.B. sage, er soll nicht beim WSUS sondern "online" suchen, dann findet der auf Anhieb dutzende Updates ... Du gehts vermutlich mit dem IE direkt auf Windows Update, richtig? Wenn ja, dann ist das klar, es wird gedownloadet. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 Fein, das es jetzt klappt. Aber dieser Thread ist wieder einmal der Beweis wir wichtig es für den TO ist seine Umgebung genau zu beschreiben. Und beim WSUS auch einen Blick auf die Startseite zu werfen. Die wird viel zu viel unterschätzt. ;) Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 Ich hab das mehr oder weniger daraus geschlossen, dass es Dutzende Updates gab, die bereits mit einer Freigabe zum Installieren aufgeführt werden, obschon ich da manuell noch nichts gemacht hatte - also direkt nach den ersten erfolgreichen Synchronisierungen. Ist ein SBS - da funktioniert ja einiges nach anderen Regeln ... Das sind u.a. wichtige WSUS-Updates, die werden gleiche nach dem synchronisieren zum installieren freigegeben. Da ist beispielsweise der "aktuelle" Windows Installer dabei. Hmm - liegt hier der Hase im Pfeffer?? Da steht bei mir: "Updates die Dateien erfordern: 3.227" und weiter "0,00 MB von 30.239 MB heruntergeladen". Unter Serverstatistik steht ferner "Genehmigte Updates: 3.226". Und spätestens jetzt hättest Du ohne über Los zu gehen das Eventlog aufsuchen müssen. Und dort findest Du exakte Fehlermeldungen für Dein Problem. Auf Troubleshooting Microsoft Windows Event Logs gibts die passenden Lösungen dazu. Ich hatt mich bei einer ersten Fehlersuche (vielleicht leichtfertig) davon ablenken lassen, dass die Datenbak des SUS eine Größe von 2,7 GB anzeigt und bin daher davon ausgegangen, dass er die erkannten Updates auch bereits heruntergeladen hat. In der SUSDB wird keine Datei gespeichert. Dort werden nur die META-Daten abgespeichert. Die Updates sind im Dateisystem im WSUSContent zu finden. Hätte da also was anderes stehen sollen?? Was mir jedoch immer noch nicht einleuchtet ist, dass bei erfolgreicher Abfrage des WSUS trotzdem die Info ankommen müßte, dass es notwendige (und freigegebene) Updates gibt ... Das Update ist ja freigegeben, es ist nur noch nicht im Dateisystem vorhanden. Startseite beobachten! :) Das ist bei mir auch der Fall - insofern war meine vorherige Beschreibung etwas unpräzise. Allerdings sind bei mir keine Vorgaben in den Richtlinien bezüglich "Sicherheitseinstellungen/Systemdienste". In der "Update Services Common Settings Policy" gibt es nur die Dinge, die in dem von Dir verlinkten Bild auch unter "Windows Komponenten/Windows Update" stehen Dann überleg dir das gleich mit einzubauen. Das nächste Mal suchst Du wie wild rum und es sind dann nur Dienste die deaktiviert sind. Mit der GPO sollte spätestens nach 2 Neustarts alles im grünen Bereich sein. Zitieren Link zu diesem Kommentar
jm12 10 Geschrieben 28. April 2010 Autor Melden Teilen Geschrieben 28. April 2010 @GuentherH wir wichtig es für den TO ist seine Umgebung genau TO ??? @sunny61 beim WSUS auch einen Blick auf die Startseite zu werfen. Die wird viel zu viel unterschätzt... wie recht Du hast ...;) Und spätestens jetzt hättest Du ohne über Los zu gehen das Eventlog aufsuchen müssen... da irrst Du Dich leider. Wie beschrieben, stand da garnichts - außer die Erfolgsmeldungen für die stets funktionierende Synchronisierung. Sonst hätte ich hier sicher eher nach dem "Wurm im Gebälk" gesucht ;) Die Rolle WSUS hat ja ein eigenes Protokoll und dort wurde mit schöner Regelmäßigkeit alle 120 Minuten die Ereignis-ID 10000 geloggt: "WSUS funktioniert ordnungsgemäß." In der SUSDB wird keine Datei gespeichert... da hast Du natürlich recht. Mein Fehler bestand eben darin, aus dem Anwachsen der Datenbank zu schließen, dass mit der erfolgreichen Synchronisierung auch der Download der Daten stattgefunden hätte. Genau dieser Zusammenhang besteht aber eben nicht. Wie Du schon sagtest: Ein (exakter) Blick auf die Startseite hätte die Erkenntnis gebracht - da war ich zu oberflächlich. Du gehts vermutlich mit dem IE direkt auf Windows Update, richtig? Wenn ja, dann ist das klar, es wird gedownloadet.Ja, genau. Und ich dachte mir, dass die Quelle für den WSUS die selbe ist, wie für einen beliebigen Host. Wenn dies der Fall gewesen wäre, dann hätte meine Proxy-Regel das auch abdecken müssen ... aber es war ein typischer Fall von "hätte", "sollte" und "müßte" ...:D Nochmal Dank für Eure Unterstützung!! Gruss Juergen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.