GenkingerHUBTEX 10 Geschrieben 7. Juli 2010 Melden Teilen Geschrieben 7. Juli 2010 Hallo zusammen. Seit Gestern installiert mein WSUS 3.0 Updates, die gar nicht erlaubt sind. Der WSUS läuft auf einem W2k3-Server und ich konnte mich bisher nicht beklagen. Zu den Umständen: Es geht hier um den Internet Explorer 8, der verhindert, dass eine andere Software funktioniert. Es ist unser altes ERP-System PSI Penta, das in unserem Release nur mit IE7 funktioniert. Einige Mitarbeiter nutzen Penta allerdings noch um alte Vorgänge nachzuschauen. Also habe ich im WSUS zu den anderen Computergruppen eine Gruppe "InternetExplorer7" und eine Gruppe "InternetExplorer8" angelegt. Die Pcs habe ich entsprechend zugeordnet. der Gruppe "InternetExplorer8" habe ich die IE8-Updates explizit "genehmigt" und für "InternetExplorer7" habe ich die Updates "nicht genehmigt". Für alle anderen Gruppen sind die Updates ja standardmäßig nicht genehmigt. Wenn ich den IE8 nun wieder manuell deinstalliere (er ist ja per WSUS nicht entfernbar), ist er nach kurzer Zeit wieder drauf und Penta funktioniert wieder nicht. Hat jemand eine Idee warum WSUS Updates installiert, die er gar nicht soll? Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 7. Juli 2010 Melden Teilen Geschrieben 7. Juli 2010 Hat jemand eine Idee warum WSUS Updates installiert, die er gar nicht soll? Hi, ich vermute mal das hier etwas in den Einstellungen nicht stimmt beziehungsweise etwas falsch genehmigt worden ist. Am besten noch einmal alles überprüfen. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 7. Juli 2010 Melden Teilen Geschrieben 7. Juli 2010 Seit Gestern installiert mein WSUS 3.0 Updates, die gar nicht erlaubt sind. Nein, das tut der WSUS ganz bestimmt nicht. Der WSUS läuft auf einem W2k3-Server und ich konnte mich bisher nicht beklagen. Gut. Welche WSUS-Version genau? Ist das SP2 von 2003 installiert? Also habe ich im WSUS zu den anderen Computergruppen eine Gruppe "InternetExplorer7" und eine Gruppe "InternetExplorer8" angelegt. Die Pcs habe ich entsprechend zugeordnet. der Gruppe "InternetExplorer8" habe ich die IE8-Updates explizit "genehmigt" und für "InternetExplorer7" habe ich die Updates "nicht genehmigt". Für alle anderen Gruppen sind die Updates ja standardmäßig nicht genehmigt. Bei den Updates ist es völlig egal, ob Du sie für eine oder mehrere Gruppen freigibst. Wenn der IE8 installiert ist, holt der Client sich nur die Updates für den IE8. Es werden nicht einfach auch Updates für den IE8 installiert, wenn er gar nicht installiert ist. Wenn ich den IE8 nun wieder manuell deinstalliere (er ist ja per WSUS nicht entfernbar), ist er nach kurzer Zeit wieder drauf und Penta funktioniert wieder nicht. Du kannst den IE8 ja auch per Script entfernen. Wenn der IE8 im WSUS freigegeben ist, dann wird er selbstverständlich immer wieder installiert. Du mußt den IE8 im WSUS suchen, finden und dort die Genehmigung korrigieren. Hat jemand eine Idee warum WSUS Updates installiert, die er gar nicht soll? Nur zur Info, der WSUS ist dumm wie trocken Brot und installiert nichts, aber auch gar nichts. Er stellt sich hin und bietet die Updates an. Nicht mehr und nicht weniger. Den Rest macht der Windows Update Agent auf den Clients. Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 9. Juli 2010 Autor Melden Teilen Geschrieben 9. Juli 2010 Also gut nochmal: mir gehts nicht um die UPDATES vom ie8 sondern um den ie8 selbst. der ist für NUR EINE gruppe genehmigt, (Genehmigungen sind definitiv korrekt) für alle anderen nicht. Er wird aber auch auf anderen Clients installiert. Dass die Clients sich die Updates selbst holen ist mir bewusst, falsche Formulierung, sorry. Version: SP2 ie8 entfernen hilft auch nix, da die Clients wohl meinen, dass sie ihn wieder haben wollen. Hab den jetzt auf manchen PCs schon mehrmals entfernt. Kommt immer wieder. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. Juli 2010 Melden Teilen Geschrieben 9. Juli 2010 Also gut nochmal:mir gehts nicht um die UPDATES vom ie8 sondern um den ie8 selbst. der ist für NUR EINE gruppe genehmigt, (Genehmigungen sind definitiv korrekt) für alle anderen nicht. Er wird aber auch auf anderen Clients installiert. Dann sind die Genehmigungen nicht korrekt. ie8 entfernen hilft auch nix, da die Clients wohl meinen, dass sie ihn wieder haben wollen. Hab den jetzt auf manchen PCs schon mehrmals entfernt. Kommt immer wieder. Kontrollier die Genehmigungen. Erstell eine neue Updateansicht nur für eine Gruppe, in der der IE8 nicht genehmigt sein soll. Wie siehts aus? Sind die betroffenen Clients evtl. Mitlgieder in mehreren Gruppen? Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 9. Juli 2010 Autor Melden Teilen Geschrieben 9. Juli 2010 Was kann man falsch machen, wenn man etwas FÜR NUR EINE gruppe genehmigt? Hardcopy im Anhang. Updateansichten: genau so wie es sein soll. Die Gruppen haben die Updates eingetragen, wie ich es wünsche. Die Clients sind selbstverständlich in mehreren Gruppen, aber das ist völlig unerheblich, da -wie gesagt- nur für eine Gruppe genehmigt wurde. Wenn die Vererbung ziehen würde, dann dürfte außerdem, wenn überhaupt, gar kein Client den ie8 erhalten. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 9. Juli 2010 Melden Teilen Geschrieben 9. Juli 2010 (bearbeitet) Was kann man falsch machen, wenn man etwas FÜR NUR EINE gruppe genehmigt? Hardcopy im Anhang. Dass die Clients zusätzlich Mitglied in der einen Gruppe sind. Kontrollier doch auf den Clients die Registry Einträge bei den Policies. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update und darunter. Die Clients sind selbstverständlich in mehreren Gruppen, aber das ist völlig unerheblich, da -wie gesagt- nur für eine Gruppe genehmigt wurde. Wenn die Vererbung ziehen würde, dann dürfte außerdem, wenn überhaupt, gar kein Client den ie8 erhalten. Gibts evtl. eine GPO die den IE8 installiert? EDIT: Habt ihr evtl. einen Downstream-WSUS im Einsatz? Wenn ja, könnte es durchaus sein, dass der IE8 dort freigegeben ist. bearbeitet 9. Juli 2010 von Sunny61 Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 12. Juli 2010 Autor Melden Teilen Geschrieben 12. Juli 2010 Im Anhang die GPO für Windows Update und die Reg-Werte. Per GPO wird nichts installiert. Habt ihr evtl. einen Downstream-WSUS im Einsatz? Der WSUS ist der einzige. Also kein extra Downstream. Dass die Clients zusätzlich Mitglied in der einen Gruppe sind. Ich hab die Gruppenzugehörgkeit kontrolliert. Es ist durchweg richtig so. Dass da mal ein Client vll falsch zugeordnet wurde wär zwar durchaus denkbar. Aber ganz sicher nicht ALLE. Und das hab ich auch schon gedacht, dass der Fehler da liegen könnte. Ist aber einfach unwahrscheinlich, dass es dann plötzlich bei allen so ist. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 12. Juli 2010 Melden Teilen Geschrieben 12. Juli 2010 Im Anhang die GPO für Windows Update und die Reg-Werte. Die Anhänge mußt Du von den Moderatoren freischalten lassen. Alternativ auf einen Filhoster uploaden und den Link hier posten. File-Upload.net - Ihr kostenloser File Hoster! Per GPO wird nichts installiert. OK. Der WSUS ist der einzige. Also kein extra Downstream. Gut. Ich hab die Gruppenzugehörgkeit kontrolliert. Es ist durchweg richtig so. Dass da mal ein Client vll falsch zugeordnet wurde wär zwar durchaus denkbar. Aber ganz sicher nicht ALLE. Und das hab ich auch schon gedacht, dass der Fehler da liegen könnte. Ist aber einfach unwahrscheinlich, dass es dann plötzlich bei allen so ist. Nimm einen der betroffenen Clients und verschieb ihn im AD so, dass er nicht mehr im Verwaltungsbereich der WSUS-GPO liegt. Gpupdate auf dem Client und neu starten. Mit RSOP.MSC kontrollieren dass auch wirklich keine WSUS-GPO mehr wirkt. IE8 deinstallieren und neu starten. Wird der IE8 jetzt wieder gedownloadet und installiert? Kontrollier auch die %windir%\WindowsUpdate.log. Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 12. Juli 2010 Autor Melden Teilen Geschrieben 12. Juli 2010 Die Anhänge mußt Du von den Moderatoren freischalten lassen. Bei mir zeigts die schon an. Nimm einen der betroffenen Clients und verschieb ihn im AD so, dass er nicht mehr im Verwaltungsbereich der WSUS-GPO liegt. Gpupdate auf dem Client und neu starten. Mit RSOP.MSC kontrollieren dass auch wirklich keine WSUS-GPO mehr wirkt. IE8 deinstallieren und neu starten. Ich versuchs mal. Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 13. Juli 2010 Autor Melden Teilen Geschrieben 13. Juli 2010 Sieht bis jetzt noch ganz gut aus (falls sich das im Lauf des Tages ändert poste ich das gleich). Dann liegts wohl an den GPO? Aber welche Einstellung ist dafür verantwortlich? Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 13. Juli 2010 Melden Teilen Geschrieben 13. Juli 2010 Dann liegts wohl an den GPO?Aber welche Einstellung ist dafür verantwortlich? Bekommt der Client jetzt gar keine GPO mehr mit? Oder nur nicht mehr die WSUS-GPO? Ich wollte damit nur sichergehen, dass nicht versehentlich von Microsoft Update direkt der IE8 gedownloadet und installiert wird. Du kannst jetzt noch den Downloadcache leeren und anschließend den Client wieder in die "alte" OU zurück schieben. GPUPDATE ausführen und zweimal neu starten. Kommt der IE8 jetzt wieder? net stop wuauserv rd /s /q %windir%\SoftwareDistribution net start wuauserv Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 13. Juli 2010 Autor Melden Teilen Geschrieben 13. Juli 2010 Bekommt der Client jetzt gar keine GPO mehr mit? Oder nur nicht mehr die WSUS-GPO? Ich wollte damit nur sichergehen, dass nicht versehentlich von Microsoft Update direkt der IE8 gedownloadet und installiert wird. Die Default Domain Policy wird noch gezogen, sonst gibts da keine. Du kannst jetzt noch den Downloadcache leeren und anschließend den Client wieder in die "alte" OU zurück schieben. GPUPDATE ausführen und zweimal neu starten. Kommt der IE8 jetzt wieder? Momentan scheint es noch gut zu laufen. Was kann also die Ursache genau sein? Ich komm nicht ganz dahinter. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 14. Juli 2010 Melden Teilen Geschrieben 14. Juli 2010 Die Default Domain Policy wird noch gezogen, sonst gibts da keine. OK, und da ist nichts besonderes enthalten, oder? Momentan scheint es noch gut zu laufen. Was kann also die Ursache genau sein? Ich komm nicht ganz dahinter. Der Client ist jetzt wieder in der alten OU? Wenn ja, dann hatte er Einstellungen bezüglich Install IE8 zwischengespeichert. Oder die GPO war defekt auf dem Client. Es kann natürlich auch sein, dass der Client auf dem WSUS in einer Gruppe war, die den IE8 bekommt, das retour nehmen hat der Client aber nicht mitbekommen. Zitieren Link zu diesem Kommentar
GenkingerHUBTEX 10 Geschrieben 20. Juli 2010 Autor Melden Teilen Geschrieben 20. Juli 2010 OK, und da ist nichts besonderes enthalten, oder? Nichts was nur im entferntesten mit dem WSUS zu tun hätte. Der Client ist jetzt wieder in der alten OU? Ja, so wie zuvor halt auch. Wenn ja, dann hatte er Einstellungen bezüglich Install IE8 zwischengespeichert. Hört sich vernünftig an. Aber die Einstellungen bzw. die Gruppen wurden nie geändert. Habe bei der ersteinrichtung von WSUS schon alles so eingestellt wie es jetzt auch ist. Oder die GPO war defekt auf dem Client. Möglich, aber wieso passiert das dann bei ca. 20-30 Clients gleichzeitig? Es kann natürlich auch sein, dass der Client auf dem WSUS in einer Gruppe war, die den IE8 bekommt, das retour nehmen hat der Client aber nicht mitbekommen. Wie gesagt, Gruppen habe ich nicht verändert und es bekommt wirklich nur eine Gruppe den 8er. und da sind eben nur ca. 50 % der Clients drin. Seltsam ist auch: Wähle ich im WSUS den ie8 aus und schaue bei "Computer die dieses Update benötigen" stehen da im Moment 24 Clients drin. Alle diese Clients sind aber nicht in der Gruppe enthalten, die den IE8 bekommen soll. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.