Jump to content

Server 2019 GPO Wsus Problem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Auch wenn Du das nicht hören willst. Mit sehr grosser Wahrscheinlichkeit hast Du eben doch irgendwo die Einstellungen definiert. Entweder eine GPO von AD die Du nicht kennst, die lokale Richtlinien oder ein Script.

 

Als erstes würde ich versuchen:

Server vom Netz trennen, Reg-Keys löschen, Grouppolicy in System32 löschen, gpsvc Dienstes (er braucht normal erhöht Rechte, also psexec verwenden um eine CMD mit Systemrechten zu starten. Net stop gpsvc danach net start gpsvc. Sind die Regkeys danach wieder da - was eigentlich nicht möglich ist - dann ists defintiv sehr seltsam.

 

Als nächstes würde ich einen Neustart machen, gleiche Prozedur. Sind sie wieder da, ist es ebenfalls was lokales wie ein Script. (Immer noch getrenntes Netzwerk).

 

Als nächstes dann - wenn dennoch wieder da - das Admin-Profil rauskicken:

Neustart>Anmelden mit einem Zweitaccount und das Admin-Profil rauslöschen (System>Systemeigenschaften>Erweitert>Benutzerprofile), gleiches Prozedere wie oben --> Dann weisst ob es vom Profil her neu generiert wird. Vorher eventuell das Profil wegkopieren so wegen Verknüfpungen Dateien etc. ;)

 

Eventuell dazwischen noch den Task-Planer checken (Aufgabenverwaltung) ob da ein Script gestartet wird. Normalerweis ist das Zeug das irgendwer konfiguriert in der obersten Ebene.

 

Wenn das getan ist und das Zeug immer noch da ist: Neu aufsetzen, ansonsten weitere Tests mit Netzwerkverbindung an. Systematisch alles checken. Aber eben, je nach dem is neu aufsetzen schneller ;)

 

EDIT:

Auf GPO-Ebene würde ich dann das Computer-Konto via AD in die alleroberste Ebene verschieben, gleiche prozedere wie oben, neu start. Falls es wieder kommt pfuscht mit grosser Wahrscheinlichkeit eine GPO rein.

 

Was auch noch sein kann wenn Du zu 100% ausschliessen kannst, dass eine GPO reinpfuscht: Du hast zwei AD-Server die nicht sauber gesynct sind. auf einem sind die aktuellen GPO's, auf dem anderen nicht. Dein Server zieht dann die falschen wenn er sich mit dem nicht gesyncten verbindet. Muss nichtmal zwingend auf AD-Ebene sein, es reicht bereits auf File-Ebene (Stichtwort fehlerhafte DFS-Replikation, dann sind die GPO's nicht gesynct). Liegendie Probleme aber auf AD-Ebene hast eh ein grösseres Problem.

bearbeitet von Weingeist
Link zu diesem Kommentar
vor 3 Stunden schrieb NorbertFe:

Und, wo kommen die her? Wie man sowas rausfindet wurde dir ja nu oft genug geschrieben

Mit Progmon sehe ich hundert Dingew und bin da nicht geschult :-) Da müsste ich ja ein Trace laufen lassen, dass beim Neustart überprüft.

Danke Weingeist, ich denke mit deiner Anleitung kann ich den Fehler herausfinden.

Ich berichte gleich....

Schritt 1 reg keys löschen, lokale gpo löschen,gpsvc neu starten leider erfolglos. Keys umgehend sofort wieder da. So eine scheiße

 

Ich glaube die ganze Anleitung brauche ich nicht durchführen, wenn ich in regedit als Admin die Schlüssel lösche, sind Sie nach F5 gleich wieder da in 10 ms! Wie kann das sein. Netzwerkverbindung ist getrennt!

Auch wenn ich in der Registry Windowsupdate Auoption auf 0 und no autoupdate auf 0 stelle ändert es sich umgehend wieder auf 1 nach F5

bearbeitet von goat82
Link zu diesem Kommentar

Du hast ja recht Sunny, ich habe nur schon so viel Zeit verbraten und komme einfach nicht weiter. Leider sind es 7 Maschinen, daher suche ich hier noch weiter nach einer Lösung. Wohnach sollte ich in Procmon denn suchen: Nach dem lokalen GPO Pfad %Windir%\system32\grouppolicy ?

Hat jemand eventuell auch einen anderen eher schlechten Lösungsansatz:

 

Wenn ich usoclient startscan ausführe dann sucht er nur 1-2 Sekunde nach Updates und sagt dann nix gefunden, was auch ok ist. Ein Report wird an den Wsus aber nicht geschickt.

Klicke ich manuell auf Updates suchen, dann sucht er deutlich länger, ca. 20-30 Sekunden Sekunden und schickt auch einen Report an Wsus

, manchmal direkt nach 10 Minuten, manchmal muss ich 2-3x Suchen.

Kann ich diese manuelle Suche nicht irgendwie über einen task triggern? Usoclint startscan sucht ja kurz, schickt aber keinen Report.

Wie lautet der Befehl für Suche und Report ?

Link zu diesem Kommentar
vor 2 Stunden schrieb goat82:

Du hast ja recht Sunny, ich habe nur schon so viel Zeit verbraten und komme einfach nicht weiter. Leider sind es 7 Maschinen, daher suche ich hier noch weiter nach einer Lösung.

Und wie lange willst Du noch weitermachen? Reißleine ziehen, jetzt ist der beste Zeitpunkt. Wenn es 7 Maschinen sind riskierst Du sehr viel. Installiere sie aus einem anderen frischen Image neu. Es sind sicherlich VMs, die kannst Du ja herunter fahren und später in einer geschützten Umgebung nochmal überprüfen.

Link zu diesem Kommentar

Hab nun ein neues Ticket aufgemacht wegen dem MS Insiderprogram aber bisher hat niemand geantwortet. MS hat das Insiderprogram wohl in ihrem Image wohl eingebrandet, da das Insider und die GPOs nach der Neuinstallation direkt wieder kommt. Wohlgemerkt mit dem neusten ISO Image von MS (nicht Trial) und der PC war nicht mal in der Domaine und nicht mal aktiviert! 1x Windowsupdate ausführen hat gereicht. Hat mir jemand eine Idee wo das Insiderprogram hinterlegt ist ?

bearbeitet von goat82
Link zu diesem Kommentar

Ich sehe ehrlich gesagt nicht wo Ihr die Insider Zuordnung hernehmt. Im Screenshot jedenfalls ist das lediglich als ein Beispiel für eine Konfiguration aufgeführt (steht da auch schön in der Überschrift - da sieht man aber deutlich den Nachteil des neuen Designs aus meiner Sicht), ich habs mal auf die Schnelle markiert .......

 

Wie man herausfindet wo die Richtlinie herkommt wurde ja schon erschöpfend dargelegt ......

 

Grüsse

 

Gulp

grafik.png

bearbeitet von Gulp
Typo
Link zu diesem Kommentar

Danke du hast recht, wer lesen kann ist im Vorteil. Das hat MS hier echt saudoof gemacht und ich bin drauf reingefallen. Entschuldigung für meine Unachtsamkeit, also wir haben dann zum Glück kein Insider, hätte mich auch gewundert, da Wsus immer nur den Standard anbietet. Leider kann ich hier keine Bilder mehr Posten da die 5MB belegt sind und ich die Bilder auch nachträglich nicht löschen kann.

Zum Problem: Nach Neuinstallation ist die oberste GPO weg: Automatische Updates deaktivieren. Das ist der wichtigste Punkt, denn so greiffen sicherlich auch die anderen GPOs wo sagen, dass alle 4h nach Updates gesucht werden sollen. Die beiden unteren Punkte sind leider noch da.

Die Ordner GroupPolicy/User in System32 sind da aber leer. Ordner habe ich mit erhöhten Rechten gelöscht und gpvsc neu gestartet, leider ergebnislos. gpresult /r ist ebenfalls ergebnislos, da der neue Server nicht in der Domaine ist. Es kann doch nicht sein, dass ich die ganzen Registrycodes auf einem brandneuen Sytsem manuell löschen muss, das nicht mal aktiviert wurde um die beiden GPOs weg zu  bekommen ?

 

PS: Lokale Richtlinien, insbesondere das Windows-Update unter User und Benutzer stehen alle auf nicht konfiguriert

PS2: Habe alle Registrykeys von Sunny gelöscht und neu gestartet. Im Status Manager steht bei Windowes Update nun 3x Status unbekannt und Windows Update geht gar nicht mehr, Fehler (0x80080005).

@Sunny und alle anderen. Ich habe das System komplett neu aufgesetzt und die Registrys gelöscht und das Vorgehen 1:1 durchgeführt, ergebnislos. Was soll/kann ich denn noch machen außer den Beruf wechseln ?

 

Und an alle Besserwisser: Die beiden GPO Einstellungen sind sofort direkt nach der Neuinstallation OHNE NETZWERK / Internetzgriff automatisch da. Also ist es ein generelles problem mit dem Image oder sehe ich das falsch ?

 

bearbeitet von goat82
Link zu diesem Kommentar
Am 23.3.2021 um 09:09 schrieb goat82:

Und an alle Besserwisser: Die beiden GPO Einstellungen sind sofort direkt nach der Neuinstallation OHNE NETZWERK / Internetzgriff automatisch da. Also ist es ein generelles problem mit dem Image oder sehe ich das falsch ?

 

Vermutlich siehst Du das richtig - mein Fernglas reicht leider nicht bis zu Euch :-) Aber wenn da Reg-Werte sind, dann werden sie von "etwas" gesetzt, das Ihr verantwortet.

Link zu diesem Kommentar

Vielen Dank an alle für die bisherige Hilfe und Gedult.

Ich habe den Fehler mit sehr hoher Wahscheinlichkeit, dank dem Tipp mit Procmon herausfinden können.

Die Überwachungssoftware Solarwinds hat die Wsuseinstellungen automatisch umgehend in der Registry geändert.

Dach dem Deaktivieren der Dienste und dem bisherigen Vorgehen (loakle GPOS löschen, gpsv neu starten und Gpupdate /force) wurden die Werte richtig übernommen.

Ich hätte niemals gedacht, dass das Problem an einem Fremdprodukt liegt, da die GPO ja einwandfrei angewand wurde nur von dem Produkt aber umgehend überschrieben worden.

Ohne Procmon wäre da niemals dahinter gekommen.

Die beiden GPOS sind nach Neuinstallation zwar immernoch da, aber solange die automatischen Updates laufen, juckt mich das nicht. Vermutlich sind die beiden Einstellungen in Windows engebrand, da nach einer Neuinstallation noch keine Software drauf ist.

Ich werde nun beobachten ob die reports wirklich auch geschickt werden. Wenn es schon mal auf automatisch steht, dann wird es sicher auch funktionieren.

 

Vielen Dank an alle für dier Tipps und die Geduld

 

Link zu diesem Kommentar

Ja du hast recht :-) Das Problem war aber auch mega komplex. Einige identische Server, wo auch die betroffene  Softwarekomponennte installiert sind, waren hingegen nicht betroffen.

Darum habe ich hier erstmal keinen Zusammenhang gesehen. Das ein Programm die Windowsupdatekeys ändert, ist mir bisher auch noch nie begegnet.

Vielen Dank an Alle. Btw: Weißt du wie man Bilder/Anhänge hier entfernen kann? ich kann leider gar nix mehr anhängen, da die 5MB voll sind.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...