Jump to content

Server 2019 GPO Wsus Problem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Auch wenn Du das nicht hören willst. Mit sehr grosser Wahrscheinlichkeit hast Du eben doch irgendwo die Einstellungen definiert. Entweder eine GPO von AD die Du nicht kennst, die lokale Richtlinien oder ein Script.

 

Als erstes würde ich versuchen:

Server vom Netz trennen, Reg-Keys löschen, Grouppolicy in System32 löschen, gpsvc Dienstes (er braucht normal erhöht Rechte, also psexec verwenden um eine CMD mit Systemrechten zu starten. Net stop gpsvc danach net start gpsvc. Sind die Regkeys danach wieder da - was eigentlich nicht möglich ist - dann ists defintiv sehr seltsam.

 

Als nächstes würde ich einen Neustart machen, gleiche Prozedur. Sind sie wieder da, ist es ebenfalls was lokales wie ein Script. (Immer noch getrenntes Netzwerk).

 

Als nächstes dann - wenn dennoch wieder da - das Admin-Profil rauskicken:

Neustart>Anmelden mit einem Zweitaccount und das Admin-Profil rauslöschen (System>Systemeigenschaften>Erweitert>Benutzerprofile), gleiches Prozedere wie oben --> Dann weisst ob es vom Profil her neu generiert wird. Vorher eventuell das Profil wegkopieren so wegen Verknüfpungen Dateien etc. ;)

 

Eventuell dazwischen noch den Task-Planer checken (Aufgabenverwaltung) ob da ein Script gestartet wird. Normalerweis ist das Zeug das irgendwer konfiguriert in der obersten Ebene.

 

Wenn das getan ist und das Zeug immer noch da ist: Neu aufsetzen, ansonsten weitere Tests mit Netzwerkverbindung an. Systematisch alles checken. Aber eben, je nach dem is neu aufsetzen schneller ;)

 

EDIT:

Auf GPO-Ebene würde ich dann das Computer-Konto via AD in die alleroberste Ebene verschieben, gleiche prozedere wie oben, neu start. Falls es wieder kommt pfuscht mit grosser Wahrscheinlichkeit eine GPO rein.

 

Was auch noch sein kann wenn Du zu 100% ausschliessen kannst, dass eine GPO reinpfuscht: Du hast zwei AD-Server die nicht sauber gesynct sind. auf einem sind die aktuellen GPO's, auf dem anderen nicht. Dein Server zieht dann die falschen wenn er sich mit dem nicht gesyncten verbindet. Muss nichtmal zwingend auf AD-Ebene sein, es reicht bereits auf File-Ebene (Stichtwort fehlerhafte DFS-Replikation, dann sind die GPO's nicht gesynct). Liegendie Probleme aber auf AD-Ebene hast eh ein grösseres Problem.

Edited by Weingeist
Link to post
Posted (edited)
vor 3 Stunden schrieb NorbertFe:

Und, wo kommen die her? Wie man sowas rausfindet wurde dir ja nu oft genug geschrieben

Mit Progmon sehe ich hundert Dingew und bin da nicht geschult :-) Da müsste ich ja ein Trace laufen lassen, dass beim Neustart überprüft.

Danke Weingeist, ich denke mit deiner Anleitung kann ich den Fehler herausfinden.

Ich berichte gleich....

Schritt 1 reg keys löschen, lokale gpo löschen,gpsvc neu starten leider erfolglos. Keys umgehend sofort wieder da. So eine scheiße

 

Ich glaube die ganze Anleitung brauche ich nicht durchführen, wenn ich in regedit als Admin die Schlüssel lösche, sind Sie nach F5 gleich wieder da in 10 ms! Wie kann das sein. Netzwerkverbindung ist getrennt!

Auch wenn ich in der Registry Windowsupdate Auoption auf 0 und no autoupdate auf 0 stelle ändert es sich umgehend wieder auf 1 nach F5

Edited by goat82
Link to post
vor einer Stunde schrieb goat82:

Mit Progmon sehe ich hundert Dingew und bin da nicht geschult

Dann hol dir jemanden ins Haus der das kann. Oder installiere endlich neu. Aber hör auf mit der Fäkaliensprache, das ist hier völlig unangebracht.

Edited by Sunny61
Link to post

Du hast ja recht Sunny, ich habe nur schon so viel Zeit verbraten und komme einfach nicht weiter. Leider sind es 7 Maschinen, daher suche ich hier noch weiter nach einer Lösung. Wohnach sollte ich in Procmon denn suchen: Nach dem lokalen GPO Pfad %Windir%\system32\grouppolicy ?

Hat jemand eventuell auch einen anderen eher schlechten Lösungsansatz:

 

Wenn ich usoclient startscan ausführe dann sucht er nur 1-2 Sekunde nach Updates und sagt dann nix gefunden, was auch ok ist. Ein Report wird an den Wsus aber nicht geschickt.

Klicke ich manuell auf Updates suchen, dann sucht er deutlich länger, ca. 20-30 Sekunden Sekunden und schickt auch einen Report an Wsus

, manchmal direkt nach 10 Minuten, manchmal muss ich 2-3x Suchen.

Kann ich diese manuelle Suche nicht irgendwie über einen task triggern? Usoclint startscan sucht ja kurz, schickt aber keinen Report.

Wie lautet der Befehl für Suche und Report ?

Link to post
vor 2 Stunden schrieb goat82:

Du hast ja recht Sunny, ich habe nur schon so viel Zeit verbraten und komme einfach nicht weiter. Leider sind es 7 Maschinen, daher suche ich hier noch weiter nach einer Lösung.

Und wie lange willst Du noch weitermachen? Reißleine ziehen, jetzt ist der beste Zeitpunkt. Wenn es 7 Maschinen sind riskierst Du sehr viel. Installiere sie aus einem anderen frischen Image neu. Es sind sicherlich VMs, die kannst Du ja herunter fahren und später in einer geschützten Umgebung nochmal überprüfen.

Link to post

Procmon kann prima filtern, z.B auf die Reg-Keys... Aber ich schließe mich den Vorrednern an. Deine Beiträge zeugen nicht von strukturiertem Vorgehen. Und Du springst wirr quer über alle möglichen Themen und Problembereiche.

Link to post
Posted (edited)

Hab nun ein neues Ticket aufgemacht wegen dem MS Insiderprogram aber bisher hat niemand geantwortet. MS hat das Insiderprogram wohl in ihrem Image wohl eingebrandet, da das Insider und die GPOs nach der Neuinstallation direkt wieder kommt. Wohlgemerkt mit dem neusten ISO Image von MS (nicht Trial) und der PC war nicht mal in der Domaine und nicht mal aktiviert! 1x Windowsupdate ausführen hat gereicht. Hat mir jemand eine Idee wo das Insiderprogram hinterlegt ist ?

Edited by goat82
Link to post

Ich sehe ehrlich gesagt nicht wo Ihr die Insider Zuordnung hernehmt. Im Screenshot jedenfalls ist das lediglich als ein Beispiel für eine Konfiguration aufgeführt (steht da auch schön in der Überschrift - da sieht man aber deutlich den Nachteil des neuen Designs aus meiner Sicht), ich habs mal auf die Schnelle markiert .......

 

Wie man herausfindet wo die Richtlinie herkommt wurde ja schon erschöpfend dargelegt ......

 

Grüsse

 

Gulp

grafik.png

Edited by Gulp
Typo
  • Haha 1
Link to post
Posted (edited)

Danke du hast recht, wer lesen kann ist im Vorteil. Das hat MS hier echt saudoof gemacht und ich bin drauf reingefallen. Entschuldigung für meine Unachtsamkeit, also wir haben dann zum Glück kein Insider, hätte mich auch gewundert, da Wsus immer nur den Standard anbietet. Leider kann ich hier keine Bilder mehr Posten da die 5MB belegt sind und ich die Bilder auch nachträglich nicht löschen kann.

Zum Problem: Nach Neuinstallation ist die oberste GPO weg: Automatische Updates deaktivieren. Das ist der wichtigste Punkt, denn so greiffen sicherlich auch die anderen GPOs wo sagen, dass alle 4h nach Updates gesucht werden sollen. Die beiden unteren Punkte sind leider noch da.

Die Ordner GroupPolicy/User in System32 sind da aber leer. Ordner habe ich mit erhöhten Rechten gelöscht und gpvsc neu gestartet, leider ergebnislos. gpresult /r ist ebenfalls ergebnislos, da der neue Server nicht in der Domaine ist. Es kann doch nicht sein, dass ich die ganzen Registrycodes auf einem brandneuen Sytsem manuell löschen muss, das nicht mal aktiviert wurde um die beiden GPOs weg zu  bekommen ?

 

PS: Lokale Richtlinien, insbesondere das Windows-Update unter User und Benutzer stehen alle auf nicht konfiguriert

PS2: Habe alle Registrykeys von Sunny gelöscht und neu gestartet. Im Status Manager steht bei Windowes Update nun 3x Status unbekannt und Windows Update geht gar nicht mehr, Fehler (0x80080005).

@Sunny und alle anderen. Ich habe das System komplett neu aufgesetzt und die Registrys gelöscht und das Vorgehen 1:1 durchgeführt, ergebnislos. Was soll/kann ich denn noch machen außer den Beruf wechseln ?

 

Und an alle Besserwisser: Die beiden GPO Einstellungen sind sofort direkt nach der Neuinstallation OHNE NETZWERK / Internetzgriff automatisch da. Also ist es ein generelles problem mit dem Image oder sehe ich das falsch ?

 

Edited by goat82
Link to post
Am 23.3.2021 um 09:09 schrieb goat82:

Und an alle Besserwisser: Die beiden GPO Einstellungen sind sofort direkt nach der Neuinstallation OHNE NETZWERK / Internetzgriff automatisch da. Also ist es ein generelles problem mit dem Image oder sehe ich das falsch ?

 

Vermutlich siehst Du das richtig - mein Fernglas reicht leider nicht bis zu Euch :-) Aber wenn da Reg-Werte sind, dann werden sie von "etwas" gesetzt, das Ihr verantwortet.

Link to post

Vielen Dank an alle für die bisherige Hilfe und Gedult.

Ich habe den Fehler mit sehr hoher Wahscheinlichkeit, dank dem Tipp mit Procmon herausfinden können.

Die Überwachungssoftware Solarwinds hat die Wsuseinstellungen automatisch umgehend in der Registry geändert.

Dach dem Deaktivieren der Dienste und dem bisherigen Vorgehen (loakle GPOS löschen, gpsv neu starten und Gpupdate /force) wurden die Werte richtig übernommen.

Ich hätte niemals gedacht, dass das Problem an einem Fremdprodukt liegt, da die GPO ja einwandfrei angewand wurde nur von dem Produkt aber umgehend überschrieben worden.

Ohne Procmon wäre da niemals dahinter gekommen.

Die beiden GPOS sind nach Neuinstallation zwar immernoch da, aber solange die automatischen Updates laufen, juckt mich das nicht. Vermutlich sind die beiden Einstellungen in Windows engebrand, da nach einer Neuinstallation noch keine Software drauf ist.

Ich werde nun beobachten ob die reports wirklich auch geschickt werden. Wenn es schon mal auf automatisch steht, dann wird es sicher auch funktionieren.

 

Vielen Dank an alle für dier Tipps und die Geduld

 

Link to post
Am 24.3.2021 um 23:02 schrieb goat82:

Ich habe den Fehler mit sehr hoher Wahscheinlichkeit, dank dem Tipp mit Procmon herausfinden können.

...den ich vor fast 2 Wochen gepostet habe und den Du erst mal geflissentlich ignoriert hast. Nun denn, jeder ist seines Glückes Schmied :-) Man kann hier übrigens Posts als "Antwort" markieren.

Link to post

Ja du hast recht :-) Das Problem war aber auch mega komplex. Einige identische Server, wo auch die betroffene  Softwarekomponennte installiert sind, waren hingegen nicht betroffen.

Darum habe ich hier erstmal keinen Zusammenhang gesehen. Das ein Programm die Windowsupdatekeys ändert, ist mir bisher auch noch nie begegnet.

Vielen Dank an Alle. Btw: Weißt du wie man Bilder/Anhänge hier entfernen kann? ich kann leider gar nix mehr anhängen, da die 5MB voll sind.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...