WSUS von Clients entfernen

[Vinc211 1]

Guten Tag,

 

folgendes Problem: Ich versuche den WSUS zu entfernen, aber die Clients fragen diesen weiterhin an.

Ich habe vor 2 Wochen die GPO für "Internen Pfad für Microsoft Updatedienst angeben" auf deaktiviert gestellt. Die GPO "Keine Verbindung mit Windows Update-Internetadrssen herstellen" ist auf "nicht konfiguriert" gestellt.

DualScan hat funktioniert.

Anfang der Woche habe ich den WSUS heruntergefahren, aber noch nicht aus der Domäne genommen. Seitdem sagen die Clients das die keine Verbindung mehr mit den Updatediensten herstellen können.

 

"Wir konnten keine Verbindung mit dem Updatedienst herstellen. Wir versuchen es später erneut. Alternativ können Sie es jetzt versuchen. Überprüfen Sie Ihre Internetverbindung, falls es immer noch nicht funktioniert."

 

Folgende Sachen habe ich ausprobiert.

1. Ich habe die Registry "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" geprüft und es sind keine Einträge mehr vorhanden. Ich habe nochmal UseWUServer DWORD 0 eingetragen aber das hat auch nichts gebracht

 

2. GPresult /SCOPE:computer zeigt an das meine gpo einstellungen gesetzt sind. 

 

3. ich habe alle Dienste gestoppt, SoftwareDistribution und catroot2 umbenannt und dienste wieder gestartet.

 

4. Neu installierte Clients haben kein Problem mit Updates.

 

5. Ich habe mit Wireshark mir die Pakete angeschaut und es werden beim Suchen nach Updates querys an den die Adresse des WSUS angezeigt (MDNS, LLMNR)

 

6. In Powershell habe ich "Get-WindowsUpdateLog" ausgeführt und bekomme knapp 70.000 Zeilen log Datei. Darin steht "WSUS Server: (null)" und "WSUS status server: (null)"

 

Ich vermute das Windows 11 die Daten noch irgendwo cached aber ich weiß nicht wo und kenne keine Lösung die für alle Clients gleichzeitig anwendbar ist.

 

Vielen Dank.

bearbeitet 11. Dezember von Vinc211

[Sunny61 842]

Wenn es keinen WSUS mehr geben soll, dann darf hier gar nichts drin stehen: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate D.h. den Schlüssel WindowsUpdate darf es nicht geben. Anschließend die betroffenen Dienst auf den Maschinen neu starten:

 

WUAUSERV

UsoSvc

 

Wenn nach einem Reboot der Schlüssel wieder auftaucht, hat das jemand lokal via GPEDIT.MSC eingepflegt.

bearbeitet 12. Dezember von Sunny61

[Vinc211 1]

Ich konnte das Problem lösen.

 

Da wir am Anfang, vor DualScan, doe GPO Option "Keine Verbindung mit Windows Update-Internetadrssen herstellen" aktiviert hatten, wurden auch die RootZertifikate nicht aktualisiert.

Dafür wurde auch auf dem Wsus Server ein Skript betrieben das mit certutil diese in einen Ordner schreibt und auf den Clients und Servern wurde die GPO eingestellt, dass diese Zertifikate aus [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\systemCertificates\AuthRoot\AutoUpdate] „RootDirUrl“abholt. Ich hatte auch diese GPO entfernt, allerdings sagt Microsoft dazu "The settings described in this document are implemented by using GPOs. These settings aren't automatically removed if the GPO is unlinked or removed from the AD DS domain."

 

Also wurden die Zertifikate mit abschalten des WSUS auch nicht von Windows Update aktualisiert und ich musste eine GPO erstellen die den entsprechenden Registry-Eintrag löscht. Jetzt können die Updates wohl wieder verifiziert werden oder so.