killing.apfelkuchen
Goto Top

LUP Updates über WSUS werden nicht verteilt.

Hallo zusammen,

ich habe auf Grund einiger nerviger Updateprobleme beschlossen, die Updates von Java, Flash und Co per WSUS mit Hilfe des LUP zu verteilen.

Soweit so gut. In diesem Fall soll das TeamViewer-Paket mit .reg Datei per WSUS ausgeliefert werden. Ich kann dieses Paket im LUP erstellen, und auch in den WSUS überführen. Wenn ich es dann aber freigebe, sind nur "normale" Windows Updates auf meinem Notebook zu finden, das "TeamViewer-Update"-Paket jedoch nicht.

Was mache ich falsch?

Server: Win 2008 R2 x64, WSUS Rolle, MS SQL 2012 und LUP installiert.
Testsystem: Windows 7 und Windows 8.1

Ich habe keine Besonderheiten eingestellt. Auf dem Win 7 ist TV noch nie installiert gewesen, auf dem Win 8 ist es bereits installiert, nur die neue .reg Datei soll übernommen werden.
Danke im Voraus ;)

Content-Key: 255035

Url: https://administrator.de/contentid/255035

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: psannz
Lösung psannz 17.11.2014, aktualisiert am 24.11.2014 um 14:22:36 Uhr
Goto Top
Sers,

wurde das Zertifikat schon an die Clients deployed? Lässt sich im Zertifikatspeicher der Clients prüfen.

Grüße,
Philip
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 17.11.2014 um 16:08:43 Uhr
Goto Top
Normalerweise sind diese Updates doch dann mit dem Zertifikat des WSUS zertifiziert, oder nicht? Weil ich bekomme auf der WSUS Seite keinen Fehler diesbezüglich...
Mitglied: DerWoWusste
DerWoWusste 17.11.2014 um 16:14:01 Uhr
Goto Top
Nein, sind sie nicht. Lies die Anleitung zu LUP.
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 17.11.2014 um 16:21:49 Uhr
Goto Top
Wenn ich nach dieser (http://www.wsus.de/anwendungen_ueber_wsus_bereitstellen_teil_1) Anleitung vorgehe, steht dort, dass kein WSUS Zertfikat zur Verfügung steht. Bei mir ist diese Meldung nie erschienen, weshalb ich davon ausgegangen bin, dass sich der LUP das WSUS Zert. geschnappt hat.... falsche Erkenntnis?
Mitglied: Meierjo
Meierjo 17.11.2014 um 16:22:43 Uhr
Goto Top
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 17.11.2014 um 16:25:47 Uhr
Goto Top
nach der bin ich vorgegangen.... das Zertifikat (was laut Anleitung erstellt werden müsste) ist bei mir bereits von vorn herein eingetragen gewesen.. und auch unter Tools > Cert. Info. zu finden... deswegen stehe ich ja auf dem Schlauch....
Mitglied: DerWoWusste
DerWoWusste 17.11.2014 um 16:28:08 Uhr
Goto Top
Wenn Dein LUP nicht darum gebeten hat, ein Zertifikat zu erstellen, dann sollte dennoch im LUP im Menü "Werkzeuge" ein Punkt "Zertifikatsinfo" zu finden sein - dieses Zertifikat exportieren und per GPO in der Domain ausrollen, wie in der Anleitung beschrieben.
Mitglied: Meierjo
Lösung Meierjo 17.11.2014, aktualisiert am 24.11.2014 um 14:22:28 Uhr
Goto Top
Hallo

Wenn ich nach dieser (http://www.wsus.de/anwendungen_ueber_wsus_bereitstellen_teil_1) Anleitung vorgehe, steht dort, dass kein
WSUS Zertfikat zur Verfügung steht. Bei mir ist diese Meldung nie erschienen, weshalb ich davon ausgegangen bin, dass sich
der LUP das WSUS Zert. geschnappt hat.... falsche Erkenntnis?

In dem Artikel steht (fst zuunterst), dass das Zertifikat auch auf die Clients verteilt werden muss, damit 3rd Parity Software installiert werden kann.
Hat du denn auf einem Client nachgesehen, ob ein Zertifikat vorhanden ist?? Wenn nein, muss natürlich eins erstellt und verteilt werden

Gruss Urs
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 17.11.2014 um 16:36:32 Uhr
Goto Top
Ja, das Zert ist überall eingtragen.
Mitglied: DerWoWusste
DerWoWusste 17.11.2014 um 16:41:18 Uhr
Goto Top
Ok, hast Du auch die GPO "Signierte Updates aus einem Intranetspeicherort..." aktiviert, wie in der Anleitung zu sehen? Sind diese Einstellungen am Client angekommen? Dann muss es gehen, prüfe das windowsupdate.log
Mitglied: Meierjo
Meierjo 17.11.2014 um 16:42:06 Uhr
Goto Top
Ok, und in WSUS werden die selbst erstellten Updates auch als "erforderlich" angezeigt?

Gruss
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 20.11.2014 aktualisiert um 11:33:08 Uhr
Goto Top
@ logfile: Das finde ich wo? Server oder Client?

Ich habe das Paket einmal als "Application" und einmal als "Update" mit verschiedenen Sicherheitsstufen getestet, leider alles ohne Erfolg. Das Update wird korrekt im WSUS angezeigt, aller erforderlichen Zertifikate sind an den richtigen STellen eingetragen.

Ich habe aber noch eine andere Vermutung: Kann es sein, dass wenn TeamViewer bereits installiert ist, das Update gar nicht weitergeileitet wird?
Mitglied: DerWoWusste
Lösung DerWoWusste 20.11.2014, aktualisiert am 24.11.2014 um 14:22:19 Uhr
Goto Top
logfile: Das finde ich wo?
Am Client, einfach Windowstaste+R, dann windowsupdate.log eingeben.
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 20.11.2014 um 17:00:30 Uhr
Goto Top
Update: Also, unter einem Windows XP (!) ist das Update verteilt worden... warum nicht unter Windows 7 oder 8?
Mitglied: DerWoWusste
DerWoWusste 20.11.2014 um 17:12:44 Uhr
Goto Top
Im Logfile steht dazu nichts?
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 21.11.2014 um 08:41:19 Uhr
Goto Top
Leider nein... Insgesamt hab ich 5 Updates an meinen Win 8 Client verteilen lassen, 4 davon waren Windows Updates. Diese stehen auch nur im Logfile... seeeehr merkwürdig.
Kann ich irgendwo festlegen, dass wenn ein "Update" schon installiert ist, das es trotzdem erneut installiert wird? Mit einer Regel in LUP? Vielleicht ist der Updater von XP ein bisschen doof, und der neuere intelligenter :D
Mitglied: DerWoWusste
DerWoWusste 21.11.2014 um 11:34:23 Uhr
Goto Top
Da gibt es nichts verkehrt zu verstehen bei der Anleitung. Dass es bei xp geht, zeigt, dass Du einen Fehler gemacht haben musst (sehr sicher). Prüfe, ob die GPO bei win7 angekommen ist (wsus gpo, zertifikatsverteilung). Prüfe dann, ob das Update auch für Win7 freigegeben ist. Wenn ja, starrte auf win7 den Updatediesnt neu, suche nach Updates und schau danach nochmal ins Log.
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 21.11.2014 um 15:09:33 Uhr
Goto Top
Die Zertifikate sind übertragen worden, die GPO ist auch übertragen worden. (Vorher "Windows Update", Jetzt "Vom Admin verwaltet") Aber das Paket wird einfach nicht angezeigt.

Es ist für mich einfach unverständlich...
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 21.11.2014 aktualisiert um 15:21:04 Uhr
Goto Top
Hier das Logfile der XP Installation, welche auch fehlgeschlagen ist.. Einige Elemente hab ich mit * geschützt.
15:11:04:379	 396	308	Agent	*************
2014-11-21	15:11:04:379	 396	308	Agent	** START **  Agent: Installing updates [CallerId = AutomaticUpdates]
2014-11-21	15:11:04:379	 396	308	Agent	*********
2014-11-21	15:11:04:379	 396	308	Agent	  * Updates to install = 1
2014-11-21	15:11:05:129	 396	308	Agent	  *   Title = TeamViewer 6 (Config Update)
2014-11-21	15:11:05:129	 396	308	Agent	  *   UpdateId = {****}.3
2014-11-21	15:11:08:629	 396	308	Handler	Attempting to create remote handler process as *** in session 0
2014-11-21	15:11:10:035	 396	308	DnldMgr	WARNING: Preparing update for install, updateId = {****}.3 (using payload from revision 2).
2014-11-21	15:11:10:035	6116	d90	Misc	===========  Logging initialized (build: *, tz: +0100)  ===========
2014-11-21	15:11:10:035	6116	d90	Misc	  = Process: C:\WINDOWS\system32\wuauclt.exe
2014-11-21	15:11:10:035	6116	d90	Misc	  = Module: C:\WINDOWS\system32\wuaueng.dll
2014-11-21	15:11:10:035	6116	d90	Handler	:::::::::::::
2014-11-21	15:11:10:035	6116	d90	Handler	:: START ::  Handler: MSI Install
2014-11-21	15:11:10:035	6116	d90	Handler	:::::::::
2014-11-21	15:11:10:035	6116	d90	Handler	  : Updates to install = 1
2014-11-21	15:11:10:035	6116	d90	Handler	MSI update {00000000-0000-0000-0000-000000000000}.0 using source image from 1 CABs.
2014-11-21	15:11:10:145	6116	d90	Handler	  : Batch installing 1 updates
2014-11-21	15:11:10:160	6116	d90	Handler	List of MSPs in transaction:
2014-11-21	15:11:10:160	6116	d90	Handler	List of Transforms in transaction:
2014-11-21	15:11:10:160	6116	d90	Handler	MSI final command line: /q /norestart ALLUSERS=1 REBOOT=REALLYSUPPRESS
2014-11-21	15:11:11:348	6116	d90	Handler	MSP Error List:
2014-11-21	15:11:11:348	6116	d90	Handler	  No messages in the MSP error list.
2014-11-21	15:11:11:348	6116	d90	Handler	  : MSI transaction completed. MSI: 0x80070667, Handler: 0x8024200b, Source: No, Reboot: 0
2014-11-21	15:11:11:348	6116	d90	Handler	  : WARNING: First failure for update {****}, transaction error = 0x8024200b, MSI result = 0x80070667, MSI action = 
2014-11-21	15:11:11:348	 396	51c	AU	>>##  RESUMED  ## AU: Installing update [UpdateId = {****}]
2014-11-21	15:11:11:348	6116	d90	Handler	  : WARNING: Operation failed at update 0, Exit code = 0x8024200B
2014-11-21	15:11:11:348	 396	51c	AU	  # WARNING: Install failed, error = 0x80070667 / 0x80070667
2014-11-21	15:11:11:348	6116	d90	Handler	:::::::::
2014-11-21	15:11:11:348	6116	d90	Handler	::  END  ::  Handler: MSI Install
2014-11-21	15:11:11:348	6116	d90	Handler	:::::::::::::
2014-11-21	15:11:11:801	 396	308	Agent	*********
Mitglied: DerWoWusste
DerWoWusste 21.11.2014 um 17:08:22 Uhr
Goto Top
Nimm zum Tests eins der Pakete aus den Anleitungen. Gib dann (sollte es noch immer nicht gehen) auch das Logfile von win7 an.
Mitglied: Meierjo
Meierjo 24.11.2014 um 11:47:35 Uhr
Goto Top
Hallo

Und du bist dir sicher, dass die Clients in der richtigen GPO sind??

Der Fehler 0x80070667 könnte nämlich darauf hinweisen, dass die Clients in der falschen GPO sind, und somit die Einstellungen betreffend WSUS / LUP nicht erhalten
https://wsuspackagepublisher.codeplex.com/discussions/459805

Gruss
Mitglied: Meierjo
Meierjo 24.11.2014 um 11:58:14 Uhr
Goto Top
Wie hast du denn die Verteilung des regfiles über LUP bewerkstelligt?

Kann es sein, dass die Verteilung scheitert, weil LUP das Regfile nicht findet /oder nicht anwenden kann?

Kannst du das TV Update mal ausrollen, ohne das regfile?

gruss
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 24.11.2014 um 13:30:39 Uhr
Goto Top
@@ Update:

ES FUNKTIONIERT! Teilweise... Also, alle Update Pakete, die sich nicht auf dem Client befinden, werden installiert. Auch der TV, auch mir .reg Datei. Die Frage ist jetzt: Wie stelle ich ein, dass das Update trotzdem installiert wird, auch wenn es bereits vorhanden ist? (Sprich: Neuinstallation)

Wenn wir das haben, ist mein Problem gelöst!
Mitglied: DerWoWusste
Lösung DerWoWusste 24.11.2014 aktualisiert um 14:21:51 Uhr
Goto Top
Du kannst beim Erstellen des Paketes in LUP die Abfrage "IsInstalled" anpassen. Da kannst Du festlegen, wann ein Paket als installiert gilt. So könntest Du Eigenschaften selbst definieren, zum Beispiel Dateigrößenabfrage, oder Abfrage bestimmter Markerdateien, die Du vorher anderweitig verteilst.
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 24.11.2014 um 14:06:59 Uhr
Goto Top
genauso eine Idee hatte ich auch... ich habe auch gerade gesehen, dass es mit Datum geht. das wäre ja dann schon eine Lösung...
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 26.11.2014 um 10:01:38 Uhr
Goto Top
Leider muss ich diese Frage nochmal öffnen:

Ich habe dem TeamViewer Paket folgende Infos mitgegeben:

Installed, wenn das Erstell-Datum von "tvinfo.ini" <= 24.11.2014 ist.
Installable, wenn das Erstell-Datum von "tvinfo.ini" > 24.11.2014 ist oder das Paket nicht installiert ist.

Den Rest habe ich so belassen.
Bei den Clients, die TV schon installiert haben, wird das Update nicht gezogen, obwohl die Datei definitv älter ist. Zusätzlich muss ich auch noch XP Clients berücksichtigen, sodass ich eine ODER Gruppe machen musste, damit C:Programme und C:Program Files (x86) geprüft werden.

Ist dieser Ansatz falsch oder warum funktioniert das ganze nicht so wie ich das will??
Mitglied: Meierjo
Meierjo 26.11.2014 um 10:07:32 Uhr
Goto Top
Hallo

Installable, wenn das Erstell-Datum von "tvinfo.ini" > 24.11.2014 ist oder das Paket nicht installiert ist.

Schreibfehler??

Ist ja klar, wenn Datum grösser als 24.112014, wird installiert

Gruss
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 26.11.2014 um 10:51:05 Uhr
Goto Top
also laut meinen SQL Kenntnissen ist > gleich älter und < jünger. Aber ich habe es auch schon versucht umzudrehen, leider ohne erfolg.
Mitglied: Meierjo
Meierjo 26.11.2014 um 11:02:19 Uhr
Goto Top
Hallo

Und was funktioniert denn nicht?

Wird das Paket als nicht installierbar angezeigt, oder wird es obwohl es bereits installiert ist, wieder als installierbar angeboten??

Gruss Urs
Mitglied: killing.Apfelkuchen
killing.Apfelkuchen 26.11.2014 um 13:20:01 Uhr
Goto Top
Zitat von @Meierjo:
Und was funktioniert denn nicht?
Wird das Paket als nicht installierbar angezeigt

Genau. Das Problem ist, dass sich das MSI Paket nicht ändert, sondern nur die .reg Datei, die mit ausgeliefert wird.

Ist TV nicht installiert, funktioniert alles. Ist es installiert, wird das Update als nicht Installierbar angezeigt....
Mitglied: Meierjo
Meierjo 26.11.2014 um 13:46:19 Uhr
Goto Top
Hallo

Genau. Das Problem ist, dass sich das MSI Paket nicht ändert, sondern nur die .reg Datei, die mit ausgeliefert wird.
äähm, verstehe ich nicht, wieso sollte sich das MSI Paket ändern?

Ist TV nicht installiert, funktioniert alles. Ist es installiert, wird das Update als nicht Installierbar angezeigt....
Im LUP wird es als "not Applicable" angezeigt?
Dann wird es wahrscheinlich ein Fehler in der "installable Rules" sein.

Gruss