Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS 3.0 - Mehr als 6000 Updates müssen genehmigt werden

Frage Microsoft Windows Server

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

06.01.2008, aktualisiert 18.10.2012, 12892 Aufrufe, 14 Kommentare

Hallo ans Forum

Ich habe auf meinem Privatserver (2k3 Enterprise mit SP2) WSUS 3.0 installiert.
Leider habe ich die Synchronisierung gestartet, bevor ich per GPO die Clients konfiguriert habe.

Offenbar hat es für meine ausgewählten Produkte alle Updates heruntergeladen, die jemals erschienen sind, als da wären vorallem Windows XP, 2003 Server, Vista und Office 2003 und Office 2007. Nun warten ungefähr 6200 Updates darauf, von mir genehmigt zu werden. Die Clients sind im Moment aber alle aktuell (ausser den Vista-Kisten, die haben das aktuelle Bitdefender-Update noch nicht drauf), sie wurden von mir vorher immer per Hand aktualisiert.

Ich habe aber weder Lust noch Zeit, mich durch alle 6200 Updates zu wühlen, um zu entscheiden, welche genehmigt werden müssen. Kann WSUS nicht automatisch auslesen, welche Updates auf den per GPO konfigurierten Clients drauf sind und welche nicht? Was soll ich tun?

Oder anders gefragt: Wenn ich jetzt alle >6000 Updates löschen würde, würden dann bei einer erneuten Synchronisation nur die Updates von M$ gezogen, die noch nicht auf den konfigurierten Clients installiert habe?

Herzlichen Dank im Voraus.

Edit:

Die GPOs auf den Clients sind aktuell, habe auf allen Clients gpupdate /force durchgeführt
Mitglied: geTuemII
06.01.2008 um 20:11 Uhr
Hallo Hunt3r,

du hattest noch keinen WSUS, oder? Das Prinzip funktioniert so: in die DB des WSUS werden alle verfügbaren Update-Infos geladen. Das passiert bei der Syncronisation. Die eigentlichen Updaes werden aber erst geladen, sobald sie benötigt werden. Warte also, bis alle Clients am Server angemeldet sind und sieh dann, welche Updates wirklich benötigt werden. Die kannst du dann genehmigen. Im Punkt Optionen --> Assistent zur Serverbereinigung kannst du später nicht mehr benötigte Updatedateien löschen.

geTuemII
Bitte warten ..
Mitglied: TuXHunt3R
06.01.2008 um 22:41 Uhr
du hattest noch keinen WSUS, oder?

Nein, hatte ich tatsächlich nicht. Hat mans gemerkt?

OK, werds testen. Gebe morgen oder übermorgen Feedback.


Edit:
Warte also, bis alle Clients am Server angemeldet sind
Sollten eigentlich sein, habe die GPOs gesetzt und auf allen Kisten die Gruppenrichtlinien aktualisiert.

Wie gesagt, werds morgen anschauen.
Bitte warten ..
Mitglied: TuXHunt3R
07.01.2008 um 22:12 Uhr
So, habe im Moment das Problem, dass bei "Computer" schlicht und ergreifend keine Computer angezeigt werden. Nicht mal in den "Nicht zugewiesenen Computern" befinden sich irgendwelche Computer (habe bei allen Ansichten den Filter auf "Alle" gestellt und die Ansicht aktualisiert). Nicht ein Computer befindet sich in einer der von mir erstellten Computergruppen. Habe auf allen Clients nochmals GPUPDATE /FORCE durchgeführt --> Keine Änderung.

Die Clients wurden im AD nach OS in Gruppen unterteilt und per GPO die Konfiguration vorgenommen (siehe WSUS-Helpfileeintrag "Einrichten von Clientcomputern").

Die Clientseitige Zuordnung über Gruppenrichtlinien wurde ebenfalls aktiviert (siehe WSUSHelpfileeintrag "Aktivieren der Clientseitigen Zuordnung über Gruppenrichtlinien").

Computergruppen wurden mit dem jeweils gleichen Gruppennamen wie der jeweilige Container im AD erstellt (siehe WSUS Helpfileeintrag "Erstellen einer Computergruppe")

Als Methode zum Zuweisen von Computern zu Computergruppen wurde "Gruppenrichtlinie oder Registrierungseinstellungen auf Computern verwenden" ausgewählt (siehe WSUS Helpfileeintrag "Angeben der Methode zum Zuweisen von Computern zu Computergruppen")

Trotzdem ist kein einziger Computer in der WSUS Konsole sichtbar. Ich werd langsam wahnsinnig! Was soll ich tun?

PS: Der WSUS wurde auf dem Primären Domänencontroller installiert. Hat das einen Einfluss?

Edit:

HIIIIIIIIIIIIILLLFFFFEEEEEEEEEEEEEEE!
Bitte warten ..
Mitglied: geTuemII
07.01.2008 um 23:02 Uhr
Also mal langsam:

1. Computergruppen im WSUS angelegt
2. WSUS auf "Gruppen aus Gruppenrichtlinie übernehmen" eingestellt
3. in der GPO Cleintseitige Zuordnung" aktiviert und den jeweiligen (im WSUS eingetragenen) Gruppennamen angegeben
4. gpupdate /force am Client
5. wuauclt.exe /resetauthorization /detectnow am Client (startet die Meldung am WSUS händisch und setzt die Gruppeneinstellungen bzw. die Authorisierung des Clients auf dem WSUS zurück)

Falls das alles nichts bringt: überprüfen, ob die GPO am Client überhaupt greift.

geTuemII
Bitte warten ..
Mitglied: TuXHunt3R
07.01.2008 um 23:43 Uhr
OK, erstmal herzlichen Dank für alles.


1. Computergruppen im WSUS angelegt
Gemacht, aber noch keine Computer drin, da ja keine angezeigt werden.

WSUS auf "Gruppen aus Gruppenrichtlinie übernehmen" eingestellt
Unter Optionen -> Computer den Radio Button bei "Gruppenrichtlinien oder Registrierungseinstellungen auf Computern verwenden" gesetzt

in der GPO Cleintseitige Zuordnung" aktiviert und den jeweiligen (im WSUS eingetragenen) Gruppennamen angegeben

OK, war nur auf dem WSUS-Server drin. Per GPO korrigiert

gpupdate /force am Client

An jedem Client ausgeführt

wuauclt.exe /resetauthorization /detectnow

Auf jedem Client durchgeführt



Falls das alles nichts bringt: überprüfen, ob die GPO am Client überhaupt greift.

OK, GPO greift offensichtlich nicht. Hast du eine Idee, an was das liegen könnte? Sie wird einfach nicht aktualisiert. Klar, notfalls könnte ich das Ganze ohne GPO machen (sind ja nur 4 Clients), aber das kann ja nicht die Lösung für ein Geschäftsumfeld sein (ausserdem will ich was lernen).
Bitte warten ..
Mitglied: geTuemII
08.01.2008 um 00:40 Uhr
Hallo Hunt3r,

OK, GPO greift offensichtlich nicht.
ist das eine Vermutung oder hast du es überprüft?

Hast du eine Idee, an was das liegen könnte?
Teste mal, was am Client ankommt: Start --> Ausführen --> mmc --> Datei --> Snap-In hinzufügen --> Hinzufügen --> Richtlinienergebnissatz --> Hinzufügen --> Schließen --> OK --> Rechte Maus --> Ergebnissatz generieren

In der Struktur siehst du nun, aus welcher Richtlinie die aktuell gültige Einstellung kommt.

geTuemII
Bitte warten ..
Mitglied: TuXHunt3R
08.01.2008 um 09:53 Uhr
OK, GPO greift offensichtlich nicht.
ist das eine Vermutung oder hast du es überprüft?
Habe auf zwei Clients gpedit.msc geöffnet und unter Administrative Vorlagen -> Windows Komponenten -> Windows Update nachgeschaut, wie die Konfiguration aussieht. Dort war überall noch "Nicht konfiguriert" drin.

Teste mal, was am Client ankommt: Start --> Ausführen --> mmc --> Datei --> Snap-In hinzufügen --> Hinzufügen --> Richtlinienergebnissatz --> Hinzufügen --> Schließen --> OK --> Rechte Maus --> Ergebnissatz generieren
Werd ich über die Mittagspause testen. Gebe dir dann Feedback
Bitte warten ..
Mitglied: TuXHunt3R
09.01.2008 um 20:54 Uhr
Teste mal, was am Client ankommt: Start --> Ausführen --> mmc --> Datei --> Snap-In hinzufügen --> Hinzufügen --> Richtlinienergebnissatz --> Hinzufügen --> Schließen --> OK --> Rechte Maus --> Ergebnissatz generieren

OK, habe bei meinem 2. Windows 2003 Server (nicht WSUS, sollte aber auch per WSUS aktualisiert werden, also auch ein WSUS-Client) und beim Vista-Client je einen Ergebnissatz generiert. Bei beiden sind folgende Gruppenrichtlinien drin, bei beiden steht als GPO Name der Name der auf dem DC definierten GPO-Namen drin, es kommt also vom DC:

- Automatische Updates konfigurieren
- Clientseitige Zielzuordnung aktivieren
- Internen Pfad für den Microsoft Update Dienst angeben

Hier noch den WSUS Summary von letzter Nacht, den mir die Email-Benachrichtigung von WSUS geschickt hat:
01.
Status as of Wednesday, January 09, 2008 4:01 AM (GMT) 
02.
This e-mail message summarizes the status of the Update Services Server named SERVER02. 
03.
 
04.
Computer Status 
05.
Computer Group	Computers Needing Updates	Computers with Errors 
06.
Unassigned Computers	0	0 
07.
Clients_XP	0	0 
08.
Server_2003	0	0 
09.
All Computers	0	0 
10.
Clients_Vista	0	0 
11.
 
12.
 
13.
Updates Status 
14.
Critical and security updates approved:	4 
15.
Critical and security updates needed:	0 
16.
Critical and security updates with errors: 
17.
18.
 
19.
Non-critical and non-security updates approved:	0 
20.
Non-critical and non-security updates needed:	0 
21.
Non-critical and non-security updates with errors:	0 
22.
 
23.
 
24.
Synchronization Status 
25.
Last synchronization:	Monday, January 07, 2008 9:23 PM 
26.
Last synchronization result:	Succeeded 
27.
Next synchronization:	Manual
Offenbar sind die GPOs bei sowohl bei der Vista-Kiste als auch bei dem 2. 2003-Server angekommen. Die WSUS-Computergruppen sind aber immer noch leer, auch die "Nicht zugewiesenen Computer". Was jetzt?

Edit:

Habe soeben bei den beiden XP-Clients den Richtliniensatz generiert. Bei beiden sind die drei oben genannten GPOs drin, es hat also auch hier offensichtlich geklappt. Allerdings sind auch diese 2 Clients nicht in den WSUS-Computergruppen zu finden.

Zusammenfassend: Die 3 oben genannten GPOs sind auf allen Clients drauf, allerdings sind die WSUS-Computergruppen immer noch leer.
Bitte warten ..
Mitglied: geTuemII
09.01.2008 um 22:15 Uhr
Hast den WSUS auf die Standardwebsite konfiguriert oder eine weitere Website erzeugt? Oder anders gefragt: was steht im Bereich Internet Updatepfad in der GPO?

Für die Standardwebsite: http://servername/, für eine extra Website http://servername:8530/ (der Port wird IMHO von der Installationsroutine vorgeschlagen). Ansonsten kannst du den Port auch in der IIS-Konfiguration nachsehen.

geTuemII
Bitte warten ..
Mitglied: TuXHunt3R
09.01.2008 um 22:25 Uhr
Im Moment bringt er mir einen HTTP 403 forbidden zurück (hab es so konfiguriert, dass es über Port 8530 läuft, da auf dem IIS bereits mein Intranet läuft). Einen Moment......
Bitte warten ..
Mitglied: TuXHunt3R
09.01.2008 um 22:32 Uhr
Im IIS sind momentan 2 Websiten drin. Mein Intranet und die WSUS-Administration. Über Port 80 erreiche ich normal mein Intranet, aber über Port 8530 kommt nur der "HTTP 403 forbidden - The website declined to show this webpage" zurück.

Edit:
Ich arbeite überall mit demselben Account und habe überall Administratorenrechte (ich weiss, Sicherheitstechnisch absoluter Blödsinn)
Bitte warten ..
Mitglied: geTuemII
09.01.2008 um 22:53 Uhr
Der Eintrag http://servername:8530/ gehört in die GPO in den Bereich Internen Pfad für den Microsoft Update Dienst angeben in beide Eingabefenster (Internet Pfad zum Ermitten von Updates und Intranetserver für die Statistiken). Steht das dort?

Danach das komplette Procedere nochmal (gpupdate und wuauclt).

geTuemII
Bitte warten ..
Mitglied: TuXHunt3R
09.01.2008, aktualisiert 18.10.2012
Mein Gott bin ich dämlich!
Das hätte mir auch einfallen können!

Ist nun überall drin, gpupdate und wuauclt auf allen Clients ausgeführt (Gott sei dank gibt es XCMD: http://www.administrator.de/wissen/xcmd.exe-remote-cmd-tool-f%c3%bcr-wi ...)

Computer sind nun schön in den richtigen WSUS-Computergruppen aufgelistet.

Herzlichen Dank für deine Hilfe, ich werds nie vergessen

Ich probier nun mal, ob ich mit dem WSUS klarkomme. Ich setz den Beitrag noch nicht auf "Gelöst", evt. habe ich noch Fragen.
Bitte warten ..
Mitglied: geTuemII
09.01.2008 um 23:26 Uhr
Mein Gott bin ich dämlich!
Das hast du jetzt gesagt....

Ich probier nun mal, ob ich mit dem WSUS klarkomme.
Wird schon werden, der 3er ist deutlich Adminfreundlicher als die alten Versionen

Ich setz den Beitrag noch nicht auf "Gelöst", evt. habe ich noch Fragen.
Ok, solange du es nachher nicht vergißt.

Maximale Erfolge wünscht
das geTuemII
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Update
WSUS - trotz Einschränkung sind Updates für alle Produkte dabei?! (10)

Frage von tobitobsn zum Thema Windows Update ...

Windows 7
Windows 7 WSUS Client lädt keine Updates (2)

Tipp von mathu zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...