Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WSUS - Probleme nach Installation mit Clients und Serverknoten

Frage Microsoft Windows Installation

Mitglied: Forseti2003

Forseti2003 (Level 1) - Jetzt verbinden

21.05.2014 um 11:08 Uhr, 3931 Aufrufe, 13 Kommentare

Hallo in die Runde,

habe ein kleines Problem (hoffe ich zumindest) und eventuell kennt ja jemand dazu die Lösung

Folgendes Szenario:

Zwei Server jeweils Windows Server 2012 R2
Ein Server ist Domänencontroller unter Windows Server 2012

Auf einem der zwei Server wurde nach Installation die Rolle WSUS hinzugefügt und eingerichtet.
Der zweite Server als Client nurmal installiert und in die Domäne eingebunden.
Auf dem Domänencontroller wurde eine GPO eingerichtet (GPO_WSUS) die für den Client gelten soll.

Im Anschluß an die Installation wurde ein SSL-Zertifikat über IIS erstellt und der Bindung als https auf 8531 hinzugefügt.
Gleichzeitig die empfohlenen Verzeichnisse für SSL-Zertifikat erforderlich ergänzt.

In der GPO wurde dann die Adresse auf https://wsus:8531 geändert

Auf Domänencontroller und Client die GPO mittels gpupdate /force aktualisiert.
Auf dem Client zusätzlich noch /detectnow ausgeführt.

Am WSUS-Server die Konsole gestartet und einen Fehler erhalten, das der Serverknoten nicht gestartet werden kann - greift weiterhin auf den hhtp 8530 zu, manuelle Änderung auf 8531 und der Knoten funkioniert.
Die Computergruppe erweitert, kein PC drin, auf Suchen gegangen, kein PC angezeigt.

- Neustart von Client und WSUS-Server

Gleiches Ergebnis.

Damit hab ich aktuell zwei Probleme:

1) Wird die WSUS-Konsole geöffnet muss ich ständig den Server manuell nachtragen
2) Der Client will sich einfach nicht am WSUS-Server anmelden

Keine Ahnung an was es liegen könnte, oder hab ich irgendetwas entscheidendes übersehen?

Grüße
Forseti
Mitglied: cse
LÖSUNG 21.05.2014, aktualisiert um 14:10 Uhr
Hey,

da ich auch gerade mit GPOs gekämpft habe kann ich dir folgenden Hinweis geben:

am betroffenen Rechner rsop.msc ausführen, er zeigt dir dann welche Einstellungen er sich zieht.
cmd --> gpresult /r zeigt dir welche Richtlinien er verarbeitet.

musst also nur noch checken wo in rsop die einstellung für 8530 liegt, dann checkste welche Richtlinien er sich zieht (gpresult) und kuckst im Richtlinieneditor (server) alle betroffenen Richtlinien durch und navigierst zu der Stelle welche in der RSOP 8530 anzeigt.

viel erfolg
Bitte warten ..
Mitglied: Dani
21.05.2014 um 12:14 Uhr
Im Anschluß an die Installation wurde ein SSL-Zertifikat über IIS erstellt und der Bindung als https auf 8531 hinzugefügt.
Bevor du @cse Rat folgst, würde ich auf SSL verzichten und Step-by-Step den Fehler suchen.

Gleichzeitig die empfohlenen Verzeichnisse für SSL-Zertifikat erforderlich ergänzt.
Wo hast du diese Empfehlungen her? Ist das Zertifikat ein internes von deiner CA oder gekauft?

In der GPO wurde dann die Adresse auf https://wsus:8531 geändert
Kannst du am Client den Rechnernamen "wsus" überhaupt auflösen (Eingabeaufforderung -> nslookup wsus". Das ist die Basis. Ohne die funktioniert der Rest auch nicht.


Grüße,
Dani
Bitte warten ..
Mitglied: lenny4me
LÖSUNG 21.05.2014, aktualisiert um 14:11 Uhr
Hallo,

nicht https://wsus:port verwenden sondern bitte den FQDN. Warscheinlich vertrauen die Clients dem WSUS nicht da der Zertifikat nicht auf WSUS lautet sondern auf wsus.domain.tld

Grüße
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 13:26 Uhr
Okay, das hat mir schonmal ein Stück weitergeholfen, hätte ich auch selbst draufkommen können. Ergebnis von gpresult war, das der Client die GPO gar nicht zieht, Fehler hierbei war ganz simpel - die GPO war in der falschen Struktur verlinkt, hab diese nun höher gesetzt, direkt in das Root der Domäne und der Client sieht und zieht die Richtlinie jetzt.

Dummerweise sieht der WSUS-Server den Client weiterhin nicht.
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 13:28 Uhr
Das wäre der nächste Schritt, wenn alles andere nicht weiterführt, würde aber vorerst mit SSL noch probieren.
Die Empfehlungen für die Verzeichnisse stammt aus der Hilfeseite von Microsoft, nach der Installation von WSUS kann man einen Link zu verschiedenen Themen auswählen, einer ist die Einrichtung von WSUS mit SSL-Zertifikaten.

Das Zertifikat wurde über die interne CA erstellt - Domänenzertifikat.

Dasu auflösen des Rechnernamens klappt wunderbar, daran liegt das Problem nicht.
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 13:29 Uhr
Zitat von lenny4me:

Hallo,

nicht https://wsus:port verwenden sondern bitte den FQDN. Warscheinlich vertrauen die Clients dem WSUS nicht da der Zertifikat
nicht auf WSUS lautet sondern auf wsus.domain.tld

Grüße

Hab ich jetzt auf FQDN geändert, gleiches Ergebnis.
Bitte warten ..
Mitglied: lenny4me
21.05.2014 um 13:48 Uhr
Hallo,

>Dummerweise sieht der WSUS-Server den Client weiterhin nicht.

die Aussage ist technisch falsch. Der Client sieht den WSUS nicht umgekehrt.
Der Client repored ja zum WSUS... aber das ist Erbsenglauberei.

Was sagt die Windowsupdatelog auf dem Client?

Grüße
Bitte warten ..
Mitglied: Dani
21.05.2014 um 13:55 Uhr
Das Zertifikat wurde über die interne CA erstellt - Domänenzertifikat.
Dasu auflösen des Rechnernamens klappt wunderbar, daran liegt das Problem nicht.
D.h. Rechnername (DNS) stimmt mit Zertifikatsnamen überein?
Die Clients vertrauen den Zertifikat auch (z.B. https://wsus.abc.local) funktioniert ohne Warnung?

Das wäre der nächste Schritt, wenn alles andere nicht weiterführt, würde aber vorerst mit SSL noch probieren.
Kein Ding... ist nicht meine Arbeitszeit.


Grüße,
Dani
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 14:10 Uhr
Zitat von lenny4me:

Hallo,

>Dummerweise sieht der WSUS-Server den Client weiterhin nicht.

die Aussage ist technisch falsch. Der Client sieht den WSUS nicht umgekehrt.
Der Client repored ja zum WSUS... aber das ist Erbsenglauberei.

Was sagt die Windowsupdatelog auf dem Client?

Grüße

Hab jetzt mal die GPO auf den normalen Pfad umgelegt, also http: und Port 8530 - brachte aber erstmal auch kein Ergebnis, wenn ich SSL ignoriere.
Aber, nachdem ich den Client neugestartet habe, da plötzlich meldete er sich am WSUS an.

Ich lass jetzt erstmal das SSL aussen vor, für den WSUS-Server sollte das ja nicht wirklich primär wichtig sein und heute abend starte ich dann mal alle Server die aufgenommen werden sollen neu, dann könnte das ganze funktionieren

Danke für Eure Hilfen.
Bitte warten ..
Mitglied: Dani
21.05.2014 um 14:15 Uhr
heute abend starte ich dann mal alle Server die aufgenommen werden sollen neu, dann könnte das ganze funktionieren
Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen.
01.
@echo off 
02.
net stop wuauserv 
03.
if exist "%windir%\SoftwareDistribution" rmdir /S /Q "%windir%\SoftwareDistribution" 
04.
 
05.
pause
Grüße,
Dani
Bitte warten ..
Mitglied: lenny4me
21.05.2014 um 14:25 Uhr
Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen

Wenn er an den GPOs gedreht hat ist ein Neustart der Clients vielleicht wirklich keine schlechte Idee.


... mich würde trotzdem interessieren was im Windowsupdatelog des Clients steht
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 14:48 Uhr
Zitat von Dani:

> heute abend starte ich dann mal alle Server die aufgenommen werden sollen neu, dann könnte das ganze funktionieren
Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen.
01.
> @echo off 
02.
> net stop wuauserv 
03.
> if exist "%windir%\SoftwareDistribution" rmdir /S /Q "%windir%\SoftwareDistribution" 
04.
>  
05.
> pause 
06.
> 
Grüße,
Dani

Das funktioniert leider nicht, die weiteren Server hab ich ja erst der Sicherheitsgruppe zugewiesen, insofern können die dann noch nicht die GPO laden, da sie aktuell nicht wissen, das sie dieser Gruppe zugehörig sind und somit lehnen sie die GPO ab.

Daher wollte ich den Neustart durchführen, damit die Gruppe und die GPO gleich da ist. Außer ich kann die Sicherheitsgruppe ohne Neustart einlesen, da wüsste ich aber nicht wie das geht.
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 15:17 Uhr
Zitat von lenny4me:

> Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen

Wenn er an den GPOs gedreht hat ist ein Neustart der Clients vielleicht wirklich keine schlechte Idee.


... mich würde trotzdem interessieren was im Windowsupdatelog des Clients steht


Okay, das mit den Log's ist kein Problem:

bis zu dem Zeitpunkt wo es nicht funktioniert hat sind folgende Einträge vorhanden:
Fehler Uhrzeit 10:05:09 WindowsUpdateClient Ereignis-ID 25 Windows Update-Agent - Fehler bei der Suche nach Updates: 0x80248014
Fehler Uhrzeit 13:20:28 WindowsUpdateClient Ereignis-ID 25 Windows Update-Agent - Fehler bei der Sucha nach Updates: 0x80072F8f
Fehler Uhrzeit 13:30:21 WindowsUpdateClient Ereignis-ID 25 Windows Update-Agent - Fehler bei der Suche nach Updates: 0x800B010F
dieser Fehler wiederholt sich dann noch um 13:34 - ab da läuft es dann und es kommen keine Fehler mehr.

die letzten beiden Fehler würden auf das SSL-Zertifikat als Verursacher verweisen, die beiden davor keine Ahnung.
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail
Probleme bei der Installation mit dem David Client
gelöst Frage von killtecOutlook & Mail4 Kommentare

Hallo zusammen, ich habe folgendes Problem. Der David Client lässt sich nicht korrekt auf meinem Laptop installieren. Die Installation ...

Windows Server
Probleme mit Windows Update bei Win10 Clients (WSUS)
Frage von MarkusMWindows Server

Hallo zusammen, habe hier einen WSUS 6.3.9600.18324 auf einem Windows 2012 R2 am laufen und hatte bisher auch wenig ...

Windows Server
Clients melden sich nicht am WSUS an und Probleme beim Download
Frage von HertieWindows Server4 Kommentare

Guten Morgen zusammen, ich habe einen Problem in einer von zwei Windows-Domänen-Umgebungen, in denen ich aktuell versuche je einen ...

Windows 7
Probleme mit WSUS, Win 7 Client zieht keine Updates
gelöst Frage von lordfire112Windows 74 Kommentare

Guten Abend zusammen, ich habe ein Problem mit einem Windows 7 64 Bit Client und unserem WSUS Server. Wir ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 2 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 2 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 14 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 21 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...