Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WSUS - Probleme nach Installation mit Clients und Serverknoten

Frage Microsoft Windows Installation

Mitglied: Forseti2003

Forseti2003 (Level 1) - Jetzt verbinden

21.05.2014 um 11:08 Uhr, 3576 Aufrufe, 13 Kommentare

Hallo in die Runde,

habe ein kleines Problem (hoffe ich zumindest) und eventuell kennt ja jemand dazu die Lösung

Folgendes Szenario:

Zwei Server jeweils Windows Server 2012 R2
Ein Server ist Domänencontroller unter Windows Server 2012

Auf einem der zwei Server wurde nach Installation die Rolle WSUS hinzugefügt und eingerichtet.
Der zweite Server als Client nurmal installiert und in die Domäne eingebunden.
Auf dem Domänencontroller wurde eine GPO eingerichtet (GPO_WSUS) die für den Client gelten soll.

Im Anschluß an die Installation wurde ein SSL-Zertifikat über IIS erstellt und der Bindung als https auf 8531 hinzugefügt.
Gleichzeitig die empfohlenen Verzeichnisse für SSL-Zertifikat erforderlich ergänzt.

In der GPO wurde dann die Adresse auf https://wsus:8531 geändert

Auf Domänencontroller und Client die GPO mittels gpupdate /force aktualisiert.
Auf dem Client zusätzlich noch /detectnow ausgeführt.

Am WSUS-Server die Konsole gestartet und einen Fehler erhalten, das der Serverknoten nicht gestartet werden kann - greift weiterhin auf den hhtp 8530 zu, manuelle Änderung auf 8531 und der Knoten funkioniert.
Die Computergruppe erweitert, kein PC drin, auf Suchen gegangen, kein PC angezeigt.

- Neustart von Client und WSUS-Server

Gleiches Ergebnis.

Damit hab ich aktuell zwei Probleme:

1) Wird die WSUS-Konsole geöffnet muss ich ständig den Server manuell nachtragen
2) Der Client will sich einfach nicht am WSUS-Server anmelden

Keine Ahnung an was es liegen könnte, oder hab ich irgendetwas entscheidendes übersehen?

Grüße
Forseti
Mitglied: cse
LÖSUNG 21.05.2014, aktualisiert um 14:10 Uhr
Hey,

da ich auch gerade mit GPOs gekämpft habe kann ich dir folgenden Hinweis geben:

am betroffenen Rechner rsop.msc ausführen, er zeigt dir dann welche Einstellungen er sich zieht.
cmd --> gpresult /r zeigt dir welche Richtlinien er verarbeitet.

musst also nur noch checken wo in rsop die einstellung für 8530 liegt, dann checkste welche Richtlinien er sich zieht (gpresult) und kuckst im Richtlinieneditor (server) alle betroffenen Richtlinien durch und navigierst zu der Stelle welche in der RSOP 8530 anzeigt.

viel erfolg
Bitte warten ..
Mitglied: Dani
21.05.2014 um 12:14 Uhr
Im Anschluß an die Installation wurde ein SSL-Zertifikat über IIS erstellt und der Bindung als https auf 8531 hinzugefügt.
Bevor du @cse Rat folgst, würde ich auf SSL verzichten und Step-by-Step den Fehler suchen.

Gleichzeitig die empfohlenen Verzeichnisse für SSL-Zertifikat erforderlich ergänzt.
Wo hast du diese Empfehlungen her? Ist das Zertifikat ein internes von deiner CA oder gekauft?

In der GPO wurde dann die Adresse auf https://wsus:8531 geändert
Kannst du am Client den Rechnernamen "wsus" überhaupt auflösen (Eingabeaufforderung -> nslookup wsus". Das ist die Basis. Ohne die funktioniert der Rest auch nicht.


Grüße,
Dani
Bitte warten ..
Mitglied: lenny4me
LÖSUNG 21.05.2014, aktualisiert um 14:11 Uhr
Hallo,

nicht https://wsus:port verwenden sondern bitte den FQDN. Warscheinlich vertrauen die Clients dem WSUS nicht da der Zertifikat nicht auf WSUS lautet sondern auf wsus.domain.tld

Grüße
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 13:26 Uhr
Okay, das hat mir schonmal ein Stück weitergeholfen, hätte ich auch selbst draufkommen können. Ergebnis von gpresult war, das der Client die GPO gar nicht zieht, Fehler hierbei war ganz simpel - die GPO war in der falschen Struktur verlinkt, hab diese nun höher gesetzt, direkt in das Root der Domäne und der Client sieht und zieht die Richtlinie jetzt.

Dummerweise sieht der WSUS-Server den Client weiterhin nicht.
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 13:28 Uhr
Das wäre der nächste Schritt, wenn alles andere nicht weiterführt, würde aber vorerst mit SSL noch probieren.
Die Empfehlungen für die Verzeichnisse stammt aus der Hilfeseite von Microsoft, nach der Installation von WSUS kann man einen Link zu verschiedenen Themen auswählen, einer ist die Einrichtung von WSUS mit SSL-Zertifikaten.

Das Zertifikat wurde über die interne CA erstellt - Domänenzertifikat.

Dasu auflösen des Rechnernamens klappt wunderbar, daran liegt das Problem nicht.
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 13:29 Uhr
Zitat von lenny4me:

Hallo,

nicht https://wsus:port verwenden sondern bitte den FQDN. Warscheinlich vertrauen die Clients dem WSUS nicht da der Zertifikat
nicht auf WSUS lautet sondern auf wsus.domain.tld

Grüße

Hab ich jetzt auf FQDN geändert, gleiches Ergebnis.
Bitte warten ..
Mitglied: lenny4me
21.05.2014 um 13:48 Uhr
Hallo,

>Dummerweise sieht der WSUS-Server den Client weiterhin nicht.

die Aussage ist technisch falsch. Der Client sieht den WSUS nicht umgekehrt.
Der Client repored ja zum WSUS... aber das ist Erbsenglauberei.

Was sagt die Windowsupdatelog auf dem Client?

Grüße
Bitte warten ..
Mitglied: Dani
21.05.2014 um 13:55 Uhr
Das Zertifikat wurde über die interne CA erstellt - Domänenzertifikat.
Dasu auflösen des Rechnernamens klappt wunderbar, daran liegt das Problem nicht.
D.h. Rechnername (DNS) stimmt mit Zertifikatsnamen überein?
Die Clients vertrauen den Zertifikat auch (z.B. https://wsus.abc.local) funktioniert ohne Warnung?

Das wäre der nächste Schritt, wenn alles andere nicht weiterführt, würde aber vorerst mit SSL noch probieren.
Kein Ding... ist nicht meine Arbeitszeit.


Grüße,
Dani
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 14:10 Uhr
Zitat von lenny4me:

Hallo,

>Dummerweise sieht der WSUS-Server den Client weiterhin nicht.

die Aussage ist technisch falsch. Der Client sieht den WSUS nicht umgekehrt.
Der Client repored ja zum WSUS... aber das ist Erbsenglauberei.

Was sagt die Windowsupdatelog auf dem Client?

Grüße

Hab jetzt mal die GPO auf den normalen Pfad umgelegt, also http: und Port 8530 - brachte aber erstmal auch kein Ergebnis, wenn ich SSL ignoriere.
Aber, nachdem ich den Client neugestartet habe, da plötzlich meldete er sich am WSUS an.

Ich lass jetzt erstmal das SSL aussen vor, für den WSUS-Server sollte das ja nicht wirklich primär wichtig sein und heute abend starte ich dann mal alle Server die aufgenommen werden sollen neu, dann könnte das ganze funktionieren

Danke für Eure Hilfen.
Bitte warten ..
Mitglied: Dani
21.05.2014 um 14:15 Uhr
heute abend starte ich dann mal alle Server die aufgenommen werden sollen neu, dann könnte das ganze funktionieren
Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen.
01.
@echo off 
02.
net stop wuauserv 
03.
if exist "%windir%\SoftwareDistribution" rmdir /S /Q "%windir%\SoftwareDistribution" 
04.
 
05.
pause
Grüße,
Dani
Bitte warten ..
Mitglied: lenny4me
21.05.2014 um 14:25 Uhr
Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen

Wenn er an den GPOs gedreht hat ist ein Neustart der Clients vielleicht wirklich keine schlechte Idee.


... mich würde trotzdem interessieren was im Windowsupdatelog des Clients steht
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 14:48 Uhr
Zitat von Dani:

> heute abend starte ich dann mal alle Server die aufgenommen werden sollen neu, dann könnte das ganze funktionieren
Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen.
01.
> @echo off 
02.
> net stop wuauserv 
03.
> if exist "%windir%\SoftwareDistribution" rmdir /S /Q "%windir%\SoftwareDistribution" 
04.
>  
05.
> pause 
06.
> 
Grüße,
Dani

Das funktioniert leider nicht, die weiteren Server hab ich ja erst der Sicherheitsgruppe zugewiesen, insofern können die dann noch nicht die GPO laden, da sie aktuell nicht wissen, das sie dieser Gruppe zugehörig sind und somit lehnen sie die GPO ab.

Daher wollte ich den Neustart durchführen, damit die Gruppe und die GPO gleich da ist. Außer ich kann die Sicherheitsgruppe ohne Neustart einlesen, da wüsste ich aber nicht wie das geht.
Bitte warten ..
Mitglied: Forseti2003
21.05.2014 um 15:17 Uhr
Zitat von lenny4me:

> Den Neustart kannst du dir sparen, einfach folgendes Skript ausführen und danach nach Updates suchen lassen

Wenn er an den GPOs gedreht hat ist ein Neustart der Clients vielleicht wirklich keine schlechte Idee.


... mich würde trotzdem interessieren was im Windowsupdatelog des Clients steht


Okay, das mit den Log's ist kein Problem:

bis zu dem Zeitpunkt wo es nicht funktioniert hat sind folgende Einträge vorhanden:
Fehler Uhrzeit 10:05:09 WindowsUpdateClient Ereignis-ID 25 Windows Update-Agent - Fehler bei der Suche nach Updates: 0x80248014
Fehler Uhrzeit 13:20:28 WindowsUpdateClient Ereignis-ID 25 Windows Update-Agent - Fehler bei der Sucha nach Updates: 0x80072F8f
Fehler Uhrzeit 13:30:21 WindowsUpdateClient Ereignis-ID 25 Windows Update-Agent - Fehler bei der Suche nach Updates: 0x800B010F
dieser Fehler wiederholt sich dann noch um 13:34 - ab da läuft es dann und es kommen keine Fehler mehr.

die letzten beiden Fehler würden auf das SSL-Zertifikat als Verursacher verweisen, die beiden davor keine Ahnung.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Microsoft
gelöst WSUS auch bei Clients außerhalb der Domain verwenden? (5)

Frage von sven784230 zum Thema Microsoft ...

Windows Update
WSUS zeigt max. 69 Clients an (1)

Frage von TheGoodOne zum Thema Windows Update ...

Windows Update
Clients reporten nicht an WSUS (10)

Frage von mk139 zum Thema Windows Update ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...