Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Tipp Microsoft Windows Server

WSUS unter 2012R2 in einer SBS2011-Domäne installieren

Mitglied: Manfred15

Manfred15 (Level 1) - Jetzt verbinden

13.06.2014 um 08:45 Uhr, 5112 Aufrufe, 10 Kommentare, 3 Danke

Nach langen erfolglosen Versuchen, einen WSUS auf einem 2012R2 DC in einer SBS2011 Domäne zu installieren möchte ich nun kundtun, wie es doch funktioniert und wo das Problem lag.

Ursprünglich gab es eine SBS2011 Domäne mit einem Windows 2008 DC und einem Windows 2008 Memberserver. Im Zuge einer Modernisierungsmaßnahme ist nun ein Windows 2012R2 DC und auch ein 2012R2 Memberserver dazugekommen. Alles war bislang problemlos möglich. Auf dem neuen 2012R2 DC sollte nun auch die Rolle WSUS genutzt werden, die vorher auf dem 2008er DC lief. Diese hatte ich bereits vorab dort deinstalliert.

Da ich schon häufiger die WSUS Rolle auf Windows 2012R2 aktiviert habe und es NIE Schwierigkeiten gegeben hat, habe ich auch hier nicht daran gedacht, dass es welche geben könnte. Auch der Betrieb der WSUS-Rolle auf einem DC ist ja prinzipiell unterstützt also warum sollte es Probleme geben.

Aber es kam anders: Rolle WSUS ausgewählt, abhängige Features auch im Standard belassen und so sollte automatisch der IIS und auch die WID Datenbank installiert werden. Kurz vor dem Ende der Installation kam dann aber die Abschlussmeldung, dass die Features nicht installiert werden könnten, da ein Neustart des Servers nötig wäre. OK, Server neu gestartet und nochmals versucht. Das gleiche Problem. Auch die IIS Rolle vorab installieren und dann WSUS ergab nichts anderes. IIS ging, WSUS wieder mit der selben Fehlermeldung ohne Erfolg. Nach verschiedenen Hinweisen im Internet habe ich dann auch versucht, nicht die GUI zu verwenden sondern die Powershell. Aber auch hier das gleiche Ergebnis. Kein WSUS, da ein Neustart vorher nötig gewesen wäre ;-(

Zufällig habe ich dann gestern Abend einen Hinweis gefunden, der zielführend war. Unter SBS2003 - SBS2011 gibt / gab es eine GPO, die nur bestimmten Konten erlaubte, sich als Dienst anzumelden. Bei Installation des 2012R2 DC und somit dem aktualisieren des Schemas werden diese Berechtigungen aber nicht automatisch angehoben / erweitert. Wenn man nun in der passenden GPO (im Beispiel aus dem Bericht gestern für DEFAULT DOMAIN POLICY und in meinem Fall, da es sich um den DC handelt die DEFAULT DOMAIN CONTROLLERS POLICY) die entsprechenden Einträge macht war auch über die GUI eine Installation der Rolle WSUS problemlos machbar.

Die Einträge waren wie folgt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst >> IIS_WPG, NETZWERK, NETZWERKDIENST, DIENST hinzufügen.
In meinem Fall gab es aber IIS_WPG nicht aber mit IIS_IUSRS ging dies auch.

Hoffe, dass es jemandem hilft.
Wenn jemand Anmerkungen hat, freue ich mich natürlich auch darüber!

Mitglied: colinardo
14.06.2014, aktualisiert 15.06.2014
Hallo Manfred,
danke erst mal für deinen Beitrag. Nur eine Anmerkung: Das Hinzufügen der IIS_IUSRS halte ich sicherheitstechnisch für eine nicht so gute Idee, besser wäre es hier das integrierte Service-Principal "NT SERVICE\ALL SERVICES" hinzuzufügen wie es hier beschrieben wird: http://www.jniesen.de/?p=1831

Falls das Hinzufügen dieser SID über den Dialog Probleme bereiten sollte, gibt es hier dafür die Lösung:http://www.cipherex.com/blogcipherex/entry/you-have-the-right-to

Grüße Uwe
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 10:46 Uhr
Hallo,
es wird bei allen dieser Lösungen immer wieder darauf verwiesen, "das integrierte Service-Principal "NT SERVICE\ALL SERVICES" hinzuzufügen". Schön wenn das die Lösung sein sollte, aber dieses Konto/Gruppe wie auch immer gibt es nicht und man kann es nicht in diese Policy einfügen! Wie also soll das funktionieren?

frustrierte Grüße
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Zitat von AsciWhite:
es wird bei allen dieser Lösungen immer wieder darauf verwiesen, "das integrierte Service-Principal "NT SERVICE\ALL
SERVICES" hinzuzufügen". Schön wenn das die Lösung sein sollte, aber dieses Konto/Gruppe wie auch immer
gibt es nicht und man kann es nicht in diese Policy einfügen! Wie also soll das funktionieren?

Doch das gibt es, es wird nur nicht im Dialog gelistet, du musst es dort manuell eintragen.
Bitte lese die Links ganz genau.

Grüße @colinardo
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 10:59 Uhr
Hallo,
danke für die schnelle Rückmeldung, aber ich habe schon versucht zb: "NT SERVICE\ALL SERVICES" oder "NT SERVICE\ALLE DIENSTE" einzugeben. Beides wird abgelehnt. Kennt denn jemand die deutsche Bezeichung, die man dort erfolgreich eingeben kann?

Gruss
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Les doch mal bitte den oben verlinkten Link:
http://www.cipherex.com/blogcipherex/entry/you-have-the-right-to

Fortunately there are no other users or groups the guide requires to add to any of the user rights. However, it is much easier to remove some users or groups than to add them back in. One example includes ‘NT SERVICE\ALL SERVICES’. There are a few ways to such accounts, however, I think the best way is to use the security template discussed earlier. 
 
First, you’ll need to know the ‘constant name’ associate with the particular user right. Here is a good reference: Microsoft Technet: User Rights. Next, you want to determine the ‘well-known security identifier’ associated with the user or group. I found this reference to be most helpful: Well-known security identifiers in Windows operating systems. Once you have the right SID, edit the security template inf file and find the constant name. Add or replace the SID to the end of the line as shown below: 
 
SeServiceLogonRight = *S-1-5-80-0 
 
Save the file, load it into the security database, and then apply the settings. This may take a bit to get used to, but once you’ve done it once or twice, it is pretty easy.
Also navigiere in den Sysvol-Ordner finde die Policy in der du es eintragen möchtest, und dann das *.inf-Template und füge die obige SID hinzu hinzu feddich...
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Nachtrag: Und es geht sehr wohl auch über den Dialog wenn du es in einer GPO und nicht über "secpol.msc" machst, dort wird NT SERVICE\ALL SERVICES anstandslos akzeptiert, gerade nochmal gestestet !!:

b3b04c449ae5f4611358257cc05c1524 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 12:24 Uhr
Hallo,
und VIIIIEEELEN Dank nachdem ich die Zeile in BEIDE inf Dateien eingefügt/angepasst habe startet der WSUS-Dienst auch wieder. Den Link hatte ich schon gelesen, aber ich war mir unsicher, einfach an so einer wichtigen Stellschraube so "brutal" einzugreifen.
Es zeigt jedoch wieder einmal, wie unvollständig M$ Server OS ist, traurig

dankbare Grüße
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 12:45 Uhr
Zitat von colinardo:

Nachtrag: Und es geht sehr wohl auch über den Dialog wenn du es in einer GPO und nicht über
"secpol.msc"
machst, dort wird NT SERVICE\ALL SERVICES anstandslos akzeptiert, gerade nochmal gestestet !!:

b3b04c449ae5f4611358257cc05c1524 - Klicke auf das Bild, um es zu vergrößern

Hallo,
Tut mir leid, aber bei mir das hier nicht aktzeptiert. Wenn ich über Verwaltung / Gruppenrichtlinienverwaltung / ... / Gruppenrichtlinienobjekte auf die Default Domain Controllers Policy bzw. Default Domain Poliy bearbeite und dann auf diesen Zweig "Anmelden als Dienst" erweitere kann ich über "Benutzer oder Gruppe hinzufügen" den NT SERVICE\ALL SERVICES nicht aus wählen.
Einfach eintragen und Bestätigen klappt auch nicht, weil eine Fehlermeldung kommt: "Ein Objekt .... konnte nicht gefunden werden".

Gruß

PS: nach dem Einfügen in die inf Datei siehts bei mir jetzt auch so aus ... und funktioniert
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:55 Uhr
Zitat von AsciWhite:
Tut mir leid, aber bei mir das hier nicht aktzeptiert. Wenn ich über Verwaltung / Gruppenrichtlinienverwaltung / ... /
Geht hier auf einem Server 2012R2 einwandfrei...

Guckst du hier
add_service_account_240811.mp4
Bitte warten ..
Mitglied: AsciWhite
27.04.2015, aktualisiert um 14:06 Uhr
WAAAHHH ... ich kipp vom Stuhl ... direkt reinschreiben ist der Trick !! *schäm* ich hab erst Durchsuchen angeklickt .... *roleeyes*

Okay, ich danke für die Geduld und das Lehrvideo :D

In diesem Sinne würde ich sagen, der Beitragsersteller darf den "Gelöst-Haken" setzen
Bitte warten ..
Ähnliche Inhalte
Windows Server
KB3097997 auch für Server 2012R2
Erfahrungsbericht von jsysdeWindows Server5 Kommentare

Moin zusammen, Wer findet den Fehler? Ich verteile Updates per SCCM und gebe die Updates entsprechend ihres Titel für ...

Windows Server
Microsoft Security Essentials unter 2012r2 aktualisieren
Tipp von FA-jkaWindows Server

Hallo, wer Microsoft Security Essentials auf einem WTS-Server unter 2012r2 installiert hat, wird irgendwann feststellen, dass Updates für das ...

Windows Update
KB3148812 - Fehler im WSUS
Tipp von ArnoNymousWindows Update6 Kommentare

Hallo, nach der Installation des Updates KB3148812 kann es vorkommen, dass die WSUS-Konsole sich nicht mehr korrekt öffnen lässt ...

RedHat, CentOS, Fedora
Steam für Fedora installieren
Tipp von FrankRedHat, CentOS, Fedora4 Kommentare

Da es für Steam hauptsächlich eine Ubuntu Installationsdatei (latest_steam.deb) gibt, hier eine sehr einfache Methode, um Steam auch unter ...

Neue Wissensbeiträge
Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 3 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 8 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement21 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...