Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS unter 2012R2 in einer SBS2011-Domäne installieren

Tipp Microsoft Windows Server

Mitglied: Manfred15

Manfred15 (Level 1) - Jetzt verbinden

13.06.2014 um 08:45 Uhr, 4496 Aufrufe, 10 Kommentare, 3 Danke

Nach langen erfolglosen Versuchen, einen WSUS auf einem 2012R2 DC in einer SBS2011 Domäne zu installieren möchte ich nun kundtun, wie es doch funktioniert und wo das Problem lag.

Ursprünglich gab es eine SBS2011 Domäne mit einem Windows 2008 DC und einem Windows 2008 Memberserver. Im Zuge einer Modernisierungsmaßnahme ist nun ein Windows 2012R2 DC und auch ein 2012R2 Memberserver dazugekommen. Alles war bislang problemlos möglich. Auf dem neuen 2012R2 DC sollte nun auch die Rolle WSUS genutzt werden, die vorher auf dem 2008er DC lief. Diese hatte ich bereits vorab dort deinstalliert.

Da ich schon häufiger die WSUS Rolle auf Windows 2012R2 aktiviert habe und es NIE Schwierigkeiten gegeben hat, habe ich auch hier nicht daran gedacht, dass es welche geben könnte. Auch der Betrieb der WSUS-Rolle auf einem DC ist ja prinzipiell unterstützt also warum sollte es Probleme geben.

Aber es kam anders: Rolle WSUS ausgewählt, abhängige Features auch im Standard belassen und so sollte automatisch der IIS und auch die WID Datenbank installiert werden. Kurz vor dem Ende der Installation kam dann aber die Abschlussmeldung, dass die Features nicht installiert werden könnten, da ein Neustart des Servers nötig wäre. OK, Server neu gestartet und nochmals versucht. Das gleiche Problem. Auch die IIS Rolle vorab installieren und dann WSUS ergab nichts anderes. IIS ging, WSUS wieder mit der selben Fehlermeldung ohne Erfolg. Nach verschiedenen Hinweisen im Internet habe ich dann auch versucht, nicht die GUI zu verwenden sondern die Powershell. Aber auch hier das gleiche Ergebnis. Kein WSUS, da ein Neustart vorher nötig gewesen wäre ;-(

Zufällig habe ich dann gestern Abend einen Hinweis gefunden, der zielführend war. Unter SBS2003 - SBS2011 gibt / gab es eine GPO, die nur bestimmten Konten erlaubte, sich als Dienst anzumelden. Bei Installation des 2012R2 DC und somit dem aktualisieren des Schemas werden diese Berechtigungen aber nicht automatisch angehoben / erweitert. Wenn man nun in der passenden GPO (im Beispiel aus dem Bericht gestern für DEFAULT DOMAIN POLICY und in meinem Fall, da es sich um den DC handelt die DEFAULT DOMAIN CONTROLLERS POLICY) die entsprechenden Einträge macht war auch über die GUI eine Installation der Rolle WSUS problemlos machbar.

Die Einträge waren wie folgt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst >> IIS_WPG, NETZWERK, NETZWERKDIENST, DIENST hinzufügen.
In meinem Fall gab es aber IIS_WPG nicht aber mit IIS_IUSRS ging dies auch.

Hoffe, dass es jemandem hilft.
Wenn jemand Anmerkungen hat, freue ich mich natürlich auch darüber!

Mitglied: colinardo
14.06.2014, aktualisiert 15.06.2014
Hallo Manfred,
danke erst mal für deinen Beitrag. Nur eine Anmerkung: Das Hinzufügen der IIS_IUSRS halte ich sicherheitstechnisch für eine nicht so gute Idee, besser wäre es hier das integrierte Service-Principal "NT SERVICE\ALL SERVICES" hinzuzufügen wie es hier beschrieben wird: http://www.jniesen.de/?p=1831

Falls das Hinzufügen dieser SID über den Dialog Probleme bereiten sollte, gibt es hier dafür die Lösung:http://www.cipherex.com/blogcipherex/entry/you-have-the-right-to

Grüße Uwe
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 10:46 Uhr
Hallo,
es wird bei allen dieser Lösungen immer wieder darauf verwiesen, "das integrierte Service-Principal "NT SERVICE\ALL SERVICES" hinzuzufügen". Schön wenn das die Lösung sein sollte, aber dieses Konto/Gruppe wie auch immer gibt es nicht und man kann es nicht in diese Policy einfügen! Wie also soll das funktionieren?

frustrierte Grüße
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Zitat von AsciWhite:
es wird bei allen dieser Lösungen immer wieder darauf verwiesen, "das integrierte Service-Principal "NT SERVICE\ALL
SERVICES" hinzuzufügen". Schön wenn das die Lösung sein sollte, aber dieses Konto/Gruppe wie auch immer
gibt es nicht und man kann es nicht in diese Policy einfügen! Wie also soll das funktionieren?

Doch das gibt es, es wird nur nicht im Dialog gelistet, du musst es dort manuell eintragen.
Bitte lese die Links ganz genau.

Grüße @colinardo
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 10:59 Uhr
Hallo,
danke für die schnelle Rückmeldung, aber ich habe schon versucht zb: "NT SERVICE\ALL SERVICES" oder "NT SERVICE\ALLE DIENSTE" einzugeben. Beides wird abgelehnt. Kennt denn jemand die deutsche Bezeichung, die man dort erfolgreich eingeben kann?

Gruss
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Les doch mal bitte den oben verlinkten Link:
http://www.cipherex.com/blogcipherex/entry/you-have-the-right-to

Fortunately there are no other users or groups the guide requires to add to any of the user rights. However, it is much easier to remove some users or groups than to add them back in. One example includes ‘NT SERVICE\ALL SERVICES’. There are a few ways to such accounts, however, I think the best way is to use the security template discussed earlier. 
 
First, you’ll need to know the ‘constant name’ associate with the particular user right. Here is a good reference: Microsoft Technet: User Rights. Next, you want to determine the ‘well-known security identifier’ associated with the user or group. I found this reference to be most helpful: Well-known security identifiers in Windows operating systems. Once you have the right SID, edit the security template inf file and find the constant name. Add or replace the SID to the end of the line as shown below: 
 
SeServiceLogonRight = *S-1-5-80-0 
 
Save the file, load it into the security database, and then apply the settings. This may take a bit to get used to, but once you’ve done it once or twice, it is pretty easy.
Also navigiere in den Sysvol-Ordner finde die Policy in der du es eintragen möchtest, und dann das *.inf-Template und füge die obige SID hinzu hinzu feddich...
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Nachtrag: Und es geht sehr wohl auch über den Dialog wenn du es in einer GPO und nicht über "secpol.msc" machst, dort wird NT SERVICE\ALL SERVICES anstandslos akzeptiert, gerade nochmal gestestet !!:

b3b04c449ae5f4611358257cc05c1524 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 12:24 Uhr
Hallo,
und VIIIIEEELEN Dank nachdem ich die Zeile in BEIDE inf Dateien eingefügt/angepasst habe startet der WSUS-Dienst auch wieder. Den Link hatte ich schon gelesen, aber ich war mir unsicher, einfach an so einer wichtigen Stellschraube so "brutal" einzugreifen.
Es zeigt jedoch wieder einmal, wie unvollständig M$ Server OS ist, traurig

dankbare Grüße
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 12:45 Uhr
Zitat von colinardo:

Nachtrag: Und es geht sehr wohl auch über den Dialog wenn du es in einer GPO und nicht über
"secpol.msc"
machst, dort wird NT SERVICE\ALL SERVICES anstandslos akzeptiert, gerade nochmal gestestet !!:

b3b04c449ae5f4611358257cc05c1524 - Klicke auf das Bild, um es zu vergrößern

Hallo,
Tut mir leid, aber bei mir das hier nicht aktzeptiert. Wenn ich über Verwaltung / Gruppenrichtlinienverwaltung / ... / Gruppenrichtlinienobjekte auf die Default Domain Controllers Policy bzw. Default Domain Poliy bearbeite und dann auf diesen Zweig "Anmelden als Dienst" erweitere kann ich über "Benutzer oder Gruppe hinzufügen" den NT SERVICE\ALL SERVICES nicht aus wählen.
Einfach eintragen und Bestätigen klappt auch nicht, weil eine Fehlermeldung kommt: "Ein Objekt .... konnte nicht gefunden werden".

Gruß

PS: nach dem Einfügen in die inf Datei siehts bei mir jetzt auch so aus ... und funktioniert
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:55 Uhr
Zitat von AsciWhite:
Tut mir leid, aber bei mir das hier nicht aktzeptiert. Wenn ich über Verwaltung / Gruppenrichtlinienverwaltung / ... /
Geht hier auf einem Server 2012R2 einwandfrei...

Guckst du hier
add_service_account_240811.mp4
Bitte warten ..
Mitglied: AsciWhite
27.04.2015, aktualisiert um 14:06 Uhr
WAAAHHH ... ich kipp vom Stuhl ... direkt reinschreiben ist der Trick !! *schäm* ich hab erst Durchsuchen angeklickt .... *roleeyes*

Okay, ich danke für die Geduld und das Lehrvideo :D

In diesem Sinne würde ich sagen, der Beitragsersteller darf den "Gelöst-Haken" setzen
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Win Server 2012R2 bzw 2016 als Backupdomaincontroller in einer Samba 3 Domäne

Frage von Franz-Josef-II zum Thema Windows Server ...

Windows Server
gelöst RDH 2012R2 in 2008R2-Domäne mehrfache Anmeldung nötig (4)

Frage von YotYot zum Thema Windows Server ...

Windows Server
Fonts installieren auf Windows 2012R2 (1)

Frage von kellbidden zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...