Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS unter 2012R2 in einer SBS2011-Domäne installieren

Mitglied: Manfred15

Manfred15 (Level 1) - Jetzt verbinden

13.06.2014 um 08:45 Uhr, 5326 Aufrufe, 10 Kommentare, 3 Danke

Nach langen erfolglosen Versuchen, einen WSUS auf einem 2012R2 DC in einer SBS2011 Domäne zu installieren möchte ich nun kundtun, wie es doch funktioniert und wo das Problem lag.

Ursprünglich gab es eine SBS2011 Domäne mit einem Windows 2008 DC und einem Windows 2008 Memberserver. Im Zuge einer Modernisierungsmaßnahme ist nun ein Windows 2012R2 DC und auch ein 2012R2 Memberserver dazugekommen. Alles war bislang problemlos möglich. Auf dem neuen 2012R2 DC sollte nun auch die Rolle WSUS genutzt werden, die vorher auf dem 2008er DC lief. Diese hatte ich bereits vorab dort deinstalliert.

Da ich schon häufiger die WSUS Rolle auf Windows 2012R2 aktiviert habe und es NIE Schwierigkeiten gegeben hat, habe ich auch hier nicht daran gedacht, dass es welche geben könnte. Auch der Betrieb der WSUS-Rolle auf einem DC ist ja prinzipiell unterstützt also warum sollte es Probleme geben.

Aber es kam anders: Rolle WSUS ausgewählt, abhängige Features auch im Standard belassen und so sollte automatisch der IIS und auch die WID Datenbank installiert werden. Kurz vor dem Ende der Installation kam dann aber die Abschlussmeldung, dass die Features nicht installiert werden könnten, da ein Neustart des Servers nötig wäre. OK, Server neu gestartet und nochmals versucht. Das gleiche Problem. Auch die IIS Rolle vorab installieren und dann WSUS ergab nichts anderes. IIS ging, WSUS wieder mit der selben Fehlermeldung ohne Erfolg. Nach verschiedenen Hinweisen im Internet habe ich dann auch versucht, nicht die GUI zu verwenden sondern die Powershell. Aber auch hier das gleiche Ergebnis. Kein WSUS, da ein Neustart vorher nötig gewesen wäre ;-(

Zufällig habe ich dann gestern Abend einen Hinweis gefunden, der zielführend war. Unter SBS2003 - SBS2011 gibt / gab es eine GPO, die nur bestimmten Konten erlaubte, sich als Dienst anzumelden. Bei Installation des 2012R2 DC und somit dem aktualisieren des Schemas werden diese Berechtigungen aber nicht automatisch angehoben / erweitert. Wenn man nun in der passenden GPO (im Beispiel aus dem Bericht gestern für DEFAULT DOMAIN POLICY und in meinem Fall, da es sich um den DC handelt die DEFAULT DOMAIN CONTROLLERS POLICY) die entsprechenden Einträge macht war auch über die GUI eine Installation der Rolle WSUS problemlos machbar.

Die Einträge waren wie folgt:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst >> IIS_WPG, NETZWERK, NETZWERKDIENST, DIENST hinzufügen.
In meinem Fall gab es aber IIS_WPG nicht aber mit IIS_IUSRS ging dies auch.

Hoffe, dass es jemandem hilft.
Wenn jemand Anmerkungen hat, freue ich mich natürlich auch darüber!

Mitglied: colinardo
14.06.2014, aktualisiert 15.06.2014
Hallo Manfred,
danke erst mal für deinen Beitrag. Nur eine Anmerkung: Das Hinzufügen der IIS_IUSRS halte ich sicherheitstechnisch für eine nicht so gute Idee, besser wäre es hier das integrierte Service-Principal "NT SERVICE\ALL SERVICES" hinzuzufügen wie es hier beschrieben wird: http://www.jniesen.de/?p=1831

Falls das Hinzufügen dieser SID über den Dialog Probleme bereiten sollte, gibt es hier dafür die Lösung:http://www.cipherex.com/blogcipherex/entry/you-have-the-right-to

Grüße Uwe
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 10:46 Uhr
Hallo,
es wird bei allen dieser Lösungen immer wieder darauf verwiesen, "das integrierte Service-Principal "NT SERVICE\ALL SERVICES" hinzuzufügen". Schön wenn das die Lösung sein sollte, aber dieses Konto/Gruppe wie auch immer gibt es nicht und man kann es nicht in diese Policy einfügen! Wie also soll das funktionieren?

frustrierte Grüße
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Zitat von AsciWhite:
es wird bei allen dieser Lösungen immer wieder darauf verwiesen, "das integrierte Service-Principal "NT SERVICE\ALL
SERVICES" hinzuzufügen". Schön wenn das die Lösung sein sollte, aber dieses Konto/Gruppe wie auch immer
gibt es nicht und man kann es nicht in diese Policy einfügen! Wie also soll das funktionieren?

Doch das gibt es, es wird nur nicht im Dialog gelistet, du musst es dort manuell eintragen.
Bitte lese die Links ganz genau.

Grüße @colinardo
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 10:59 Uhr
Hallo,
danke für die schnelle Rückmeldung, aber ich habe schon versucht zb: "NT SERVICE\ALL SERVICES" oder "NT SERVICE\ALLE DIENSTE" einzugeben. Beides wird abgelehnt. Kennt denn jemand die deutsche Bezeichung, die man dort erfolgreich eingeben kann?

Gruss
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Les doch mal bitte den oben verlinkten Link:
http://www.cipherex.com/blogcipherex/entry/you-have-the-right-to

Fortunately there are no other users or groups the guide requires to add to any of the user rights. However, it is much easier to remove some users or groups than to add them back in. One example includes ‘NT SERVICE\ALL SERVICES’. There are a few ways to such accounts, however, I think the best way is to use the security template discussed earlier. 
 
First, you’ll need to know the ‘constant name’ associate with the particular user right. Here is a good reference: Microsoft Technet: User Rights. Next, you want to determine the ‘well-known security identifier’ associated with the user or group. I found this reference to be most helpful: Well-known security identifiers in Windows operating systems. Once you have the right SID, edit the security template inf file and find the constant name. Add or replace the SID to the end of the line as shown below: 
 
SeServiceLogonRight = *S-1-5-80-0 
 
Save the file, load it into the security database, and then apply the settings. This may take a bit to get used to, but once you’ve done it once or twice, it is pretty easy.
Also navigiere in den Sysvol-Ordner finde die Policy in der du es eintragen möchtest, und dann das *.inf-Template und füge die obige SID hinzu hinzu feddich...
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:08 Uhr
Nachtrag: Und es geht sehr wohl auch über den Dialog wenn du es in einer GPO und nicht über "secpol.msc" machst, dort wird NT SERVICE\ALL SERVICES anstandslos akzeptiert, gerade nochmal gestestet !!:

b3b04c449ae5f4611358257cc05c1524 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 12:24 Uhr
Hallo,
und VIIIIEEELEN Dank nachdem ich die Zeile in BEIDE inf Dateien eingefügt/angepasst habe startet der WSUS-Dienst auch wieder. Den Link hatte ich schon gelesen, aber ich war mir unsicher, einfach an so einer wichtigen Stellschraube so "brutal" einzugreifen.
Es zeigt jedoch wieder einmal, wie unvollständig M$ Server OS ist, traurig

dankbare Grüße
Bitte warten ..
Mitglied: AsciWhite
27.04.2015 um 12:45 Uhr
Zitat von colinardo:

Nachtrag: Und es geht sehr wohl auch über den Dialog wenn du es in einer GPO und nicht über
"secpol.msc"
machst, dort wird NT SERVICE\ALL SERVICES anstandslos akzeptiert, gerade nochmal gestestet !!:

b3b04c449ae5f4611358257cc05c1524 - Klicke auf das Bild, um es zu vergrößern

Hallo,
Tut mir leid, aber bei mir das hier nicht aktzeptiert. Wenn ich über Verwaltung / Gruppenrichtlinienverwaltung / ... / Gruppenrichtlinienobjekte auf die Default Domain Controllers Policy bzw. Default Domain Poliy bearbeite und dann auf diesen Zweig "Anmelden als Dienst" erweitere kann ich über "Benutzer oder Gruppe hinzufügen" den NT SERVICE\ALL SERVICES nicht aus wählen.
Einfach eintragen und Bestätigen klappt auch nicht, weil eine Fehlermeldung kommt: "Ein Objekt .... konnte nicht gefunden werden".

Gruß

PS: nach dem Einfügen in die inf Datei siehts bei mir jetzt auch so aus ... und funktioniert
Bitte warten ..
Mitglied: colinardo
27.04.2015, aktualisiert um 12:55 Uhr
Zitat von AsciWhite:
Tut mir leid, aber bei mir das hier nicht aktzeptiert. Wenn ich über Verwaltung / Gruppenrichtlinienverwaltung / ... /
Geht hier auf einem Server 2012R2 einwandfrei...

Guckst du hier
add_service_account_240811.mp4
Bitte warten ..
Mitglied: AsciWhite
27.04.2015, aktualisiert um 14:06 Uhr
WAAAHHH ... ich kipp vom Stuhl ... direkt reinschreiben ist der Trick !! *schäm* ich hab erst Durchsuchen angeklickt .... *roleeyes*

Okay, ich danke für die Geduld und das Lehrvideo :D

In diesem Sinne würde ich sagen, der Beitragsersteller darf den "Gelöst-Haken" setzen
Bitte warten ..
Ähnliche Inhalte
Windows Server
KB3097997 auch für Server 2012R2
Erfahrungsbericht von jsysdeWindows Server5 Kommentare

Moin zusammen, Wer findet den Fehler? Ich verteile Updates per SCCM und gebe die Updates entsprechend ihres Titel für ...

Windows Server

Microsoft Security Essentials unter 2012r2 aktualisieren

Tipp von FA-jkaWindows Server

Hallo, wer Microsoft Security Essentials auf einem WTS-Server unter 2012r2 installiert hat, wird irgendwann feststellen, dass Updates für das ...

Windows Update

KB3148812 - Fehler im WSUS

Tipp von ArnoNymousWindows Update6 Kommentare

Hallo, nach der Installation des Updates KB3148812 kann es vorkommen, dass die WSUS-Konsole sich nicht mehr korrekt öffnen lässt ...

Windows Update

WSUS - Updates lassen sich nicht importieren

Anleitung von HenereWindows Update

Servus zusammen, wenn man einen WSUS betreibt, und versucht Updates zu importieren, dann kommt bei einigen die Meldung: Dieses ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 2 TagenInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 4 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 5 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 5 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
LAN, WAN, Wireless
WLAN-Übersicht wie FritzWLAN jedoch für PC gesucht
gelöst Frage von HenereLAN, WAN, Wireless16 Kommentare

Servus, ich suche für einen Windows PC eine Anwendung die so ähnlich wie die FritzWLAN App auf dem Smartphone ...

Netzwerke
Netzwerkkommunikation von Windows 10 aus Freigabe mit Windows XP funktioniert nicht
gelöst Frage von KLinnebankNetzwerke14 Kommentare

Hallo werte Gemeinde, ja, es ist Freitag. Aber das ist KEINE Freitagsfrage Ich habe ein für mich völlig wirres ...

Festplatten, SSD, Raid
Server Architektur mit RAID 5 - wozu interne Platten?
Frage von Pierre78Festplatten, SSD, Raid10 Kommentare

Hallo, ich beschäftige mich gerade mit RAID Systemen. Ich habe mir einen gebrauchten Dell PowerEdge R515 gekauft. Dieser hat ...

Samba
Netzlaufwerk über VPN hat Probleme
Frage von geocastSamba8 Kommentare

Hallo Zusammen Ich habe hier ein QNAP TS-269 Pro (aktuellste Firmware) NAS in einem entfernten Standort, der über VPN ...