none
Wsus 3.0 Auto-approving - Client bekommt Updates die ihnen nicht zugewiesen sind. RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Guten Tag,
    Wir betreiben einen Wsus 3.0
    Der Wsus ist in mehrere Gruppen unterteilt / Patche werden einzelnen Gruppen nach der allgemeinen Freigabe einzeln Genehmigt.
    Computer die noch keiner Gruppe zugewiesen sind / sich neu im Wsus melden landen natürlich in "nicht zugewiesen".
    Seit einiger Zeit bekommen Computer die in nicht zugewiesen liegen Patche zugewiesen obwohl auf dieser Gruppe kein Patch freigegeben ist. Gegenbeweis ist hier das Wsus-eigene Reporting. Geht man auf einen dieser Computer und liest alle Zutreffenden Patche aus - klickt dann bei einem Patch der im Reporting auf Downloading steht obwohl dies nicht sein sollte auf "Genehmigen" steht im Genehmigungs-Dialog z.B. "Bei allen Computern" auf nicht genehmigt.
    Dennoch wird der Patch vom Client gedownloadet + installiert sobald beim Neustart "Updates Installieren " gewählt wird.

    Unkritische updates direkt installieren / downloaden ist in den Policys nicht aktiv.
    Weiterhin ist aktiv das Patche nur gedownloadet - nicht installiert werden (Mode 4)
    Eine Serverbereinigung die alle veralteten / bereits ersetzte Patche bereinigt wurde durchgeführt.

    Ein Logfile eines Clients welcher keine Updates bekommen sollte:
    4ac	AU	## START ##  AU: Search for updates
4ac	AU	#########
4ac	AU	<<## SUBMITTED ## AU: Search for updates [CallId = {4AC40446-DEA0-41DB-819A-A472D8BED853}]
d9c	Agent	*************
d9c	Agent	** START **  Agent: Finding updates [CallerId = AutomaticUpdates]
d9c	Agent	*********
d9c	Agent	  * Online = Yes; Ignore download priority = No
d9c	Agent	  * Criteria = "IsHidden=0 and IsInstalled=0 and DeploymentAction='Installation' and IsAssigned=1 or IsHidden=0 and IsPresent=1 and DeploymentAction='Uninstallation' and IsAssigned=1 or IsHidden=0 and IsInstalled=1 and DeploymentAction='Installation' and IsAssigned=1 and RebootRequired=1 or IsHidden=0 and IsInstalled=0 and DeploymentAction='Uninstallation' and IsAssigned=1 and RebootRequired=1"
d9c	Agent	  * ServiceID = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}
d9c	Setup	Agent skipping selfupdate check following a successful selfupdate
d9c	PT	+++++++++++  PT: Synchronizing server updates  +++++++++++
d9c	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = http://smsserver/ClientWebService/client.asmx
d9c	PT	+++++++++++  PT: Synchronizing extended update info  +++++++++++
d9c	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = http://smsserver/ClientWebService/client.asmx
d9c	Agent	  * Added update {0A66AB92-E2A7-476D-9308-4F39E16E4591}.101 to search result
d9c	Agent	  * Added update {4CCA8DEF-C5C7-4A19-B75A-2BE59BA0B710}.104 to search result
d9c	Agent	Update {CEF090EE-D94B-4E61-9E2E-604F7387BE97}.100 is pruned out due to potential supersedence
d9c	Agent	  * Added update {1D15F829-5844-49B4-9518-AC5A91E12BCB}.103 to search result
d9c	Agent	Update {424B1C8F-742A-4614-8012-1BB25B527706}.100 is pruned out due to potential supersedence
d9c	Agent	  * Added update {33A7EDF1-2350-4102-8082-9540EFF65704}.102 to search result
d9c	Agent	Update {BE315EB4-515E-471B-89DC-3A37588E0D83}.100 is pruned out due to potential supersedence
d9c	Agent	  * Added update {8DC0CBE2-E7D4-47DE-B3CD-535A41D70A2D}.101 to search result
d9c	Agent	  * Added update {D55821C3-EEE1-4F68-91BA-BE4815F573AD}.100 to search result
d9c	Agent	  * Found 6 updates and 45 categories in search; evaluated appl. rules of 790 out of 1241 deployed entities
d9c	Agent	*********
d9c	Agent	**  END  **  Agent: Finding updates [CallerId = AutomaticUpdates]
d9c	Agent	*************
820	AU	>>##  RESUMED  ## AU: Search for updates [CallId = {4AC40446-DEA0-41DB-819A-A472D8BED853}]
820	AU	  # 6 updates detected
820	AU	#########
820	AU	##  END  ##  AU: Search for updates [CallId = {4AC40446-DEA0-41DB-819A-A472D8BED853}]
820	AU	#############
820	AU	AU setting next detection timeout to 2009-05-05 05:57:59
820	AU	Auto-approving update for download, updateId = {1D15F829-5844-49B4-9518-AC5A91E12BCB}.103, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
820	AU	Auto-approving update for download, updateId = {0A66AB92-E2A7-476D-9308-4F39E16E4591}.101, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
820	AU	Auto-approving update for download, updateId = {D55821C3-EEE1-4F68-91BA-BE4815F573AD}.100, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
820	AU	Auto-approving update for download, updateId = {8DC0CBE2-E7D4-47DE-B3CD-535A41D70A2D}.101, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
820	AU	Auto-approving update for download, updateId = {4CCA8DEF-C5C7-4A19-B75A-2BE59BA0B710}.104, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
820	AU	Auto-approving update for download, updateId = {33A7EDF1-2350-4102-8082-9540EFF65704}.102, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
820	AU	Auto-approved 6 update(s) for download (NOT for Ux)
820	AU	#############
820	AU	## START ##  AU: Download updates
820	AU	#########
820	AU	  # Approved updates = 6
820	AU	AU initiated download, updateId = {1D15F829-5844-49B4-9518-AC5A91E12BCB}.103, callId = {92B52B16-87C0-4867-B6F3-45223AE3BD2F}
820	AU	AU initiated download, updateId = {0A66AB92-E2A7-476D-9308-4F39E16E4591}.101, callId = {0C334B3C-29C9-4F1D-95A4-E0E092C77675}
d9c	DnldMgr	*************
d9c	DnldMgr	** START **  DnldMgr: Downloading updates [CallerId = AutomaticUpdates]
d9c	DnldMgr	*********
d9c	DnldMgr	  * Call ID = {92B52B16-87C0-4867-B6F3-45223AE3BD2F}
d9c	DnldMgr	  * Priority = 2, Interactive = 0, Owner is system = 1, Explicit proxy = 0, Proxy session id = -1, ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}
d9c	DnldMgr	  * Updates to download = 1
820	AU	AU initiated download, updateId = {D55821C3-EEE1-4F68-91BA-BE4815F573AD}.100, callId = {2ACF56AD-C3AB-43C8-A15D-9F78E33A591D}
d9c	Agent	  *   Title = Security Update for Windows XP (KB938464)
d9c	Agent	  *   UpdateId = {1D15F829-5844-49B4-9518-AC5A91E12BCB}.103
d9c	Agent	  *     Bundles 1 updates:
d9c	Agent	  *       {E21709F8-D703-4FF3-B062-809CEFA57B75}.103
d9c	DnldMgr	***********  DnldMgr: New download job [UpdateId = {E21709F8-D703-4FF3-B062-809CEFA57B75}.103]  ***********
d9c	DnldMgr	  * Queueing update for download handler request generation.
d9c	DnldMgr	Generating download request for update {E21709F8-D703-4FF3-B062-809CEFA57B75}.103
820	AU	AU initiated download, updateId = {8DC0CBE2-E7D4-47DE-B3CD-535A41D70A2D}.101, callId = {1297F2D0-E1F7-4CB9-97A3-E74FCCC5C7E5}
d9c	Handler	Windows Patch download for UpdateId = {E21709F8-D703-4FF3-B062-809CEFA57B75}: selected action is download full-file.
d9c	DnldMgr	***********  DnldMgr: New download job [UpdateId = {E21709F8-D703-4FF3-B062-809CEFA57B75}.103]  ***********
d9c	DnldMgr	  * BITS job initialized, JobId = {0689BDB3-E1A8-409D-B82F-59982EB60CD0}
d9c	DnldMgr	  * Downloading from http://smsserver/Content/2F/0568A852FF99472E5E9656D473EDBA8395B7212F.exe to C:\WINDOWS\SoftwareDistribution\Download\b5fe747ae9f0fb1d0ddb78e9d6c05aac\WindowsXP-KB938464-x86-ENU.exe (full file).
820	AU	AU initiated download, updateId = {4CCA8DEF-C5C7-4A19-B75A-2BE59BA0B710}.104, callId = {6668FC04-65F2-4266-809F-1262EEF194BF}
d9c	Agent	*********
d9c	Agent	**  END  **  Agent: Downloading updates [CallerId = AutomaticUpdates]
d9c	Agent	*************
820	AU	AU initiated download, updateId = {33A7EDF1-2350-4102-8082-9540EFF65704}.102, callId = {D497BC7D-6D59-4B12-8F62-FDB3070EEDB7}
820	AU	AU setting pending client directive to 'Download Progress'
d9c	DnldMgr	*************
d9c	DnldMgr	** START **  DnldMgr: Downloading updates [CallerId = AutomaticUpdates]
d9c	DnldMgr	*********
d9c	DnldMgr	  * Call ID = {0C334B3C-29C9-4F1D-95A4-E0E092C77675}
d9c	DnldMgr	  * Priority = 2, Interactive = 0, Owner is system = 1, Explicit proxy = 0, Proxy session id = -1, ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}
d9c	DnldMgr	  * Updates to download = 1
d9c	Agent	  *   Title = Update for Windows XP (KB942763)
d9c	Agent	  *   UpdateId = {0A66AB92-E2A7-476D-9308-4F39E16E4591}.101
d9c	Agent	  *     Bundles 1 updates:
d9c	Agent	  *       {CEE3C863-AFE8-47AF-B921-1E77077D4842}.101
820	AU	  # Pending download calls = 6
820	AU	<<## SUBMITTED ## AU: Download updates
d9c	DnldMgr	***********  DnldMgr: New download job [UpdateId = {CEE3C863-AFE8-47AF-B921-1E77077D4842}.101]  ***********
d9c	DnldMgr	  * Queueing update for download handler request generation.
d9c	DnldMgr	Generating download request for update {CEE3C863-AFE8-47AF-B921-1E77077D4842}.101
d9c	Handler	Windows Patch download for UpdateId = {CEE3C863-AFE8-47AF-B921-1E77077D4842}: selected action is download full-file.
d9c	DnldMgr	***********  DnldMgr: New download job [UpdateId = {CEE3C863-AFE8-47AF-B921-1E77077D4842}.101]  ***********
d9c	DnldMgr	  * BITS job initialized, JobId = {74A02A49-52BE-4D49-A12B-C7AB71198DBB}
d9c	DnldMgr	  * Downloading from http://smsserver/Content/79/6E369D7EEE07E16556B489C78C569D6F6C82F379.exe to C:\WINDOWS\SoftwareDistribution\Download\931b59d09292e75753d000b0ec2cc531\WindowsXP-KB942763-x86-ENU.exe (full file).
d9c	Agent	*********
d9c	Agent	**  END  **  Agent: Downloading updates [CallerId = AutomaticUpdates]
d9c	Agent	*************
    Dienstag, 5. Mai 2009 12:48
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Wenn das ein allgemeiner Fehler wäre, würde das schon längst bekannt sein. Ich vermute das der Client sich direkt bei WU/MU Updates holt. Kontrollier das doch mal.
    Servus Winfried Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    Dienstag, 12. Mai 2009 22:07
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    > Unkritische updates direkt installieren / downloaden ist in den Policys nicht aktiv.
    > Weiterhin ist aktiv das Patche nur gedownloadet - nicht installiert werden (Mode 4)

    Erklär mir bitte was Du damit meinst? Die Option 4 besagt etwas anderes: Download der Updates und Installation gem. Zeitplan.

    Desweiteren sehe ich einen SMS-Server. Vermutlich bekommt der Client davon die Updates, in der geposteten Logdatei ist von einem WSUS nichts zu sehen.
    Servus Winfried Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    Sonntag, 10. Mai 2009 10:32
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo,

    auch wir haben das Problem mit unseren XP (SP2) Clients und dem WSUS Server (3.1.6001.65)
    Patches die definitiv auf "not approved" stehen, werden vom WUA (7.1.6001.65) "geladen",
    und dem User beim Shutdown (auOptions=3) zum Installieren angeboten ! Dies ist fatal !!

    Die besagten Patches, noch etwaige "superseded" Vorgänger wurden jemals approved.
    In den Wsus Options sind all AutoApproval Einstellungen ausgeschaltet, und auch Regeln existieren keine.

    AU setting next detection timeout to 2009-05-12 02:22:23
    Auto-approving update for download, updateId = {0A66AB92-E2A7-476D-9308-4F39E16E4591}.101, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
    Auto-approving update for download, updateId = {4CCA8DEF-C5C7-4A19-B75A-2BE59BA0B710}.104, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
    Auto-approving update for download, updateId = {33A7EDF1-2350-4102-8082-9540EFF65704}.102, ForUx=0, IsOwnerUx=0, HasDeadline=0, IsMinor=0
    Auto-approved 3 update(s) for download (NOT for Ux)

    Die Patches die sich hinter den GUID's verstecken sind in diesem Beispiel KB942763,KB953839,KB956803.

    Hat jemand eine Idee ? 

    Vielen Dank im Voraus

    Gruß
      Juergen
    Montag, 11. Mai 2009 14:17
    |
  • Question
    Anmelden
    0
    Anmelden
    Wenn das ein allgemeiner Fehler wäre, würde das schon längst bekannt sein. Ich vermute das der Client sich direkt bei WU/MU Updates holt. Kontrollier das doch mal.
    Servus Winfried Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    Dienstag, 12. Mai 2009 22:07
    |