none
LUP - Server 2003 R2 Standard - Installation / Vorbereitung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich versuche grade LUP zu installieren. Hierbei gehe ich nach dieser bekannten Anleitung vor: http://infrablog.escde.net/2011/03/18/deployment-von-msp-updates-uber-wsus-teil-1-konfiguration/

    Eigentlich scheitere ich bereits am Anfang:

    Habe hier am 2003 R2 Server (Deutsch) die MMC Zertifikatsvorlagen offen.
    Klicke Codesignatur rechts an und wähle -> Alle Aufgaben - > Doppelte Vorlage (schlechte Übersetzung für Duplikat erstellen)
    Das Duplikat benenne ich mti Code Signing WSUS, stelle im entspr. Reiter (Anforderungsverarbeitung) auf Signatur und wähle Exportieren von privatem Schlüssel.

    Wenn ich hier dann auf OK klicke bekomme ich eine Meldung, dass das Zertifkat nicht gespeichert werden kann da die Vorlage nicht gefunden wird. Das Interessante dabei ist, dass die Vorlage aber dennoch erstellt wird.

    Ich habe also unter Zertifikatvorlagen nun das Code Signing WSUS Zertifikat mit den korrekten Einstellungen.

    Nun steht in der Anleitung: "Über Rechtsklick -> New -> Certificate Template to Issue veröffentlichen wir dann das soeben erstellte Template"

    Bin ich hier dann noch immer in den Zertifikatsvorlagen? (Hier gibt es diesen Menüpunkt nämlich nicht). ICh habe hier nur: Rechtsklick -> Alle Aufgaben -> Alle Zertifikatinhaber erneut registrieren.

    Ist das der richtige Menüpunkt?

    Update: Was mich noch etwas irritiert ist, dass in den Zertifikatsvorlagen die erstellte WSUS Vorlage bei min. unterstützte Zertifizierungsstellen Windows Server 2003 Enterprise Edition  stehen hat. (Habe keine Enterprise Ed. nur Standard)

    LG

    Daniel


    Freitag, 12. Oktober 2012 09:02
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Daniel,

    lass dir das Zertifikat einfach von LUP erzeugen.

    Siehe hier:

    http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=Create_and_export_the_code_signing_certificate

    Hier der Link zur kompletten Anleitung:

    http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=Main_Page

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:58
    Freitag, 12. Oktober 2012 11:24
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden

    Am 12.10.2012 schrieb mcdaniels2k12:

    ich versuche grade LUP zu installieren. Hierbei gehe ich nach dieser bekannten Anleitung vor:http://infrablog.escde.net/2011/03/18/deployment-von-msp-updates-uber-wsus-teil-1-konfiguration/

    Eigentlich scheitere ich bereits am Anfang:

    Lass das Zertifiakt vom LUP erzeugen. Ist in diesem deinen Fall der
    bessere Weg.

    Update: Was mich noch etwas irritiert ist, dass in den Zertifikatsvorlagen die erstellte WSUS Vorlage bei min. unterstützte Zertifizierungsstellen Windows Server 2003 Enterprise Edition  stehen hat. (Habe keine Enterprise Ed. nur Standard)

    Wie willst Du das Zertifikat auf die Clients verteilen? Am besten wäre
    Du hast eine 'neue' GPMC.
    http://www.gruppenrichtlinien.de/Vista/CSE_GPP_RSAT_GPMC.htm Ansonsten
    mußt Du das Zertifikat manuell verteilen. Es gibt zwar die certmgr.exe
    mit der man das auch in einer Batch importieren können soll, aber ich
    hatte es noch nicht geschafft.
    Add_Cert.bat (certmgr.exe -add WSUS-Client-Certificate.cer -c -s -r localMachine TrustedPublisher)

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:58
    Freitag, 12. Oktober 2012 15:27
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 15.10.2012 schrieb mcdaniels2k12:

    habe jetzt mittels LUP das Zertifikat erstellen lassen und es insofern per Windows 7 Zertifikatemmc bearbeitet, dass nur Signing aktiv ist. (Sonst kann es ja gefährlich werden, wie man liest).

    OK.

    Nun muss ich morgen mal schauen, wie ich das in einer 2k3 Domain WinXP und Windows 7 deploye (wie oben schon erwähnt, per GPMC). (Optimalerweise auf ein paar Testrechner).

    Nimm die GPMC auf dem Windows 7 Client. Die von 2003/XP kann dir dabei
    nicht helfen.

    Wie es scheint, ist wohl die Zusammenstellung der Patches / Pakete das, was am schwierigsten ist bzw. desöfteren spießt, oder?

    Kann ich nicht bestätigen. Wir verteilen seit über einem Jahr diverse
    Anwendungen darüber und ich konnte noch keine Probleme feststellen,
    die man nicht in sehr kurzer Zeit lösen konnte.

    Wenn eine Installation fehlschlägt, kann man sich explizit als Admin
    anmelden und dann die Updates installieren lassen. Funktioniert es,
    ist es gut, wenn nicht, dann die Installation manuell über das MSI
    oder EXE durchführen. Meistens gibt es dann aussagekräftige
    Fehlermeldungen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:58
    Montag, 15. Oktober 2012 18:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen!

    Für welche OU?

    Ich meinte natürlich die Gruppe, sorry. Ich hab das Update für die entsprechende Gruppe auf approved gestellt.

    Liegt dein Client denn in der richtigen Gruppe auf dem Wsus? Wenn ja, was sagt der Statusbericht

    Ja, liegt in der richtigen Gruppe. Statusbericht wurde aktualisiert als ich reportnow angestossen habe.

    Schau in der %windir%\Windowsupdate.log auf dem Client

    Die ID des Updates scheint in der Windowsupdatelog am Client nicht auf.

    Wieso nicht am WSUS selbst?
    Sollte man das also am WSUS auch aktivieren, ok. Ich hatte die Doku da so interpretiert, dass man am WSUS diese Richtlinie setzen kann, aber nicht muss. (Allow signed updates from an intranet Microsoft update service location)

    Heute hab ich allerdings im Eventlog unter Anwendung folgendes stehen:

    Ereignistyp: Informationen Ereignisquelle: WSusCertServer Ereigniskategorie: Keine Ereignis-ID: 0 Datum: 17.10.2012 Zeit: 07:11:16 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: Die Beschreibung für Ereignis-ID ( 0 ) in Quelle ( WSusCertServer ) wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren, oder den Computerhersteller nach einer neueren Version fragen. Wenn das Ereignis von einem anderen Computer gespeichert oder von einem Remotecomputer weitergeleitet wurde, müssen Sie den Ereignissen mögliche Service started.

    UPDATE: Ich glaube ich hab den Fehler gefunden! Man muss offenbar auch eine 2te Regel mit dem Paketerstellungsassistenten von LUP definieren, die besagt, auf welchen Clients das Paket ausgebracht werden soll (in meinem Testfall Windows Version Equal or greater than Windows 7).

    Paket erscheint nun in windowsupdate.log des Client und wurde erfolgreich installiert!

    ...jetzt hab ich offenbar ein Problem mit der Abfrage, ob das Paket schon installiert ist, denn mir wird das Update immer wieder vorgeschlagen. Aber ich bin ja jetzt quasi fast am Ziel! :)

    LG Daniel











    Mittwoch, 17. Oktober 2012 05:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.10.2012 schrieb mcdaniels2k12:

    Sollte man das also am WSUS auch aktivieren, ok. Ich hatte die Doku da so interpretiert, dass man am WSUS diese Richtlinie setzen kann, aber nicht muss. (Allow signed updates from an intranet Microsoft update service location)

    Wenn Du einmal eine Anwendung zur Verfügung stellst, die auch auf dem
    WSUS installiert werden soll, hilft das schon. ;)

    UPDATE: Ich glaube ich hab den Fehler gefunden! Man*muss* offenbar auch eine 2te Regel mit dem Paketerstellungsassistenten von LUP definieren, die besagt, auf welchen Clients das Paket ausgebracht werden soll (in meinem Testfall Windows Version Equal or greater than Windows 7).

    Wenn es darum geht helfe ich mir mit einer zusätzlichen Gruppe im
    WSUS. Nur diese Gruppe bekommt das Update freigegeben, schon wird es
    bei den anderen nicht installiert. Zwar fordern es die Clients im WSUS
    an, aber sie bekommen es nicht.

    Paket erscheint nun in windowsupdate.log des Client und wurde erfolgreich installiert!

    OK.

    ...jetzt hab ich offenbar ein Problem mit der Abfrage, ob das Paket schon installiert ist, denn mir wird das Update immer wieder vorgeschlagen. Aber ich bin ja jetzt quasi fast am Ziel! :)

    Du kannst auch auch mal am Client den Downloadcache leeren, evtl.
    hilft das ja:
    net stop wuauserv
    rd /s /q %windir%\SoftwareDistribution
    net start wuauserv
    wuauclt /detectnow
    Wird das Update nochmal angeboten?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:59
    Mittwoch, 17. Oktober 2012 20:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 18.10.2012 schrieb mcdaniels2k12:

    danke für deine Rückmeldung. Ich hatte einen Fehler bei meiner definierten Registry Abfrage. Es klappt nun soweit (im Moment komischerweise nur unter Windows 7.)

    XP zb empfängt den Adobe Reader XI wieder und wieder und wieder....

    Das obwohl ich an sich bei den Installed Rules 2 Regeln erstellt habe die mit OR verknüpft sind 1x für 64 Bit 1x für 32 Bit Registry:

    Ich habe mit den Regeln bisher noch nichts gemacht.

    Allerdings "verschicke" ich im Moment nur EXE "Updates". Mit der MSI (zb vom Acrobat Reader XI) hat es nicht geklappt. Ich bin aber mit MSI Paketen im Moment auch nicht wirklich auf "du und du".

    Das hat eher mit dem Reader etwas zu tun als mit den MSI Paketen.
    ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/ Hier bekommst Du alle
    Versionen als MSI bzw. als MSP Paket.
    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 17:59
    Donnerstag, 18. Oktober 2012 17:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Kurzer Nachtrag zum Thema der Regeln.

    Es schaut so aus als ob "is 32 Bit Registry" der Auslöser für das immer wieder kehrende Anbieten des Paketes auf XP 32 Bit war (in dem Fall Adobe Reader). Ich habe nun zwar sowohl  den 32 Bit als auch den 64 Bit Regeintrag bei den Installed Rules definiert, bei "is 32 BIT Registry" jedoch den Haken nicht gesetzt.

    Nun scheint es zu klappen.

    Vielen Dank Winfried, für deine Geduld.

    LG

    Daniel

    • Als Antwort markiert mcdaniels2k12 Freitag, 19. Oktober 2012 18:13
    Freitag, 19. Oktober 2012 17:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 19.10.2012 schrieb mcdaniels2k12:

    Kurzer Nachtrag zum Thema der Regeln.

    Hier noch ein Hinweis von Norbert Fehlauer zu dem Thema LUP/WSUS:
    https://www.mcseboard.de/windows-server-forum-78/lup-betriebssystem-bedingungen-2-189408.html#post1171395

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert mcdaniels2k12 Dienstag, 23. Oktober 2012 05:37
    • Tag als Antwort aufgehoben mcdaniels2k12 Dienstag, 23. Oktober 2012 06:45
    • Als Antwort markiert mcdaniels2k12 Dienstag, 23. Oktober 2012 06:46
    Montag, 22. Oktober 2012 21:48
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Daniel,

    lass dir das Zertifikat einfach von LUP erzeugen.

    Siehe hier:

    http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=Create_and_export_the_code_signing_certificate

    Hier der Link zur kompletten Anleitung:

    http://sourceforge.net/apps/mediawiki/localupdatepubl/index.php?title=Main_Page

    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:58
    Freitag, 12. Oktober 2012 11:24
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 12.10.2012 11:02, schrieb mcdaniels2k12:
    > dass das Zertifkat nicht gespeichert werden kann da die Vorlage nicht
    > gefunden wird. Das Interessante dabei ist, dass die Vorlage aber dennoch
    > erstellt wird.
     
    Du verwendest eine Windows Server Standard Edition. Für die Vorlagen
    brauchst du eine Enterprise Version, oder musst die Version des
    Templates z.b.: per adsiedit.msc auf 1.0 runterbringen.
     
    Passender Link:
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm
     
    Freitag, 12. Oktober 2012 15:05
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 12.10.2012 schrieb mcdaniels2k12:

    ich versuche grade LUP zu installieren. Hierbei gehe ich nach dieser bekannten Anleitung vor:http://infrablog.escde.net/2011/03/18/deployment-von-msp-updates-uber-wsus-teil-1-konfiguration/

    Eigentlich scheitere ich bereits am Anfang:

    Lass das Zertifiakt vom LUP erzeugen. Ist in diesem deinen Fall der
    bessere Weg.

    Update: Was mich noch etwas irritiert ist, dass in den Zertifikatsvorlagen die erstellte WSUS Vorlage bei min. unterstützte Zertifizierungsstellen Windows Server 2003 Enterprise Edition  stehen hat. (Habe keine Enterprise Ed. nur Standard)

    Wie willst Du das Zertifikat auf die Clients verteilen? Am besten wäre
    Du hast eine 'neue' GPMC.
    http://www.gruppenrichtlinien.de/Vista/CSE_GPP_RSAT_GPMC.htm Ansonsten
    mußt Du das Zertifikat manuell verteilen. Es gibt zwar die certmgr.exe
    mit der man das auch in einer Batch importieren können soll, aber ich
    hatte es noch nicht geschafft.
    Add_Cert.bat (certmgr.exe -add WSUS-Client-Certificate.cer -c -s -r localMachine TrustedPublisher)

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:58
    Freitag, 12. Oktober 2012 15:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    vielen Dank für die wichtigen Infos. Werde das am Montag gleich mal in Angriff nehmen und mich dann nochmal melden

    LG

    Daniel

    Freitag, 12. Oktober 2012 16:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    habe jetzt mittels LUP das Zertifikat erstellen lassen und es insofern per Windows 7 Zertifikatemmc bearbeitet, dass nur Signing aktiv ist. (Sonst kann es ja gefährlich werden, wie man liest).

    Nun muss ich morgen mal schauen, wie ich das in einer 2k3 Domain WinXP und Windows 7 deploye (wie oben schon erwähnt, per GPMC). (Optimalerweise auf ein paar Testrechner).

    Wie es scheint, ist wohl die Zusammenstellung der Patches / Pakete das, was am schwierigsten ist bzw. desöfteren spießt, oder?

    LG

    Daniel


    Montag, 15. Oktober 2012 16:47
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 15.10.2012 schrieb mcdaniels2k12:

    habe jetzt mittels LUP das Zertifikat erstellen lassen und es insofern per Windows 7 Zertifikatemmc bearbeitet, dass nur Signing aktiv ist. (Sonst kann es ja gefährlich werden, wie man liest).

    OK.

    Nun muss ich morgen mal schauen, wie ich das in einer 2k3 Domain WinXP und Windows 7 deploye (wie oben schon erwähnt, per GPMC). (Optimalerweise auf ein paar Testrechner).

    Nimm die GPMC auf dem Windows 7 Client. Die von 2003/XP kann dir dabei
    nicht helfen.

    Wie es scheint, ist wohl die Zusammenstellung der Patches / Pakete das, was am schwierigsten ist bzw. desöfteren spießt, oder?

    Kann ich nicht bestätigen. Wir verteilen seit über einem Jahr diverse
    Anwendungen darüber und ich konnte noch keine Probleme feststellen,
    die man nicht in sehr kurzer Zeit lösen konnte.

    Wenn eine Installation fehlschlägt, kann man sich explizit als Admin
    anmelden und dann die Updates installieren lassen. Funktioniert es,
    ist es gut, wenn nicht, dann die Installation manuell über das MSI
    oder EXE durchführen. Meistens gibt es dann aussagekräftige
    Fehlermeldungen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:58
    Montag, 15. Oktober 2012 18:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo nochmals,

    Der aktuelle Stand:

    1.) RSAT auf Win7 Client installiert
    2.) Per Wsus geprüft, dass die CSE auf den Windows XP Clients installiert sind.  (943729) -> Revision für XP 32 Bit -> Überarbeitet 28.06.2011
    3.) Von einem Win 7 Client aus per Gruppenrichtlinieneditor meine Test OU angepasst:

    Computerkonfig. -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Vertrauenswürdige Herausgeber -> Das zuvor vom LUP exportierte Zertifikat importiert. (Erfolgreich).

    So nun meint ESCde -> Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Updates -> Allow signed updates from an intranet Microsoft update service location

    Ich finde hier im Gruppenrichtlinienverwaltungseditor:

    Computerkonfig -> Richtlinien -> Administrative Vorlagen: Vom lokalen Computer abgerufene Richtliniendefinitionen (ADMX Dateien) -> Windows Komponenten -> Windows Update -> Signierte Updates aus einem Intranetspeicherort für MS Updatedienste zulassen -> Habe ich auf aktiviert gesetzt.

    Danach bin ich noch in ein Problem wg. KB 2720211 gelaufen (hatte es auf dem "WSUS-MMC-Client" nicht installiert, jedoch schon auf dem Server. Nachdem es am Client nachinstalliert wurde, klappte es.)

    Mittlerweile ist es mir gelungen, NP ++ zu publishen.

    LG

    Daniel





    Dienstag, 16. Oktober 2012 10:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Nachdem es im oberen Post etwas chaotisch zuging, fass ich nochmals zusammen:

    1.) RSAT auf Win7 Client installiert
    2.) Per Wsus geprüft, dass die CSE auf den Windows XP Clients installiert sind.  (943729) -> Revision für XP 32 Bit -> Überarbeitet 28.06.2011
    3.) Von einem Win 7 Client aus per Gruppenrichtlinieneditor meine OU angepasst d.h:

    das Self signed WSUS Certificate wird per Gruppenrichtlinie in Computerkonfig. -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Vertrauenswürdige Herausgeber und Vertrauenswürdige Stammzertifizierungsstellen importiert. Weiters auch die entsprechende Richtlinie Allow signed updates from an intranet Microsoft update service location auf aktiviert gesetzt.

    4.) Am WSUS Server das self signed WSUS Zertifikat per Zertifikate in Vertrauenswürdige Stammzertifizierungsstellen und Vertrauenswürdige Herausgeber importiert. Allerdings hab ich Allow signed updates from an intranet Microsoft update service location am Server nicht aktiviert.

    5.) LUP gestartet, mit dem WSUS verbunden
    6.) Ein Updatepaket (mit Notepad++) erstellt. Als Regel hab ich defineirt, dass geprüft werden soll ob Notepad ++ in der Registry unter "Uninstall"(Key Display Version) vorhanden ist. Wenn nicht soll es installiert werden. Allerdings hab ich hierfür den 64 Bit Reg-Key verwendet. Was passiert in diesem Fall mit 32 Bit Clients?

    7.) Für die entsprechende OU auf approved gestellt und gehofft dass mein PC ein Update angebote bekommt (64-Bit Maschine Windows 7).

    Leider jedoch wurde mir, obwohl die WSUS Certificates brav per OU auf meinem PC gelandet sind, nichts angeboten. Auch ein wuauclt /reportnow bzw. /detectnow brachte keine Abhilfe.

    In den Eventlogs findet sich kein Fehler (Weder am Server noch am Client).

    Kann mir vielleicht noch jemand einen Tip geben, was eventuell nicht stimmen könnte?

    Vielen Dank!

    LG

    Daniel

    Dienstag, 16. Oktober 2012 15:06
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 16.10.2012 schrieb mcdaniels2k12:

    Nachdem es im oberen Post etwas chaotisch zuging, fass ich nochmals zusammen:

    :)

    1.) RSAT auf Win7 Client installiert
    2.) Per Wsus geprüft, dass die CSE auf den Windows XP Clients installiert sind. 
     (943729) -> Revision für XP 32 Bit -> Überarbeitet 28.06.2011
    3.) Von einem Win 7 Client aus per Gruppenrichtlinieneditor meine OU angepasst d.h:

    OK.

    das Self signed WSUS Certificate wird per Gruppenrichtlinie in Computerkonfig. -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Vertrauenswürdige Herausgeber und Vertrauenswürdige Stammzertifizierungsstellen importiert. Weiters auch die entsprechende Richtlinie Allow signed updates from an intranet Microsoft update service location auf aktiviert gesetzt.

    Jepp.

    4.) Am WSUS Server das self signed WSUS Zertifikat per Zertifikate in Vertrauenswürdige Stammzertifizierungsstellen und Vertrauenswürdige Herausgeber importiert. Allerdings hab ich/Allow signed updates from an intranet Microsoft update service location am Server nicht aktiviert./

    Wieso nicht am WSUS selbst? Per GPO für alle aktivieren.

    5.) LUP gestartet, mit dem WSUS verbunden
    6.) Ein Updatepaket (mit Notepad++) erstellt. Als Regel hab ich defineirt, dass geprüft werden soll ob Notepad ++ in der Registry unter "Uninstall"(Key Display Version) vorhanden ist. Wenn nicht soll es installiert werden. Allerdings hab ich hierfür den 64 Bit Reg-Key verwendet. Was passiert in diesem Fall mit 32 Bit Clients?

    Die haben den Key nicht, also fällt die Prüfung aus.

    7.) Für die entsprechende OU auf approved gestellt und gehofft dass mein PC ein Update angebote bekommt (64-Bit Maschine Windows 7).

    Für welche OU? Du hast im WSUS keine OUs, sondern nur Gruppen, die
    haben mit der OU im AD nichts gemein, höchstens den Namen.

    Leider jedoch wurde mir, obwohl die WSUS Certificates brav per OU auf meinem PC gelandet sind, nichts angeboten. Auch ein wuauclt /reportnow bzw. /detectnow brachte keine Abhilfe.

    Liegt denn dein Client in der richtigen Gruppe auf dem WSUS? Wenn ja,
    was sagt der Statusbericht deines Clients auf dem WSUS? Datum und
    Uhrzeit sind nach dem /reportnow aktualisiert worden?

    In den Eventlogs findet sich kein Fehler (Weder am Server noch am Client).

    Schau in der %windir%\WindowsUpdate.log auf dem Client nach. Das Paket
    wurde signiert und published?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 16. Oktober 2012 19:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen!

    Für welche OU?

    Ich meinte natürlich die Gruppe, sorry. Ich hab das Update für die entsprechende Gruppe auf approved gestellt.

    Liegt dein Client denn in der richtigen Gruppe auf dem Wsus? Wenn ja, was sagt der Statusbericht

    Ja, liegt in der richtigen Gruppe. Statusbericht wurde aktualisiert als ich reportnow angestossen habe.

    Schau in der %windir%\Windowsupdate.log auf dem Client

    Die ID des Updates scheint in der Windowsupdatelog am Client nicht auf.

    Wieso nicht am WSUS selbst?
    Sollte man das also am WSUS auch aktivieren, ok. Ich hatte die Doku da so interpretiert, dass man am WSUS diese Richtlinie setzen kann, aber nicht muss. (Allow signed updates from an intranet Microsoft update service location)

    Heute hab ich allerdings im Eventlog unter Anwendung folgendes stehen:

    Ereignistyp: Informationen Ereignisquelle: WSusCertServer Ereigniskategorie: Keine Ereignis-ID: 0 Datum: 17.10.2012 Zeit: 07:11:16 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: Die Beschreibung für Ereignis-ID ( 0 ) in Quelle ( WSusCertServer ) wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren, oder den Computerhersteller nach einer neueren Version fragen. Wenn das Ereignis von einem anderen Computer gespeichert oder von einem Remotecomputer weitergeleitet wurde, müssen Sie den Ereignissen mögliche Service started.

    UPDATE: Ich glaube ich hab den Fehler gefunden! Man muss offenbar auch eine 2te Regel mit dem Paketerstellungsassistenten von LUP definieren, die besagt, auf welchen Clients das Paket ausgebracht werden soll (in meinem Testfall Windows Version Equal or greater than Windows 7).

    Paket erscheint nun in windowsupdate.log des Client und wurde erfolgreich installiert!

    ...jetzt hab ich offenbar ein Problem mit der Abfrage, ob das Paket schon installiert ist, denn mir wird das Update immer wieder vorgeschlagen. Aber ich bin ja jetzt quasi fast am Ziel! :)

    LG Daniel











    Mittwoch, 17. Oktober 2012 05:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.10.2012 schrieb mcdaniels2k12:

    Sollte man das also am WSUS auch aktivieren, ok. Ich hatte die Doku da so interpretiert, dass man am WSUS diese Richtlinie setzen kann, aber nicht muss. (Allow signed updates from an intranet Microsoft update service location)

    Wenn Du einmal eine Anwendung zur Verfügung stellst, die auch auf dem
    WSUS installiert werden soll, hilft das schon. ;)

    UPDATE: Ich glaube ich hab den Fehler gefunden! Man*muss* offenbar auch eine 2te Regel mit dem Paketerstellungsassistenten von LUP definieren, die besagt, auf welchen Clients das Paket ausgebracht werden soll (in meinem Testfall Windows Version Equal or greater than Windows 7).

    Wenn es darum geht helfe ich mir mit einer zusätzlichen Gruppe im
    WSUS. Nur diese Gruppe bekommt das Update freigegeben, schon wird es
    bei den anderen nicht installiert. Zwar fordern es die Clients im WSUS
    an, aber sie bekommen es nicht.

    Paket erscheint nun in windowsupdate.log des Client und wurde erfolgreich installiert!

    OK.

    ...jetzt hab ich offenbar ein Problem mit der Abfrage, ob das Paket schon installiert ist, denn mir wird das Update immer wieder vorgeschlagen. Aber ich bin ja jetzt quasi fast am Ziel! :)

    Du kannst auch auch mal am Client den Downloadcache leeren, evtl.
    hilft das ja:
    net stop wuauserv
    rd /s /q %windir%\SoftwareDistribution
    net start wuauserv
    wuauclt /detectnow
    Wird das Update nochmal angeboten?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 09:59
    Mittwoch, 17. Oktober 2012 20:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Hey,

    danke für deine Rückmeldung. Ich hatte einen Fehler bei meiner definierten Registry Abfrage. Es klappt nun soweit (im Moment komischerweise nur unter Windows 7.)

    XP zb empfängt den Adobe Reader XI wieder und wieder und wieder....

    Das obwohl ich an sich bei den Installed Rules 2 Regeln erstellt habe die mit OR verknüpft sind 1x für 64 Bit 1x für 32 Bit Registry:

     <sdp:IsInstalled>
    <lar:And>
      <lar:Or>
        <bar:RegSz Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AC76BA86-7AD7-1031-7B44-AB0000000001}" Value="DisplayVersion" Comparison="EqualTo" Data="11.0.00" xmlns:bar="http://schemas.microsoft.com/wsus/2005/04/CorporatePublishing/BaseApplicabilityRules.xsd" />
        <bar:RegSz Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AC76BA86-7AD7-1031-7B44-AB0000000001}" Value="DisplayVersion" Comparison="EqualTo" Data="11.0.00" xmlns:bar="http://schemas.microsoft.com/wsus/2005/04/CorporatePublishing/BaseApplicabilityRules.xsd" />
      </lar:Or>
    </lar:And>
  </sdp:IsInstalled>

    Allerdings "verschicke" ich im Moment nur EXE "Updates". Mit der MSI (zb vom Acrobat Reader XI) hat es nicht geklappt. Ich bin aber mit MSI Paketen im Moment auch nicht wirklich auf "du und du".

    Vielen Dank!

    LG

    Daniel

    PS: Wo kann man den Thread hier eigentlich auf "beantwortet stellen" ?


    Donnerstag, 18. Oktober 2012 08:25
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Daniel,

    gut dass es jetzt funktioniert. Du kannst die Antworten markieren, die Dir geholfen haben: "Als Antwort markieren".

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 18. Oktober 2012 08:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 18.10.2012 schrieb mcdaniels2k12:

    danke für deine Rückmeldung. Ich hatte einen Fehler bei meiner definierten Registry Abfrage. Es klappt nun soweit (im Moment komischerweise nur unter Windows 7.)

    XP zb empfängt den Adobe Reader XI wieder und wieder und wieder....

    Das obwohl ich an sich bei den Installed Rules 2 Regeln erstellt habe die mit OR verknüpft sind 1x für 64 Bit 1x für 32 Bit Registry:

    Ich habe mit den Regeln bisher noch nichts gemacht.

    Allerdings "verschicke" ich im Moment nur EXE "Updates". Mit der MSI (zb vom Acrobat Reader XI) hat es nicht geklappt. Ich bin aber mit MSI Paketen im Moment auch nicht wirklich auf "du und du".

    Das hat eher mit dem Reader etwas zu tun als mit den MSI Paketen.
    ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/ Hier bekommst Du alle
    Versionen als MSI bzw. als MSP Paket.
    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    • Als Antwort markiert mcdaniels2k12 Donnerstag, 18. Oktober 2012 17:59
    Donnerstag, 18. Oktober 2012 17:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Kurzer Nachtrag zum Thema der Regeln.

    Es schaut so aus als ob "is 32 Bit Registry" der Auslöser für das immer wieder kehrende Anbieten des Paketes auf XP 32 Bit war (in dem Fall Adobe Reader). Ich habe nun zwar sowohl  den 32 Bit als auch den 64 Bit Regeintrag bei den Installed Rules definiert, bei "is 32 BIT Registry" jedoch den Haken nicht gesetzt.

    Nun scheint es zu klappen.

    Vielen Dank Winfried, für deine Geduld.

    LG

    Daniel

    • Als Antwort markiert mcdaniels2k12 Freitag, 19. Oktober 2012 18:13
    Freitag, 19. Oktober 2012 17:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 19.10.2012 schrieb mcdaniels2k12:

    Nun scheint es zu klappen.

    Freut mich für Dich und Danke für die Rückmeldung. ;)

    Vielen Dank Winfried, für deine Geduld.

    Bitte, gern geschehen. ;)

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 19. Oktober 2012 19:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 19.10.2012 schrieb mcdaniels2k12:

    Kurzer Nachtrag zum Thema der Regeln.

    Hier noch ein Hinweis von Norbert Fehlauer zu dem Thema LUP/WSUS:
    https://www.mcseboard.de/windows-server-forum-78/lup-betriebssystem-bedingungen-2-189408.html#post1171395

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert mcdaniels2k12 Dienstag, 23. Oktober 2012 05:37
    • Tag als Antwort aufgehoben mcdaniels2k12 Dienstag, 23. Oktober 2012 06:45
    • Als Antwort markiert mcdaniels2k12 Dienstag, 23. Oktober 2012 06:46
    Montag, 22. Oktober 2012 21:48
    |