none
Windows Server Update Services WSUS: Probleme bei der Nachinstallation RRS feed

  • Frage

  • Hallo,

    wir wollten auf unserem neuen Windows Server 2012 R2 den WSUS installieren.

    Nachdem wir die WSUS-Rolle nach einigen Problemen mit dem MSSQL$MICROSOFT##WID endlich erfolgreich installieren konnten, bleiben wir jetzt beim Postinstall hängen.

    Das zugehörige Logfile meldet folgenden Fehler

    System.Runtime.InteropServices.COMException (0x80070534): Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

    Hat jemand einen Tipp was ich da tun soll?

    Hier das komplette Log.

    2016-01-07 14:28:51  Postinstall started
    2016-01-07 14:28:51  Detected role services: Api, UI, WidDatabase, Services
    2016-01-07 14:28:51  Start: LoadSettingsFromParameters
    2016-01-07 14:28:51  Content local is: True
    2016-01-07 14:28:51  Content directory is: D:\WSUS
    2016-01-07 14:28:51  SQL instname is: 
    2016-01-07 14:28:51  End: LoadSettingsFromParameters
    2016-01-07 14:28:51  Start: Run
    2016-01-07 14:28:51  Fetching WsusAdministratorsSid from registry store
    2016-01-07 14:28:51  Value is (null)
    2016-01-07 14:28:51  Configuring content directory...
    2016-01-07 14:28:51  Configuring groups...
    2016-01-07 14:28:51  Starting group configuration for WSUS Administrators...
    2016-01-07 14:28:51  Group does not already exist in the registry
    2016-01-07 14:28:51  Searching for existing group...
    2016-01-07 14:28:51  System.Runtime.InteropServices.COMException (0x80070534): Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
    
       bei System.DirectoryServices.PropertyValueCollection.PopulateList()
       bei System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
       bei System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
       bei System.DirectoryServices.AccountManagement.QbeMatcher.Matches(DirectoryEntry de)
       bei System.DirectoryServices.AccountManagement.SAMQuerySet.MoveNext()
       bei System.DirectoryServices.AccountManagement.FindResultEnumerator`1.MoveNext()
       bei System.DirectoryServices.AccountManagement.PrincipalSearcher.FindOne()
       bei Microsoft.UpdateServices.Administration.ConfigureGroups.FetchOrCreateGroup(PrincipalContext context, String name, String description)
       bei Microsoft.UpdateServices.Administration.ConfigureGroups.SetupGroup(PrincipalContext context, String groupName, String description, String registryValue)
       bei Microsoft.UpdateServices.Administration.ConfigureGroups.Run(Action`1 logWriter)
       bei Microsoft.UpdateServices.Administration.PostInstall.Run()
       bei Microsoft.UpdateServices.Administration.PostInstall.Execute(String[] arguments)
    

    Donnerstag, 7. Januar 2016 13:40

Antworten

  • Ich hab's, oder auch nicht...

    manchmal ist es gut, wenn man mal ein paar Tage was anderes macht, dann kann man wieder klarer denken.

    Im Log (weiter oben hier im Thread) stand folgendes:

    Starting group configuration for WSUS Administrators...

    Wir haben aber nur die Gruppe "WSUS-Administratoren" geprüft, die ja auch vorhanden war. Anscheinend möchte dieser WSUS aber tatsächlich "WSUS Administrators" haben.

    Nachdem wir die Gruppe manuell angelegt und den Postinstall Assi erneut ausgeführt hatten, wurde wieder ein Fehler samt Logfile erzeugt.  Dieses mal wurde aber nach der Gruppe "WSUS Reporters" gesucht.Nachdem auch die Gruppe angelegt war, lief Postinstall durch.

    WSUS läuft also jetzt auf unserem 2012 R2 DC.

    Aber ...

    Es gibt auf dem Server im IIS noch 2 weitere Sites mit ASP.NET Webservices und die liefen die ganze Zeit problemlos. Ich hab keine Ahnung, ob das tatsächlich zusammenhängt, aber seitdem der WSUS sich hier mit seiner eigenen Site eingehängt hat, laufen die beiden Services nicht mehr.

    Bei beiden Webservices kommt jetzt die Meldung

    HTTP Error 500.19 - Internal Server Error

    Ich hab keine Ahnung warum oder was sich da verändert haben soll. Aber außer der WSUS Installation wurde an dem Server nix geändert.

    Hab dafür mal einen eigenen Thread aufgemacht.
    ASP.NET Webservice liefert HTTP Error 500.19 - Internal Server Error


    • Als Antwort markiert Wolle Kette Donnerstag, 21. Januar 2016 10:32
    • Bearbeitet Wolle Kette Donnerstag, 21. Januar 2016 13:11
    Donnerstag, 21. Januar 2016 10:32

Alle Antworten

  • Am 07.01.2016 schrieb Wolle Kette:

    wir wollten auf unserem neuen Windows Server 2012 R2 den WSUS installieren.

    Nachdem wir die WSUS-Rolle nach einigen Problemen mit dem MSSQL$MICROSOFT##WID endlich erfolgreich installieren konnten, bleiben wir jetzt beim Postinstall hängen.

    Das zugehörige Logfile meldet folgenden Fehler

    System.Runtime.InteropServices.COMException (0x80070534): Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.

    Hat jemand einen Tipp was ich da tun soll?

    Gibt es denn auf dem Server die WSUS-Administratoren und die
    WSUS-Berichterstatter als Gruppen in den lokalen Benutzer und Gruppen?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 7. Januar 2016 16:26
  • Gibt es denn auf dem Server die WSUS-Administratoren und die

    WSUS-Berichterstatter als Gruppen in den lokalen Benutzer und Gruppen?

    Es gibt im AD die beiden Gruppen "WSUS-Berichterstatter" und "WSUS-Administratoren".

    Aber als lokale Gruppen? Der Server ist ein DC. Mir schwant da übles.

    Wenn ich jetzt nach "windows server 2012 domänencontroller WSUS" google, dann finde ich WSUS: WSUS should be installed on a non-domain controller.

    Insbesondere dort den Passus "If WSUS is installed a domain controller, this will cause database access issues due to how the database is configured.".

    Das ist jetzt aber nicht war, oder?

    Freitag, 8. Januar 2016 07:49
  • Am 08.01.2016 schrieb Wolle Kette:

    Gibt es denn auf dem Server die WSUS-Administratoren und die


    WSUS-Berichterstatter als Gruppen in den lokalen Benutzer und Gruppen?

    Es gibt im AD die beiden Gruppen "WSUS-Berichterstatter" und "WSUS-Administratoren".

    Welche Accounts sind Mitglieder in der Gruppe? Alternativ Gruppen
    einfügen und dann den Server neu starten.

    Wenn ich jetzt nach "windows server 2012 domänencontroller WSUS" google, dann finde ichWSUS: WSUS should be installed on a non-domain controller. <https://technet.microsoft.com/de-de/library/ff646928%28v=ws.10%29.aspx>

    Insbesondere dort den Passus "/If WSUS is installed a domain controller, this will cause database access issues due to how the database is configured."./

    Das ist jetzt aber nicht war, oder?  <https://technet.microsoft.com/de-de/library/ff646928%28v=ws.10%29.aspx>

    Keine Panik, auf einem DC läuft ein WSUS normalerweise problemlos.
    Habt ihr zuerst den WSUS installiert und ihn dann zum DC promoted oder
    war der Server zuerst DC?

    Auf einem SBS gibt es ja auch einen WSUS. ;)

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 8. Januar 2016 18:08
  • Welche Accounts sind Mitglieder in der Gruppe? Alternativ Gruppen

    einfügen und dann den Server neu starten.

    Die beiden Gruppen sind leer.

    Keine Panik, auf einem DC läuft ein WSUS normalerweise problemlos.

    Mag sein. Falls man es schafft, ihn zu installieren.

    Habt ihr zuerst den WSUS installiert und ihn dann zum DC promoted oder

    war der Server zuerst DC?

    Der Server wurde nach der Installation der Domäne hinzugefügt und dann zum DC gemacht.

    Auf einem SBS gibt es ja auch einen WSUS. ;)

    Dass alleine genügt offensichtlich nicht als Grund. Auf dem Vorgänger dieses Servers (2008 R2) lief der WSUS ja auch zusammen mit der DC Rolle. Aber da konnte man ihn ja auch noch installieren.

    Übrigens, ich hab mal probeweise eine VM mit WS2012R2 gebastelt, der Domain hinzugefügt und versucht, WSUS zu installieren.

    -> Fehler bei der Anforderung zum Hinzufügen oder Entfernen von Features auf dem angegebenen Server.
    Der Vorgang kann nicht abgeschlossen werden, da der angegeben Server neu gestartet werden muss.

    Soll ich jetzt lachen oder schreien?

    Montag, 11. Januar 2016 07:27
  • -> Fehler bei der Anforderung zum Hinzufügen oder Entfernen von Features auf dem angegebenen Server.
    Der Vorgang kann nicht abgeschlossen werden, da der angegeben Server neu gestartet werden muss.

    Das Problem hatte ich auch mal vor längerem. 100x den Server neu gestartet und immer die selbe Meldung. Ich glaub da hatte ich das Problem dass zu wenig Festplattenspeicher vorhanden war. 

    Bin mir jetzt zwar nicht mehr so sicher aber kannst ja mal nachsehen wie es bei dir aussieht ;)


    • Bearbeitet Affe123 Montag, 11. Januar 2016 08:50
    Montag, 11. Januar 2016 08:50
  • Das Problem hatte ich auch mal vor längerem. 100x den Server neu gestartet und immer die selbe Meldung. Ich glaub da hatte ich das Problem dass zu wenig Festplattenspeicher vorhanden war.

    Ne, damit hat das zumindest bei mir nix zu tun. Zumindest das hab ich inzwischen rausgefunden. Hab den Server aus der Domäne entfernt, dann konnte ich den WSUS installieren. Dann wieder der Domäne hinzugefügt und fertig. :-(

    Aber für unseren DC hab ich dafür zumindest jetzt noch keine Lust. Das muss doch auch irgendwie anders gehen.

    Montag, 11. Januar 2016 09:07
  • Am 11.01.2016 schrieb Wolle Kette:

    Habt ihr zuerst den WSUS installiert und ihn dann zum DC promoted oder


    war der Server zuerst DC?

    Der Server wurde nach der Installation der Domäne hinzugefügt und dann zum DC gemacht.

    Und du hast auch ganz sicher zwischenzeitlich alle Updates
    installiert, bevor Du die Rolle hinzugefügt hast?

    Übrigens, ich hab mal probeweise eine VM mit WS2012R2 gebastelt, der Domain hinzugefügt und versucht, WSUS zu installieren.

    -> Fehler bei der Anforderung zum Hinzufügen oder Entfernen von Features auf dem angegebenen Server.
    Der Vorgang kann nicht abgeschlossen werden, da der angegeben Server neu gestartet werden muss.

    Alle erforderlichen Updates installieren bevor man irgendwelche
    Rollen hinzufügt. Mensch, ich hab das zigfach so gemacht und nie auch
    nur ansatzweise solche Probleme gehabt. Irgendetwas läuft bei euch
    richtig krumm. Gibt es irgendwelche Tools oder 3rd Party Programme die
    gleich nach dem Domainbeitritt installiert werden? Ja, sowas hatte ich
    auch schon mal gelesen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Montag, 11. Januar 2016 18:42
  • Alle erforderlichen Updates installieren bevor man irgendwelche

    Rollen hinzufügt. Mensch, ich hab das zigfach so gemacht und nie auch
    nur ansatzweise solche Probleme gehabt. Irgendetwas läuft bei euch
    richtig krumm. Gibt es irgendwelche Tools oder 3rd Party Programme die
    gleich nach dem Domainbeitritt installiert werden?

    Hallo Winfried,

    Klar haben wir nach der Serverinstallation die anstehenden Updates installiert, aber alle? Wahrscheinlich. Und nein, es gibt keine Tools oder sonstige, was bei Domainbeitritt installiert wird. Aber es ist natürlich grundsätzlich eine alte, gewachsene Domäne, die seit den Active Directory Anfangszeiten existiert und immer aktualisiert wurde.

    Aber das kann doch nicht dazu führen dass ausgerechnet ein Produkt, was Bestandteil des Betriebssystems ist bzw. mit diesem ausgeliefert wird, derart rumspackt.

    Wenn ich mal zusammenrechne, wieviel Zeit ich bisher gebraucht hab um alle möglichen Dienste auf diesem WS 2012 R2 einzurichten und wie oft ich dabei schon gelesen hab, dies und das und jenes wäre ein bekannter Bug, da wird mir schlecht. Vor ein paar Jahren haben wir in unserer Domäne mehrere Server mit WS 2008 R2 eingerichtet. Da hat komischerweise alles funktioniert. Rollendienst hinzufügen, warten, fertig. Warum geht das mit 2012 R2 nicht?

    So, jetzt aber genug gekotzt. Es muss ja weitergehen.

    Bei unserer VM, die ich weiter oben schon erwähnt hatte, konnte ich WSUS ja installieren, nachdem ich sie aus der Domäne entfernt hatte. Die Datenbank und der WSUS liefen auch. Nachdem ich sie der Domäne wieder hinzugefügt hatte, konnte die Interne Windows-Datenbank wieder nicht gestartet werden. Wundersamerweise hat sich das aber nach einiger Zeit bzw. ein paar Reboots gelöst. Hab mich schon gefreut. Leider zu früh.

    Hab die VM heute nochmal gebootet, jetzt startet die Datenbank wieder nicht. Im System Protokoll steht folgendes:

    Der Dienst "Interne Windows-Datenbank" wurde aufgrund folgenden Fehlers nicht gestartet:
    Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.

    Ich hab bald keine Lust mehr. Irgendwo hab ich gelesen, man könne den WSUS auch mit dem SQL Express verwenden. Vielleicht probier ich da mal weiter.


    • Bearbeitet Wolle Kette Freitag, 15. Januar 2016 09:25
    Freitag, 15. Januar 2016 09:24
  • Am 15.01.2016 schrieb Wolle Kette:

    Alle erforderlichen Updates installieren bevor man irgendwelche


    Rollen hinzufügt. Mensch, ich hab das zigfach so gemacht und nie auch
    nur ansatzweise solche Probleme gehabt. Irgendetwas läuft bei euch
    richtig krumm. Gibt es irgendwelche Tools oder 3rd Party Programme die
    gleich nach dem Domainbeitritt installiert werden?

    Klar haben wir nach der Serverinstallation die anstehenden Updates installiert, aber alle? Wahrscheinlich. Und nein, es gibt keine Tools oder sonstige, was bei Domainbeitritt installiert wird. Aber es ist natürlich grundsätzlich eine alte, gewachsene Domäne, die seit den Active Directory Anfangszeiten existiert und immer aktualisiert wurde.

    Aber das kann doch nicht dazu führen dass ausgerechnet ein Produkt, was Bestandteil des Betriebssystems ist bzw. mit diesem ausgeliefert wird, derart rumspackt.

    Es gibt tausende von WSUS-Servern die als DC konfiguriert sind und auf
    denen problemlos der WSUS seinen Dienst tut. Und ja, wir hatten es
    hier schon sehr oft, dass sich im Laufe eines Threads herausstellte,
    der Fehler lag in einem Tool oder Programm, das automatisch beim
    Beitritt in die Domain installiert wurde. Der Admin hatte es aber
    komplett vergessen.
    Bei dir ist es ähnlich, der WSUS macht Probleme wenn der Rechner in
    der Domain ist, das bietet sich regelrecht an. Fragte ich schon nach
    der Installationssource?

    Bei unserer VM, die ich weiter oben schon erwähnt hatte, konnte ich WSUS ja installieren, nachdem ich sie aus der Domäne entfernt hatte. Die Datenbank und der WSUS liefen auch. Nachdem ich sie der Domäne wieder hinzugefügt hatte, konnte die Interne Windows-Datenbank wieder nicht gestartet werden. Wundersamerweise hat sich das aber nach einiger Zeit bzw. ein paar Reboots gelöst. Hab mich schon gefreut. Leider zu früh.

    Ist ja auch klar, der mit installierte SQL Server-Benutzer ist in der
    Domain ein anderer, als in einer Arbeitsgruppe.

    Hab die VM heute nochmal gebootet, jetzt startet die Datenbank wieder nicht. Im System Protokoll steht folgendes:

    Der Dienst "Interne Windows-Datenbank" wurde aufgrund folgenden Fehlers nicht gestartet:
    Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.

    Sieh in den Diensten nach, welcher Benutzer bei dem Dienst für WID
    eingetragen ist?

    Ich hab bald keine Lust mehr. Irgendwo hab ich gelesen, man könne den WSUS auch mit dem SQL Express verwenden. Vielleicht probier ich da mal weiter.

    Das wird natürlich funktionieren, aber auch dafür ist ein gewisses Maß
    an Disziplin erforderlich. D.h. den Server installieren, alle Updates
    installieren. AD + DNS installieren, nach dem Reboot wieder Updates
    installieren lassen. Jetzt erst den SQL Server installieren, aber
    Achtung! Es gibt eine Anleitung von MSFT dafür. Und benutze den SQL
    Server 2012 SP3 Express Advanced incl. Verwaltungstools. D.h. dort ist
    dann das SQL Server Management Studio dabei.

    https://technet.microsoft.com/de-de/library/cc708595%28v=ws.10%29.aspx
    In der Anleitung ist vom SQL 2005 die Rede, es geht natürlich auch wie
    oben geschrieben ein SQL 2012 SP3 Express.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 15. Januar 2016 15:25
  • Ich hab's, oder auch nicht...

    manchmal ist es gut, wenn man mal ein paar Tage was anderes macht, dann kann man wieder klarer denken.

    Im Log (weiter oben hier im Thread) stand folgendes:

    Starting group configuration for WSUS Administrators...

    Wir haben aber nur die Gruppe "WSUS-Administratoren" geprüft, die ja auch vorhanden war. Anscheinend möchte dieser WSUS aber tatsächlich "WSUS Administrators" haben.

    Nachdem wir die Gruppe manuell angelegt und den Postinstall Assi erneut ausgeführt hatten, wurde wieder ein Fehler samt Logfile erzeugt.  Dieses mal wurde aber nach der Gruppe "WSUS Reporters" gesucht.Nachdem auch die Gruppe angelegt war, lief Postinstall durch.

    WSUS läuft also jetzt auf unserem 2012 R2 DC.

    Aber ...

    Es gibt auf dem Server im IIS noch 2 weitere Sites mit ASP.NET Webservices und die liefen die ganze Zeit problemlos. Ich hab keine Ahnung, ob das tatsächlich zusammenhängt, aber seitdem der WSUS sich hier mit seiner eigenen Site eingehängt hat, laufen die beiden Services nicht mehr.

    Bei beiden Webservices kommt jetzt die Meldung

    HTTP Error 500.19 - Internal Server Error

    Ich hab keine Ahnung warum oder was sich da verändert haben soll. Aber außer der WSUS Installation wurde an dem Server nix geändert.

    Hab dafür mal einen eigenen Thread aufgemacht.
    ASP.NET Webservice liefert HTTP Error 500.19 - Internal Server Error


    • Als Antwort markiert Wolle Kette Donnerstag, 21. Januar 2016 10:32
    • Bearbeitet Wolle Kette Donnerstag, 21. Januar 2016 13:11
    Donnerstag, 21. Januar 2016 10:32
  • Am 21.01.2016 schrieb Wolle Kette:

    Wir haben aber nur die Gruppe "WSUS-Administratoren" geprüft, die ja auch vorhanden war. Anscheinend möchte dieser WSUS aber tatsächlich "WSUS Administrators" haben.

    Nachdem wir die Gruppe manuell angelegt und den Postinstall Assi erneut ausgeführt hatten, wurde wieder ein Fehler samt Logfile erzeugt.  Dieses mal wurde aber nach der Gruppe "WSUS Reporters" gesucht.Nachdem auch die Gruppe angelegt war, lief Postinstall durch.

    WSUS läuft also jetzt auf unserem 2012 R2 DC.

    Super, freut mich für Dich und Danke für die Rückmeldung. ;)

    Ich hab keine Ahnung warum oder was sich da verändert haben soll. Aber außer der WSUS Installation wurde an dem Server nix geändert.

    Du hast die WSUS-Rolle installiert, die will ja auch den IIS und
    Websites installieren, sofern der IIS noch nicht installiert ist.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 21. Januar 2016 17:18