none
W2K12R2: WSUS laedt keine Updates herunter RRS feed

  • Frage

  • Hi Community,

    zu Testzwecken habe ich eine neue Domäne installiert mit einem W2K8R2 DC, einem Win7x64 Client und einen W2K12R2 Member Server. Auf dem W2K12R2 Member Server habe ich die WSUS Rolle incl. deren Abhängigkeiten installiert, was mir auch brav schön alles als erfolgreich gemeldet wurde. Beim Versuch den Win7 Client über den WSUS Server zu aktualisieren, schlägt dies mit der Fehlermeldung 0x80244019 fehl, was auf Firewall Einstellungen hindeutet. Beide (WSUS und Client) Firewalls deaktiviert, selbes Problem...

    Beim WSUS wurde nach der Installation und Konfiguration, es wurden Updates und wichtige Updates für Windows 7, Windows 8.1 und Server 2008R2 und Server 2012R2 ausgewählt, eine Erstsynchronisation durchgeführt, was in der WSUS Konsole als erfolgreich abgeschlossen wurde, mit dem Hinweis, dass 3.962 neue Updates vorhanden sind. Der WSUS Ordner ist aber nicht mal 1MB groß, es befinden sich nur 55 Ordner mit 62 Dateien darin und die Dateien sind ausschließlich Textdateien. Irgendetwas stimmt also mit dem WSUS Content nicht, da sind keine Updates vorhanden.

    Hat da jemand eine Meinung dazu?

    Thx & Bye Tom

    Dienstag, 2. September 2014 11:53

Antworten

  • Hi,

    das ist wahrscheinlich der Fehler - standardmäßig installiert sich WSUS mit Port 8530 bzw. SSL 8531, nicht Port 80.

    Ändere die Gruppenrichtlinie mal ab, indem Du "http://test-wsus" zu "http://test-wsus:8530" änderst.

    Dann auf dem Client ein gpupdate /force in der Eingabeaufforderung ausführen und nochmal probieren.


    Gruß
    Ben

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 2. September 2014 13:00

Alle Antworten

  • Hi,

    bevor der WSUS Updates verteilt, musst Du die gewünschten Updates genehmigen. Dafür kannst Du entweder Genehmigungsregeln anlegen (z.B. "Wenn Sicherheitsupdate, dann automatisch genehmigen") oder aber Du machst es manuell (Update raussuchen, Rechtsklick - "Genehmigen" und den/die gewünschten Ordner aussuchen).

    ERST DANN fängt der WSUS überhaupt an, Updates zu laden, weil er dann weiß, was er überhaupt bereitstellen soll. Je nachdem, wie viel Du auswählst, kann das aber schon ein paar Stunden bis Tage dauern, bis der alles runtergeladen hat.

    Die 3.962 Updates sind hierbei diejenigen, die der WSUS anhand Deiner Auswahl auf den Servern von Microsoft ermittelt hat. Wenn Du die alle genehmigst, lädt er sie auch runter, dann dürfte auch der Windows-Client die Updates finden. Der Client ist per GPO für den Zugriff auf den WSUS eingerichtet?


    Gruß
    Ben

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 2. September 2014 12:06
  • Servus,

    > ERST DANN fängt der WSUS überhaupt an, Updates zu laden, weil er dann weiß, was er überhaupt bereitstellen soll. Je nachdem, wie viel Du auswählst, kann das aber schon ein paar Stunden bis Tage dauern, bis der alles runtergeladen hat.

    dann scheint etwas anderes nicht zu stimmen. Ich glaube mich zu erinnern, dass ich zuerst mal abwarten konnte bis sich die Clients beim WSUS gemeldet und Ihren Bericht abgeliefert haben, um dann nur die 'erforderlichen' Updates für die Installation zu genehmigen.

    Da sich aber schon der Client nicht beim WSUS meldet und ein Windows Update mit dem og Fehler 0x80244019 terminiert, wäre das vermutlich der Punkt an dem man ansetzen müsste. Ideen?

    Thx & Bye Tom

    Dienstag, 2. September 2014 12:20
  • Hi,

    wie ist denn die Gruppenrichtlinie eingestellt? Steht da als interner Updatepfad

    http://<Dein Server-DNS/IP>:8530 oder https://<Dein Server-DNS/IP>:8531 ?


    Gruß
    Ben

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 2. September 2014 12:46
  • Servus,

    > http://<Dein Server-DNS/IP>:8530 oder https://<Dein Server-DNS/IP>:8531

    Da steht gar kein Port, nur http://<NETBIOSNAME>, also http://test-wsus

    Thx & Bye Tom


    Dienstag, 2. September 2014 12:52
  • Hi,

    das ist wahrscheinlich der Fehler - standardmäßig installiert sich WSUS mit Port 8530 bzw. SSL 8531, nicht Port 80.

    Ändere die Gruppenrichtlinie mal ab, indem Du "http://test-wsus" zu "http://test-wsus:8530" änderst.

    Dann auf dem Client ein gpupdate /force in der Eingabeaufforderung ausführen und nochmal probieren.


    Gruß
    Ben

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 2. September 2014 13:00
  • Servus,

    > Ändere die Gruppenrichtlinie mal ab, indem Du "http://test-wsus" zu "http://test-wsus:8530" änderst.

    Mit dem Port hast du tatsächlich Recht, netstat hat das bestätigt. Ich habe das jetzt geändert und die Richtlinie auf dem Client neu erzwungen. Jetzt sucht er zumindest mal nach Updates und hat sich auch beim WSUS gemeldet.

    Nur er findet keine Updates und Windows 7 glaubt (out of the box) auf dem neuesten Stand zu sein. Jetzt scheint wohl tatsächlich wieder das eingangs diskutierte Problem aufzutauchen. Gut ich muss wohl erst Updates frei geben aber ich hatte kürzlich erst einen neuen WSUS (Server 2008 R2) in unsere produktive Umgebung installiert und da musste ich AFAIK nicht erst alles frei geben, sondern habe gewartet bis sich die Clients gemeldet haben und btw. läuft der auch auf Port 80.

    Anyway, ich habe jetzt mal die Updates für die Installation freigegeben die mit dem gelben Ausrufezeichen versehen waren, dass waren schon mal etliche und alle scheinen (beim Überfliegen) mit Windows 7 zu tun zu haben. Jetzt lädt er auch Updates runter, zumindest wird das WSUS Content Verzeichnis jetzt kontinuierlich größer.

    Ich habe das ganze sowohl mit dem Port, wie auch mit der initialen Synchronisation anders in Erinnerung aber zumindest bei der Synchronisation möchte ich nicht auf meine Erinnerung bestehen aber die Geschichte mit dem Port ist in unserem produktiven Setup definitiv anders gelöst.

    Aber trotzdem Danke für die doch recht ergebnisorientierte Analyse, den Port hätte ich so schnell nicht auf dem Zettel gehabt. Wenn noch was sein sollte, melde ich mich nochmal, jetzt warte ich erst mal bis die Updates heruntergeladen wurden. BTW: Sollte ich da tatsächlich erst mal alle zig-1000 Updates zur Installation freigeben? Ich kann das gar nicht glauben...

    Nachtrag: Der Windows 7 Client hat schon die ersten 32 Updates gefunden, das sind zwar nicht alle (plausibel wären für ein out of the box installiertes Windows 7 mit SP1 ca 130 Updates) aber mal schauen was noch nachkommt)

    Thx & Bye Tom

    Dienstag, 2. September 2014 13:32
  • Am 02.09.2014 schrieb Thomas Pronto Wildgruber:

    > Ändere die Gruppenrichtlinie mal ab, indem Du "http://test-wsus" zu "http://test-wsus:8530" änderst.

    Mit dem Port hast du tatsächlich Recht, netstat hat das bestätigt. Ich habe das jetzt geändert und die Richtlinie auf dem Client neu erzwungen. Jetzt sucht er zumindest mal nach Updates und hat sich auch beim WSUS gemeldet.

    Das sieht man sehr deutlich auf der Startseite der WSUS.MSC.
    Alternativ hab ich das in meinem HowTo auch dick vermerkt:
    http://www.gruppenrichtlinien.de/artikel/wsus-30-windows-server-update-services/

    Nur er findet keine Updates und Windows 7 glaubt (out of the box) auf dem neuesten Stand zu sein. Jetzt scheint wohl tatsächlich wieder das eingangs diskutierte Problem aufzutauchen. Gut ich muss wohl erst Updates frei geben aber ich hatte kürzlich erst einen neuen WSUS (Server 2008 R2) in unsere produktive Umgebung installiert und da musste ich AFAIK nicht erst alles frei geben, sondern habe gewartet bis sich die Clients gemeldet haben und btw. läuft der auch auf Port 80.

    Du mußt die benötigten Updates, die von den Clients angefordert
    werden, zum installieren freigeben.
    http://www.gruppenrichtlinien.de/fileadmin/user_upload/bilder/wsus/31_WSUS_SSL.png
    Schau insbesonders auf die linke Seite, nicht genehmigte Updates.

    Anyway, ich habe jetzt mal die Updates für die Installation freigegeben die mit dem gelben Ausrufezeichen versehen waren, dass waren schon mal etliche und alle scheinen (beim Überfliegen) mit Windows 7 zu tun zu haben. Jetzt lädt er auch Updates runter, zumindest wird das WSUS Content Verzeichnis jetzt kontinuierlich größer.

    Siehe oben.

    Ich habe das ganze sowohl mit dem Port, wie auch mit der initialen Synchronisation anders in Erinnerung aber zumindest bei der Synchronisation möchte ich nicht auf meine Erinnerung bestehen aber die Geschichte mit dem Port ist in unserem produktiven Setup definitiv anders gelöst.

    Bis W2012 konntest Du wählen, Standardport oder Benutzerdefinierter
    Port. Standardport war Port 80, der andere ist 8530, auch schon beim
    WSUS 3.0 SP2 auf W2003.

    Aber trotzdem Danke für die doch recht ergebnisorientierte Analyse, den Port hätte ich so schnell nicht auf dem Zettel gehabt. Wenn noch was sein sollte, melde ich mich nochmal, jetzt warte ich erst mal bis die Updates heruntergeladen wurden. BTW: Sollte ich da tatsächlich erst mal alle zig-1000 Updates zur Installation freigeben? Ich kann das gar nicht glauben...

    Nein, gib nur die Updates zur Installation frei, die auch von den
    Clients angefordert werden. Hält das Content schmal.

    Nachtrag: Der Windows 7 Client hat schon die ersten 32 Updates gefunden, das sind zwar nicht alle (plausibel wären für ein out of the box installiertes Windows 7 mit SP1 ca 130 Updates) aber mal schauen was noch nachkommt)

    Es kommen immer wieder ersetzende Updates.

    Bedenke auch gleich die Serverbereinigung, dafür gibt es dieses nette
    Script: http://www.wsus.de/serverbereinigung2


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 2. September 2014 16:30
  • Servus Winfried,

    > Nein, gib nur die Updates zur Installation frei, die auch von den Clients angefordert werden. Hält das Content schmal.

    Da hats ein wenig Geduld gebraucht aber mittlerweile denke ich funktioniert das wie es zu erwarten ist. Ich habe den Filter jetzt auf 'Alle bis auf abgelehnte / Erforderlich' stehen und da tröpfeln tatsächlich so nach und nach Updates rein, die ich noch zum Installieren frei geben muss. Gerade mit dem .NET Framework 4.5 getestet, nach der Installation tauchten im WSUS dann auch die erforderlichen Updates auf. Ich habe jetzt zwar keine Ahnung ob die 3 Updates (.NET) schon alle waren aber zumindest bewegt sich die ganze Sache in eine zu erwartende Richtung.

    Okay, dann könnte ich jetzt wohl mit dem Package Deployment Zeugs weiter machen, dazu war nämlich der ganze Stunt mit der Testumgebung ;-)

    Thx & Bye Tom


    Mittwoch, 3. September 2014 13:36
  • Am 03.09.2014 schrieb Thomas Pronto Wildgruber:

    Da hats ein wenig Geduld gebraucht aber mittlerweile denke ich funktioniert das wie es zu erwarten ist. Ich habe den Filter jetzt auf 'Alle bis auf abgelehnte / Erforderlich' stehen und da tröpfeln tatsächlich so nach und nach Updates rein, die ich noch zum Installieren frei geben muss. Gerade mit dem .NET Framework 4.5 getestet, nach der Installation tauchten im WSUS dann auch die erforderlichen Updates auf. Ich habe jetzt zwar keine Ahnung ob die 3 Updates (.NET) schon alle waren aber zumindest bewegt sich die ganze Sache in eine zu erwartende Richtung.

    Ja, das dauert manchmal etwas, aber ist IMHO die bessere Variante als
    alles blind freizugeben.

    Okay, dann könnte ich jetzt wohl mit dem Package Deployment Zeugs weiter machen, dazu war nämlich der ganze Stunt mit der Testumgebung ;-)

    Der aktualisierte Artikel sollte bis zum WE bei Mark erscheinen.
    http://www.gruppenrichtlinien.de/artikel/wsus-package-publisher-software-ueber-windows-server-update-service-bereitstellen/


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Mittwoch, 3. September 2014 16:47