none
Gpo per wsus su server 2012 non viene recepito dal parco clients RRS feed

  • Domanda

  • Buonasera,

    presso un cliente ho un Domain controller primario su cui ho implementato correttamente il servizio Wsus. Il parco client è di circa 300 postazioni in dominio; ho creato la Gpo con la modifica dei n.2 parametri "Configure Automatic Updates" e "Specify intra Microsoft Update service location" inserendo come url: "http://dc04:8530" (dc04 è il nome del domain controller).

    Sono passate 2 settimane e i client che hanno recepito la policy ed agganciate al wsus sono sempre e solo n.11 postazioni!!!!!!.

    Non riesco a capire perchè i restanti 289 client non recepiscono la gpo!!!!!!

    Per favore qualcuno che mi puo' dare un consiglio....grazie a tutti.

    Mario78.

    martedì 16 luglio 2019 12:51

Risposte

  • mi sembra di capire che ci siano due problemi in sequenza

    1. il pc non riceve la policy di wsus
    2. il pc ha la chiave di registro WUServer in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\  settata sul VECCHIO DC2.

    Il secondo problema è legato al GPO tattooing ereditato da una vecchia policy quando c'era il DC".

    Potresti cambiare a mano la chiaveWUServer, mettendo http://dc04:8530,  poi usando il tool di wsus verificare, se è ok, saprai che quando risolverai il problema al punto 1. il  secondo svanirà.

    La risoluzione del primo problema  è un po' più ostico, se ci sono dei filtri che negano la propagazione delle gpo capire e guidarti sarà un vero incubo

    Ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 18 luglio 2019 19:28
    Moderatore

  • Checking Connection to WSUS/SUS Server
                    WUServer = http://dc02
                    WUStatusServer = http://dc02
            UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

    dal tuo diagnostico vedo che i clients puntano a dc02 e neppure sulla porta corretta 8530. il path nell apolicy deve comprendere anche la porta-

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 22 luglio 2019 09:48
    Moderatore

Tutte le risposte

  • ciao,

    sei sicuro che i clients vedono il wsus? prova a scaricare il wsus client diagnostic tool, poi posta i risultati.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    martedì 16 luglio 2019 15:55
  • Sai come sono state installate le 289 rimanenti? i SO di queste, quali sono?

    Che tipo di deploy avete utilizzato per il deploy?

    Un gpresult /V su pc con wsus ok e uno con wsus ko, differenze?


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 16 luglio 2019 21:09
    Moderatore
  • Buongiorno Alberto,

    ho lanciato su di un client con s.o. windows xp il tool da te consigliato;di seguito il responso:

    ----------------------------------------------------------------------------------------

    WSUS Client Diagnostics Tool

    Checking Machine State
            Checking for admin rights to run tool . . . . . . . . . PASS
            Automatic Updates Service is running. . . . . . . . . . PASS
            Background Intelligent Transfer Service is not running. PASS
            Wuaueng.dll version 7.6.7600.256. . . . . . . . . . . . PASS
                    This version is WSUS 2.0

    Checking AU Settings
            AU Option is 4: Scheduled Install . . . . . . . . . . . PASS
                    Option is from Policy settings

    Checking Proxy Configuration
            Checking for winhttp local machine Proxy settings . . . PASS
                    Winhttp local machine access type
                            <Direct Connection>
                    Winhttp local machine Proxy. . . . . . . . . .  NONE
                    Winhttp local machine ProxyBypass. . . . . . .  NONE
            Checking User IE Proxy settings . . . . . . . . . . . . PASS
                    User IE Proxy. . . . . . . . . . . . . . . . .  NONE
                    User IE ProxyByPass. . . . . . . . . . . . . .  NONE
                    User IE AutoConfig URL Proxy . . . . . . . . .  NONE
                    User IE AutoDetect
                    AutoDetect not in use

    Checking Connection to WSUS/SUS Server
                    WUServer = http://dc02
                    WUStatusServer = http://dc02
            UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

    VerifyWUServerURL() failed with hr=0x80072ee7

    The server name or address could not be resolved


    Press Enter to Complete

    --------------------------------------------------------------------------------------

    La cosa che subito balza all'occhio è che nella sezione "Checking Connection to WSUS/SUS Server" sembra che il client prenda come riferimento del server Wsus il server "dc02" che è un vecchio server che faceva da wsus qualche anno fà ma che è dismesso da tempo; ora il server wsus è il "dc04".

    giovedì 18 luglio 2019 08:35
  • Buongiorno,

    lanciando il comando "gpresult /V " da un client windows Xp, balza all'occhio che la gpo ad hoc per il wsus "Policy_wsus" risulta non applicata perchè esclusa dal filtro; copio ed incollo dove si evince:

    -----------------------------------------------------------------

     I seguenti GPO non sono stati applicati perché sono stati esclusi dal filtro


         Helpdesk - links
             Filtro:  Negato (Protezione)

         enable eventview ACL folders
             Filtro:  Negato (Protezione)

         NTP Client
             Filtro:  Non applicato (Vuoto)

         enable remote assistance
             Filtro:  Non applicato (Vuoto)

         Deploy_shadow copy
             Filtro:  Non applicato (Vuoto)

         Folder Redirection
             Filtro:  Negato (Protezione)

         DNS config
             Filtro:  Non applicato (Vuoto)

         anti cryptolocker win XP
             Filtro:  Non applicato (Vuoto)

         anti cryptolocker win 7 over
             Filtro:  Non applicato (Vuoto)

         Referenti IT
             Filtro:  Negato (Protezione)

         Policy_wsus
             Filtro:  Non applicato (Vuoto)

         Criteri gruppo locale
             Filtro:  Non applicato (Vuoto)

         Policy ctrl-alt-canc
             Filtro:  Negato (Protezione)

         Account Support
             Filtro:  Non applicato (Vuoto)

         Spiceworks permissions
             Filtro:  Non applicato (Vuoto)

    -------------------------------------------------------------------------------------

    giovedì 18 luglio 2019 08:43
  • ciao,

    se il wsus è su dc04, perché poi mi trovo dc2 sulla diagnostica?

    inoltre prova a mettere l'IP al posto del nome server.

    poi fammi sapere.


    Alberto Lissoni MCSA, MCTS, MCITP Server

    giovedì 18 luglio 2019 12:10
  • mi sembra di capire che ci siano due problemi in sequenza

    1. il pc non riceve la policy di wsus
    2. il pc ha la chiave di registro WUServer in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\  settata sul VECCHIO DC2.

    Il secondo problema è legato al GPO tattooing ereditato da una vecchia policy quando c'era il DC".

    Potresti cambiare a mano la chiaveWUServer, mettendo http://dc04:8530,  poi usando il tool di wsus verificare, se è ok, saprai che quando risolverai il problema al punto 1. il  secondo svanirà.

    La risoluzione del primo problema  è un po' più ostico, se ci sono dei filtri che negano la propagazione delle gpo capire e guidarti sarà un vero incubo

    Ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 18 luglio 2019 19:28
    Moderatore

  • Checking Connection to WSUS/SUS Server
                    WUServer = http://dc02
                    WUStatusServer = http://dc02
            UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

    dal tuo diagnostico vedo che i clients puntano a dc02 e neppure sulla porta corretta 8530. il path nell apolicy deve comprendere anche la porta-

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 22 luglio 2019 09:48
    Moderatore