Heute habe ich einen neuen PC aufgesetzt (geklont). Nach dem üblichen "wuauclt.exe /resetauthorization /detectnow" (und löschen der 3 bekannten Registry-Einträge) werden auch ein paar wenige Updates installiert.

Nun kommt das unlogische:
Wenn ich den PC in eine neue Gruppe verschiebe (nennen wir sie beispielhaft "Mach alle Updates"), den PC neu starte und wieder ein wuauclt.exe /detectnow befehle, werden keine neuen Updates als nötig erachtet und deshalb nichts weiter installiert.

Deshalb meine Verständnisfrage:
a) Erhält ein neues Mitglied einer WSUS-Gruppe nicht automatisch deren bisher genehmigten Patches? (So wie ein neues Mitglied einer AD-Gruppe automatisch deren Rechte erhält?)

b) Muss ich bei einem Wechsel von Gruppen-Mitgliedern immer wieder alle Patches dieser Gruppe neu genehmigen, damit sie für den aktuellen Stand Mitglieder angewendet wird?

Ich check das nicht wirklich, kann mir jemand das Brett vom Kopf nehmen? ;)

PatPowerMan schrieb am 31.10.07 um 13:19:37:

Heute habe ich einen neuen PC aufgesetzt (geklont). Nach dem üblichen "wuauclt.exe /resetauthorization /detectnow" (und löschen der 3 bekannten Registry-Einträge) werden auch ein paar wenige Updates installiert.

Aha, mitgedacht, gut! ;-)


PatPowerMan schrieb am 31.10.07 um 13:19:37:

Nun kommt das unlogische: Wenn ich den PC in eine neue Gruppe verschiebe (nennen wir sie beispielhaft "Mach alle Updates"), den PC neu starte und wieder ein wuauclt.exe /detectnow befehle, werden keine neuen Updates als nötig erachtet und deshalb nichts weiter installiert.

Wurde ein aktueller Statusbericht vom Client abgeliefert? Wenn ja, was sagt die WindowsUpdate.log auf dem Client aus?


PatPowerMan schrieb am 31.10.07 um 13:19:37:

Deshalb meine Verständnisfrage: a) Erhält ein neues Mitglied einer WSUS-Gruppe nicht automatisch deren bisher genehmigten Patches? (So wie ein neues Mitglied einer AD-Gruppe automatisch deren Rechte erhält?)

Sollte schon so sein.


PatPowerMan schrieb am 31.10.07 um 13:19:37:

b) Muss ich bei einem Wechsel von Gruppen-Mitgliedern immer wieder alle Patches dieser Gruppe neu genehmigen, damit sie für den aktuellen Stand Mitglieder angewendet wird?

Nein, AFAIK nicht.

Ich weiss nicht, wie Du es zeitlich jeweils so schnell schaffst kompetent  zu antworten, jedenfalls mal ein ausdrückliches RESPEKT von mir!  :)

Der Statusbericht dieses neuen PCs zeigt quasi den Normal-Zustand an, wie alle sonstigen PCs (die noch nicht auf dem allerneuesten Zustand sind).

WindowsUpdate.log zeigt keine Fehler oder sonstige Auffälligkeiten. Es meldet auch, dass keine neuen Updates nötig seien.

Ich habe aus reiner Neugierde sämtliche (schon mal genehmigten) Updates markiert, mit rechter Maustaste auf "Genehmigen" geklickt und dann meine "Mach alle Updates" Gruppe ausgewählt und dort die erste Option "Für die Installation genehmigt" ausgewählt.
Dann rumpelt der WSUS mal so gegen 30 Minuten vor sich hin und gehemigt sämtliche markierten Updates neu.

Auf dem besagten neuen PC führte ich eben ein "wuauclt.exe /detectnow" aus. Und siehe da, nach ein paar Minuten hoher Platten-Aktivität sind 72 Updates kopiert und werden beim herunterfahren installiert.

Irgendwas muss ich übersehen. Gibt es irgendeine "Gruppen-Vererbungs"-Option die man falsch anwenden kann?
Momentan glaube ich fast, dass die Patches pro Maschine gesetzt werden. Unabhängig, in welcher Gruppe sich die Maschine befindet oder mindestens unabhängig von einem Verschiebe-Vorgang zwischen einzelnen Gruppen.

PatPowerMan schrieb am 31.10.07 um 15:13:26:

Ich weiss nicht, wie Du es zeitlich jeweils so schnell schaffst kompetent  zu antworten, jedenfalls mal ein ausdrückliches RESPEKT von mir!  :)

Betriebsgeheimnis! Danke für die Blumen. ;)


PatPowerMan schrieb am 31.10.07 um 15:13:26:

Ich habe aus reiner Neugierde sämtliche (schon mal genehmigten) Updates markiert, mit rechter Maustaste auf "Genehmigen" geklickt und dann meine "Mach alle Updates" Gruppe ausgewählt und dort die erste Option "Für die Installation genehmigt" ausgewählt. Dann rumpelt der WSUS mal so gegen 30 Minuten vor sich hin und gehemigt sämtliche markierten Updates neu.

Ich hab grad keinen WSUS zur Hand, gibts da nicht noch mehr Möglichkeiten? Irgendwas mit vererben? Auch müßte der Client mit seinem Statusbericht anzeigen, welche Updates er noch benötigt. Denn das ermitteln ist der Default beim WSUS 3.0.


PatPowerMan schrieb am 31.10.07 um 15:13:26:

Auf dem besagten neuen PC führte ich eben ein "wuauclt.exe /detectnow" aus. Und siehe da, nach ein paar Minuten hoher Platten-Aktivität sind 72 Updates kopiert und werden beim herunterfahren installiert.

Deshalb im vorigen Posting auch die Frage, ob der Client nachdem Du ihn in die Gruppe verschoben hattest, auch schon einen Statusbericht für diese Gruppe abgegeben hat. Ich glaube nicht.



PatPowerMan schrieb am 31.10.07 um 15:13:26:

Irgendwas muss ich übersehen. Gibt es irgendeine "Gruppen-Vererbungs"-Option die man falsch anwenden kann? Momentan glaube ich fast, dass die Patches pro Maschine gesetzt werden. Unabhängig, in welcher Gruppe sich die Maschine befindet oder mindestens unabhängig von einem Verschiebe-Vorgang zwischen einzelnen Gruppen.

Hmm, kann ich mir nicht vorstellen. Das ist eigentlich recht einfach gehalten.

Ich habe einen nigelnagelneuen PC aufgestetzt, mit einem noch nie vergebenen Namen und IP-Adresse.

Der kommt nun automatisch in die Gruppe "Nicht zugewiesen Computer". Darin hat er einen Bericht erstellt und sagt "97% installiert/nicht zutreffend". Gleichzeitg meldet er 131 Updates seien erforderlich, 5096 seien installiert/nicht zutreffend.

Wenn ich diesen PC nun in die erwähnte "Mach alle Updates" verschiebe (rechte Maustaste, Mitgliedschaft ändern, ausschliesslich "Mach alle Updates"-Gruppe checken), bewirkt das rein gar nichts.
Erst wenn ich sämtliche Updates für diese Gruppe neu genehmige funktioniert es.

Kannst Du mir bitte sagen, wie Deine Gruppen strukturiert sind?
Wenn ich auf einem beliebigen Update (Verzeichnis "Alle Updates") rechtsklicke und auf Genehmigen klicke, steht die oberste Gruppe "Alle Computer" auf "nicht genehmigt" und "nicht zutreffend". Die darunterliegende Gruppe "Mach alle Updates" steht auf "Installieren" und "Keine".
Kann das noch ein logisches Problem sein?

PatPowerMan schrieb am 01.11.07 um 11:41:20:

Ich habe einen nigelnagelneuen PC aufgestetzt, mit einem noch nie vergebenen Namen und IP-Adresse. Der kommt nun automatisch in die Gruppe "Nicht zugewiesen Computer". Darin hat er einen Bericht erstellt und sagt "97% installiert/nicht zutreffend". Gleichzeitg meldet er 131 Updates seien erforderlich, 5096 seien installiert/nicht zutreffend.

Nur so als Zwischenfrage, ist das ein W2KSP4? 131 Updates sind nicht grade wenig.


PatPowerMan schrieb am 01.11.07 um 11:41:20:

Wenn ich diesen PC nun in die erwähnte "Mach alle Updates" verschiebe (rechte Maustaste, Mitgliedschaft ändern, ausschliesslich "Mach alle Updates"-Gruppe checken), bewirkt das rein gar nichts. Erst wenn ich sämtliche Updates für diese Gruppe neu genehmige funktioniert es.

OK, wenn dem so ist, dann würde ich es als Bug einstufen. Kann aber auch als Feature so gewollt sein von MS.


PatPowerMan schrieb am 01.11.07 um 11:41:20:

Kannst Du mir bitte sagen, wie Deine Gruppen strukturiert sind?

Relativ simpel. Zum einen nach Standort und nach OS. Ich genehmige die Updates aber immer auf die Gruppe Alle Computer. Das wird dann weiter nach unten vererbt. Deshalb kann ich bei mir auch verschieben wie ich will, alle Clients bekommen in jeder Gruppe die Updates, die sie anfordern.


PatPowerMan schrieb am 01.11.07 um 11:41:20:

Wenn ich auf einem beliebigen Update (Verzeichnis "Alle Updates") rechtsklicke und auf Genehmigen klicke, steht die oberste Gruppe "Alle Computer" auf "nicht genehmigt" und "nicht zutreffend". Die darunterliegende Gruppe "Mach alle Updates" steht auf "Installieren" und "Keine". Kann das noch ein logisches Problem sein?

Ich würde es evtl. genau andersrum machen. Ganz oben in Hierarchie alle Updates genehmigen, nur in den darunterliegenden Gruppen, eine evtl. Vererbung deaktivieren.

BTW: Wenn Du noch einen Versuch machen könntest, wäre gut. Neuer Client mit GPO, die den Client gleich in die passende Gruppe auf dem WSUS verschiebt. Dazu mußt Du allerdings im WSUS in den Optionen auch umstellen, daß NICHT die WSUS-Konsole zu Zuordnen verwendet wird. Kriegt der Client nun Updates wenn er gleich in die passende Gruppe kommt?

Sunny schrieb am 01.11.07 um 13:14:04:

Nur so als Zwischenfrage, ist das ein W2KSP4? 131 Updates sind nicht grade wenig.

Gute Frage, muss ich noch genauer angucken. Was wäre denn so die übliche Anzahl?
Wahrscheinlich kommt das aber davon, dass wir einen fast jährigen XP Klon verwenden und die (Nicht-MS-Produkte-) Updates beim Login des Users je nach Berechtigung nachinstallieren lassen.


Sunny schrieb am 01.11.07 um 13:14:04:

OK, wenn dem so ist, dann würde ich es als Bug einstufen. Kann aber auch als Feature so gewollt sein von MS..

Ich finde nur leider auch nach mehreren Stunden Foren-Studium keine eindeutigen Hinweise oder Erklärungsversuche dafür.


Sunny schrieb am 01.11.07 um 13:14:04:

...Ich genehmige die Updates aber immer auf die Gruppe Alle Computer. Das wird dann weiter nach unten vererbt. Deshalb kann ich bei mir auch verschieben wie ich will, alle Clients bekommen in jeder Gruppe die Updates, die sie anfordern.

Vielleicht muss ich das überdenken und so mal ausprobieren.


Sunny schrieb am 01.11.07 um 13:14:04:

BTW: Wenn Du noch einen Versuch machen könntest, wäre gut. Neuer Client mit GPO, die den Client gleich in die passende Gruppe auf dem WSUS verschiebt. Dazu mußt Du allerdings im WSUS in den Optionen auch umstellen, daß NICHT die WSUS-Konsole zu Zuordnen verwendet wird. Kriegt der Client nun Updates wenn er gleich in die passende Gruppe kommt?

Das ist leider nicht so einfach, weil nicht direkt von mir beeinflussbar. Aber wenn ich einen guten Tag erwische, lassen die verantwortlichen AD-Jungs vielleicht mit sich reden.  ::)

PatPowerMan schrieb am 01.11.07 um 15:49:58:

Gute Frage, muss ich noch genauer angucken. Was wäre denn so die übliche Anzahl? Wahrscheinlich kommt das aber davon, dass wir einen fast jährigen XP Klon verwenden und die (Nicht-MS-Produkte-) Updates beim Login des Users je nach Berechtigung nachinstallieren lassen.

Sorry, ich vergaß, Du hast vermutlich auch den Media Player und den IE mit verteilt, ebenfalls hast Du vermutlich Office XP oder 2003. Bei uns läuft noch Office 2000, der MP wird nicht upgedatet, (die Leute sollen arbeiten ;-)) den IE7 hab ich noch verteilen können. Eine wichtige Anwendung ist vom Hersteller noch nicht freigegeben worden.



PatPowerMan schrieb am 01.11.07 um 15:49:58:

Ich finde nur leider auch nach mehreren Stunden Foren-Studium keine eindeutigen Hinweise oder Erklärungsversuche dafür.

Lies dich mal diese Message-ID: <e1FkXN6GIHA.4916@TK2MSFTNGP02.phx.gbl> bei Google Groups durch.


PatPowerMan schrieb am 01.11.07 um 15:49:58:

Vielleicht muss ich das überdenken und so mal ausprobieren.

Yepp, erleichtert die Arbeit ungemein. ;)



PatPowerMan schrieb am 01.11.07 um 15:49:58:

Das ist leider nicht so einfach, weil nicht direkt von mir beeinflussbar. Aber wenn ich einen guten Tag erwische, lassen die verantwortlichen AD-Jungs vielleicht mit sich reden.  ::)

Wäre super, wenn Du das Ergebnis hier posten könntest. ;)

Danke für Deine Infos!
Ich habe jetzt (nach ein paar weiteren Versuchen und Log-Analysen) einen Verdacht. MS meint dazu im   (Du musst Dich Einloggen oder Registrieren:
Zitat:

Wait an hour for changes to take effect If you make a change to group membership by using client-side targeting and the client computer has already contacted the WSUS server, it takes an hour for the server to change the computer’s group membership. This is because WSUS uses cookies to manage group membership with client-side targeting and these cookies are set to expire after one hour. If you cannot wait an hour, use command-line options to reset the cookie and initiate detection. For information about how to use command-line options, see Deploying Microsoft Windows Server Update Services at   (Du musst Dich Einloggen oder Registrieren.

Obwohl wir KEIN client-side targeting machen (ich verschieb die PC manuell und "bewusst zufällig" in eine Verteilgruppe) könnte das wohl einen Einfluss haben.

Leider zeigt die Ziel-URL im obigen Zitat keine konkrete Lösung. Weisst Du, welche Optionen nötig sind "to reset the cookie and initiate detection"?

Hey, vielen Dank für die Informationen. ;) Das kannte ich noch nicht, man lernt nie aus. ;)

Das mit Cookie könnte ich mir so vorstellen:
wuauclt /resetauthorization /detectnow
wuauclt /detectnow

Ja, genau, das isses, habs grade gefunden:
Issues with Client Computer Groups:
  (Du musst Dich Einloggen oder Registrieren

Das habe ich in der Zwischenzeit probiert  8-) und 10 Minuten wären auch vergangen:
Zitat:

To reset the Automatic Update client 1.  Open a command window. 2.  Type wuauclt.exe /resetauthorization /detectnow 3.  Wait 10 minutes for the detection cycle to finish.

Trotzdem zeigt das %windir%\WindowsUpdate.log des verschobenen Computers u.A. immer noch folgenden falschen[code]2007-11-02      15:12:01       836      6fc      Agent      ***********  Agent: Initializing global settings cache  ***********
2007-11-02      15:12:01       836      6fc      Agent        * WSUS server: http://wsusservername:8530
2007-11-02      15:12:01       836      6fc      Agent        * WSUS status server: http://wsusservername:8530
2007-11-02      15:12:01       836      6fc      Agent        * Target group: (Unassigned Computers)
2007-11-02      15:12:01       836      6fc      Agent        * Windows Update access disabled: No
2007-11-02      15:12:02       836      6fc      Agent        * Found 6 persisted download calls to restore
2007-11-02      15:12:02       836      6fc      DnldMgr      Download manager restoring 0 downloads
2[/code]rund um die eigentlich neu zugewiesene Target Group "Mach alle Updates". Hmmm.... :-?

Moooooooment. Du hast ja geschrieben:
Das mit Cookie könnte ich mir so vorstellen:
wuauclt /resetauthorization /detectnow
wuauclt /detectnow

Und - oh Zufall - nach der Eingabe des zweiten Befehls mit der einzigen Option /detectnow startet der Download der Updates tatsächlich sofort!

Ich probier das gleich noch mal an einer neuen Kiste aus. Melde mich wieder mit Resultaten. Warte(t) aber heute nicht mehr... ::)

PatPowerMan schrieb am 02.11.07 um 15:20:48:

Trotzdem zeigt das %windir%\WindowsUpdate.log des verschobenen Computers u.A. immer noch folgenden falschen[code]2007-11-02      15:12:01       836      6fc      Agent      ***********  Agent: Initializing global settings cache  *********** 2007-11-02      15:12:01       836      6fc      Agent        * WSUS server: http://wsusservername:8530 2007-11-02      15:12:01       836      6fc      Agent        * WSUS status server: http://wsusservername:8530 2007-11-02      15:12:01       836      6fc      Agent        * Target group: (Unassigned Computers) 2007-11-02      15:12:01       836      6fc      Agent        * Windows Update access disabled: No 2007-11-02      15:12:02       836      6fc      Agent        * Found 6 persisted download calls to restore 2007-11-02      15:12:02       836      6fc      DnldMgr      Download manager restoring 0 downloads 2[/code]rund um die eigentlich neu zugewiesene Target Group "Mach alle Updates". Hmmm.... :-?

Nene, der WU-Agent zeigt das an, was in der Registry vom Client steht! Und wenn Du kein Client-Side-Targeting machst, steht da immer das gleiche drin. ;)



PatPowerMan schrieb am 02.11.07 um 15:20:48:

Moooooooment. Du hast ja geschrieben: Das mit Cookie könnte ich mir so vorstellen: wuauclt /resetauthorization /detectnow wuauclt /detectnow Und - oh Zufall - nach der Eingabe des zweiten Befehls mit der einzigen Option /detectnow startet der Download der Updates tatsächlich sofort!

Mist, schon wieder Recht gehabt. ;)



PatPowerMan schrieb am 02.11.07 um 15:20:48:

Ich probier das gleich noch mal an einer neuen Kiste aus. Melde mich wieder mit Resultaten. Warte(t) aber heute nicht mehr... ::)

wie jetzt? Schon Feierabend? Hast Du dir einen halben Tag freigenommen?  ;D