Heißes Thema (mehr als 10 Antworten) Wird Update auf PC/Server oder Gruppe berechtigt? (Gelesen: 3369 mal)
PatPowerMan
WSUS Senior Member
***
Offline


I Love WSUS

Beiträge: 117
Mitglied seit: 14.07.06
Geschlecht: männlich
Wird Update auf PC/Server oder Gruppe berechtigt?
31.10.07 um 13:19:37
Beitrag drucken  
Heute habe ich einen neuen PC aufgesetzt (geklont). Nach dem üblichen "wuauclt.exe /resetauthorization /detectnow" (und löschen der 3 bekannten Registry-Einträge) werden auch ein paar wenige Updates installiert.

Nun kommt das unlogische:
Wenn ich den PC in eine neue Gruppe verschiebe (nennen wir sie beispielhaft "Mach alle Updates"), den PC neu starte und wieder ein wuauclt.exe /detectnow befehle, werden keine neuen Updates als nötig erachtet und deshalb nichts weiter installiert.

Deshalb meine Verständnisfrage:
a) Erhält ein neues Mitglied einer WSUS-Gruppe nicht automatisch deren bisher genehmigten Patches? (So wie ein neues Mitglied einer AD-Gruppe automatisch deren Rechte erhält?)

b) Muss ich bei einem Wechsel von Gruppen-Mitgliedern immer wieder alle Patches dieser Gruppe neu genehmigen, damit sie für den aktuellen Stand Mitglieder angewendet wird?

Ich check das nicht wirklich, kann mir jemand das Brett vom Kopf nehmen? Zwinkernd
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #1 - 31.10.07 um 14:39:27
Beitrag drucken  
PatPowerMan schrieb on 31.10.07 um 13:19:37:
Heute habe ich einen neuen PC aufgesetzt (geklont). Nach dem üblichen "wuauclt.exe /resetauthorization /detectnow" (und löschen der 3 bekannten Registry-Einträge) werden auch ein paar wenige Updates installiert.


Aha, mitgedacht, gut! Zwinkernd

PatPowerMan schrieb on 31.10.07 um 13:19:37:
Nun kommt das unlogische:
Wenn ich den PC in eine neue Gruppe verschiebe (nennen wir sie beispielhaft "Mach alle Updates"), den PC neu starte und wieder ein wuauclt.exe /detectnow befehle, werden keine neuen Updates als nötig erachtet und deshalb nichts weiter installiert.


Wurde ein aktueller Statusbericht vom Client abgeliefert? Wenn ja, was sagt die WindowsUpdate.log auf dem Client aus?

PatPowerMan schrieb on 31.10.07 um 13:19:37:
Deshalb meine Verständnisfrage:
a) Erhält ein neues Mitglied einer WSUS-Gruppe nicht automatisch deren bisher genehmigten Patches? (So wie ein neues Mitglied einer AD-Gruppe automatisch deren Rechte erhält?)


Sollte schon so sein.

PatPowerMan schrieb on 31.10.07 um 13:19:37:
b) Muss ich bei einem Wechsel von Gruppen-Mitgliedern immer wieder alle Patches dieser Gruppe neu genehmigen, damit sie für den aktuellen Stand Mitglieder angewendet wird?


Nein, AFAIK nicht.
  
Zum Seitenanfang
 
PatPowerMan
WSUS Senior Member
***
Offline


I Love WSUS

Beiträge: 117
Mitglied seit: 14.07.06
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #2 - 31.10.07 um 15:13:26
Beitrag drucken  
Ich weiss nicht, wie Du es zeitlich jeweils so schnell schaffst kompetent  zu antworten, jedenfalls mal ein ausdrückliches RESPEKT von mir!  Smiley

Der Statusbericht dieses neuen PCs zeigt quasi den Normal-Zustand an, wie alle sonstigen PCs (die noch nicht auf dem allerneuesten Zustand sind).

WindowsUpdate.log zeigt keine Fehler oder sonstige Auffälligkeiten. Es meldet auch, dass keine neuen Updates nötig seien.

Ich habe aus reiner Neugierde sämtliche (schon mal genehmigten) Updates markiert, mit rechter Maustaste auf "Genehmigen" geklickt und dann meine "Mach alle Updates" Gruppe ausgewählt und dort die erste Option "Für die Installation genehmigt" ausgewählt.
Dann rumpelt der WSUS mal so gegen 30 Minuten vor sich hin und gehemigt sämtliche markierten Updates neu.

Auf dem besagten neuen PC führte ich eben ein "wuauclt.exe /detectnow" aus. Und siehe da, nach ein paar Minuten hoher Platten-Aktivität sind 72 Updates kopiert und werden beim herunterfahren installiert.

Irgendwas muss ich übersehen. Gibt es irgendeine "Gruppen-Vererbungs"-Option die man falsch anwenden kann?
Momentan glaube ich fast, dass die Patches pro Maschine gesetzt werden. Unabhängig, in welcher Gruppe sich die Maschine befindet oder mindestens unabhängig von einem Verschiebe-Vorgang zwischen einzelnen Gruppen.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #3 - 31.10.07 um 15:26:47
Beitrag drucken  
PatPowerMan schrieb on 31.10.07 um 15:13:26:
Ich weiss nicht, wie Du es zeitlich jeweils so schnell schaffst kompetent  zu antworten, jedenfalls mal ein ausdrückliches RESPEKT von mir!  Smiley


Betriebsgeheimnis! Danke für die Blumen. Zwinkernd

PatPowerMan schrieb on 31.10.07 um 15:13:26:
Ich habe aus reiner Neugierde sämtliche (schon mal genehmigten) Updates markiert, mit rechter Maustaste auf "Genehmigen" geklickt und dann meine "Mach alle Updates" Gruppe ausgewählt und dort die erste Option "Für die Installation genehmigt" ausgewählt.
Dann rumpelt der WSUS mal so gegen 30 Minuten vor sich hin und gehemigt sämtliche markierten Updates neu.


Ich hab grad keinen WSUS zur Hand, gibts da nicht noch mehr Möglichkeiten? Irgendwas mit vererben? Auch müßte der Client mit seinem Statusbericht anzeigen, welche Updates er noch benötigt. Denn das ermitteln ist der Default beim WSUS 3.0.

PatPowerMan schrieb on 31.10.07 um 15:13:26:
Auf dem besagten neuen PC führte ich eben ein "wuauclt.exe /detectnow" aus. Und siehe da, nach ein paar Minuten hoher Platten-Aktivität sind 72 Updates kopiert und werden beim herunterfahren installiert.


Deshalb im vorigen Posting auch die Frage, ob der Client nachdem Du ihn in die Gruppe verschoben hattest, auch schon einen Statusbericht für diese Gruppe abgegeben hat. Ich glaube nicht.


PatPowerMan schrieb on 31.10.07 um 15:13:26:
Irgendwas muss ich übersehen. Gibt es irgendeine "Gruppen-Vererbungs"-Option die man falsch anwenden kann?
Momentan glaube ich fast, dass die Patches pro Maschine gesetzt werden. Unabhängig, in welcher Gruppe sich die Maschine befindet oder mindestens unabhängig von einem Verschiebe-Vorgang zwischen einzelnen Gruppen.


Hmm, kann ich mir nicht vorstellen. Das ist eigentlich recht einfach gehalten.
  
Zum Seitenanfang
 
PatPowerMan
WSUS Senior Member
***
Offline


I Love WSUS

Beiträge: 117
Mitglied seit: 14.07.06
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #4 - 01.11.07 um 11:41:20
Beitrag drucken  
Ich habe einen nigelnagelneuen PC aufgestetzt, mit einem noch nie vergebenen Namen und IP-Adresse.

Der kommt nun automatisch in die Gruppe "Nicht zugewiesen Computer". Darin hat er einen Bericht erstellt und sagt "97% installiert/nicht zutreffend". Gleichzeitg meldet er 131 Updates seien erforderlich, 5096 seien installiert/nicht zutreffend.

Wenn ich diesen PC nun in die erwähnte "Mach alle Updates" verschiebe (rechte Maustaste, Mitgliedschaft ändern, ausschliesslich "Mach alle Updates"-Gruppe checken), bewirkt das rein gar nichts.
Erst wenn ich sämtliche Updates für diese Gruppe neu genehmige funktioniert es.

Kannst Du mir bitte sagen, wie Deine Gruppen strukturiert sind?
Wenn ich auf einem beliebigen Update (Verzeichnis "Alle Updates") rechtsklicke und auf Genehmigen klicke, steht die oberste Gruppe "Alle Computer" auf "nicht genehmigt" und "nicht zutreffend". Die darunterliegende Gruppe "Mach alle Updates" steht auf "Installieren" und "Keine".
Kann das noch ein logisches Problem sein?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #5 - 01.11.07 um 13:14:04
Beitrag drucken  
PatPowerMan schrieb on 01.11.07 um 11:41:20:
Ich habe einen nigelnagelneuen PC aufgestetzt, mit einem noch nie vergebenen Namen und IP-Adresse.

Der kommt nun automatisch in die Gruppe "Nicht zugewiesen Computer". Darin hat er einen Bericht erstellt und sagt "97% installiert/nicht zutreffend". Gleichzeitg meldet er 131 Updates seien erforderlich, 5096 seien installiert/nicht zutreffend.


Nur so als Zwischenfrage, ist das ein W2KSP4? 131 Updates sind nicht grade wenig.

PatPowerMan schrieb on 01.11.07 um 11:41:20:
Wenn ich diesen PC nun in die erwähnte "Mach alle Updates" verschiebe (rechte Maustaste, Mitgliedschaft ändern, ausschliesslich "Mach alle Updates"-Gruppe checken), bewirkt das rein gar nichts.
Erst wenn ich sämtliche Updates für diese Gruppe neu genehmige funktioniert es.


OK, wenn dem so ist, dann würde ich es als Bug einstufen. Kann aber auch als Feature so gewollt sein von MS.

PatPowerMan schrieb on 01.11.07 um 11:41:20:
Kannst Du mir bitte sagen, wie Deine Gruppen strukturiert sind?


Relativ simpel. Zum einen nach Standort und nach OS. Ich genehmige die Updates aber immer auf die Gruppe Alle Computer. Das wird dann weiter nach unten vererbt. Deshalb kann ich bei mir auch verschieben wie ich will, alle Clients bekommen in jeder Gruppe die Updates, die sie anfordern.

PatPowerMan schrieb on 01.11.07 um 11:41:20:
Wenn ich auf einem beliebigen Update (Verzeichnis "Alle Updates") rechtsklicke und auf Genehmigen klicke, steht die oberste Gruppe "Alle Computer" auf "nicht genehmigt" und "nicht zutreffend". Die darunterliegende Gruppe "Mach alle Updates" steht auf "Installieren" und "Keine".
Kann das noch ein logisches Problem sein?


Ich würde es evtl. genau andersrum machen. Ganz oben in Hierarchie alle Updates genehmigen, nur in den darunterliegenden Gruppen, eine evtl. Vererbung deaktivieren.

BTW: Wenn Du noch einen Versuch machen könntest, wäre gut. Neuer Client mit GPO, die den Client gleich in die passende Gruppe auf dem WSUS verschiebt. Dazu mußt Du allerdings im WSUS in den Optionen auch umstellen, daß NICHT die WSUS-Konsole zu Zuordnen verwendet wird. Kriegt der Client nun Updates wenn er gleich in die passende Gruppe kommt?
  
Zum Seitenanfang
 
PatPowerMan
WSUS Senior Member
***
Offline


I Love WSUS

Beiträge: 117
Mitglied seit: 14.07.06
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #6 - 01.11.07 um 15:49:58
Beitrag drucken  
Sunny schrieb on 01.11.07 um 13:14:04:
Nur so als Zwischenfrage, ist das ein W2KSP4? 131 Updates sind nicht grade wenig.
Gute Frage, muss ich noch genauer angucken. Was wäre denn so die übliche Anzahl?
Wahrscheinlich kommt das aber davon, dass wir einen fast jährigen XP Klon verwenden und die (Nicht-MS-Produkte-) Updates beim Login des Users je nach Berechtigung nachinstallieren lassen.

Sunny schrieb on 01.11.07 um 13:14:04:
OK, wenn dem so ist, dann würde ich es als Bug einstufen. Kann aber auch als Feature so gewollt sein von MS..
Ich finde nur leider auch nach mehreren Stunden Foren-Studium keine eindeutigen Hinweise oder Erklärungsversuche dafür.

Sunny schrieb on 01.11.07 um 13:14:04:
...Ich genehmige die Updates aber immer auf die Gruppe Alle Computer. Das wird dann weiter nach unten vererbt. Deshalb kann ich bei mir auch verschieben wie ich will, alle Clients bekommen in jeder Gruppe die Updates, die sie anfordern.
Vielleicht muss ich das überdenken und so mal ausprobieren.

Sunny schrieb on 01.11.07 um 13:14:04:
BTW: Wenn Du noch einen Versuch machen könntest, wäre gut. Neuer Client mit GPO, die den Client gleich in die passende Gruppe auf dem WSUS verschiebt. Dazu mußt Du allerdings im WSUS in den Optionen auch umstellen, daß NICHT die WSUS-Konsole zu Zuordnen verwendet wird. Kriegt der Client nun Updates wenn er gleich in die passende Gruppe kommt?
Das ist leider nicht so einfach, weil nicht direkt von mir beeinflussbar. Aber wenn ich einen guten Tag erwische, lassen die verantwortlichen AD-Jungs vielleicht mit sich reden.  Augenrollen
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #7 - 01.11.07 um 19:12:26
Beitrag drucken  
PatPowerMan schrieb on 01.11.07 um 15:49:58:
Gute Frage, muss ich noch genauer angucken. Was wäre denn so die übliche Anzahl?
Wahrscheinlich kommt das aber davon, dass wir einen fast jährigen XP Klon verwenden und die (Nicht-MS-Produkte-) Updates beim Login des Users je nach Berechtigung nachinstallieren lassen.


Sorry, ich vergaß, Du hast vermutlich auch den Media Player und den IE mit verteilt, ebenfalls hast Du vermutlich Office XP oder 2003. Bei uns läuft noch Office 2000, der MP wird nicht upgedatet, (die Leute sollen arbeiten Zwinkernd) den IE7 hab ich noch verteilen können. Eine wichtige Anwendung ist vom Hersteller noch nicht freigegeben worden.


PatPowerMan schrieb on 01.11.07 um 15:49:58:
Ich finde nur leider auch nach mehreren Stunden Foren-Studium keine eindeutigen Hinweise oder Erklärungsversuche dafür.


Lies dich mal diese Message-ID: <e1FkXN6GIHA.4916@TK2MSFTNGP02.phx.gbl> bei Google Groups durch.

PatPowerMan schrieb on 01.11.07 um 15:49:58:
Vielleicht muss ich das überdenken und so mal ausprobieren.


Yepp, erleichtert die Arbeit ungemein. Zwinkernd


PatPowerMan schrieb on 01.11.07 um 15:49:58:
Das ist leider nicht so einfach, weil nicht direkt von mir beeinflussbar. Aber wenn ich einen guten Tag erwische, lassen die verantwortlichen AD-Jungs vielleicht mit sich reden.  Augenrollen


Wäre super, wenn Du das Ergebnis hier posten könntest. Zwinkernd
  
Zum Seitenanfang
 
PatPowerMan
WSUS Senior Member
***
Offline


I Love WSUS

Beiträge: 117
Mitglied seit: 14.07.06
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #8 - 02.11.07 um 14:59:48
Beitrag drucken  
Danke für Deine Infos!
Ich habe jetzt (nach ein paar weiteren Versuchen und Log-Analysen) einen Verdacht. MS meint dazu im (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).: Quote:
Wait an hour for changes to take effect
If you make a change to group membership by using client-side targeting and the client computer has already contacted the WSUS server, it takes an hour for the server to change the computer’s group membership. This is because WSUS uses cookies to manage group membership with client-side targeting and these cookies are set to expire after one hour.

If you cannot wait an hour, use command-line options to reset the cookie and initiate detection. For information about how to use command-line options, see Deploying Microsoft Windows Server Update Services at (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen)..
Obwohl wir KEIN client-side targeting machen (ich verschieb die PC manuell und "bewusst zufällig" in eine Verteilgruppe) könnte das wohl einen Einfluss haben.

Leider zeigt die Ziel-URL im obigen Zitat keine konkrete Lösung. Weisst Du, welche Optionen nötig sind "to reset the cookie and initiate detection"?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #9 - 02.11.07 um 15:14:07
Beitrag drucken  
Hey, vielen Dank für die Informationen. Zwinkernd Das kannte ich noch nicht, man lernt nie aus. Zwinkernd

Das mit Cookie könnte ich mir so vorstellen:
wuauclt /resetauthorization /detectnow
wuauclt /detectnow

Ja, genau, das isses, habs grade gefunden:
Issues with Client Computer Groups:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
PatPowerMan
WSUS Senior Member
***
Offline


I Love WSUS

Beiträge: 117
Mitglied seit: 14.07.06
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #10 - 02.11.07 um 15:20:48
Beitrag drucken  
Das habe ich in der Zwischenzeit probiert  Cool und 10 Minuten wären auch vergangen: Quote:
To reset the Automatic Update client
1.  Open a command window.
2.  Type wuauclt.exe /resetauthorization /detectnow
3.  Wait 10 minutes for the detection cycle to finish.

Trotzdem zeigt das %windir%\WindowsUpdate.log des verschobenen Computers u.A. immer noch folgenden falschen
Code
2007-11-02	15:12:01	 836	6fc	Agent	***********  Agent: Initializing global settings cache  ***********
2007-11-02	15:12:01	 836	6fc	Agent	  * WSUS server: http://wsusservername:8530
2007-11-02	15:12:01	 836	6fc	Agent	  * WSUS status server: http://wsusservername:8530
2007-11-02	15:12:01	 836	6fc	Agent	  * Target group: (Unassigned Computers)
2007-11-02	15:12:01	 836	6fc	Agent	  * Windows Update access disabled: No
2007-11-02	15:12:02	 836	6fc	Agent	  * Found 6 persisted download calls to restore
2007-11-02	15:12:02	 836	6fc	DnldMgr	Download manager restoring 0 downloads
2 

rund um die eigentlich neu zugewiesene Target Group "Mach alle Updates". Hmmm.... hä?

Moooooooment. Du hast ja geschrieben:
Das mit Cookie könnte ich mir so vorstellen:
wuauclt /resetauthorization /detectnow
wuauclt /detectnow


Und - oh Zufall - nach der Eingabe des zweiten Befehls mit der einzigen Option /detectnow startet der Download der Updates tatsächlich sofort!

Ich probier das gleich noch mal an einer neuen Kiste aus. Melde mich wieder mit Resultaten. Warte(t) aber heute nicht mehr... Augenrollen
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Wird Update auf PC/Server oder Gruppe berechti
Antwort #11 - 02.11.07 um 16:14:34
Beitrag drucken  
PatPowerMan schrieb on 02.11.07 um 15:20:48:
Trotzdem zeigt das %windir%\WindowsUpdate.log des verschobenen Computers u.A. immer noch folgenden falschen
Code
2007-11-02	15:12:01	 836	6fc	Agent	***********  Agent: Initializing global settings cache  ***********
2007-11-02	15:12:01	 836	6fc	Agent	  * WSUS server: http://wsusservername:8530
2007-11-02	15:12:01	 836	6fc	Agent	  * WSUS status server: http://wsusservername:8530
2007-11-02	15:12:01	 836	6fc	Agent	  * Target group: (Unassigned Computers)
2007-11-02	15:12:01	 836	6fc	Agent	  * Windows Update access disabled: No
2007-11-02	15:12:02	 836	6fc	Agent	  * Found 6 persisted download calls to restore
2007-11-02	15:12:02	 836	6fc	DnldMgr	Download manager restoring 0 downloads
2 

rund um die eigentlich neu zugewiesene Target Group "Mach alle Updates". Hmmm.... hä?


Nene, der WU-Agent zeigt das an, was in der Registry vom Client steht! Und wenn Du kein Client-Side-Targeting machst, steht da immer das gleiche drin. Zwinkernd


PatPowerMan schrieb on 02.11.07 um 15:20:48:
Moooooooment. Du hast ja geschrieben:
Das mit Cookie könnte ich mir so vorstellen:
wuauclt /resetauthorization /detectnow
wuauclt /detectnow


Und - oh Zufall - nach der Eingabe des zweiten Befehls mit der einzigen Option /detectnow startet der Download der Updates tatsächlich sofort!


Mist, schon wieder Recht gehabt. Zwinkernd


PatPowerMan schrieb on 02.11.07 um 15:20:48:
Ich probier das gleich noch mal an einer neuen Kiste aus. Melde mich wieder mit Resultaten. Warte(t) aber heute nicht mehr... Augenrollen


wie jetzt? Schon Feierabend? Hast Du dir einen halben Tag freigenommen?  Laut lachend
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden