Seitenindex umschalten Seiten: [1] 2  Thema versendenDrucken
Heißes Thema (mehr als 10 Antworten) Flame patch client und WSUS / Best practice? (Gelesen: 10956 mal)
kk
WSUS Full Member
**
Offline


I Love WSUS!

Beiträge: 89
Standort: MUC
Mitglied seit: 09.10.07
Flame patch client und WSUS / Best practice?
11.06.12 um 11:43:32
Beitrag drucken  
Ein Hallo in die Runde.

Letzte Woche kam ja das Flame patch für die clients,
Vor kurzem der Patch für den Server.
Microsoft empfiehlt (dringend!?), den client patch VOR dem Server patch zu installieren.

Das ist in der Praxis gar nicht so einfach. Offsite Kollegen loggen sich teilweise ein bis zwei Wochen nicht ins Intranet ein, andere sind im Urlaub und zu guter Letzt sind ein paar neue vorkonfigurierte Clients gerade auf dem Weg zu einem neuen Standort...

und dann habe ich 3 WSUS am Start (1 x Upstream, 2 x Downstream).

Meine Fragen:
1) Gibt es schon Erfahrungen mit der Patchreihenfolge Client/Server betreffend. Welche Unannehmlichkeiten können auftreten, wie sind sie zu beheben?
2) Welche Reihenfolge ist Down-/Uostreamserver betreffend anzuwenden?
3) wie handhabt ihr die Thematik?

Danke vorab
  
Zum Seitenanfang
 
TD
WSUS Full Member
**
Offline


I Love WSUS

Beiträge: 75
Mitglied seit: 07.06.06
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #1 - 11.06.12 um 12:20:35
Beitrag drucken  
Ich habe heute versucht den Server-Patch einzuspielen und das ist fürchterlich in die Hose gegangen.
Ein Sync mit den MS Servern war nicht mehr möglich.

Fehler:
"TypeInitializationException: Der Typeninitialisierer für "Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy" hat eine Ausnahme verursacht. ---> System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Für den geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden..
bei Microsoft.UpdateServices.Internal.ClassFactory.CreateInstance(Type type, Object[] args)
bei Microsoft.UpdateServices.ServerSync.ServerSyncLib.GetWebServiceProxyInternal(Upd
ateServerConfiguration serverConfig, WebServiceCommunicationHelper webServiceHelper, Boolean useCompressionProxy)
bei Microsoft.UpdateServices.ServerSync.ServerSyncLib.GetWebServiceCompressionProxy(
UpdateServerConfiguration serverConfig, WebServiceCommunicationHelper webServiceHelper)
bei Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.RetrieveSubscriptionDat
a()
bei Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boo
lean allowRedirect) "

Dazu Eventlog-Enträge 13042 13002 12002 12042 12052
Der Server geht nicht über einen Proxy, und auch nicht über SSL wie im KB beschrieben.

Nach diversem Herumgefrickel lasse ich das System gerade auf Stand gestern zurück setzen. Auf SBS Maschinen macht das Ding scheinbar auch richtig zicken, wie ich anderswo gelesen habe. Ich warte jetzt noch ein paar Tage bis das mehr Leute ausprobiert haben.
  
Zum Seitenanfang
 
Blogster
WSUS Profi
****
Offline


I Love WSUS!

Beiträge: 391
Mitglied seit: 12.03.08
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #2 - 11.06.12 um 15:32:44
Beitrag drucken  
Hi,
ich hab das Update gerade auf nem W2K3 Server mit SP2 32 Bit installiert.
Nach dem Neustart, klappte die Synchronisation Des Wsus Servers mit MS problemlos.

Habe auch keine Fehler im Log stehen.

Installation Successful: Windows successfully installed the following update: Update for Windows Server Update Services 3.0 SP2 (KB2720211)
  
Zum Seitenanfang
 
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #3 - 11.06.12 um 22:13:59
Beitrag drucken  
@kk: da bin ich genau so ratlos wie du, ich schau einfach mal was passiert wenn die beiden Updates in "falscher" Reihenfolge installiert werden, sofern der WU-Agent nicht sowieso die Reihenfolge richtig bestimmt Zwinkernd

Also ich habe jetzt 3 WSUS (auf Server 2003, keine SBS) erfolgreich aktualisiert und die verteilen auch den neuen WU-Agent an ihre Clients, von XP bis Win7 haben jetzt wieder alle die gleiche Client-Version. Die haben auch keine Probleme beim Synchronisieren.

Bei einem vierten WSUS (ebenfalls Server 2003, kein SBS) hat sich der WSUS durch das Server-Update selbst "geschrottet" weil ich übersehen hatte daß die mit 12 GB nicht gerade üppige Systempartition dieses Servers nur noch ca. 1 GB frei hatte (WSUS-Datenbank, Content usw. liegen auf einer anderen Platte wo genug Platz ist). Das Update brach mit Fehler ab, vermutlich aus Speichermangel und anschließend ließen sich die WSUS-Dienste nicht mehr starten. Selbst eine Deinstallation des WSUS brach mit Fehler ab. Ich habe ihn dann nach einer MS-Anleitung manuell komplett entfernt, anschließend neu installiert und nach einer Platten-Bereinigung auch gleich das aktuelle WSUS-Update installiert. Nun läuft er wieder. Die Genehmigungen sind halt weg, die Clients waren aber eh alle aktuell, erst wenn ich einen frisch installierten Client anschließe werde ich einen Schwung angeforderter Updates erneut genehmigen müssen.

Jetzt habe ich noch einen weiteren WSUS, einen 2003 SBS. Dem wollte ich das Update morgen zusammen mit dem Patchday verpassen. Aber evtl. warte ich nach dem Bericht oben dann besser noch denn beim SBS läßt sich der WSUS ja angeblich nicht einfach so entfernen wenn es da auch schief geht.

Die drei wo es reibungslos ging laufen als VM, da wäre es einfach gewesen bei Fehlern auf einen Snapshot zurück zu gehen. Die Probleme passierten natürlich auf einer physischen Maschine  Griesgrämig
  
Zum Seitenanfang
 
chaos2807
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 1
Mitglied seit: 01.09.10
Re: Flame patch client und WSUS / Best practice?
Antwort #4 - 12.06.12 um 09:28:03
Beitrag drucken  
Hallo,

ich habe auch das Problem, dass ich das neue Update nicht installieren kann. Hier die Prtokolldatei. Vielleicht kann mir jemand hier einen Denkanstoss geben, da ich absolut nicht weiter komme.

MSI (s) (74:54) [08:46:08:000]: Produkt: Windows Server Update Services 3.0 SP2 - Update "Hotfix for Widows Server Update Services 3.0 SP2 (KB2720211)" konnte nicht installiert werden. Fehlercode 1603. Weitere Informationen sind in der Protokolldatei c:\wsus_hotfix.log enthalten.

MSI (s) (74:54) [08:46:08:000]: Ein Update wurde durch Windows Installer installiert. Produktname: Windows Server Update Services 3.0 SP2. Produktversion: 3.2.7600.226. Produktsprache: 0. Hersteller: Microsoft Corporation. Updatename: Hotfix for Widows Server Update Services 3.0 SP2 (KB2720211). Erfolg- bzw. Fehlerstatus der Installation: 1603.

MSI (s) (74:54) [08:46:08:000]: Note: 1: 1729
MSI (s) (74:54) [08:46:08:000]: Produkt: Windows Server Update Services 3.0 SP2 -- Die Konfiguration ist fehlgeschlagen.

MSI (s) (74:54) [08:46:08:000]: Das Produkt wurde durch Windows Installer neu konfiguriert. Produktname: Windows Server Update Services 3.0 SP2. Produktversion: 3.2.7600.226. Produktsprache: 0. Hersteller: Microsoft Corporation. Erfolg- bzw. Fehlerstatus der neuen Konfiguration: 1603.

MSI (s) (74:54) [08:46:08:000]: Attempting to delete file C:\Windows\Installer\e4274.msp
MSI (s) (74:54) [08:46:08:000]: Unable to delete the file. LastError = 32
MSI (s) (74:54) [08:46:08:000]: Deferring clean up of packages/files, if any exist
MSI (s) (74:54) [08:46:08:000]: Attempting to delete file C:\Windows\Installer\e4274.msp
MSI (s) (74:54) [08:46:08:000]: MainEngineThread is returning 1603
MSI (s) (74:88) [08:46:08:000]: RESTART MANAGER: Session closed.
MSI (s) (74:88) [08:46:08:000]: No System Restore sequence number for this installation.
=== Protokollierung beendet: 11.06.2012  08:46:08 ===
MSI (s) (74:88) [08:46:08:000]: User policy value 'DisableRollback' is 0
MSI (s) (74:88) [08:46:08:000]: Machine policy value 'DisableRollback' is 0
MSI (s) (74:88) [08:46:08:000]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (74:88) [08:46:08:000]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\
Scripts 3: 2
MSI (s) (74:88) [08:46:08:000]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\
Scripts 3: 2
MSI (s) (74:88) [08:46:08:000]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\InProgres
s 3: 2
MSI (s) (74:88) [08:46:08:000]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\InProgres
s 3: 2
MSI (s) (74:88) [08:46:08:000]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (s) (74:88) [08:46:08:015]: Restoring environment variables
MSI (s) (74:88) [08:46:08:015]: Destroying RemoteAPI object.
MSI (s) (74:1C) [08:46:08:015]: Custom Action Manager thread ending.
MSI (c) (E8:70) [08:46:08:015]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (E8:70) [08:46:08:015]: MainEngineThread is returning 1603
=== Verbose logging stopped: 11.06.2012  08:46:08 ===
  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). ( 179 KB | Downloads )
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #5 - 12.06.12 um 11:43:25
Beitrag drucken  
Also bei mir ist das Update anstandslos durchgelaufen.  Smiley
  
Zum Seitenanfang
 
Zebbelin
WSUS Full Member
**
Offline



Beiträge: 66
Mitglied seit: 14.12.09
Re: Flame patch client und WSUS / Best practice?
Antwort #6 - 12.06.12 um 11:50:12
Beitrag drucken  
@kk: Ich kann mir eigentlich nicht vorstellen, dass es Probleme gibt. Das Update für Clients von letzter Woche setzt lediglich die Zertifikate die von Flame genutzt werden als ungültig.

Bei mir (Server2008R2; kein SBS) gibt es bisher keine Probleme. Lediglich ungewöhnlich ist, dass das "selfupdate" für die Clients über HTTPS und nicht über HTTP heruntergeladen wird.

@AraldoL: Ich verwende folgendes Script um Approvals zu sichern:

Code
"C:\Program Files (x86)\Update Services 3.0 API Samples and Tools\WsusMigrate\WsusMigrationExport\WsusMigrationExport.exe" "D:\logs\export_approvals\%date%.xml"  



So kann man leicht die Approvals auf einem anderen WSUS wieder importieren. Oder eben auf dem gleichen  Zwinkernd
  
Zum Seitenanfang
 
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #7 - 13.06.12 um 08:43:09
Beitrag drucken  
Zebbelin schrieb on 12.06.12 um 11:50:12:
@AraldoL: Ich verwende folgendes Script um Approvals zu sichern:

War ja gar nicht nötig, ich genehmige ja nur was angefordert wird und das fängt jetzt halt wieder bei Null an.

Ich hab mich übrigens gestern doch getraut dem 2003 SBS das Server-Update einzuspielen (nachdem ich mich vergewisserte daß genug Platz da ist) und hat problemlos geklappt. Der einzige Fehlschlag war tatsächlich der Server mit zu wenig Platz auf C:

  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #8 - 13.06.12 um 17:47:02
Beitrag drucken  
So meine Erfahrungen nach dem Update:
- ich habe das Update gestern eingespielt - problemlos
- auf dem Server, wo ich die MMC laufen habe wurde mir das Update nicht angeboten, dort habe ich es per Hand installiert
- heute nach wurde Syncronisiert, dabei war der WSUS allerdings der Meinung das er 1636 neue Updates gefunden hat und dies natürlich auch runterladen muss, das sind dann mal schlappe 35 GB die natürlich nicht mehr zusätzlich auf meine Platte passen und damit wurde der Download zum Glück gestoppt
- jetzt bin ich dabei mit WSUSDebugTool und LUP den Content zu bereinigen
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Flame patch client und WSUS / Best practice?
Antwort #9 - 14.06.12 um 22:47:25
Beitrag drucken  
Hallo Uwe,

das hört sich ja grauenhaft an. Schockiert/Erstaunt

Gruß Dani
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Flame patch client und WSUS / Best practice?
Antwort #10 - 15.06.12 um 15:01:39
Beitrag drucken  
Hallo AraldoL,

Araldo.L schrieb on 11.06.12 um 22:13:59:
Also ich habe jetzt 3 WSUS (auf Server 2003, keine SBS) erfolgreich aktualisiert und die verteilen auch den neuen WU-Agent an ihre Clients, von XP bis Win7 haben jetzt wieder alle die gleiche Client-Version. Die haben auch keine Probleme beim Synchronisieren.


Welche WUA-Client-Version wird denn nach der Aktualisierung verteilt?

Gruß Dani
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Flame patch client und WSUS / Best practice?
Antwort #11 - 15.06.12 um 15:03:31
Beitrag drucken  
Hallo Zebbelin,

Zebbelin schrieb on 12.06.12 um 11:50:12:
Lediglich ungewöhnlich ist, dass das "selfupdate" für die Clients über HTTPS und nicht über HTTP heruntergeladen wird. 


War vorher für den WSUS (nicht für das SelfUpdate) SSL eingestellt?

Gruß Dani
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Flame patch client und WSUS / Best practice?
Antwort #12 - 15.06.12 um 15:06:11
Beitrag drucken  
Hallo Uwe,

UMeadow schrieb on 13.06.12 um 17:47:02:
heute nach wurde Syncronisiert, dabei war der WSUS allerdings der Meinung das er 1636 neue Updates gefunden hat und dies natürlich auch runterladen muss, 


War vor dem Update und der Sync irgendwelche Genehmigungsregel aktiv?
Sind die "Standard-Genehmigungsregeln" von MS gelöscht gewesen und nun wieder eingetragen?
Gibt es Änderungen an der Konfiguration bzgl. Downloads?

Gruß Dani
  
Zum Seitenanfang
 
Freudi
WSUS Junior Member
*
Offline


Patch-Onkel

Beiträge: 25
Mitglied seit: 05.01.09
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #13 - 16.06.12 um 08:33:49
Beitrag drucken  
Noch ein bisserl mehr Horror-Infos gewünscht? Bitteschön:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Bye,
Freudi
  
Zum Seitenanfang
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Flame patch client und WSUS / Best practice?
Antwort #14 - 16.06.12 um 23:09:14
Beitrag drucken  
DESoft schrieb on 15.06.12 um 15:01:39:
Welche WUA-Client-Version wird denn nach der Aktualisierung verteilt?


Version 7.6.7600.256 und das einheitlich für XP, Vista, Win2003, Win7, Win7x64 (diese kommen konkret bei mir vor, vermutlich für alle anderen unterstützten genauso)
  
Zum Seitenanfang
 
Seitenindex umschalten Seiten: [1] 2 
Thema versendenDrucken
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden