Hallo zusammen,

habe heute entdeckt, das unsere Windows 7-Clients im WSUS nicht mehr aktiv sind. Soll heißen, Sie aktualisieren sich nicht mehr.

Neue W7-Clients kriege ich gar nicht mehr beim WSUS-Server angemeldet. 

Die XP-Client bzw. die Server-Clients sind aktiv und aktualisieren sich beim WSUS-Server.

Was läuft denn da auf ein Mal schief? Habt Ihr einen Tipp für mich?

Gruß

Lupus

Lupuscarnis schrieb on 17.10.11 um 16:41:54:


JA ... ist das Ding vollständig lizenziert?
Bei Win7 oder W2k8R2 wird der Kontakt zum WSUS nach einmaliger Aktualisierung abgebrochen, bis die Lizenzierung abgeschlossen ist.

Gruß Dani

Hi Sunny,

Sunny schrieb on 17.10.11 um 21:13:02:


ja natürlich. Ich muss allerdings sagen, dass es sich dabei um eine Beobachtung handelt, die einfach nur ärgerlich ist.

Bei uns werden alle wichtigen Einstellungen über GPO's einer Windowsdomäne vorgenommen. Das betrifft den Zugang zum Internet über Proxy, hier z.Bsp. für die Lizenzierung erforderlich, aber auch für WSUS und weiter Einstellungen und Beschränkungen. Am Proxy werden über Access- und Sperrlisten separat nur erlaubte System zugelassen.

Wenn wir ein neues System mit Win7 oder Server 2008[R2] ins Rennen schicken, springt nach der Integration in die Domäne der WU-Agent an. Dabei werden die Updates gezogen, die sofort ermittelt und angefordert wurden.

Da bei uns im Hauptstandort die Zuordnung manuell zu den Computergruppen erfolgen muss (besonders für den großen Serverpark) handelt es sich dabei um die Updates, die für "Alle Computer" genehmigt wurden. Das neue System liegt ja noch in der Gruppe "Nicht zugewiesen".

Bei einem Server W2k8R2 sind das z.Bsp. ca 8 Stück. In der Regel sind aber ca. 89 + Servicepack noch offen und Weitere folgen ja noch später. Dann wird im WSUS manuell die Gruppenzuordnung angepasst. Das System wandert in die zugehörige Gruppe im WSUS mit den Genehmigungen. Dennoch ist erstmal Ruhe. Der WU lässt sich einfach nicht bewegen weiter zu machen. Auch Neustarts helfen da nicht weiter.

Wenn nun der Lizenzcode eingegeben und über Inet aktiviert wird, geht sofort die Post ab. Dann wird installiert, bis das System "fullpatched via WSUS" ist.

Ärgerlich ist eigentlich nur, dass man ja erst mit WSUS die Dinger mit einem aktuellen Schutz abhärten will, um sie dann erst ins Inet (eben auch wegen der Lizenzierung) zu lassen. Da aber solche System in dieser Phase nicht von Standardkunden benutzt werden, stufen wir das Risiko noch als vertretbar ein.

Wir haben aus dieser Erkenntnis heraus den folgenden Ablauf als Regel festgelegt:
1.) Installation und Konfiguration (Netzwerk)
2.) Integration in Domäne und ergänzend im Hauptstandort manuelles Zuordnen zu WSUS-Gruppen
3.) 1. Durchlauf Updates via WSUS
4.) Freigabe des Systems am Proxy für Zugriff auf Internet
5.) Lizenzierung über Internet
6.) vollständiges Updaten via WSUS
7.) Bereitstellung zur Verwendung gemäß Einsatzplanung

Ich hoffe, das ist jetzt nichts Neues für Dich. 

Gruß Dani

DESoft schrieb on 18.10.11 um 05:33:38:

Wir haben zwar noch nicht soviel W7 und W2K8 im Einsatz, aber genau deswegen dachte ich immer gibt es KMS um solche Probleme zu umgehen. IMHO benötigen doch die Clients und Server mit KMS keinen direkten ZUgang zum Inet. Sehe ich da was flasch?

Hi Uwe.

UMeadow schrieb on 18.10.11 um 10:34:53:

Das siehst Du richtig. Aber wenn Du in Deiner Unternehmung keine Berechtigung hast, so ein Ding in die Infrastruktur zu pflanzen ... 

Wir haben ganze Abteilungen für Lizenzierung ... die sagen uns wie es gehen soll und das wars.

Gruß Dani

Hallo,

ich kann das Problem an meinen Clients nicht nachvollziehen.
Es werden alle Updates erkannt und gezogen.
Wir setzen weder KMS noch MAK ein, sondern Lizensieren die Systeme einzeln. (ja ich weis das das Umständlich ist)

Grüße Lenny